Subunternehmer im Kontext von Art. 15 DSGVO

Am 12.01.2023 hat der Europäische Gerichtshof in einem Urteil bestätigt, was Datenschützer bereits vermutet hatten: Bei der Bearbeitung eines Antrags auf Auskunft gemäß Artikel 15 der Datenschutz-Grundverordnung müssen Verantwortliche in erster Linie die konkreten Empfänger nennen und dürfen nur in Ausnahmefällen auf Empfängerkategorien verweisen (wir berichteten).

Als Konsequenz dieses Urteils stellen sich in der Praxis zahlreiche Fragen: Ist es erforderlich, eine ladungsfähige Adresse anzugeben? Wie weit erstreckt sich der Empfängerbegriff? Müssen ausschließlich direkte Empfänger, einschließlich Auftragsverarbeiter, genannt werden, oder muss die Auskunft auch Angaben zu deren Dienstleistern enthalten?

Subunternehmer können auch Empfänger sein

In Situationen, in denen der Empfänger personenbezogener Daten eines Verantwortlichen ein Auftragsverarbeiter ist, könnte es zunächst akzeptabel sein, lediglich den Auftragsverarbeiter als direkten Empfänger zu benennen und nicht auch dessen eigene Empfänger wie z.B. Dienstleister. Die Praktikabilität der Bearbeitung von Auskunftsersuchen wird oft als Hauptargument für diese Meinung genannt. Es wird argumentiert, dass die Erwähnung von Subunternehmen des Auftragsverarbeiters den Zeitaufwand für die Bearbeitung von Auskunftsersuchen erhöhen würde, was für Verantwortliche unzumutbar ist.

Jedoch wird dabei übersehen, dass der Verantwortliche normalerweise Kenntnis über Dienstleister oder Subunternehmen des Auftragsverarbeiters haben sollte (z.B. durch Nennung in einem Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO). Der Mehraufwand für die Nennung von Subunternehmen ist daher nicht unbedingt unangemessen und kann dem Verantwortlichen zugemutet werden. Darüber hinaus spricht auch der Zweck von Art. 15 DSGVO, dem Betroffenen eine umfassende Auskunft über die Verarbeitung seiner personenbezogenen Daten zu erteilen, für eine breite Auslegung des Empfängerbegriffs. Das Interesse des Verantwortlichen, die Bearbeitung von Betroffenenrechten möglichst praktikabel umzusetzen, kann diesen Zweck nicht überschatten.

Es ist auch wichtig zu beachten, dass der Empfängerbegriff in Art. 4 Nr. 9 DSGVO weit ausgelegt werden sollte und alle Personen oder Stellen umfasst, denen personenbezogene Daten offengelegt werden – unabhängig davon, ob sie Dritte sind. Aus dem Umkehrschluss der Definition des Dritten in Art. 4 Nr. 10 DSGVO ergibt sich, dass auch alle Personen oder Stellen außerhalb des Verantwortlichen erfasst sind, die befugt sind, personenbezogene Daten unter der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters zu verarbeiten. Dies schließt alle Unterauftragnehmer ein, die vom Auftragsverarbeiter des Verantwortlichen als weitere Auftragsverarbeiter eingesetzt wurden.

Der Empfängerbegriff in der Praxis

Ein Beispiel aus der Praxis von Konzernen verdeutlicht die Bedeutung der Auslegung des Empfängerbegriffs. In der Regel gibt es eine Servicegesellschaft innerhalb des Konzerns, die ihren Schwester- oder Muttergesellschaften IT-Services zur Verfügung stellt und als Auftragsverarbeiter fungiert. Eine enge Auslegung des Empfängerbegriffs würde bedeuten, dass das datenschutzrechtlich verantwortliche Unternehmen bei der Bearbeitung eines Auskunftsersuchens nur diese eine Schwester- oder Tochtergesellschaft als Auftragsverarbeiterin angeben müsste. Dies würde das Auskunftsrecht des Betroffenen nahezu ins Leere laufen lassen, da die eigentliche Verarbeitung der Daten durch Unternehmen wie Microsoft oder Google nicht berücksichtigt würde. Eine solche Vorgehensweise kann nicht im Interesse des Gesetzgebers sein, der dem Betroffenen eine umfassende Auskunft ermöglichen möchte. Das Auskunftsrecht ist ein Recht des Betroffenen und das Interesse der Verantwortlichen an der Praktikabilität kann diesem nicht übergeordnet sein. Eine weite Auslegung des Empfängerbegriffs innerhalb eines Konzerns ist auch erforderlich, um zu verhindern, dass das Auskunftsrecht durch die bloße Hinzufügung einer Servicegesellschaft ausgehebelt wird.

Fazit

Zusammenfassend kann man sagen, dass nach der Auslegung des Gesetzes und des EuGH-Urteils ein Auftragsverarbeiter als Empfänger im Sinne des Datenschutzrechts gilt und somit auch dessen Dienstleister bzw. Subunternehmer angegeben werden müssen. Allerdings müssen bei Übermittlungen an andere Verantwortliche nur diese genannt werden. Diese weite Auslegung bedeutet für Verantwortliche einen erheblichen Mehraufwand in der Praxis, da Prozesse eventuell neu ausgerollt werden müssen. Eine mögliche Lösung wäre, bereits bei der Dokumentation der Verarbeitungstätigkeit im Verzeichnis von Verarbeitungstätigkeiten auch die Dienstleister der Auftragsverarbeiter zu nennen bzw. auf die entsprechenden Vertragsdokumente und Anlagen zu verweisen. Dadurch kann die Bearbeitung von Auskunftsbegehren erleichtert werden.