Mit dem Urteil vom 12.01.2023 hat der EuGH klargestellt, was Datenschützer schon lange vermuteten: Verantwortliche haben bei der Bearbeitung eines Auskunftsersuchens nach Art. 15 DSGVO primär die konkreten Empfänger zu benennen und es ist ihnen nur im Ausnahmefall gestattet, auf die Kategorien von Empfängern zu verweisen (siehe auch Urteil des EuGH, 12.01.2023, C‑154/21).
Im Anschluss an dieses Urteil stellen sich in der Praxis viele Folgefragen: Muss eine ladungsfähige Adresse angegeben werden? Wie weit ist der Empfängerbegriff auszulegen? Müssen nur direkte Empfänger genannt werden, worunter auch die Auftragsverarbeiter fallen, oder muss die Auskunft ebenfalls auf Angaben zu deren Dienstleistern ausgedehnt werden?
Subunternehmen sind im Falle einer Auftragsverarbeitung auch Empfänger
In den Fällen, in denen der Empfänger eines Verantwortlichen ein Auftragsverarbeiter ist, scheint es zunächst vertretbar zu sein, nur die Auftragsverarbeiter als direkten Empfänger des Verantwortlichen zu benennen und nicht auch dessen Empfänger (bspw. Dienstleister). Hauptargument für diese – in der Literatur vertretene – Meinung ist die Praktikabilität der Bearbeitung von Auskunftsersuchen. Die Bearbeitung des Auskunftsersuchens würde zu sehr ausufern, wenn nicht nur Auftragsverarbeiter genannt werden müssten, sondern auch deren Subunternehmen. Der Zeitaufwand sei zu groß und dies sei für die Verantwortlichen nicht zumutbar.
Diese Auffassung verkennt jedoch, dass die Dienstleister bzw. Subunternehmen des Auftragsverarbeiters dem Verantwortlichen regelmäßig bekannt sein sollten (durch Nennung im Rahmen des Abschlusses eines Vertrags zur Auftragsverarbeitung gem. Art. 28 DSGVO), der Mehraufwand bei der Angabe von Subunternehmen zumindest nicht zwingend als unangemessen gilt und somit diesem angelastet werden muss.
Auch der Sinn und Zweck des Art. 15 DSGVO, dem Betroffenen eine umfassende Auskunft darüber zu erteilen, welche personenbezogenen Daten zu welchen Zwecken wie und von wem verarbeitet werden, spricht für eine weite Auslegung des Empfängerbegriffs. Hier kann auch das Interesse eines Verantwortlichen, die Bearbeitung von Betroffenenrechten möglichst praktikabel umsetzen zu können, nicht überwiegen.
Daneben ist zu beachten, dass der Empfängerbegriff aus Art. 4 Nr. 9 DSGVO weit auszulegen ist und alle Personen oder Stellen umfasst, denen gegenüber personenbezogene Daten offengelegt werden – unabhängig davon, ob sie Dritte sind. Aus dem Umkehrschluss zur Definition des Dritten aus Art. 4 Nr. 10 DSGVO ergibt sich sodann, dass damit auch alle Personen oder Stellen außerhalb des Verantwortlichen, die unter der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten, erfasst sind. Dies schließt alle etwaigen Unterauftragnehmer ein, die vom jeweiligen Auftragsverarbeiter des Verantwortlichen als weitere Auftragsverarbeiter eingesetzt wurden.
Der weite Empfängerbegriff: Was bedeutet dieses Verständnis für Konzerne?
Ein Beispiel aus der Konzernpraxis veranschaulicht zunächst die Bedeutung der Auslegung des Empfängerbegriffs: Innerhalb von Konzernen gibt es regelmäßig eine Servicegesellschaft, die ihren Schwester-/Muttergesellschaften sämtliche IT-Services zur Verfügung stellt und diesen gegenüber als Auftragsverarbeiter fungiert. Würde man den Empfängerbegriff eng auslegen, hätte dies zur Folge, dass das datenschutzrechtlich verantwortliche Unternehmen lediglich diese eine Schwester-/Tochtergesellschaft als Auftragsverarbeiterin bei der Bearbeitung eines Auskunftsersuchens als Empfänger angeben müsste. Dies wäre sicherlich im Interesse der Verantwortlichen, allerdings geht an dieser Stelle das Auskunftsrecht des Betroffenen nahezu ins Leere. Immerhin ist die Auftragsverarbeiterin mehr oder weniger nur eine „rechtliche Durchgangsstation“. Über die eigentliche Verarbeitung der Daten durch bspw. Microsoft, Google & Co. erhält der Betroffene bei dieser Vorgehensweise keine Auskunft.
Dies kann nicht im Sinne des Gesetzgebers sein, der dem Betroffenen eine umfassende Auskunft ermöglichen möchte, an wen seine Daten übermittelt werden. Auch durch das Urteil des EuGH vom 12.01.2023 wurde erneut deutlich, dass das Auskunftsrecht ein Recht des Betroffenen ist und das Interesse der Verantwortlichen an der Praktikabilität nicht überwiegen.
Für eine weite Auslegung des Empfängerbegriffs auch innerhalb eines Konzerns spricht ebenfalls, dass der Verantwortliche ansonsten durch das reine „Dazwischenschalten“ einer Servicegesellschaft das Auskunftsrecht aushebeln könnte, wenn nur diese zu benennen wäre. Dies kann vom Gesetzgeber nicht gewollt sein.
Fazit
Nach der Auslegung des Gesetzes und den Aussagen aus dem EuGH-Urteil vom 12.01.2023 kann man nur zu dem Ergebnis kommen, dass der Empfängerbegriff weit zu verstehen ist und im Falle eines Empfängers, der ein Auftragsverarbeiter ist, auch dessen Dienstleister bzw. Subunternehmer anzugeben sind. Dies bedeutet hingegen nicht, dass in den Fällen, in denen Daten an andere Verantwortliche (mit denen ggf. eine gemeinsame Verantwortlichkeit besteht) übermittelt werden, deren Auftragsverarbeiter zu nennen sind. Hier genügt die Angabe des Verantwortlichen, an den die personenbezogenen Daten übermittelt wurden. Dem Betroffenen steht es dann frei, ein weiteres Auskunftsbegehren an diesen zu richten.
Es liegt auf der Hand, dass diese weite Auslegung für den Verantwortlichen in der Praxis einen erheblichen Mehraufwand bedeutet. Sie führt eventuell dazu, gesamte Prozesse völlig neu auszurollen. Hilfreich bei der Umsetzung kann es sein, bereits bei der Dokumentation der Verarbeitungstätigkeit im Verzeichnis von Verarbeitungstätigkeiten neben der Angabe der eingesetzten Auftragsverarbeiter, auch deren Dienstleister zu nennen bzw. auf die entsprechenden Vertragsdokumente und Anlagen zu verweisen/verlinken. So lässt sich die Suche bei der Bearbeitung von Auskunftsbegehren verkürzen.
Rolf Bender
23. April 2023 @ 11:13
Spannend wäre es ja schon, den Betreiber dieser Webseite mal zu einer Datenauskunft aufzufordern, da schon allein die Subdienstleister des Hosters dieses Blogs (mittwald) und dann konsequenterweise auch deren Subdienstleister kaum ermittelbar wären. Sobald da ein größerer Dienstleister dabei ist führt das in uferlose.
Möglicherweise schickt der Webserver auch eine Email – zumindest wenn ich ein Kontaktform nutze – über bremen-briteline GmbH. Welche Server-Infrastruktur nutzen die und bei wem? –
Ich glaube kaum, dass sich der Verfasser Gedanken darüber gemacht hat, was das bedeutet. Es sieht doch sehr nach Panikmache aus…
Johanna Stock
26. April 2023 @ 12:04
Vielen Dank für Ihren Kommentar.
In meinem Artikel beschäftige ich mich mit der Frage, wie der Begriff des Empfängers per Gesetz auszulegen ist. Meine Recherche hat hierzu ergeben, dass das Gesetz ein weites Verständnis dieses Begriffs vorsieht, welches sich auch auf die Bearbeitung von Auskunftsbegehren auswirkt. Dennoch – und das ist mir aus meiner Beratungspraxis bekannt – liegt es auf der Hand, dass diese Auslegung zu einem Mehraufwand bei der Beantwortung von Auskunftsersuchen führen kann (hierauf gehe ich in meinem Artikel auch entsprechend ein). Dieser Aufwand sollte sich jedoch m.E. in Grenzen halten, was auf folgenden Erwägungen beruht: Der Einsatz eines Subunternehmers hängt von der Genehmigung/Zustimmung des Verantwortlichen ab, vgl. Art. 28 Abs. 2 DSGVO. Diese sind dem Verantwortlichen gegenüber zu nennen und sollten daher bekannt sein. Dabei gehe ich davon aus, dass in der „Datenkette“ nicht auch weitere Subunternehmer des Subunternehmers zu nennen sind. Bei der Frage, welche Subunternehmer zu beauskunften sind, ist die Perspektive des Verantwortlichen maßgeblich. So ist in Ihrem Beispiel der Hoster eines Blogs bereits ein Auftragsverarbeiter des Verantwortlichen (1. Ebene). Vom Empfängerbegriff erfasst ist nach der Auslegung des Gesetzes auch noch die Ebene der Subunternehmer (2. Ebene). Die von einem Auftragsverarbeiter eingesetzten Subunternehmer (3. Ebene) sind demzufolge bei der Auskunft nicht mehr relevant. Vielmehr sind „nur“ Auftragsverarbeiter und weitere Auftragsverarbeiter (Subunternehmer) bis zur 2. Ebene erfasst.
Ich hoffe, dass ich mit diesen Ausführungen Klarheit schaffen konnte.
Sebastian Dosch (microfin Unternehmensberatung)
16. April 2023 @ 15:07
Sehr interessanter Artikel, Frau Stock. Das Thema Subunternehmer treibt sonst nur Banken und Versicherungen um, da diese vom Aufsichtsrecht (MaRisk, EBA-Guidelines) bei Auslagerungen dazu verpflichtet werden, nicht nur Listen der Subunternehmen zu führen, sondern die Subs ggf. auch noch zu prüfen und zu steuern.
Auf LinkedIn (https://www.linkedin.com/posts/sebastian-dosch-microfin_subunternehmen-banken-versicherungen-activity-7053350376816664576-dAzQ) habe ich dazu einen kurzen Kommentar geschrieben und auf diesen Artikel hier hingewiesen. Ich bin gespannt, wie sich das Thema im Datenschutzrecht weiter entwickeln wird.
Mit freundlichen Grüßen
Sebastian Dosch