Besprechung des Urteils des Europäischen Gerichtshofs vom 12.01.2023 zum Auskunftsrecht
Im Jahr 2023 hat der europäische Gerichtshof (im folgenden „EuGH“) einige wegweisende Urteile zu Artikel 15 DSGVO und dem darin niedergelegten Auskunftsrecht der betroffenen Person gefällt. Den Start machte das Urteil vom 12.01.2023 mit dem Aktenzeichen C-154/21, welches später vom EuGH in weiteren Entscheidungen als „Österreichische Post“ zitiert wird.
Um was ging es in dem EuGH Urteil zu Artikel 15 DSGVO?
Im vorliegenden Fall hatte eine betroffene Person ihr Recht auf Auskunft nach Artikel 15 DSGVO geltend gemacht. Der EuGH hatte die Frage zu beantworten, wie genau Verantwortliche (in diesem Fall die Österreichische Post) der betroffenen Person mitteilen müssen, an wen, d.h. an welche Empfänger (vgl. Artikel 4 Nr. 9 DSGVO) ihre personenbezogenen Daten offengelegt wurden.
Dabei stellte sich die Frage, ob es genügt die „Kategorien von Empfängern“ mitzuteilen (z.B. „Adressverlage“) oder ob die Identität des Empfängers angegeben werden muss (z.B. „XY GmBH“ samt Anschrift).
Der Ausgangspunkt: Was gewährt Artikel 15 Absatz 1 DSGVO in Bezug auf „Empfänger“?
Der Artikel 15 Absatz 1 DSGVO bietet der betroffenen Person zunächst die Möglichkeit zu erfahren, ob der Verantwortliche (z.B. ein Unternehmen, der Arbeitgeber oder eine Behörde) personenbezogene Daten von ihr verarbeitet. Ist dies der Fall, so kann die betroffene Person zum einen Auskunft über diese personenbezogenen Daten erhalten. Zum anderen hat die betroffene Person ein Recht auf gewisse Informationen, die in Artikel 15 Absatz 1 der DSGVO aufgezählt sind, worunter unter Buchstabe c) auch die Empfänger zu beauskunften sind:
„c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen“
Art. 15 Abs. 1 Buchst. c) DSGVO
Da der Wortlaut von Artikel 15 Absatz 1 Buchstabe c) DSGVO von „Empfängern“ oder „Kategorien von Empfängern“ spricht, war in der Praxis unklar, wie dies zu verstehen ist. Verantwortliche haben diese Unklarheit bisher oft genutzt und tendierten vermehrt dazu, lediglich die „Kategorien von Empfängern“ zu benennen.
Wozu dient Artikel 15 DSGVO nach dem EuGH?
Der EuGH macht in Randnummer 42 seines Urteils deutlich, welchen Zweck das Recht auf Auskunft aus Artikel 15 DSGVO verfolgt:
„Aus der vorstehenden kontextbezogenen Analyse ergibt sich, dass es sich bei Art. 15 Abs. 1 Buchst. c DSGVO um eine der Bestimmungen handelt, die die Transparenz der Art und Weise der Verarbeitung der personenbezogenen Daten gegenüber der betroffenen Person gewährleisten sollen, und dass es dieser Artikel der betroffenen Person, wie der Generalanwalt in Nr. 33 seiner Schlussanträge ausgeführt hat, ermöglicht, die u. a. in den Art. 16 bis 19, 21, 79 und 82 DSGVO vorgesehenen Befugnisse auszuüben.“ (Hervorhebungen durch den Verfasser hinzugefügt).
EuGH, C-154/21, Rn. 42
Damit sagt der EuGH zunächst nur, dass Artikel 15 DSGVO ein Ausfluss des in Artikel 5 Absatz 1 Buchstabe a) DSGVO normierten Transparenzgrundsatzes ist. Demnach müssen personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Zugleich stellt der EuGH aber zusätzlich klar, dass Artikel 15 DSGVO die Ausübung der anderen Betroffenenrechte und z.B. das Recht auf Schadenersatz aus Artikel 82 DSGVO überhaupt erst ermöglicht. Der EuGH dürfte hier das enorme Informationsungleichgewicht zwischen Verantwortlichen und Betroffenen im Blick gehabt haben und unterstreicht mit dieser Aussage die herausragende Stellung von Artikel 15 DSGVO im Kontext der Betroffenenrechte.
Muss die Identität der Empfänger bei einem Auskunftsersuchen mitgeteilt werden? EuGH: Im Grundsatz Wahlrecht des Betroffenen!
Umstritten war die Frage, ob die Identität der Empfänger im Rahmen von Artikel 15 Absatz 1 Buchstabe c) DSGVO bei der Beantwortung des Auskunftsersuchen genannt werden muss. Der EuGH bejaht dies im Grundsatz und stellte in Randnumer 43 fest:
„Folglich ist davon auszugehen, dass die Informationen, die der betroffenen Person gemäß dem in Art. 15 Abs. 1 Buchst. c DSGVO vorgesehenen Auskunftsrecht erteilt werden, möglichst genau sein müssen. Insbesondere umfasst dieses Auskunftsrecht die Möglichkeit für die betroffene Person, von dem Verantwortlichen Informationen über bestimmte Empfänger zu erhalten, gegenüber denen Daten offengelegt worden sind oder noch offengelegt werden, oder alternativ zu entscheiden, nur Informationen über die Kategorien von Empfängern anzufordern.“ (Hervorhebungen durch den Verfasser hinzugefügt)
EuGH, C-154/21, Rn. 43
Diese Passage dürfte für viele Verantwortliche ein wahrer Schock gewesen sein, deckte die Beantwortung von Auskunftsanfragen nach Artikel 15 DSGVO doch bereits häufig fehlende Datenschutzprozesse im Unternehmen auf. Vor dem Hintergrund der Stellung von Artikel 15 DSGVO als Ausfluss des Transparenzgrundsatzes war eine solche Auslegung aber bereits erwartet worden und damit wenig überraschend.
Welche Ausnahmen gibt es?
Nachdem EuGH ist das „Recht auf Schutz personenbezogener Daten“ kein uneingeschränktes Recht und erwähnt daher im Urteil auch enge Ausnahmen vom aufgestellten und zuvor dargelegten Grundsatz.
So sei eine Beschränkung auf Kategorien denkbar, wenn es nicht möglich ist, Informationen über konkrete Empfänger zu erteilen, insbesondere dann, wenn die Empfänger noch nicht bekannt sind (EuGH, C-154/21, Rn. 48). Gemeint sind die Fälle, in denen Verarbeitungen geplant sind, aber noch nicht klar ist, welchen konkreten Empfängern die Daten offengelegt werden sollen.
Auch seien Ausnahmen denkbar, wenn die Anträge auf Auskunft offenkundig unbegründet oder exezssiv seien.
Zugleich stellt der EuGH aber auch klar, dass der Verantwortliche die Nachweispflicht für den offenkundig unbegründeten oder exzessiven Charakter der Anträge zu erbringen hat. In der Praxis dürfte sich dies als schmaler Grad erweisen und daher tatsächlich eher die Ausnahme bleiben.
Fazit: EuGH stärkt die Rechte der Betroffenen bei Auskunftsersuchen nach Artikel 15 DSGVO
Der EuGH präzisiert das Recht auf Auskunft nach Artikel 15 DSGVO in eine für Betroffene erfreuliche Richtung. Für Unternehmen und andere Veranwortliche ist es nach diesem Urteil nun notwendig konkrete Identitäten von Empfängern den einzelnen Verarbeitungsvorgängen zuzuordnen, um korrekt Auskunft erteilen zu können. Für Betroffene bedeutet das Urteil mehr Transparenz und Klarheit darüber, wer Ihre personenbezogenen Daten erhalten hat. Nur so ist eine Rechtmäßigkeitskontrolle und die Ausübung weiterer Betroffenenrechte, wie etwa die Löschung oder die Einschränkung der Verarbeitung, effektiv möglich.
Praxistipp für Betroffene: Nach dem Urteil sollten Betroffene in ihren Auskunftsverlangen explizit die Benennung der konkreten Empfänger verlangen.
Praxistipp für Unternehmen und andere Verantwortliche: Es sollte überprüft werden, welchen konkreten Empfängern personenbezogene Daten offengelegt werden und der datenschutzrechtliche Kernprozess „Sicherstellung von Betroffenenrechten“ entsprechend angepasst werden um Auskunftsverlangen inhaltlich korrekt und innerhalb der Frist von Artikel 12 Absatz 3 Satz 1 DSGVO („unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“) beantworten zu können.