eugh-dsgvo-auskunft-angabe-konkrete-empfaenger-kategorien-reichen-nicht

EuGH zu DSGVO-Auskunftsverlangen: Empfänger von Daten müssen konkret benannt werden, Angaben zu Kategorien von Empfängern reichen nicht

Im Zusammenhang mit datenschutzrechtlichen Auskunftersuchen sind noch viele Fragen umstritten. Eine zentrale Frage hat der Europäische Gerichtshof in einem aktuellen Vorabentscheidungsverfahren allerdings geklärt: Verlangt eine betroffene Person eine Auskunft über die Verarbeitung ihrer personenbezogenen Daten, dann müssen die Empfänger personenbezogener Daten in der Auskunft konkret benannt werden. Eine lediglich allgemeine Auskunft über Kategorien von Empfängern ist unzureichend (EuGH, Urteil vom 12.01.2023, Rechtssache C-154/21). Die Entscheidung ist extrem praxisrelevant, denn sie betrifft jeden, der datenschutzrechtliche Auskunftersuchen beantworten muss. In dem nachfolgenden Beitrag erläutern wir, was die Entscheidung für die Praxis bedeutet:

Auskunftersuchen kommen immer häufiger vor  

Die datenschutzrechtlichen Vorgaben in der Datenschutz-Grundverordnung sehen zum Schutz der betroffenen Personen unter anderem ein Recht betroffener Personen auf Auskunfterteilung vor (Art. 15 DSGVO). Vor dem Hintergrund diverser Datenskandale wird von diesem Recht auch immer häufiger Gebrauch gemacht. Grund genug, sich auf entsprechende Auskunftersuchen vorzubereiten, um Fehler bei der Auskunfterteilung zu vermeiden. Hinweise dazu, was Sie bei einer Auskunfterteilung beachten sollten, finden Sie hier:

Was Sie als Onlinehändler bei der datenschutzrechtlichen Auskunfterteilung beachten sollten

Welche Auskünfte Sie erteilen müssen:

Nach den datenschutzrechtlichen Vorgaben hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  • die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
  • Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Nunmehr durch den EuGH geklärt: Empfänger von Daten müssen konkret benannt werden

In Art. 15 DSGVO ist die Rede von Empfängern oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Daher stellte sich in der Vergangenheit die Frage, in welchem Verhältnis diese Begriffe stehen und wie konkret eine datenschutzrechtliche Auskunft insoweit sein muss. Und um genau diese Frage ging es auch in dem Ausgangsrechtsstreit, in dem zu einem Auskunftersuchen lediglich allgemeine Angaben zu den Kategorien von Empfängern erfolgten, jedoch keine Angaben zu konkreten Empfängern.

In den ersten Instanzen war noch entschieden worden, dass Art. 15 Abs. 1 Buchst. c DSGVO durch den Verweis auf die „Empfänger oder Kategorien von Empfängern“ dem Verantwortlichen die Wahlmöglichkeit einräume, der betroffenen Person lediglich die Kategorien von Empfängern mitzuteilen, ohne die konkreten Empfänger der personenbezogenen Daten namentlich nennen zu müssen. Der EuGH hat zu der ihm vorgelegten Frage nunmehr jedoch abschließend geklärt:

Wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, dann ist der Verantwortliche verpflichtet, der betroffenen Person die Identität der Empfänger mitzuteilen.

Eine Ausnahme von diesem Grundsatz gilt nur für die Fälle, in denen es nicht möglich ist, die Empfänger zu identifizieren, oder in denen der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv sind. Dann kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

Was die Entscheidung für die Praxis bedeutet:

Wenn Sie personenbezogene Daten an Dritte übermitteln und in Ihren Vorlagen zur Beantwortung von Auskunftersuchen bislang Informationen über diese Empfänger der Daten lediglich in Form von Angaben zu den Kategorien diese Empfänger vorhalten, müssen Sie Ihre Vorlagen insoweit anpassen und nunmehr Angaben zu den konkreten Empfängern mit aufnehmen.

Vorsicht mit der Annahme eines Ausnahmefalls:

Der EuGH hat in seiner Entscheidung zwar eine Hintertür für die Ausnahmefälle offenkundig unbegründeter oder exzessiver Auskunftersuchen gelassen. Diese Hintertür ist nach unserer Auffassung allerdings sehr klein. Daher sollten Sie bei Auskunftersuchen im Falle der Übermittlung personenbezogener Daten die entsprechenden Empfänger in der Auskunft konkret benennen.

Wir beraten Sie

Wenn Sie sich auf die Erteilung von Auskünften vorbereiten möchten und hierzu eine Beratung wünschen oder zu einem Ihnen bereits vorliegenden Auskunftsersuchen Fragen haben, sprechen Sie uns einfach an.

Als zertifizierter Datenschutzbeauftragter (TÜV) steht Ihnen Rechtsanwalt Andreas Kempcke mit seiner Erfahrung aus entsprechenden Verfahren bundesweit kurzfristig zur Verfügung. Je nach Wusch können wir Sie entweder aus dem Hintergrund unterstützen oder Sie offen gegenüber der Gegenseite vertreten.

Stand: 18.01.2023

Ihr Ansprechpartner: Rechtsanwalt Andreas Kempcke