Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

EuGH: Bei DSGVO-Auskunft müssen konkrete Empfänger benannt werden, Kategorien-Nennung nicht ausreichend

Der EuGH hat eine sehr praxisrelevante und umstrittene Frage, die sich im Rahmen einer DSGVO-Auskunft stellte, beantwortet: Reicht es bei einer Auskunft nach Art. 15 DSGVO aus, lediglich die Kategorie von Empfängern zu benennen oder müssen jeweils die konkreten Empfänger benannt werden? Antwort: Die konkreten Empfänger (EuGH, Urt. v. 12.01.2023 - Az.: C-154/21).

In Art. 15 Abs.1 c) DSGVO heißt es:

"Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: (...)

die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen"

Bei einer normalen Datenschutzerklärung (z.B. auf einer Webseite) reicht es somit aus, die potenziellen Datenempfänger nach bloßen Kategorien zu benennen, ohne die konkreten Firmen zu erwähnen.

Was aber gilt, wenn eine konkrete DSGVO-Auskunft von einem Betroffenen verlangt wird? Reicht es auch hier, lediglich Kategorien zu nennen? 

Diese Frage hat der EuGH nun mit einem klaren "Nein" beantwortet. Bei einer individuellen DSGVO-Auskunft müssen grundsätzlich die Empfänger-Adressaten einzeln benannt werden:

"Art. 15 Abs. 1 Buchst. DSGVO ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen."

Zurück zu den Artikeln

Diese Artikel könnten Sie auch interessieren:

23. Juni 2023

EuGH: Auskunftsanspruch nach Art. 15 DSGVO ist ein Jedermann-Recht

Artikel lesen

Rechts-News durch­suchen

LG Frankfurt a.M.: Missachtete Verpixelung im Strafverfahren verletzt Persönlichkeitsrechte

Datenschutzrecht
22. April 2026
Ein Medienunternehmen verletzte das Persönlichkeitsrecht eines Angeklagten, wenn trotz gerichtlicher Anordnung sein Gesicht und seinen Namen zeigt.
ganzen Text lesen

VG Düsseldorf: Transportverschlüsselung bei E-Mails grundsätzlich ausreichend, Ende-zu-Ende-Verschlüsselung nicht notwendig

Datenschutzrecht
21. April 2026
Bei E-Mails mit normalen personenbezogenen Daten reicht eine Transportverschlüsselung aus, eine Ende-zu-Ende-Verschlüsselung ist nicht nötig.
ganzen Text lesen

BGH: DSGVO-Auskunftsanspruch nach Art. 15. DSGVO geht nicht automatisch als Nebenrecht über / Anspruch abtretbar?

Datenschutzrecht
16. April 2026
Ein Dritter kann eine DSGVO-Auskunft nur bei klarer Abtretung verlangen, wobei die Möglichkeit der Abtretung ungeklärt bleibt. Der Anspruch geht nicht…
ganzen Text lesen

BGH: Geschäftsführer können private Daten (Privatadresse und Unterschrift) aus Handelsregister löschen lassen

Datenschutzrecht
02. April 2026
Geschäftsführer dürfen private Adresse und Unterschrift aus dem Handelsregister löschen lassen, wenn sie nicht gesetzlich vorgeschrieben sind.
ganzen Text lesen

Rechts-News durchsuchen