- Der EuGH entschied am 22. Juni 2023 über das Auskunftsrecht in Bezug auf Datenzugriffe nach Beendigung des Arbeitsverhältnisses.
- Die zeitliche Anwendbarkeit des Auskunftsrechts gilt für Anfragen nach Inkrafttreten der DSGVO.
- Der Art. 15 DSGVO erlaubt betroffenen Personen, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu verlangen.
- Das Auskunftsrecht umfasst auch Dokumente, die den Kontext von Personendaten erläutern, um die Rechtmäßigkeit der Verarbeitung zu überprüfen.
- Die Identität der Mitarbeiter muss nur bekannt gegeben werden, wenn es für die Wirksamkeit der Rechte der betroffenen Person unerlässlich ist.
Der EuGH hat sich im Urteil vom 22. Juni 2023 in Rs. C‑579/21 auf Vorlage des Verwaltungsgerichts Ostfinnland mit der Reichweite des Auskunftsrechts befasst. Ein ehemaliger Bankmitarbeiter, der zugleich Kunde der Bank war, hatte Auskunft darüber verlangt, welche Mitarbeiter der Bank nach Beendigung des Arbeitsverhältnisses auf seine Daten zugegriffen hatten.
Fraglich war zunächst die zeitliche Anwendbarkeit des Auskunftsrechts, weil es um Datenzugriffe in einer Zeit vor dem Inkrafttreten der DSGVO ging. Dem EuGH zufolge ist aber massgebend, dass das Auskunftsbegehren nach den Inkrafttreten gestellt wurde:
32 […] bei Verfahrensvorschriften im Allgemeinen davon auszugehen ist, dass sie ab dem Zeitpunkt ihres Inkrafttretens Anwendung finden, während materiell-rechtliche Vorschriften in der Regel so ausgelegt werden, dass sie auf vor ihrem Inkrafttreten entstandene und endgültig erworbene Rechtspositionen nur Anwendung finden, wenn aus ihrem Wortlaut, ihrer Zielsetzung oder ihrem Aufbau eindeutig hervorgeht, dass ihnen eine solche Wirkung beizumessen ist […].
35 Hieraus folgt […], dass Art. 15 Abs. 1 DSGVO den betroffenen Personen ein verfahrensmäßiges Recht verleiht, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu verlangen. Als Verfahrensvorschrift findet diese Bestimmung auf Auskunftsersuchen Anwendung, die […] ab der Anwendung dieser Verordnung vorgebracht worden sind.
Grundsätzlich sind sodann auch Angaben über Zugriffe auf Personendaten personenbezogen:
45 Daher erfasst die weite Definition des Begriffs „personenbezogene Daten“ nicht nur die von dem Verantwortlichen erhobenen und gespeicherten Daten, sondern auch alle Informationen über eine identifizierte oder identifizierbare Person, die aus einer Verarbeitung personenbezogener Daten resultieren (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 26).
Ferner besteht grundsätzlich ein Anspruch auf Auskunft über die konkreten, einzelnen Empfänger von Personendaten, wie der EuGH im Urteil i.S. Österreichische Post festgestellt hatte. Da einzelne Mitarbeiter des Verantwortlichen aber keine Empfänger sind, kann daraus noch kein Anspruch auf ihre Nennung abgeleitet werden.
Dennoch stellen Protokolldaten (Logs) u.U. Personendaten dar. Der EuGH verweist darauf, dass diese Daten vorliegend Verzeichnisse von Verarbeitungstätigkeiten seinen. Das ist schwer verständlich; der EuGH bezieht sich auf Ausführungen des Generalanwalts in seinen Schlussanträgen, der dies aber so nicht gesagt hatte. Richtig ist jedenfalls aber die folgende Feststellung des EuGH:
Soweit diese Verzeichnisse von Verarbeitungstätigkeiten keine Informationen über eine identifizierte oder identifizierbare natürliche Person […] enthalten, ermöglichen sie es lediglich dem Verantwortlichen, seinen Pflichten gegenüber der deren Bereitstellung anfordernden Aufsichtsbehörde nachzukommen.
Das bedeutet indessen nicht, dass ein Anspruch auf Nennung von Angaben aus Verarbeitungsverzeichnissen ausgeschlossen ist. Er ist von zwei Punkten abhängig:
- Erstens kann ein Anspruch auf Bekanntgabe von Dokumenten und nicht nur von Personendaten bestehen, soweit diese Dokumente als Kontextinformation für das Verständnis der Personendaten erforderlich sind (EuGH i.S. CRIF (C‑487/21)).
- Zweitens dient das Auskunftsrecht dazu, der betroffenen Person die Prüfung der Rechtmässigkeit der Verarbeitung zu ermöglichen. Dazu kann es gehören, wie auch im vorliegenden Fall, bei Zugriffen durch andere Mitarbeiter zu prüfen, dass diese “tatsächlich unter der Aufsicht des Verantwortlichen sowie im Einklang mit seinen Weisungen” (Art. 29 DSGVO) erfolgt sind.
Dadurch würde es allerdings zu einer Bekanntgabe von Personendaten dieser zugreifenden Mitarbeiter kommen. Das schliesst das Auskunftsrecht nicht aus, aber es ist eine Interessenabwägung durchzuführen, und die Auskunft ist möglichst schonend zu erteilen.
Der EuGH kommt daher zur folgenden Antwort:
[…] Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.
Der EuGH hält ferner – aufgrund einer entsprechenden Vorlagefrage – fest, dass diese Überlegungen auch für Banken gelten, jedenfalls solange der nationale Gesetzgeber keine Einschränkung des Auskunftsrechts (nach Art. 23 DSGVO) vorgesehen hat.