Direkt zum Inhalt

Bürger müssen wissen, wohin ihre Daten wandern

Dienstleistung, Handel & Privatverkäufe 3. April 2023
Image

greenbutterfly / stock.adobe.com

Verlangt eine Person Auskunft über die Verarbeitung ihrer personenbezogenen Daten, müssen die Empfänger personenbezogener Daten in der Auskunft konkret benannt werden. Eine allgemeine Auskunft über Kategorien von Empfängern reicht nicht.

Ein Bürger beantragte bei der Österreichischen Post ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe. Er stützte sich auf die Datenschutz-Grundverordnung (DSGVO). Danach hat eine betroffene Person das Recht, von dem Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.

Die Antwort auf dieses Auskunftsbegehren fiel knapp aus. Die Österreichische Post beschränkte sich auf einen Hinweis, personenbezogene Daten würden verwendet, soweit dies rechtlich zulässig sei (z.B. im Rahmen der Tätigkeit als Herausgeberin von Telefonbüchern werden diese Daten Geschäftskunden für Marketingzwecke angeboten). Das war dem Bürger zu allgemein. Er klagte vor österreichischen Gerichten.

Im Laufe des Prozesses teilte die Österreichische Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen oder politische Parteien gehört hätten.

Der Oberste Gerichtshof von Österreich war zuletzt mit dem Rechtsstreit betraut. Er legte dem Europäischen Gerichtshof die Frage vor, ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren. Oder ob es die DSGVO dem für die Datenverarbeitung Verantwortlichen freistellt, der betroffenen Person lediglich die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitzuteilen.

Der EuGH urteilte, jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden.

Folge: Der Verantwortliche für die Datenverarbeitung ist verpflichtet, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen.

Hintergrund: Dieses Auskunftsrecht ermöglicht es betroffenen Personen, weitere Rechte wahrzunehmen, die ihr nach der DSGVO zustehen (z.B. das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung oder das Recht auf einen Rechtsbehelf im Schadensfall).

Ausnahmen: Der für die Datenverarbeitung Verantwortliche kann sich darauf beschränken, nur die Empfängerkategorien mitzuteilen, wenn es (noch) nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist.

EuGH, Urteil vom 12.1.2023, C-154/21