Das stellt der Europäische Gerichtshof (EuGH) in einem Urteil vom 12.01.2023 (Aktenzeichen: C-154/21) fest.
Diese Entscheidung gilt auch für Auskunftsbegehren von Versicherten gegenüber ihrer jeweiligen Krankenkasse. Der Verein Patientenrechte und Datenschutz e. V. stellt für solche Auskunftsbegehren einen leicht zu bedienenden Anfragegenerator zur Verfügung, der bereits mehr als 1.400 mal genutzt wurde.
Die Vorgeschichte der EuGH-Entscheidung:
- Ein Bürger beantragte bei der Österreichischen Post, der größten Anbieterin von Post- und Logistikdiensten in Österreich, ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe. Er stützte sich auf Art. 15 Datenschutz-Grundverordnung (DSGVO). Dieser Artikel sieht vor, dass eine betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die Empfänger oder Kategorien von Empfängern zu erhalten, gegenüber denen ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Bei der Beantwortung der Anfrage des Bürgers beschränkte sich die Österreichische Post auf die Mitteilung, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an.
- Der Bürger erhob daraufhin gegen die Österreichische Post Klage vor den österreichischen Gerichten. Im Lauf des gerichtlichen Verfahrens teilte die Österreichische Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten.
- Der Oberste Gerichtshof in Österreich, bei dem der Rechtsstreit in letzter Instanz anhängig ist, fragte beim EuGH an, ob die DSGVO es dem für die Datenverarbeitung Verantwortlichen freistellt, ob er der betroffenen Person die konkrete Identität der Empfänger oder nur die Kategorien von Empfängern mitteilt, oder ob die betroffene Person gemäß der DSGVO das Recht hat, die konkrete Identität dieser Empfänger zu erfahren.
Das Urteil des EuGH:
- Der für die Datenverarbeitung Verantwortliche (Art. 4 Ziff. 7 DSGVO) ist, wenn personenbezogene Daten gegenüber weiteren Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet, der betroffenen Person auf Anfrage die Identität der Empfänger mitzuteilen. Nur wenn es (noch) nicht möglich ist, diese Empfänger zu identifizieren, kann sich der Verantwortliche darauf beschränken, lediglich die Kategorien der betreffenden Empfänger mitzuteilen. Dies ist ebenfalls der Fall, wenn der Verantwortliche nachweist, dass der Antrag offenkundig unbegründet oder exzessiv ist.
- Der EuGH weist darauf hin, dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, um es ihr zu ermöglichen, die anderen Rechte auszuüben, die ihr gemäß der DSGVO zukommen, nämlich das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung („Recht auf Vergessenwerden“ – Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) oder auch das Recht auf einen Rechtsbehelf (Art. 79 DSGVO) im Schadensfall.
Quelle: Pressemitteilung des EuGH vom 12.01.2023 zum Urteil des EuGH in der Rechtssache C-154/21 (Österreichische Post – Informationen über die Empfänger personenbezogener Daten)