EuGH verpflichtet zur Offenlegung konkreter Datenempfänger nach DSGVO

Am 12. Januar 2023 fällte der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung zum DSGVO-Auskunftsrecht gemäß Art. 15 Abs. 1 lit. c der Datenschutz-Grundverordnung (DSGVO). In dem Verfahren RW gegen die Österreichische Post AG wurde klargestellt, dass betroffene Personen das Recht haben, auf Anfrage die konkreten Empfänger ihrer personenbezogenen Daten zu erfahren – nicht nur die bloßen Empfängerkategorien. Dies stellt eine erhebliche Verschärfung der Informationspflichten für Unternehmen dar, die als Verantwortliche im Datenschutz im Sinne der DSGVO auftreten.

Hintergrund des EuGH-Urteils zum Auskunftsrecht nach Art. 15 DSGVO

Bislang bestand weitgehende Unsicherheit darüber, ob Unternehmen im Rahmen eines Auskunftsverlangens durch Betroffene nur die Kategorien der Empfänger mitteilen müssen – etwa „Marketingunternehmen“ oder „Adressverlage“ – oder ob sie die Namen und Adressen jeder einzelnen Organisation oder Person offenlegen müssen, an die sie personenbezogene Daten weitergegeben haben. Der EuGH hat nun zugunsten der betroffenen Personen entschieden und bejaht ein klares Recht auf konkrete Empfängerinformationen, sofern diese bekannt und identifizierbar sind.

Dieses Urteil hat nicht nur erhebliche Auswirkungen auf die Praxis der Datenverarbeitung und die Einhaltung von Compliance-Anforderungen, sondern zwingt Verantwortliche dazu, ihre internen Prozesse und Dokumentationen neu zu überdenken. Unternehmen müssen künftig ein Empfängerverzeichnis führen, um jederzeit auskunftsfähig zu sein. Der Transparenzgrundsatz (Art. 5 Abs. 1 lit. a DSGVO) wird damit gestärkt – gleichzeitig wachsen jedoch die DSGVO-Compliance-Pflichten.

Der Fall Österreichische Post AG: Offenlegung konkreter Datenempfänger

Der Anlass für die EuGH-Entscheidung war ein Rechtsstreit zwischen einem österreichischen Bürger (Kläger „RW“) und der Österreichischen Post AG, einem der größten Post- und Logistikunternehmen des Landes. Der Kläger forderte gemäß Art. 15 DSGVO eine umfassende Auskunft über die bei der Österreichischen Post gespeicherten und verarbeiteten personenbezogenen Daten – insbesondere, an wen diese Daten weitergegeben wurden.

Die Antwort der Post blieb vage. Man teilte mit, dass personenbezogene Daten im Rahmen der Tätigkeit als Herausgeberin von Telefonbüchern sowie zu Marketingzwecken an Geschäftskunden weitergegeben würden. Wer diese Kunden konkret waren, wurde nicht genannt. Stattdessen verwies man auf eine Website mit allgemeinen Informationen. Erst später – während des gerichtlichen Verfahrens – gab die Post an, dass zu den Datenempfängern unter anderem werbetreibende Unternehmen, IT-Firmen, Adressverlage, Spendenorganisationen, NGOs und politische Parteien gehörten.

Das reichte dem Kläger nicht. Er wollte wissen, wer genau seine Daten erhalten hatte. Während die ersten beiden Instanzen in Österreich dies ablehnten und der Post ein Wahlrecht einräumten, ob sie konkrete Namen oder nur Kategorien nennt, legte der Oberste Gerichtshof (OGH) die Frage dem EuGH zur Vorabentscheidung vor. Ziel war es, zu klären, ob es dem Verantwortlichen freisteht, zwischen konkreten Empfängern und Empfängerkategorien zu wählen – oder ob Betroffene auf Wunsch immer Anspruch auf die individuelle Offenlegung haben.

Dieses konkrete Verfahren ist repräsentativ für viele andere Konstellationen in Europa, in denen personenbezogene Daten für kommerzielle Zwecke verwendet oder gehandelt werden – insbesondere im Bereich Adresshandel, Direktmarketing, Profilbildung und Data Compliance im B2B-Bereich. Es zeigt die Relevanz des Auskunftsrechts nach DSGVO für den praktischen Datenschutz.

Rechtliche Begründung: Auslegung des Art. 15 DSGVO durch den EuGH

Der Europäische Gerichtshof hat sich in seiner Entscheidung nicht nur auf den Wortlaut von Art. 15 Abs. 1 lit. c DSGVO gestützt, sondern vor allem eine systematisch-teleologische Auslegung vorgenommen. Zwar lässt der Wortlaut die Wahl zwischen „Empfängern“ oder „Kategorien von Empfängern“ zunächst offen, doch der EuGH betont: Die betroffene Person hat ein Wahlrecht, ob sie die konkreten Empfänger oder nur die Kategorien erfahren möchte.

Besonders hervorgehoben wird der Zusammenhang mit anderen Datenschutzrechten: Die Kenntnis der konkreten Empfänger ist notwendig, damit Betroffene ihre Rechte wie das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und das Widerspruchsrecht (Art. 21 DSGVO) effektiv ausüben können. Auch mögliche Schadensersatzansprüche (Art. 82 DSGVO) können nur geltend gemacht werden, wenn die Datenempfänger bekannt sind.

Ein weiterer Ankerpunkt ist der Grundsatz der Transparenz (Art. 5 Abs. 1 lit. a DSGVO), der fordert, dass alle Informationen zur Verarbeitung personenbezogener Daten nachvollziehbar, klar und verständlich kommuniziert werden. Hieraus folgert der Gerichtshof, dass eine bloße Angabe von Empfängerkategorien – etwa „NGOs“ oder „IT-Unternehmen“ – nicht ausreicht, wenn konkrete Datenempfänger bekannt sind.

Der EuGH stellt zudem klar, dass eine Beschränkung auf Kategorien nur in Ausnahmefällen zulässig ist: wenn die Identität der Empfänger nicht (mehr) bekannt ist oder wenn der Antrag der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO ist. Dabei trägt der Verantwortliche die Beweislast für diese Ausnahmen.

Die Entscheidung ist ein Paradebeispiel für die Stärkung individueller Datenschutzrechte im B2B-Kontext durch den EuGH und eine Absage an „informelle“ Praktiken des Datentransfers in der Wirtschaft.

Auswirkungen auf die Praxis: Anforderungen an Unternehmen und Datenschutzverantwortliche

Mit dem EuGH-Urteil wird deutlich: Verantwortliche Stellen müssen künftig präzise dokumentieren, an wen personenbezogene Daten weitergegeben wurden – und diese Informationen auf Anfrage in konkreter Form mitteilen. Für Unternehmen bedeutet das eine signifikante Erweiterung ihrer datenschutzrechtlichen Pflichten im Rahmen der DSGVO-Compliance.

In der Praxis kann dies zu umfangreichen organisatorischen und technischen Herausforderungen führen. Unternehmen müssen nun damit beginnen, Empfängerverzeichnisse zu führen, die auch historische Datenübermittlungen nachvollziehbar dokumentieren. Die DSGVO verpflichtet Verantwortliche zwar nach Art. 30 DSGVO lediglich zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten, in dem auch die „Kategorien von Empfängern“ genannt werden – doch das neue EuGH-Urteil setzt de facto höhere Anforderungen.

Datenschutzbeauftragte und Verantwortliche im Unternehmen werden gut beraten sein, ihre Datenflüsse zu analysieren, zu dokumentieren und auf dieser Basis auskunftsfähig zu sein. Das betrifft vor allem Dienstleister, Geschäftspartner, Plattformen oder Werbenetzwerke, die regelmäßig personenbezogene Daten erhalten. Moderne Datenkataloge, automatisierte Audit-Trails oder DSGVO-konforme CRM-Systeme können hier helfen.

Nicht zuletzt birgt das Urteil auch rechtliche Risiken im Falle der Nichtbeachtung: Wird die konkrete Auskunft verweigert oder nur unvollständig erteilt, kann dies einen Verstoß gegen die DSGVO darstellen und zu Schadensersatzansprüchen oder aufsichtsbehördlichen Maßnahmen führen.

Fazit: EuGH stärkt Betroffenenrechte im europäischen Datenschutzrecht

Die Entscheidung des EuGH ist ein bedeutender Schritt zur Stärkung der Rechte betroffener Personen und zur Transparenz im Umgang mit personenbezogenen Daten. Sie konkretisiert das Auskunftsrecht als zentrale Kontroll- und Durchsetzungsnorm der Datenschutz-Grundverordnung. Zugleich löst sie kontroverse Diskussionen aus – insbesondere aus Sicht von Unternehmen und Datenschutzpraktikern, die in der Umsetzung mit praktischen Problemen konfrontiert sind.

Kritiker bemängeln, dass sich aus dem Wortlaut des Art. 15 Abs. 1 lit. c DSGVO kein zwingender Vorrang der Nennung konkreter Empfänger gegenüber Empfängerkategorien ergebe. Tatsächlich war dies auch lange umstritten. Der EuGH hat mit seinem Urteil jedoch klargestellt, dass das Interesse der betroffenen Person auf effektive Rechtsdurchsetzung – etwa bei der Ausübung von Berichtigung, Löschung oder Widerspruch – Vorrang vor etwaigen Interessen des Verantwortlichen an Geschäftsgeheimnissen hat.

Offen bleibt, wie weit sich die Entscheidung auf andere Informationspflichten – etwa nach Art. 13 oder 14 DSGVO – übertragen lässt. Auch bleibt unklar, wann ein Antrag als „exzessiv“ oder „offenkundig unbegründet“ gelten kann – ein Interpretationsspielraum, der in der Praxis vermutlich für neue Rechtsstreitigkeiten sorgen wird.

Gleichwohl markiert dieses Urteil einen Wendepunkt im europäischen Datenschutzrecht: Es rückt die betroffene Person in den Mittelpunkt und zwingt Unternehmen zu mehr Transparenz und Struktur. Wer sich frühzeitig mit der Umsetzung befasst, kann nicht nur Rechtskonformität sichern, sondern auch Vertrauen bei Kunden, Nutzern und Aufsichtsbehörden aufbauen.