EuGH-Urteil präzisiert den Auskunftsanspruch von Betroffenen
Gemäß der Datenschutzgrundverordnung (DSGVO) hat jede Person das Recht zu erfahren, welche Daten von Verantwortlichen verarbeitet werden und an wen ihre oder seine personenbezogenen Daten offengelegt wurden. Fraglich war in dem Zusammenhang unter anderem, ob es genügt, der/dem Betroffenen die Kategorien von Empfänger*innen mitzuteilen, also etwa IT-Dienstleister*innen oder Vertriebspartner*innen. In seinem Urteil vom 12 Januar 2023 beantwortete der EuGH nun im Zuge eines Vorlageantrags des Obersten Gerichtshofs in Österreich diese Frage und schaffte damit mehr Klarheit.
Laut dem Wortlaut des Art. 15 Abs. 1 lit. c DSGVO beinhaltet das Recht auf Auskunft auch Information über die Empfänger*innen oder Kategorien von Empfänger*innen, gegenüber denen personenbezogene Daten offengelegt worden sind oder noch offengelegt werden. Hier war unklar, ob Verantwortliche ein Wahlrecht haben, wie umfassend betroffene Personen über die Weitergabe von personenbezogenen Daten informiert werden müssen. So ist es für Verantwortliche einfacher die Kategorien von Empfänger*innen, wie z.B. IT-Dienstleister*innen, bekannt zu geben als jeden oder jede IT-Dienstleister*in als Empfänger*in konkret zu nennen. Die unterschiedliche Beantwortung dieser Fragestellung in der Literatur zusammen mit den empfindlichen Sanktionen bei Verstößen gegen die DSGVO führten bislang zu Unsicherheiten in der Praxis.
Mit seinem aktuellen Urteil hat der EuGH nun entschieden, dass betroffene Personen das Recht haben, zu erfahren, an welche konkreten Empfänger*innen ihre oder seine personenbezogenen Daten offengelegt sind oder offengelegt werden. Dem zu Folge sind Verantwortliche nur dann nicht verpflichtet die konkreten Empfänger*innen von personenbezogenen Daten zu nennen, wenn die Bekanntgabe nicht möglich ist. Dies ist insbesondere dann der Fall, wenn die Empfänger*innen noch nicht bekannt sind. Darüber hinaus haben Verantwortliche das Recht, Anträgen von Betroffenen nicht zu entsprechen, wenn diese von ihrem Auskunftsrecht im Sinne von Art. 12 Abs. 5 DSGVO offenkundig unbegründet oder exzessiv Gebrauch machen. Verantwortliche sind demnach gut beraten, wenn sie zukünftig alle Empfänger*innen, denen personenbezogene Daten offengelegt wurden oder werden, konkret bekannt zu geben, es sei denn es gibt Gründe, dass dies nicht möglich ist.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.