Das Auskunftsrecht nach Art. 15 DSGVO ist das mit Abstand relevanteste Betroffenenrecht. Die Erfüllung des Auskunftsbegehrens hat es aber in sich. Viele Fragen hierzu sind nach wie vor umstritten und immer wieder Gegenstand von gerichtlichen Verfahren. Was genau ist vom Auskunftsanspruch umfasst? Kann der Betroffene Kopien der Daten herausverlangen? Dies sind nur zwei der vielen Fragen hierzu. Mit einem weiteren Aspekt hat sich aktuell der EuGH befasst.
Der Inhalt im Überblick
Datenskandal bei der Österreichischen Post
Denn auch die Reichweite des Auskunftsanspruch ist umstritten. In dem Fall, welcher dem EuGH vorgelegt worden ist, ging es um die Frage, ob die betroffene Person Auskunft über die konkreten Empfänger ihrer Daten verlangen kann. Oder reicht es schon aus, nur über die Empfängerkategorien zu informieren? Dem Verfahren lag ein Datenskandal bei der Österreichischen Post AG aus dem Jahr 2019 zugrunde. Eine betroffene Person hatte zunächst den Auskunftsanspruch aus Art. 15 DSGVO geltend gemacht. Die Österreichische Post hatte daraufhin mitgeteilt, dass sie personenbezogene Daten zu Marketingzwecken an Geschäftskunden weitergegeben habe, darunter etwa werbetreibende Händler, IT-Unternehmen, NGOs oder Parteien. Konkrete Empfängerinnen und Empfänger nannte die Post allerdings nicht.
Da die Post zu keinen näheren Auskünften bezüglich der Datenempfänger bereit war, zog die betroffene Person vor Gericht, schlussendlich bis zum Obersten Gerichtshof Österreichs (OGH). Der OGH legte schließlich die Frage, ob die Österreichische Post die Empfänger genau benennen muss, dem EuGH vor. Auch abseits dieses Verfahrens hat sich die Angelegenheit als Eigentor für die Post erwiesen. Im Rahmen einer Untersuchung kam die österreichische Datenschutzaufsichtsbehörde zu dem Ergebnis, dass die Marketingmaßnahmen der Post allein deswegen unzulässig waren, da die Post unter anderem die Zuordnung politischer Neigungen aufgrund von demografischen Daten vorgenommen habe. Zudem hätte es die Post den betroffenen Personen auch ermöglichen müssen, datenschutzrechtliche Fragen per E-Mail zu stellen. Dies führte zu einem Bußgeld von satten 9,5 Mio. EUR.
Reichweite des Auskunftsanspruchs
Und warum wurde sich auch um die Frage nach den Empfängern gestritten? Ein Grund ist sicherlich, dass der Wortlaut des Art. 15 Abs. 1 lit. c DSGVO nicht eindeutig ist und je nach Auslegung für den Verantwortlichen mehr oder weniger Aufwand entsteht. In der Vorschrift heißt es:
„…die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen…“
Die Frage ist also, ob eine betroffene Person Auskunft zu den konkreten Empfängern verlangen kann oder ob die Konkretisierung im Ermessen des Verantwortlichen liegt. Da beide Alternativen sprachlich gleichwertig nebeneinander stehen, hilft der Wortlaut allein nicht weiter.
Weitere Hinweise zur Auslegung von Datenschutzfragen lassen sich meist in den Erwägungsgründen zur DSGVO finden. So ergibt sich aus Erwägungsgrund 10 die Zielsetzung, innerhalb der EU ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten. Dies setzt auch eine einheitliche Anwendung datenschutzrechtlicher Vorschriften in den EU-Staaten voraus. Erwägungsgrund 63 S. 3 bestimmt dazu ausdrücklich, dass jede betroffene Person ein Recht hat zu erfahren, an wen ihre Daten weitergegeben werden:
„Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, […].“
Die Auskunft als Ausgangspunkt für die Betroffenrechte
Die Bedeutung des Auskunftsrechts für betroffene Personen ergibt sich vor allem daraus, dass die Informationen, die man als Betroffener hierzu erhält, die Basis bilden, um möglicherweise weitere Betroffenenrechte wie das Recht auf Berichtigung nach Art. 16 DSGVO oder das Recht auf Löschung nach Art. 17 DSGVO geltend zu machen. Nur wenn man als Betroffener vollständige Informationen erhält, welche Daten das verantwortliche Unternehmen zu welchen Zwecken eigentlich verarbeitet, ist es überhaupt möglich zu prüfen, ob die Daten auch korrekt verarbeitet werden oder ob Daten beispielsweise längst hätten gelöscht werden müssen.
Daraus lässt sich ableiten, dass dies auch für Informationen bezüglich der Datenempfänger gelten muss. Denn wie soll man erkennen oder prüfen, ob irgendein Vertragspartner des Unternehmens die eigenen Daten rechtmäßig verarbeitet oder nicht? Aus dem Alltag eines Datenschutzberaters kann man berichten, dass die Grenzen Datenverarbeitung vor allem dann, wenn es um Marketingmaßnahmen geht, das eine oder andere Mal überdehnt werden. Dies dürfte sicherlich keine Überraschung sein.
EuGH folgt der Empfehlung des Generalanwalts
Die oben genannten Argumente werden von Art. 19 DSGVO flankiert. Danach ist der Verantwortliche verpflichtet, sämtliche Datenempfänger zu informieren, wenn der Verantwortliche selbst Begehren von Betroffenen nach Art. 16, Art. 17 und Art 18 DSGVO umsetzen muss. Dies ist nur konsequent, denn anderenfalls könnten Datenempfänger die personenbezogenen Daten länger und weitgehender verarbeiten als das Unternehmen selbst, bei welchem die Daten ursprünglich zweckgebunden erhoben worden sind.
All dies hat Generalanwalt Giovanni Pitruzzella in seinem Schlussantrag vom 09.06.2022 dargelegt. Der EuGH ist nicht verpflichtet, den Anträgen der Generalanwaltschaft zu folgen, in der Praxis tut der Gerichtshof dies aber häufig. So auch in diesem Fall. Mit der heutigen Entscheidung hat sich der EuGH praktisch eins zu eins der Empfehlung des Generalanwalts angeschlossen. Die Erste Kammer kam daher zum Ergebnis, dass die Vorlagefrage grundsätzlich dahingehend auszulegen sei, dass
„das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, […].“
Entscheidung sorgt für Klarheit
Ausnahmen sollen nur dann greifen, wenn der Verantwortliche die konkreten Empfänger nicht identifizieren kann – Art 15 Abs. 1 lit. c DSGVO spricht ja auch von künftigen Datenübermittlungen – oder wenn der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind. Auch hier ist die Kammer den Empfehlungen des Generalanwalts praktisch wortwörtlich gefolgt.
Die heutige Entscheidung sorgt für Klarheit und für Rechtssicherheit. Die Konturen des Auskunftsanspruchs werden somit weiter geschärft. Das wird vielen Unternehmen möglicherweise nicht gefallen, da dies sicherlich einen gewissen Mehraufwand im Rahmen der Beantwortung von datenschutzrechtlichen Anfragen bedeuten dürfte. Auf der anderen Seite werden die Rechte von betroffenen Personen weiter gestärkt. Es bleibt abzuwarten, wie sich die praktische Umsetzung im Rahmen von Auskunftsersuchen zukünftig gestalten wird. Die Beantwortung von Auskunftsersuchen und anderen datenschutzrechtlichen Begehren sollte daher stets mit dem Datenschutzbeauftragten abgestimmt werden.
Die Auswirkungen auf die öffentliche Hand mit deren vielfältigen Abruf- und Übermittlungsverfahren dürften ebenso stark betroffen sein.
Wäre es denkbar, so wie gehabt Auskunft zu erteilen (mit Kategorien) und nur auf nochmalige Nachfrage auch Empfänger zu nennen?
Oder mit anderen Worten: Soll es in Zukunft bzw. ab sofort die Regel sein, immer gleich alle Empfänger im Detail zu bennenen? Oder ist gemeint, dass nur auf explizite Anfrage nach den Empfängern diese mit genannt werden müssen?
Genau diese Frage ist aus unserer Sicht nicht ausdrücklich vom EuGH entschieden worden. In der Vorlagefrage ging es sinngemäß darum, ob der Verantwortliche oder ob eine betroffene Person das Wahlrecht hinsichtlich der Frage hat, ob die konkreten Empfänger oder lediglich Empfängerkategorien offenzulegen sind. Die Österreichische Post hatte die konkreten Empfänger im Ausgangsfall nicht offengelegt, obwohl dies ausdrücklich von den Betroffenen verlangt worden ist. Diese Frage hat der EuGH nun zu Gunsten der Betroffenen ausgelegt.
Aus der Formulierung „…ist verpflichtet,…“ des EuGH ergibt sich aber nicht zwingend, dass der Verantwortliche „automatisch“ alle Empfänger offenlegen muss. Da ein Wahlrecht im Regelfall aktiv ausgeübt werden muss, lässt sich gut argumentieren, dass die konkreten Empfänger erst dann offengelegt werden müssen, wenn eine betroffene Person ihr Wahlrecht auch tatsächlich ausübt. Hier dürfte dann die genaue Formulierung im Auskunftsbegehren eine entscheidende Rolle spielen, welche Informationen der Verantwortliche offenlegen muss.
Wenn man als Verantwortlicher „auf der ganz sicheren Seite“ sein möchte, sollten die konkreten Empfänger auch bei nicht eindeutigen Auskunftsbegehren offengelegt werden. Hier wird auch abzuwarten sein, wie die nationalen Aufsichtsbehörden und Gericht die Entscheidung des EuGH verstehen und umsetzen werden.
Vielen Dank für Ihre Einschätzung!
Inwieweit erstreckt sich der Auskunftsanspruch in die Vergangenheit? Innerhalb einer langfristigen Geschäftsbeziehung mit dem Betroffenen werden ggf. an verschiedene Dienstleister Daten übermittelt. Sofern es sich um Auftragsverarbeiter handelt, sind diese bspw. nach Vertragsende zur Löschung der Daten verpflichtet. Müssen solche ehemaligen Dienstleister ebenfalls benannt werden?
Ehemalige Dienstleister müssen nicht benannt werden. Im Rahmen des Auskunftsanspruchs hat der Verantwortliche darzustellen, welche personenbezogene Daten durch ihn selbst und ggf. durch beauftragte Dritte verarbeitet werden. Wenn auf ehemalige Datenverarbeiter stets genannt werden müssten, würde das Recht auf Löschung sogar ein Stück weit ins Leere laufen.
Ist denn mit Empfänger tatsächlich der Empfänger nach Art. 4 Nr. 9 DSGVO gemeint und umfasst dann auch alle (wenn vorhanden) Subunternehmer des Auftragsverarbeiters?
Ja, es sind die Empfänger nach Art. 4 Nr. 9 DSGVO gemeint. Konsequenterweise müsste sich das auch auf alle Empfänger erstrecken, da im Regelfall der Auftraggeber auch Verantwortlicher bleibt.