Art. 15 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) sieht folgenden Auskunftsanspruch vor: Betroffene Personen können danach von datenschutzrechtlich Verantwortlichen eine Bestätigung darüber verlangen, ob ihre personenbezogenen Daten verarbeitet werden. Ist dies der Fall, haben Betroffene ein Recht auf Auskunft über diese personenbezogenen Daten sowie über weitere Metainformationen. Dazu zählen unter anderem die mit der Datenverarbeitung verfolgten Verarbeitungszwecke oder darüber hinaus Informationen über „die Empfänger oder Kategorien von Empfängern, gegenüber denen diese personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“. Nach einem aktuellen Urteil des EuGH ist diese Vorschrift so auszulegen, dass der Verantwortliche insoweit kein Wahlrecht hat, sondern grundsätzlich die konkrete Identität sämtlicher Empfänger offenlegen muss.
Zum Sachverhalt
Ausgangspunkt der EuGH-Entscheidung war der folgende Sachverhalt:
Eine betroffene Person wandte sich mit einem Auskunftsanspruch gemäß Art. 15 Abs. 1 DSGVO an die Österreichische Post. Bei der Beantwortung des Auskunftsersuchens beschränkte sich die Österreichische Post darauf, dem Betroffenen mitzuteilen, dass sie im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern personenbezogene Daten verarbeite und diese Daten dann Geschäftskunden für Marketingzwecke anbiete. Der Betroffene hielt diese Auskunft für unzureichend und erhob Klage gegen die Österreichische Post.
Sowohl das erstinstanzliche Gericht als auch das Berufungsgericht wiesen die Klage ab. Beide Gerichte waren der Auffassung, dass Art. 15 Abs. 1 lit. c DSGVO durch den Verweis auf die „Empfänger oder Kategorien von Empfängern“ dem Verantwortlichen letztlich eine Wahlmöglichkeit dahingehend einräume, nur allgemeine Empfängerkategorien offenzulegen. Der österreichische Oberste Gerichtshof (OGH), bei dem der Rechtsstreit in letzter Instanz anhängig ist, zweifelte an der Vereinbarkeit dieser Auslegung mit dem geltenden Unionsrecht. Der OGH setzte das Verfahren daher aus und legte dem EuGH die Frage vor, ob Art. 15 Abs. 1 lit. c DSGVO so auszulegen sei, dass der Verantwortliche zur Auskunft über die konkrete Identität etwaiger Empfänger der Daten verpflichtet sei.
Urteil des EuGH
Mit Urteil vom 12.01.2023 (C-154/21) entschied der EuGH, dass das Auskunftsrecht nach Art. 15 Abs. 1 lit. c DSGVO eine Auskunft über die konkrete Identität der Empfänger personenbezogener Daten umfasst. Zur Begründung führt das Gericht unter anderem an, dass ein umfassendes Auskunftsrecht notwendig sei, um es den betreffenden Personen zu ermöglichen, ihre übrigen Betroffenenrechte gemäß Art. 15 bis 21 der DSGVO auszuüben. Dazu gehören insbesondere das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“) sowie das Recht auf Widerspruch gegen die Verarbeitung. Zudem stützt der EuGH seine Auslegung auf den systematischen Zusammenhang innerhalb der DSGVO – insbesondere auf Erwägungsgrund 63 und Art. 19 Satz 2 DSGVO – sowie auf Art. 8 Abs. 2 der Grundrechtecharta (GRCh).
Die Angabe allgemeiner Empfängerkategorien genügt nach der Rechtsprechung des EuGH lediglich dann, wenn es dem Verantwortlichen aus tatsächlichen Gründen (noch) unmöglich ist, die konkreten Empfänger der personenbezogenen Daten zu bestimmen, oder wenn der Verantwortliche nachweist, dass die Anträge der betroffenen Person offensichtlich unbegründet oder exzessiv sind. Eine entsprechende Ausnahmesituation kann etwa bei geplanten, also zukünftigen Offenlegungen – über die nach dem Wortlaut des Art. 15 Abs. 1 lit. c DSGVO ebenfalls Auskunft zu geben ist – vorliegen. Ob ein „offenkundig unbegründeter“ oder „exzessiver“ Antrag angenommen werden kann, muss letztlich stets gesondert für den konkreten Einzelfall evaluiert werden. Die Begriffe werden zwar in Art. 12 Abs. 5 DSGVO erwähnt, sind allerdings nicht legaldefiniert.
Bedeutung für die Praxis
Für die Praxis bedeutet das EuGH-Urteil zunächst einmal Klarheit mit Blick auf die bislang umstrittene Auslegung von Art. 15 Abs. 1 lit. c DSGVO. In der datenschutzrechtlichen Literatur wurde teilweise ein Wahlrecht des Verantwortlichen angenommen. Dies entspricht auch dem Verständnis des erstinstanzlichen Gerichts sowie des Berufungsgerichts. In der Vergangenheit bestand daher ein gewisser argumentativer Spielraum, so dass sich viele Unternehmen auf die Offenlegung allgemeiner Empfängerkategorien beschränkten. Mit seinem Urteil hat der EuGH nun jedoch klargestellt, dass dieses Vorgehen im Regelfall nicht datenschutzkonform ist.
Vor diesem Hintergrund stellt die Entscheidung für Verantwortliche eine Verschärfung ihrer datenschutzrechtlichen Pflichten dar. Unternehmen sollten prüfen, ob sie zur rechtskonformen Auskunft an die konkreten Empfänger in der Lage sind, und sollten – soweit erforderlich – geeignete interne Prozesse bzw. eine entsprechende Dokumentation etablieren. Dabei kann insbesondere ein ausführliches Verarbeitungsverzeichnis eine große Hilfe sein. Gemäß Art. 30 Abs. 1 DSGVO sind Verantwortliche ohnehin zur Vorhaltung eines Verarbeitungsverzeichnisses verpflichtet – dieses wird von Unternehmen allerdings häufig nicht hinreichend detailliert geführt. Im Hinblick darauf, dass Auskunftsersuchen gemäß Art. 12 Abs. 3 DSGVO binnen vier Wochen zu beantworten sind, empfiehlt es sich, die erforderlichen Informationen zu den jeweiligen Empfängern nicht erst anlässlich eines konkreten Auskunftsersuchens aufzubereiten. Verantwortliche sollten sich vielmehr unabhängig davon bewusstmachen, an welche Empfänger die personenbezogenen Daten im Einzelnen fließen.
Deutsche Gerichte und Aufsichtsbehörden werden zukünftig der Auslegung des EuGH folgen. Erfüllt ein Verantwortlicher seine Auskunftspflichten nicht ordnungsgemäß, können daher Bußgelder der Aufsichtsbehörden gemäß Art. 83 Abs. 5 lit. b DSGVO drohen. Denkbar sind darüber hinaus Schadensersatzklagen betroffener Personen gemäß Art. 82 Abs. 1 DSGVO, die sich in ihren Rechten verletzt sehen. Insofern ist allerdings zu berücksichtigen, dass die genauen Voraussetzungen für die Geltendmachung immaterieller Schadensersatzansprüche im Datenschutz derzeit noch umstritten sind und von Gerichten unterschiedlich beurteilt werden. Auch in dieser Hinsicht dürfte jedoch bald mit einer Klärung durch den EuGH zu rechnen sein, da dem Gericht derzeit verschiedene Rechtsfragen im Zusammenhang mit Art. 82 DSGVO vorliegen (Rs. C-300/21).
Schließlich bleibt abzuwarten, ob sich das Urteil des EuGH zur Reichweite des Auskunftsersuchens über Art. 15 Abs. 1 DSGVO hinaus auf den Umfang der datenschutzrechtlichen Informationspflichten auswirken wird. Ein Indiz hierfür könnte der identische Wortlaut in Art. 13 Abs. 1 lit. e und 14 Abs. 1 lit. e DSGVO sein. Mit Blick auf die vom EuGH maßgeblich herangezogene Systematik der DSGVO sowie auf den Sinn und Zweck der jeweiligen Regelungen dürften allerdings auch gute Argumente gegen einen Gleichlauf der Auslegung sprechen.
