Art. 15 DSGVO: Jeder hat Recht auf Auskunft hinsichtlich der Empfänger seiner personenbezogenen Daten
Jeder hat das Recht zu erfahren an wen seine personenbezogenen Daten weitergegeben werden. Das ergibt die europarechtliche Auslegung des Art. 15 der Datenschutzgrundverordnung.
Der europäische Gerichtshof (EuGH) stärkt die Rechte von Verbrauchern: Wird eine Auskunft nach Art. 15 DGSVO verlangt, trifft den Verantwortlichen die Pflicht zur Offenlegung der Identität der Empfänger personenbezogener Daten. Eine Auskunft die sich lediglich auf die Kategorien von Empfängern beschränkt ist nicht ausreichend. Anderen gilt nur, wenn dem Verantwortlichen der Beweis gelingt, dass die Anträge auf Auskunft nach Art 15 DGSVO offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind oder wenn die Identifizierung des Empfängers nicht möglich ist.
Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin
So kam es zur Klage
Nachdem die Österreichische Post sich weigerte Auskunft gegenüber einem Bürger hinsichtlich der der Empfänger seiner personenbezogenen Daten, zu erteilen, sollte zunächst das Österreichische Gericht den Rechtsstreit entscheiden. Dieses legte in letzter Instanz dem EuGH eine Frage zur Vorabentscheidung vor, welche die Auslegung des Art 15. Abs. 1 lit. c der Datenschutz-Grundverordnung (DGSVO)* betrifft.
Die Vorlagefrage
Konkret ging es dabei um die Frage, inwieweit es dem für die Datenverarbeitung Verantwortlichen freisteht, die konkrete Identität von Empfängern von personenbezogenen Daten oder nur die Kategorien mitzuteilen oder ob für die Person die für die Verarbeitung personenbezogener Daten zuständig ist, die Pflicht besteht die Identität der Empfänger offenzulegen.
Der EuGH beantwortet diese Frage mit Urteil von 12.01.2023 (Rs. C-154/21) entschieden zu Gunsten von Verbrauchern: Nach Ansicht des Gerichts hat jeder das Recht hat zu erfahren an wen seine personenbezogenen Daten weitergegeben werden. Eine Einschränkung des Informationsrechts soll nur dann stattfinden, wenn Empfänger der personenbezogenen Daten nicht identifiziert werden können oder die Anträge nach Art. 15 DSGVO sich als unbegründet oder exzessiv herausstellen.
Die datenschutzrechtlichen Anforderungen an Unternehmen wurden mithin, im Zuge der verbraucherfreundlichen Auslegung des Art. 15 DSGVO, verschärft. Das sei aus Sicht der Richter für die Ausübung anderer Rechte aus der DSGVO durch Verbraucher erforderlich. Hierzu zählen insbesondere das Recht auf Berichtigung, das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall.
Unternehmen in der Pflicht
Unternehmen sollten stets eine detaillierte Aufzeichnung über die Empfänger personenbezogener Daten besitzen, um sie im Fall der Geltendmachung eines Auskunftsanspruchs durch Betroffene, offenzulegen. Das empfiehlt sich nicht zuletzt in Hinblick auf die Vier-Wochen-Frist, in der die Pflicht zur Beantwortung der Auskunftsersuche besteht.
Haben Sie noch Fragen zum Thema DSGVO? Dann nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten.
* Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG