Unternehmen müssen unter der DSGVO umfassende Dokumentationspflichten erfüllen. Diese dienen nicht nur der Erfüllung der Rechenschaftspflicht (siehe insb. Art. 5 Abs. 2 DSGVO), sondern auch dazu, betroffenen Personen Auskunft über die Verarbeitung ihrer personenbezogenen Daten geben zu können. Erhebliche Herausforderungen für Unternehmen könnten sich in diesem Zusammenhang aus der anstehenden Entscheidung des Europäischen Gerichtshofs (Rechtssache C-154/21) über den Umfang des Auskunftsrechts ergeben. Jedenfalls sehen die Schlussanträge des Generalanwalts Pitruzella vom 9. Juni 2022 ein umfassendes Auskunftsrecht betroffener Personen vor, das auch die Information über individuelle Empfänger umfasst. Gegenüber dem Wortlaut der zugrundeliegenden Vorschrift (Art. 15 DSGVO), nach dem die Auskunft über Empfängerkategorien ausreichend ist (Beispiel: Versicherungsgesellschaften), stellte dies eine ganz erhebliche Verschärfung dar, die Unternehmen bereits in Alarmbereitschaft versetzen sollte.
I. Der Fall: Österreichische Post AG erteilt keine Auskunft über konkrete Empfänger.
Die Österreichische Post AG beschränkte sich in ihrer Auskunftserteilung gegenüber einer betroffenen Person auf die Angabe, personenbezogene Daten zu Marketingzwecken an Geschäftspartner (darunter Händler, IT-Unternehmen, etc.) weitergegeben zu haben. Der Betroffene begnügte sich nicht mit der Kenntnis der Empfängerkategorien und klagte auf eine Konkretisierung der Auskunft.
II. Die Frage: Muss der Verantwortliche betroffene Personen über alle konkreten Empfänger informieren?
Art. 15 Abs. 1 lit. c DSGVO sieht vor, dass betroffene Personen Auskunft über „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“, verlangen können. Bislang ungeklärt ist die Frage, ob und in welchen Fällen ein Unternehmen sich auf die Angabe von Empfängerkategorien beschränken darf. Der österreichische Oberste Gerichtshof legte dem EuGH die Frage vor, ob sich der Auskunftsanspruch auf Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen (Beschluss v. 18.02.2021 – 6 Ob 159/20f).
III. Der Vorschlag des Generalanwalts: Grundsätzlich ist über die konkreten Empfänger zu informieren.
In seinen Schlussanträgen kommt Generalanwalt Pitruzella zu einem klaren Ergebnis: Nach Art. 15 Abs. 1 lit. c DSGVO sind die Empfänger grundsätzlich konkret zu benennen. Er begründet das Ergebnis insbesondere mit dem Zweck des Auskunftsrechts. Dieses solle betroffene Personen in die Lage versetzen, die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten überprüfen zu können (vgl. Erwägungsgrund 63 S. 1 der DSGVO). Allein anhand von Empfängerkategorien, könnten Betroffene nicht beurteilen, ob die Datenübermittlung an einen konkreten Empfänger rechtmäßig war. Zudem sei die Kenntnis konkreter Empfänger für die Geltendmachung weiterer Betroffenenrechte (z.B. Art. 16, 17, 18, 19 und 21 DSGVO) und etwaiger Schadensersatzansprüche (Art. 82 DSGVO) erforderlich. Um die praktische Wirksamkeit dieser Rechte abzusichern, müsse der Verantwortliche so präzise wie möglich die konkreten Empfänger beauskunften.
Von diesem Grundsatz können nach Ansicht des Generalanwalts zwei Ausnahmen gemacht werden: Zum einen bei tatsächlicher Unmöglichkeit der Auskunft über konkrete Empfänger (z.B., wenn diese noch nicht feststehen). Zum anderen, wenn die Angabe von konkreten Empfängern unverhältnismäßig ist. Die zweite Ausnahme leitet Pitruzella aus dem Verhältnismäßigkeitsgrundsatz ab. Aus dem Umstand, dass die Beantwortung offenkundig unbegründeter oder exzessiver Anträge (vgl. Art. 12 Abs. 5 DSGVO) abgelehnt werden könne, folge ganz allgemein das Prinzip des gerechten Ausgleichs zwischen dem Informationsinteresse betroffener Personen und den Belastungen des Verantwortlichen. Immerhin enthalten die Schlussanträge mit dem Verweis auf die allgemeine Verhältnismäßigkeit einen „Lichtblick“ für Unternehmen.
IV. Die Folgen: Erhebliche Belastungen durch massiven Dokumentationsaufwand.
Folgt der EuGH den Schlussanträgen des Generalanwalts, wofür einiges spricht, droht Unternehmen angesichts der in der Praxis eingesetzten Vielzahl von Auftragsverarbeitern und Empfängern eine weitere – höchst aufwendige – Dokumentationsverpflichtung. So würde es beispielsweise für Verarbeitungstätigkeiten im Zusammenhang mit der Beschaffung von Rohstoffen nicht ausreichen, lediglich eine Liste sämtlicher Lieferanten als Empfänger personenbezogener Daten der für den Einkauf zuständigen Mitarbeiter zu dokumentieren. Das verantwortliche Unternehmen müsste vielmehr in der Lage sein, einem Mitarbeiter aus der relevanten Abteilung über die konkreten Lieferanten, denen seine personenbezogenen Daten übermittelt wurden, Auskunft zu geben.
Inwieweit sich eine Erleichterung aus dem vom Generalanwalt genannten Verhältnismäßigkeitsprinzips ergibt, bleibt abzuwarten.
Praxisrelevante Folgen könnte die Entscheidung auch für die vom Verantwortlichen bereitzustellenden Informationen im Rahmen eines Datenschutzhinweises haben, da Art. 13 Abs. 1 lit. e DSGVO und Art. 14 Abs. 1 lit. e DSGVO ebenfalls einen Hinweis auf „die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ vorsehen. Insbesondere bei wechselnden Empfängern müssten gegebenenfalls Datenschutzhinweise fortlaufend aktualisiert werden – das dürfte in der Praxis mit ganz erheblichem Aufwand und Schwierigkeiten verbunden sein.
Comments