Die DSGVO lässt hier auf den ersten Blick nämlich durchaus Spielräume zu – sie sieht vor, dass unter anderem auch die (konkreten) Empfänger:innen oder (typenmäßig umschriebenen) Kategorien von Empfänger:innen offenzulegen sind. In der Praxis macht das einen wesentlichen Unterschied – so ist es einfacher, offenzulegen, dass etwa IT-Dienstleister Daten erhalten zu haben, als jeden einzelnen aufzuzählen. Der EuGH hat sich nun zu einer restriktiven Auslegung dazu entschieden.
Im vorliegenden Fall hat der EuGH im Zuge eines vom OGH eingereichten Vorabentscheidungsersuchens zu entscheiden. Konkret wandte sich der Kläger an die Österreichischen Post, um Auskunft über die Empfänger:innen dieser Daten zu erhalten. Die Österreichische Post teilte dem Kläger daraufhin mit, seine personenbezogenen Daten seien zu Marketingzwecken verarbeitet und an “Kund:innen” weitergegeben worden. Die konkreten Namen der Empfänger:innen teilte sie aber nicht mit.
Der EuGH hat sich dieser Vorgehensweise allerdings nicht angeschlossen. Verantwortliche müssen seiner Ansicht nach die Identität der Empfänger:innen beauskunften. Auf die bloßen Kategorien der Empfänger:innen darf er sich nur in Ausnahmefällen beschränken – nämlich dann, wenn es
In der Praxis werden damit die Auskünfte regelmäßig umfangreicher als bisher ausfallen müssen. Gerne wird auch übersehen, dass etwa die Daten von (Sub-)Auftragsverarbeitern ebenfalls offenzulegen sind. Möchte sich ein Unternehmen hingegen auf eine der Ausnahmen stützen, wird es unumgänglich sein, sie im Detail zu dokumentieren.