Müssen auch interne Übermittlungsempfänger im Rahmen der Pflichthinweise angegeben werden?
PSP Case Study zur DSGVO: Praxisfall 6

DSGVO: Praktischer Fall

Die Huber AG klärt ihre Kunden, an die sie ihre Produkte veräußert, darüber auf, dass deren Daten mit Ausnahme von Transportdienstleistern nicht an Dritte weitergegeben werden. Die Kunden der Huber AG sind teils Unternehmen, teils natürliche Personen. Intern haben sämtliche Abteilungen der Huber AG auf die Kundendaten Zugriff, etwa die Verkaufsabteilung, die Buchhaltung, das Controlling, die Marketing-Abteilung, die Personalabteilung und die Abteilung zur Verwaltung der Huber-AG-eigenen Immobilien.

Es ist ohnehin schon im Ausgangspunkt nicht ganz trivial, der DSGVO konkrete Vorgaben dafür zu entlocken, wie intern beim Verantwortlichen mit personenbezogenen Daten umzugehen ist. Landläufig wird in diesem Kontext mit dem sogenannten „need to know“-Prinzip argumentiert: Nur derjenige, bei dessen unternehmensinterner Rolle der Umgang mit den konkreten Daten erforderlich ist, soll auf diese Daten Zugriff haben. In der DSGVO ist (nur) von „unbefugter Offenlegung “ bzw. „unbefugtem Zugang“ die Rede und dabei ist weder definiert, ob sich dies auch auf das „Innenleben“ des Verantwortlichen bezieht noch, was „befugt“ im Innenleben eines Verantwortlichen genau bedeutet.

Unklar ist aber darüber hinaus auch, ob eine Abteilung im Verhältnis zu einer anderen Abteilung eine „andere Stelle“ sein kann, sodass sie in den Pflichthinweisen an den Betroffenen als (möglicher) Empfänger genannt werden müsste. Denn nach Art. 4 Nr. 9 DSGVO ist Empfänger eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“. Verschiedene Juristen argumentieren, dass das Wort „Stelle“ eine gewisse Form der Selbstständigkeit mit sich bringt; so soll der Betriebsrat eine Stelle sein. Ungeachtet dessen variiert auch der Begriff der „Abteilung“ von Unternehmen zu Unternehmen:

Es kann sich um ein „loses Gebilde“ handeln oder um eine große Organisation innerhalb eines großen Unternehmens, die über Unterabteilungen (Stellen?) verfügt. Wenn nun eine Abteilung die „andere Stelle“ ist, welche die Daten empfängt, müsste es aber auch die „eine Stelle“ geben, welche die Daten weitergibt. Damit müsste eine „originär zuständige Stelle“ im Unternehmen definiert werden, welche die Daten „eigentlich“ erhebt, sodass von dieser aus alle anderen Abteilungen als „andere Stellen“ erscheinen. Wenn nun aber die „originär zuständige Stelle“, z. B. die Personalabteilung, die Daten im Einzelfall doch nicht erhebt, sondern z. B. das Empfangssekretariat die telefonisch durchgegebene Religionszugehörigkeit des neuen Mitarbeiters schnell notiert, würde dann die Personalabteilung dadurch zur „empfangenden Stelle“? Man kann also nur darauf vertrauen und hoffen, dass der Begriff „Stelle“ nicht zu weit ausgelegt wird.

Das österreichische Bundesverwaltungsgericht hat sich dazu in einer Entscheidung vom 10. Dezember 2018 im Zusammenhang mit der Marketing- und der Vertriebsabteilung einer Bank auf den Grundsatz, dass Mitarbeiter keine „Empfänger“ sein können, berufen und dann aber einschränkend ausgeführt:

Gegenständlich geht es um die Frage, ob die Werbe- und Marketingabteilung und die Abteilung „XXXX Costumer Experience Management“ als „andere Aufgabengebiete“ der Beschwerdegegnerin angesehen werden müssen und damit unter den Empfängerbegriff fallen würden, der eine Pflicht zur Beauskunftung nach Art. 15 Abs. 1 lit. c DSGVO nach sich ziehen würde. Dies wird vom erkennenden Senat verneint: den Erläuterungen der Beschwerdegegnerin vom XXXX.2017 und den Schlussfolgerungen der belangten Behörde ist dahingehend zu folgen, dass diese beiden Tätigkeitsgebiete der Beschwerdegegnerin nicht als ausreichend eigenständig und „anders“ wahrzunehmen sind, sondern Unterstützungsleistungen oder „akzessorische“ Leistungen zum Kerngeschäft – Bankwesen – darstellen.

Das klingt nach einer weiteren „Grauzone“: Hiernach müsste die Sachnähe einzelner Sub-Organisationen innerhalb einer größeren Organisation beurteilt werden, und erst ab einer bestimmten (welchen?) „Sachferne“ ist die andere Abteilung als „Empfänger“ anzugeben. Die Nachricht lautet also (wieder einmal): Einfacher wird’s auch mit Rechtsprechung nicht.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden