[Bürger]

....die etwaige Übertragbarkeit auf Datenauskunftsersuchen an ARD-ZDF-GEZ bliebe noch zu prüfen

FAZ, 16.01.2023
Datenweitergabe an Dritte
Woher die viele Werbung kommt
Mit einer Entscheidung hat der Europäische Gerichtshof die Rechte von Verbrauchern immens gestärkt. Jeder kann von seinen Vertragspartnern Auskunft darüber verlangen, an wen seine personenbezogenen Daten weitergegeben wurden. Für Unternehmen wird das eine Mammutaufgabe.
Von Marcus Jung
https://www.faz.net/aktuell/wirtschaft/auskunftsrecht-fuer-verbraucher-woher-die-viele-werbung-kommt-18606575.html

[...]

Mit einer aktuellen Entscheidung hat der Europäische Gerichtshof (EuGH) die Rechte von Betroffenen immens gestärkt. Demnach hat jeder ein Auskunftsrecht nach Art. 15 DSGVO, an wen personenbezogene Daten weitergegeben wurden.  [...]

Bußgelder und Schadenersatz drohen

[...] Anna Lena Füllsack, Anwältin in der Wirtschaftskanzlei CMS Deutschland[...] „Verantwortliche müssen bei der Beantwortung eines Auskunftsersuchens nunmehr jeden einzelnen Empfänger offenlegen. Kommen Unternehmen dieser spezifischen Auskunftspflicht nicht nach, können neben Bußgeldern der Aufsichtsbehörden insbesondere Schadenersatzklagen von Betroffenen drohen.“

Nun muss der oberste Gerichtshof in Wien, vor dem die Klage anhängig ist, ein Urteil nach den Vorgaben aus Luxemburg sprechen (Rechtssache C-154/21).

Edit: Aktenzeichen im Zitat korrigiert. Im Original-Artikel ist als Aktenzeichen angegeben "C-154/2" - was von der üblichen Syntax abweicht.
Eine web-Suche mit "EuGH C-154 DSGVO" lieferte dann das wahrscheinlich korrekte Aktenzeichen "C-154/21" mit Urteil vom 12.01.2023
https://www.google.com/search?q=EuGH+C-154+dsgvo

LTO, 12.01.2023
EuGH bejaht DSGVO-Auskunftsanspruch
Unter­nehmen müssen kon­k­rete Iden­tität von Daten­emp­fän­gern offen­legen
Werden personenbezogene Daten offengelegt, dann muss der Verantwortliche über die konkrete Identität des Empfängers Auskunft erteilen, so der EuGH.  Die Entscheidung stärkt Betroffenenrechte, für Unternehmen bedeutet sie Mehraufwand.
https://www.lto.de/recht/nachrichten/n/eugh-c15421-dsgvo-recht-auf-auskunft-von-empfaengerdaten/


URTEIL DES GERICHTSHOFS (Erste Kammer)
12. Januar 2023(*)
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 15 Abs. 1 Buchst. c – Auskunftsrecht der betroffenen Person über ihre Daten – Informationen über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden – Einschränkungen“
In der Rechtssache C-154/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Obersten Gerichtshof (Österreich) mit Entscheidung vom 18. Februar 2021, beim Gerichtshof eingegangen am 9. März 2021 [...]
https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

[pinguin]

In der Entscheidung geht es darum, daß der Verantwortliche für die Datenverarbeitung gegenüber jener natürlichen Person, zu der diese personen-bezogenen Daten gehören, offenlegen muß, wer diese personen-bezogenen Daten abgefragt hat.

URTEIL DES GERICHTSHOFS (Erste Kammer)
12. Januar 2023(*)

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 15 Abs. 1 Buchst. c – Auskunftsrecht der betroffenen Person über ihre Daten – Informationen über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden – Einschränkungen“

In der Rechtssache C-154/21
https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:

Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz?Grundverordnung)

ist dahin auszulegen, dass

das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.

39      Um die praktische Wirksamkeit sämtlicher in der vorstehenden Randnummer des vorliegenden Urteils angeführten Rechte zu gewährleisten, muss die betroffene Person somit insbesondere über das Recht verfügen, dass ihr die Identität der konkreten Empfänger mitgeteilt wird, wenn ihre personenbezogenen Daten bereits offengelegt wurden.

41      Somit hat die betroffene Person gemäß Art. 19 Satz 2 DSGVO ausdrücklich das Recht, von dem Verantwortlichen im Rahmen seiner Verpflichtung, alle Empfänger über die Ausübung der Rechte zu informieren, über die diese Person nach Art. 16, Art. 17 Abs. 1 und Art. 18 DSGVO verfügt, über die konkreten Empfänger der sie betreffenden Daten unterrichtet zu werden.

43      Folglich ist davon auszugehen, dass die Informationen, die der betroffenen Person gemäß dem in Art. 15 Abs. 1 Buchst. c DSGVO vorgesehenen Auskunftsrecht erteilt werden, möglichst genau sein müssen. Insbesondere umfasst dieses Auskunftsrecht die Möglichkeit für die betroffene Person, von dem Verantwortlichen Informationen über bestimmte Empfänger zu erhalten, gegenüber denen Daten offengelegt worden sind oder noch offengelegt werden, oder alternativ zu entscheiden, nur Informationen über die Kategorien von Empfängern anzufordern.

46      Aus dem mit der DSGVO verfolgten Ziel ergibt sich daher auch, dass die betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die konkreten Empfänger zu verlangen, gegenüber denen sie betreffende personenbezogene Daten offengelegt worden sind oder noch offengelegt werden.

34      Zweitens ist auch darauf hinzuweisen, dass jede Verarbeitung personenbezogener Daten von natürlichen Personen mit den in Art. 5 DSGVO aufgestellten Grundsätzen im Einklang stehen muss, damit das Auskunftsrecht gewahrt wird (vgl. in diesem Sinne Urteil vom 16. Januar 2019, Deutsche Post, C-496/17, EU:C:2019:26, Rn. 57).

Nachstehend Rn. 57 aus EuGH C-496/17, auf die in Rn. 34 der vorliegenden Entscheidung hingewiesen wird.

URTEIL DES GERICHTSHOFS (Dritte Kammer)
16. Januar 2019(*)

„Vorlage zur Vorabentscheidung – Zollunion – Zollkodex der Union – Art. 39 – Status eines zugelassenen Wirtschaftsbeteiligten – Durchführungsverordnung (EU) 2015/2447 – Art. 24 Abs. 1 Unterabs. 2 – Antragsteller, der keine natürliche Person ist – Fragenkatalog – Erhebung personenbezogener Daten – Richtlinie 95/46/EG – Art. 6 und 7 – Verordnung (EU) 2016/679 – Art. 5 und 6 – Verarbeitung personenbezogener Daten“

In der Rechtssache C-496/17
https://curia.europa.eu/juris/document/document.jsf?text=&docid=209846&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=425659

57      Jede Verarbeitung personenbezogener Daten muss aber mit den in Art. 6 der Richtlinie 95/46 bzw. Art. 5 der Verordnung 2016/679 aufgestellten Grundsätzen in Bezug auf die Qualität der Daten und mit einem der in Art. 7 der Richtlinie bzw. Art. 6 der Verordnung aufgeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten im Einklang stehen (vgl. in diesem Sinne Urteile vom 20. Mai 2003, Österreichischer Rundfunk u. a., C-465/00, C-138/01 und C-139/01, EU:C:2003:294, Rn. 65, sowie vom 13. Mai 2014, Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 71).

Querverweise:
EuGH C-439/19 - DSGVO - Datenübertragung an Wirtschaftsteilnehmer unzulässig
https://gez-boykott.de/Forum/index.php?topic=35594.0

EuGH C-34/02 - Begriff "öffentliche Verwaltung" ist unionsweit vereinheitlicht
https://gez-boykott.de/Forum/index.php?topic=36275.0

[Zeitungsbezahler]

Jetzt schlußfolgere ich mal: Da der "Beitragsservice" ja keine juristische Person oder Behörde ist, müßte dann der persönliche Sachbearbeiter, der die Daten gesaugt hat, verantwortlich zeichnen und der Empfänger der Daten sein? Und wie ist das bei vollautomatischen Prozessen-der Programmierer?
Kafka läßt grüßen...

[pinguin]

Und wie ist das bei vollautomatischen Prozessen-der Programmierer?

Nö, wieso? Verantwortlich ist die betreffende LRA; so ist es doch bestimmt? Und das sollte auch, bzw., erst recht, dann gelten, wenn die den automatischen Vorgang auslösenden Mitarbeiter*innen des BS keiner LRA zuzuordnen sind.

Immerhin muß sich gemäß Art 22 DSGVO niemand rein automatisierten Vorgängen unterwerfen.

Konsolidierter Text: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR)
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016R0679-20160504

Artikel 22
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

(1)   Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2)  Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3)   In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4)   Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

Und zu Abs. 2 Buchstabe b müsste das Gericht die Vorlage an den EuGH unterbreiten, um die Tragweite dieses Abs. 2 Buchstabe b in verbraucherspezifischen Rundfunkangelegenheiten klären zu lassen, denn Abs 1 ist auch für das Gericht genauso bindend, und bekanntermaßen heißt es

BVerfG 2 BvR 793/07 - Vorlagepflicht, wenn kein zweifelfreies Ergebnis möglich
https://gez-boykott.de/Forum/index.php?topic=36841.0