06.09.2023 |

Derzeit herrscht bei Unternehmen große Unsicherheit, ob bei einer Auskunftsanfrage auch die Auftragsverarbeiter oder sogar deren weitere Auftragsverarbeiter konkret zu nennen sind. Auslöser ist eine Entscheidung des Europäischen Gerichtshof. Wir haben das Urteil ausführlich analysiert. Hier unser Ergebnis.

 

Trugschluss im Web

Nach der Datenschutzgrundverordnung (DSGVO) steht jedem ein Anspruch auf Auskunft gegenüber einem Unternehmen zu, an welche andere Stellen seine personenbezogenen Daten übermittelt wurden (Art. 15 der DSGVO). Im Urteil „RW gegen Österreichische Post AG“ kam der Europäische Gerichtshof (EuGH) zu dem Schluss, dass Firmen konkret die Empfänger im Antwortschreiben einer anfragenden Person aufführen müssen (vgl. hier bei uns). Zu den Auftragsverarbeitern und deren weiteren Auftragsverarbeitern (landläufig auch „Unterauftragsverarbeiter“) hat das Gericht aber keine Silbe verloren. Im Web finden sich dennoch viele Statements, dass diese genannt werden müssten – ein Trugschluss.

 

Oft verkannt – Unterscheidung zwischen Empfänger und Auftragsverarbeitern

Die DSGVO als maßgebliche Rechtsvorschrift für den Datenschutz in der EU kennt ganz klare Definitionen, wer als Unternehmen für was zuständig ist. So ist ein Empfänger von personenbezogenen Daten jeder, der personenbezogene Daten erhält (Art. 4 Nr. 9 der DSGVO).
Ein Auftragsverarbeiter ist hingegen eine Stelle, die „im Auftrag“ eines Verantwortlichen personenbezogene Daten erhält, um sie in dessen Namen zu verarbeiten (Art. 4 Nr. 8 der DSGVO).
Und hier liegt die wichtige Unterscheidung: Ein Auftragsverarbeiter macht das, was sein Auftraggeber ihm vorgibt. Er darf mit den personenbezogenen Daten nur so verfahren, wie ihm es sein Auftraggeber gesagt hat. Dazu nur ein Beispiel: Das Unternehmen U beauftragt die Internetagentur Y mit dem Versand von Mails an die Kunden zur Marketingaktion „HURRA, wir suchen neue Mitarbeiter“ und die Agentur verwendet die E-Mail-Adressen zu eigenen Werbemaßnahmen – ein „No-Go“.

 

Auftragsverarbeiter müssen nicht genannt werden

Die Rechte einer betroffenen Person sind ein hohes Gut. Deshalb bestimmt Kapitel 3 der DSGVO vielfältige Ansprüche für sie (so genannte „Betroffenenrechte“).
Andererseits nimmt die DSGVO aber in Art. 1 Abs. 3 auch Rücksicht auf die berechtigten Belange von Firmen.

Wie immer in der Rechtswelt, muss also bei fehlenden Urteilen eine Abwägung beider Seiten vorgenommen werden.

Gegen eine Nennung von Auftragsverarbeitern und deren Unterauftragsverarbeitern im Antwortschreiben sprechen folgende Argumente (Achtung: Hier wird es jetzt juristisch):

  • Der EuGH hat in seiner Entscheidung „RW gegen Österreichische Post AG“ statuiert, dass die konkrete Nennung aller Empfänger einschließlich deren gerichtsfesten Adressen für die Betroffenenrechte unabdingbar ist. Nur so können sie ihre Ansprüche auch verfolgen.Auftragsverarbeiter und deren Unterauftragsverarbeiter sind aber für die Betroffenenrechte gar nicht zuständig. Adressat ist vielmehr ausschließlich der „Verantwortliche“ – also etwa das beauftragende Unternehmen. Das wird schon allein dadurch deutlich, dass Kapitel 3 der DSGVO fast durchgängig den „Verantwortlichen“ nennt und eben nicht den „Auftragsverarbeiter“.
  • Auftragsverarbeiter und deren Unterauftragsverarbeiter ist es verboten, die Betroffenenrechte ihres Auftraggebers wahrzunehmen. Nach Art. 28 Abs. 3
    Buchstabe a der DSGVO sind sie weisungsgebunden. Sie sind strikt an die Vorgaben des Verantwortlichen – der Firma, in deren Namen und unter deren Verantwortung sie personenbezogene Daten verarbeiten – gebunden. Art. 28 Abs. 3 Buchstabe a der DSGVO ist schon vom Wortlaut her eindeutig und über den Wortlaut einer Norm kann man juristisch bekanntermaßen nicht vorbei. Die Weisungsgebundenheit der Auftragsverarbeiter unterstreicht zusätzlich auch Art. 33 Abs. 2 der DSGVO. Demnach ist nicht der Auftragsverarbeiter bei einer bei ihm passierten „Datenpanne“ zur Meldung an die Aufsichtsbehörde verpflichtet, sondern sein „Auftraggeber“, sprich das Unternehmen, das den Auftrag erteilt hat.
  • Im EU-Recht und somit auch in Deutschland gilt der Grundsatz der Verhältnismäßigkeit und das Abwägungsgebot der Grundrechte. Das hat der Europäische Gerichtshof in der genannten Entscheidung „RW gegen Österreichische Post AG“ ausdrücklich betont.

Es ist nicht verhältnismäßig, dass etwa ein Online-Händler mit 1.000 Auftragsverarbeitern in einem Auskunftsschreiben alle zu nennen hat. Der Verwaltungsaufwand ist ersichtlich enorm. Und: Auftragsverarbeiter wechseln und auch das beste Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 der DSGVO wird nie „up to date“ sein.

Bei dem Abwägungsgebot der Grundrechte gilt es zwei Freiheiten zu betrachten und da befinden wir uns nicht im deutschen, sondern im EU-Recht und somit in der Charta der Grundrechte der Europäischen Union (kurz „Charta“). Einerseits sieht Art. 8 der Charta den „Schutz personenbezogener Daten“ für jeden Menschen vor. Andererseits normiert Art. 16 der Charta aber auch das Recht auf „Unternehmerische Freiheit“, wozu auch Geschäftsgeheimisse gehören. Mit welchen Auftragsverarbeitern und mit welchen Unterauftragsverarbeitern eine Firma zusammenarbeitet, ist (erst einmal) ein Geschäftsgeheimnis.

 

Wenn es wirklich wichtig wird

Auch wenn Auftragsverarbeiter und deren Unterauftragsverarbeiter in einem Antwortschreiben nicht aufgeführt werden müssen, gibt es natürlich Ausnahmen. Wenn die Identität für die betroffene Person wirklich wichtig ist, muss „blankgezogen“ werden und die Kontaktdaten sind mitzuteilen.

In welchen Fällen dann Auskünfte erteilt werden müssen – kontaktieren Sie uns gerne.

 

 

Bild von Shahadat Rahman auf unsplash