# EuGH, Urt. v. 12.01.2023, C-154/21, RW/Österreichische Post

Auskunft über Empfänger personenbezogener Daten nach Art. 15 Abs. 1 lit. c DSGVO: grundsätzlich Pflicht zur Nennung der konkreten Empfänger; Beschränkung auf Kategorien nur ausnahmsweise.

> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/rechtsprechung/1.4.40-eugh-c-154-21-oesterreichische-post
> Sprache: de



## 1 Kurzübersicht [#1-kurzübersicht]

RW verlangte 2019 von der Österreichischen Post Auskunft nach Art. 15 Abs. 1 lit. c DSGVO darüber, an welche Empfänger seine personenbezogenen Daten weitergegeben worden waren. Die Post nannte zunächst nur Kategorien von Empfängern. Der österreichische OGH legte dem EuGH die Frage vor, ob die Wahl zwischen „Empfängern" und „Kategorien von Empfängern" beim Verantwortlichen oder bei der betroffenen Person liegt.

## 2 Leitsätze [#2-leitsätze]

Art. 15 Abs. 1 lit. c DSGVO ist so auszulegen, dass die betroffene Person grundsätzlich Anspruch darauf hat, die **Identität der konkreten Empfänger** zu erfahren, gegenüber denen ihre Daten offengelegt wurden oder noch offengelegt werden ([EuGH, Urt. v. 12.01.2023, C-154/21, RW, Rn. 46](https://curia.europa.eu/juris/document/document.jsf?docid=268781\&doclang=DE)).

Die Beschränkung auf **Kategorien** von Empfängern ist eine eng umgrenzte Ausnahme. Sie kommt nur in Betracht, wenn (a) die Identität der Empfänger noch nicht bestimmbar ist oder (b) der Verantwortliche darlegt, dass das Auskunftsersuchen offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO ist (Rn. 48).

Der EuGH stützt sich auf den **Transparenzgrundsatz** (Art. 5 Abs. 1 lit. a DSGVO) und Erwägungsgrund 63: Nur die Kenntnis der konkreten Empfänger ermöglicht es der betroffenen Person, ihre weiteren Rechte aus der DSGVO (insbesondere Berichtigung, Löschung und Einschränkung) gegen alle Beteiligten effektiv geltend zu machen.

## 3 Bedeutung [#3-bedeutung]

Die Entscheidung verschiebt das Wahlrecht zwischen konkreten Empfängern und Empfänger-Kategorien faktisch zur betroffenen Person: Sobald sie nach den konkreten Empfängern fragt, muss der Verantwortliche sie nennen. Die Beschränkung auf Kategorien wird zur Ausnahme.

Folgen für die Dokumentationspraxis:

* **Verarbeitungsverzeichnis (Art. 30 DSGVO).** Die Norm verlangt nur Empfänger-Kategorien, daran hat sich nichts geändert. Wer das Verzeichnis aber zugleich als Werkzeug seines Datenschutzmanagementsystems nutzt, sollte zusätzlich die konkreten Empfänger erfassen, um Auskunftsersuchen schnell beantworten zu können (siehe [Verzeichnis von Verarbeitungstätigkeiten](/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten)).
* **Datenschutzerklärungen.** Die proaktiven Informationspflichten nach Art. 13, 14 DSGVO erlauben weiterhin Empfänger-Kategorien; die Strenge des Art. 15 lit. c überträgt sich nicht eins zu eins.

<Cards>
  <Card title="Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)" href="/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten" description="Empfänger-Angaben im Verzeichnis und im Auskunftsrecht." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.