Der Gerichtshof der Europäischen Union (EuGH) entschied mit Urteil vom 12.01.2023 in der Rechtssache C-154/21 erneut über die Weitergabe von personenbezogenen Daten. Dem Urteil lag ein Rechtsstreit aus Österreich zu Grunde. Es klagte ein österreichischer Kunde der Post mit dem Ziel, dass diese offenlegen muss an wen die ihn betreffenden personenbezogene Daten weitergegeben werden.
Nach Artikel (Art.) 15 Absatz (Abs.) 1 Buchstabe (lit.) c der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) hat der für die Datenverarbeitung Verantwortliche auf Anfrage des Betroffenen die konkrete Identität des Empfängers der offengelegten Daten mitzuteilen. Nur in dem Fall, in dem der Empfänger (noch) nicht identifiziert ist oder der Antrag offensichtlich unbegründet oder zu umfangreich ist, kann sich die Mitteilung auf die Kategorien der Empfänger beschränken.
Die Österreichische Post beschränkte sich bei der Auskunft gegenüber dem Bürger zunächst auf die Mitteilung, sie verwende „personenbezogene Daten soweit das rechtlich zulässig sei im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an“. Während des Verfahrens ergänzte die Österreichische Post, dass sie die Daten des Bürgers an Kunden an Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage, Vereine, Spendenorganisationen, NGOs und politische Parteien weitergegeben habe.
Der EuGH hatte über die Frage zu entscheiden, in welchem Umfang es dem für die Datenverarbeitung Verantwortlichen freisteht, die konkrete Identität oder nur die Kategorie von Empfängern mitzuteilen.
Laut dem EuGH ist Art. 15 Abs. 1 lit. C DSGVO so auszulegen, dass der Betroffene grundsätzlich einen Anspruch auf die Mitteilung der konkreten Identität der Empfänger hat. Dies lasse sich zwar nicht aus dem Wortlaut der Vorschrift erkennen, aber die Auslegung sei für die praktische Wirksamkeit der DSGVO erforderlich. Die Auslegung fördere das Ziel eines möglichst hohen Datenschutzniveaus und trage dem Grundsatz der Transparenz Rechnung. Das Gericht verweist dabei insbesondere auf das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung oder das Recht auf Berichtigung.
Eine Beschränkung auf die Empfängerkategorie sei nur ausnahmsweise möglich, wenn es dem Unternehmen noch nicht möglich sei, die Empfänger zu identifizieren oder es nachweise, dass der Antrag des Betroffenen offenbar unbegründet oder zu umfangreich sei; oder mit dem Worten des Gerichtshofs:
"Art. 15 Abs. 1 Buchst. c (...)(Datenschutz‑Grundverordnung)
ist dahin auszulegen, dass
das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen."
Diese Entscheidung des EuGH führt damit zu einer Verschärfung der datenschutzrechtlichen Anforderungen an Unternehmen.
„Verschärfte datenschutzrechtliche Anforderungen an Unternehmen“
von Laura Bindrich, wissenschaftliche Mitarbeiterin