Am 9. Juni 2022 hat Generalanwalt Pitruzzella zu einer nahenden Entscheidung des EuGH (Rechtssache C‑154/21) seine Schlussanträge vorgelegt.
In dem Verfahren aus Österreich geht es um die praxisrelevante Frage, ob Verantwortliche im Rahmen der Antwort auf Auskunftsanträge nach Art. 15 DSGVO den Betroffenen die konkreten Empfänger von Daten oder aber nur die Empfängerkategorien zur Verfügung stellen müssen (Art. 15 Abs. 1 lit. c DSGVO). Die Antwort auf diese Frage hat weitreichende Konsequenzen: müssten alle Datenempfänger konkret benannt werden, bedeutet dies, dass der zur Auskunft verpflichtete Verantwortliche jegliche (gemeinsam oder getrennt) Verantwortliche und (!) Auftragsverarbeiter aufführen muss, die Daten von ihm erhalten. Denn „Empfänger“ sind auch die Auftragsverarbeiter.
In der Praxis bedeutet dies natürlich, dass man im Grunde auch alle Stellen kennen muss, die Daten erhalten. Das kann in der heutigen Zeit durchaus herausfordernd sein. Stellen Sie sich hierzu einmal eine Webseite / App vor, auf der verschiedenste Dienstleister eingebunden sind.
Konkret geht es in dem Verfahren um die Auslegung von Art. 15 Abs. 1 lit. c DSGVO, in dem es heißt: „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“.
Der Generalanwalt legt die Norm nach verschiedenen Kriterien, u.a. Wortlaut und Sinn und Zweck aus. Hierbei kommt er zu einem klaren Ergebnis: Art. 15 Abs. 1 lit. c DSGVO ist dahin auszulegen, dass das dort vorgesehene Auskunftsrecht der betroffenen Person auf deren Antrag notwendigerweise auf die Angabe der konkreten Empfänger der Offenlegungen ihrer personenbezogenen Daten zu erstrecken ist.
Zur Begründung führt der Generalanwalt unter anderem folgende Argumente an:
- Die Begriffe „Empfänger“ und „Kategorien von Empfängern“ sind neutral nebeneinander aufgeführt, ohne dass daraus geschlossen werden kann, dass zwischen diesen Begriffen ein Vorrangverhältnis besteht.
- Die Struktur der Norm spreche dafür, einer Auslegung den Vorzug zu geben, wonach es der betroffenen Person obliegt, die Wahl zwischen den beiden dort vorgesehenen Alternativen zu treffen.
- Die Ausübung des Auskunftsrechts muss es der betroffenen Person insbesondere ermöglichen, sich nicht nur zu vergewissern, dass ihre personenbezogenen Daten fehlerfrei verarbeitet werden, sondern auch, dass diese an Empfänger gerichtet sind, die zu ihrer Verarbeitung befugt sind. Das setzt grundsätzlich voraus, dass die Mitteilung von Informationen so präzise wie möglich erfolgt.
- Würde man die Nennung von Kategorien ausreichen lassen, würde der betroffenen Person die Möglichkeit genommen, in vollem Umfang die Rechtmäßigkeit der vom Verantwortlichen vorgenommenen Verarbeitung und insbesondere die Rechtmäßigkeit der bereits erfolgten Offenlegungen von Daten überprüfen zu können.
Gleichzeitig macht der Generalanwalt zwei Ausnahmen:
- In einem Fall, in dem aus tatsächlichen Gründen die Erteilung einer Auskunft über konkrete Empfänger nicht möglich ist, z. B. wenn diese tatsächlich noch nicht identifiziert wurden.
- Zudem sei die Ausübung des Auskunftsrechts der betroffenen Person und die Erfüllung der entsprechenden Verpflichtung des Aufraggebers anhand der Grundsätze der Rechtmäßigkeit und der Verhältnismäßigkeit zu beurteilen. Diese Ausnahme ist spannend, denn hier verweist der Generalanwalt auch auf den möglichen Einwand nach Art. 12 Abs. 5 DSGVO, bei offenkundig unbegründeten oder exzessiven Anträgen.
Es handelt sich „nur“ um die Schlussanträge. Doch wenn man die Rechtsprechung des EuGH im Bereich Datenschutz anschaut, würde ich vermuten, dass er dem Ergebnis des Generalanwalts folgt.
Was bedeutet dies?
- Sollte der EuGH entsprechend entscheiden, müssen bei der Beantwortung von Auskunftsanträgen jeweils immer die spezifischen Empfänger der Daten angegeben werden. Das setzt voraus, dass datenverarbeitendes Stelle alle Empfänmger auch kennen. Bedeutet: man muss wissen, wo welche Daten hingehen. Das ist in der Praxis eine Herausforderung. Ein gut geführter Verzeichnis nach Art. 30 DSGVO kann in solchen Fällen ein echter Segen sein.
- Auch Art. 13 Abs. 1 und 14 Abs. 1 DSGVO enthalten eine entsprechende Vorgabe, wie Art. 15 Abs. 1 lit. c DSGVO; ich würde vermuten, dass insbesondere Aufsichtsbehörden die Begründung in diesem Verfahren daher auch auf Datenschutzerklärungen anwenden. Das bedeutet, diese müssten angepasst und um Empfängerlisten ergänzt werden.