Die Erste Kammer des Europäische Gerichtshofs (EuGH) hat in einem vom Obersten Gerichtshof (Österreich) eingereichten Verfahren am 12.01.23 in der Rechtssache C-154/21 ein Urteil zum Auskunftsersuchen nach Art. 15 DSGVO (Datenschutz-Grundverordnung) gefällt.
Der Sachverhalt
Ein Bürger und Kunde der Österreichischen Post AG hatte 2019 von dieser unter anderem Auskunft nach Art. 15 Abs. 1 lit. c der DSGVO zu den konkreten Empfängern seiner personenbezogenen Daten verlangt.
Die Österreichische Post teile dem Kunden zunächst nur die Empfängerkategorien mit. Auch als die Österreichische Post im weiteren Verlauf dem Kunden die Branchenzugehörigkeit der Empfänger mitteilte, gab sich dieser damit nicht zufrieden und klagte.
Das Verfahren
Das Verfahren wanderte vor den obersten Österreichischen Gerichtshof (OGH), der den Art. 15 Abs. 1 lit. c der DSGVO als nicht hinreichend klar bewertete.
Der OGH bewertete den Wortlaut von Art. 15 Abs. 1 lit. c) DSGVO als nicht hinreichend klar und legte dem EuGH Fragen zur Auslegung und Klärung vor.
Die Rechtsgrundlage
Art. 15 DSGVO definiert das Auskunftsrecht betroffener Personen. Betroffen Personen haben nach Art. 15 Abs. 1 das Recht Auskunft zu verlangen über
- lit. a.) die Verarbeitungszwecke
- lit. b) Kategorien, die verarbeitet werden
- lit. c) Empfänger oder Kategorien von Empfängern
- lit. d) Dauer der Speicherung
- lit. e) Berichtigung oder Löschung ihrer Daten
- lit. f) Beschwerderecht bei der Aufsichtsbehörde
- lit. g) Herkunft der Daten (sofern diese nicht von der betroffen Person erhoben wurden)
- lit. h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.
Der Art. 15 Abs. 1 lit. c der DSGVO sieht zunächst ein Auskunftsrecht zu „Empfänger oder Kategorien von Empfängern. …“ vor.
Die Österreichische Post hatte der betroffenen Person die Empfängerkategorien mitgeteilt, mit denen sich der Kunde nicht zufriedengab und klagte.
Das Urteil und Entscheidungsgründe
Der Europäische Gerichtshof (EuGH) hat in einem Urteil (Rechtssache C-154/21) vom 12. Januar 2023 das Auskunftsrecht betroffener Personen nach Art. 15 Abs. 1 lit. c präzisiert und geschärft.
Der EuGH stellte, unter Würdigung der Erwägungsgrunde 4, 9, 10, 39, 63 und 74 DSGVO, fest, dass die Varianten „Empfänger“ und „Kategorien von Empfängern“ zunächst gleichrangig zu lesen seien.
Das bedeutet, dass der Betroffen Anhand des Wortlauts der Norm keinen vorrangigen Anspruch auf die Nennung konkreter Empfänger hat.
Allerdings können weitere Betroffenenrechte (z.B. Recht auf Löschung Art. 17 DSGVO in Verbindung mit Erwägungsgründen 10und 63, Recht auf Einschränkung der Verarbeitung Art. 18 DSGVO, Mitteilungspflichten Berichtigung o. Löschung Art. 19 DSGVO) ohne konkrete Nennung von Empfängern nicht wirksam ausgeführt werden. Ausnahmen können nur geltend gemacht werden, wenn der Verantwortliche keinen konkreten Empfänger identifizieren kann oder wenn der Auskunftsantrag ansonsten nachgewiesen offenkundig unbegründet oder exzessiv ist.
Was zu tun ist
Bezüglich eines Auskunftsanspruchs nach Art. 15 Abs. 1 lit. c) DSGVO ist das Urteil fortan maßgeblich!
Der EuGH hat nun klargestellt, dass über Umfang und Details der Auskunft entscheidet, wer die Auskunft verlangt, und nicht, wer die Auskunft erteilen muss.
Art. 12 verpflichtet Verantwortliche geeignete Maßnahmen zu ergreifen, um betroffen Personen alle Informationen gem. Art. 13, 14, 15 bis 22 und 34 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Weiter definiert Art. 12 Abs. 3 DSGVO Fristen, die als Verantwortlicher einzuhalten sind. Die DSGVO gibt vor, dass auf ein Auskunftsersuchen unverzüglich, aber spätestens innerhalb eines Monats zu reagieren ist. Nur in Ausnahmefällen (Komplexität, Vielzahl von Betroffenenanfragen, dann aber Information Betroffener innerhalb eines Monats erforderlich) kann diese Frist um zwei Monate verlängert werden.
Ohne ein gutes Datenschutzmanagement, ohne ein vollständiges und umfängliches Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) einschließlich den Kategorien von Empfängern (Art. 30 Abs. 1 lit. d) und ohne Ergänzung aller Empfänger selbst (oder anderer Weise), können die gesetzten Fristen kaum gewahrt werden!
Es drohen Anzeigen (Beschwerden) bei den Aufsichtsbehörden (Art. 78 + 79 DSGVO), Anfragen, Untersuchungen, Anordnungen durch die Aufsichtsbehörden (Art. 58 DSGVO bis hin zu Bußgeldern und Schadensersatzforderungen.
Eine Überarbeitung und Ergänzung der Verfahrensverzeichnisse sowie die Gewährleistung der permanenten Aktualität sind unerlässlich.
Mögliche Auswirkungen
Spannend wird sein, welche Auswirkungen dieses Urteil auf die Informationspflichten
- bei der Erhebung von personenbezogen Daten bei betroffen Personen (Art. 13 DSGVO) und
- bei der Erhebung von personenbezogen Daten nicht bei betroffen Personen (Art. 14 DSGVO) haben wird.