Generalanwalt am EuGH: Mitarbeiter sind keine „Empfänger“ – zum Umfang des Auskunftsanspruchs

Am 15. Dezember 2022 hat Generalanwalt (GA) Sanchez-Bordona seine Schlussanträge in dem Verfahren C-579/21 vorgelegt. Es geht um einige interessante Fragen hinsichtlich des Umfangs des Auskunftsrechts nach Art. 15 DSGVO. Daneben wird auch kurz auf die Rolle von Mitarbeitern nach der DSGVO bei einem Verantwortlichen eingegangen.

Sachverhalt

In dem Verfahren geht es um einen Betroffenen, der davon Kenntnis erlangte, dass seine personenbezogenen Daten als Kunde des Verantwortlichen abgefragt worden waren. Während dieser Zeit war der Betroffene nicht nur Kunde, sondern auch beim Verantwortlichen beschäftigt.

Der Betroffene forderte den Verantwortlichen auf, ihn über die Identität derjenigen bei ihm Beschäftigten, die im genannten Zeitraum Zugang zu seinen Daten hatten, sowie über den Zweck der Datenverarbeitung zu informieren. Diesen Anspruch begründete er mit Art. 15 DSGVO und damit, dass er mittlerweile von dem Verantwortlichen gekündigt worden war und u. a. die Gründe für seine Kündigung klären wollte.

Der Verantwortliche weigerte sich Auskunft über die Namen der bei Beschäftigten zu erteilen, die personenbezogene Daten des Betroffenen verarbeitet hatten. Nach seiner Ansicht gilt das Recht aus Art. 15 DSGVO nicht für interne Verzeichnisse oder Tagesprotokolle, aus denen hervorgeht, welche Beschäftigten zu welchem Zeitpunkt Zugang zu dem die Kundendaten enthaltenden Datenverarbeitungssystem hatten.

Unterschied zwischen „personenbezogenen Daten“ und „Informationen“

Zunächst befasst sich der GA generell mit der Struktur und dem Inhalt des Art. 15 DSGVO. Er weist darauf hin, dass die Bestimmung zwischen „personenbezogenen Daten“ zum einen und „Informationen“ im Sinne von Abs. 1 Buchst. a bis h zum anderen klar unterscheide. Hieraus folgert er, dass „Informationen“ keine personenbezogenen Daten sind.

Die Informationen, die der betroffenen Person nach Art. 15 Abs. 1 Buchst. a bis h DSGVO zur Verfügung zu stellen sind, dürfen daher nicht mit den personenbezogenen Daten der betroffenen Person im Sinne von Art. 4 Abs. 1 DSGVO verwechselt werden.“

Der Zweck der Erteilung der Informationen liegt in dem Hinweis auf bestimmte Rechte der betroffenen Person oder insbesondere auf Aspekte, die mit der durchgeführten Verarbeitung zusammenhängen, wie z. B. auf ihren Zweck (d. h. den Grund der Verarbeitung) und ihren Gegenstand (die Kategorien der verarbeiteten Daten).

Aus diesem Grund, so der GA, hat der Betroffene im vorliegenden Fall auch keinen Anspruch auf seine personenbezogenen Daten über das Merkmal der „Informationen“, auch wenn nach den Informationen nach Art. 15 Abs. 1 lit. c DSGVO Empfänger zu benennen sind und hierunter eventuell (siehe dazu sogleich) Angaben dazu fallen, welche Mitarbeiter auf Daten des Betroffenen zugegriffen haben.

Der Betroffene hat einen Anspruch auf die „Informationen“ nach Abs. 1, aber nicht, weil diese Informationen an sich „personenbezogene Daten“ darstellten, sondern aufgrund der ausdrücklichen Vorgabe in Art. 15 Abs. 1 DSGVO.

Mitarbeiter als „Empfänger“ im Sinne der DSGVO?

Sodann widmet sich der GA der Frage, ob Mitarbeiter des Verantwortlichen, die mit personenbezogenen Daten umgehen, als „Empfänger“ nach Art. 15 Abs. 1 lit. c DSGVO zu benennen sind.

Das vorlegende Gericht möchte wissen, ob der Betroffene, selbst wenn es sich nicht um seine personenbezogenen Daten handelt, im Licht von Art. 15 Abs. 1 lit. a und c DSGVO berechtigt ist, Auskunft über die beim Verantwortlichen Beschäftigten, die seine personenbezogenen Daten verarbeitet haben, zu erlangen.

Dem Betroffenen geht es hier gerade um die Identität der Beschäftigten, die seine Kundendaten abgefragt haben, sowie um den Zeitpunkt der Verarbeitung und den Verarbeitungszweck.

Der GA betrachtet zunächst die Definition des „Empfängers“ nach Art. 4 Nr. 9 DSGVO. Dies ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Eine extensive Auslegung, wonach auch Mitarbeiter hierunter fallen, lehnt der GA ausdrücklich ab.

Er vertritt die Ansicht,

dass der Begriff des Empfängers nicht die bei einer juristischen Person Beschäftigten einschließt, die unter Nutzung des Datenverarbeitungssystems der juristischen Person und im Auftrag ihrer leitenden Organe die personenbezogenen Daten eines Kunden abfragen.“

Wenn die Beschäftigten unter der unmittelbaren Verantwortung des Verantwortlichen tätig werden, so werden sie schon aufgrund dessen nicht zum „Empfänger“ der Daten. Diese Hinweis des GA ist wichtig, da er danach auch die Situation betrachtet, in der Beschäftigte gerade nicht innerhalb ihrer Weisungen agieren.

Offenlegung gegenüber Behörde

Seinen Standpunkt begründet der GA unter anderem auch mit dem Zweck des Art. 15 DSGVO. Dieser liegt vor allem darin, die Rechtmäßigkeit des Umgangs mit den Daten zu prüfen. Hierfür ist aber, soweit Beschäftigte innerhalb ihrer festgelegten Aufgaben agieren, nicht erforderlich, diese Beschäftigten zu benennen. Denn sie sind in diesem Fall nicht die Verantwortlichen, sondern ihr Arbeitgeber.

Der GA weist zudem darauf hin, dass von dem Anspruch nach Art. 15 DSGVO die Situation zu unterscheiden ist,

dass gegenüber den Aufsichtsbehörden die Beschäftigten namhaft zu machen sind und der Zeitpunkt anzugeben ist, zu dem einer von ihnen auf die personenbezogenen Daten des Kunden zugegriffen hat (d. h. auf den Inhalt dieser Angaben in den Verzeichnissen oder Dateisystemen, auf die ich nachstehend eingehen werde), damit diese Behörden die Rechtmäßigkeit der Handlungen überprüfen können.“

Über die Prüfmöglichkeit der Aufsichtsbehörden ist der Betroffene also abgesichert und nach Ansicht des GA bedarf es daher keiner Benennung von Mitarbeitern schon im Rahmen des Art. 15 DSGVO.

Sollte der Betroffene, basierend auf den Angaben nach einem Auskunftsbegehren nach Art. 15 DSGVO, noch Zweifel an der Rechtmäßigkeit der Datenverarbeitung haben, kann er (wie u.a. auch die Kommission in der mündlichen Verhandlung hervorgehoben hat), an den Datenschutzbeauftragten wenden (Art. 38 Abs. 4 DSGVO) oder bei der Aufsichtsbehörde eine Beschwerde einreichen (Art. 15 Abs. 1 Buchst. f und Art. 77 DSGVO).

Der Betroffene ist

jedoch nicht berechtigt, unmittelbar Auskunft über die personenbezogenen Daten (die Identität) eines Beschäftigten zu erhalten, der dem Verantwortlichen oder Auftragsverarbeiter unterstellt ist und grundsätzlich in Übereinstimmung mit dessen Anweisungen handelt.“

Für diese Ansicht spricht zudem Art. 29 DSGVO, der sich auf „jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat“, bezieht. Diese Personen dürfen die Daten nur auf Anweisung ihres Arbeitgebers verarbeiten, der der eigentliche Verantwortliche (oder Auftragsverarbeiter) ist.

Ausnahme: Mitarbeiterexzess

Wie oben angemerkt, macht der GA aber auch eine Ausnahme von dem Grundsatz, dass Mitarbeiter nicht als Empfänger zu benennen sind. Es könne vorkommen, dass sich ein Beschäftigter nicht an die vom Verantwortlichen festgelegten Verfahren hält und auf eigene Initiative unrechtmäßig die Daten von Kunden oder anderen Beschäftigten abfragt.

In einem solchen Fall handelt der unredlich handelnde Beschäftigte jedoch nicht im Auftrag und im Namen des Verantwortlichen.“

Dies sind also jene Fälle, in denen Mitarbeiter eigenmächtig und außerhalb ihrer vertraglich festgelegten Tätigkeiten auf Daten zugreifen oder mit diesen umgehen. Oft werden diese Situationen auch als sog. Mitarbeiterexzess bezeichnet.

Der GA ist der Ansicht, dass der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden kann,

da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat, oder als (eigenständig) Verantwortlicher.

Hiermit bestätigt der GA zudem, dass Mitarbeiter zu eigenen Verantwortlichen nach der DSGVO werden können, wenn sie sich über ihre arbeitsvertraglich festgelegten Aufgaben hinwegsetzen. Mit allen möglichen Konsequenzen, wie etwa die Erfüllung der DSGVO-Pflichten, dem Risiko eines Bußgeldes gegen sie selbst nach Art. 83 DSGVO oder Schadenersatzansprüche von Betroffenen nach Art. 82 DSGVO.

Fazit

Sollte der EuGH den Argumenten des GA folgen, wird damit höchstgerichtlich bestätigt, dass Mitarbeiter innerhalb eines Verantwortlicheren nicht als „Empfänger“ nach der DSGVO gelten und daher etwa nicht im Rahmen einer Auskunft nach Art. 15 DSGVO zu nennen sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert