Ein Schritt vor und zwei zurück?
EuGH konkretisiert die Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO und wirft gleichzeitig neue Fragen auf.
Der Auskunftsanspruch nach Art. 15 DSGVO beschäftigt viele Unternehmen und Gerichte. Beim Europäischen Gerichtshof (EuGH) sind unzählige Verfahren anhängig, die den Auskunftsanspruch nach Art. 15 DSGVO zum Gegenstand haben.
Mit seiner Entscheidung vom 12. Januar 2023 (Rechtssache C-154/21) hat der EuGH mit einer weiteren Detailfrage aufgeräumt und die Reichweite des Auskunftsanspruchs konkretisiert.
Hintergrund: Auskunftsanspruch in seine Folgen in der Praxis.
Nach Art. 15 DSGVO können betroffene Personen von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, ob der Verantwortliche personenbezogene Daten verarbeitet und wenn ja, welche. Der Auskunftsanspruch erfasst alle beim Verantwortlichen gespeicherten Daten und Informationen mit Personenbezug. Er beschränkt sich nicht nur auf Stammdaten wie etwa Name, Adresse und Geburtsdatum, sondern erfasst beispielsweise auch die mit dem Auskunftsersuchenden geführte Kommunikation und sonstige Dokumente, soweit diese personenbezogenen Daten des Auskunftsersuchenden enthalten.
Die rechtskonforme Information ist für den Verantwortlichen regelmäßig mit erheblichem Aufwand verbunden, insbesondere dann, wenn der Auskunftsverpflichtete kein Datenschutzmanagementsystem implementiert hat. Wegen des mit der Auskunftserteilung verbundenen Aufwands und den Risiken einer fehlerhaften oder unvollständigen Auskunftserteilung wird das Recht aus Art. 15 DSGVO häufig als Druckmittel in Verhandlungen mit dem Verantwortlichen genutzt.
Nach Art. 15 Abs. 1 lit c.) DSGVO kann der Verantwortliche wählen, ob er dem Auskunftsersuchenden die einzelnen Empfänger oder lediglich Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offen gelegt werden, mitteilt. Um den mit der Auskunftserteilung verbundenen Aufwand zu reduzieren, beschränken sich zur Auskunft Verpflichtete deshalb häufig darauf, „nur“ die Kategorien von Empfängern mitzuteilen.
Diese Option hat der EuGH nun eingeschränkt.
Entscheidung des EUGH: Auf Verlangen grundsätzlich konkrete Information!
Mit seinem Urteil vom 12. Januar 2023 (Rechtssache C-154/21) hat der EuGH festgestellt, dass der Verantwortliche, wenn personenbezogene Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.
Konsequenzen für die Praxis.
Oberflächlich betrachtet erhöht sich mit der nun festgestellten Verpflichtung zur Benennung individueller Empfänger „nur“ der Aufwand für den Auskunftsverpflichteten. Schaut man genauer hin, kann die konkretisierte Auskunftspflicht zum Problem werden, schließlich lassen die Empfängerdaten auf konkrete Geschäftsbeziehungen und unter Umständen auch auf geheimhaltungsbedürftige Informationen schließen.
Ob und unter welchen Voraussetzungen der zur Auskunft Verpflichtete berechtigt ist, sich trotz Konkretisierungsverlangens auf die Mitteilung von Kategorien von Empfängern zu beschränken oder bestimmte Daten und Informationen gänzlich von seiner Auskunft auszunehmen, beispielsweise, weil mit der Auskunft vertrauliche Informationen oder geheimhaltungsbedürftige Kontakte offengelegt würden, hat der EuGH bislang nicht entschieden. Ob die Urteilsgründe des EuGH im vorliegenden Verfahren für Klarheit sorgen werden, bleibt abzuwarten. Bislang ist nur die Pressemitteilung zur Entscheidung veröffentlicht.
Mitarbeitende des Verantwortlichen keine „Empfänger“ im Sinne von Art. 15 Abs. 1 lit. c.) DSGVO.
Mitarbeitende des Verantwortlichen sind wohl keine „Empfänger“ im Sinne von Art. 15 Abs. 1 lit. c.) DSGVO. Die Namen von Mitarbeitenden des Verantwortlichen müssen dem Auskunftsersuchenden wohl auch bei konkretisiertem Auskunftsverlangen nicht mitgeteilt werden. Darauf lassen jedenfalls die Schlussanträge des Generalanwalts beim EuGH in dem Verfahren C-579-21 vom 15.12.2022 schließen. Der Generalanwalt hat hier die Auffassung vertreten, dass der Begriff des Empfängers nicht die bei einer juristischen Person Beschäftigten einschließt, die unter der Aufsicht und auf Weisungen des Verantwortlichen seine personenbezogenen Daten verarbeiten.
Praxistipp.
Verantwortliche sollten das Auskunftsverlangen in einem ersten Schritt detailliert prüfen:
Sind bei einer allgemein gehaltenen Anfrage Daten relevant, die auch an „Empfänger“ verschickt wurden, sollte grundsätzlich das Auskunftsverlangen trotz der Entscheidung des EuGH mit der Mitteilung der Kategorien von Empfängern beantwortet werden. Dadurch wird der Aufwand einer Auskunft überschaubar gehalten und das Risiko einer versehentlichen Offenlegung von geheimhaltungs- oder sonst schutzwürdigen Informationen reduziert.
Ist das Verlangen aber bereits dezidiert auch auf die einzelnen Empfänger bezogen oder wird dies entsprechend konkretisiert, sollte zunächst geprüft werden, ob das Auskunftsverlangen nicht offenkundig unbegründet oder exzessiv ist. Dann kann eine detaillierte Auskunft unter Umständen unterbleiben.
Die zugrundeliegende Prüfung und Entscheidung sowie ihre Gründe hierfür sollten dokumentiert werden.
In einem zweiten Schritt sollte sorgfältig geprüft werden, ob mit der konkretisierenden Auskunft geheimhaltungs- oder sonst schutzwürdige Informationen offengelegt würden oder ob sich aus der Auskunft Rückschlüsse auf solche Informationen ziehen lassen. Ist dies der Fall, stehen sich das Interesse des Auskunftsverpflichteten am Schutz geheimhaltungsbedürftiger Informationen und das Informations- und Auskunftsrecht des Betroffenen gegenüber. Diese Interessen sind gegeneinander abzuwägen. Überwiegt das Interesse des Auskunftsverpflichteten an der Geheimhaltung kann eine Offenlegung ausnahmsweise unterbleiben. Die Anforderungen dürften aber entsprechend hoch sein. Auch insoweit bedarf es einer gründlichen Dokumentation der Entscheidung des Auskunftsverpflichteten.
Generell empfiehlt es sich, Datenbestände durch sachgerechte Löschkonzepte so gering wie möglich zu halten, denn über zulässig gelöschte Daten muss keine Auskunft erteilt werden.