Art. 15 DSGVO – Zugangsrecht – Kläger RW vs. Österreichische Post

In den letzten Monaten hat DP-Dock eine beträchtliche Anzahl von Kundenanfragen erhalten, die sich mit der richtigen Handhabung des Antrags einer betroffenen Person auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten (Art. 15 DSGVO) beschäftigten. Dieses Thema ist aktueller denn je, insbesondere seitdem die Entscheidung C-154/21 des Europäischen Gerichtshofs (EuGH) im Januar 2023 in Kraft getreten ist.

Die Antwort „so genau wie möglich" spielt eine wichtige Rolle in den Ausführungen des EuGH zum Fall RW, einer betroffenen Person, die von der Österreichischen Post Auskunft über Dritte verlangte, die ihre zuvor von der Post verarbeiteten Daten erhalten hatten. Die Österreichische Post gab eine Antwort, in der sie die Kategorien von Empfängern auflistete, an die die Daten möglicherweise weitergegeben wurden (z. B. Werbetreibende, Versandhandel und stationäre Geschäfte, IT-Unternehmen, Mailinglisten-Anbieter sowie karitative Organisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien). Die Post berief sich auf Art. 15 (1)(c) DSGVO, der dem Verantwortlichen die Wahl lässt, ob er Informationen über „Empfänger oder Kategorien von Empfängern" offenlegen möchte.

Der EuGH entschied, dass betroffene Personen das Recht haben, die genaue Identität der Dritten zu erfahren, die Zugang zu ihren Daten haben und diese verarbeiten. Dieses Recht ist eng mit ihrer Möglichkeit verbunden, zu überprüfen, ob ihre Daten von jedem Empfänger rechtmäßig verarbeitet werden, und es hängt auch mit der Fähigkeit des Empfängers zusammen, die Richtigkeit der personenbezogenen Daten der betroffenen Person zu bestätigen. Daher wurde entschieden, dass eine detaillierte Offenlegung der Identität jedes Empfängers als obligatorisch erachtet wird. Es bleibt abzuwarten, wie diese Entscheidung in der Praxis umgesetzt wird.

Die Entscheidung ist hier zu finden.