Zum Inhalt
Gesetzesänderung
Bild: geralt/pixabay

DSGVO-Auskunftsrecht auf konkreten Empfänger

Der EuGH nimmt Stellung: Es reicht idR nicht aus, nach einem datenschutzrechtlichen Auskunftsbegehren eines Betroffenen nur die Empfängerkategorie bekannt zu geben; vielmehr muss idR über die konkreten Empfänger der personenbezogenen Daten informiert werden.

Im Jänner 2019 wandte sich ein Betroffener an die Österreichische Post, um gemäß Art 15 DSGVO ua darüber Auskunft zu erhalten, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe.

Gemäß Art 15 Abs 1 lit c DSGVO muss der Verantwortliche „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“, bei einem Auskunftsbegehren bekannt geben.

Die Post teilte dem Betroffenen außergerichtlich nicht die konkreten Empfänger dieser Daten mit. Im Lauf dieses gerichtlichen Verfahrens teilte die Post ihm mit, seine personenbezogenen seien an Kund:innen weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT‑Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.

Die EuGH sprach nun aus, dass der Verantwortliche idR dazu verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen.

Dem Wortlaut von Art 15 Abs 1 lit c DSGVO lässt sich nicht eindeutig entnehmen, ob die betroffene Person, das Recht hat, über die konkrete Identität der Empfänger dieser Daten unterrichtet zu werden. Nach Erwägungsgrund 63 DSGVO muss die betroffene Person ein Anrecht darauf haben, insbesondere zu wissen und zu erfahren, wer die Empfänger dieser personenbezogenen Daten sind; dieser Erwägungsgrund nicht erwähnt, dass dieses Recht lediglich auf die Kategorien von Empfängern beschränkt werden könnte. Jede Verarbeitung personenbezogener Daten von natürlichen Personen muss mit den in Art 5 DSGVO aufgestellten Grundsätzen im Einklang stehen, damit das Auskunftsrecht gewahrt wird. Zu diesen Grundsätzen gehört der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, der, wie aus dem 39. Erwägungsgrund dieser Verordnung hervorgeht, voraussetzt, dass die betroffene Person darüber informiert wird, wie ihre personenbezogenen Daten verarbeitet werden, und dass diese Informationen leicht zugänglich und verständlich sind. Der betroffenen Person muss durch die Ausübung dieses Auskunftsrechts nicht nur ermöglicht werden, zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden. Dieses Auskunftsrecht ist insbesondere erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung, ihr Recht auf Einschränkung der Verarbeitung, sowie ihr in Art 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten auszuüben oder im Schadensfall den in den Art. 79 und 82 DSGVO vorgesehenen gerichtlichen Rechtsbehelf einzulegen. Um die praktische Wirksamkeit sämtlicher dieser Rechte zu gewährleisten, muss die betroffene Person somit insbesondere über das Recht verfügen, dass ihr die Identität der konkreten Empfänger mitgeteilt wird, wenn ihre personenbezogenen Daten bereits offengelegt wurden.

Ziel der DSGVO ist, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten. Aus dem mit der DSGVO verfolgten Ziel ergibt sich daher auch, dass die betroffene Person das Recht hat, von den Verantwortlichen Informationen über die konkreten Empfänger zu verlangen.

Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.

Zusammenfassung: Art 15 Abs 1 lit c DSGVO ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv iSv Ar. 12 Abs 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

EuGH 12.1.2023, C-154/21 (RW/Post)

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

Das könnte auch interessant sein:

Skigebiet

Gesetzwidrige Verzichtserklärung auf Rückerstattungsansprüche

Der VKI hatte die Bergbahnen Westendorf Gesellschaft m.b.H geklagt. Gegenstand des Verfahrens ist eine Verzichtserklärung der Verbraucher:innen für allfällige Rückerstattungsansprüche bei teilweiser oder gänzlicher Einstellung des Skiliftbetriebs.

Handwerker

Rücktritt vom Handwerkvertrag

Hat ein Handwerker-Unternehmen bei einem außerhalb von Geschäftsräumen abgeschlossenen Vertrag die Verbraucher:innen nicht über das Rücktrittsrecht belehrt und treten diese vom Vertrag zurück, müssen die Verbraucher:innen kein Entgelt zahlen.

Online-Nachhilfe

GoStudent – Klausel zur Vertragsverlängerung ist unzulässig

Der Verein für Konsumenteninformation (VKI) hatte im Auftrag des Sozialministeriums das Online-Nachhilfeunternehmen GoStudent GmbH (GoStudent) geklagt. Das Handelsgericht Wien (HG Wien) hat nun 17 der 22 vom VKI beanstandeten Klauseln für unzulässig erklärt. Damit fällt unter anderem die Vertragsverlängerungsklausel von GoStudent weg, auf die das Unternehmen zahlreiche automatische Vertragsverlängerungen gestützt hat. Das Urteil ist noch nicht rechtskräftig.

Laudamotion

Datenschutzklausel von Laudamotion gesetzwidrig

Der VKI hatte die Laudamotion GmbH (Laudamotion) wegen diverser Klauseln in deren Allgemeinen Beförderungsbedingungen geklagt. Nun wurde noch die letzte der eingeklagten Klauseln, eine Datenschutzklausel, rechtskräftig für unzulässig erklärt.

Blick auf Konzertbuehne

Frequency 2020 - Unzulässige Regelung über Auszahlung des Kaufpreises

Der VKI hatte im Auftrag des Sozialministeriums die musicnet entertainment GmbH geklagt. Diese ist ua Veranstalter des Frequency Festivals (FQ). Für Kund:innen, die bereits ein Ticket für das FQ 2020 erworben hatten, es aber gegen ein Ticket für das FQ 2021 tauschten, sah der Veranstalter erst für 1.1.2024 die Möglichkeit vor, die Rückzahlung des Kaufpreises zu verlangen.

unterstützt durch das

Sozialministerium
Zum Seitenanfang