Unternehmen müssen konkrete Identität von Datenempfänger:innen offenlegen

Sind Unternehmen verpflichtet genau mitzuteilen, an wen sie personenbezogene Daten von Kund:innen weitergegeben haben? Darüber musste jüngst der Europäische Gerichtshof entscheiden.

Darüber musste jüngst der Europäische Gerichtshof entscheiden. Ein Bürger hatte von der Österreichischen Post verlangt, offenzulegen, an welche Unternehmen diese seine personenbezogenen Daten weitergegeben hatte. Die Post beschränkte sich vorerst darauf, dass sie die Daten rechtlich zulässig verwende, verschwieg jedoch, an wen genau sie die Daten weitergab. Daraufhin klagte der Bürger und stützte seine Klage auf Art. 15 I lit. C DSGVO, der einen Anspruch auf Auskunft der Empfänger oder deren Kategorien, gegenüber denen personenbezogene Daten offengelegt worden sind oder werden, gewährt.


Später legte sie zumindest offen, zu welchen Kategorien die Empfäger:innen der Daten gehörten. Da der österreichische Oberste Gerichtshof Zweifel über die Auslegung der DSGVO bezüglich der konkreten Identität der Empfänger:innen hatte, legte er dem EuGH dies zur Klärung vor. Der EuGH entschied nun, dass Betroffenen grundsätzlich die konkrete Identität der Empfänger:innen mitzuteilen sei. Dabei ergebe sich dies jedoch nicht direkt aus Art. 15 I lit. C DSGVO, sondern sei notwendig, um mehrere Rechten aus der DSGVO zur praktischen Wirksamkeit zu verhelfen. Hierzu zählten insbesondere das Recht des „Vergessenwerdens“, der Einschränkung der und Widerspruch gegen die Datenverarbeitung.


Nur so könne dem hohen Datenschutzniveau für natürliche Personen Rechnung getragen werden. Dass der EuGH nun bereits im Grundsatz davon ausgeht, dass die konkrete Identität der Empfänger:innen von Daten bereitzustellen ist, verschärft die datenschutzrechtlichen Anforderungen an Unternehmen. Indem Auskunftsersuchen innerhalb von 4 Wochen beantwortet werden müssen, empfiehlt es sich, die notwendigen Daten bereits im Voraus zusammenzustellen.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser:innen interessierten sich für:

Europäischer Datenschutzausschuss aktualisiert Guidelines für die Meldung von Datenschutzverletzungen
Mit den Guidelines für die Meldung von Datenschutzverletzungen stellt der Europäische Datenschutzausschuss (EDSA) eine praxisnahe Handreichung ...
Chinas neues Datenschutzgesetz – mit erstaunlicher Ähnlichkeit zur DSGVO
Zum 1. November tritt in China ein Datenschutzgesetz in Kraft, welches in weiten Teilen der europäischen Datenschutz-Grundverordnung (DSGVO) sehr ähnlich ist.
BVerfG: Beschluss zu Schadensersatzklagen nach DSGVO
Das Bundesverfassungsgericht (BVerfG) stellt mit Beschluss vom 14.01.2021 klar, dass Fragen zur Bagatellgrenze bei DSGVO-Schadensersatzansprüchen abschließend durch den EuGH zu klären sind. Deutsche Gerichte dürften Klagen auf Schadensersatz nach Art. 82 DSGVO hingegen nicht ohne Weiteres aufgrund eines vermeintlichen Bagatellschadens abweisen.

News

Datenschutzrecht  // 06.02.2023
Unternehmen müssen konkrete Identität von Datenempfänger:innen offenlegen
Sind Unternehmen verpflichtet genau mitzuteilen, an wen sie personenbezogene Daten von Kund:innen weitergegeben haben? Darüber musste jüngst ...
Datenschutzrecht  // 24.10.2022
Abmahnwelle Google Fonts
Kostenpflichtige Abmahnungen wegen nicht datenschutzkonformer Einbindung von Google Fonts in Webseiten nehmen stark zu. Viele Unternehmen zahlen ...
Kanzlei-News  // 08.08.2022
Wir beraten im IT–Sicherheitsrecht!
Erfolgreiche Cyberattacken führen zunehmend zu erheblichen Schäden in Unternehmen. Zu einem ganzheitlichen Information Security Management ...