DSGVO-Auskunftsanspruch gegenüber dem Auftragsverarbeiter? Dänische Datenschutzbehörde sagt „Nein, aber…“

Die dänische Aufsichtsbehörde hat am 20.5.2022 einen interessanten Fall (Entscheidung auf Englisch, PDF) zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden. Zudem geht sie in ihrer Entscheidung auf die Unterstützungspflichten des Auftragsverarbeiters bei Betroffenenanfragen ein.

Sachverhalt

Der Betroffene kaufte auf ebay einen Artikel bei dem Unternehmen Asus. Im Rahmen des Kaufs gab der Betroffene die E-Mail-Adresse ebay@levaria.de an. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com an die beim Kauf angegebene Adresse ebay@levaria.de, in der der Asus Online Shop als Absender angegeben war. Dort wurde der Betroffene gebeten, das Kauferlebnis bei Asus auf Trustpilot zu bewerten.

Daraufhin kontaktierte der Betroffene Trustpilot direkt, jedoch von einer anderen E-Mail-Adresse (service@levaria.de) und bat um Auskunft über die von Trustpilot möglicherweise verarbeiteten personenbezogenen Daten. Die Anfrage enthielt neben der E-Mail-Adresse auch den Namen und die Adresse. Trustpilot antwortete und teilte mit, dass Trustpilot keinen aktiven Nutzer für die E-Mail service@levaria.de ausfindig machen konnte und daher keine Daten über ihn verarbeitet.

Danach erhielt der Betroffene erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops an ebay@levaria.de, in der er erneut gebeten wurden, den Einkauf bei Asus zu bewerten. Hierauf beschwerte sich der Betroffene zunächst bei der bayerischen Behörde (BayLDA), die die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiterleitete.

Entscheidung

Die dänische Behörde ist die für Trustpilot zuständige Aufsichtsbehörde in der EU. Für die Behörde ging es um die Frage, ob Trustpilot nach Art. 15 DSGVO verpflichtet war, Auskunft zu erteilen und wenn ja, ob dies hier richtig erfolgte.

Trustpilot als Verantwortlicher?

Die dänische Behörde hebt in ihrer Begründung hervor, dass allein der Verantwortliche nach Art. 15 DSGVO verpflichtet ist, die Auskunft an Betroffene zu erteilen.

Es liegt daher in der Verantwortung des für die Verarbeitung Verantwortlichen, dass ein Antrag einer betroffenen Person auf Auskunft gemäß Artikel 15 der DSGVO bearbeitet wird“.

Im konkreten Fall gab Trustpilot an, in Bezug auf den Versand von Einladungs-E-Mails als Auftragsverarbeiter zu agieren. Dies beruhe u.a. darauf, dass Unternehmen, wie z.B. der Asus Online Shop, entscheiden, ob sie die Einladungssoftware von Trustpilot nutzen wollen oder nicht, ebenso wie die Unternehmen entscheiden, ob und wann Einladungen über die Einladungssoftware von Trustpilot verschickt werden.

Damit war aus Sicht der Aufsichtsbehörde die Frage beantwortet, ob Trustpilot verpflichtet war, im eigenen Namen die Auskunft zu erfüllen.

Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“

Identifikation des Betroffenen durch den Auftragsverarbeiter?

Zwar war Trustpilot also selbst nicht nach der DSGVO verpflichtet, die Auskunft zu erfüllen. Jedoch ist der Auftragsverarbeiter nach Art. 28 Abs. 3 e) DSGVO in dem AV-Vertrag darauf zu verpflichten, den Verantwortlichen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen.

Es stelle sich also noch die Frage, ob Trustpilot hier dieser Unterstützungspflicht ausreichend nachkam.

Nach Ansicht der dänischen Aufsichtsbehörde hat Trustpilot in dem Verfahren ausführlich dargelegt, dass es bei der ersten und zweiten Kontaktaufnahme des Betroffenen mit Trustpilot eine Suche über die E-Mail service@levaria.de durchgeführt hat und dass Trustpilot die betroffene Person auf dieser Grundlage nicht identifizieren konnte, da Trustpilot die E-Mail service@levaria.de nicht registriert hatte.

Denn Trustpilot verarbeitete nur die mit der E-Mail-Adresse ebay@levaria.de (jene, die bei dem Kauf verwendet wurde) verbundenen Informationen als Auftragsverarbeiter für den Asus Online Shop. Da diese E-Mail-Adresse aber im Zusammenhang mit der Auskunftsanfrage nicht verwendet wurde, konnte Trustpilot in seinen Systemen keine Daten finden.

ABER: der Betroffene hatte ja im Rahmen seiner Anfrage u.a. auch seinen Namen und die postalische Adresse angegeben.

Die dänische Datenschutzbehörde kritisiert vor diesem Hintergrund, dass Trustpilot keine einheitliche Praxis bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die die betroffene Person im Zusammenhang mit ihrer Anfrage übermittelt, umgesetzt hatte. Nach dem Namen und der Adresse konnte Trustpilot anscheinend nicht suchen und einen Abgleich durchführen.

So hätte Trustpilot die Möglichkeit der Identifizierung der betroffenen Person und könnte, in seiner Rolle als Auftragsverarbeiter, den für die Verarbeitung Verantwortlichen in dem vereinbarten Umfang unterstützen. Die dänische Behörde gab dies jedoch nur als Hinweis an Trustpilot und stellte das Verfahren ein.

Fazit

Die Aufsichtsbehörde scheint also zu empfehlen, dass Trustpilot zusätzliche Daten als Auftragsverarbeiter erhält (Name und Adresse), die zwar für die eigene Leistung (Versand der E-Mail) nicht erforderlich sind, jedoch im Rahmen der Betroffenenanfragen relevant werden können. Diese Ansicht mag man im Hinblick auf die Erleichterung von Betroffenenanfragen unterstützen. Gleichzeitig ist der Verantwortliche (für den Trustpilot hier als Auftragsverarbeiter ja auch bei Betroffenenanfragen unterstützen muss) aber nach Art. 11 DSGVO gerade nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur für den Zweck, um Betroffenenrechte zu erfüllen.

Man wird hier wohl die Besonderheit beachten müssen, dass die erforderlichen Daten (Name und Adresse) aber natürlich schon bei dem Verantwortlichen vorhanden sind. Eventuell wäre es hier eine Option gewesen, dass Trustpilot die Anfrage des Betroffenen (auch mit der eigentlich unbekannten E-Mail-Adresse) direkt an Asus weiterleitet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert