Hintergrund ist ein Fall (C-154/21) rund um die teilstaatliche Österreichische Post. Ein Bürger verlangte von dem Unternehmen Auskunft über die Weitergabe personenbezogener Daten. Die Post nannte jedoch keine konkreten Empfänger, sondern lediglich Geschäftskunden wie IT-Firmen.
Recht auf Löschung personenbezogener Daten
Die Luxemburger Richter verwiesen allerdings darauf, dass der für die Datenverarbeitung Verantwortliche sich darauf beschränken könne, „nur die Empfängerkategorien mitzuteilen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist“.
Der EuGH merkte außerdem an, „dass dieses Auskunftsrecht der betroffenen Person erforderlich ist, um es ihr zu ermöglichen, die anderen Rechte auszuüben“, die ihr gemäß der Datenschutz-Grundverordnung (DSGVO) zukommen, nämlich etwa das Recht auf Berichtigung sowie das Recht auf Löschung der Daten.
Post gibt Daten zu Marketingzwecken weiter
Konkret beantragte der Bürger gestützt auf die DSGVO bei der Post, ihm mitzuteilen, gegenüber welchen Empfängern sie seine personenbezogenen Daten offengelegt habe. Die Post erklärte daraufhin, sie verwende personenbezogene Daten, soweit das rechtlich zulässig sei, im Rahmen ihrer Tätigkeit als Herausgeberin von Telefonbüchern und biete diese Daten Geschäftskunden für Marketingzwecke an.
Erst im Laufe eines gerichtlichen Verfahrens teilte die Post dem Bürger weiter mit, seine Daten seien an Kunden weitergegeben worden, zu denen werbetreibende Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spendenorganisationen, Nichtregierungsorganisationen (NGOs) oder politische Parteien gehört hätten. Nun muss der Oberste Gerichtshof in Österreich, der den EuGH um Auslegung der DSGVO erbeten hatte, entscheiden.