Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

EuGH: Bei DSGVO-Auskunft müssen konkrete Empfänger benannt werden, Kategorien-Nennung nicht ausreichend

Der EuGH hat eine sehr praxisrelevante und umstrittene Frage, die sich im Rahmen einer DSGVO-Auskunft stellte, beantwortet: Reicht es bei einer Auskunft nach Art. 15 DSGVO aus, lediglich die Kategorie von Empfängern zu benennen oder müssen jeweils die konkreten Empfänger benannt werden? Antwort: Die konkreten Empfänger (EuGH, Urt. v. 12.01.2023 - Az.: C-154/21).

In Art. 15 Abs.1 c) DSGVO heißt es:

"Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: (...)

die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen"

Bei einer normalen Datenschutzerklärung (z.B. auf einer Webseite) reicht es somit aus, die potenziellen Datenempfänger nach bloßen Kategorien zu benennen, ohne die konkreten Firmen zu erwähnen.

Was aber gilt, wenn eine konkrete DSGVO-Auskunft von einem Betroffenen verlangt wird? Reicht es auch hier, lediglich Kategorien zu nennen? 

Diese Frage hat der EuGH nun mit einem klaren "Nein" beantwortet. Bei einer individuellen DSGVO-Auskunft müssen grundsätzlich die Empfänger-Adressaten einzeln benannt werden:

"Art. 15 Abs. 1 Buchst. DSGVO ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen."

Rechts-News durch­suchen

09. April 2024
Reiner Kontrollverlust über Daten begründet keinen DSGVO-Schadensersatzanspruch, ohne Nachweis konkreter negativer Folgen.
ganzen Text lesen
05. April 2024
Verspätete DSGVO-Auskünfte sind Wettbewerbsverletzungen, die durch Verbraucherzentralen verfolgbar sind.
ganzen Text lesen
04. April 2024
Der Geschäftsführer einer GmbH hat keinen Anspruch auf Löschung seiner persönlichen Daten (hier: Geburtstag und Wohnort) aus dem Handelsregister.
ganzen Text lesen

Rechts-News durchsuchen