Erste Einordnung: Worum geht es?
Der Europäische Gerichtshof („EuGH“) hat mit Urteil vom 12. Januar 2023 (Az. C-154/21 – Volltext) entschieden, dass Verantwortliche bei der Beantwortung eines Auskunftsanspruch einer betroffenen Person nach Art. 15 Abs. 1 Buchst. c DSGVO kein Wahlrecht haben, ob sie die konkreten Empfänger oder lediglich die Kategorien von Empfängern angeben, gegenüber denen personenbezogene Daten offengelegt worden sind oder noch offengelegt werden. Nach dem EuGH ist stets die Angabe der konkreten Empfänger erforderlich, sofern die betroffene Person dies wünscht, die Angabe dem Verantwortlichen nicht unmöglich ist und kein Missbrauch des Auskunftsrechts vorliegt. Bisher war diese Frage ungeklärt, so dass sich Verantwortliche oft damit begnügten, lediglich die Kategorien von Empfängern anzugeben.
Sachverhalt: Was musste der EuGH entscheiden?
2019 wandte sich der spätere Kläger an die Österreichische Post, um gemäß Art. 15 Abs. 1 DSGVO Auskunft darüber zu erhalten, welche personenbezogenen Daten die Österreichische Post über ihn gespeichert habe und wer die Empfänger bei einer Offenlegung der Daten gegenüber Dritten gewesen seien. Die Österreichische Post teilte dem Kläger zunächst mit, dass sie die Daten im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern Geschäftskunden für Marketingzwecke anbiete und verwies für detailliertere Informationen und weitere Verarbeitungszwecke auf ihre Website. Konkrete Empfänger teilte sie dem Kläger nicht mit.
Im Laufe des gerichtlichen Verfahrens ergänzte die Österreichische Post die Angaben und sagte, dass die personenbezogenen Daten zu Marketingzwecken verarbeitet und an Kunden weitergegeben worden seien, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT- Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen oder politische Parteien gehört hätten. Konkrete Empfänger der personenbezogenen Daten des Klägers wurden jedoch weiterhin nicht beauskunftet.
Das erstinstanzliche Gericht wie auch das Berufungsgericht wiesen die Klage ab, da Art. 15 Abs. 1 Buchst. c DSGVO durch den Verweis auf „Empfänger oder Kategorien von Empfängern“ dem Verantwortlichen eine Wahlmöglichkeit einräume, der betroffenen Person lediglich die Kategorien von Empfängern mitzuteilen, ohne die konkreten Empfänger der personenbezogenen Daten namentlich nennen zu müssen. Der österreichische Oberste Gerichtshof als Revisionsgericht legte dem EuGH die Frage im Vorabentscheidungsverfahren vor, ob Art. 15 Abs. 1 Buchst. c DSGVO der betroffenen Person ein Auskunftsrecht hinsichtlich der konkreten Empfänger gewähre, oder ob es im Ermessen des Verantwortlichen liege, ob er lediglich die Kategorien der Empfänger angebe.
Kernaussage des EuGH: Art. 15 DSGVO verlangt Angabe der konkreten Empfänger
Der EuGH erteilte eine Absage an die für den Verantwortlichen günstige Auslegung des Art. 15 Abs. 1 Buchst. c DSGVO: Der Verantwortliche ist nach dem EuGH verpflichtet, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen.
Hiervon sieht der EuGH nur wenige Ausnahmen: Denkbar sei die Auskunft der Kategorien von Empfängern nur, wenn entweder
- es nicht möglich ist, die Empfänger zu identifizieren (z.B. weil sie noch nicht bekannt sind), oder
- der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind.
Das bedeutet: Es gibt kein Wahlrecht des Verantwortlichen, ob Kategorien von Empfängern oder nicht, kein „Rosinenpicken“, sondern in der Regel „Butter bei die Fische“, wenn es um die Angabe von Empfängern in der Beantwortung von Auskunftsersuchen nach Art. 15 Abs. 1 DSGVO geht. Das bedeutet aber auch: Der Verantwortliche muss nachhalten, gegenüber welchen konkreten Empfängern die personenbezogenen Daten einer konkreten betroffenen Person offengelegt werden, um dem Auskunftsanspruch überhaupt entsprechen zu können.
Wie kommt der EuGH zu dieser Auslegung?
Nach dem EuGH sei davon auszugehen, dass die Informationen, die der betroffenen Person erteilt werden, möglichst genau sein müssen. Insbesondere umfasse das Auskunftsrecht die Möglichkeit für die betroffene Person, von dem Verantwortlichen Informationen über bestimmte Empfänger zu erhalten, gegenüber denen Daten offengelegt worden sind oder noch offengelegt werden, oder alternativ zu entscheiden, nur Informationen über die Kategorien von Empfängern anzufordern.
Seine Auslegung stützt der EuGH gleich auf mehrere Säulen. Der Wortlaut des Art. 15 Abs. 1 Buchst. c DSGVO lasse zwar nicht auf ein Vorrangverhältnis zwischen Empfängern und Kategorien von Empfängern schließen. Allerdings müsse neben dem Wortlaut auch immer der Zusammenhang sowie Zwecke und Ziele der Vorschrift berücksichtigt werden:
- Erwägungsgrund 63 Satz 3 zur DSGVO sieht vor, dass jede betroffene Person ein Anrecht darauf haben sollte, zu wissen, wer die Empfänger der personenbezogenen Daten sind. Dieses Recht werde nicht auf „Kategorien von Empfängern“ beschränkt.
- Die Preisgabe der konkreten Identität der Empfänger trage zu einem hohen Datenschutzniveau bei und komme dem Grundsatz der Transparenz aus Art. 5 Abs. 1 Buchst. a DSGVO nach.
- Das Auskunftsrecht müsse die betroffene Person in die Lage versetzen, zu überprüfen, ob die sie betreffenden Daten richtig sind, ob sie in zulässiger Weise verarbeitet werden und insbesondere, ob sie gegenüber Empfängern offengelegt wurden, die zu ihrer Verarbeitung befugt sind.
- Insbesondere sei die Angabe von konkreten Empfängern erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls die weiteren in Art. 15 ff. DSGVO genannten Rechte betroffener Personen wahrzunehmen (z.B. das Recht auf Löschung) oder im Schadensfall den in den Art. 79 und 82 DSGVO vorgesehenen gerichtlichen Rechtsbehelf einzulegen.
Was bedeutet das Urteil für die Praxis?
Für Verantwortliche bedeutet die Entscheidung des EuGH in erster Linie noch „mehr Arbeit“ im Datenschutz: Mehr Arbeit bei der Pflege ihres Datenschutzmanagements, mehr Arbeit bei der Einholung von Informationen bei der Beantwortung von Auskunftsersuchen, mehr Arbeit bei der Nachhaltung von Auftragsverarbeitern und etwaigen Unterauftragnehmern in der Leistungskette.
Empfänger aus Art. 4 Nr. 9 DSGVO – unmittelbare Empfänger vs. Subunternehmer
Zunächst ist zu beachten, dass das Urteil Auswirkungen bezüglich der Preisgabe der Identität von „direkten“ Empfängern hat. „Direkte Empfänger“ meint hierbei Personen oder Stellen, denen der Verantwortliche unmittelbar personenbezogene Daten der betroffenen Person offengelegt hat. Dies können Auftragsverarbeiter (Art. 28 DSGVO), gemeinsam Verantwortliche (Art. 26 DSGVO) oder andere allein Verantwortliche im Rahmen einer sog. C2C-Konstellation sein (Übermittlung von einem allein Verantwortlichen an einen anderen allein Verantwortlichen).
Der Empfängerbegriff aus Art. 4 Nr. 9 DSGVO ist allerdings weit gefasst und umfasst alle Personen oder Stellen außerhalb des Verantwortlichen, denen personenbezogene Daten offengelegt werden. Erfasst sind mithin auch alle Personen oder Stellen außerhalb des Verantwortlichen, die unter der Verantwortung des Verantwortlichen befugt sind, personenbezogene Daten zu verarbeiten. Dies schließt alle etwaigen Unterauftragnehmer ein, die vom jeweiligen Auftragsverarbeiter des Verantwortlichen als weitere Auftragsverarbeiter eingesetzt wurden, also auch die sog. weiteren Auftragsverarbeiter i.S.v. Art. 28 Abs. 1, Abs. 4 DSGVO. Dementsprechend ist in der Regel die Preisgabe der Identität aller Empfänger in der Leistungskette erforderlich.
„Nicht mehr aktuelle“ Empfänger
Auch „nicht mehr aktuelle“ Empfänger sind Empfänger i.S.d. Art. 4 Nr. 9 DSGVO. Der Empfängerbegriff stellt nicht darauf ab, ob regelmäßig personenbezogene Daten offengelegt werden. Auch die einmalige Offenlegung macht es erforderlich, ggf. die konkrete Identität des Empfängers benennen zu können. Das bedeutet, dass eine vollständige Dokumentation auch derjenigen Empfänger erfolgen muss, die zu irgendeinem Zeitpunkt in Verbindung mit der betroffenen Person aufgetaucht sind, selbst wenn sie gerade nicht mehr aktuell sind.
Beispiel: Kundendaten werden in einem CRM-System von Anbieter A gespeichert. Der Verantwortliche wechselt den Anbieter der Software und speichert die Kundendaten fortan in der Software des Anbieters B. Anbieter A ist weiterhin als Empfänger einzuordnen.
Die Benennung der Identität von „nicht mehr aktuellen“ Empfängern muss jedenfalls so lange möglich sein, wie eine Positivauskunft erteilt werden kann, also personenbezogene Daten der betroffenen Person noch vom Verantwortlichen verarbeitet werden. Eine Ausnahme ist unter Berücksichtigung der Argumentation nur dort denkbar, wo der Verantwortliche positive Kenntnis davon hat, dass der „nicht mehr aktuelle“ Empfänger die Daten der betroffenen Person bereits gelöscht hat. In diesem Fall ergibt die Auskunft über den „nicht mehr aktuellen“ Empfänger keinen Sinn.
Übertragbarkeit des Urteils auf Informationspflichten aus Art. 13, 14 DSGVO
Als Folge des Urteils stellt sich eine weitere Frage: Ist die zu Art. 15 Abs. 1 Buchst. c DSGVO getroffene Auslegung auch auf die Informationspflichten aus Art. 13, 14 DSGVO übertragbar? Denn Art. 13 Abs. 1 Buchst. e DSGVO und Art. 14 Abs. 1 Buchst. e DSGVO verlangen vom Verantwortlichen als Teil der Datenschutzinformationen auch die Angabe von „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“.
„Gegebenenfalls“ ist allerdings für den Verantwortlichen kein Einfallstor, die Information „wegzulassen“: Sofern zum Zeitpunkt der Mitteilung eine Offenlegung an Dritte geplant ist, müssen Empfänger oder Kategorien von Empfängern benannt werden.
Bislang ist unklar, ob der EuGH seine Auslegung hinsichtlich Art. 15 Abs. 1 Buchst. c DSGVO auch auf die Informationspflichten übertragen wird. Der Generalanwalt formulierte in seinen Schlussanträgen (Nr. 21) jedenfalls, dass die Informationspflichten eine andere Zielrichtung als das Auskunftsrecht haben. Das Auskunftsrecht solle der betroffenen Person die Möglichkeit bieten, sich konkret über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Die Informationspflicht sei jedoch genereller gefasst und bilde nicht den jeweiligen Einzelfall zur konkreten betroffenen Person ab. Im Rahmen der Informationspflicht könnte daher allenfalls die Identität eines Empfängers preisgegeben werden, wenn dieser für den gesamten Personenkreis als Empfänger gilt. Dies würde allerdings schon dann schwierig, wenn unter eine Kategorie von Empfängern mehrere konkrete Empfänger gefasst werden.
Beispiel: In der Datenschutzinformation eines Arbeitgebers für seine Beschäftigten wird als Kategorie von Empfängern „Krankenkassen“ oder „Sozialversicherungsträger“ definiert. Nicht für jeden Beschäftigten kommt die gleiche Krankenkasse als Empfänger von personenbezogenen Daten in Frage. Die Preisgabe von konkreten Empfängern wäre hier nur möglich, sofern die Datenschutzinformationen für verschiedene versicherte Gruppen von Beschäftigten gesplittet werden würde. Dies ist jedoch nicht vom Sinn und Zweck des Art. 13, 14 DSGVO umfasst.
Aus der Gesamtschau und den unterschiedlichen Stoßrichtungen von Art. 13, 14 DSGVO einerseits und Art. 15 DSGVO andererseits ist daher abzuleiten, dass für die Informationspflichten keine Angabe der konkreten Identität von Empfängern erforderlich ist. Hier besteht nach richtiger, aber noch nicht vom EuGH bestätigter Rechtsauslegung, ein Wahlrecht des Verantwortlichen, wenn es um die Angabe konkreter Empfänger oder der Kategorien von Empfängern geht.
Wann braucht nicht über die Identität der Empfänger informiert zu werden?
Die Preisgabe der konkreten Identität der Empfänger ist auch beim Auskunftsanspruch nach dem EuGH nicht erforderlich, wenn
- die betroffene Person nur die Angabe von Kategorien von Empfängern wünscht,
- es dem Verantwortlichen nicht möglich ist, die konkreten Empfänger zu identifizieren, oder
- der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind.
Dass die Preisgabe konkreter Empfänger unmöglich ist, wenn die Empfänger nicht bekannt sind, überrascht nicht. Dieser Fall dürfte auch vorliegen, wenn der Verantwortliche personenbezogene Daten der Öffentlichkeit preisgegeben hat. Der Verantwortliche kann dann keine konkreten Empfänger benennen, weil er schlichtweg nicht weiß, wer von den personenbezogenen Daten Kenntnis erlangt hat.
Die zweite vom EuGH benannte Ausnahme betrifft den Missbrauch der Geltendmachung von Betroffenenrechten, weil sie unbegründet oder exzessiv ausgestaltet sind. Um sich auf einen solchen Missbrauch berufen zu können, muss der Verantwortliche diesen nachweisen. Ein Nachweis wird jedoch in den seltensten Fällen gelingen, z.B. dann, wenn die betroffene Person ausdrücklich kenntlich macht, den Verantwortlichen mit dem Auskunftsanspruch schikanieren zu wollen. Regelmäßig wird der Sachverhalt aber nicht über die bloße (ggf. naheliegende) Vermutung eines Missbrauchs hinausgehen, der allerdings nicht gerichtsfest nachzuweisen ist.
Wie sollten Verantwortliche mit der Entscheidung umgehen?
Verantwortliche sollten folgende Aspekte prüfen und ggf. im Datenschutzmanagement anpassen:
- Ist es möglich, die konkrete Identität der unmittelbaren Empfänger bei einem Auskunftsersuchen preiszugeben?
- Es sollte ein Prozess etabliert sein, bei dem ersichtlich ist, welche konkreten Empfänger bei welcher Verarbeitungstätigkeit und welchen betroffenen Personen eine Rolle spielen. Die Dokumentation der konkreten Empfänger an zentraler Stelle (z.B. im Verzeichnis von Verarbeitungstätigkeiten, kurz „VVT“, oder an anderer Stelle im Datenschutzmanagement) kann dabei hilfreich sein. Zudem sollte der Prozess darauf geprüft werden, ob es innerhalb der Kürze der Zeit (unverzüglich, längstens einen Monat zur Beantwortung des Auskunftsersuchens) möglich ist, die Informationen zusammenzutragen.
- Ist es möglich, die Identität der Unterauftragnehmer (weitere Auftragsverarbeiter i.S.d. Art. 28 Abs. 2, Abs. 4 DSGVO) je Verarbeitungstätigkeit zu benennen?
- Auch die Identität der Unterauftragnehmer sollte wie diejenige der unmittelbaren Empfänger dokumentiert sein, um deren Identität auf ein Auskunftsverlangen hin preisgeben zu können.
- Wichtig ist, dass der Verantwortliche den Einsatz etwaiger Unterauftragnehmer je Verarbeitungstätigkeit regelmäßig prüft und dokumentiert, um im Ernstfall auskunftsfähig zu sein. Da der Verantwortliche an der Spitze der Leistungskette bei einer Auftragsverarbeitung für die Datenschutzkonformität jeder Verarbeitung, die keinen Exzess darstellt, einzustehen hat, ist er auch verpflichtet, alle Empfänger in der Leistungskette nachzuhalten.
- Ist es möglich, auch „nicht mehr aktuelle“ Empfänger zu benennen?
- Die Dokumentation der Empfänger sollte darauf ausgerichtet sein, dass der Verantwortliche, sofern er eine Positivauskunft erteilen muss, auch über Empfänger unterrichten kann, die nicht mehr aktuell sind, sondern lediglich „irgendwann“ in der Vergangenheit personenbezogene Daten der betroffenen Person erhalten haben. Solange eine Positivauskunft erteilt werden kann (d.h. solange personenbezogene Daten der jeweiligen betroffenen Person verarbeitet werden), muss im Zweifel auch die Identität der konkreten Empfänger dokumentiert werden. Ausnahme: Der Verantwortliche hat positive Kenntnis darüber, dass beim „nicht mehr aktuellen Empfänger“ die personenbezogenen Daten bereits gelöscht wurden.
- Sofern im Ausnahmefall nur die Kategorien von Empfängern beauskunftet werden, sollten Verantwortliche genau dokumentieren, auf welche vom EuGH benannte Ausnahme sie sich stützen und ggf. warum es ihnen unmöglich ist, konkrete Empfänger mitzuteilen.
Ihre Ansprechpartner
Wenn Sie von uns im Datenschutzrecht bereits beraten werden, wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:
- Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV), sascha.kremer@kremer-recht.de
- Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV), kristof.kamm@kremer-recht.de
- Patrick Koetsier, LL.M., Rechtsanwalt, patrick.koetsier@kremer-recht.de;
- Jana Lenzen, LL.M., Rechtsanwältin, Datenschutzbeauftragte (TÜV), jana.lenzen@kremer-recht.de
- Michael Matejek, LLM., Wirtschaftsjurist, michael.matejek@kremer-recht.de,
- Malte Mennemann, Rechtsanwalt, malte.mennemann@kremer-recht.de
- Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV), nadine.schneider@kremer-recht.de
Alle Ansprechpartnerinnen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt) oder in unserer Zweigstelle in der Kölner Straße 78, 41812 Erkelenz.
Wer sind KREMER RECHTSANWÄLTE?
KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät berät regelmäßig in auch internationalen Großprojekten, begleitet IT-, Datenschutz- oder HR-Projekte und erstellt passende Standardvertragswerke für ihre Mandanten.
Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 und 2021 als TOP Kanzlei im Datenschutzrecht sowie vom Focus 2021 als TOP Kanzlei Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene, führende Kanzlei im IT- und Datenschutzrecht geführt.