Mit dem Urteil vom 12.01.2023 hat der EuGH klargestellt, was Datenschützer schon lange vermuteten: Verantwortliche haben bei der Bearbeitung eines Auskunftsersuchens nach Art. 15 DSGVO primär die konkreten Empfänger zu benennen und es ist ihnen nur im Ausnahmefall gestattet, auf die Kategorien von Empfängern zu verweisen (siehe auch Urteil des EuGH, 12.01.2023, C‑154/21).

Im Anschluss an dieses Urteil stellen sich in der Praxis viele Folgefragen: Muss eine ladungsfähige Adresse angegeben werden? Wie weit ist der Empfängerbegriff auszulegen? Müssen nur direkte Empfänger genannt werden, worunter auch die Auftragsverarbeiter fallen, oder muss die Auskunft ebenfalls auf Angaben zu deren Dienstleistern ausgedehnt werden?

Subunternehmen sind im Falle einer Auftragsverarbeitung auch Empfänger

In den Fällen, in denen der Empfänger eines Verantwortlichen ein Auftragsverarbeiter ist, scheint es zunächst vertretbar zu sein, nur die Auftragsverarbeiter als direkten Empfänger des Verantwortlichen zu benennen und nicht auch dessen Empfänger (bspw. Dienstleister). Hauptargument für diese – in der Literatur vertretene – Meinung ist die Praktikabilität der Bearbeitung von Auskunftsersuchen. Die Bearbeitung des Auskunftsersuchens würde zu sehr ausufern, wenn nicht nur Auftragsverarbeiter genannt werden müssten, sondern auch deren Subunternehmen. Der Zeitaufwand sei zu groß und dies sei für die Verantwortlichen nicht zumutbar.

Diese Auffassung verkennt jedoch, dass die Dienstleister bzw. Subunternehmen des Auftragsverarbeiters dem Verantwortlichen regelmäßig bekannt sein sollten (durch Nennung im Rahmen des Abschlusses eines Vertrags zur Auftragsverarbeitung gem. Art. 28 DSGVO), der Mehraufwand bei der Angabe von Subunternehmen zumindest nicht zwingend als unangemessen gilt und somit diesem angelastet werden muss.

Auch der Sinn und Zweck des Art. 15 DSGVO, dem Betroffenen eine umfassende Auskunft darüber zu erteilen, welche personenbezogenen Daten zu welchen Zwecken wie und von wem verarbeitet werden, spricht für eine weite Auslegung des Empfängerbegriffs. Hier kann auch das Interesse eines Verantwortlichen, die Bearbeitung von Betroffenenrechten möglichst praktikabel umsetzen zu können, nicht überwiegen.

Daneben ist zu beachten, dass der Empfängerbegriff aus Art. 4 Nr. 9 DSGVO weit auszulegen ist und alle Personen oder Stellen umfasst, denen gegenüber personenbezogene Daten offengelegt werden – unabhängig davon, ob sie Dritte sind. Aus dem Umkehrschluss zur Definition des Dritten aus Art. 4 Nr. 10 DSGVO ergibt sich sodann, dass damit auch alle Personen oder Stellen außerhalb des Verantwortlichen, die unter der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten, erfasst sind. Dies schließt alle etwaigen Unterauftragnehmer ein, die vom jeweiligen Auftragsverarbeiter des Verantwortlichen als weitere Auftragsverarbeiter eingesetzt wurden.

Der weite Empfängerbegriff: Was bedeutet dieses Verständnis für Konzerne?

Ein Beispiel aus der Konzernpraxis veranschaulicht zunächst die Bedeutung der Auslegung des Empfängerbegriffs: Innerhalb von Konzernen gibt es regelmäßig eine Servicegesellschaft, die ihren Schwester-/Muttergesellschaften sämtliche IT-Services zur Verfügung stellt und diesen gegenüber als Auftragsverarbeiter fungiert. Würde man den Empfängerbegriff eng auslegen, hätte dies zur Folge, dass das datenschutzrechtlich verantwortliche Unternehmen lediglich diese eine Schwester-/Tochtergesellschaft als Auftragsverarbeiterin bei der Bearbeitung eines Auskunftsersuchens als Empfänger angeben müsste. Dies wäre sicherlich im Interesse der Verantwortlichen, allerdings geht an dieser Stelle das Auskunftsrecht des Betroffenen nahezu ins Leere. Immerhin ist die Auftragsverarbeiterin mehr oder weniger nur eine „rechtliche Durchgangsstation“. Über die eigentliche Verarbeitung der Daten durch bspw. Microsoft, Google & Co. erhält der Betroffene bei dieser Vorgehensweise keine Auskunft.

Dies kann nicht im Sinne des Gesetzgebers sein, der dem Betroffenen eine umfassende Auskunft ermöglichen möchte, an wen seine Daten übermittelt werden. Auch durch das Urteil des EuGH vom 12.01.2023 wurde erneut deutlich, dass das Auskunftsrecht ein Recht des Betroffenen ist und das Interesse der Verantwortlichen an der Praktikabilität nicht überwiegen.

Für eine weite Auslegung des Empfängerbegriffs auch innerhalb eines Konzerns spricht ebenfalls, dass der Verantwortliche ansonsten durch das reine „Dazwischenschalten“ einer Servicegesellschaft das Auskunftsrecht aushebeln könnte, wenn nur diese zu benennen wäre. Dies kann vom Gesetzgeber nicht gewollt sein.

Fazit

Nach der Auslegung des Gesetzes und den Aussagen aus dem EuGH-Urteil vom 12.01.2023 kann man nur zu dem Ergebnis kommen, dass der Empfängerbegriff weit zu verstehen ist und im Falle eines Empfängers, der ein Auftragsverarbeiter ist, auch dessen Dienstleister bzw. Subunternehmer anzugeben sind. Dies bedeutet hingegen nicht, dass in den Fällen, in denen Daten an andere Verantwortliche (mit denen ggf. eine gemeinsame Verantwortlichkeit besteht) übermittelt werden, deren Auftragsverarbeiter zu nennen sind. Hier genügt die Angabe des Verantwortlichen, an den die personenbezogenen Daten übermittelt wurden. Dem Betroffenen steht es dann frei, ein weiteres Auskunftsbegehren an diesen zu richten.

Es liegt auf der Hand, dass diese weite Auslegung für den Verantwortlichen in der Praxis einen erheblichen Mehraufwand bedeutet. Sie führt eventuell dazu, gesamte Prozesse völlig neu auszurollen. Hilfreich bei der Umsetzung kann es sein, bereits bei der Dokumentation der Verarbeitungstätigkeit im Verzeichnis von Verarbeitungstätigkeiten neben der Angabe der eingesetzten Auftragsverarbeiter, auch deren Dienstleister zu nennen bzw. auf die entsprechenden Vertragsdokumente und Anlagen zu verweisen/verlinken. So lässt sich die Suche bei der Bearbeitung von Auskunftsbegehren verkürzen.