Takea­ways (AI):
  • Der EuGH ent­schied am 22. Juni 2023 über das Aus­kunfts­recht in Bezug auf Daten­zu­grif­fe nach Been­di­gung des Arbeitsverhältnisses.
  • Die zeit­li­che Anwend­bar­keit des Aus­kunfts­rechts gilt für Anfra­gen nach Inkraft­tre­ten der DSGVO.
  • Der Art. 15 DSGVO erlaubt betrof­fe­nen Per­so­nen, Infor­ma­tio­nen über die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu verlangen.
  • Das Aus­kunfts­recht umfasst auch Doku­men­te, die den Kon­text von Per­so­nen­da­ten erläu­tern, um die Recht­mä­ßig­keit der Ver­ar­bei­tung zu überprüfen.
  • Die Iden­ti­tät der Mit­ar­bei­ter muss nur bekannt gege­ben wer­den, wenn es für die Wirk­sam­keit der Rech­te der betrof­fe­nen Per­son uner­läss­lich ist.

Der EuGH hat sich im Urteil vom 22. Juni 2023 in Rs. C‑579/21 auf Vor­la­ge des Ver­wal­tungs­ge­richts Ost­finn­land mit der Reich­wei­te des Aus­kunfts­rechts befasst. Ein ehe­ma­li­ger Bank­mit­ar­bei­ter, der zugleich Kun­de der Bank war, hat­te Aus­kunft dar­über ver­langt, wel­che Mit­ar­bei­ter der Bank nach Been­di­gung des Arbeits­ver­hält­nis­ses auf sei­ne Daten zuge­grif­fen hatten.

Frag­lich war zunächst die zeit­li­che Anwend­bar­keit des Aus­kunfts­rechts, weil es um Daten­zu­grif­fe in einer Zeit vor dem Inkraft­tre­ten der DSGVO ging. Dem EuGH zufol­ge ist aber mass­ge­bend, dass das Aus­kunfts­be­geh­ren nach den Inkraft­tre­ten gestellt wurde:

32 […] bei Ver­fah­rens­vor­schrif­ten im All­ge­mei­nen davon aus­zu­ge­hen ist, dass sie ab dem Zeit­punkt ihres Inkraft­tre­tens Anwen­dung fin­den, wäh­rend mate­ri­ell-recht­li­che Vor­schrif­ten in der Regel so aus­ge­legt wer­den, dass sie auf vor ihrem Inkraft­tre­ten ent­stan­de­ne und end­gül­tig erwor­be­ne Rechts­po­si­tio­nen nur Anwen­dung fin­den, wenn aus ihrem Wort­laut, ihrer Ziel­set­zung oder ihrem Auf­bau ein­deu­tig her­vor­geht, dass ihnen eine sol­che Wir­kung bei­zu­mes­sen ist […].

35 Hier­aus folgt […], dass Art. 15 Abs. 1 DSGVO den betrof­fe­nen Per­so­nen ein ver­fah­rens­mä­ßi­ges Recht ver­leiht, Infor­ma­tio­nen über die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu ver­lan­gen. Als Ver­fah­rens­vor­schrift fin­det die­se Bestim­mung auf Aus­kunfts­er­su­chen Anwen­dung, die […] ab der Anwen­dung die­ser Ver­ord­nung vor­ge­bracht wor­den sind.

Grund­sätz­lich sind sodann auch Anga­ben über Zugrif­fe auf Per­so­nen­da­ten personenbezogen:

45 Daher erfasst die wei­te Defi­ni­ti­on des Begriffs „per­so­nen­be­zo­ge­ne Daten“ nicht nur die von dem Ver­ant­wort­li­chen erho­be­nen und gespei­cher­ten Daten, son­dern auch alle Infor­ma­tio­nen über eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re Per­son, die aus einer Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten resul­tie­ren (vgl. in die­sem Sin­ne Urteil vom 4. Mai 2023, Öster­rei­chi­sche Daten­schutz­be­hör­de und CRIF, C‑487/21, EU:C:2023:369, Rn. 26).

Fer­ner besteht grund­sätz­lich ein Anspruch auf Aus­kunft über die kon­kre­ten, ein­zel­nen Emp­fän­ger von Per­so­nen­da­ten, wie der EuGH im Urteil i.S. Öster­rei­chi­sche Post fest­ge­stellt hat­te. Da ein­zel­ne Mit­ar­bei­ter des Ver­ant­wort­li­chen aber kei­ne Emp­fän­ger sind, kann dar­aus noch kein Anspruch auf ihre Nen­nung abge­lei­tet werden.

Den­noch stel­len Pro­to­koll­da­ten (Logs) u.U. Per­so­nen­da­ten dar. Der EuGH ver­weist dar­auf, dass die­se Daten vor­lie­gend Ver­zeich­nis­se von Ver­ar­bei­tungs­tä­tig­kei­ten sei­nen. Das ist schwer ver­ständ­lich; der EuGH bezieht sich auf Aus­füh­run­gen des Gene­ral­an­walts in sei­nen Schluss­an­trä­gen, der dies aber so nicht gesagt hat­te. Rich­tig ist jeden­falls aber die fol­gen­de Fest­stel­lung des EuGH:

Soweit die­se Ver­zeich­nis­se von Ver­ar­bei­tungs­tä­tig­kei­ten kei­ne Infor­ma­tio­nen über eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son […] ent­hal­ten, ermög­li­chen sie es ledig­lich dem Ver­ant­wort­li­chen, sei­nen Pflich­ten gegen­über der deren Bereit­stel­lung anfor­dern­den Auf­sichts­be­hör­de nachzukommen.

Das bedeu­tet indes­sen nicht, dass ein Anspruch auf Nen­nung von Anga­ben aus Ver­ar­bei­tungs­ver­zeich­nis­sen aus­ge­schlos­sen ist. Er ist von zwei Punk­ten abhängig:

  • Erstens kann ein Anspruch auf Bekannt­ga­be von Doku­men­ten und nicht nur von Per­so­nen­da­ten bestehen, soweit die­se Doku­men­te als Kon­text­in­for­ma­ti­on für das Ver­ständ­nis der Per­so­nen­da­ten erfor­der­lich sind (EuGH i.S. CRIF (C‑487/21)).
  • Zwei­tens dient das Aus­kunfts­recht dazu, der betrof­fe­nen Per­son die Prü­fung der Recht­mä­ssig­keit der Ver­ar­bei­tung zu ermög­li­chen. Dazu kann es gehö­ren, wie auch im vor­lie­gen­den Fall, bei Zugrif­fen durch ande­re Mit­ar­bei­ter zu prü­fen, dass die­se “tat­säch­lich unter der Auf­sicht des Ver­ant­wort­li­chen sowie im Ein­klang mit sei­nen Wei­sun­gen” (Art. 29 DSGVO) erfolgt sind.

Dadurch wür­de es aller­dings zu einer Bekannt­ga­be von Per­so­nen­da­ten die­ser zugrei­fen­den Mit­ar­bei­ter kom­men. Das schliesst das Aus­kunfts­recht nicht aus, aber es ist eine Inter­es­sen­ab­wä­gung durch­zu­füh­ren, und die Aus­kunft ist mög­lichst scho­nend zu erteilen.

Der EuGH kommt daher zur fol­gen­den Antwort:

[…] Infor­ma­tio­nen, die Abfra­gen per­so­nen­be­zo­ge­ner Daten einer Per­son betref­fen und die sich auf den Zeit­punkt und die Zwecke die­ser Vor­gän­ge bezie­hen, Infor­ma­tio­nen dar­stel­len, die die genann­te Per­son nach die­ser Bestim­mung von dem Ver­ant­wort­li­chen ver­lan­gen darf. Dage­gen sieht die­se Bestim­mung kein sol­ches Recht in Bezug auf Infor­ma­tio­nen über die Iden­ti­tät der Arbeit­neh­mer die­ses Ver­ant­wort­li­chen vor, die die­se Vor­gän­ge unter sei­ner Auf­sicht und im Ein­klang mit sei­nen Wei­sun­gen aus­ge­führt haben, außer wenn die­se Infor­ma­tio­nen uner­läss­lich sind, um der betrof­fe­nen Per­son es zu ermög­li­chen, die ihr durch die­se Ver­ord­nung ver­lie­he­nen Rech­te wirk­sam wahr­zu­neh­men, und vor­aus­ge­setzt, dass die Rech­te und Frei­hei­ten die­ser Arbeit­neh­mer berück­sich­tigt werden.

Der EuGH hält fer­ner – auf­grund einer ent­spre­chen­den Vor­la­ge­fra­ge – fest, dass die­se Über­le­gun­gen auch für Ban­ken gel­ten, jeden­falls solan­ge der natio­na­le Gesetz­ge­ber kei­ne Ein­schrän­kung des Aus­kunfts­rechts (nach Art. 23 DSGVO) vor­ge­se­hen hat.

AI-generierte Takeaways können falsch sein.