Informationen über die Abfrage personenbezogener Daten
EuGH v. 22.6.2023 - C-579/21
Der Sachverhalt:
Im Jahr 2014 erlangte der klagende Arbeitnehmer, der zugleich Kunde der Bank Pankki S war, Kenntnis davon, dass seine personenbezogenen Daten von anderen Mitarbeitern der Bank im November und Dezember 2013 mehrmals abgefragt worden waren. Da der Kläger, dessen Beschäftigungsverhältnis bei Pankki S mittlerweile gekündigt worden war, Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er Pankki S im Mai 2018 auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen.
Pankki S weigerte sich, Auskünfte über die Identität der Arbeitnehmer zu erteilen, die die Abfragen vorgenommen hatten. Bei diesen Informationen handele es sich um personenbezogene Daten dieser Arbeitnehmer. Pankki S machte hingegen nähere Angaben über die von ihrer internen Revision ausgeführten Abfragen, wobei sie erläuterte, ein Kunde der Bank, dessen Kundenberater der Auskunftssuchende gewesen sei, sei Gläubiger einer Person, die den gleichen Nachnamen wie der Auskunftssuchende trage. Die Bank habe daher klären wollen, ob Letzterer und der in Rede stehende Schuldner personenidentisch seien und ob möglicherweise ein ungehöriger Interessenkonflikt bestanden habe. Ergänzend erläuterte Pankki S, dass zur Klärung dieser Frage die Verarbeitung der in Rede stehenden Daten erforderlich gewesen sei, wobei sie klarstellte, dass jeder Mitarbeiter der Bank, der diese Daten verarbeitet habe, gegenüber der internen Revision eine Erklärung zu den Gründen dieser Datenverarbeitung abgegeben habe. Außerdem gab die Bank an, dass diese Abfragen es ermöglicht hätten, den Verdacht eines Interessenkonflikts in Bezug auf den Kläger gänzlich auszuräumen.
Der Kläger wandte sich an das Büro des Datenschutzbeauftragten von Finnland und beantragte, Pankki S anzuweisen, ihm die angeforderten Informationen zu erteilen. Nachdem dieser Antrag abgelehnt worden war, erhob er Klage beim Verwaltungsgericht Ostfinnland. Dieses setzte das Verfahren aus und bat dem EuGH vorliegend im Wege des Vorabentscheidungsersuchens um Auslegung von Art. 15: DSGVO.
Die Gründe:
Die seit dem 25.5.2018 geltende DSGVO ist auf ein nach diesem Datum vorgebrachtes Auskunftsersuchen anwendbar, auch wenn die dieses Ersuchen betreffenden Verarbeitungsvorgänge vor dem Anwendungsdatum der DSGVO ausgeführt wurden. Die DSGVO ist dahin auszulegen, dass es sich bei Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, um Informationen handelt, die diese Person von dem Verantwortlichen verlangen darf.
Dagegen sieht die DSGVO kein solches Recht in Bezug auf Informationen über Arbeitnehmer vor, die diese Vorgänge im Einklang mit den Weisungen des Verantwortlichen ausgeführt haben. Etwas anderes gilt nur, wenn diese Informationen unerlässlich sind, um es der betroffenen Person zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden. Falls nämlich die Wahrnehmung eines Rechts auf Auskunft, das die praktische Wirksamkeit der der betroffenen Person durch die DSGVO eingeräumten Rechte sicherstellt, zum einen und die Rechte und Freiheiten anderer Personen zum anderen miteinander kollidieren, sind die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten zu wählen, die diese Rechte und Freiheiten nicht verletzen.
Der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, wirkt sich grundsätzlich nicht auf die Reichweite des Rechts aus, das dieser Person gewährt wird.
Mehr zum Thema:
Aufsatz:
Durchsetzung der DSGVO durch lauterkeitsrechtliche Verbandsklagen im Licht der aktuellen Rechtsprechung des EuGH und der Verbandsklagerichtlinie
Benedict Kreitz, ITRB 2023, 186
ITRB0055435
Enthalten im Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. 4 Wochen gratis nutzen!
EuGH PM Nr. 107 vom 22.6.2023
Im Jahr 2014 erlangte der klagende Arbeitnehmer, der zugleich Kunde der Bank Pankki S war, Kenntnis davon, dass seine personenbezogenen Daten von anderen Mitarbeitern der Bank im November und Dezember 2013 mehrmals abgefragt worden waren. Da der Kläger, dessen Beschäftigungsverhältnis bei Pankki S mittlerweile gekündigt worden war, Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er Pankki S im Mai 2018 auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen.
Pankki S weigerte sich, Auskünfte über die Identität der Arbeitnehmer zu erteilen, die die Abfragen vorgenommen hatten. Bei diesen Informationen handele es sich um personenbezogene Daten dieser Arbeitnehmer. Pankki S machte hingegen nähere Angaben über die von ihrer internen Revision ausgeführten Abfragen, wobei sie erläuterte, ein Kunde der Bank, dessen Kundenberater der Auskunftssuchende gewesen sei, sei Gläubiger einer Person, die den gleichen Nachnamen wie der Auskunftssuchende trage. Die Bank habe daher klären wollen, ob Letzterer und der in Rede stehende Schuldner personenidentisch seien und ob möglicherweise ein ungehöriger Interessenkonflikt bestanden habe. Ergänzend erläuterte Pankki S, dass zur Klärung dieser Frage die Verarbeitung der in Rede stehenden Daten erforderlich gewesen sei, wobei sie klarstellte, dass jeder Mitarbeiter der Bank, der diese Daten verarbeitet habe, gegenüber der internen Revision eine Erklärung zu den Gründen dieser Datenverarbeitung abgegeben habe. Außerdem gab die Bank an, dass diese Abfragen es ermöglicht hätten, den Verdacht eines Interessenkonflikts in Bezug auf den Kläger gänzlich auszuräumen.
Der Kläger wandte sich an das Büro des Datenschutzbeauftragten von Finnland und beantragte, Pankki S anzuweisen, ihm die angeforderten Informationen zu erteilen. Nachdem dieser Antrag abgelehnt worden war, erhob er Klage beim Verwaltungsgericht Ostfinnland. Dieses setzte das Verfahren aus und bat dem EuGH vorliegend im Wege des Vorabentscheidungsersuchens um Auslegung von Art. 15: DSGVO.
Die Gründe:
Die seit dem 25.5.2018 geltende DSGVO ist auf ein nach diesem Datum vorgebrachtes Auskunftsersuchen anwendbar, auch wenn die dieses Ersuchen betreffenden Verarbeitungsvorgänge vor dem Anwendungsdatum der DSGVO ausgeführt wurden. Die DSGVO ist dahin auszulegen, dass es sich bei Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, um Informationen handelt, die diese Person von dem Verantwortlichen verlangen darf.
Dagegen sieht die DSGVO kein solches Recht in Bezug auf Informationen über Arbeitnehmer vor, die diese Vorgänge im Einklang mit den Weisungen des Verantwortlichen ausgeführt haben. Etwas anderes gilt nur, wenn diese Informationen unerlässlich sind, um es der betroffenen Person zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden. Falls nämlich die Wahrnehmung eines Rechts auf Auskunft, das die praktische Wirksamkeit der der betroffenen Person durch die DSGVO eingeräumten Rechte sicherstellt, zum einen und die Rechte und Freiheiten anderer Personen zum anderen miteinander kollidieren, sind die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten zu wählen, die diese Rechte und Freiheiten nicht verletzen.
Der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, wirkt sich grundsätzlich nicht auf die Reichweite des Rechts aus, das dieser Person gewährt wird.
Aufsatz:
Durchsetzung der DSGVO durch lauterkeitsrechtliche Verbandsklagen im Licht der aktuellen Rechtsprechung des EuGH und der Verbandsklagerichtlinie
Benedict Kreitz, ITRB 2023, 186
ITRB0055435
Enthalten im Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. 4 Wochen gratis nutzen!