EuGH-Urteil zum Auskunftsanspruch

Marco Kinast 13.Jan.2023 • Datenschutz

EuGH – Empfängerinnen und Empfänger müssen benannt werden I Mehraufwand bei Auskunftsersuchen

Verantwortliche müssen die Identität der Datenempfänger benennen.

Der EuGH entschied am 12. Januar 2023 in der Rechtssache C-154/21. Inhaltlich behandelt es die besonders relevante Fragen hinsichtlich des genauen Umfangs des Auskunftsrechts einer betroffenen Person nach Art. 15 DSGVO.

Vernachlässigen Sie in Zukunft nicht den Umfang eines Auskunftsersuchen!

Überprüfen Sie, in welchem Detailgrad Sie die Empfängerinnen und Empfänger der personenbezogenen Daten Ihrer Kundinnen und Kunden benennen, damit Sie in Zukunft Bußgelder verhindern. Sollten Sie bisher lediglich allgemeine Auskünfte zu den Empfängerinnen und Empfängern mitteilen, kann das zu einer Schmerzensgeldklage führen.

Können Personen also in Zukunft immer eine Auskunft zu konkreten Empfängerinnen und Empfängern verlangen?

Das Auskunftsrecht (Art. 15 DSGVO) garantiert den Antragsstellerinnen und Antragsstellern Auskunft über die vom Verantwortlichen verarbeiteten personenbezogenen Daten. Die Auskunft muss neben den Verarbeitungszwecken und der Herkunft der Daten auch die Empfängerinnen und Empfänger, an die die Daten der betroffenen Person übermittelt werden, enthalten. Der Europäische Gerichtshof (EuGH) entschied nun zusätzlich in einem Urteil (Rs. C-154/21), dass Verantwortliche dazu verpflichtet sind, bei einem Auskunftsersuchen von betroffenen Personen diesen auch die Identität der Empfängerinnen und Empfänger oder der zukünftigen Empfängerinnen und Empfänger ihrer personenbezogenen Daten mitzuteilen. Das bedeutet einen Mehraufwand für Sie!

Zu diesem Urteil kam es aufgrund einer Frage des obersten Gerichts in Österreich an den EuGH. Vorausgegangen war ein Datenschutzskandal aus dem Jahr 2019 der Österreichischen Post AG. Bei einem Auskunftsanspruch einer betroffenen Person teilte die Österreichische Post AG mit, sie habe personenbezogene Daten zu Marketingzwecken an Geschäftskundinnen und Geschäftskunden weitergegeben. Der Betroffene erhob daraufhin Klage bis hin zum obersten Gerichtshof Österreichs. Im Verfahren fügte die Aktiengesellschaft hinzu, sie würde die persönlichen Daten ihrer Kundinnen und Kunden an werbetreibende Händler, IT-Unternehmen, NGOs, Adressverlage, Vereine wie Spendenorganisationen und politische Parteien weitergeben. Das reichte den Richterinnen und Richtern in Luxemburg nicht aus. Eine Ausnahme ist, wenn Empfängerinnen und Empfänger nicht individuell zu identifizieren sind. In diesem Fall reicht es aus, nur die Kategorie der nicht zu identifizierbaren Empfängerinnen und Empfänger zu nennen. Zudem dürfen die Anträge auf Auskunft betroffener Personen nicht offenkundig unbegründet und/oder exzessiv nach Art. 12 Abs. 5 DSGVO sein.

Das Urteil sorgt für mehr Klarheit im Auskunftsrecht bei Unternehmen. Jetzt wissen Sie, dass die Empfängerinnen und Empfänger in der Auskunft immer genau benannt werden müssen! Also handeln Sie schnell und optimieren Sie bei Bedarf Ihr Vorgehen bei Auskunftsersuchen. Die Aufmerksamkeit deutscher Gerichte und Aufsichtsbehörden ist durch das Urteil des EuGH nunmehr auf dieses Thema gerichtet.

In der Vergangenheit gab es zwar bereits Urteile zu verspäteten Auskünften, jedoch können wir jetzt auch mit weiteren Urteilen zu unvollständigen Auskünften rechnen. Das LAG Niedersachen verurteilte ein Unternehmen bereits am 22. November 2021 auf 1.250 EUR Schmerzensgeld aufgrund einer unvollständigen und verspäteten Auskunft nach Art. 15 DSGVO (Az. 16 Sa 761/20).

Ihr WeComply-Team.

Weitere Links und Hinweise: