23. Januar 2023Dr. Dierk Bredemeyer

EuGH: DSGVO-Auskunftanspruch enthält Anspruch auf konkrete Identität von Datenempfängern

(Urt. v. 12.01.2023 - Rs. C-154/21)

Der Europäische Gerichtshof (EuGH) hat das datenschutzrechtliche Auskunftsrecht nach Art. 15 DSGVO über den Wortlaut weiter geschärft und dadurch das Recht auf informationelle Selbstbestimmung gestärkt. 

Im Rahmen der Beantwortung einer Vorfrage des österreichischen Obersten Gerichtshofs (OGH) entschied der EuGH, dass der Anspruch auf Offenlegung aller verarbeiteter personenbezogener Daten aus Art. 15 DSGVO auch die Auskunft über die konkrete Identität des Empfängers enthält. Eine bloße Klassifizierung dieser reiche folglich nicht aus. Damit beseitigte der EuGH die verbreitete Annahme einer Wahlmöglichkeit des Anspruchsgegners bei der Offenlegung personenbezogener Daten nach Art. 15 Abs. 1 lit. c DSGVO.

Hintergrund der Entscheidung war ein Fall vor dem österreichischen OGH. Ein Bürger machte gegenüber der Österreichischen Post von seinem Auskunftsersuchens gem. Art. 15 DSGVO gebraucht. Konkret wollte er wissen, ob ihn-betreffende personenbezogene Daten gespeichert wurden und bejahendenfalls wem diese zugänglich sind. 

Die Österreichische Post kam dem Auskunftsverlangen nur beschränkt nach und teilte mit, dass Daten nur innerhalb des rechtlich-erlaubten Rahmens in der Tätigkeit als Herausgeber von Telefonbüchern verarbeitet und Geschäftskunden für Marketingzwecken zur Verfügung gestellt würden. Zudem wurde auf eine Internet-Seite mit weiteren Informationen und Hinweisen zur allgemeinen Datenverarbeitung der Österreichischen Post verwiesen. Mit Verweis auf Art. 15 Abs. 1 lit. c DSGVO klagte der Betroffene und beantragte die Mitteilung der Empfänger der personenbezogenen Daten. 

Art. 15 Abs. 1 lit. c DSGVO gewährt dem Betroffenen einen Anspruch auf Offenlegung „der Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“.

Nachdem die Österreichische Post im Laufe des Verfahrens die Offenlegung dahingehend ergänze, dass zu den Geschäftskunden werbetreibende Unternehmen im Versand- und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen oder politische Parteien gehört hätten, wiesen sowohl das österreichische erstinstanzliche Gericht, als auch das Berufungsgericht die Klage ab. Das Begehren des Klägers, auch konkrete Identitäten offenzulegen, wurde mit der Begründung abgelehnt, dass die Formulierung des Art. 15 Abs. 1 lit. C DSGVO dem Anspruchsgegner eine Wahlmöglichkeit einräume, wodurch vorliegend durch die Offenlegung der Kategorien Genüge getan wurde.

Im Revisionsverfahren befasste sich der österreichische OGH mit der Auslegung der Norm und legte dem EuGH die Frage vor, inwieweit es dem, für die Datenverarbeitung Verantwortlichen freistehe, die konkrete Identität oder nur die Kategorie von Empfängern mitzuteilen.

Der EuGH entschied nun, dass Art. 15 Abs. 1 lit. c DSGVO so auszulegen sei, dass grundsätzlich eine Mitteilungspflicht der konkreten Identität des Daten-Empfängers gegenüber dem Betroffenen besteht.

Das Gericht führte aus, dass zwar der Wortlaut nicht direkt für einen Offenlegungsvorrang der konkreten Identität spreche, ein solcher jedoch für die Wirksamkeit des Schutzumfangs der DSGV essenziell sei, um „ein möglichst hohes Datenschutzniveau für natürliche Personen zu gewährleisten und dabei dem Grundsatz der Transparenz Rechnung zu tragen.“

Eine Ausnahme gelte nur dann, wenn der Empfänger (noch) nicht identifiziert werden kann oder der Antrag offenkundig unbegründet oder exzessiv ist.

Ob sich die Auslegung des Urteils nur auf Art. 15 DSGVO beschränkt, oder ob, mit Blick auf den identischen Wortlaut der Art. 13ff. DSGVO, auch Aufsichtsbehörden und Gerichte spezifische Angaben zu Empfängern verlangen können, bleibt richterlich ungeklärt. Fest steht allerdings, dass das Urteil eine Verschärfung der datenschutzrechtlichen Anforderungen an Unternehmen darstellt und das Recht auf informationelle Selbstbestimmung in Zeiten von Big Data weiter stabilisiert.

Auf einen Blick

EuGH zu Art. 15 Abs. 1 lit. c DSGVO: Keine Wahlmöglichkeit zwischen Offenlegung konkreter Identitäten der Empfängers oder Offenlegung von kategorisierten Empfängergruppen;

Wortlaut zwar grundsätzlich für ein Wahlrecht; Funktionsfähigkeit der DSGVO jedoch nur bei Offenlegung der konkreten Identität der Empfänger gesichert