Veröffentlicht von:

Rechtsanwalt Andreas Kempcke

EuGH: bei Auskunft nach DSGVO müssen Empfänger von Daten konkret benannt werden

19.01.2023
4 Minuten Lesezeit

Im Zusammenhang mit datenschutzrechtlichen Auskunftersuchen sind noch viele Fragen umstritten. Eine zentrale Frage hat der Europäische Gerichtshof in einem aktuellen Vorabentscheidungsverfahren allerdings geklärt: Verlangt eine betroffene Person eine Auskunft über die Verarbeitung ihrer personenbezogenen Daten, dann müssen die Empfänger personenbezogener Daten in der Auskunft konkret benannt werden. Eine lediglich allgemeine Auskunft über Kategorien von Empfängern ist unzureichend (EuGH, Urteil vom 12.01.2023, Rechtssache C-154/21). Die Entscheidung ist extrem praxisrelevant, denn sie betrifft jeden, der datenschutzrechtliche Auskunftersuchen beantworten muss. In dem nachfolgenden Beitrag erläutere ich, was die Entscheidung für die Praxis bedeutet:

Auskunftersuchen kommen immer häufiger vor

Die Vorgaben in der Datenschutz-Grundverordnung sehen zum Schutz der betroffenen Personen unter anderem ein Recht betroffener Personen auf Auskunfterteilung vor (Art. 15 DSGVO). Aufgrund diverser Datenskandale wird von diesem Recht auch immer häufiger Gebrauch gemacht. Grund genug, sich auf entsprechende Auskunftersuchen vorzubereiten, um Fehler bei der Auskunfterteilung zu vermeiden. Hinweise dazu, was Sie bei einer Auskunfterteilung beachten sollten, finden Sie hier:

Datenschutzrechtliche Auskunft erteilen: Was Sie beachten sollten

Bei Datenübermittlung: Auskunft über Empfänger oder Kategorien von Empfängern?

Nach den datenschutzrechtlichen Vorgaben in Art. 15 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und unter anderem auch auf folgende Informationen:

die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

In Anbetracht der Formulierung in Art. 15 DSGVO stellte sich in der Vergangenheit die Frage, in welchem Verhältnis die Begriffe stehen und wie konkret eine datenschutzrechtliche Auskunft insoweit sein muss. Und um genau diese Frage ging es auch in dem Ausgangsrechtsstreit, in dem zu einem Auskunftersuchen lediglich allgemeine Angaben zu den Kategorien von Empfängern erfolgten, jedoch keine Angaben zu konkreten Empfängern.

Nunmehr durch den EuGH geklärt: Empfänger von Daten müssen konkret benannt werden

In den ersten Instanzen war noch entschieden worden, dass Art. 15 Abs. 1 Buchst. c DSGVO durch den Verweis auf die „Empfänger oder Kategorien von Empfängern“ dem Verantwortlichen die Wahlmöglichkeit einräume, der betroffenen Person lediglich die Kategorien von Empfängern mitzuteilen, ohne die konkreten Empfänger der personenbezogenen Daten namentlich nennen zu müssen. Der EuGH hat zu der ihm vorgelegten Frage nunmehr jedoch abschließend geklärt:

Wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, dann ist der Verantwortliche verpflichtet, der betroffenen Person die Identität der Empfänger mitzuteilen.
Eine Ausnahme von diesem Grundsatz gilt nur für die Fälle, in denen es nicht möglich ist, die Empfänger zu identifizieren, oder in denen der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv sind. Dann kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

Was die Entscheidung für die Praxis bedeutet:

Wenn Sie personenbezogene Daten an Dritte übermitteln und in Ihren Vorlagen zur Beantwortung von Auskunftersuchen bislang Informationen über diese Empfänger der Daten lediglich in Form von Angaben zu den Kategorien diese Empfänger vorhalten, müssen Sie Ihre Vorlagen insoweit anpassen und nunmehr Angaben zu den konkreten Empfängern mit aufnehmen.

Vorsicht mit der Annahme eines Ausnahmefalls:

Der EuGH hat in seiner Entscheidung zwar eine Hintertür für die Ausnahmefälle offenkundig unbegründeter oder exzessiver Auskunftersuchen gelassen. Diese Hintertür ist nach meiner Auffassung allerdings sehr klein. Informationen zu entsprechenden Fällen finden Sie hier:

Wie Sie sich bei Rechtsmissbrauch gegen ein DSGVO-Auskunftverlangen wehren können

Im Zweifel sollten Sie bei Auskunftersuchen im Falle der Übermittlung personenbezogener Daten die entsprechenden Empfänger in der Auskunft konkret benennen.

Zu mir und meiner Tätigkeit:

Ich berate als Fachanwalt für IT-Recht bei Internetrecht-Rostock.de Unternehmen unter anderem zu datenschutzrechtlichen Fragen.

Weitere Informationen zu mir und meiner Tätigkeit können Sie meiner Profilseite, meinen Rechtstipps und meinem Bewertungsprofil entnehmen.

Ich berate Sie bundesweit auch kurzfristig.

Sie wünschen eine Beratung?

Sie wünschen ein Angebot für eine konkrete Beratung zu einem Ihnen vorliegenden datenschutzrechtlichen Auskunftersuchen?

Rufen Sie mich einfach an unter: 0381 260 567 30
Schicken Sie mir eine E-Mail an: rostock@internetrecht-rostock.de
Oder lassen Sie mir über die Funktion „Nachricht senden“ direkt unter diesem Rechtstipp eine Mitteilung zukommen.

Andreas Kempcke

Rechtsanwalt

Fachanwalt für IT-Recht

Zertifizierter Datenschutzbeauftragter (TÜV)

Internetrecht-Rostock.de

Möglicherweise ebenfalls für Sie interessant:

Auch ein Schreiben von der Datenschutzaufsicht erhalten?

Abmahnung wegen Datenschutzverstoß

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Andreas Kempcke

Veröffentlicht von:

Rechtsanwalt Andreas Kempcke

Datenschutzrecht • Wirtschaftsrecht

IT-Recht • Wettbewerbsrecht • Markenrecht • eBay & Recht • Urheberrecht & Medienrecht • Designrecht • Gewerblicher Rechtsschutz

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Andreas Kempcke

IDO e.V. und VSV e.V. machen weiterhin Vertragsstrafe geltend

Über das Vorgehen der Vereine IDO e.V. und VSV e.V. gegen Wettbewerbsverstöße hatte ich hier in der Vergangenheit bereits wiederholt berichtet. Zuletzt hatten sowohl der Interessenverband für das ... Weiterlesen
Verband Sozialer Wettbewerb e.V. geht gegen Werbung für Biozidprodukt ohne Warnhinweis vor

Hier in der Kanzlei wurde eine Abmahnung vom Verband Sozialer Wettbewerb e.V. wegen verschiedener Wettbewerbsverstöße vorgelegt, darunter unter anderem Verstöße gegen die Biozidverordnung ... Weiterlesen
Verband Sozialer Wettbewerb e.V. geht weiterhin gegen das Angebot von Hiobsträne vor

Hier in der Kanzlei wurde erneut eine Abmahnung vom Verband Sozialer Wettbewerb e.V. wegen des Angebots von Hiobstränensamen (Coix lacryma-jobi) vorgelegt. Wenn Sie auch eine solche Abmahnung ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Andreas Kempcke

Weitere

Beiträge zum Thema

Auftragsverarbeitung: Datenschutz bei der Verarbeitung personenbezogener Daten

17.01.2023

Auftragsverarbeitung: Was ist das? Eine Auftragsverarbeitung – früher Auftragsdatenverarbeitung genannt – liegt ... Weiterlesen
Personenbezogene Daten: Was Sie über Datenschutz wissen müssen!

26.08.2022

Sobald personenbezogene Daten erfasst werden – ob von Mitarbeitern, Website-Besuchern oder Kunden – handelt es ... Weiterlesen
Meine Daten gehören mir! Wie setze ich meine DSGVO-Ansprüche auf Auskunft und Schadensersatz durch?

20.04.2021

Ihre Daten gehören Ihnen! Sie kontrollieren, wer sie verarbeiten darf. Deshalb haben Sie nach Art. 15 DSGVO das ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt Rostock