EuGH: Unternehmen müssen bei Auskunftsersuchen konkrete Empfänger benennen

icon arrow down white

Der datenschutzrechtliche Auskunftsanspruch ist eines der wichtigsten Betroffenenrechte der Datenschutzgrundverordnung (DSGVO): Nach Art. 15 DSGVO können Privatpersonen von dem für die Datenverarbeitung verantwortlichen Unternehmen Auskunft darüber verlangen, welche Daten von ihnen gespeichert und verarbeitet wurden. Da die Erfüllung dieser Ansprüche regelmäßig mit einem erheblichen Aufwand verbunden ist, war es gängige Praxis, die Auskunft nur über die sogenannten „Kategorien" von Datenempfängern zu erteilen. So verwies man beispielsweise auf die Übermittlung an „IT-Dienstleister" oder „Geschäftspartner". Gestützt wurde dieses Vorgehen auf den Wortlaut des Artikel 15 Abs. 1 b) DSGVO, wonach die Auskunft „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden" erfassen durfte.

EuGH spricht den Betroffenen Wahlrecht für die Auskunft zu

Dieser Praxis hat der Europäische Gerichtshof (EuGH) nun eine Absage erteilt. Nach einem Mitte Januar ergangenen Urteil (Urteil vom 12. Januar 2023, Az. C-154/21) steht dem Betroffenen das Wahlrecht zu, ob er lediglich allgemein die Kategorien von Empfängern wissen oder detailliert Auskunft über die konkreten Empfänger mit Namen und Anschrift erhalten möchte. Lediglich dann, wenn die genauen Empfänger noch nicht feststehen, dürfe sich das verantwortliche Unternehmen auf eine Auskunft über die Kategorien von Empfängern beschränken.

Konsequenz: deutlicher Mehraufwand bei der Auskunftserteilung

Die Umsetzung des EuGH-Urteils wird für die Verantwortlichen einen erheblichen Mehraufwand bei der Beantwortung von Auskunftsersuchen mit sich bringen. Unternehmen sind daher gut beraten, ihre Verarbeitungsverzeichnisse sorgfältig zu führen, um nicht erst bei Erhalt eines Auskunftsantrages die Empfänger und deren Identitäten zusammentragen zu müssen. Hinzu kommt, dass Auskunftsersuchen grundsätzlich unverzüglich, jedenfalls aber innerhalb eines Monats zu erfüllen sind. Eine Versäumung dieser Frist erhöht das Risiko, dass der Betroffene Schadensersatzansprüche geltend machen kann.

Anpassung von Datenschutzhinweisen derzeit wohl nicht erforderlich

Auch wenn der Europäische Gerichtshof sich dazu nicht ausdrücklich geäußert hat, lässt das Urteil erfreulicherweise keine Tendenz erkennen, eine entsprechende Auslegung auch auf die Artikel 13, 14 DSGVO anzuwenden. Deren Wortlaut sieht ebenfalls vor, dass der Verantwortliche in den Datenschutzhinweisen „die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten" mitzuteilen hat. Das zentrale Argument des Europäischen Gerichtshofes ist jedoch, dass Art. 15 DSGVO einen Anspruch des Betroffenen darstellt und er deshalb ein Wahlrecht haben müsse, die konkreten Empfänger oder nur die Kategorien zu erfahren. Dagegen statuieren die Art. 13, 14 DSGVO eine Pflicht des Verantwortlichen, sodass man argumentieren kann, dass das jeweilige Unternehmen selbst über den Detailgrad der Pflichtinformationen entscheiden darf. Für Unternehmen besteht deshalb zunächst kein Bedarf, ihre Datenschutzhinweise zu überarbeiten.

Über das Symbol diesen Artikel weiterempfehlen

Dazu passende Artikel

  • Sanktionslisten: Compliance-Risiken und Handlungsbedarf für Unternehmen

  • Entwicklungen in der IT-Compliance: Überblick über neue Richtlinien und Anforderungen

  • Neuer Rechtsrahmen für Datentransfers in die USA – was Sie jetzt beachten müssen

  • NIS2: Neue Anforderungen an Cybersicherheit für Unternehmen