Art. 4, 15 der Verordnung (EU) 2016/679 (Vorlage zur Vorabentscheidung; Verarbeitung personenbezogener Daten; Reichweite des Rechts auf Auskunft hinsichtlich der in Art. 15 genannten Informationen; Informationen, die in den durch ein Datenaufzeichnungssystem generierten Protokolldateien [Logdateien] enthalten sind; personenbezogene Daten; Empfänger; zeitliche Geltung)
Nichtamtliche Leitsätze:
1. Art. 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Licht von Art. 99 Abs. 2 dieser Verordnung ist dahin auszulegen, dass er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.
2. Art. 15 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.
3. Art. 15 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.
EuGH (Erste Kammer), Urteil vom 22.06.2023, Rs. C-579/21
Zum Sachverhalt
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 15 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2) im Folgenden: DSGVO). Es ergeht im Rahmen eines von J. M. betriebenen Verfahrens, das darauf gerichtet ist, den Bescheid des Apulaistietosuojavaltuutettu (stellvertretender Datenschutzbeauftragter, Finnland) aufzuheben, mit dem sein Antrag abgelehnt wurde, Pankki S, eine in Finnland ansässige Bank, anzuweisen, ihm bestimmte Informationen über Abfragen seiner personenbezogenen Daten zu erteilen. Im Jahr 2014 erlangte J. M., der damals ein Kunde von Pankki S und bei ihr beschäftigt war, Kenntnis davon, dass seine Kundendaten von Mitarbeitern der Bank im Zeitraum vom 1. November bis zum 31. Dezember 2013 mehrmals abgefragt worden waren.
Da J. M., dessen Beschäftigungsverhältnis bei Pankki S mittlerweile gekündigt worden war, Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er Pankki S am 29. Mai 2018 auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen. In ihrer Antwort vom 30. August 2018 weigerte sich Pankki S als Verantwortliche im Sinn von Art. 4 Nr. 7 DSGVO, Auskünfte über die Identität der Arbeitnehmer zu erteilen, die die Abfragen vorgenommen hatten, und führte zur Begründung aus, dass es sich bei diesen Informationen um personenbezogene Daten dieser Arbeitnehmer handele.
Gleichwohl machte Pankki S in dieser Antwort nähere Angaben über die auf ihre Weisungen hin von ihrer internen Revision ausgeführten Abfragen. Dabei erläuterte sie, ein Kunde der Bank, dessen Kundenberater J. M. gewesen sei, sei Gläubiger einer Person, die ebenfalls den Nachnamen von J. M. trage, so dass sie habe klären wollen, ob der Kläger des Ausgangsverfahrens und der in Rede stehende Schuldner personenidentisch seien und ob möglicherweise ein ungehöriger Interessenkonflikt bestanden habe. Ergänzend erläuterte Pankki S, dass zur Klärung dieser Frage die Verarbeitung der Daten von J. M. erforderlich gewesen sei und jeder Mitarbeiter der Bank, der diese Daten verarbeitet habe, gegenüber der internen Revision eine Erklärung zu den Gründen dieser Datenverarbeitung abgegeben habe. Außerdem gab die Bank an, dass diese Abfragen es ermöglicht hätten, den Verdacht eines Interessenkonflikts in Bezug auf J. M. gänzlich auszuräumen. J. M. wandte sich an die Aufsichtsbehörde im Sinn von Art. 4 Nr. 21 DSGVO, das Tietosuojavaltuutetun toimisto (Büro des Datenschutzbeauftragten, Finnland), und beantragte, Pankki S anzuweisen, ihm die angeforderten Informationen zu erteilen.
Mit Bescheid vom 4. August 2020 lehnte der Stellvertretende Datenschutzbeauftragte den Antrag von J. M. ab. J. M. erhob gegen diesen Bescheid Klage beim vorlegenden Gericht. Das Itä-Suomen hallinto-oikeus (Verwaltungsgericht Ostfinnland, Finnland) hat beschlossen, das Verfahren auszusetzen und dem Gerichtshof die im Folgenden abgehandelten Fragen zur Vorabentscheidung vorzulegen.
[…]
Den vollständigen Beitrag lesen Sie in den Bayerischen Verwaltungsblättern 20/2023, S. 694.
