EuGH-Urteil zur Information über Empfänger von Daten

Rechtsprechung

Der EuGH hat heute ein Urteil (EuGH, Urteil vom 12.01.2023, Az.: C-154/21) veröffentlicht, in dem die Frage beantwortet wird, ob Betroffene bei einem Auskunftsanspruch die Empfänger konkret benannt verlangen kann oder ob die Angabe einer Kategorie von Empfängern ausreicht.

Der EuGH bleibt hier seiner aktuellen „betroffenenfreundlichen“ Linie der Auslegung der DSGVO treu und hat entschieden, dass bei einem Auskunftsersuchen, das sich auf Art. 15 Abs. 1 lit. c) DSGVO bezieht, Folgendes gilt:

Wesentliche Aussage des EuGH

Verantwortliche müssen Betroffenen die Identität der Empfänger der personenbezogenen Daten mitteilen. Dies gilt dann nicht, wenn es für den Verantwortlichen nicht möglich ist, die Empfänger zu identifizieren. Es gilt ebenfalls nicht, wenn der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind. In diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

Erster Eindruck

Ich halte die Entscheidung im Ergebnis für richtig. Und der EuGH gibt sich diesmal etwas Mühe, die Entscheidung auch nachvollziehbar zu begründen.

In Rn. 40 des Urteils wird es bzgl. der Auslegung von Art. 19 DSGVO etwas schwammig. Hier hätte der EuGH stärker betonen können, dass die Benachrichtigungspflicht nur greift, wenn aufgrund eines Ersuchens eines Betroffenen eine Löschung oder Berichtigung erfolgt (und nicht bei jeder Berichtigung oder Löschung).

Hoffen wir mal, dass der EuGH das auch so meint. Denn die Rechtslage ist insoweit durchaus nicht unumstritten. Eine weite Auslegung würde m.E. die Benachrichtigungspflicht ad absurdum führen. Wir würden alle täglich mehrere Nachrichten bekommen, dass Daten gelöscht (oder geändert) wurden.

Da die Benachrichtigungspflicht im Grunde nicht neu ist und auch in der EG-Datenschutzrichtlinie 95/46/EG schon vorhanden war, wäre eine so weite Auslegung jedenfalls nicht zwingend. Früher ist die Norm jedenfalls nicht so ausgelegt worden. Man muss nur leider sagen, dass der Wortlaut von Art. 19 DSGVO das hergeben würde. Die Norm wäre also schon durch eine systematische und teleologische Auslegung zu beschränken.

Das wird jedenfalls wieder neue Diskussionen geben.

Fazit

Ein wieder mal wichtiges Urteil des EuGH. Diesmal in der Begründung auch gut nachvollziehbar.

Wenn du dir das Urteil in Kürze ansehen möchtest, brauchst du nur ab Rn. 30 zu lesen.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.