Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Abo

Datenschutz : Auskunftsersuchen: konkrete Empfänger nennen

Dr. Niels LepperhoffAbrechnungspraxisPraxis
Lesezeit 6 Min.

Auskunftsersuchen: konkrete Empfänger nennen

Jeder Mensch hat das Recht, Auskunft von einem Unternehmen, einer Behörde, einem Verein und allen anderen Stellen, die seine personenbezogenen Daten verarbeiten, zu verlangen. Der Inhalt dieses Auskunftsrechts wird in Art. 15 Datenschutz-Grundverordnung (DS-GVO) festgelegt. Wer Art. 15 DS-GVO liest, gewinnt den Eindruck, der Gesetzgeber hätte die mitzuteilenden Informationen hinreichend genau aufgeführt. Dieser Eindruck täuscht.

Vom Gesetzgeber war das Auskunftsrecht als ein Kontrollrecht konzipiert worden, mit dem betroffene Personen überprüfen können sollen, welche Daten verarbeitet werden und ob diese Verarbeitung rechtmäßig erfolgt (Erwägungsgrund 63 DS-GVO). Weil nicht nur allgemeine Informationen über die verarbeiten Daten mitzuteilen sind, sondern die verarbeiteten Daten konkret zu nennen sind, bietet das Auskunftsrecht die Möglichkeit, Beweismittel für gerichtliche Auseinandersetzungen zu beschaffen. Die Praxiserfahrung zeigt, dass Kündigungsschutzklagen mit einem Auskunftsersuchen verknüpft werden, um den „Lästigkeitsfaktor“ zu erhöhen. Arbeitgeber überlegen, was kosten- und aufwandsschonender ist: den Anspruch zu erfüllen oder die Abfindung großzügiger zu bemessen. In der Folge befassen sich Gerichte mit der genauen Ausgestaltung.

Mit seinem Urteil vom 15.06.2021 (Az. VI ZR 576/19) hat der Bundesgerichtshof (BGH) festgestellt, dass Kommunikation, wie z. B. Briefe oder E-Mails, bei denen die betroffene Person Absender oder Empfänger oder Gegenstand des E-Mail-Inhalts ist, nicht pauschal vom Auskunftsrecht ausgeschlossen werden können. Da E-Mails vor Herausgabe um die Daten anderer natürlicher Personen und um Geschäftsgeheimnisse – auch von Dritten – zu bereinigen bzw. diese zu schwärzen sind, steht u. U. ein nicht unerheblicher Aufwand im Raum.

Datenschutz Aus 2-23
Datenschutz Aus 2-23

Datenschutz

Das Bundesarbeitsgericht (BAG) verlangt, dass ein Antragsteller in seinem Auskunftsersuchen zu beschreiben hat, auf welche Kommunikation sich das Auskunftsersuchen bezieht (Urteil vom 27.04.2021, Az. 2 AZR 342/20). Im Kern muss das Auskunftsersuchen so formuliert sein, dass es im Rahmen einer Vollstreckung vollstreckbar sei. Eine bloße Wiederholung des Gesetzestextes sei nicht ausreichend (Urteil vom 16.12.2021, Az. 2 AZR 235/21).

Der Europäische Gerichtshof (EuGH) hat sich nun zu der Frage geäußert, ob auch die konkreten Empfänger zu nennen sind, die in der Vergangenheit personenbezogene Daten der betroffenen Person erhalten haben oder wo eine solche Übermittlung in der Zukunft geplant oder absehbar ist (Urteil vom 12.01.2023, Az. C-154/21).

Nennung der Empfänger

Der Auskunftsanspruch umfasst auch die Mitteilung der „Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“ (Art. 15 Abs. 1 lit. c) DS-GVO). Der Gesetzgeber hat im Wortlaut beide Möglichkeiten, den konkreten Empfänger (bspw. „Techniker Krankenkasse“) oder Kategorien von Empfängern (bspw. „Krankenversicherung“) zu nennen, zugelassen.

Mit Blick auf den Aufwand, konkrete Empfänger zu ermitteln, tendierten Unternehmen zur Nennung der Kategorien. Aufsichtsbehörden schauten auf die Funktion des Auskunftsrechts, die Rechtmäßigkeit der Übermittlung prüfen zu können. Sie forderten die Nennung der konkreten Empfänger. Der EuGH hat mit seinem Urteil (Urteil vom 12.01.2023, Az. C-154/21) die Frage beantwortet.

Der Oberste Gerichtshof (Österreich) hat den EuGH in einem Streit zwischen einem Betroffenen und der Österreichischen Post angerufen. Der Betroffene begehrte u. a. von der Österreichischen Post Auskunft, an welche konkreten Empfänger diese seine personenbezogenen Daten zu Werbezwecken weitergegeben habe. Die Österreichische Post teilte die konkreten Empfänger nicht mit, sondern nannte Kategorien von Empfängern.

Datenschutz Aus 2-23 -3-min
Datenschutz Aus 2-23 -3-min

Ausgehend von der Überlegung, dass ein Betroffener Kenntnis über konkrete Empfänger benötige, um seine Rechte gegenüber diesen ausüben zu können, und die Kenntnis zur Prüfung der Rechtmäßigkeit erforderlich sei, hat der EuGH entschieden, dass der Betroffene ein Wahlrecht habe, konkrete Empfänger oder Kategorien von Empfängern zu verlangen.

Weiterhin hat der EuGH festgestellt, dass Unternehmen konkrete Empfänger nicht nennen müssen, wenn diese nicht bekannt seien. In diesem Fall sind die Kategorien zu nennen.

Der EuGH hat nicht – wie das BAG in seinen eingangs erwähnten Urteilen – gefordert, dass der Betroffene die Kategorien von Empfängern eingrenzen oder benennen müsste, deren konkrete Empfänger er wissen will. Vielmehr lässt der EuGH bewusst zu, dass der Betroffene Auskunft über alle konkreten Empfänger verlangen kann.

Überlegungen zur praktischen Umsetzung

Das Urteil ist neu. Deshalb bleibt abzuwarten, was die Rechtsprechung daraus macht. Gleichwohl sind Unternehmen gut beraten, ihren Prozess zur Erteilung von Auskünften anzupassen. Im Folgenden werden erste Überlegungen zu einer möglichen praktischen Umsetzung vorgestellt. Es wird kein Anspruch auf Vollständigkeit erhoben.

Da der EuGH von einem Wahlrecht des Betroffenen spricht, sollten Auskunftsersuchen zukünftig auch daraufhin geprüft werden, welche Wahl der Betroffene trifft. Trifft der Betroffene eine erkennbare Wahl (bspw. „Nennen Sie mir die konkreten Empfänger“), sind diese zusammenzustellen und mit Firmierung zu nennen.

Wenn der Betroffene keine erkennbare Wahl trifft, indem er bspw. schreibt: „Nennen Sie mir die Empfänger oder Kategorien von Empfängern“, sollte der Kontext einbezogen werden. Aus welcher erkennbaren Motivation hat der Betroffene sein Auskunftsersuchen gestellt? Wenn er bspw. die Absicht äußert, die Empfänger in Anspruch nehmen zu wollen, sind diese eher konkret zu nennen. Lässt sich die Motivation nicht erkennen, ist denkbar, in einem ersten Schritt die Kategorien zu nennen. Sollte der Betroffene daraufhin konkret nach den Empfängern fragen, sind diese – soweit bekannt – zu nennen.

Was bedeutet „bekannt“?

Da der EuGH als Ausnahme zugelassen hat, dass konkrete Empfänger dann nicht zu nennen sind, wenn es nicht möglich sei, die Empfänger zu identifizieren, stellt sich die Frage: Welchen Aufwand muss ein Unternehmen betreiben, um konkrete Empfänger zu identifizieren? Die Zukunft wird zeigen, wie diese Frage zu beantworten ist.

Datenschutz Aus 2-23 -2-min
Datenschutz Aus 2-23 -2-min

Für den Moment bietet sich ein pragmatischer Ansatz an. Empfänger, die bspw. in Datenbanken hinterlegt sind, sind auf jeden Fall zu nennen. Dazu zählen für Mitarbeiter etwa Sozialversicherungen, Banken und Finanzämter.

Auftragsverarbeiter sind ebenfalls Empfänger. Folglich gehören alle IT-Dienstleister oder Anbieter von Software-as-a-Service-Lösungen auf die  Liste. Wer eine zentrale Übersicht aller Auftragsverarbeiter besitzt, braucht diese lediglich daraufhin zu filtern, welche Auftragsverarbeiter keine Daten erhalten haben können. Alle übrigen Unternehmen müssen die Liste durch Abfrage in den Fachbereichen erst erzeugen.

Empfänger, die sich in E-Mails verbergen, lassen sich grundsätzlich identifizieren. Jedoch kann der Aufwand hoch sein. Weder der EuGH noch der BGH haben in ihrer Rechtsprechung Aufwand als Grund zur Verweigerung einer Auskunft anerkannt. Insofern ist anzunehmen, dass diese Empfänger ebenfalls zu nennen sind. Dazu zählen bspw. Polizei, Staatsanwaltschaften, Lieferanten oder Kunden, mit denen ein Mitarbeiter korrespondierte.

Nicht vergessen werden sollten Empfänger, die als „Datenboten“ fungieren, wie z. B. Telekommunikationsprovider und Postdienstleister. Da hier i. d. R. mit festgelegten Unternehmen zusammengearbeitet wird, lassen sich diese Empfänger einfach identifizieren.

Welchen Zeitraum umfasst der Anspruch?

Sofern der Betroffene seinen Anspruch nicht zeitlich eingrenzt, sind alle Empfänger zu nennen, die jemals Daten über den Betroffenen erhalten haben. Der Betroffene kann gebeten werden, den Zeitraum einzugrenzen. Er muss der Bitte jedoch nicht entsprechen.

Fazit

Es empfiehlt sich, den Auskunftsprozess anzupassen, sofern bisher keine konkreten Empfänger beauskunftet werden:

  1. Prüfung, ob der Betroffene Auskunft über konkrete Empfänger oder Kategorien von Empfängern verlangt.
  2. Bei umfangreichen Datenmengen bietet es sich an, den Betroffenen um Eingrenzung zu bitten. Gleichwohl ist er nicht verpflichtet, eine Eingrenzung vorzunehmen.
  3. Vorgehen zur Zusammenstellung der konkreten Empfänger etablieren.

Ein Auskunftsersuchen muss weiterhin grundsätzlich innerhalb von einem Monat nach Eingang beantwortet sein.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.