Muss man bei einer Auskunft nach Art. 15 DS-GVO die konkreten Empfänger personenbezogener Daten mitteilen? – Die verbindliche Antwort des Europäischen Gerichtshofs (EuGH) lautet: Ja! Im Folgenden eine Anmerkung zum Urteil des EuGH vom 12. Januar 2023 in der Rechtssache C-154/21, abrufbar hier.
Zum Sachverhalt
Art. 15 DS-GVO gibt betroffenen Personen unter anderem „das Recht […] auf folgende Informationen: […] die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“ (Art. 15 Abs. 1 lit. c) DS-GVO).
Die Österreichische Post AG erteilte auf Anfrage eines Betroffenen die Auskunft, sie habe seine Daten als Herausgeberin von Telefonbüchern „Geschäftskunden für Marketingzwecke“ angeboten. Diese Geschäftskunden wurden nicht konkret benannt. Nach Klage des Betroffenen wurde die Österreichische Post AG etwas konkreter, aber nicht konkret: Zu den Empfängern hätten „werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nicht-Regierungsorganisationen (NGO) oder politische Parteien gehört.“
Der Betroffene wollte die konkreten Empfänger benannt haben.
Zwei Gerichtsinstanzen wiesen die Klage des Betroffenen ab mit der Begründung, die Post dürfe nach Art. 15 Abs. 1 lit. c) DS-GVO wählen, ob sie „Empfänger oder Kategorien von Empfängern“ mitteile.
Die Entscheidung
Der Oberste Gerichtshof Österreichs war als letzte Instanz nach Art. 267 Satz 3 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) verpflichtet, den EuGH zu befragen, wie Art. 15 DS-GVO zu verstehen ist. Nach der einschlägigen Rechtsprechung des EuGH besteht Klärungsbedarf auch dann, wenn das entscheidende Gericht selbst die richtige Antwort zu kennen glaubt.
Der OGH tat seine Pflicht und fragte in Luxemburg nach, ob „oder“ bei Art. 15 Abs. 1 lit. c) DS-GVO auch wirklich „oder“ bedeutet – der Verantwortliche also bei der Auskunft frei entscheiden kann, den Empfänger oder die Empfängerkategorie zu nennen. Und er schrieb seine Meinung gleich dazu: Sinnvollerweise müsse die Auswahl bei der betroffenen Person und nicht beim Verantwortlichen liegen, weil sonst kaum ein Verantwortlicher jemals konkrete Empfänger benennen würde. Juristisch zwingend ist dieses Argument allerdings nicht. Es lässt sich auch umdrehen: Welcher Betroffene wird jemals lieber Kategorien von Empfängern als konkrete Empfänger abfragen?
EuGH und OGH sind einer Meinung: Art. 15 Abs. 1 lit. c) DS-GVO bedeutet nach der juristisch maßgeblichen Lesart des EuGH, dass „der Verantwortliche […] verpflichtet ist, der betroffenen Person die Identität für der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv […] sind.„
Daraus ergibt sich für die Praxis: Wenn der Verantwortliche die Daten-Empfänger kennt, muss er sie im Rahmen einer Auskunft nach Art. 15 DSGVO auch konkret benennen. Soweit, so klar. Dank EuGH.
Doch oft liegt hinter einer Antwort schon die nächste Frage – und so auch hier: Was bedeutet Empfänger? Sind dies andere verantwortliche Stellen oder zum Beispiel auch die einzelnen Beschäftigten in einer verantwortlichen Stelle? Auch dies wird demnächst in Luxemburg geklärt. Das Verwaltungsgericht Ostfinnland hat diese Rechtsfrage dem EuGH vorgelegt (Rs. C-579/21) und die Schlussanträge des Generalanwalts (denen der EuGH bei seinen Entscheidungen sehr oft folgt) liegen bereits vor:
Art. 15 Abs. 1 lit. c) DS-GVO gebe dem Betroffenen keinen Anspruch auf konkrete Benennung von Beschäftigten, die in der verantwortlichen Stelle personenbezogene Daten empfangen haben. Der Generalanwalt begründet dies hauptsächlich mit dem Schutz der entsprechenden Beschäftigten. Eine ausdrückliche Stellungnahme zur umstrittenen Frage, ob Art. 15 Abs. 4 DS-GVO (entgegen seinem Urteil) nicht nur auf Abs. 3, sondern auch auf Abs. 1 anwendbar ist – das Auskunftsrecht also durch Interessen anderer Personen eingegrenzt wird – findet sich nicht.
Wenn der EuGH dem Verwaltungsgericht Ostfinnland geantwortet hat, ist vielleicht als Nächstes die Frage zu Art. 15 Abs. 4 DSGVO an der Reihe …
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.