Unternehmen müssen konkrete Identität von Datenempfänger:innen offenlegen

Darüber musste jüngst der Europäische Gerichtshof entscheiden. Ein Bürger hatte von der Österreichischen Post verlangt, offenzulegen, an welche Unternehmen diese seine personenbezogenen Daten weitergegeben hatte. Die Post beschränkte sich vorerst darauf, dass sie die Daten rechtlich zulässig verwende, verschwieg jedoch, an wen genau sie die Daten weitergab. Daraufhin klagte der Bürger und stützte seine Klage auf Art. 15 I lit. C DSGVO, der einen Anspruch auf Auskunft der Empfänger oder deren Kategorien, gegenüber denen personenbezogene Daten offengelegt worden sind oder werden, gewährt.

Später legte sie zumindest offen, zu welchen Kategorien die Empfäger:innen der Daten gehörten. Da der österreichische Oberste Gerichtshof Zweifel über die Auslegung der DSGVO bezüglich der konkreten Identität der Empfänger:innen hatte, legte er dem EuGH dies zur Klärung vor. Der EuGH entschied nun, dass Betroffenen grundsätzlich die konkrete Identität der Empfänger:innen mitzuteilen sei. Dabei ergebe sich dies jedoch nicht direkt aus Art. 15 I lit. C DSGVO, sondern sei notwendig, um mehrere Rechten aus der DSGVO zur praktischen Wirksamkeit zu verhelfen. Hierzu zählten insbesondere das Recht des „Vergessenwerdens“, der Einschränkung der und Widerspruch gegen die Datenverarbeitung.

Nur so könne dem hohen Datenschutzniveau für natürliche Personen Rechnung getragen werden. Dass der EuGH nun bereits im Grundsatz davon ausgeht, dass die konkrete Identität der Empfänger:innen von Daten bereitzustellen ist, verschärft die datenschutzrechtlichen Anforderungen an Unternehmen. Indem Auskunftsersuchen innerhalb von 4 Wochen beantwortet werden müssen, empfiehlt es sich, die notwendigen Daten bereits im Voraus zusammenzustellen.