Nennung konkreter Identitäten von Arbeitnehmern in einer Auskunft nach Artikel 15 DSGVO durch den Arbeitgeber
In meiner Besprechung des Urteils des Europäischen Gerichtshofs (im folgenden „EuGH“) vom 12.01.2023 (Az. C-154/21) hatte ich erläutert, dass der Verantwortliche Auskunft über bestimmte Empfänger und nicht lediglich Kategorien von Empfängern nach Artikel 15 Absatz 1 Buchstabe c) DSGVO erteilen muss.
Es stellte sich daher die Folgefrage, ob dies auch bedeutet, dass der Verantwortliche, der Arbeitgeber ist, über die konkreten Identitäten seiner Arbeitnehmer, welche personenbezogene Daten verarbeiten, Auskunft erteilen muss.
In seiner Entscheidung vom 22.06.2023 (Az. C‑579/21) beschäftigte sich der EuGH mit dieser äußert praxisrelevanten Frage.
Sachverhalt (vereinfacht)
Der Kläger hatte Kenntnis davon, dass seine Kundendaten von Mitarbeitern der beklagten Bank mehrmals abgefragt worden waren und verlangte unter anderem Auskunft nach Artikel 15 DSGVO hinsichtlich der Identität dieser Arbeitnehmer. Die Bank – unstreitig Verantwortlicher – weigerte sich Auskunft über die Identität seiner Arbeitnehmer zu erteilen, da es sich bei diesen Informationen um personenbezogene Daten dieser Arbeitnehmer handele.
Der Empfängerbegriff in der DSGVO
Legaldefinition des Empfängers
Die Streitfrage drehte sich also erneut um die Auslegung des Begriffs des „Empfängers“ im Zusammenhang mit Artikel 15 Absatz 1 Buchstabe c) DSGVO.
Der zentrale Ausgangspunkt ist die Legaldefinition des Empfängers in Artikel 4 Nr. 9 DSGVO. Relevant für Frage, ob ein Arbeitnehmer grundsätzlich ein Empfänger sein kann, ist Artikel 4 Nr. 9 Satz Satz 1 DSGVO:
„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht
Artikel 4 Nr. 9 Satz Satz 1 DSGVO
Der Wortlaut ist an dieser Stelle klar und umfasst explizit „natürliche Personen“. Nach dem Wortlaut ist daher zunächst nicht ersichtlich, warum Arbeitnehmer nicht unter die Definition zu subsumieren wären.
Entscheidend für die Empfängereigenschaft ist es nach dem Wortlaut von Artikel 4 Nr. 9 Satz 1 DSGVO auch nicht, ob es sich beim Empfänger um einen Dritten (z.B. einem außenstehenden Verantwortlichen) handelt oder nicht (z.B. Verantwortlicher, Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten).
Empfänger im Rahmen von Artikel 15 DSGVO
Stellt eine betroffene Person ein Auskunftsersuchen nach Artikel 15 DSGVO, so hat der Verantwortliche gemäß Artikel 15 Absatz 1 Buchstabe c) DSGVO (unter anderem) Auskunft über folgende Informationen zu erteilen:
„die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, […]“
Artikel 15 Absatz 1 Buchstabe c) DSGVO
Der EuGH hatte in seiner Entscheidung vom 12.01.2023 (meine Besprechung dazu finden Sie hier) entschieden, dass die betroffene Person das Recht hat Informationen über die konkreten Empfänger zu verlangen, denen ihre personenbezogenen Daten offengelegt wurden. Dies bedeutet, dass die Empfänger im Grundsatz nicht bloß als Kategorie (z.B. „Marketingunternehmen“) sondern konkret als „XY GmBH“ zu benennen sind. Doch lässt sich diese Rechtsprechung ohne weiteres auch auf Arbeitnehmer übertragen?
Sind Arbeitnehmer „Empfänger“?
Zu der Frage, ob Arbeitnehmer als „Empfänger“ zu qualifizieren sind und damit auch entsprechend Teil der Auskunft sein müssen, äußert sich der EuGH in seinem Urteil unter Randnummer 73 wie folgt:
„Zwar ergibt sich aus Art. 15 Abs. 1 Buchst. c DSGVO, dass die betroffene Person das Recht hat, von
EuGH, C‑579/21, Rn. 73; Hervorhebungen durch den Verfasser
dem Verantwortlichen Informationen über die Empfänger oder über die Kategorien von Empfängern zu verlangen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch
offengelegt werden, doch können Arbeitnehmer des Verantwortlichen, wie der Generalanwalt in Nr. 63
seiner Schlussanträge ausgeführt hat, nicht als „Empfänger“ im Sinne von Art. 15 Abs. 1 Buchst. c
DSGVO, auf den in den Rn. 47 und 48 des vorliegenden Urteils hingewiesen worden ist, angesehen
werden, wenn sie personenbezogene Daten unter der Aufsicht dieses Verantwortlichen und im Einklang
mit seinen Weisungen verarbeiten.“
Randnummer 73 verdient eine nähere Betrachtung, denn der EuGH arbeitet an dieser Stelle mit einem Konditionalsatz. Danach können Arbeitnehmer nicht als Empfänger angesehen werden, wenn sie personenbezogene Daten (1) unter der Aufsicht des Verantwortlichen und (2) im Einklang mit seinen Weisungen verarbeiten.
Damit folgt der EuGH von der Argumentationsstruktur der Ansicht des Generalanwalts:
„Ich vertrete daher den Standpunkt, dass der Begriff des Empfängers nicht die bei einer juristischen Person Beschäftigten einschließt, die unter Nutzung des Datenverarbeitungssystems der juristischen Person und im Auftrag ihrer leitenden Organe die personenbezogenen Daten eines Kunden abfragen. Werden solche Beschäftigte unter der unmittelbaren Verantwortung des Verantwortlichen tätig, so werden sie schon aufgrund dessen nicht zum „Empfänger“ der Daten.“
Schlussanträge des Generalanwalts vom 15.12.2022, C-579/21, Rn. 63
Durchaus bemerkenswert, wie ich finde, denn dies bedeutet, dass letztlich vom Verantwortlichen im Wege der Rechenschaftspflicht im Zweifelsfall nachgewiesen werden muss, dass die Verarbeitung unter der Aufsicht des Verantwortlichen und im Einklang mit den Weisungen durchgeführt wurde. Wie genau dies sichergestellt werden soll, dazu äußert sich der EuGH in diesem Urteil nicht.
Allerdings hebt der EuGH in diesem Zusammenhang dann unter Randnummer 74 den Artikel 29 DSGVO hervor:
„[…] jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.“
EuGH, C‑579/21, Rn. 74; Auslassungen und Hervorhebungen durch den Verfasser
Es bleibt unklar, warum Artikel 29 DSGVO den Empfängerbegriff einschränken soll und der EuGH begründet dies an dieser Stelle auch nicht weiter. Schade. Überzeugender wäre wohl schlichtweg eine teleologische Reduktion des Empfängerbegriffs in Fällen, in denen die Voraussetzungen des Artikel 29 DSGVO vorliegen.
Rückausnahme: Exzess des Arbeitnehmers
An die Empfängereigenschaft eines Arbeitnehmers ist aber vom Verantwortlichen jedenfalls dann zu denken, wenn der Arbeitnehmer nicht unter Aufsicht und nicht im Rahmen der Weisungen des Verantwortlichen personenbezogene Daten verarbeitet und sich damit zu einem eigenen Verantwortlichen „aufschwingt“.
Folgerichtig wäre er dann auch als Empfänger i.S.v. Artikel 4 Nr. 9 DSGVO einzustufen und als Empfänger nach Artikel 15 Absatz 1 Buchstabe c) DSGVO zu qualifizieren.
Grenzen des Auskunftsrechts
Im weiteren weisst der EuGH ab Randnummer 77 unter Bezugnahme auf den Erwägungsgrund 63 auf die Grenzen des Auskunftsrechts hin.
Damit meint der EuGH – bedauerlicherweise ohne es auszusprechen – die Kopien nach Artikel 15 Absatz 3 Satz 1 DSGVO. Es wäre widersprüchlich, wenn man die Empfängereigenschaft aus den dargelegten Gründen verneinen würde, aber zugleich im Rahmen der Kopien z.B. die Namen der Arbeitnehmer, welche personenbezogene Daten verarbeitet haben, im beauskunften müsste (Zum Begriff der „Kopie“ vgl. meine Besprechung des EuGH Urteils vom 04.05.2023, Az. C-487/21).
Der EuGH weist aber erneut daraufhin, dass es zu einer Kollission der gegenläufigen Interessen kommen kann. Dem Verantwortlichen kommt hier die undankbare Aufgabe zu, eine Abwägungsentscheidung zu treffen. Dabei ist nach dem EuGH wiederum der 63. Erwägungsgrund zu berücksichtigen.
Fazit
Dieser Fall zeigt, wie hochkomplex die Materie rund um Artikel 15 DSGVO ist.
Die Entscheidung scheint sehr vom Ergebnis her gedacht und ist aus diesem Blickwinkel auch richtig. Arbeitnehmer werden in den meisten Fällen personenbezogene Daten unter der Aufsicht des Verantwortlichen und im Einklang mit den Weisungen verarbeiten. Freilich dürfte der Verantwortliche dies aber im Zweifel nach Art. 5 Absatz 2 DSGVO nachzuweisen haben. Arbeitnehmer können also durchaus im Einzelfall als Empfänger zu qualifizieren sein.
Praxistipp für Betroffene: Bestehen Anzeichen, dass Arbeitnehmer nicht unter der Aufsicht des Verantwortlichen und nicht im Einklang mit dessen Weisungen gehandelt haben, kann dies zur Empfängereigenschaft des Arbeitnehmers führen. Dann kann auch ein Anspruch darauf bestehen die konkrete Identitäten der Arbeitnehmer im Wege der Auskunft nach Artikel 15 DSGVO zu erfahren.
Praxistipp für Verantwortliche: Der Prozess „Sicherstellung der Betroffenenrechte“ sollte dahingehend überprüft werden, dass Verarbeitungen der Arbeitnehmer unter Aufsicht und im Einklang mit den Weisungen stattfinden. Dies muss nach Art. 5 Absatz 2 DSGVO im Zweifel nachgewiesen werden können.
