Einmal mehr hatte sich der Europäische Gerichtshof in der Rechtssache C-579/21 mit dem Auskunftsrecht nach Art 15 DSGVO zu beschäftigen. Das finnische Verwaltungsgericht fragte unter anderem, ob die Auskunftserteilung auch die Information über Identitätsdaten von Mitarbeitern, die auf Daten von Betroffenen zugreifen, umfasst.
Hintergrund
Der Betroffene war Angestellter und Kunde einer Bank. Der ehemalige Angestellte erlangte Kenntnis darüber, dass seine Kundendaten von Mitarbeitern der Bank nach Beendigung seines Dienstverhältnisses mehrmals abgefragt wurden. Er zweifelte die Rechtmäßigkeit dieser Verarbeitung an und forderte die Bank auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen.
Dies verwehrte ihm die Bank mit der Begründung, keine Auskünfte über Identitäten ihrer Mitarbeiter geben zu wollen, teilte ihm aber mit, dass die Abfragen zwecks einer internen Revision auf Weisung der Bank erfolgt sind.
Daraufhin sah sich der Betroffene in seinem Auskunftsrecht beschwert und wandte sich an die finnische Aufsichtsbehörde. Diese wies die Beschwerde ab, da es sich bei den Protokolldaten um personenbezogene Daten der Mitarbeiter handle und nicht um solche des Betroffenen. Das Verwaltungsgericht als Rechtsmittelinstanz legte infolgedessen daraufhin dem EuGH zusammengefasst folgende Fragen vor:
- Sind Mitarbeiterdaten (bzw. Protokolldaten) vom Auskunftsrecht umfasst?
- Sind die abfragenden Mitarbeiter Empfänger von personenbezogenen Daten und damit vom Auskunftsrecht umfasst?
- Ist es für die Bewertung relevant, ob die Daten vor Inkrafttreten der DSGVO verarbeitet wurden?
Auskunft über Identität mit Vorbehalt
Der EuGH entschied, dass Protokolldaten personenbezogene Daten darstellen können und vom Auskunftsrecht des Betroffenen umfasst sind. Sofern aber diese Protokolldaten Identitätsdaten über Mitarbeiter enthalten, welche die Daten nach Weisung verarbeiten, kann dieses Recht nicht uneingeschränkt gelten.
In einem solchen Fall muss einerseits geprüft werden, ob
a) diese Informationen notwendig sind, um der betroffenen Person zu ermöglichen, ihre Rechte wirksam wahrzunehmen und
b) dass die Rechte und Freiheiten der Mitarbeiter nicht unverhältnismäßig eingeschränkt werden.
Insofern hat eine Interessensabwägung zu erfolgen. Dabei muss das Interesse des Betroffenen an der Beauskunftung der Daten dem Interesse der Mitarbeiter, nicht identifiziert zu werden, gegenübergestellt werden.
Demzufolge (und ohne in der Sache selbst zu entscheiden, da diese Pflicht dem nationalen Gericht zukommt) ließ der EuGH in seiner Entscheidung erkennen, dass die Informationen über Identitätsdaten der zugreifenden Mitarbeiter in diesem Fall für die wirksame Rechtsverfolgung nicht notwendig waren.
Mitarbeiter sind keine „Empfänger“
Zur anderen Frage stellt der EuGH (mittels Verweis auf die Schlussanträge des Generalanwalts) klar, dass die DSGVO dem Betroffenen auch das Recht gibt zu erfahren, wem gegenüber seine Daten offengelegt werden. Allerdings zählen Arbeitnehmer des Verantwortlichen nicht als „Empfänger“ im Sinne der DSGVO, wenn sie die Daten unter der Aufsicht dieses Verantwortlichen und nach Weisung verarbeiten. Diese sind also nicht zu beauskunften.
Irrelevant ob Daten vor Inkrafttreten der DSGVO verarbeitet wurden
Der Verarbeitungsvorgang erfolgte 2013 und damit vor Inkrafttreten der DSGVO am 25. Mai 2018. Das Auskunftsersuchen wurde am 29. Mai 2018 gestellt. Der EuGH stellte fest, dass Verfahrensvorschriften (Art 15 DSGVO stellt eine solche dar) ab Inkrafttreten anwendbar sind. Folglich kann ein solches Ersuchen gestellt werden, selbst wenn der Verarbeitungsvorgang vor Inkrafttreten erfolgt ist.
Zusammenfassung
Das Urteil verdeutlicht erneut die Komplexität und die Wichtigkeit des Auskunftsrechts nach der DSGVO. Sind im Rahmen der Beauskunftung Daten anderer Personen enthalten, schließt das Auskunftsrecht eine diesbezügliche Informationserteilung grundsätzlich nicht aus. In Fällen, wo Rechte und Freiheiten Betroffener kollidieren, ist aber im Einzelfall abzuwägen, ob die Informationen auch tatsächlich zu erteilen ist.
Ihr KWR Datenschutz Team unterstützt Sie gerne.
Hier geht es zur betreffenden Entscheidung.