Urteil des EuGH vom 22.6.2023 in der Rechtssache C‑579/21
Sachverhalt:
Im Jahr 2014 erlangte ein Kunde (und zugleich ehemaliger Mitarbeiter) einer finnischen Bank Kenntnis davon, dass seine personenbezogenen Daten von anderen Mitarbeitern der Bank über mehrere Wochen hinweg mehrmals abgefragt worden waren. Da dieser Kunde Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er die Bank einige Jahre später auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen. Die Bank verweigerte Auskünfte über die Identität der Arbeitnehmer, die die Abfragen vorgenommen hatten, und führte zur Begründung aus, dass es sich bei diesen Informationen um personenbezogene Daten dieser Arbeitnehmer handele. Die Bank machte hingegen nähere Angaben über die von ihrer internen Revision ausgeführten Abfragen. Die Bank hatte damals einen möglichen Interessenkonflikt zu klären. Die Bank wies darauf hin, dass jeder Mitarbeiter der Bank, der diese Daten verarbeitet habe, gegenüber der internen Revision eine Erklärung zu den Gründen dieser Datenverarbeitung abgegeben habe.
Daraufhin wandte sich der Kunden an den Datenschutzbeauftragten von Finnland und beantragte, die Bank anzuweisen, ihm die angeforderten Informationen zu erteilen. Nach Ablehnung des Antrags klagte er beim Verwaltungsgericht Ostfinnland, das den EuGH schließlich um Vorabentscheidung ersuchte.
Entscheidung:
Der EuGH stellte zunächst fest, dass die DSGVO (hier konkret Artikel 15 DSGVO) auch auf Auskunftsersuchen anwendbar ist, wenn die zugrundeliegenden Verarbeitungsvorgänge vor dem Inkrafttreten der DSGVO ausgeführt wurden.
Die DSGVO ist dahin auszulegen, dass betroffene Personen Informationen darüber verlangen dürfen, ob Abfragen personenbezogener Daten vorgenommen wurden und zu welchem Zweck und Zeitpunkt dies erfolgt ist. Dagegen sieht die DSGVO kein solches Recht in Bezug auf Informationen über Arbeitnehmer vor, die diese Vorgänge im Einklang mit den Weisungen des Verantwortlichen ausgeführt haben. Es sei denn, diese Informationen sind unerlässlich, um es der betroffenen Person zu ermöglichen, ihre Rechte aus der DSGVO wirksam wahrzunehmen. Die Rechte des abfragenden Arbeitnehmers sind hierbei auch zu berücksichtigen. Sofern die Rechte und Freiheiten anderer Personen mit den Rechten des Auskunftssuchenden kollidieren, ist eine Interessenabwägung vorzunehmen.
Art. 15 DSGVO ist überdies dahingehend auszulegen, dass der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.
Weitere Blog-Beiträge zum Thema Datenschutzrecht:
Zahlungserfahrungsdaten in Bonitätsdatenbanken: OGH zu Fristen/Kriterien für Löschung.
DSGVO-Verbandsklage des VKI gegen Autovermietung erfolgreich
Datenschutzrecht: Herausgabe personenbezogener Daten an einen Genossenschafter
Datenschutz vs. Bonitätsdatenbank: OGH zum Informationsinteresse künftiger Gläubiger