Bür­ger ver­langt Aus­kunft über Of­fen­le­gung per­so­nen­be­zo­ge­ner Daten

Ein Bür­ger be­an­trag­te bei der Ös­ter­rei­chi­schen Post, der grö­ß­ten An­bie­te­rin von Post- und Lo­gis­tik­diens­ten in Ös­ter­reich, ihm mit­zu­tei­len, ge­gen­über wel­chen Emp­fän­gern sie seine per­so­nen­be­zo­ge­nen Daten of­fen­ge­legt habe. Er stütz­te sich auf die Da­ten­schutz-Grund­ver­ord­nung (DSGVO). Diese sieht vor, dass eine be­trof­fe­ne Per­son das Recht hat, von dem Ver­ant­wort­li­chen In­for­ma­tio­nen über die Emp­fän­ger oder Ka­te­go­ri­en von Emp­fän­gern zu er­hal­ten, ge­gen­über denen ihre per­so­nen­be­zo­ge­nen Daten of­fen­ge­legt wor­den sind oder noch of­fen­ge­legt wer­den. Bei der Be­ant­wor­tung der An­fra­ge des Bür­gers be­schränk­te sich die Ös­ter­rei­chi­sche Post auf die Mit­tei­lung, sie ver­wen­de per­so­nen­be­zo­ge­ne Daten, so­weit das recht­lich zu­läs­sig sei, im Rah­men ihrer Tä­tig­keit als Her­aus­ge­be­rin von Te­le­fon­bü­chern und biete diese Daten Ge­schäfts­kun­den für Mar­ke­ting­zwe­cke an. Der Bür­ger erhob dar­auf­hin gegen die Ös­ter­rei­chi­sche Post Klage vor den ös­ter­rei­chi­schen Ge­rich­ten.

EuGH-Vor­la­ge: Reicht An­ga­be von Emp­fän­ger-Ka­te­go­ri­en?

Im Lauf des ge­richt­li­chen Ver­fah­rens teil­te die Ös­ter­rei­chi­sche Post dem Bür­ger wei­ter mit, seine Daten seien an Kun­den wei­ter­ge­ge­ben wor­den, zu denen wer­be­trei­ben­de Un­ter­neh­men im Ver­sand­han­del und sta­tio­nä­ren Han­del, IT-Un­ter­neh­men, Adress­ver­la­ge und Ver­ei­ne wie Spen­den­or­ga­ni­sa­tio­nen, Nicht­re­gie­rungs­or­ga­ni­sa­tio­nen (NGOs) oder po­li­ti­sche Par­tei­en ge­hört hät­ten. Der Obers­te Ge­richts­hof legte die Sache dem EuGH vor. Die­ser möge klä­ren, ob die DSGVO es dem für die Da­ten­ver­ar­bei­tung Ver­ant­wort­li­chen frei­stellt, ob er der be­trof­fe­nen Per­son die kon­kre­te Iden­ti­tät der Emp­fän­ger oder nur die Ka­te­go­ri­en von Emp­fän­gern mit­teilt, oder ob die be­trof­fe­ne Per­son gemäß der DSGVO das Recht hat, die kon­kre­te Iden­ti­tät die­ser Emp­fän­ger zu er­fah­ren.

Grund­sätz­lich Iden­ti­tät der Emp­fän­ger mit­zu­tei­len

Laut EuGH muss der Ver­ant­wort­li­che, wenn per­so­nen­be­zo­ge­ne Daten ge­gen­über Emp­fän­gern of­fen­ge­legt wor­den sind oder noch of­fen­ge­legt wer­den, der be­trof­fe­nen Per­son auf An­fra­ge die Iden­ti­tät der Emp­fän­ger mit­tei­len. Nur wenn es (noch) nicht mög­lich ist, diese Emp­fän­ger zu iden­ti­fi­zie­ren, könne sich der Ver­ant­wort­li­che dar­auf be­schrän­ken, le­dig­lich die Ka­te­go­ri­en der be­tref­fen­den Emp­fän­ger mit­zu­tei­len. Dies sei eben­falls der Fall, wenn der Ver­ant­wort­li­che nach­weist, dass der An­trag of­fen­kun­dig un­be­grün­det oder ex­zes­siv ist. Der Ge­richts­hof weist dar­auf hin, dass die­ses Aus­kunfts­recht der be­trof­fe­nen Per­son er­for­der­lich ist, um es ihr zu er­mög­li­chen, die an­de­ren Rech­te aus­zu­üben, die ihr gemäß der DSGVO zu­kom­men, näm­lich das Recht auf Be­rich­ti­gung, das Recht auf Lö­schung ("Recht auf Ver­ges­sen­wer­den"), das Recht auf Ein­schrän­kung der Ver­ar­bei­tung, das Recht auf Wi­der­spruch gegen die Ver­ar­bei­tung oder auch das Recht auf einen Rechts­be­helf im Scha­dens­fall.