Der Europäische Gerichtshof hat mit Urteil vom 12.Jänner 2023, Rs. C-154/21 (RW/Post) entschieden, dass bei einem Auskunftsbegehren gemäß Art. 15 DSGVO konkrete Angaben über die Empfänger der personenbezogenen Daten des Betroffenen gemacht werden müssen.

Bloße Informationen über Kategorien von Empfängern, wie etwa die Branchenzugehörigkeit, werden nicht mehr als ausreichend erachtet. Die betroffene Person muss über die Identität des Empfängers informiert werden. Daher reicht es nicht aus, eine bestimmte Kategorie von Unternehmen, beispielsweise IT-Dienstleister, zu nennen, sondern es müssen die konkreten Unternehmen genannt werden. Eine Ausnahme besteht, wenn dies nicht möglich ist oder das Auskunftsbegehren „offenkundig unbegründet oder exzessiv“ ist.

Der Sachverhalt

Das EuGH-Urteil hatte einen österreichischen Datenskandal zum Gegenstand. Ein Betroffener hatte im Zuge eines Auskunftsbegehrens nach Art. 15 DSGVO bei der Österreichischen Post AG versucht, Informationen über die Weitergabe personenbezogener Daten zu erlangen. Die Österreichische Post hatte daraufhin mitgeteilt, dass sie personenbezogene Daten zu Marketingzwecken an Geschäftskunden weitergegeben habe, darunter etwa werbetreibende Händler, IT-Unternehmen, NGOs oder Parteien. Nachdem die Post zu keinen näheren Auskünften bezüglich der Datenempfänger bereit war, ging der Fall bis zum Obersten Gerichtshof Österreichs (OGH).

Der OGH legte schließlich die Frage, ob die Österreichische Post die Empfänger genau benennen muss, dem Europäischen Gerichtshof (EuGH) vor.

Im Zuge einer Untersuchung kam die österreichische Datenschutzbehörde zu dem Ergebnis, dass die Marketingmaßnahmen der Post schon allein deswegen unzulässig waren, weil die Post unter anderem die Zuordnung politischer Neigungen aufgrund von demografischen Daten vorgenommen hatte.

Zudem hätte es die Post den betroffenen Personen auch ermöglichen müssen, datenschutzrechtliche Fragen per E-Mail zu stellen. Es wurde ein Bußgeld von 9,5 Mio. EUR verhängt.

Der Datenskandal ist für die Post aber noch nicht ausgestanden: Das Bundesverwaltungsgericht hob zwar die 2019 verhängte Strafe von 18 Mill. Euro auf, dagegen legte die Datenschutzbehörde aber Amtsrevision beim Verwaltungsgerichtshof ein, welcher noch nicht entschieden hat.

Was ist eigentlich ein Auskunftsbegehren?

Jeder Betroffene, also jede Person von der personenbezogene Daten verarbeitet werden, kann von einem Unternehmen verlangen informiert zu werden, ob und wenn ja, welche personenbezogenen Daten von ihm verarbeitet werden. Dies ist ohne Begründung möglich.

Bei einem Auskunftsbegehren ist über folgende Punkte zu informieren:

1. die Zwecke der Verarbeitung,
2. die Kategorien der verarbeiteten Daten,
3. die Empfänger oder Kategorien von Empfängern dieser Daten,
4. die Speicherdauer oder die Kriterien für deren Bemessung,
5. und das Bestehen gewisser Schutzrechte,
6. ggf. über die Herkunft der Daten und
7. ggf. über die Durchführung einer automatisierten Entscheidungsfindung.

Was ist nun zu beachten?

Das Urteil des EUGH sorgt nicht nur für weitere Klarheit und Sicherheit im Bereich des Datenschutzrechts, sondern stellt für Unternehmen eine Verschärfung der datenschutzrechtlichen Anforderungen dar und dürfte bei der Beantwortung von Auskunftsersuchen für mehr Aufwand sorgen.

Nun besteht Rechtsklarheit darüber, dass im Falle eines Auskunftsbegehrens auch die konkreten Empfänger genannt werden müssen. Auskünfte an Bürger über verarbeitete Daten müssen möglichst konkret und nicht nur allgemein gegeben werden.