Mit dem Urteil vom Urteil vom 22. Juni 2023 in der Rs. C‑579/21 befasste sich der Europäische Gerichtshof (EuGH) mit der Reichweite von datenschutzrechtlichen Auskunftsansprüchen. Genauer ging es um die Frage, ob Betroffene das Recht haben, im Rahmen ihres Auskunftsanspruchs Kenntnis über die Identität der Beschäftigten zu erhalten, die auf die personenbezogenen Daten zugegriffen haben. Hintergrund war eine Klage eines ehemaligen Beschäftigten und zugleich Kunde einer finnischen Bank. Der Kläger fand heraus, dass auch nach seinem Ausscheiden Beschäftigte auf personenbezogene Daten von ihm zugegriffen haben. Daraufhin verlangt der Kläger detaillierte Auskunft nach Art 15 Abs. 1 DS-GVO und verlangte zudem die Nennung der Beschäftigten, welche auf seine Daten zugegriffen haben.
Zur Anwendbarkeit der DS-GVO
Da es sich in dem vorliegenden Sachverhalt um einen recht alten Fall handelt, in dem personenbezogene Daten betroffen sind, welche Jahre vor Inkrafttreten der DS-GVO erhoben wurden, befasste sich das Gericht zunächst mit der Frage, ob Betroffenenrechte auch bei Datenverarbeitungen geltend gemacht werden können, die vor Inkrafttreten der DS-GVO geschehen sind. Das Gericht kam (kurz gesagt) zu dem Ergebnis, dass Auskunftsansprüche auch personenbezogene Daten umfassen, die noch vor Inkrafttreten der DS-GVO erhoben wurden.
Darf ich wissen, wer Zugriff auf meine Daten hatte?
Gemäß Art. 15 Abs. 1 DS-GVO haben Betroffene das Recht, von dem Verantwortlichen informiert zu werden, ob sie personenbezogene Daten von dem Betroffenen verarbeiten. Wenn dem so ist, dürfen Betroffene Auskunft über die verarbeiteten personenbezogenen Daten verlangen. Das Auskunftsrecht erstreckt sich dabei unter anderem auf Informationen zu den Verarbeitungszwecken sowie zu den Empfängern oder Kategorien von Empfängern, gegenüber denen die Daten offengelegt wurden oder noch offengelegt werden.
Allerdings liegt der Schwerpunkt in dem Sachverhalt nicht darin, dem Betroffenen eine vollständige Auskunft nach Art. 15 DS-GVO auszustellen, sondern beruht auf der Tatsache, dass der Betroffene von dem Unternehmen verlangt hat, ihm die Identitäten der Personen, die Zugriff auf seine Daten hatten, mitzuteilen. In diesem Kontext rückt die Frage nach der Definition des Empfängers der personenbezogenen Daten in den Vordergrund. Insbesondere bedurfte es einer näheren Klärung, ob Beschäftigte der verantwortlichen Stelle als Empfänger im Sinne des Art. 4 Nr. 9 DS-GVO zu klassifizieren sind und somit im Rahmen der Auskunftserteilung konkret genannt werden müssen.
Zur Beantwortung der Frage verweist das Gericht auf die Legaldefinition des Empfängers gemäß Art. 4 Nr. 9 DS-GVO. Demnach handelt es sich bei einem Empfänger um „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“ Das Gericht verneinte nach eingehender Prüfung hierauf basierend, dass Beschäftigte des Verantwortlichen Empfänger darstellten – zumindest soweit diese personenbezogene Daten ausschließlich nach Weisung des Verantwortlichen verarbeiten (vgl. Art. 29 DS-GVO).
Das Gericht kam somit zu dem Ergebnis, dass vom Auskunftsrecht lediglich nähere Informationen zur Verarbeitung der personenbezogenen Daten, wie zum Beispiel Zeitpunkt und Zweck jeweiliger Abfragen umfasst sind. Informationen über die Identität der Beschäftigten des Verantwortlichen, die personenbezogene Daten ausschließlich nach dessen Weisung verarbeiten, können dagegen im Wege eines geltendgemachten Auskunftsanspruchs nur unter bestimmten Voraussetzungen – keinesfall standardmäßig – offengelegt werden. Dies bedarf einer Prüfung im Einzelfall.
Tipp für die Praxis
Derartige Fallkonstellationen sind in der Praxis nicht selten. Sobald Betroffene herausfinden, dass eine Person womöglich unzulässigerweise auf die eigenen personenbezogenen Daten zugegriffen hat, liegt die Geltendmachung des Rechts auf Auskunft oftmals nahe. Aus diesem Grund sollten Verantwortliche stets die Reichweite von datenschutzrechtlichen Auskunftsansprüchen kennen, um so womöglich auch die Identität beschäftigter Personen zu schützen. Unternehmen sind gut beraten, bei der Beurteilung und Beantwortung von Betroffenenanfragen den Datenschutzbeauftragten zu konsultieren.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
