RSS-Feed
Rechts-News Archiv
vorheriger Artikel

Zur Übersicht

nächster Artikel

EuGH: Bei DSGVO-Auskunft müssen konkrete Empfänger benannt werden, Kategorien-Nennung nicht ausreichend

16.01.2023
Drucken

Der EuGH hat eine sehr praxisrelevante und umstrittene Frage, die sich im Rahmen einer DSGVO-Auskunft stellte, beantwortet: Reicht es bei einer Auskunft nach Art. 15 DSGVO aus, lediglich die Kategorie von Empfängern zu benennen oder müssen jeweils die konkreten Empfänger benannt werden? Antwort: Die konkreten Empfänger (EuGH, Urt. v. 12.01.2023 - Az.: C-154/21).

In Art. 15 Abs.1 c) DSGVO heißt es:

"Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: (...)

die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen"

Bei einer normalen Datenschutzerklärung (z.B. auf einer Webseite) reicht es somit aus, die potenziellen Datenempfänger nach bloßen Kategorien zu benennen, ohne die konkreten Firmen zu erwähnen.

Was aber gilt, wenn eine konkrete DSGVO-Auskunft von einem Betroffenen verlangt wird? Reicht es auch hier, lediglich Kategorien zu nennen? 

Diese Frage hat der EuGH nun mit einem klaren "Nein" beantwortet. Bei einer individuellen DSGVO-Auskunft müssen grundsätzlich die Empfänger-Adressaten einzeln benannt werden:

"Art. 15 Abs. 1 Buchst. DSGVO ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen."

Anmeldung zu unserem Newsletter
Infos per RSS
Infos per Twitter
Infos per WhatsApp-Service