Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


30.6.2023

EuGH: Auskunft umfasst auch interne Datenabrufe

Der EuGH hat mit Urteil vom 22.6.2023 (Rs. C-579/21) entschieden, dass eine Auskunft nach Art. 15 DSGVO auch Informationen darüber umfasst, wann und aus welchen Gründen auf die personenbezogenen Daten der betroffenen Person beim Verantwortlichen intern zugegriffen wurde. Der Entscheidung des EuGH erging im Rahmen eines Vorabentscheidungsverfahrens, dem ein Fall aus Finnland zugrunde lag.

Sachverhalt und Ausgangsverfahren

Nachdem ein ehemaliger Kunde und zugleich ehemaliger Mitarbeiter einer Bank erfahren hatte, dass seine personenbezogenen Kundendaten im Jahr 2013 von mehreren ehemaligen und bei der Bank weiterhin tätigen Kollegen abgerufen worden waren, machte er gegenüber der Bank sein Auskunftsrecht geltend. Der ehemalige Beschäftigte verlangte von der Bank Auskunft über die Identität der Personen, die seine Kundendaten abgerufen hatten sowie den Zeitpunkt und den Zweck dieser Verarbeitungen.

Die Bank weigerte sich, Auskünfte über die Identität ihrer Beschäftigten zu erteilen, die die Abfragen vorgenommen hatten, da es sich bei diesen Informationen um Beschäftigtendaten handele. Die Bank gab lediglich die Auskunft, dass die Datenabrufe durch die interne Revision erfolgt sei. Weiterhin informierte die Bank über den Zweck und den Hintergrund der Verarbeitung. Danach sei ein Kunde der Bank, dessen Kundenberater der Auskunftssuchende gewesen sei, Gläubiger einer Person, die den gleichen Nachnamen wie der Auskunftssuchende trage. Die Bank habe daher klären wollen, ob eine Personenidentität vorliege und möglicherweise ein Interessenkonflikt bestanden habe. Zur Klärung dieser Frage sei die Verarbeitung der in Rede stehenden Daten erforderlich gewesen. Der Verdacht eines Interessenkonflikts konnte ausgeräumt werden.

Daraufhin wandte sich der Auskunftssuchende an die finnische Datenschutzaufsichtsbehörde (Tietosuojavaltuutetun toimisto) und beantragte, die Bank zur Auskunftserteilung anzuweisen. Die Behörde lehnte den Antrag mit der Begründung ab, dass er auf Protokolldateien der Arbeitnehmer abziele, die die Daten verarbeitet hätten. Bei solchen Daten handele es sich nach Auffassung der finnischen Datenschutzaufsichtsbehörde jedoch um personenbezogene Daten, die sich nicht auf die betroffene Person bezögen, sondern auf die Arbeitnehmer, die die Daten der fraglichen Person verarbeitet hätten.

Daraufhin erhob der Auskunftssuchende Klage. Das mit der Sache befasste Gericht setzte das Verfahren aus und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor. Das Gericht wollte insbesondere wissen, ob

  • Art. 15 Abs. 1 DSGVO dahin auszulegen ist, dass Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge sowie die Identität der natürlichen Personen beziehen, die sie ausgeführt haben, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf,
  • es für das Verfahren von Bedeutung ist, dass es sich um eine Bank handelt, die eine regulierte Tätigkeit ausübt, oder dass der Auskunftsersuchende gleichzeitig sowohl für die Bank gearbeitet hat als auch deren Kunde war,
  • die DSGVO überhaupt anwendbar ist, wenn sich die Auskunft auf Daten bezieht, die im Jahr 2013, also vor Inkrafttreten der DSGVO verarbeitet wurden.

Entscheidung des EuGH

Der EuGH stellt zunächst fest, dass die DSGVO (auch) auf Auskunftsersuchen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor Inkrafttreten und vor Anwendbarkeit der DSGVO ausgeführt wurden, das Auskunftsersuchen jedoch nach diesem Datum geltend gemacht wurde.

Im Hinblick auf die Reichweite des Auskunftsrechts urteilt EuGH, dass der Zeitpunkt und der Zweck von internen Datenabfragen grundsätzlich vom Auskunftsrecht umfasst sind, nicht aber die Identität der Abfragenden. Informationen, die unternehmensinterne Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, dürfen von der betroffenen Person nach Art. 15 DSGVO verlangt werden. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer des Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben. Das gilt jedoch ausnahmsweise nicht, wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch die DSGVO verliehenen Rechte wirksam wahrzunehmen, wobei den Rechten und Freiheiten der Arbeitnehmer Rechnung getragen werden muss.

Ob die Voraussetzungen einer solche Ausnahme im zugrunde liegenden Fall vorliegen, muss vom vorlegenden Gericht entschieden werden. Unter diesen Umständen sind die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen und nach Möglichkeit Modalitäten zu wählen, die die Rechte und Freiheiten anderer Personen nicht verletzen. Hierbei ist nach der Entscheidung des EuGH zu berücksichtigen, dass diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird.

Schließlich ändert sich grundsätzlich nichts an der Reichweite des Auskunftsrechts durch den Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reguluierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war. Es gibt keine DSGVO-Bestimmung, die in Bezug auf das Auskunftsrecht nach der Art der Tätigkeiten des Verantwortlichen oder nach der Eigenschaft des Auskunftbegehrenden unterscheidet. Im Hinblick auf die in der Vorlagefrage hervorgehobene regulierte Tätigkeit der Bank erlaubt zwar Art. 23 DSGVO den Mitgliedstaaten, den Umfang der in Art. 15 DSGVO vorgesehenen Rechte und Pflichten im Wege von Gesetzgebungsmaßnahmen zu beschränken. Das ist im konkreten Fall jedoch nicht einschlägig.

Fazit

Das EuGH-Urteil schafft hinsichtlich der Reichweite eines Auskunftsanspruchs nach Art. 15 DGSVO leider nicht die Klarheit, die man sich hier zuweilen erhofft hatte. Zwar sind das „Ob“, „Wann“ und „Warum“ bzgl. interner Datenabfragen umfasst. Das gilt aber grundsätzlich nicht für das „Wer“, also die Information über die Identität der Beschäftigten des Verantwortlichen, die intern Daten abgerufen haben. Diesen Grundsatz stellt der EuGH indes unter den Vorbehalt, dass die Beschäftigten die Verarbeitungsvorgänge im Einklang mit den Weisungen des Verantwortlichen ausgeführt haben. Allerdings kann selbst in diesen Fällen ausnahmsweise ein Auskunftsanspruch bezüglich der Identität der Beschäftigten gegeben sein, wenn diese Informationen unerlässlich sind, damit die betroffene Person ihre Rechte wirksam wahrnehmen kann. Wann das der Fall ist bzw. sein kann, wird vom EuGH nicht weiter ausgeführt. Vielmehr weist das Gericht darauf hin, dass in jedem Fall die Rechte und Freiheiten der Beschäftigten berücksichtigt werden müssen. Es bleibt Aufgabe der nationalen Gerichte, eine Abwägungsentscheidung im Einzelfall zu treffen. Wichtig ist der Hinweis des EuGH, dass die einschränkenden Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird.

Sollten Sie Fragen zum Recht auf Auskunft oder anderen Datenschutzrechten haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht