Frage des Tages: Müssen Händler Auskunft darüber geben, an wen sie Kundendaten weitergeben?

Online-Händler verarbeiten Kundendaten zu Marketingzwecken entweder selbst oder geben sie hierfür an andere Unternehmen weiter. Im Falle von Auskunftsanträgen von Kunden nach Art. 15 DSGVO stellt sich die praktische Frage, ob nur über die Kategorien von Empfängern der Kundendaten informiert werden muss, oder sogar über jeden einzelnen Empfänger. Vor der anstehenden Entscheidung des EuGH über diese Frage hat sich bereits der Generalanwalt damit beschäftigt. Dies hat erhebliche Konsequenzen, vor allem auch für Online Händler.

I. Worum geht es?

In Österreich verlangte jemand - letztlich gerichtlich - von der Österreichischen Post AG Auskunft darüber, ob die Post personenbezogene Daten über ihn an Dritte weitergegeben hat oder weitergeben wird. Falls ja, forderte der Betroffene zusätzlich eine präzise Auskunft über die (zukünftigen) Empfänger seiner Daten.

In einer Antwort an den Betroffenen erklärte die Post bereits u.a., dass sie Daten an Geschäftskunden weitergegeben habe und nannte sämtliche Unternehmenskategorien, welche den Geschäftskunden zugeordnet werden konnten. Dazu zählten werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, NGOs oder Parteien. Außerdem gab die Post zu, im Rahmen ihrer Tätigkeit als Adressverlag Daten vom Betroffenen zu Marketingzwecken verarbeitet zu haben.

Ungeklärt blieb aber die darüber schwebende Frage, ob sich der Verantwortliche auf die Auskunft über die Kategorien von Empfängern solcher personenbezogenen Daten (wie beispielsweise Vor- und Nachname, Adresse, Standortdaten oder E-Mail-Adresse) beschränken kann, oder ob es ein bisschen konkreter sein muss. Eine DSGVO-Pflicht zur Benennung konkreter Empfänger hätte erhebliche praktische Auswirkungen, allein schon wegen des Umfangs der damit verbundenen Dokumentation, die dann z.B. auch Online-Händler anfertigen und vorhalten müssten.

II. Wie ist es in der DSGVO geregelt?

Zunächst einmal haben betroffene Personen, deren personenbezogene Daten verarbeitet werden, nach Art. 15 der Datenschutz-Grundverordnung (DSGVO) das Recht auf Auskunft über diese personenbezogenen Daten. Außerdem haben sie u.a. das Recht auf Informationen über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Art. 15 Abs. 1 Buchst. c DSGVO), also wer ihre Daten bekommen hat oder ggf. noch bekommen wird.

Laut EuGH-Generalanwalt Pitruzzella sei diese Vorschrift so zu verstehen, dass das darin geregelte Auskunftsrecht der betroffenen Person notwendigerweise auch auf die Angabe der konkreten, einzelnen Empfänger der Weitergaben der personenbezogenen Daten zu erstrecken ist. Folgt man der Auffassung, müssten auch Online-Händler bei Auskunftsanträgen von Kunden stets vollständig sämtliche einzelnen Unternehmen und sonstigen Organisationen benennen, an die die personenbezogenen Daten - automatisch oder manuell - weitergegeben werden.

Diese Auffassung begründet der Generalanwalt u.a. damit, dass die Ausübung des Auskunftsrechts es der betroffenen Person insbesondere ermöglichen müsse, sich nicht nur zu vergewissern, dass ihre personenbezogenen Daten fehlerfrei verarbeitet werden, sondern auch, dass diese an Empfänger gerichtet sind, die zur Verarbeitung dieser Daten auch befugt sind. Des Weiteren hebt er vor, dass für die betroffene Person andernfalls keine Möglichkeit bestünde, in vollem Umfang die Rechtmäßigkeit der vom Verantwortlichen vorgenommenen Datenverarbeitung und insbesondere die Rechtmäßigkeit der bereits erfolgten Weitergaben von Daten überprüfen zu können, wenn man bereits die Nennung von Kategorien von Empfängern ausreichen lassen würde.

III. Sind Ausnahmefälle vorstellbar?

Eine Beschränkung des Auskunftsrechts auf die Angabe bloß der Kategorien von Empfängern ist nach der Ansicht des Generalanwalts aber in zwei bedeutsamen Fällen möglich.

Zum einen seien Fälle vorstellbar, in denen es tatsächlich unmöglich ist, die konkreten Empfänger der Daten zu benennen – etwa, wenn diese nicht identifiziert werden können.

Zum anderen könne es auch vorkommen, dass die Anträge der betroffenen Person offenkundig unbegründet oder exzessiv sind. Eine Beschränkung der Reichweite des Auskunftsanspruch sei dann möglich, allerdings müsse in solchen Fällen der Verantwortliche - also nicht die betroffene Person - die entsprechenden Nachweise erbringen, dass solche Konstellationen tatsächlich auch vorliegen.

IV. Was könnte Online-Händlern bei Erhalt von Auskunftsersuchen konkret helfen?

Nach Art. 12 Abs. 5 DSGVO müssen die Verantwortlichen, also auch Online-Händler hinsichtlich Kundendaten, Mitteilungen und Maßnahmen, einschließlich u.a. Auskunftsanträgen nach Art. 15 DSGVO grundsätzlich unentgeltlich bearbeiten.

Das Gesetz erlaubt es dem Verantwortlichen allerdings, dass er bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person, für deren Bearbeitung ein angemessenes Entgelt verlangt, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden. Auch hier muss allerdings der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags erbringen.

V. Musterformulierung bei unbegründeten und exzessiven Auskunftsersuchen

Bei unbegründeten oder exzessiven Anträgen auf Auskunft nach Art. 15 DSGVO können Verantwortliche die folgende Musterformulierung verwenden, um den Antragstellern zu antworten.

Aber Vorsicht, dabei bitte beachten: Es muss sich in solchen Fällen tatsächlich um einen unbegründeten oder exzessiven Auskunftsantrag eines Kunden oder einer sonstigen betroffenen Person handeln. Als Online-Händler können Sie sich durch die Verwendung der Musterformulierung daher nicht von Ihrer gesetzlichen Pflicht auf Auskunft befreien, wenn von Gesetzes wegen gar keine Befreiung vorliegt.

Exklusiv-Inhalt für Mandanten

Noch kein Mandant?

Ihre Vorteile im Überblick

• Wissensvorsprung

  Zugriff auf exklusive Beiträge, Muster und Leitfäden
• Schutz vor Abmahnungen

  Professionelle Rechtstexte – ständig aktualisiert
• Monatlich kündbar

  Schutzpakete mit flexibler Laufzeit

Ab

5,90 €

mtl.

Jetzt Mandant werden

Weitere Musterformulierungen für die Beantwortung von Auskunftsersuchen nach Art. 15 DSGVO finden unsere Mandanten in unserem Mandantenportal hier.

VI. Was bedeutet dies für die Praxis?

Zwar hat der EuGH über diesen Fall und die damit zusammenhängende Auslegung des Art. 15 Abs. 1 lit. c DSGVO noch nicht entschieden. Allerdings ist es durchaus wahrscheinlich, dass sich der EuGH der Ansicht des Generalanwalts anschließen wird, da dies in der Regel geschieht.

Deswegen müssen Online-Händler damit rechnen, künftig in ihren Antworten auf Auskunftsbegehren von Kunden möglicherweise sämtliche Datenempfänger konkret benennen zu müssen, an die sie ihre Kundendaten weitergeben bzw. denen sie Zugang zu ihren Kundendaten verschaffen. Zu den möglichen Empfängern zählen dabei neben den Verantwortlichen auch alle Auftragsverarbeiter, die ebenfalls aufgeführt werden müssen.

Eine gute Übersicht darüber, an welche Stellen Daten weitergeleitet werden und wer daher die konkreten Empfänger der Daten sind, ist dabei ein großer Vorteil. Unsere Mandanten finden in unserem Mandantenportal hierzu nicht nur einige Vorlagen, z.B. zur Erstellung des Verarbeitungsverzeichnisses nach Art. 30 DSGVO, sondern auch andere Musterschreiben und -formulierungen, die etwa dazu verwendet werden können, ordnungsgemäß auf Auskunftsanfragen von Kunden und sonstigen betroffenen Personen zu antworten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.