Datenschutzinformation nach Art. 13 DSGVO: Genügen Kategorien von Empfängern – oder braucht es Namen?

30.06.2025 Frage der Woche Datenschutz

Eine namentliche Nennung jedes einzelnen Empfängers – insbesondere von Dienstleistern im Rahmen einer Auftragsverarbeitung – wird weder ausdrücklich von der DSGVO verlangt, noch ist sie für die Zwecke der Transparenz und Betroffeneninformation sinnvoll. Im Folgenden wird diese Position dargelegt.

Müssen Auftragsverarbeiter in der Datenschutzerklärung namentlich genannt werden?

These: Aus pragmatischer Sicht eines Datenschutzbeauftragten ist es ausreichend und zulässig, in der Datenschutzerklärung nur Kategorien von Empfängern personenbezogener Daten anzugeben. Eine namentliche Nennung jedes einzelnen Empfängers – insbesondere von Dienstleistern im Rahmen einer Auftragsverarbeitung – wird weder ausdrücklich von der DSGVO verlangt, noch ist sie für die Zwecke der Transparenz und Betroffeneninformation sinnvoll. Im Folgenden wird diese Position dargelegt.

Gesetzlicher Wortlaut: „Empfänger oder Kategorien von Empfängern“

Die DSGVO selbst lässt erkennen, dass Kategorien von Empfängern genügen. Art. 13 Abs. 1 lit. e DSGVO (bzw. Art. 14 Abs. 1 lit. e bei Datenerhebung nicht direkt beim Betroffenen) verlangt die Angabe „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“. Schon der Wortlaut bietet dem Verantwortlichen also eine Alternative: Er darf anstelle jeder einzelnen Empfänger-Identität auch Gruppenbezeichnungen verwenden. Wäre eine namentliche Aufzählung zwingend gewollt, hätte der Gesetzgeber kaum die Formulierung „oder Kategorien“ aufgenommen.

Das im Deutschen eingefügte Wort „gegebenenfalls“ bedeutet dabei nicht, dass diese Information weggelassen werden könnte – sofern Übermittlungen an irgendeinen Empfänger geplant sind, muss entweder eine Liste konkreter Empfänger oder zumindest deren Kategorie angegeben werden. Mit anderen Worten: Gibt es überhaupt Empfänger, ist eine entsprechende Information erforderlich. Aber es steht dem Verantwortlichen frei, anstelle einzelner Namen eine generische Bezeichnung zu wählen, die die Gruppe der Empfänger beschreibt. Diese Gleichwertigkeit beider Alternativen ist im Gesetzestext ausdrücklich angelegt und lässt zunächst vermuten, dass eine Kategorieangabe den Anforderungen genügt.

Der Begriff des „Empfängers“ und „Offenlegung“ (Art. 4 Nr. 9 DSGVO)

Wen erfasst die Pflicht zur Empfänger-Nennung? „Empfänger“ ist legal definiert in Art. 4 Nr. 9 DSGVO als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“. Entscheidend ist hier der Begriff „offengelegt werden“, also das Offenlegen bzw. Weitergeben von Daten. Sobald eine Stelle die personenbezogenen Daten erhält, gelten sie als Empfänger in diesem Sinne – selbst wenn es kein „Dritter“ im datenschutzrechtlichen Sinne ist. Insbesondere bedeutet dies: Auftragsverarbeiter (Dienstleister, die Daten im Auftrag des Verantwortlichen verarbeiten) werden von der Definition erfasst, obwohl sie rechtlich nicht „Dritte“ sind. Ihre Einbindung ist dennoch eine Form des Weitergebens von Daten (die Daten werden der externen Stelle zugänglich gemacht), also eine Offenlegung. Folglich zählen auch solche Dienstleister als Empfänger und fallen unter die Informationspflicht.

Damit ist klar: Wenn ein Unternehmen externe Dienstleister mit der Verarbeitung beauftragt (z.B. IT-Provider, Cloud-Hoster, Lohnbuchhalter etc.), muss es in der Datenschutzerklärung darauf hinweisen, dass personenbezogene Daten an diese gelangen – aber eben nicht zwingend mit Name und Anschrift, sondern gemäß Art. 13/14 DSGVO kann es auch allgemeiner die Kategorie dieser Empfänger angeben. „Offenlegung“ bedeutet hier also kein publik machen, sondern jede Form der Übermittlung oder Zugänglichmachung außerhalb der verantwortlichen Stelle. (Nicht als Empfänger gelten laut Satz 2 der Definition nur Behörden im Rahmen rechtlicher Untersuchungsaufträge – diese müssen ausgenommen werden, um behördliche Anfragen nicht vorab vereiteln zu müssen.) Für unseren Kontext wichtig: Alle Auftragsverarbeiter sind Empfänger, über die informiert werden muss; das Wie der Nennung (Name oder Kategorie) regeln Art. 13/14 DSGVO mit der oben genannten Alternativ-Formulierung.

Unterschiedliche Zwecke: Informationspflichten vs. Auskunftsrecht

Ein Großteil der aktuellen Diskussion rührt von einem Urteil des Europäischen Gerichtshofs (EuGH) vom 12. Januar 2023 (Rs. C-154/21, Österreichische Post) her. Darin ging es allerdings um das Auskunftsrecht nach Art. 15 DSGVO, also um den Fall, dass eine betroffene Person individuell Auskunft über die Verarbeitung ihrer Daten verlangt. Der EuGH stellte klar, dass der Verantwortliche bei einem Auskunftsersuchen grundsätzlich die konkreten Empfänger zu nennen hat – nicht nur Kategorien^{1) 2)}. Die betroffene Person habe hier ein Wahlrecht: sie kann entscheiden, ob sie nur Kategorien erfahren möchte oder die Identität der Empfänger; dem Unternehmen stehe insoweit kein freies Wahlrecht zu.

Dieses Urteil stärkt die Betroffenenrechte im individuellen Auskunftskontext deutlich – doch lässt es sich nicht eins zu eins auf die allgemeine Informationspflicht (Art. 13/14) übertragen. Warum? Weil Informationspflichten und Auskunftsrecht verschieden ausgerichtet sind.

Zeitpunkt: Die Informationspflicht greift bei Erhebung der Daten, also typischerweise vor oder während der ersten Datenerhebung (z.B. beim Abschluss eines Vertrags, beim Besuch der Webseite usw.). Zu diesem Zeitpunkt hat noch kein tatsächlicher Datenfluss an externe Empfänger stattgefunden. Oft stehen konkrete Empfänger noch gar nicht fest, oder es liegt nur eine Planung vor (etwa dass bestimmte Daten später an Dienstleister X oder Y gehen könnten). Daher erlaubt es die DSGVO hier, diese potenziellen Empfänger abstrakt zu umschreiben – die Information soll einen generellen Überblick geben, nicht jedes Detail des Einzelfalls.
Gegenstand: Das Auskunftsrecht nach Art. 15 greift nachträglich, bezogen auf eine konkrete Person. Hier möchte der Betroffene wissen: „Welche Daten von mir wurden verarbeitet, und an wen wurden sie tatsächlich weitergegeben?“ Es geht also um konkrete historische oder aktuelle Vorgänge, bezogen auf die individuelle Person. Deshalb muss hier laut EuGH so präzise wie möglich geantwortet werden, um der Person ggf. die Basis für weitere Schritte (Berichtigung, Löschung, Schadensersatz etc.) zu liefern.

Der Generalanwalt beim EuGH hat diesen Unterschied betont: Art. 13/14 DSGVO dienen einer allgemeinen Information aller Betroffenen über die Datenverarbeitung, während Art. 15 DSGVO ein individuelles Recht auf konkrete Details gewährt. Bei den Informationspflichten liegt die Wahlmöglichkeit zwischen konkreter und kategorisierter Benennung daher beim Verantwortlichen – bei der Auskunft hingegen beim Betroffenen, der konkret nachfragen kann.

Praktisch bedeutet das: In der Datenschutzerklärung (Art. 13/14) darf das Unternehmen entscheiden, wie es Empfänger angibt (solange es korrekt und verständlich informiert). Bei einem Auskunftsersuchen (Art. 15) hingegen muss das Unternehmen – soweit möglich – den Wünschen des Anfragenden entsprechen und konkrete Empfängernamen mitteilen. Diese „Wesensverschiedenheit“ der beiden Situationen rechtfertigt, warum die DSGVO in Art. 13/14 überhaupt die einfachere Angabe von Kategorien zulässt.

Keine Pflicht zur Namensnennung in der Datenschutzerklärung

Angesichts des Gesetzeswortlauts und der unterschiedlichen Zielrichtungen ist es rechtlich vertretbar und üblich, in Datenschutzhinweisen nur Empfängerkategorien anzugeben. Eine gegenteilige Auffassung – dass also bereits in der Datenschutzerklärung alle Empfänger konkret benannt werden müssten – findet keine eindeutige Stütze im Gesetz. Gleichwohl gibt es hier unterschiedliche Ansichten, die kritisch zu beleuchten sind.

Befürworter der konkreten Nennung argumentieren vor allem mit dem Transparenzgebot (Art. 5 Abs. 1 lit. a DSGVO). Ihrer Meinung nach sollen Betroffene so genau wie möglich erfahren, wer ihre Daten erhält. So hat z.B. der Hessische Datenschutzbeauftragte (für den Gesundheitsbereich) geäußert, eine lediglich abstrakte (kategorische) Nennung reiche nicht aus – Datenempfänger müssten „so konkret wie möglich und namentlich“ benannt werden³⁾. Ebenso betonten die europäischen Datenschützer in den Leitlinien der Art.29-Datenschutzgruppe zur Transparenz (WP29, heute der EDSA) den Grundsatz größtmöglicher Klarheit: In der Praxis seien „gemeinhin die benannten Empfänger“ anzugeben, damit Betroffene „genau wissen, wer im Besitz ihrer personenbezogenen Daten ist“⁴⁾. Dies klingt nach einem Plädoyer für Namensnennung aller bekannten Empfänger im Rahmen der Informationspflicht.

Allerdings: Weder die Aufsichtsbehörden noch die WP29-Leitlinien haben daraus eine strikt verbindliche Vorgabe gemacht. Die Datenschutzkonferenz (DSK) der deutschen Aufsichtsbehörden wiederholt in ihrem Kurzpapier zu Art. 13/14 DSGVO lediglich den Gesetzeswortlaut, ohne eine Präzisierung⁵⁾. Und selbst die Art.29-Gruppe hat eingeräumt, dass die Angabe von Kategorien zulässig bleibt – allerdings mit der Auflage, diese so aussagekräftig wie möglich zu gestalten⁶⁾. Wörtlich heißt es dort: Entscheidet sich der Verantwortliche für Kategorien, sollten Art der Empfänger, Branche/Sektor und Standort so genau wie möglich angegeben werden. Dies zeigt: Die Kategorie-Option ist ausdrücklich vorgesehen, muss aber sinnvoll genutzt werden (nicht zu pauschal, sonst fehlt es an Transparenz).

Der Hinweis des Hessischen Datenschützers ist zwar zu beachten, stellt aber (noch) keine einhellige Meinung dar. Bislang gibt es keine höchstrichterliche Entscheidung und keine eindeutige Vorgabe aller Aufsichtsbehörden, die eine generelle Namensliste in jeder Datenschutzerklärung verlangen würde. Im Gegenteil stützen gewichtige Argumente die Auffassung, dass Kategorien ausreichend und angemessen sind:

Wortlaut und Wahlrecht: Wie gezeigt, lässt der Gesetzeswortlaut ein Wahlrecht des Verantwortlich. Diese vom Gesetzgeber bewusst formulierte Alternative kann nicht ohne Weiteres als Pflicht zur detailliertesten Variante uminterpretiert werden. Solange der Verantwortliche sinnvolle Kategorien nennt, kommt er dem Transparenzgebot nach. Es besteht nach richtiger Auslegung ein rechtliches Ermessen, ob konkrete Namen wirklich nötig sind.
Praktische Undurchführbarkeit in vielen Fällen: Oft ist eine namentliche Nennung gar nicht praktikabel oder verständlich. Ein Beispiel aus der Praxis: In Datenschutzinformationen für Mitarbeiter wird meist angegeben, dass Daten an „Krankenkassen“ oder „Sozialversicherungsträger“ übermittelt werden. Jeder Beschäftigte ist bei einer anderen Krankenkasse – es gäbe also nicht die eine konkrete Empfängerstelle. Wollte man hier alle möglichen Kassen namentlich aufzählen, müsste man entweder jeden Mitarbeiter individuell informieren oder eine lange Liste aller Kassen abdrucken. Beides wäre umständlich, unübersichtlich und würde den Rahmen sprengen. Der Sinn und Zweck von Art. 13 DSGVO ist nicht, das Unternehmen zu zwingen, für jeden einzelnen Betroffenen getrennte Infos vorzuhalten. Die Kategorie „Krankenkassen“ vermittelt dem Leser bereits die relevante Information (nämlich welche Art von Empfänger zu erwarten ist) – mehr Detail würde hier eher verwirren als nutzen.⁷⁾
Wechsel und Vielzahl von Dienstleistern: Gerade bei Auftragsverarbeitern nutzen Unternehmen oft mehrere Anbieter und wechseln diese mit der Zeit. Würde man in der Datenschutzerklärung jede Firma nennen, müsste diese Liste bei jeder Änderung sofort aktualisiert werden, um noch korrekt zu sein. Die Pflege dieser Dokumente wäre ein immenser Aufwand und fehleranfällig. Im Extremfall müsste man unzählige Unternehmen aufführen (bei großen Firmen könnten das Dutzende oder gar Hunderte von Dienstleistern sein, vom Rechenzentrum bis zur Marketingagentur). Eine solche Aufzählung wäre für den normalen Nutzer kaum lesbar und würde die Transparenzinformationen überfrachten. Paradoxerweise könnte zu viel Detail die Verständlichkeit mindern – Betroffene fühlen sich von endlosen Listen erschlagen und „abschalten“ dann möglicherweise kognitiv, anstatt besser informiert zu sein. Die DSGVO verlangt aber verständliche, prägnante Informationen (ErwG 58, „in präziser, transparenter, verständlicher und leicht zugänglicher Form“). Kategorien helfen, die Infos zu strukturieren und zusammenzufassen, damit der Leser ein klares Bild bekommt, statt ihn mit bürokratischen Aufzählungen zu ermüden.

Zusammengefasst: Die strikte Ansicht, konkrete Empfänger müssten generell in der Datenschutzerklärung benannt werden, überschreitet nach hiesiger Auffassung die Vorgaben der DSGVO. Sie mag aus Idealismus der vollständigen Transparenz verständlich sein, ignoriert aber praktische Realitäten und die Flexibilität, die das Gesetz bewusst einräumt.

Empfänger und Betroffenenrechte: Braucht der Betroffene die Namen?

Ein weiterer wichtiger Punkt ist die Praxisrelevanz für die betroffene Person. Kritiker einer reinen Kategorie-Nennung argumentieren, nur die Kenntnis konkreter Empfänger ermögliche es dem Betroffenen, seine Datenschutzrechte effektiv auszuüben (z.B. gezielt bei einem Empfänger die Löschung zu verlangen). Doch in der Regel sind Empfänger selbst nicht die Adressaten der Betroffenenrechte – das ist ein entscheidender Unterschied.

Die DSGVO strukturiert die Rechte der betroffenen Person so, dass der Verantwortliche der primäre Ansprechpartner ist. Will jemand z.B. eine Berichtigung oder Löschung seiner Daten erreichen, richtet er den Anspruch an den Verantwortlichen (das Unternehmen, bei dem er Kunde/Mitarbeiter/Nutzer ist). Dieser muss dann seinerseits sämtliche Empfänger informieren und die Korrektur oder Löschung dort ebenfalls veranlassen (Art. 19 DSGVO). Der Prozess läuft also über den Verantwortlichen als zentralen Punkt. Auftragsverarbeiter dürfen von sich aus gar nicht auf Lösch- oder Auskunftsersuchen eines Betroffenen reagieren; sie sind vertraglich an die Weisungen des Verantwortlichen gebunden. Selbst wenn der Betroffene also wüsste, dass Dienstleister X seine Daten hat, müsste er sich für eine Löschung dennoch an das beauftragende Unternehmen wenden – Dienstleister X würde ihn sonst auf den Auftraggeber verweisen (so sieht es der Gesetzesmechanismus vor).

Bei Datenempfängern, die eigene Verantwortliche sind (also echte Dritte im Sinne des Datenschutzes, etwa Partnerunternehmen, Auskunfteien, Marketing-Kunden etc.), kann der Betroffene theoretisch parallel auch dort seine Rechte geltend machen. Aber hier stellt sich die Frage, ob die Information „Firma Y erhält meine Daten“ allein dem Betroffenen wirklich hilft. In vielen Fällen wird der Betroffene zunächst gar nicht beurteilen können, wer Firma Y ist, was sie genau mit den Daten macht und welche Rechtsgrundlage dort gilt. All das müsste er erst wiederum über ein Auskunftsersuchen bei Y in Erfahrung bringen. Effektiver ist es meist, sich an den ursprünglichen Datenverarbeiter zu halten – dieser hat die Übersicht, an wen er was weitergab, und muss ohnehin gegenüber allen Empfängern für Rechtskonformität sorgen.

Ein wichtiger Vorteil der Kategorisierung in der Datenschutzerklärung ist, dass der Betroffene sofort einen Eindruck bekommt, in welche Richtungen seine Daten fließen, ohne jede einzelne Firma kennen zu müssen. Beispiel: Die Information „Wir geben Ihre Daten ggf. an Auskunfteien und Inkassodienstleister weiter“ in der Datenschutzerklärung einer Bank ist für den Betroffenen gut verständlich: Er weiß, es geht an Bonitätsprüfer oder zur Forderungsbeitreibung. Ob diese Firmen nun Schufa XY AG oder Creditreform Z GmbH heißen, macht für sein Verständnis der Verarbeitung kaum einen Unterschied – zumal er möglicherweise die Namen gar nicht einordnen kann. Wichtig ist ihm zu wissen, dass solche Stellen Daten bekommen (und unter welchen Umständen). Sollte er im Einzelfall genauer wissen wollen „wer genau?“, kann er dies im Rahmen eines Auskunftsanspruchs erfragen. Die DSGVO bietet also ein gestuftes Vorgehen: Allgemeine Vorab-Info in Kategorien, detaillierte Info auf Nachfrage. Diese Kombination gewährleistet sowohl Verständlichkeit im Allgemeinen als auch Detailtiefe im Bedarfsfall.

Außerdem ist zu bedenken, dass in der weiten Mehrzahl der Fälle Betroffene kein Interesse daran haben, sämtliche Dienstleister eines Unternehmens namentlich zu kennen. Was sie interessiert, sind typischerweise die Zwecke und Arten der Verarbeitung – und das wird durch Kategorien der Empfänger ebenso transportiert (etwa: „Ihre Daten werden an Zahlungsdienstleister zur Abwicklung von Zahlungen und an Logistikunternehmen zur Zustellung weitergegeben“ – hier erkennt jeder den Zweck und die Art des Empfängers klar). Die Namen der Payment-Provider oder Paketdienste sind für die meisten Kunden zweitrangig. Nur wenige, informierte Betroffene möchten ggf. detailliertere Informationen; diesen steht, wie gesagt, der Auskunftsanspruch offen. Es erscheint daher unverhältnismäßig, allen Betroffenen eine womöglich seitenlange Liste aufzubürden, obwohl nur ein Bruchteil daraus einen Mehrwert zieht. Die Balance zwischen Transparenz und Zumutbarkeit würde verloren gehen, wenn jede Datenschutzerklärung mit solchen Detailtabellen angereichert würde.

Kurz gesagt: Für die Wahrnehmung der Betroffenenrechte genügt es, wenn der Verantwortliche bekannt und erreichbar ist. Er ist derjenige, der Rechenschaft ablegen und Anfragen bedienen muss. Wer seine Rechte ausüben will (z.B. Löschung verlangen), wird dies immer beim verantwortlichen Unternehmen tun – und dieses wiederum muss dann überall, wo die Daten liegen (auch bei Auftragsverarbeitern), die Löschung veranlassen. Ob der Betroffene all diese Stellen namentlich kennt, ändert am Ablauf nichts. Im Einzelfall – etwa bei einem konkreten Verdacht auf Missbrauch – kann er die Offenlegung der Identitäten verlangen (siehe nächster Abschnitt). Allgemein reicht jedoch die Kenntnis der Kategorien, um „ein ungefähres Bild von der Struktur der Datenverarbeitung erahnen zu können“, wie es praktizierende Datenschutzbeauftragte formulieren.

Ausnahmefall Schadensfall – besondere Umstände, besondere Pflichten

Eine potentielle Ausnahme, in der detailliertere Empfängerinformationen wichtig werden können, ist der Schadensfall – z.B. wenn personenbezogene Daten unrechtmäßig weitergegeben wurden und der Betroffene nun Schadensersatz geltend machen will. In solchen Situationen verschiebt sich das Interesse: Der Betroffene braucht dann konkret zu wissen, wer seine Daten hatte, um ggf. rechtliche Ansprüche auch gegen diesen Empfänger prüfen oder durchsetzen zu können.

Die DSGVO trägt dem Rechnung, aber ebenfalls außerhalb der normalen Datenschutzerklärung: Im Fall eines Auskunftsersuchens hat die Person, wie erwähnt, ein Anrecht auf Nennung der konkreten Empfänger. Der EuGH betonte ausdrücklich, dass die Kenntnis der konkreten Empfänger die Geltendmachung von Schadensersatzansprüchen erleichtert. Das heißt, wenn jemand z.B. vermutet, dass eine bestimmte Firma seine Daten missbräuchlich verwendet hat, kann er vom ursprünglichen Verantwortlichen verlangen, offenzulegen, ob diese Firma seine Daten erhalten hat. Sollte es tatsächlich zu einem Datenschutzverstoß kommen (z.B. Datenpanne, unbefugter Datenabfluss), ergeben sich besondere Informationspflichten nach Art. 34 DSGVO – auch hierbei würde man im Rahmen der Zumutbarkeit die Betroffenen über die relevanten Empfänger informieren (z.B. „Ihre Daten sind möglicherweise bei XY Inc. abgeflossen“). Im Regelfall jedoch – also ohne konkrete Anhaltspunkte für Missbrauch – besteht keine Notwendigkeit, solch genaue Angaben proaktiv an alle Betroffenen zu geben.

Man kann es so zusammenfassen: Nur wenn es um die Durchsetzung von Rechten oder Ansprüchen im Einzelfall geht, ist die konkrete Empfängeridentität entscheidend. Dann gibt das Datenschutzrecht den Betroffenen die Instrumente an die Hand, diese Information zu erhalten (sei es via Auskunftsanspruch oder im Rahmen der Kommunikation nach einem Vorfall). Dies stellt aber den Ausnahmefall dar. Die Regelinformation nach Art. 13/14 DSGVO muss sich nicht an den Bedürfnissen eines potentiellen Streitfalls orientieren, sondern am typischen Informationsinteresse aller Betroffenen. Und dieses wird – wie oben erläutert – durch Kategorien vollkommen erfüllt, ohne den Informationspflichtigen unverhältnismäßig zu belasten oder die Betroffenen mit Detailfluten zu konfrontieren.

Fazit: Kategorien genügen – konkret wird es nur bei Bedarf

Im Lichte der obigen Ausführungen sprechen sowohl der juristische Befund als auch Pragmatik und Proportionalität dafür, dass in der Datenschutzerklärung die Angabe von Empfängerkategorien ausreicht. Eine namentliche Nennung aller einzelnen Empfänger ist weder verpflichtend noch im Allgemeinen sinnvoll. Entscheidend ist, dass die Kategorien so transparent und präzise formuliert sind, dass die betroffene Person den Zweck und die Art der Empfänger erkennen kann. Dies entspricht dem gesetzlichen Transparenzgebot, ohne es zu überdehnen.

Die DSGVO selbst gibt dem Verantwortlichen hier Spielraum, den er nutzen darf. Solange keine eindeutige entgegenstehende Rechtsprechung für Art. 13/14 DSGVO besteht, bleibt es bei diesem Wahlrecht. Die jüngste EuGH-Rechtsprechung (Rs. C-154/21) bezieht sich ausdrücklich nur auf Art. 15 und bestätigt damit indirekt, dass Art. 13/14 eine andere Funktion haben. Auch die Aufsichtsbehörden haben bislang – von Einzelstimmen abgesehen – nicht einhellig verlangt, Empfänger stets namentlich zu benennen. Vielmehr sollte der Verantwortliche die Entwicklung beobachten, aber derzeit gilt: Die Angabe von Kategorien von Empfängern genügt den gesetzlichen Anforderungen, sofern sie sorgfältig und wahrheitsgemäß erfolgt.

Aus Perspektive pragmatischer Datenschutzbeauftragter ist dieses Vorgehen nicht nur zulässig, sondern auch zweckmäßig: Es gewährleistet Klarheit und Flexibilität. Betroffene erhalten die wesentlichen Informationen, und im Bedarfsfall stehen ihnen immer noch Wege offen, detailliertere Auskünfte zu erhalten. Eine präventive Auflistung aller Empfänger in jeder Datenschutzerklärung würde dagegen über das Ziel hinausschießen und könnte mehr Verwirrung als Aufklärung stiften. In summa: Die Kategorie macht’s – Namen sind (im Normalfall) verzichtbar.

Weiterführende Quellen:

Zurück zur Übersicht