Zum Inhalt
Gesetzesänderung
Bild: geralt/pixabay

DSGVO-Auskunftsrecht auf konkreten Empfänger

Der EuGH nimmt Stellung: Es reicht idR nicht aus, nach einem datenschutzrechtlichen Auskunftsbegehren eines Betroffenen nur die Empfängerkategorie bekannt zu geben; vielmehr muss idR über die konkreten Empfänger der personenbezogenen Daten informiert werden.

Im Jänner 2019 wandte sich ein Betroffener an die Österreichische Post, um gemäß Art 15 DSGVO ua darüber Auskunft zu erhalten, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe.

Gemäß Art 15 Abs 1 lit c DSGVO muss der Verantwortliche „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“, bei einem Auskunftsbegehren bekannt geben.

Die Post teilte dem Betroffenen außergerichtlich nicht die konkreten Empfänger dieser Daten mit. Im Lauf dieses gerichtlichen Verfahrens teilte die Post ihm mit, seine personenbezogenen seien an Kund:innen weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT‑Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.

Die EuGH sprach nun aus, dass der Verantwortliche idR dazu verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen.

Dem Wortlaut von Art 15 Abs 1 lit c DSGVO lässt sich nicht eindeutig entnehmen, ob die betroffene Person, das Recht hat, über die konkrete Identität der Empfänger dieser Daten unterrichtet zu werden. Nach Erwägungsgrund 63 DSGVO muss die betroffene Person ein Anrecht darauf haben, insbesondere zu wissen und zu erfahren, wer die Empfänger dieser personenbezogenen Daten sind; dieser Erwägungsgrund nicht erwähnt, dass dieses Recht lediglich auf die Kategorien von Empfängern beschränkt werden könnte. Jede Verarbeitung personenbezogener Daten von natürlichen Personen muss mit den in Art 5 DSGVO aufgestellten Grundsätzen im Einklang stehen, damit das Auskunftsrecht gewahrt wird. Zu diesen Grundsätzen gehört der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, der, wie aus dem 39. Erwägungsgrund dieser Verordnung hervorgeht, voraussetzt, dass die betroffene Person darüber informiert wird, wie ihre personenbezogenen Daten verarbeitet werden, und dass diese Informationen leicht zugänglich und verständlich sind. Der betroffenen Person muss durch die Ausübung dieses Auskunftsrechts nicht nur ermöglicht werden, zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden. Dieses Auskunftsrecht ist insbesondere erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung, ihr Recht auf Einschränkung der Verarbeitung, sowie ihr in Art 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten auszuüben oder im Schadensfall den in den Art. 79 und 82 DSGVO vorgesehenen gerichtlichen Rechtsbehelf einzulegen. Um die praktische Wirksamkeit sämtlicher dieser Rechte zu gewährleisten, muss die betroffene Person somit insbesondere über das Recht verfügen, dass ihr die Identität der konkreten Empfänger mitgeteilt wird, wenn ihre personenbezogenen Daten bereits offengelegt wurden.

Ziel der DSGVO ist, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten. Aus dem mit der DSGVO verfolgten Ziel ergibt sich daher auch, dass die betroffene Person das Recht hat, von den Verantwortlichen Informationen über die konkreten Empfänger zu verlangen.

Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Zusammenfassung: Art 15 Abs 1 lit c DSGVO ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv iSv Ar. 12 Abs 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

EuGH 12.1.2023, C-154/21 (RW/Post)

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

This could also be of interest:

Unterlassungserklärung des Hoffman-Vereins

Der VKI hat – im Auftrag des Sozialministeriums – die 24h-Betreuungsagentur Hoffman-Verein wegen dreier Klauseln in ihrem Aufnahmeantrag (Vermittlungs- und Organisationsvertrag) abgemahnt.

Unterlassungserklärung von Bosch

Unterlassungserklärung von Bosch

Der VKI hat im Auftrag des BMSGPK die Robert Bosch AG (Bosch) wegen drei unzulässiger Klauseln in einem Thermenwartungs-Vertragsformblatt des Bosch-Werkskundendienstes abgemahnt.

EU beschließt „Recht auf Reparatur“-Richtlinie

EU beschließt „Recht auf Reparatur“-Richtlinie

Am 13.6.2024 wurde die EU-Richtlinie 2024/1799 zur Förderung der Reparatur von Waren („Right to Repair“-Directive) verabschiedet. Die Richtlinie ist Bestandteil des European Green Deal und soll einen nachhaltigeren Konsum fördern. Vom österreichischen Gesetzgeber ist die Richtlinie bis zum 31.7.2026 in nationales Recht umzusetzen. Wir informieren über die wichtigsten Neuerungen.

unterstützt durch das

Sozialministerium
Zum Seitenanfang