EuGH, Urt. v. 12.01.2023, C-154/21, RW/Österreichische Post
Auskunft über Empfänger personenbezogener Daten nach Art. 15 Abs. 1 lit. c DSGVO: grundsätzlich Pflicht zur Nennung der konkreten Empfänger; Beschränkung auf Kategorien nur ausnahmsweise.
1 Kurzübersicht
RW verlangte 2019 von der Österreichischen Post Auskunft nach Art. 15 Abs. 1 lit. c DSGVO darüber, an welche Empfänger seine personenbezogenen Daten weitergegeben worden waren. Die Post nannte zunächst nur Kategorien von Empfängern. Der österreichische OGH legte dem EuGH die Frage vor, ob die Wahl zwischen „Empfängern" und „Kategorien von Empfängern" beim Verantwortlichen oder bei der betroffenen Person liegt.
2 Leitsätze
Art. 15 Abs. 1 lit. c DSGVO ist so auszulegen, dass die betroffene Person grundsätzlich Anspruch darauf hat, die Identität der konkreten Empfänger zu erfahren, gegenüber denen ihre Daten offengelegt wurden oder noch offengelegt werden (EuGH, Urt. v. 12.01.2023, C-154/21, RW, Rn. 46).
Die Beschränkung auf Kategorien von Empfängern ist eine eng umgrenzte Ausnahme. Sie kommt nur in Betracht, wenn (a) die Identität der Empfänger noch nicht bestimmbar ist oder (b) der Verantwortliche darlegt, dass das Auskunftsersuchen offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO ist (Rn. 48).
Der EuGH stützt sich auf den Transparenzgrundsatz (Art. 5 Abs. 1 lit. a DSGVO) und Erwägungsgrund 63: Nur die Kenntnis der konkreten Empfänger ermöglicht es der betroffenen Person, ihre weiteren Rechte aus der DSGVO (insbesondere Berichtigung, Löschung und Einschränkung) gegen alle Beteiligten effektiv geltend zu machen.
3 Bedeutung
Die Entscheidung verschiebt das Wahlrecht zwischen konkreten Empfängern und Empfänger-Kategorien faktisch zur betroffenen Person: Sobald sie nach den konkreten Empfängern fragt, muss der Verantwortliche sie nennen. Die Beschränkung auf Kategorien wird zur Ausnahme.
Folgen für die Dokumentationspraxis:
- Verarbeitungsverzeichnis (Art. 30 DSGVO). Die Norm verlangt nur Empfänger-Kategorien, daran hat sich nichts geändert. Wer das Verzeichnis aber zugleich als Werkzeug seines Datenschutzmanagementsystems nutzt, sollte zusätzlich die konkreten Empfänger erfassen, um Auskunftsersuchen schnell beantworten zu können (siehe Verzeichnis von Verarbeitungstätigkeiten).
- Datenschutzerklärungen. Die proaktiven Informationspflichten nach Art. 13, 14 DSGVO erlauben weiterhin Empfänger-Kategorien; die Strenge des Art. 15 lit. c überträgt sich nicht eins zu eins.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
EuGH, Urt. v. 04.05.2023, C-60/22, Bundesrepublik Deutschland (BAMF)
Verstöße gegen Art. 26 DSGVO (gemeinsame Verantwortlichkeit) und Art. 30 DSGVO (Verarbeitungsverzeichnis) machen die Verarbeitung selbst nicht rechtswidrig; keine Löschung oder Einschränkung der Verarbeitung wegen reiner Dokumentationsverstöße.
EuGH, Urt. v. 10.07.2018, C-25/17, Zeugen Jehovas
Der EuGH definiert den Dateisystembegriff weit: Auch handschriftliche Aufzeichnungen bei Haustürbesuchen fallen unter Art. 2 lit. c DSRL, wenn die Daten anhand bestimmter Kriterien wiederauffindbar sind. Zugleich zur gemeinsamen Verantwortlichkeit einer Religionsgemeinschaft.