Wenn eine Person im Rahmen der DSGVO einen Antrag auf Zugang zu personenbezogenen Daten stellt, hat sie das Recht zu erfahren, wie die sie betreffenden Daten weitergegeben werden.
Aber muss die Organisation, die den Antrag erhält (der für die Verarbeitung Verantwortliche), dem Einzelnen genau mitteilen, welche Unternehmen die personenbezogenen Daten des Einzelnen erhalten haben? Oder reicht es aus, zu erklären, welche Arten von Organisationen die Daten erhalten haben?
Tiese Frage wurde am 12. Januar 2023 vom Gerichtshof der Europäischen Union in der Rechtssache C-154/21 betreffend die Österreichische Post („Austria Post“) beantwortet.
Diese Entscheidung hat erhebliche Auswirkungen auf die Transparenz im Rahmen der Datenschutz-Grundverordnung – und sie könnte die für die Verarbeitung Verantwortlichen auch dazu veranlassen, vorsichtiger mit der Weitergabe von personenbezogenen Daten umzugehen.
Eine Anfrage an die Österreichische Post
Die Österreichische Post ist der Hauptanbieter von Postdienstleistungen in Österreich. Eine Einzelperson (im Urteil als „RW“ bezeichnet) reichte bei der Österreichischen Post einen Antrag auf Zugang zu personenbezogenen Daten ein und bat darum:
- ob die Österreichische Post personenbezogene Daten über ihn besitzt.
- ob die Österreichische Post personenbezogene Daten über ihn weitergegeben hat.
- Falls ja, die Identität der Empfänger seiner personenbezogenen Daten.
Die erste Antwort der Österreichischen Post an RW war recht vage. Das Unternehmen erklärte, dass es personenbezogene Daten zu Marketingzwecken mit seinen Handelspartnern austauscht, und verwies RW für weitere Informationen auf seine Website.
RW war mit dieser Antwort unzufrieden. Also verklagte er die Österreichische Post.
Der Erste Gerichtshof
RW forderte das Gericht auf, die Österreichische Post zu verpflichten, ihm die
Empfänger seiner persönlichen Daten zu nennen.
Die nächste Antwort der Österreichischen Post war etwas ausführlicher. Dem EuGH-Urteil zufolge teilte das Unternehmen RW mit, dass es seine Informationen weitergegeben hat:
- Inserenten
- Stationäre Verkaufsstellen
- IT-Unternehmen
- Anbieter von Mailinglisten
- Wohltätige Organisationen
- Nichtregierungsorganisationen (NGOs)
- Politische Parteien
Das erstinstanzliche Gericht erklärte, dass dies eine zufriedenstellende Antwort der Österreichischen Post sei. Aber das war immer noch nicht genug Information, um RW zufrieden zu stellen, also legte er Einspruch ein.
Die Berufung
RW argumentierte, dass die Österreichische Post ihren Verpflichtungen gemäß Artikel 15 der Datenschutz-Grundverordnung (DSGVO), in dem das „Auskunftsrecht“ festgelegt ist, nicht nachgekommen sei.
Nach Artikel 15 Absatz 1 Buchstabe c hat der Betroffene das Recht auf Auskunft über „
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder offengelegt werden
„.
RW behauptete, dass die Österreichische Post ihn über die konkreten Empfänger seiner persönlichen Daten informieren müsse. Das Berufungsgericht wies dieses Argument jedoch zurück.
Das Gericht legte die Datenschutz-Grundverordnung dahingehend aus, dass die für die Verarbeitung Verantwortlichen die Wahl haben, entweder die Daten zu veröffentlichen oder nicht:
- die Empfänger der personenbezogenen Daten (z. B. Google) oder
- Die Kategorien von Empfängern personenbezogener Daten (z. B. „Werbetreibende“).
RW war damit nicht einverstanden und vertrat die Ansicht, dass die Österreichische Post ihm die konkreten Empfänger seiner Daten mitteilen müsse. Also brachte er seinen Fall vor den österreichischen Obersten Gerichtshof.
Die Frage des Obersten Gerichtshofs
Der österreichische Oberste Gerichtshof war sich nicht sicher, wie er die Datenschutz-Grundverordnung auslegen sollte.
Nach Artikel 15 Absatz 1 Buchstabe c) gibt es eindeutig zwei Möglichkeiten. Einzelpersonen haben ein Recht auf Informationen über „die Empfänger“.
oder
die „Kategorien von Empfängern“ ihrer personenbezogenen Daten.
Aber wer hat die Wahl?
- Die Person, die die Informationen anfordert, oder
- Der für die Verarbeitung Verantwortliche, der die Informationen bereitstellt?
Der Oberste Gerichtshof hat vor allem eines festgestellt: Das „Auskunftsrecht“ der DSGVO zielt vor allem darauf ab, dass der Einzelne überprüfen kann, ob die Verarbeitung seiner personenbezogenen Daten rechtmäßig erfolgt.
Wenn der für die Verarbeitung Verantwortliche entscheiden kann, ob er der Person mitteilt, wer genau die personenbezogenen Daten der Person erhalten hat, könnte dies den Zweck des Auskunftsrechts zunichte machen.
Der Oberste Gerichtshof verwies den Fall an den EuGH.
Das CJEU-Urteil
Vor dem EuGH hat RW die Auseinandersetzung gewonnen.
Der CJEU
entschied
dass
Einzelpersonen das Recht haben, Informationen über die „spezifischen Empfänger“ ihrer personenbezogenen Daten zu erhalten.
Das bedeutet, dass die für die Verarbeitung Verantwortlichen auf Anfrage die Identität jeder Person oder Organisation mitteilen müssen, die personenbezogene Daten über die betreffende Person erhalten hat oder erhalten wird.
Der EuGH stellte fest, dass der Wortlaut der Datenschutz-Grundverordnung zweideutig ist. Es gab jedoch mehrere Faktoren, die für die Auslegung „bestimmte Empfänger“ sprachen, darunter die folgenden:
- An anderer Stelle in der Datenschutz-Grundverordnung, in Erwägungsgrund 63, wird das Recht auf Informationen über „Empfänger“ erwähnt, ohne dass „Kategorien von Empfängern“ genannt werden.
- Die Datenschutz-Grundverordnung schreibt einen allgemeinen Grundsatz der Transparenz vor. Das Verschweigen von Informationen über bestimmte Empfänger könnte gegen diesen Grundsatz verstoßen.
- Die Verweigerung von Informationen über die konkreten Empfänger ihrer personenbezogenen Daten könnte sie daran hindern, ihre Rechte wahrzunehmen, z. B. das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung dieser Daten.
Letztlich stellte der EuGH jedoch fest, dass „das Recht auf den Schutz personenbezogener Daten kein absolutes Recht ist“. Unter Umständen kann es vorkommen, dass „es nicht möglich ist, Informationen über bestimmte Empfänger zu liefern“.
Der EuGH hat keine Beispiele dafür genannt, wann die Offenlegung bestimmter Empfänger nicht möglich ist. Allerdings hat die EU
Der Generalanwalt
hat im Juni 2022 eine Stellungnahme zu diesem Fall abgegeben.
Der Generalanwalt wies darauf hin, dass es manchmal „materiell unmöglich“ sein könnte, die konkreten Empfänger zu nennen, weil sie „noch nicht tatsächlich identifiziert wurden“, und dass von dem für die Verarbeitung Verantwortlichen „nicht erwartet werden kann, dass er Informationen übermittelt, die noch nicht existieren“.
Und denken Sie daran, dass die übliche Ausnahme für Anträge auf Zugang zu personenbezogenen Daten weiterhin gilt – die für die Verarbeitung Verantwortlichen können die Erfüllung eines Antrags verweigern, der „offensichtlich unbegründet oder übertrieben“ ist.
Ein höherer Standard an Transparenz
Insgesamt wird dieses Urteil die Transparenz bei der gemeinsamen Nutzung von Daten erheblich verbessern.
Er schlägt vor, dass
wenn eine Person einen berechtigten Antrag stellt
Informationen über die Empfänger ihrer personenbezogenen Daten zu erhalten,
der für die Verarbeitung Verantwortliche diese Informationen bereitstellen muss, es sei denn, es ist buchstäblich unmöglich, etwas anderes zu tun
.
Hier sind einige Schritte, um auf diesen wichtigen Fall zu reagieren:
- Führen Sie sorgfältig Buch darüber, welche personenbezogenen Daten Sie mit welchen anderen Organisationen (z. B. Anbietern, anderen für die Verarbeitung Verantwortlichen, Strafverfolgungsbehörden) austauschen.
- Seien Sie transparent und geben Sie genau an, wer die Personen sind, mit denen Sie personenbezogene Daten austauschen. Sie können die Identität der Empfänger in Ihrem Datenschutzhinweis bekannt geben. Sie
muss
sie auf einen gültigen Antrag hin offenlegen. - Seien Sie sehr vorsichtig, wenn Sie beschließen, ein Ersuchen um Informationen über die spezifischen Empfänger der personenbezogenen Daten einer Person abzulehnen.
Der Fall Österreichische Post setzt einen hohen Standard für Anträge auf Zugang zu personenbezogenen Daten.
Wenn Ihre Organisation bisher gezögert hat, Informationen über die konkreten Empfänger der Daten von Personen weiterzugeben, muss sich das jetzt ändern.