Muss ich alle Empfänger von Daten in Datenschutzhinweisen konkret angeben?

Die Informationspflichten in Art. 13 und 14 DSGVO gehören – ich wiederhole mich da immer wieder – zu den mit Abstand schlechtesten Regelungen der DSGVO.

Und es zeigt sich immer mehr, dass die Informationspflichten „europarechtskonform“ ausgelegt werden müssen. Hä? Europarechtlich? Die DSGVO ist doch Europarecht. Ja…richtig. Genau genommen ist die DSGVO aber europäisches Sekundärrecht. Und dieses Sekundärrecht darf europäischem Primärrecht wie z.B. dem Vertrag über die Arbeitsweise der Europäischen Union oder auch der Grundrechte-Charta der Europäischen Union (GRCh) nicht widersprechen.

Und da wären wir auch schon bei dem Problem. Denn eine weit ausgelegte Informationspflicht kann dazu führen, dass andere Grundrechte der GRCh verletzt werden. Nach den Grundsätzen von Art. 52 GRCh sind die Grundrechte hier in ein ausgewogenes Verhältnis zu bringen. Und zwar so, dass der Wesensgehalt des jeweiligen Grundrechts geachtet wird.

Das bedeutet konkret, dass z.B. das Recht auf den Schutz personenbezogener Daten des Art. 8 GRCh nicht den Wesensgehalt der Grundrechte auf Freiheit der Meinungsäußerung und Informationsfreiheit (Art. 11 GRCh), die Berufsfreiheit und Recht zu arbeiten (Art. 15 GRCh), die unternehmerische Freiheit (Art. 16 GRCh) und das Eigentumsrecht (Art. 17 GRCh) verletzen darf.

Im Ergebnis meine ich, dass daher z.B. eine konkrete Angabe der Empfänger von personenbezogenen Daten nach Art. 13 Abs. 1 lit. e) DSGVO und Art. 14 Abs. 1 lit. e) DSGVO selbst dann durch eine Angabe einer Kategorie von Empfängern ersetzt werden kann, wenn ich die Empfänger konkret kenne. Und ob ich das „muss“ ist z.B. in der rechtswissenschaftlichen Literatur momentan umstritten.

In dieser Podcast-Folge setzte ich mich einmal damit auseinander.