Das österreichische Bundesverwaltungsgerict (BVwG) hat in einem Urteil vom 10. Dezember 2018 (Geschäftszahl W211 2188383 – 1) über die datenschutzrechtliche Auskunftserteilung einer Bank entschieden.
Angabe der Verarbeitungszwecke
Zunächst hielt das BVwG fest, dass die Angabe der Verarbeitungszwecke in einer Datenschutzerklärung recht konkret erfolgen muss:
Zweckangaben wie “Verbesserung der Benutzerfreundlichkeit”, “Marketingzwecke”, “Zwecke der IT-Sicherheit”, “künftige Forschung” sind zu allgemein und erfüllen nicht das Kriterium der hinreichenden Bestimmtheit. Als Faustregel ist anzuraten, einen Zweck idR in mehr als drei Worten anzugeben, ohne allerdings in ausufernde, unübersichtliche und komplizierte Formulierungen zu verfallen. Praktische Beispiele zur Festlegung der Verarbeitungszwecke finden sich in Anhang 3 des WP203 der Artikel-29-Datenschutzgruppe.
Daraus geht hervor, dass nicht nur die Subsumption von – gegenständlich – Datenverwendungen für Marketing- und Werbezwecke unter “damit verbundene Serviceleistungen” nicht ausreichend konkret und transparent ist, sondern auch eine Auskunft nur betreffend “Marketing- und Werbezwecke” nicht genügen wird. Vor dem Hintergrund der Datenschutzerklärung der Beschwerdegegnerin wäre zumindest der Zweck der Direktwerbung zu beauskunften gewesen.”
Die Verantwortliche – eine Bank – hatte insofern den Auskunftsanspruch des Kunden verletzt.
Angabe der Empfänger
Demgegenüber war die Auskunft über die Empfänger der Daten nicht unvollständig. Zwar sind auch interne Stellen als “Empfänger” anzusehen, wenn die Personendaten für ein anderes Aufgabengebiet verwendet werden. Die Marketingabteilung musste hier trotzdem nicht als Empfängerin angegeben werden:
Gegenständlich geht es um die Frage, ob die Werbe- und Marketingabteilung und die Abteilung ” XXXX Costumer Experience Management” als “andere Aufgabengebiete” der Beschwerdegegnerin angesehen werden müssen […]. Dies wird vom erkennenden Senat verneint: den […] ist dahingehend zu folgen, dass diese beiden Tätigkeitsgebiete der Beschwerdegegnerin nicht als ausreichend eigenständig und “anders” wahrzunehmen sind, sondern Unterstützungsleistungen oder “akzessorische” Leistungen zum Kerngeschäft – Bankwesen – darstellen.
Bereitstellung von Kopien
Das BVwG hielt sodann fest, dass die Bank nach Art. 15 DSGVO verpflichtet war, dem Kunden eine Kopie der Daten aus Kontobewegungen der vergangenen sieben Jahre bereitzustellen. Das Auskunftsbegehren war insbesondere nicht exzessiv, weil der Kunde zum ersten Mal Auskunft verlangt hatte. Zudem hatte der Kunde Auskunft über bestimmte Daten verlangt, weshalb die Bank auch nicht eine Präzisierung der Auskunft i.S. des ErwG 63 verlangen konnte, was bei einem unspezifischen Auskunftsbegehren in Frage gekommen wäre.
Kein Thema war lokales Umsetzungsrecht, das gestützt auf Art. 23 DSGVO Einschränkungen vorsehen könnte; denn anders als etwa Deutschland sieht das österreichische Umsetzungsgesetz keine Einschränkung des Auskunftsrechts vor.