Wer Auskunft nach Art. 15 DSGVO verlangt, kann grundsätzlich die konkrete Identität der Empfänger personenbezogener Daten erfahren. Für Unternehmen ist der Beitrag vor allem dort relevant, wo Auskunftsprozesse, Empfängerlisten und dokumentierte Weitergaben belastbar zusammengeführt werden müssen. Die breitere Einordnung zum Datenschutzrecht für Unternehmen findet sich auf der zuständigen Fachseite.
Schneller Einstieg
Die Kernaussage des Urteils in wenigen Sätzen
- Art. 15 Abs. 1 lit. c DSGVO vermittelt grundsätzlich einen Anspruch auf Mitteilung der konkreten Empfängeridentität, nicht nur auf abstrakte Empfängerkategorien.
- Eine Beschränkung auf Kategorien bleibt nach der EuGH-Entscheidung nur ausnahmsweise möglich, etwa wenn Empfänger noch nicht identifizierbar sind oder ein Antrag offenkundig unbegründet oder exzessiv ist.
- Für Unternehmen liegt die praktische Schwierigkeit häufig nicht im Normtext, sondern in der sauberen Erfassung tatsächlicher Weitergaben und der belastbaren Beantwortung von Auskunftsersuchen.
- Der ältere Beitrag bleibt deshalb in seinem Kern tragfähig, braucht heute aber die Ergänzung, dass Ausnahmen eng bleiben und dokumentiert begründet werden müssen.
Was für die heutige Einordnung zusätzlich wichtig ist
Der Grundsatz aus der Rechtssache C-154/21 trägt weiterhin: Wird auf Empfängerinformationen nach Art. 15 DSGVO zugegriffen, ist grundsätzlich die konkrete Identität mitzuteilen. Behördenhinweise und die zwischenzeitliche Praxis bestätigen diese Linie.
Für Unternehmen bleibt vor allem relevant, dass Ausnahmen eng zu verstehen sind. Wer sich nur auf Empfängerkategorien beschränkt, sollte belastbar darlegen können, warum eine konkrete Identifizierung im Einzelfall nicht möglich ist oder warum ein Antrag offenkundig unbegründet oder exzessiv sein soll.
Der Beitrag ist deshalb weiterhin als historische und zugleich praktisch verwertbare Einordnung brauchbar. Die heutige Hauptfrage ist weniger, ob die Empfängeridentität grundsätzlich mitzuteilen ist, sondern wie Unternehmen Offenlegungen intern so dokumentieren, dass Auskunftsersuchen sauber beantwortet werden können.
Weitergabe von personenbezogenen Daten nach der DSGVO
Datenschutzrecht. Der Gerichtshof der Europäischen Union (EuGH) entschied mit Urteil vom 12.01.2023 in der Rechtssache C-154/21 erneut über die Weitergabe von personenbezogenen Daten. Dem Urteil lag ein Rechtsstreit aus Österreich zu Grunde. Es klagte ein österreichischer Kunde der Post mit dem Ziel, dass diese offenlegen muss an wen die ihn betreffenden personenbezogene Daten weitergegeben werden.
Nach Artikel (Art.) 15 Absatz (Abs.) 1 Buchstabe (lit.) c der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) hat der für die Datenverarbeitung Verantwortliche auf Anfrage des Betroffenen die konkrete Identität des Empfängers der offengelegten Daten mitzuteilen. Nur in dem Fall, in dem der Empfänger (noch) nicht identifiziert ist oder der Antrag offensichtlich unbegründet oder zu umfangreich ist, kann sich die Mitteilung auf die Kategorien der Empfänger beschränken.
Die Österreichische Post beschränkte sich bei der Auskunft gegenüber dem Bürger zunächst auf die Mitteilung, sie verwende „personenbezogene Daten soweit das rechtlich zulässig sei im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an“. Während des Verfahrens ergänzte die Österreichische Post, dass sie die Daten des Bürgers an Kunden an Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage, Vereine, Spendenorganisationen, NGOs und politische Parteien weitergegeben habe.
Der EuGH hatte über die Frage zu entscheiden, in welchem Umfang es dem für die Datenverarbeitung Verantwortlichen freisteht, die konkrete Identität oder nur die Kategorie von Empfängern mitzuteilen.
Laut dem EuGH ist Art. 15 Abs. 1 lit. C DSGVO so auszulegen, dass der Betroffene grundsätzlich einen Anspruch auf die Mitteilung der konkreten Identität der Empfänger hat. Dies lasse sich zwar nicht aus dem Wortlaut der Vorschrift erkennen, aber die Auslegung sei für die praktische Wirksamkeit der DSGVO erforderlich. Die Auslegung fördere das Ziel eines möglichst hohen Datenschutzniveaus und trage dem Grundsatz der Transparenz Rechnung. Das Gericht verweist dabei insbesondere auf das Recht auf Löschung („Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung oder das Recht auf Berichtigung.
Eine Beschränkung auf die Empfängerkategorie sei nur ausnahmsweise möglich, wenn es dem Unternehmen noch nicht möglich sei, die Empfänger zu identifizieren oder es nachweise, dass der Antrag des Betroffenen offenbar unbegründet oder zu umfangreich sei; oder mit den Worten des Gerichtshofs:
"Art. 15 Abs. 1 Buchst. c (...)(Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen."
Diese Entscheidung des EuGH führt damit zu einer Verschärfung der datenschutzrechtlichen Anforderungen an Unternehmen.
Worauf es in Unternehmen typischerweise ankommt
- Empfängerinformationen sollten nicht nur abstrakt in Datenschutzhinweisen beschrieben, sondern intern konkret nachvollziehbar dokumentiert sein.
- Auskunftsprozesse nach Art. 15 DSGVO brauchen eine belastbare Verzahnung mit Verzeichnissen, Dienstleistersteuerung und tatsächlichen Offenlegungen an Dritte.
- Wer nur Kategorien nennt, obwohl konkrete Empfänger identifizierbar sind, setzt sich einem vermeidbaren Risiko unvollständiger Auskunft aus.
Maßgebliche Fundstellen
Fazit
Der Beitrag bleibt in seinem rechtlichen Kern tragfähig: Wer personenbezogene Daten offenlegt, muss im Rahmen von Art. 15 DSGVO grundsätzlich die konkreten Empfänger benennen. Für Unternehmen liegt die eigentliche Herausforderung deshalb häufig in der internen Nachvollziehbarkeit von Offenlegungen, nicht in der bloßen Formulierung einer Auskunft.
Die heutige Ergänzung liegt vor allem in der engen Ausnahme für offenkundig unbegründete oder exzessive Anträge. Wer Auskunftsersuchen, Empfängerlogik und Dokumentation rechtssicher einordnen muss, findet die breitere Ausgangsbasis auf der Seite zum Datenschutzrecht.
Weiterer Beitrag mit engem Anschluss
- Kann ein DSGVO Auskunftsanspruch missbräuchlich sein? Der Beitrag vertieft die enge Ausnahme für exzessive oder missbräuchliche Anträge und ergänzt damit die hier besprochene Grundregel zur Empfängeridentität.
„Verschärfte datenschutzrechtliche Anforderungen an Unternehmen“