Auskunftsersuchen nach Art. 15 DSGVO führen in der Praxis immer wieder zu großer Unsicherheit. Insbesondere die Reichweite der zu erteilenden Informationen stellt die Verantwortlichen nicht selten vor Probleme (wir berichteten hier und hier).
In Art. 15 Abs. 1 lit. c DSGVO heißt es, dass das Auskunftsrecht die „Empfänger oder Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“, umfasst. Besteht also ein Wahlrecht des Betroffenen oder gar des Verantwortlichen, ob er Informationen über die konkreten Empfänger oder bloß die Kategorien der Empfänger erhalten bzw. erteilen möchte? Das Wort „oder“ scheint dies zu implizieren.
Nein, sagt der EuGH! In der Rechtssache C-154/21 (Urteil vom 12.01.2023) hat der EuGH nun klargestellt, dass der Verantwortliche im Rahmen eines Auskunftsersuchens nach Art. 15 DSGVO verpflichtet ist, die Identität der Empfänger (d. h. an welche einzelnen Unternehmen die Daten übermittelt werden), die die personenbezogenen Daten verarbeiten, mitzuteilen und zwar so konkret wie möglich. Dies gebietet das Transparenzgebot nach Art. 5 Abs. 1 lit. a DSGVO. Allein, wenn es (noch) nicht möglich ist, diese Empfänger konkret zu benennen, kann der Verantwortliche lediglich die Kategorien der jeweiligen Empfänger aufführen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass das Auskunftsersuchen offenkundig unbegründet oder exzessiv ist (siehe auch die Pressemitteilung Nr. 4/23 des EuGH).
Der EuGH weist darüber hinaus ausdrücklich darauf hin, dass das Auskunftsrecht der betroffenen Person eine so besonders hohe Bedeutung hat, da es dazu dient die Ausübung anderer Rechte, die ihr gemäß der DSGVO zustehen, zu ermöglichen – nämlich das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall. Die bloße Auskunft, dass die Daten an „Geschäftskunden für Marketingzwecke“ weitergeleitet werden, wie im vorliegenden Fall geschehen, ist also in der Regel nicht (mehr) ausreichend.
Fazit
In der Praxis ist es weit verbreitet, lediglich die Kategorien von Empfängern anzugeben. Der Entscheidung des EuGH folgend, sollten Verantwortliche jedoch fortan über die konkreten Unternehmen, an die sie personenbezogene Daten übermitteln, informieren. Die Angabe von Empfängerkategorien ist danach nur in engen Ausnahmefällen zulässig. Bei größeren Unternehmen mit einer Vielzahl an Auftragsverarbeitern bietet es sich daher ggf. an, auf eine entsprechende Liste zu verlinken.
Ob sich das Urteil auch auf die Informationspflichten nach Art. 13 und 14 DSGVO auswirkt, ist noch nicht abschließend geklärt. Zwar könnte der Wortlaut von Art. 13 Abs. 1 lit. e und 14 Abs. 1 lit. e DSGVO darauf schließen lassen, dass Aufsichtsbehörden und Gerichte zukünftig auch im Rahmen der Datenschutzhinweise konkrete Informationen zu den Empfängern von personenbezogenen Daten erwarten könnten. Vergleiche dazu hier und hier. Allerdings verweist der EuGH in seinem Urteil auf die Schlussanträge des Generalanwalts (hier Rn. 21) wonach Art. 15 DSGVO anders als die Artt. 13 und 14 aufgebaut sei.
Da Auskunftsersuchen grundsätzlich binnen vier Wochen zu beantworten sind, empfiehlt es sich, die notwendigen Informationen zu den Empfängern nicht erst anlässlich eines konkreten Auskunftsersuchens zusammenzutragen. Verantwortliche sollten sich vorab darüber im Klaren sein, an welche konkreten Empfänger personenbezogene Daten im Einzelnen fließen und dies entsprechend detailliert und auf dem neuesten Stand dokumentiert haben. Ein dezidiertes Verarbeitungsverzeichnis ist dabei ausschlaggebend.
Anonymous
9. März 2023 @ 12:11
NIcht unsinnig, sofern Empfänger Dritte zu betrachten sind. Sofern man unter Empfängern, wie vorliegend suggeriert, auch Auftragsverarbeiter versteht, dürfte es bei größeren Unternehmen, insbesondere bei Konzernen, faktisch nicht möglich sein, diese insgesamt und hinreichend aufzuzählen.