Hallo, Verlangt eine betroffene Person eine Auskunft über die Verarbeitung ihrer personenbezogenen Daten, dann müssen die Empfänger personenbezogener Daten in der Auskunft nun konkret benannt werden. Eine lediglich allgemeine Auskunft über Kategorien von Empfängern ist unzureichend (EuGH, Urteil vom 12.01.2023, Rechtssache C-154/21).
Besucht ein Kunde meine Website und stimmt dort per Consent Banner der Nutzung mehrere Webanalyse-tools zu (Google Analytics, etc.) so geben ich ja zumindest seine IP weiter und IPs sind ja personenbezogen. Muss ich bei einem Auskunftsersuchen nun jedes mal prüfen, welchem Tool ein Kunde zugestimmt hat und ihm dann konkret alle Toolanbieter auflisten? Wie seht ihr das? Anderes Beispiel: Bei jeder Bestellung gebe ich ja die Adressdaten an einen Postversender weiter. Muss ich zukünftig angeben, ob dies DPD oder Hermes etc. war?
Ein Paketdienstleister ist kein Auftragsverarbeiter, da der Hauptzweck nicht die Verarbeitung der personenbezogenen Daten ist, sondern die Auslieferung. Die LDA Bayern hat dazu mal ein Papier erstellt:
https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Abgrenzung_Auftragsverarbeitung.pdf
Ansonsten hat der EuGH den umfassenden Auskunftsanspruch nur dann bejaht, wenn der Betroffene eine konkrete Auskunft wollte. Ob Verantwortliche generell dazu verpflichtet sind, wurde nicht entschieden. S. auch hier:
https://www.tcilaw.de/eugh-empfaenger-muessen-in-auskunft-konkret-benannt-werden-urteil-vom-12-01-2023-az-c-154-21/
Danke für die Antwort. Bzgl. Paketdienstleiter hast du natürlich Recht, war auch nur als Beispiel gedacht, um die Diskussion anzuregen. Leider benutzen viele Kunden für die Auskunftsanfrage Musterbriefe aus dem Netz, wo dann meistens steht “und an wen Sie meine pbD weitergegeben haben” oder “Haben Sie diese Daten an Dritte übermittelt ? Wenn ja, an wen?”
Der Paketdienstleister ist zwar nach allgemeiner Ansicht kein Auftragsverarbeiter, aber sehr wohl ein eigener Verantwortlicher und damit ein Empfänger iSd Art. 4 Nr. 9 DSGVO und da gemäß Art. 15 Abs. 1 lit. c) DSGVO eben jene Empfänger konkret zu benennen sind, müsste auch der konkrete Paketdienstleister zu nennen sein, so denn eine derartige Dokumentation vorliegt, was ja aber in der Regel der Fall sein wird.
Mal abgesehen vom Problem des Nachweises, dass man Betroffener ist:
Man kann die Info einfach geben, indem man sie bereits im Consent Banner gibt - da sollte sie ohnehin stehen oder einfach abrufbar sein.
Einige Banner habe Platz, die Empfänger konkret zu benennen. Ansonsten könnten auch alle in der DSE mit aufgeführt werden.