DSGVO-Auskunftsanspruch: Wer hat meine Daten bekommen?

EuGH zu Datenschutz & personenbezogener Datenverarbeitung

Unter welchen Umständen hat man gem. Art. 15 Abs. 1 c) DSGVO einen Anspruch darauf, die konkrete Identität derer zu erfahren, die personenbezogene Daten von einem selbst empfangen haben? Eine Antwort darauf liefert ein neues EuGH-Urteil zum Datenschutz.

Veröffentlicht am: 31.01.2023

Von: Thomas Repka

Qualifikation: Fachanwalt für IT-Recht in Hamburg

Lesedauer:

Müssen Unternehmen ihren Kunden auf Anfrage mitteilen, gegenüber welchen konkreten Empfängern sie deren personenbezogene Daten offengelegt haben? Mit dieser Frage hat sich kürzlich der Europäische Gerichtshof befasst (EuGH, Urteil vom 12.01.2023 – Rs. C-154/21). Wie der EuGH zum DSGVO-Auskunftsanspruch bezüglich der Empfänger personenbezogener Daten entschieden hat, dazu mehr im Folgenden.

An wen vermittelt die Post personenbezogene Daten der Kunden?

Hintergrund des Urteils war ein Fall aus Österreich. Dort hat ein Bürger bei der Österreichischen Post einen Antrag gestellt, ihm die Empfänger seiner personenbezogenen Daten offenzulegen. Diese antwortete zunächst mit einer eher zurückhaltenden Mitteilung, dass personenbezogene Daten in rechtlich zulässigem Rahmen zu Marketingzwecken an Geschäftskunden übermittelt wurden.

Daraufhin erhob der Österreicher eine Klage, in der er sich auf Art. 15 Abs. 1 lit. c DSGVO (Datenschutz-Grundverordnung) berief, der einen Anspruch auf Auskunft der jeweiligen Empfänger oder der Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder werden, gewährt.

Was sind personenbezogene Daten?

Bei personenbezogenen Daten handelt es sich um jegliche Informationen, die sich auf eine identifizierte bzw. identifizierbare natürliche Person beziehen. Es ist ausreichend, dass die Möglichkeit besteht, anhand der angegebenen Daten eine natürliche Person zu identifizieren. Zu den personenbezogenen Daten zählen immer Angaben zu Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtstag, Kontodaten, IP-Adressen oder Cookies.

Auch wichtig zu wissen: Personenbezogene Daten liegen selbst dann vor, wenn die Daten pseudonymisiert werden. Nur wenn völlig ausgeschlossen ist, dass Daten einer bestimmten Person zugeordnet werden können, liegen keine personenbezogenen Daten vor. Dies ist aber selbst bei komplexen Verschlüsselungen meist nicht der Fall.

Nennung der Empfänger-Kategorien ausreichend für DSGVO-Auskunftsanspruch?

Im Laufe des Rechtsstreits ergänzte die Österreichische Post ihre Antwort darum, dass die Daten des Österreichers an Kunden weitergegeben wurden, unter denen sich werbetreibende Unternehmen im Versand- und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien befanden.

Das zuständige österreichische Gericht, der oberste Gerichtshof (OGH), war sich jedoch uneinig über die Auslegung des Art. 15 Abs. 1 lit. c DSGVO und legte daher dem EuGH die Frage vor, inwieweit der für die Datenverarbeitung Verantwortliche auf Anfrage die konkrete Identität oder nur die Kategorie von Empfängern mitzuteilen hat.

Auslegung der DSGVO: Vorrangiger Anspruch auf Mitteilung der Identität

Der EuGH hat die DSGVO-Vorschrift wie folgt ausgelegt: Art. 15 Abs. 1 lit. c DSGVO sei dahingehend auszulegen, dass dem Betroffenen grundsätzlich die konkrete Identität der jeweiligen Empfänger mitzuteilen sei. Zwar lasse sich dem Wortlaut des Gesetzes nicht entnehmen, dass der Mitteilung der konkreten Identität des Empfängers ein pauschaler Vorrang zukomme.

Nicht zu vergessen sei jedoch der Umstand, dass es für die praktische Wirksamkeit vieler DSGVO-Rechte erforderlich ist, dem Kunden einen vorrangigen Anspruch auf Mitteilung der konkreten Identität zu gewähren. Dabei sei insbesondere an folgende Rechte zu denken:

Recht auf Löschung („Recht auf Vergessenwerden“) – Art. 17 DSGVO
Recht auf Einschränkung der Verarbeitung – Art. 18 DSGVO
Recht auf Widerspruch gegen die Verarbeitung – Art. 21 DSGVO
Recht auf Rechtsbehelf im Schadensfall – Art. 77 ff. DSGVO

Daher verfolge man im Zuge dieser Auslegung das Ziel, ein möglichst hohes Datenschutzniveau für natürliche Personen zu gewährleisten und dem Grundsatz der Transparenz Rechnung zu tragen.

Folge: Höhere Anforderungen an den Datenschutz in Unternehmen

Im Ergebnis bedeutet das, dass jeder grundsätzlich das Recht hat zu erfahren, wer seine personenbezogenen Daten übermittelt bekommen hat. Auf Anfrage des Betroffenen soll zunächst die konkrete Identität des Empfängers der personenbezogenen Daten mitgeteilt werden – scheitert dies jedoch daran, dass der Empfänger (noch) nicht identifiziert werden kann oder der Antrag offenkundig unbegründet oder exzessiv ist, kann sich die Mitteilung darauf beschränken lediglich die Kategorien der Empfänger offenzulegen.

Alles in allem stellt das Urteil des EuGH zum DSGVO-Auskunftsanspruch schließlich eine Konkretisierung der datenschutzrechtlichen Anforderungen an Unternehmen dar, die genau zu dokumentieren haben, wem sie personenbezogene Daten übermitteln.

Cookie	Beschreibung
_gcl_au	This cookie is used by Google Analytics to understand user interaction with the website.
_ga	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
_gat	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
_gat_UA-4305110-1	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_fbp	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.