EuGH, Rs.C‑579/21 – Anträ­ge GA: Mit­ar­bei­ten­de sind kei­ne “Emp­fän­ger”

Der Kun­de einer fin­ni­schen Bank hat­te im Rah­men eines Aus­kunfts­be­geh­rens u.a. Aus­kunft dar­über ver­langt, wel­che Mit­ar­bei­ter der Bank in einem bestimm­ten Zeit­raum Zugang zu sei­nen Daten hat­ten. Die Bank hat die­se Aus­kunft zu Recht ver­wei­gert, wie der Gene­ral­an­walt des EuGH in sei­nen Schluss­an­trä­gen im Ver­fah­ren Rs. C‑579/21 festhält.

Zum einen sind die Namen die­ser Mit­ar­bei­ter kei­ne den Kun­den betref­fen­den Per­so­nen­da­ten:

55. Wie ich im Fol­gen­den noch aus­führ­li­cher dar­le­gen wer­de, ist in der vor­lie­gen­den Rechts­sa­che von Bedeu­tung, dass es sich bei der Iden­ti­tät der Beschäf­tig­ten, die die Daten von J. M. abge­fragt haben, nicht um „per­so­nen­be­zo­ge­ne Daten“ von J. M. handelt.

Zum ande­ren sind die Mit­ar­bei­ter der Bank kei­ne “Emp­fän­ger”, über die nach Art. 15 Abs. 1 lit. c DSGVO zu infor­mie­ren wäre. “Emp­fän­ger” sind nach Art. 4 Nr. 9 DSGVO Stel­len, “der per­so­nen­be­zo­ge­ne Daten offen­ge­legt wer­den, unab­hän­gig davon, ob es sich bei ihr um einen Drit­ten han­delt oder nicht […]”. Aus dem letz­ten Halb­satz könn­te man ablei­ten, dass auch Mit­ar­bei­ter der bekannt­ge­ben­den Stel­le “Emp­fän­ger” sind. Das ist laut Gene­ral­an­walt abzu­leh­nen, schon weil Mit­ar­bei­ter “unter der unmit­tel­ba­ren Ver­ant­wor­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters befugt sind, die per­so­nen­be­zo­ge­nen Daten zu ver­ar­bei­ten”, wes­halb sie kei­ne “Drit­ten” i.S.v. Art. 4 Nr. 10 DSGVO sind:

Ich ver­tre­te daher den Stand­punkt, dass der Begriff des Emp­fän­gers nicht die bei einer juri­sti­schen Per­son Beschäf­tig­ten ein­schließt, die unter Nut­zung des Daten­ver­ar­bei­tungs­sy­stems der juri­sti­schen Per­son und im Auf­trag ihrer lei­ten­den Orga­ne die per­so­nen­be­zo­ge­nen Daten eines Kun­den abfra­gen. Wer­den sol­che Beschäf­tig­te unter der unmit­tel­ba­ren Ver­ant­wor­tung des Ver­ant­wort­li­chen tätig, so wer­den sie schon auf­grund des­sen nicht zum „Emp­fän­ger“ der Daten.

Das ist im Ergeb­nis über­zeu­gend. Man kann aus der Defi­ni­ti­on des “Drit­ten” in Art. 4 Nr. 10 den “Drit­ten” aller­dings nichts ablei­ten, wenn Nr. 9 zugleich klar­stellt, dass nicht nur “Drit­te” als Emp­fän­ger in Fra­ge kom­men. Wie dem auch sei – unter dem Vor­be­halt einer eigen­mäch­ti­gen Ver­ar­bei­tung durch einen Mit­ar­bei­ter, der die­sen zu einem eige­nen Ver­ant­wort­li­chen macht, kann der Betrof­fe­ne kei­ne Aus­kunft über Bekannt­ga­ben an eige­ne Mit­ar­bei­ter ver­lan­gen. Zwei­felt er an der Recht­mä­ssig­keit der Zugriffs­re­ge­lun­gen, kann er sich nur an den DPO des Ver­ant­wort­li­chen oder an die Auf­sichts­be­hör­de wenden:

In einem sol­chen Fall kann sich die betrof­fe­ne Per­son […] an den Daten­schutz­be­auf­trag­ten wen­den (Art. 38 Abs. 4 DSGVO) oder bei der Auf­sichts­be­hör­de eine Beschwer­de ein­rei­chen (Art. 15 Abs. 1 Buchst. f und Art. 77 DSGVO). Sie ist jedoch nicht berech­tigt, unmit­tel­bar Aus­kunft über die per­so­nen­be­zo­ge­nen Daten (die Iden­ti­tät) eines Beschäf­tig­ten zu erhal­ten, der dem Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter unter­stellt ist und grund­sätz­lich in Über­ein­stim­mung mit des­sen Anwei­sun­gen handelt.

Nicht unbe­rech­tigt ist der abschlie­ssen­de, deut­li­che Hin­weis des Gene­ral­an­walts an den EuGH:

Nach mei­ner Auf­fas­sung wäre es nicht rat­sam, wenn der Gerichts­hof qua­si­le­gis­la­ti­ve Auf­ga­ben wahr­näh­me und die DSGVO änder­te, um eine neue Aus­kunfts­pflicht ein­zu­füh­ren, die die in Art. 15 Abs. 1 fest­ge­leg­te Pflicht über­la­gert. Dies wäre der Fall, wenn der Ver­ant­wort­li­che ver­pflich­tet wür­de, der betrof­fe­nen Per­son nicht nur die Iden­ti­tät des Emp­fän­gers, gegen­über dem die Daten offen­ge­legt wur­den, son­dern die Iden­ti­tät unter­schieds­los jedes Beschäf­tig­ten oder jeder Per­son aus dem inne­ren Kreis des Unter­neh­mens mit­zu­tei­len, die recht­mä­ßig Zugang zu den Daten hatte.