- Die Bank verweigerte die Auskunft über Mitarbeiter, die auf die Kundendaten zugreifen konnten.
- Namen der Mitarbeiter gelten nicht als personenbezogene Daten des Kunden.
- Gemeinsam erarbeiten Mitarbeiter keine „Empfänger“ von Daten gemäß DSGVO Definition.
- Eine Änderung der DSGVO wäre nicht ratsam, da die Auskunftspflichten bereits festgelegt sind.
Der Kunde einer finnischen Bank hatte im Rahmen eines Auskunftsbegehrens u.a. Auskunft darüber verlangt, welche Mitarbeiter der Bank in einem bestimmten Zeitraum Zugang zu seinen Daten hatten. Die Bank hat diese Auskunft zu Recht verweigert, wie der Generalanwalt des EuGH in seinen Schlussanträgen im Verfahren Rs. C‑579/21 festhält.
Zum einen sind die Namen dieser Mitarbeiter keine den Kunden betreffenden Personendaten:
55. Wie ich im Folgenden noch ausführlicher darlegen werde, ist in der vorliegenden Rechtssache von Bedeutung, dass es sich bei der Identität der Beschäftigten, die die Daten von J. M. abgefragt haben, nicht um „personenbezogene Daten“ von J. M. handelt.
Zum anderen sind die Mitarbeiter der Bank keine “Empfänger”, über die nach Art. 15 Abs. 1 lit. c DSGVO zu informieren wäre. “Empfänger” sind nach Art. 4 Nr. 9 DSGVO Stellen, “der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht […]”. Aus dem letzten Halbsatz könnte man ableiten, dass auch Mitarbeiter der bekanntgebenden Stelle “Empfänger” sind. Das ist laut Generalanwalt abzulehnen, schon weil Mitarbeiter “unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten”, weshalb sie keine “Dritten” i.S.v. Art. 4 Nr. 10 DSGVO sind:
Ich vertrete daher den Standpunkt, dass der Begriff des Empfängers nicht die bei einer juristischen Person Beschäftigten einschließt, die unter Nutzung des Datenverarbeitungssystems der juristischen Person und im Auftrag ihrer leitenden Organe die personenbezogenen Daten eines Kunden abfragen. Werden solche Beschäftigte unter der unmittelbaren Verantwortung des Verantwortlichen tätig, so werden sie schon aufgrund dessen nicht zum „Empfänger“ der Daten.
Das ist im Ergebnis überzeugend. Man kann aus der Definition des “Dritten” in Art. 4 Nr. 10 den “Dritten” allerdings nichts ableiten, wenn Nr. 9 zugleich klarstellt, dass nicht nur “Dritte” als Empfänger in Frage kommen. Wie dem auch sei – unter dem Vorbehalt einer eigenmächtigen Verarbeitung durch einen Mitarbeiter, der diesen zu einem eigenen Verantwortlichen macht, kann der Betroffene keine Auskunft über Bekanntgaben an eigene Mitarbeiter verlangen. Zweifelt er an der Rechtmässigkeit der Zugriffsregelungen, kann er sich nur an den DPO des Verantwortlichen oder an die Aufsichtsbehörde wenden:
In einem solchen Fall kann sich die betroffene Person […] an den Datenschutzbeauftragten wenden (Art. 38 Abs. 4 DSGVO) oder bei der Aufsichtsbehörde eine Beschwerde einreichen (Art. 15 Abs. 1 Buchst. f und Art. 77 DSGVO). Sie ist jedoch nicht berechtigt, unmittelbar Auskunft über die personenbezogenen Daten (die Identität) eines Beschäftigten zu erhalten, der dem Verantwortlichen oder Auftragsverarbeiter unterstellt ist und grundsätzlich in Übereinstimmung mit dessen Anweisungen handelt.
Nicht unberechtigt ist der abschliessende, deutliche Hinweis des Generalanwalts an den EuGH:
Nach meiner Auffassung wäre es nicht ratsam, wenn der Gerichtshof quasilegislative Aufgaben wahrnähme und die DSGVO änderte, um eine neue Auskunftspflicht einzuführen, die die in Art. 15 Abs. 1 festgelegte Pflicht überlagert. Dies wäre der Fall, wenn der Verantwortliche verpflichtet würde, der betroffenen Person nicht nur die Identität des Empfängers, gegenüber dem die Daten offengelegt wurden, sondern die Identität unterschiedslos jedes Beschäftigten oder jeder Person aus dem inneren Kreis des Unternehmens mitzuteilen, die rechtmäßig Zugang zu den Daten hatte.