Österreichische Post muss Empfänger personenbezogener Daten nennen

Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden. Daher muss der für die Datenverarbeitung Verantwortliche grundsätzlich die Identität der Empfänger bekanntgeben. Ist es nicht möglich, die Empfänger zu identifizieren, oder ist der Antrag offenkundig unbegründet oder exzessiv, so kann der Verantwortliche sich jedoch darauf beschränken, nur die Empfängerkategorien mitzuteilen, so der Europäische Gerichtshof.

Bürger verlangt Auskunft über Offenlegung personenbezogener Daten

Ein Bürger beantragte bei der Österreichischen Post, der größten Anbieterin von Post- und Logistikdiensten in Österreich, ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe. Er stützte sich auf die Datenschutz-Grundverordnung (DSGVO). Diese sieht vor, dass eine betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Bei der Beantwortung der Anfrage des Bürgers beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an. Der Bürger erhob daraufhin gegen die Österreichische Post Klage vor den österreichischen Gerichten.

EuGH-Vorlage: Reicht Angabe von Empfänger-Kategorien?

Im Lauf des gerichtlichen Verfahrens teilte die Österreichische Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten. Der Oberste Gerichtshof legte die Sache dem EuGH vor. Dieser möge klären, ob die DSGVO es dem für die Datenverarbeitung Verantwortlichen freistellt, ob er der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt, oder ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren.

Grundsätzlich Identität der Empfänger mitzuteilen

Laut EuGH muss der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, der betroffenen Person auf Anfrage die Identität der Empfänger mitteilen. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, könne sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies sei ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist. Der Gerichtshof weist darauf hin, dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, um es ihr zu ermöglichen, die anderen Rechte auszuüben, die ihr gemäß der DSGVO zukommen, nämlich das Recht auf Berichtigung, das Recht auf Löschung ("Recht auf Vergessenwerden"), das Recht auf Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung oder auch das Recht auf einen Rechtsbehelf im Schadensfall.

EuGH, Urteil vom 12.01.2023 - C-154/21

Redaktion beck-aktuell, 12. Januar 2023.

Weiterführende Links

Zum Thema im Internet

Das Urteil des EuGH ist auf den Seiten des Gerichtshofs im Volltext veröffentlicht.

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.