Das öster­rei­chi­sche Bun­des­ver­wal­tungs­ge­rict (BVwG) hat in einem Urteil vom 10. Dezem­ber 2018 (Geschäfts­zahl W211 2188383 – 1) über die daten­schutz­recht­li­che Aus­kunfts­er­tei­lung einer Bank ent­schie­den.

Angabe der Verarbeitungszwecke

Zunächst hielt das BVwG fest, dass die Anga­be der Ver­ar­bei­tungs­zwecke in einer Daten­schutz­er­klä­rung recht kon­kret erfol­gen muss:

Zweck­an­ga­ben wie “Ver­bes­se­rung der Benut­zer­freund­lich­keit”, “Mar­ke­ting­zwecke”, “Zwecke der IT-Sicher­heit”, “künf­ti­ge For­schung” sind zu all­ge­mein und erfül­len nicht das Kri­te­ri­um der hin­rei­chen­den Bestimmt­heit. Als Faust­re­gel ist anzu­ra­ten, einen Zweck idR in mehr als drei Wor­ten anzu­ge­ben, ohne aller­dings in aus­ufern­de, unüber­sicht­li­che und kom­pli­zier­te For­mu­lie­run­gen zu ver­fal­len. Prak­ti­sche Bei­spie­le zur Fest­le­gung der Ver­ar­bei­tungs­zwecke fin­den sich in Anhang 3 des WP203 der Arti­kel-29-Daten­schutz­grup­pe.

Dar­aus geht her­vor, dass nicht nur die Sub­sump­ti­on von – gegen­ständ­lich – Daten­ver­wen­dun­gen für Mar­ke­ting- und Wer­be­zwecke unter “damit ver­bun­de­ne Ser­vice­lei­stun­gen” nicht aus­rei­chend kon­kret und trans­pa­rent ist, son­dern auch eine Aus­kunft nur betref­fend “Mar­ke­ting- und Wer­be­zwecke” nicht genü­gen wird. Vor dem Hin­ter­grund der Daten­schutz­er­klä­rung der Beschwer­de­geg­ne­rin wäre zumin­dest der Zweck der Direkt­wer­bung zu beaus­kunften gewe­sen.”

Die Ver­ant­wort­li­che – eine Bank – hat­te inso­fern den Aus­kunfts­an­spruch des Kun­den ver­letzt.

Angabe der Empfänger

Dem­ge­gen­über war die Aus­kunft über die Emp­fän­ger der Daten nicht unvoll­stän­dig. Zwar sind auch inter­ne Stel­len als “Emp­fän­ger” anzu­se­hen, wenn die Per­so­nen­da­ten für ein ande­res Auf­ga­ben­ge­biet ver­wen­det wer­den. Die Mar­ke­ting­ab­tei­lung muss­te hier trotz­dem nicht als Emp­fän­ge­rin ange­ge­ben wer­den:

Gegen­ständ­lich geht es um die Fra­ge, ob die Wer­be- und Mar­ke­ting­ab­tei­lung und die Abtei­lung ” XXXX Costu­mer Expe­ri­ence Manage­ment” als “ande­re Auf­ga­ben­ge­bie­te” der Beschwer­de­geg­ne­rin ange­se­hen wer­den müs­sen […]. Dies wird vom erken­nen­den Senat ver­neint: den […] ist dahin­ge­hend zu fol­gen, dass die­se bei­den Tätig­keits­ge­bie­te der Beschwer­de­geg­ne­rin nicht als aus­rei­chend eigen­stän­dig und “anders” wahr­zu­neh­men sind, son­dern Unter­stüt­zungs­lei­stun­gen oder “akzes­so­ri­sche” Lei­stun­gen zum Kern­ge­schäft – Bank­we­sen – dar­stel­len.

Bereitstellung von Kopien

Das BVwG hielt sodann fest, dass die Bank nach Art. 15 DSGVO ver­pflich­tet war, dem Kun­den eine Kopie der Daten aus Kon­to­be­we­gun­gen der ver­gan­ge­nen sie­ben Jah­re bereit­zu­stel­len. Das Aus­kunfts­be­geh­ren war ins­be­son­de­re nicht exzes­siv, weil der Kun­de zum ersten Mal Aus­kunft ver­langt hat­te. Zudem hat­te der Kun­de Aus­kunft über bestimm­te Daten ver­langt, wes­halb die Bank auch nicht eine Prä­zi­sie­rung der Aus­kunft i.S. des ErwG 63 ver­lan­gen konn­te, was bei einem unspe­zi­fi­schen Aus­kunfts­be­geh­ren in Fra­ge gekom­men wäre.

Kein The­ma war loka­les Umset­zungs­recht, das gestützt auf Art. 23 DSGVO Ein­schrän­kun­gen vor­se­hen könn­te; denn anders als etwa Deutsch­land sieht das öster­rei­chi­sche Umset­zungs­ge­setz kei­ne Ein­schrän­kung des Aus­kunfts­rechts vor.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.