Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 12.01.2023 - C-154/21
EuGH 12.01.2023 - C-154/21 - URTEIL DES GERICHTSHOFS (Erste Kammer) - 12. Januar 2023 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 15 Abs. 1 Buchst. c – Auskunftsrecht der betroffenen Person über ihre Daten – Informationen über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden – Einschränkungen“
Leitsatz
In der Rechtssache C-154/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Obersten Gerichtshof (Österreich) mit Entscheidung vom 18. Februar 2021, beim Gerichtshof eingegangen am 9. März 2021, in dem Verfahren
RW
gegen
Österreichische Post AG
erlässt
DER GERICHTSHOF (Erste Kammer)
unter Mitwirkung des Kammerpräsidenten A. Arabadjiev, des Vizepräsidenten des Gerichtshofs L. Bay Larsen in Wahrnehmung der Aufgaben eines Richters der Ersten Kammer, der Richter P. G. Xuereb und A. Kumin sowie der Richterin I. Ziemele (Berichterstatterin),
Generalanwalt: G. Pitruzzella,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
von RW, vertreten durch Rechtsanwalt R. Haupt,
der Österreichischen Post AG, vertreten durch Rechtsanwalt R. Marko,
der österreichischen Regierung, vertreten durch G. Kunnert, A. Posch und J. Schmoll als Bevollmächtigte,
der tschechischen Regierung, vertreten durch M. Smolek und J. Vláčil als Bevollmächtigte,
der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von M. Russo, Avvocato dello Stato,
der lettischen Regierung, vertreten durch J. Davidoviča, I. Hūna und K. Pommere als Bevollmächtigte,
der rumänischen Regierung, vertreten durch L.-E. Baţagoi, E. Gane und A. Wellman als Bevollmächtigte,
der schwedischen Regierung, vertreten durch H. Eklinder, J. Lundberg, C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev und O. Simonsson als Bevollmächtigte,
der Europäischen Kommission, vertreten durch F. Erlbacher und H. Kranenborg als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 9. Juni 2022
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).
Es ergeht im Rahmen eines Rechtsstreits zwischen RW und der Österreichischen Post AG (im Folgenden: Österreichische Post) über einen Antrag auf Zugang zu personenbezogenen Daten nach Art. 15 Abs. 1 Buchst. c DSGVO.
Rechtlicher Rahmen
Die Erwägungsgründe 4, 9, 10, 39, 63 und 74 DSGVO lauten wie folgt:
… Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. …
…
Die Ziele und Grundsätze der Richtlinie 95/46/EG [des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31)] besitzen nach wie vor Gültigkeit, doch hat die Richtlinie nicht verhindern können, dass der Datenschutz in der [Europäischen] Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere im Zusammenhang mit der Benutzung des Internets. Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. Sie erklären sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie 95/46/EG.
Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. …
…
Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. …
…
Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. … Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. … Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. …
…
Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.“
Art. 1 („Gegenstand und Ziele“) Abs. 2 DSGVO bestimmt:
„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“
Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO sieht vor:
„(1) Personenbezogene Daten müssen
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
…
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
In Art. 12 („Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person“) DSGVO heißt es:
„(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
…
(5) Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
…“
Art. 13 („Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“) Abs. 1 DSGVO sieht vor:
„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
…
gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten …
…“
Art. 14 („Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“) Abs. 1 DSGVO bestimmt:
„Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:
…
gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
…“
Art. 15 („Auskunftsrecht der betroffenen Person“) DSGVO lautet:
„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
die Verarbeitungszwecke;
die Kategorien personenbezogener Daten, die verarbeitet werden;
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“
Art. 16 („Recht auf Berichtigung“) DSGVO bestimmt:
„Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.“
In Art. 17 („Recht auf Löschung [‚Recht auf Vergessenwerden‘]“) DSGVO heißt es:
„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
…“
Art. 18 („Recht auf Einschränkung der Verarbeitung“) Abs. 1 DSGVO bestimmt:
„Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt[,]
der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.“
In Art. 19 DSGVO heißt es:
„Der Verantwortliche teilt allen Empfängern, denen [personenbezogene] Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.“
Art. 21 („Widerspruchsrecht“) DSGVO sieht vor:
„(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
(4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
(5) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG [des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37)] ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.
(6) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.“
Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 DSGVO lautet:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 DSGVO sieht vor:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Ausgangsrechtsstreit und Vorlagefrage
Am 15. Januar 2019 wandte sich RW an die Österreichische Post, um gemäß Art. 15 DSGVO Auskunft darüber zu erhalten, welche ihn betreffenden personenbezogenen Daten die Österreichische Post speichere oder in der Vergangenheit gespeichert habe und, wenn es zu einer Offenlegung der Daten gegenüber Dritten gekommen sei, wer diese Empfänger gewesen seien.
Bei der Beantwortung dieser Anfrage beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese personenbezogenen Daten Geschäftskunden für Marketingzwecke an. Im Übrigen verwies sie für detailliertere Informationen und weitere Datenverarbeitungszwecke auf eine Website. Sie teilte RW nicht mit, wer die konkreten Empfänger dieser Daten sind.
RW erhob gegen die Österreichische Post Klage vor den österreichischen Gerichten und beantragte, ihr aufzugeben, ihm u. a. mitzuteilen, wer der oder die Empfänger seiner offengelegten personenbezogenen Daten waren.
Im Lauf dieses angestrengten gerichtlichen Verfahrens teilte die Österreichische Post RW mit, seine personenbezogenen Daten seien zu Marketingzwecken verarbeitet und an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.
Das erstinstanzliche Gericht und das Berufungsgericht wiesen die Klage von RW ab, weil Art. 15 Abs. 1 Buchst. c DSGVO durch den Verweis auf die „Empfänger oder Kategorien von Empfängern“ dem Verantwortlichen die Wahlmöglichkeit einräume, der betroffenen Person lediglich die Kategorien von Empfängern mitzuteilen, ohne die konkreten Empfänger der personenbezogenen Daten namentlich nennen zu müssen.
RW legte beim Obersten Gerichtshof (Österreich), dem vorlegenden Gericht, Revision ein.
Das vorlegende Gericht fragt sich, wie Art. 15 Abs. 1 Buchst. c DSGVO auszulegen ist, da der Wortlaut dieser Bestimmung nicht eindeutig erkennen lasse, ob sie der betroffenen Person ein Auskunftsrecht hinsichtlich der konkreten Empfänger der offengelegten Daten einräume oder ob es im Ermessen des Verantwortlichen liege, wie er einem Ersuchen um Auskunft über die Empfänger nachkommen wolle.
Das vorlegende Gericht weist jedoch darauf hin, dass der Regelungszweck dieser Bestimmung eher für die Auslegung spreche, dass die betroffene Person die Wahl habe, ob sie Auskunft über die Kategorien von Empfängern oder über die konkreten Empfänger ihrer personenbezogenen Daten begehre. Jede gegenteilige Auslegung würde zu einer erheblichen Beeinträchtigung der Effektivität der der betroffenen Person zum Schutz ihrer Daten zur Verfügung stehenden Rechtsbehelfe führen. Hätten nämlich die Verantwortlichen die Wahl, den betroffenen Personen die konkreten Empfänger oder nur die Kategorien von Empfängern mitzuteilen, sei zu befürchten, dass letztlich kaum jemals ein Verantwortlicher Auskunft über konkrete Empfänger erteilen werde.
Außerdem werde in Art. 15 Abs. 1 DSGVO anders als in Art. 13 Abs. 1 Buchst. e und Art. 14 Abs. 1 Buchst. e DSGVO, die die Pflicht des Verantwortlichen vorsähen, die von diesen Artikeln erfassten Informationen bereitzustellen, der Schwerpunkt auf den Umfang des Auskunftsrechts der betroffenen Person gelegt, was auch darauf hindeute, dass die betroffene Person das Recht habe, zu entscheiden, ob sie Auskunft über die konkreten Empfänger oder über die Kategorien von Empfängern anfordern wolle.
Schließlich ergänzt das vorlegende Gericht, dass sich das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO nicht bloß auf die aktuell verarbeiteten personenbezogenen Daten erstrecke, sondern auch auf alle in der Vergangenheit verarbeiteten Daten. Hierzu weist es darauf hin, dass die im Urteil vom 7. Mai 2009, Rijkeboer (C-553/07, EU:C:2009:293), angestellten Erwägungen, die auf den Zweck des in der Richtlinie 95/46 vorgesehenen Auskunftsrechts abstellten, auf das Auskunftsrecht nach Art. 15 DSGVO übertragen werden könnten, insbesondere da sich aus den Erwägungsgründen 9 und 10 der DSGVO ableiten lasse, dass der Unionsgesetzgeber das Schutzniveau gegenüber dieser Richtlinie nicht habe herabsetzen wollen.
Unter diesen Umständen hat der Oberste Gerichtshof das Verfahren ausgesetzt und dem Gerichtshof folgende Frage zur Vorabentscheidung vorgelegt:
Ist Art. 15 Abs. 1 lit. c DSGVO dahin gehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind?
Zur Vorlagefrage
Mit seiner Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen.
Zunächst ist darauf hinzuweisen, dass nach ständiger Rechtsprechung bei der Auslegung einer Vorschrift des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in dem sie steht, sowie die Zwecke und Ziele, die mit dem Rechtsakt, zu dem sie gehört, verfolgt werden, zu berücksichtigen sind (Urteil vom 15. März 2022, Autorité des marchés financiers, C-302/20, EU:C:2022:190, Rn. 63). Bei verschiedenen möglichen Auslegungen einer Vorschrift des Unionsrechts ist zudem derjenigen der Vorzug zu geben, die die praktische Wirksamkeit der Vorschrift zu wahren geeignet ist (Urteil vom 7. März 2018, Cristal Union, C-31/17, EU:C:2018:168, Rn. 41 und die dort angeführte Rechtsprechung).
Was zunächst den Wortlaut von Art. 15 Abs. 1 Buchst. c DSGVO betrifft, ist darauf hinzuweisen, dass die betroffene Person nach dieser Bestimmung das Recht hat, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf Informationen über die Empfänger oder Kategorien von Empfängern, gegenüber denen diese personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
Die in dieser Bestimmung enthaltenen Begriffe „Empfänger“ und „Kategorien von Empfängern“ sind nebeneinander aufgeführt, ohne dass daraus geschlossen werden kann, dass zwischen ihnen ein Vorrangverhältnis besteht.
Somit ist festzustellen, dass sich dem Wortlaut von Art. 15 Abs. 1 Buchst. c DSGVO nicht eindeutig entnehmen lässt, ob die betroffene Person, wenn sie betreffende personenbezogene Daten offengelegt worden sind oder noch offengelegt werden, das Recht hat, über die konkrete Identität der Empfänger dieser Daten unterrichtet zu werden.
Was sodann den Zusammenhang betrifft, in dem Art. 15 Abs. 1 Buchst. c DSGVO steht, ist erstens darauf hinzuweisen, dass nach dem 63. Erwägungsgrund dieser Verordnung die betroffene Person ein Anrecht darauf haben muss, insbesondere zu wissen und zu erfahren, wer die Empfänger dieser personenbezogenen Daten sind, und dass, wie der Generalanwalt in Nr. 23 seiner Schlussanträge ausgeführt hat, dieser Erwägungsgrund nicht erwähnt, dass dieses Recht lediglich auf die Kategorien von Empfängern beschränkt werden könnte.
Zweitens ist auch darauf hinzuweisen, dass jede Verarbeitung personenbezogener Daten von natürlichen Personen mit den in Art. 5 DSGVO aufgestellten Grundsätzen im Einklang stehen muss, damit das Auskunftsrecht gewahrt wird (vgl. in diesem Sinne Urteil vom 16. Januar 2019, Deutsche Post, C-496/17, EU:C:2019:26, Rn. 57).
Zu diesen Grundsätzen gehört der Grundsatz der Transparenz gemäß Art. 5 Abs. 1 Buchst. a DSGVO, der, wie aus dem 39. Erwägungsgrund dieser Verordnung hervorgeht, voraussetzt, dass die betroffene Person darüber informiert wird, wie ihre personenbezogenen Daten verarbeitet werden, und dass diese Informationen leicht zugänglich und verständlich sind.
Drittens ist festzustellen, dass, wie der Generalanwalt in Nr. 21 seiner Schlussanträge hervorgehoben hat, Art. 15 DSGVO im Gegensatz zu den Art. 13 und 14 DSGVO, in denen die Pflicht des Verantwortlichen festgelegt ist, der betroffenen Person Informationen über die Kategorien von Empfängern oder die konkreten Empfänger von sie betreffenden personenbezogenen Daten bereitzustellen, wenn diese Daten bei der betroffenen Person oder nicht bei der betroffenen Person erhoben werden, ein tatsächliches Auskunftsrecht zugunsten der betroffenen Person vorsieht, so dass diese wählen können muss, ob ihr – falls möglich – Informationen über bestimmte Empfänger, gegenüber denen diese Daten offengelegt wurden oder noch offengelegt werden, oder Informationen über die Kategorien von Empfängern bereitgestellt werden.
Viertens hat der Gerichtshof bereits entschieden, dass es der betroffenen Person durch die Ausübung dieses Auskunftsrechts nicht nur ermöglicht werden muss, zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden (vgl. entsprechend Urteile vom 17. Juli 2014, YS u. a., C-141/12 und C-372/12, EU:C:2014:2081, Rn. 44, sowie vom 20. Dezember 2017, Nowak, C-434/16, EU:C:2017:994, Rn. 57), insbesondere ob sie gegenüber Empfängern offengelegt wurden, die zu ihrer Verarbeitung befugt sind (vgl. entsprechend Urteil vom 7. Mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, Rn. 49).
Dieses Auskunftsrecht ist insbesondere erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung („Recht auf Vergessenwerden“), ihr Recht auf Einschränkung der Verarbeitung, die ihr nach den Art. 16, 17 bzw. 18 DSGVO zukommen (vgl. entsprechend Urteile vom 17. Juli 2014, YS u. a., C-141/12 und C-372/12, EU:C:2014:2081, Rn. 44, sowie vom 20. Dezember 2017, Nowak, C-434/16, EU:C:2017:994, Rn. 57), sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten auszuüben oder im Schadensfall den in den Art. 79 und 82 DSGVO vorgesehenen gerichtlichen Rechtsbehelf einzulegen (vgl. entsprechend Urteil vom 7. Mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, Rn. 52).
Um die praktische Wirksamkeit sämtlicher in der vorstehenden Randnummer des vorliegenden Urteils angeführten Rechte zu gewährleisten, muss die betroffene Person somit insbesondere über das Recht verfügen, dass ihr die Identität der konkreten Empfänger mitgeteilt wird, wenn ihre personenbezogenen Daten bereits offengelegt wurden.
Fünftens wird diese Auslegung schließlich durch Art. 19 DSGVO bestätigt, der in Satz 1 vorsieht, dass der Verantwortliche grundsätzlich allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mitteilt. Satz 2 sieht vor, dass der Verantwortliche die betroffene Person über diese Empfänger unterrichtet, wenn die betroffene Person dies verlangt.
Somit hat die betroffene Person gemäß Art. 19 Satz 2 DSGVO ausdrücklich das Recht, von dem Verantwortlichen im Rahmen seiner Verpflichtung, alle Empfänger über die Ausübung der Rechte zu informieren, über die diese Person nach Art. 16, Art. 17 Abs. 1 und Art. 18 DSGVO verfügt, über die konkreten Empfänger der sie betreffenden Daten unterrichtet zu werden.
Aus der vorstehenden kontextbezogenen Analyse ergibt sich, dass es sich bei Art. 15 Abs. 1 Buchst. c DSGVO um eine der Bestimmungen handelt, die die Transparenz der Art und Weise der Verarbeitung der personenbezogenen Daten gegenüber der betroffenen Person gewährleisten sollen, und dass es dieser Artikel der betroffenen Person, wie der Generalanwalt in Nr. 33 seiner Schlussanträge ausgeführt hat, ermöglicht, die u. a. in den Art. 16 bis 19, 21, 79 und 82 DSGVO vorgesehenen Befugnisse auszuüben.
Folglich ist davon auszugehen, dass die Informationen, die der betroffenen Person gemäß dem in Art. 15 Abs. 1 Buchst. c DSGVO vorgesehenen Auskunftsrecht erteilt werden, möglichst genau sein müssen. Insbesondere umfasst dieses Auskunftsrecht die Möglichkeit für die betroffene Person, von dem Verantwortlichen Informationen über bestimmte Empfänger zu erhalten, gegenüber denen Daten offengelegt worden sind oder noch offengelegt werden, oder alternativ zu entscheiden, nur Informationen über die Kategorien von Empfängern anzufordern.
Was schließlich das Ziel betrifft, das mit der DSGVO verfolgt wird, ist festzustellen, dass diese Verordnung, wie sich aus ihrem zehnten Erwägungsgrund ergibt, namentlich darauf abzielt, innerhalb der Union ein hohes Datenschutzniveau für natürliche Personen zu gewährleisten (Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C-511/18, C-512/18 und C-520/18, EU:C:2020:791, Rn. 207). Insoweit werden – wie der Generalanwalt in Nr. 14 seiner Schlussanträge im Wesentlichen ausgeführt hat – mit dem durch die DSGVO geschaffenen allgemeinen Rechtsrahmen die Erfordernisse umgesetzt, die sich aus dem durch Art. 8 der Charta der Grundrechte der Europäischen Union geschützten Grundrecht auf Schutz personenbezogener Daten ergeben, insbesondere die ausdrücklich in Abs. 2 dieses Artikels vorgesehenen Erfordernisse (vgl. in diesem Sinne Urteil vom 9. März 2017, Manni, C-398/15, EU:C:2017:197, Rn. 40).
Dieses Ziel bestätigt die in Rn. 43 des vorliegenden Urteils dargelegte Auslegung von Art. 15 Abs. 1 DSGVO.
Aus dem mit der DSGVO verfolgten Ziel ergibt sich daher auch, dass die betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die konkreten Empfänger zu verlangen, gegenüber denen sie betreffende personenbezogene Daten offengelegt worden sind oder noch offengelegt werden.
Schließlich ist jedoch darauf hinzuweisen, dass das Recht auf Schutz der personenbezogenen Daten – wie aus dem vierten Erwägungsgrund der DSGVO hervorgeht – kein uneingeschränktes Recht ist. Wie der Gerichtshof in Rn. 172 des Urteils vom 16. Juli 2020, Facebook Ireland und Schrems (C-311/18, EU:C:2020:559), im Wesentlichen bekräftigt hat, muss dieses Recht nämlich im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Grundsatzes der Verhältnismäßigkeit gegen andere Grundrechte abgewogen werden.
Folglich ist denkbar, dass es unter bestimmten Umständen nicht möglich ist, Informationen über konkrete Empfänger zu erteilen. Daher kann das Auskunftsrecht auf Informationen über die Kategorien von Empfängern beschränkt werden, wenn es nicht möglich ist, die Identität der konkreten Empfänger mitzuteilen, insbesondere wenn diese noch nicht bekannt sind.
Außerdem ist darauf hinzuweisen, dass sich der Verantwortliche gemäß Art. 12 Abs. 5 Buchst. b DSGVO im Einklang mit dem in Art. 5 Abs. 2 sowie im 74. Erwägungsgrund dieser Verordnung niedergelegten Grundsatz der Rechenschaftspflicht weigern kann, aufgrund von Anträgen der betroffenen Person tätig zu werden, wenn es sich um offenkundig unbegründete oder exzessive Anträge handelt; hierbei hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter der Anträge zu erbringen.
Im vorliegenden Fall geht aus dem Vorabentscheidungsersuchen hervor, dass die Österreichische Post den von RW auf der Grundlage von Art. 15 Abs. 1 DSGVO gestellten Antrag, ihm die Identität der Empfänger mitzuteilen, gegenüber denen die ihn betreffenden personenbezogenen Daten offengelegt wurden, abgelehnt hat. Das vorlegende Gericht wird zu prüfen haben, ob die Österreichische Post unter Berücksichtigung der Umstände des Ausgangsverfahrens nachgewiesen hat, dass dieser Antrag offenkundig unbegründet oder exzessiv ist.
Nach alledem ist auf die Vorlagefrage zu antworten, dass Art. 15 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:
Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.
Unterschriften
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Rheinland-Pfalz/Saarland
Persönlicher Ansprechpartner