Im Jänner 2019 wandte sich ein Betroffener an die Österreichische Post, um gemäß Art 15 DSGVO ua darüber Auskunft zu erhalten, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe.
Gemäß Art 15 Abs 1 lit c DSGVO muss der Verantwortliche „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“, bei einem Auskunftsbegehren bekannt geben.
Die Post teilte dem Betroffenen außergerichtlich nicht die konkreten Empfänger dieser Daten mit. Im Lauf dieses gerichtlichen Verfahrens teilte die Post ihm mit, seine personenbezogenen seien an Kund:innen weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT‑Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.
Die EuGH sprach nun aus, dass der Verantwortliche idR dazu verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen.
Dem Wortlaut von Art 15 Abs 1 lit c DSGVO lässt sich nicht eindeutig entnehmen, ob die betroffene Person, das Recht hat, über die konkrete Identität der Empfänger dieser Daten unterrichtet zu werden. Nach Erwägungsgrund 63 DSGVO muss die betroffene Person ein Anrecht darauf haben, insbesondere zu wissen und zu erfahren, wer die Empfänger dieser personenbezogenen Daten sind; dieser Erwägungsgrund nicht erwähnt, dass dieses Recht lediglich auf die Kategorien von Empfängern beschränkt werden könnte. Jede Verarbeitung personenbezogener Daten von natürlichen Personen muss mit den in Art 5 DSGVO aufgestellten Grundsätzen im Einklang stehen, damit das Auskunftsrecht gewahrt wird. Zu diesen Grundsätzen gehört der Grundsatz der Transparenz gemäß Art 5 Abs 1 lit a DSGVO, der, wie aus dem 39. Erwägungsgrund dieser Verordnung hervorgeht, voraussetzt, dass die betroffene Person darüber informiert wird, wie ihre personenbezogenen Daten verarbeitet werden, und dass diese Informationen leicht zugänglich und verständlich sind. Der betroffenen Person muss durch die Ausübung dieses Auskunftsrechts nicht nur ermöglicht werden, zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden. Dieses Auskunftsrecht ist insbesondere erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung, ihr Recht auf Einschränkung der Verarbeitung, sowie ihr in Art 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten auszuüben oder im Schadensfall den in den Art. 79 und 82 DSGVO vorgesehenen gerichtlichen Rechtsbehelf einzulegen. Um die praktische Wirksamkeit sämtlicher dieser Rechte zu gewährleisten, muss die betroffene Person somit insbesondere über das Recht verfügen, dass ihr die Identität der konkreten Empfänger mitgeteilt wird, wenn ihre personenbezogenen Daten bereits offengelegt wurden.
Ziel der DSGVO ist, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten. Aus dem mit der DSGVO verfolgten Ziel ergibt sich daher auch, dass die betroffene Person das Recht hat, von den Verantwortlichen Informationen über die konkreten Empfänger zu verlangen.
Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.
Zusammenfassung: Art 15 Abs 1 lit c DSGVO ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv iSv Ar. 12 Abs 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.
