Der EuGH hat nun zu der praxisrelevanten Frage entschieden, inwieweit sich der Verantwortliche im Rahmen eines Auskunftsersuchens eines Betroffenen hinsichtlich der Emfänger der Daten des Betroffenen konkret äußern muss. In den Datenschutzerklärungen und Datenschutzinformationen kann man sich nach der wohl herrschenden Meinung ja auf die Kategorien der Empfänger beschänken. Bei Auskunftsersuchen waren die Ansichten meines Wissens aber schon immer meist etwas strenger. Da die Formulierungen in Art. 13 Abs. 1 lit. c) und Art. 15 Abs. 1 lit. c) DSGVO aber identisch sind, warten wir mal ab, wie das weitergeht (die Formulierung in Art. 15 Abs. 1 lit. c) DSGVO findet sich übrigens auch in § 17 Abs. 1 lit. c) KDG und § 17 Abs. 1 Nr. 4 DSG-EKD). Aber zurück zum Urteil.
Bei der Entscheidung des EuGH (Urt. v. 12.01.2023 - Rs. C-154/21 - Pressemittleilung) hatte ein Bürger bei der Österreichischen Post beantragt ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe. Die Österreichische Post beschränkte sich zunächst auf die Mitteilung, sie verwende personenbezogene Daten soweit das rechtlich zulässig sei im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Daraufhin klagte der Bürger und stützte sich auf Art. 15 Abs. 1 lit. c) DSGVO, der einen Anspruch auf Auskunft der Empfänger oder der Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder werden, gewährt. Im Rahmen des Verfahrens ergänzte die Österreichische Post, die Daten des Bürgers seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten. Der österreichische OGH hatte Zweifel, ob dies ausreichen würde, also über die Auslegung von Art. 15 Abs. 1 lit. c) DSGVO und legte dem EuGH die Frage vor.
Im Ergebnis kommt der EuGH zu der Entscheidung, dass »Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden«. Es ist der verantwortlichen Stelle insofern nicht freigestellt, ob sie lediglich Kategorien statt konkreter Empfänger von weitergegebenen Daten herausgibt, wenn die Empfänger identifiziert sind. Es gäbe dem Wortlaut nach zwar keinen Vorrang der Mitteilung der konkreten Identität des Empfängers, jedoch sei es für die praktische Wirksamkeit vieler DSGVO-Rechte erforderlich, dem Betroffenen einen vorrangigen Anspruch auf Mitteilung der konkreten Identität zu gewähren. Genannt wurden hier unter anderem das Recht auf Berichtigung, das Recht auf Löschung ("Recht auf Vergessenwerden"), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung und das Recht auf einen Rechtsbehelf im Schadensfall. Diese für den Betroffenen günstige Auslegung stehe im Übrigen im Einklang mit dem Ziel, ein möglichst hohes Datenschutzniveau für natürliche Personen zu gewährleisten und trage dem Grundsatz der Transparenz Rechnung.
Die Auskunftspflicht gilt dann nicht, wenn es für den Verantwortlichen nicht möglich ist, die Empfänger zu identifizieren oder, wenn der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind. In diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.
Die Reichweite der Entscheidung wird wohl allerdings nicht so weit gehen, dass auch ein Anspruch auf die Nennung von Mitarbeitern eines Unternehmens gibt. Mit dieser Frage beschäftigt sich Datenschutz-Notizen hier. Mitarbeiter sind, wie dort festgestellt wird, keine „Empfänger“ nach Art. 15 Abs. 1 lit. c DSGVO.
Als Empfehlung kann man aufgrund der jüngsten Entscheidung, da Auskunftsersuchen sehr kurzfristig beantwortet werden müssen, nur raten, die erforderlichen Informationen zu den Empfängern nicht erst anlässlich eines konkreten Auskunftsersuchens zu beschaffen, sondern zum Beispiel im Rahmen der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten. Sofern die Anzahl der Empfänger überschaubar und unproblematisch ist, sollte man diese am besten auch proaktiv in seine Datenschutzerklärung bzw. seine Datenschutzinformationen übernehmen und sich da nicht auf die Kategorien (z.B. Serviceprovider) beschränken.
