EuGH zum Auskunftsanspruch: Pflicht zur Nennung aller Empfänger von Daten?

Datenschutzrechtliche Auskunftsansprüche sind längst Unternehmensalltag geworden und bedeuten für die betroffenen Unternehmen häufig einen großen Aufwand. Es stellt sich die Frage, ob dieser Aufwand nach einer im Januar ergangenen EuGH Entscheidung noch größer wird.

Nach Artikel 15 DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten von ihr verarbeitet werden. Wenn dies der Fall ist, hat sie zudem den Anspruch auch weitere Einzelheiten wie u.A. die Verarbeitungszwecke oder Kategorien der personenbezogenen Daten zu erfahren. Umstritten ist allerdings schon länger, ob dieser Anspruch auch die Pflicht der Unternehmen umfasst, der betroffenen Person die Identität sämtlicher Empfänger der jeweiligen Daten zu nennen.

In Artikel 15 Abs. 1 lit. c DSGVO ist diesbezüglich eine Wahlentscheidung vorgesehen. Hier steht, dass „Empfänger oder Kategorien von Empfängern“ mitzuteilen sind. Unklar war bisher, ob das Wahlrecht hierbei der betroffenen Person oder dem verantwortlichen Unternehmen zukommen soll.

Entscheidung des EuGH
Mit Urteil vom 12. Januar 2023 hat der EuGH (Rs. C-154/21) nun entschieden, dass der betroffenen Person das entsprechende Wahlrecht zusteht, ob sie alle Empfänger oder lediglich die Empfängerkategorien benannt bekommen möchte. Eine Pflicht der Nennung der konkreten Identität der Empfänger besteht somit grundsätzlich, wenn die Person dies gegenüber dem Unternehmen verlangt. Laut EuGH gilt dieses Recht allerdings nicht uneingeschränkt. Es gilt nicht, wenn es dem Verantwortlichen unmöglich ist, die einzelnen Empfänger konkret zu benennen oder wenn es sich um offenkundig unbegründete oder exzessive Anträge der Betroffenen handelt.

Um die Auswirkungen dieser Entscheidung auf die Praxis der Unternehmen bewerten zu können, muss man sich die konkreten Umstände dieser EuGH Entscheidung genauer ansehen. Die Entscheidung betraf konkret einen Streit über einen Auskunftsanspruch einer betroffenen Person gegen die österreichische Post. Ursprünglich hatte die österreichische Post gegenüber der betroffenen Person lediglich angegeben, sie verwende Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese personenbezogenen Daten Geschäftskunden für Marketingzwecke an. Im Übrigen verwies sie für detailliertere Informationen und weitere Datenverarbeitungszwecke auf eine Website. Im Laufe des Rechtsstreits teilte die österreichische Post der betroffenen Person dann mit, dass die personenbezogenen Daten zu Marketingzwecken verarbeitet und an Kunden weitergegeben worden seien, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.

Seine juristische Argumentation stützt der EuGH vor allem darauf, dass den betroffenen Personen durch Ausübung ihrer Auskunftsrechte auch eine Überprüfung ermöglicht werden muss, ob die Daten in zulässiger Weise verarbeitet werden. Zudem müsse es den betroffenen Personen auch möglich gemacht werden, auch die anderen Rechte (Löschung, Einschränkung, Widerspruchsrecht) ausüben zu können und mögliche Rechtsbehelfe einzulegen.

Auswirkung der Entscheidung auf die Praxis
Gerade der Blick auf die hier im konkreten Streitfall betroffenen Empfängerkategorien (werbetreibende Unternehmen und Kunden zu Marketingzwecken) zeigt, dass es sich hierbei um eine Datenweitergabe an eigene Verantwortliche handelt, welche die Daten dann für eigene Zwecke (nämlich Marketingzwecke) verwendet haben. In solchen Fällen besteht nach der Entscheidung des EuGH immer dann eine Pflicht zur Nennung aller einzelnen Empfänger, wenn diese dem Verantwortlichen bekannt sind.

Nicht ausdrücklich behandelt hat der EuGH die Frage, ob sich der Auskunftsanspruch auch auf alle Auftragsverarbeiter und deren Subunternehmer erstreckt. Gerade bei komplexen Datenverarbeitungen wie SaaS- und Clouddiensten können sehr viele Subunternehmer auch für kleinste Nebentätigkeiten eingesetzt werden, die im Zweifel nach der Definition der DSGVO „Empfänger“ von Daten sind. Im Unterschied zu den eigenen Verantwortlichen dürfen Auftragsverarbeiter Daten nicht für eigene Zwecke verarbeiten, sondern nehmen die Verarbeitung der Daten immer nur im Auftrag des Verantwortlichen vor. Die Rechte der betroffenen Person wie zum Beispiel auf Auskunft, Löschung oder Berichtigung richten sich jeweils ausschließlich gegen den oder die Verantwortlichen, nicht gegen einzelne Auftragsverarbeiter. Die betroffene Person kann also alle ihre Rechte nach der DSGVO wirksam ausüben, wenn sie die Verantwortlichen kennt. Die Kenntnis aller einzelnen Auftragsverarbeiter und aller weiteren Unterauftragsverarbeiter ist jedoch für die Durchsetzung der Rechte der betroffenen Person gerade nicht erforderlich. Es lässt sich somit nach unserer Ansicht weiter argumentieren, dass das Wahlrecht der betroffenen Person nur für verantwortliche Empfänger greift und bei Auftragsverarbeitern weiterhin die Nennung von Empfängerkategorien ausreichend ist.

Praxistipp
Erhält ein Unternehmen Auskunftsersuchen, sollte zunächst geprüft werden, in welchem Umfang konkret die Auskunft verlangt wird. Nur wenn ausdrücklich verlangt wird, dass alle Empfänger zu benennen sind, hat die betroffene Person ihr Wahlrecht (nach Verständnis des EuGH) ausgeübt.

Unternehmen sollten generell prüfen, ob ihre aktuelle Dokumentation ausreichend auf Auskunftsersuchen vorbereitet ist. Jedenfalls wenn Daten an Dritte, die Daten in eigener Verantwortung verarbeiten, übermittelt werden, müssen Unternehmen die einzelnen Empfänger benennen können. Auch die konkret eingesetzten Auftragsverarbeiter sollten für Unternehmen leicht abrufbar sein. Dabei können die Angaben entweder unmittelbar im Verarbeitungsverzeichnis oder in separaten Listen geführt werden. In jedem Fall sollte die Dokumentation stets aktuell gehalten und regelmäßig überprüft werden. Empfehlenswert ist es zudem zu prüfen, ob von allen eingesetzten Auftragsverarbeitern Angaben zu deren Subunternehmern vorhanden sind. Auch hier sollte eine Routine zur Dokumentation festgelegt werden.