Art. 15 DSGVO regelt ein bedeutsames Betroffenenrecht. Danach kann eine Person von dem Verantwortlichen Auskunft darüber verlangen, ob bzw. welche personenbezogenen Daten über sie gespeichert werden. Von dem Auskunftsrecht umfasst sind auch weitere Informationen nach Art. 15 Abs. 1 lit. a – h DSGVO, wie u. a. die Verarbeitungszwecke, die Herkunft der Daten und an welche Empfänger diese Daten übermittelt werden. Dadurch soll die Rechtmäßigkeit der Datenverarbeitung überprüft werden und dann in einem zweiten Schritt weitere Rechte, wie beispielsweise das Recht auf Berichtigung, Löschung sowie das Widerspruchsrecht gezielt ausgeübt werden können.
Wie weit geht das Auskunftsrecht?
Die Reichweite der Auskunft nach Art. 15 DSGVO wirft immer wieder Fragen auf, kann sie doch mit einem erheblichen Arbeitsaufwand für das Unternehmen verbunden sein. Dies gilt insbesondere dann, wenn jahrelange Mitarbeiter, die das Unternehmen verlassen, solch ein Begehren äußern. So auch im folgenden Fall.
Ein Beschäftigter (und zugleich auch Kunde) eines finnischen Finanzinstituts, verlangte bei seinem Arbeitgeber Auskunft nach Art. 15 DSGVO – insbesondere über die Identität der Personen, die im Rahmen interner Untersuchungen seine personenbezogenen Daten erhalten hatten. Die Untersuchungen führten letztlich zur Kündigung des Betroffenen, sodass er diese überprüfen lassen wollte. Er vermutete dabei ein fehlerhaftes Vorgehen seiner (ehemaligen) Kollegen, die er als „Empfänger“ der Daten i. S. d. Art. 15 DSGVO ansah und begehrte Auskunft u. a. über deren Namen und Stellung im Unternehmen.
Das Finanzinstitut kam dem Auskunftsersuchen jedoch nicht vollumfänglich nach – vor allem die Identität der an der Prüfung involvierten Mitarbeiter wurde nicht preisgegeben. Daraufhin erhob der Betroffene Klage beim Itä-Suomen hallinto-oikeus, dem Veraltungsgericht Ostfinnlands. Dieses legte dem EuGH sodann mehrere Fragen zur Vorabentscheidung vor. Generalstaatsanwalt (GA) Manuel Campos Sánchez-Bordona befasst sich in seinen Schlussanträgen (Rechtssache C-579/21) insbesondere mit dem Begriff des „Empfängers von Daten“ im Rahmen des Auskunftsanspruchs, der auch hier näher beleuchtet werden soll.
Sind Mitarbeiter „Empfänger“ nach Art. 15 Abs. 1 lit. c DSGVO?
Eine der zentralen Fragen dieses Rechtsstreits ist, ob Mitarbeiter des Verantwortlichen, also hier des Finanzinstituts, als Empfänger der Daten anzusehen sind und damit über Ihre Identität und Stellung zu beauskunften ist.
Art. 4 Nr. 9 DSGVO besagt, dass „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle [bezeichnet], der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Danach könnte man also meinen, dass auch Beschäftigte, die entsprechende Daten erhalten, als „Empfänger“ gelten.
Art. 4 Nr. 10 DSGVO darf jedoch nicht übersehen werden. Danach bezeichnet der Ausdruck „Dritter“ eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Aus Sicht des GA Sánchez-Bordona wird hierdurch klar, dass Beschäftigte, die im Rahmen Ihrer Befugnisse und ggf. auf Weisung des Verantwortlichen personenbezogene Daten einsehen nicht als „Dritte“ zu verstehen und auch sonst nicht als Empfänger zu kategorisieren seien. Der GA führt aus, dass in bestimmten Wirtschaftszweigen Mitarbeiterdaten aus Sicherheitsgründen ein besonders sensibles Datum darstellten. Beschäftigte im Bankensektor etwa, deren Aufgabe die Verhütung und Bekämpfung von Finanzstraftaten ist, könnten sonst der versuchten Ausübung von Druck oder der Beeinflussung durch Dritte ausgesetzt sein.
Des Weiteren gilt, dass Betroffene grundsätzlich nur Auskunft bezüglich der eigenen personenbezogenen Daten verlangen können und die Rechte und Freiheiten anderer dadurch nicht beeinträchtigt werden dürfen, Art. 15 Abs. 4 DSGVO. Die Identität der Mitarbeiter stellt jedoch aus Sicht des Betroffenen gerade personenbezogene Daten Dritter dar. Informationen über Beschäftigte sind demnach also nicht herauszugeben.
Dem Kläger, dem hier Zweifel an der Rechtmäßigkeit hinsichtlich der Beteiligung bestimmter Personen an der Verarbeitung seiner Daten im Auftrag und auf Weisung des Verantwortlichen oder des Auftragsverarbeiters hegt, bleibt, wie die Kommission in der mündlichen Verhandlung betonte, die Möglichkeit nach Art. 38 Abs. 4 DSGVO sich an den Datenschutzbeauftragten zu wenden oder sich gem. Art. 15 Abs. 1 lit. f und Art. 77 DSGVO bei der Aufsichtsbehörde zu beschweren. Letztere kann die Rechtmäßigkeit der Handlungen vollumfänglich überprüfen. Denn ihr gegenüber sind u. U. auch die Beschäftigten offen zu legen und der Zeitpunkt anzugeben, zu dem einer von ihnen auf die personenbezogenen Daten des Betroffenen Einsicht genommen hat.
Besonderheit: Mitarbeiterexzess
Bei einem Mitarbeiterexzess hält sich der Beschäftigte nicht an die vom Verantwortlichen festgelegten Verfahren, verarbeitet eigenmächtig und damit unrechtmäßig Daten von Kunden oder gar anderen Beschäftigten. In einem solchen Fall handelt diese Person nicht im Auftrag und im Namen des Verantwortlichen, womit die Definition des Dritten i. S. d. Art. 4 Nr. 10 DSGVO nicht greift. Dadurch könnte eine unrechtmäßige Offenlegung der Daten – quasi gegenüber sich selbst – seitens des Angestellten zu sehen sein, womit er zum Empfänger oder gar (eigenständig) Verantwortlichen wird. Mögliche Folgen wären Schadensersatzansprüche und weitere Pflichten aus der DSGVO.
Fazit
Schließt sich der EuGH der Meinung des GA an, wird damit höchstgerichtlich bestätigt, dass Beschäftigte eines Verantwortlichen grundsätzlich nicht unter den Begriff des Empfängers nach Art. 15 DSGVO fallen. Folglich sind dann auch keine Informationen über ihre Identität im Rahmen eines Auskunftsersuchens zu erteilen. Damit wäre wieder etwas mehr Klarheit geschaffen, was durchaus zu begrüßen ist.