Der Europäische Gerichtshof (EuGH) hat jetzt (Urteil vom 12.10.2023 – C-154/21) entschieden, dass jeder Betroffene das Recht hat zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden. Dass bedeutet, dass einer für die Datenverarbeitung Verantwortliche stets die Identität aller Datenempfänger offenlegen muss. Nur soweit es im Einzelfall nicht möglich ist, alle einzelnen Empfänger zu identifizieren, kann der Verantwortliche sich auf die Auskunft in Empfängerkategorien beschränken.
Ausgangspunkt war ein Fall aus Österreich
Im zu Grunde liegenden Fall beantragte ein Österreicher bei der Österreichischen Post ihm gemäß der Datenschutzgrundverordnung (DSGVO) mitzuteilen, gegenüber welchen Empfängern seine personenbezogenen Daten von der Post offengelegt wurden. Bei der Beantwortung der Anfrage beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei und im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Der Betroffene erhob daraufhin gegen die Österreichische Post Klage.
Der Österreichische Oberste Gerichtshof legte die Sache dem EuGH zur Klärung vor.
EuGH: Identität der Datenempfänger ist konkret mitzuteilen
Das höchste europäische Gericht hat jetzt entschieden, dass der Verantwortliche der betroffenen Person auf Anfrage die Identität der Empfänger konkret mitteilen muss. Nur wenn es nicht möglich ist, diese Empfänger zu identifizieren, könne sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies sei ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist. Der EuGH weist in seiner Entscheidung insbesondere darauf hin, dass dieses Auskunftsrecht erforderlich ist, um es den Betroffenen zu ermöglichen, die anderen Rechte auszuüben, die ihr gemäß der DSGVO zustehen.
Auskunftsrecht deutlich gestärkt
Das Auskunftsrecht der betroffenen Personen aus der DSGVO wurde mit dem Urteil deutlich gestärkt. Bislang war es unklar, ob die einzelnen konkrete Empfänger namentlich genannt werden müssen oder, ob es reicht, nur die Kategorien der Empfänger zu nennen (bspw. Dienstleister, Cloudanbieter, Rechenzentrum o.ä.).
Das Gericht hat betont, wie wichtig Transparenz über die konkrete Datenverarbeitung ist. Betroffene müssen konkret prüfen können, ob Daten zulässig verarbeitet werden. Das kann nur dann funktionieren, wenn sie auch die Namen der konkreten Empfänger der Daten genannt bekommen. Das Auskunftsrecht ist dabei die Basis für weitere Rechte von der Berichtigung bis zum Schadensersatz.
Sie müssen nun handeln: Datenschutzhinweise anzupassen!
Das Urteil wird man auch so verstehen müssen, dass schon in den Datenschutzhinweisen (bzw. der Datenschutzerklärung) die Empfänger konkret benannt werden müssen. Das bedeutet, dass die meisten Datenschutzerklärungen angepasst werden müssen, um Bußgelder und Ansprüche Dritter zu vermeiden.
Wir machen ihre Datenschutzerklärung rechtssicher. Sprechen Sie uns jetzt an:
Telefon: 0721 / 120 500
E-Mail: info@schutt-waetke.de
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Urheberangabe für das Foto für diesen Beitrag:
- Datenschutz: © momius - Fotolia.com