Betroffene Personen haben ein Recht auf Auskunft, ob und welche ihrer Daten von Unternehmen verarbeitet werden. Wie umfangreich dieses Auskunftsrecht ist, wird heiß umstritten. Der Europäische Gerichtshof (EuGH) hat am 12.01.2023 entschieden (C-154/21), dass im Rahmen einer Auskunftserteilung nach Art. 15 DS-GVO Betroffene auch über die genaue Identität von Daten-Empfängern zu informieren sind. Der Aufwand für eine rechtskonforme Beauskunftung dürfte nun auf Seiten der Verantwortlichen (Unternehmen, öffentliche Stellen) erheblich höher werden.
Kategorien oder individuelle Empfänger
Wenn betroffene Personen Ihr Auskunftsrecht geltend machen, müssen Verantwortliche – in der Regel innerhalb eines Monats – darüber informieren, ob diese tatsächlich Daten der betroffenen Person verarbeiten. Wenn ja, dann beschreibt Art. 15 DS-GVO, welche Informationen zur Verfügung zu stellen sind. Hierzu gehören unter anderem die Zwecke und Rechtsgrundlagen der Datenverarbeitung. Daneben ist aber auch darüber zu informieren, an welche Empfänger Daten der betroffenen Person übermittelt oder diesen gegenüber offengelegt wurden (oder noch werden).
Das Gesetz ist an dieser Stelle wieder einmal recht interpretationsfähig.
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
Art. 15 Abs. 1 lit c) DS-GVO (Hervorhebung durch den Autor)
Die Vorgabe „Empfänger oder Kategorien von Empfängern“ wurde bisher von Unternehmen häufig als Wahlmöglichkeit verstanden. Natürlich macht es viel weniger Arbeit, nur die Arten von Empfängern anzugeben (z. B. „IT-Dienstleister“ oder „Konzernunternehmen“). Vor allem müssen nach diesem Verständnis, Verantwortliche in ihrer operativen Praxis nicht groß unterscheiden, welche Daten von welchen Personen im Einzelfall an welche Empfänger übermittelt wurden.
Der EuGH entscheidet Betroffenen-freundlich
Im Rahmen einer Vorlageentscheidung hat der EuGH nun ganz im Sinn der betroffenen Personen einschieden:
Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz‑Grundverordnung)
ist dahin auszulegen, dass
das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.
Aus der EuGH-Entscheidung zu C‑154/21 (Hervorhebungen durch den Autor)
Ausnahmen von dieser Regelung
Ausnahmen bestehen nach dieser Entscheidung, wenn es Verantwortlichen nicht möglich ist, die Empfänger zu identifizieren oder der Auskunftsanspruch nachweislich unbegründet oder exzessiv geltend gemacht wird.
Die Unmöglichkeit, die Empfänger anzugeben, sollte nicht als Joker verstanden werden. Verantwortliche unterliegt umfangreichen Sorgfalts- und Dokumentationspflichten. Entsteht eine Unmöglichkeit durch andere Versäumnisse, so dürfte das den Verantwortlichen hier zur Last gelegt werden.
Viel Aufwand für Unternehmen (und alle anderen Verantwortlichen)
Nach unserer Erfahrung besteht in Unternehmen häufig keine ausreichende Transparenz, welche Daten von welchen betroffenen Personen an welche Empfänger übermittelt oder diesen offengelegt werden. Typische Beispiele sind:
1. Die Datenübermittlung in einer Unternehmensgruppe: Welches Einzelunternehmen eines großen Konzerns haben die Daten eines einzelnen Mitarbeiters empfangen, der bereits seit 20 Jahren dort beschäftigt ist?
2. Die Datenübermittlung in einer Unternehmensgruppe: An welche Einzelunternehmen wurden die Kontaktdaten von Kunden oder Kundenmitarbeitern übermittelt?
3. Ausgelagerte IT-Dienstleistungen: Welcher IT-Dienstleister (Cloud, Wartung, Support usw.) hat Daten von bestimmten Kunden- oder Mitarbeitern empfangen?
Können Sie in Ihrem Unternehmen diese Datenflüsse für einzelne betroffene Personen und zeitlich bis in die früheste Vergangenheit nachvollziehen und beauskunften?
Haben Sie jetzt die Idee, einfach eine lange Liste mit allen Empfängern zu erstellen und diese beizufügen? Rechnen Sie damit, dass Betroffene Ihr Auskunftsschreiben auch lesen und die Angaben nachvollziehen werden. Sind ihre Angaben nicht plausibel, schaffen Sie Angriffsfläche für Beschwerden.
Der Volltext der Entscheidung kann hier abgerufen werden.
Bildquellen:
- Zeitung mit der Überschrift EuGH-Urteil: Zerbor (268096317) | stock.adobe.com