Der Gerichtshof der Europäischen Union (EuGH) entschied über eine Vorfrage, die sich vor dem österreichischen Obersten Gerichtshof bei einem Streit zwischen einer betroffenen Person (Datensubjekt), Herrn RW, und der Österreichischen Post gestellt hatte.

Im Mittelpunkt des Rechtsstreits stand das Auskunftsverlangen von RW über alle Daten, die die Österreichische Post über ihn speichert und wie sie diese verarbeitet. Dabei ging es insbesondere um Angaben zur Identität aller Personen/Subjekte, denen diese Daten zur Verfügung gestellt wurden. Österreichische Post antwortete auf diese Anfrage zunächst damit, dass sie diese Informationen im Rahmen ihrer zulässigen Tätigkeit im gesetzlichen Rahmen ihren Klienten zu Marketingzwecken zur Verfügung stellt, die später als IT-Unternehmen, gemeinnützige Organisationen, politische Parteien usw. bezeichnet wurden.

Diese Antwort war jedoch nicht zufriedenstellend, weshalb RW eine Klage vor dem österreichischen Gericht einreichte, in der er die Offenlegung der Identität der Empfänger seiner Daten forderte. Sowohl das Gericht erster Instanz als auch das Berufungsgericht wiesen die Klage von RW mit dem Argument ab, dass RW (als betroffene Person/ Datensubjekt) nur ein Auskunftsrecht über die Kategorien von Empfängern, nicht jedoch über die Identität einzelner Empfänger personenbezogener Daten habe, unter Berufung auf Art.15 Abs. 1 Buchst. c) GDPR, wobei der Artikel Folgendes festlegt:

„Die betroffene Person hat das Recht, von dem (Daten-)Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn ja, das Recht auf Zugriff auf diese personenbezogenen Daten und auf folgende Informationen (…)

1. c) Empfänger oder Kategorien von Empfängern, denen personenbezogene Daten zugänglich gemacht wurden oder werden, insbesondere Empfänger in Drittländern oder bei internationalen Organisationen (…)“

Der Oberste Gerichtshof Österreichs hat als letzte Instanz bei der Beurteilung des Rechtsstreits eine Vorfrage an den EuGH gerichtet, d.h. ob der Datenverantwortliche (in diesem Fall die Österreichische Post) das Recht hat zu entscheiden, ob sie der betroffenen Person (in diesem Fall RW) nur Information über die Kategorie von Empfängern oder auch über die Identität bestimmter Empfänger mitteilt.

Der EuGH hat die genannte Frage vor allem im Hinblick auf die damit zusammenhängenden GDPR Bestimmungen, auf den Kontext, in dem GDPR akzeptiert wurde, sowie auf das Leitprinzip der Transparenz gem. Art. 5 Abs. 1 Buchst. a) GDPR beurteilt. Er kam zu dem Schluss, dass die gegenständliche Bestimmung des Art. 15 Abs. 1 Buchst. c) GDPR so auszulegen ist, dass der für die Datenverarbeitung Verantwortliche nicht wählen kann, ob er Informationen über die Kategorie des Empfängers oder die spezifische Identität des Empfängers bereitstellt.

Verlangt die betroffene Person also Auskunft über die konkrete Identität des Empfängers ihrer personenbezogenen Daten, ist der Datenverantwortliche dazu verpflichtet. Gleichzeitig definierte jedoch der EuGH auch die Umstände, unter denen der Datenverwalter die Auskunft über die konkrete Identität von Datenempfängern verweigern kann.

Wenn Sie weitere Informationen wünschen, kontaktieren Sie uns bitte.

Autor: Veronika Odrobinová, Jan Nešpor