Ein Gastbeitrag von Dr. Claudio Arturo und Maximilian Wiesner
Übersicht
Hintergrund
Ein Datenskandal der teilstaatlichen Österreichische Post AG beschäftigt seit 2019 die österreichischen Gerichte. Der Vorwurf lautete, dass die Post rechtswidrig in Marketingaktionen eine Zuordnung politischer Neigungen aufgrund von demografischen Daten vorgenommen habe. Die bis dahin höchste von der österreichischen Datenschutzbehörde verhängte Strafe wurde wegen eines Formalfehlers im Jahr 2020 vom Bundesverwaltungsgericht aufgehoben.
Mit einem Ausläufer dieses Skandals muss sich nun auch der Europäische Gerichtshof befassen. Vor kurzem wurde der Schlussantrag des Generalanwalts veröffentlicht.
Grundlagen
Nach Art 15 Abs 1 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden; ist dies der Fall, hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und (lit c) „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen „.
Problem
Fraglich ist allerdings, ob der Verantwortliche das Wahlrecht hat, Empfänger oder lediglich Kategorien von Empfängern bekannt zu geben. Zu dieser Frage liegen sowohl in Österreich als auch Deutschland entgegengesetzte Lehrmeinungen vor:
Für ein Wahlrecht spricht sich Paal in Paal/Pauly, DS‑GVO/BDSG 2 Art 15 DSGVO Rz 6, aus. Der Verantwortliche könne sich daher stets auf die Angabe von Kategorien von Empfängern beschränken.
Den gegensätzlichen Standpunkt vertritt etwa Bäcker in Kühling/Buchner, DS‑GVO/BDSG2 Art 15 DSGVO Rz 16 f. Demnach müsse der Verantwortliche den Empfänger der Daten auf Verlangen nennen, soweit er diesen noch oder schon kenne.
Das Verfahren
Der Kläger ersuchte die Post unter Verweis auf Art 15 DSGVO (u.a.) um Auskunft darüber, wer – sofern es überhaupt zu einer Weitergabe gekommen sei – die konkreten Empfänger der erhobenen personenbezogenen Daten gewesen seien.
Die Post verwies in ihrem Antwortschreiben bezüglich dieser Frage auf die Datenschutzinformation auf ihrer Website. In dieser wiederum listete die Post beispielhaft einige Kategorien von Empfängern auf, denen die Daten der betroffenen Personen unter Umständen übermittelt werden würden.
Erst im Zuge des vorliegenden Gerichtsverfahrens bestätigte die beklagte Post zwar, die erhobenen Daten zu Marketingzwecken an Geschäftskunden weitergegeben zu haben, machte aber abgesehen von den Branchen – darunter Versand- und stationärer Handel sowie Vereine wie NGOs und auch Parteien – keine genauen Angaben. Konkrete Empfänger der Daten des Klägers gab die Post dem Kläger zu keinem Zeitpunkt bekannt.
Der Kläger brachte vor, die Angaben der Post entsprächen nicht den gesetzlichen Anforderungen des Art 15 DSGVO. Die Auskunft sei weder dem Genauigkeitsgebot noch dem Verständlichkeitsgebot des Art 12 Abs 1 Satz 1 DSGVO gerecht geworden.
Fraglich ist nun, ob Art 15 Abs 1 lit c DSGVO dahingehend auszulegen ist, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind.
Weil sich die Rechtsfrage aus Sicht des (österreichischen) Obersten Gerichtshofs nicht abschließend aus dem Wortlaut des Art 15 Abs 1 lit c DSGVO beantworten ließ, beschloss das Gericht, das Revisionsverfahren auszusetzen und die Frage dem EuGH vorzulegen.
Der Schlussantrag des EuGH-Generalanwalts
Im Schlussantrag des EuGH-Generalanwalts Giovanni Pitruzzella heißt es nun, dass die Post im Sinne des in der DSGVO vorgesehenen Auskunftsrechts sehr wohl über „die Angabe der konkreten Empfänger der Offenlegungen ihrer personenbezogenen Daten“ informieren müsse.
Nur wenn es aus „tatsächlichen Gründen unmöglich“ sei, konkrete Empfänger zu ermitteln, könne das Auskunftsrecht beschränkt werden, heißt es weiter. Nur so seien die in der DSGVO vorgesehenen Rechte auf Löschung, Berichtigung und Beschränkung der Verarbeitung gewährleistet, heißt es darin weiter.
Üblicherweise folgt der EuGH dem Vorschlag des Generalanwalts.
Conclusio
Für die Praxis ist bedeutend, dass der Verantwortliche voraussichtlich (also wenn der EuGH tatsächlich den Ausführungen des Generalanwalts folgt) im Falle eines Auskunftsersuchens einer betroffenen Person dieser in seiner Auskunft stets auch den konkreten Empfänger der offengelegten Daten bekannt zu geben hat. Die Auskunft kann sich nur dann auf die Angabe von Kategorien von Empfängern beschränken, wenn es aus tatsächlichen Gründen unmöglich ist, die konkreten Empfänger der Daten zu bestimmen, oder wenn der Verantwortliche nachweist, dass die Anträge der betroffenen Person iSv Art 12 Abs 5 DSGVO offensichtlich unbegründet oder exzessiv sind.
Soweit wird die Situation, wie bei einem konkreten Auskunftsersuchen vorzugehen ist, klarer. Ungeklärt bleibt vorerst, ob vorab, nämlich im Zuge der Informationspflichtenerfüllung gemäß Art 13 DSGVO, weiterhin die bloße Angabe der Empfängerkategorien ausreicht, selbst wenn der Verantwortliche einen konkreten Empfänger bereits kennt. Dies ist praxisrelevant, weil der Verantwortliche bei wechselnden Empfängern einer Kategorie so nicht ständig die Datenschutzinformation überarbeiten müsste.
Zu den Autoren:
Dr. Claudio Arturo ist Rechtsanwalt und Mediator in Wien. Als Partner der Wirtschaftsrechtssozietät PFKA Rechtsanwälte berät er auf Deutsch, Englisch und Italienisch hauptsächlich im Bereich Unternehmens- und Vertragsrecht häufig mit internationalem Bezug.
Dr. Claudio ARTURO
claudio.arturo@pfka.eu
Petsch Frosch Klein Arturo Rechtsanwälte
A-1010 Wien, Schubertring 14
Telefon: +43 1 586 21 80
http://www.pfka.eu
Dieser Beitrag wurde gemeinsam mit Herrn Mag. Maximilian Wiesner, Rechtsanwaltsanwärter in der Sozietät PFKA erarbeitet.
Was Sie auch interessieren könnte:
Österreich: Grundrecht auf Datenschutz für juristische Personen