Urteil des EuGH vom 22.06.2023 (C-579/21) - Auskunftsrecht bezüglich personenbezogener Datenabfragen
Im Jahr 2014 erlangte J. M., der damals ein Kunde von Pankki S und bei ihr beschäftigt war, Kenntnis davon, dass seine Kundendaten von Mitarbeitern der Bank im Zeitraum vom 1. November bis zum 31. Dezember 2013 mehrmals abgefragt worden waren.
Da J. M., dessen Beschäftigungsverhältnis bei Pankki S mittlerweile gekündigt worden war, Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er Pankki S am 29. Mai 2018 auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen.
In ihrer Antwort vom 30. August 2018 weigerte sich Pankki S als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, Auskünfte über die Identität der Arbeitnehmer zu erteilen, die die Abfragen vorgenommen hatten, und führte zur Begründung aus, dass es sich bei diesen Informationen um personenbezogene Daten dieser Arbeitnehmer handele.
Gleichwohl machte Pankki S in dieser Antwort nähere Angaben über die auf ihre Weisungen hin von ihrer internen Revision ausgeführten Abfragen. Dabei erläuterte sie, ein Kunde der Bank, dessen Kundenberater J. M. gewesen sei, sei Gläubiger einer Person, die ebenfalls den Nachnamen von J. M. trage, so dass sie habe klären wollen, ob der Kläger des Ausgangsverfahrens und der in Rede stehende Schuldner personenidentisch seien und ob möglicherweise ein ungehöriger Interessenkonflikt bestanden habe. Ergänzend erläuterte Pankki S, dass zur Klärung dieser Frage die Verarbeitung der Daten von J. M. erforderlich gewesen sei und jeder Mitarbeiter der Bank, der diese Daten verarbeitet habe, gegenüber der internen Revision eine Erklärung zu den Gründen dieser Datenverarbeitung abgegeben habe. Außerdem gab die Bank an, dass diese Abfragen es ermöglicht hätten, den Verdacht eines Interessenkonflikts in Bezug auf J. M. gänzlich auszuräumen.
J. M. wandte sich an die Aufsichtsbehörde im Sinne von Art. 4 Nr. 21 DSGVO, das Tietosuojavaltuutetun toimisto (Büro des Datenschutzbeauftragten, Finnland), und beantragte, Pankki S anzuweisen, ihm die angeforderten Informationen zu erteilen.
J. M. erhob gegen diesen Bescheid Klage beim vorlegenden Gericht.
Das vorlegende Gericht weist darauf hin, dass in Art. 15 DSGVO das Recht der betroffenen Person vorgesehen sei, von dem Verantwortlichen Auskunft über die sie betreffenden verarbeiteten Daten und Informationen insbesondere über die Zwecke der Verarbeitung und über die Empfänger der Daten zu verlangen. Es fragt sich, ob die Mitteilung von anlässlich von Verarbeitungsvorgängen generierten Protokolldateien, die solche Informationen – namentlich die Identität der Arbeitnehmer des Verantwortlichen – enthielten, von Art. 15 DSGVO erfasst werde, da diese Dateien für die betroffene Person erforderlich sein könnten, um die Rechtmäßigkeit der ihre Daten betreffenden Verarbeitung zu beurteilen.
Unter diesen Umständen hat das Itä-Suomen hallinto-oikeus (Verwaltungsgericht Ostfinnland, Finnland) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist das der betroffenen Person gemäß Art. 15 Abs. 1 DSGVO zustehende Auskunftsrecht in Verbindung mit dem Begriff „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 dieser Verordnung so auszulegen, dass von dem Verantwortlichen erhobene Informationen, aus denen hervorgeht, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet hat, keine Informationen darstellen, zu denen die betroffene Person ein Zugangsrecht hat, insbesondere weil es sich um Daten handelt, die Arbeitnehmer des Verantwortlichen betreffen?
2. Falls die Antwort auf Frage 1 „ja“ lautet und die betroffene Person aufgrund von Art. 15 Abs. 1 DSGVO kein Recht auf Zugang zu den in dieser Frage genannten Informationen hat, weil sie keine „personenbezogenen Daten“ der betroffenen Person gemäß Art. 4 Nr. 1 dieser Verordnung darstellen, sind im vorliegenden Fall noch die Informationen in Betracht zu ziehen, zu denen die betroffene Person gemäß Art. 15 Abs. 1 Buchst. a bis h dieser Verordnung ein Zugangsrecht hat:
a) Wie ist der Verarbeitungszweck im Sinne von Art. 15 Abs. 1 Buchst. a DSGVO im Hinblick auf den Umfang des Auskunftsrechts der betroffenen Person auszulegen, d. h. kann der Verarbeitungszweck ein Recht auf Auskunft über die Benutzerprotokolldaten begründen, die der Verantwortliche erhoben hat, wie etwa Informationen zu personenbezogenen Daten der Verarbeitenden, den Zeitpunkt sowie den Zweck der Verarbeitung der personenbezogenen Daten?
b) Können die Personen, die die Kundendaten von J. M. verarbeitet haben, in diesem Zusammenhang unter bestimmten Kriterien als Empfänger der personenbezogenen Daten gemäß Art. 15 Abs. 1 Buchst. c DSGVO angesehen werden, über die die betroffene Person berechtigt wäre, Auskunft zu erhalten?
3. Ist es für das Verfahren von Bedeutung, dass es sich um eine Bank handelt, die eine reglementierte Tätigkeit ausübt, oder dass J. M. gleichzeitig sowohl für die Bank gearbeitet hat als auch deren Kunde war?
4. Ist es für die Bewertung der oben gestellten Fragen relevant, dass die Daten von J. M. vor Inkrafttreten der DSGVO verarbeitet wurden?
Der EU GH urteilt wie folgt:
- Auf die vierte Frage ist zu antworten, dass Art. 15 DSGVO im Licht von Art. 99 Abs. 2 dieser Verordnung dahin auszulegen ist, dass er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.
- Zur ersten und zur zweiten Frage ist zu antoworten, dass sich den Erwägungen ergib dass Art. 15 Abs. 1 DSGVO dahin auszulegen ist, dass Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.
- Zur dritten Frage ist Art. 15 Abs. 1 DSGVO dahin auszulegen, dass der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.