EuGH, Urt. 22.6.2023 - C-579/21
Kein Auskunftsanspruch zu Arbeitnehmeridentitäten
Autor: RA, FA IT-Recht Dr. Aegidius Vogt, Herberger Vogt von Schoeler, München – www.hvs-rechtsanwaelte.de
Aus: IT-Rechtsberater, Heft 10/2023
Aus: IT-Rechtsberater, Heft 10/2023
Der Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO kann auch bzgl. Datenverarbeitungen geltend gemacht werden, die vor Geltung der DSGVO stattfanden. Ein Auskunftsrecht über die Identitäten der datenverarbeitenden Arbeitnehmer des Verantwortlichen besteht nur, wenn diese Informationen unerlässlich für die Wahrnehmung der Betroffenenrechte sind und die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.
AEUV Art. 267; DSGVO Art. 4 Nr. 1, Art. 12 Abs. 1, Art. 15 Abs. 1, Abs. 3 Satz 1, Abs. 4, Art. 99 Abs. 2
Rechtsgrundlage: Die Verarbeitungsvorgänge lägen zwar weit vor Geltung der DSGVO, das maßgebliche Auskunftsersuchen sei jedoch erst danach gestellt worden. Art. 15 Abs. 1 DSGVO sei eine reine Verfahrensvorschrift, welche die Reichweite des Auskunftsrechts bestimme. Als solche finde sie ab dem Zeitpunkt des Inkrafttretens Anwendung. Anders als bei materiell-rechtlichen Vorschriften, wie etwa zur Frage der Rechtmäßigkeit der Verarbeitung, erübrigten sich daher weitere Prüfungen zur Anwendbarkeit der Norm.
Auslegungsmaßstab: Nach st. Rspr. seien bei der Auslegung unionsrechtlicher Vorschriften deren Wortlaut, der Regelungskontext, sowie die Zwecke und Ziele des Gesetzes zu berücksichtigen (EuGH v. 12.1.2023 – C-154/21, ITRB 2023, 31 [Johnson/Kornbrust] = CR 2023, 103 m. Anm. Füllsack/Kirschke-Biller).
Wortlaut: Die in Art. 15 Abs. 1 DSGVO verwendeten Begriffe seien nach st. Rspr. weit zu verstehen und umfassten alle Arten von Informationen, soweit diese den Betroffenen beträfen (EuGH v. 4.5.2023 – C-487/21, CR 2023, 433 = ITRB 2023, 227 [Vogt]). Auch der Begriff „Verarbeitung“ i.S.v. Art. 4 Nr. 2 DSGVO sei umfassend zu verstehen („jeden Vorgang“). Demnach sei vom Auskunftsrecht eine große Bandbreite an Informationen umfasst.
Regelungskontext: Die Erwgrd. 58 und 60 sowie ausdrücklich Art. 12 Abs. 1 DSGVO stellten auf die Grundsätze einer fairen und transparenten Verarbeitung sowie der Transparenz ab, die auch bei Art. 15 DSGVO zu berücksichtigen seien. Daher müsse die Transparenz der Art und Weise der Datenverarbeitung und damit eine für den Betroffenen verständliche Information auch im Rahmen des Auskunftsrechts gewährleistet sein (EuGH v. 4.5.2023 – C-487/21, CR 2023, 433 = ITRB 2023, 227 [Vogt]).
Zwecke und Ziele der DSGVO: Dieses weite Verständnis stützten auch die Erwgrd. 10, 11 und 63, nach denen ein gleichmäßiges und hohes Schutzniveau zu gewährleisten sei sowie die Betroffenenrechte gestärkt und präzise festgelegt werden müssten. Zudem müsse es das Auskunftsrecht den Betroffenen ermöglichen, die Richtigkeit und Rechtmäßigkeit der Datenverarbeitung überprüfen und ggf. ihre Betroffenenrechte aus den Art. 16–18, 21, 79, 82 DSGVO wahrnehmen zu können.
Umfang der Auskunft: Nach dem weit zu verstehenden Begriff der „Kopie“ in Art. 15 Abs. 3 Satz 1 DSGVO (vgl. EuGH v. 4.5.2023 – C-487/21, CR 2023, 433 = ITRB 2023, 227 [Vogt]) müsse der Verantwortliche alle erforderlichen Informationen aushändigen, was auch die Protokolldateien der Datenabfragen umfassen könne. Denn diese dokumentierten die Datenverarbeitung und gäben Auskunft über Häufigkeit und Intensität der Abfragen, was für eine Überprüfung der Rechtmäßigkeit relevant sein könne. Die in den Protokolldateien enthaltenen Arbeitnehmeridentitäten seien jedoch ebenfalls schützenswerte personenbezogene Daten. Daher sei eine Abwägung der jeweiligen Rechte und Freiheiten vorzunehmen. Solange die Datenverarbeitung unter Aufsicht und im Einklang mit den Weisungen des Verantwortlichen erfolgt sei, falle diese zugunsten der Arbeitnehmer aus. Der Betroffene zweifle auch nicht daran, sondern an den Angaben der Bank zum Zweck der Abfragen.
AEUV Art. 267; DSGVO Art. 4 Nr. 1, Art. 12 Abs. 1, Art. 15 Abs. 1, Abs. 3 Satz 1, Abs. 4, Art. 99 Abs. 2
Das Problem
Der Betroffene, Mitarbeiter sowie Kunde einer finnischen Bank, erfuhr im Jahr 2014 davon, dass seine Kundendaten von Mitarbeitern der Revisionsabteilung der Bank auf deren Weisung mehrmals abgefragt worden waren. Im Rahmen der Beendigung seines Beschäftigungsverhältnisses mit der Bank zweifelte der Betroffene an der Rechtmäßigkeit dieser Abfragen und forderte die Bank am 29.5.2018 erfolglos auf, ihm Protokolldateien auszuhändigen, die neben den Zeitpunkten und Zwecken der Abfragen auch die Identität der abfragenden Mitarbeiter beinhalten. Ein entsprechender Antrag bei der Datenschutzaufsicht blieb erfolglos. Das dagegen angerufene Gericht wandte sich mit einem Vorabentscheidungsersuchen an den EuGH. Dieser hatte insb. zu klären, ob Arbeitnehmeridentitäten zu den auskunftspflichtigen Informationen nach Art. 15 Abs. 1 DSGVO gehören.Die Entscheidung des Gerichts
Obwohl die Verarbeitungsvorgänge weit vor Geltung der DSGVO (25.5.2018) stattfanden, hält der EuGH den erst nach dem Anwendungsdatum erhobenen Auskunftsanspruch nach Art. 15 DSGVO für anwendbar, während ein Anspruch auf Preisgabe von Arbeitnehmeridentitäten für den Regelfall ablehnt wird.Rechtsgrundlage: Die Verarbeitungsvorgänge lägen zwar weit vor Geltung der DSGVO, das maßgebliche Auskunftsersuchen sei jedoch erst danach gestellt worden. Art. 15 Abs. 1 DSGVO sei eine reine Verfahrensvorschrift, welche die Reichweite des Auskunftsrechts bestimme. Als solche finde sie ab dem Zeitpunkt des Inkrafttretens Anwendung. Anders als bei materiell-rechtlichen Vorschriften, wie etwa zur Frage der Rechtmäßigkeit der Verarbeitung, erübrigten sich daher weitere Prüfungen zur Anwendbarkeit der Norm.
Auslegungsmaßstab: Nach st. Rspr. seien bei der Auslegung unionsrechtlicher Vorschriften deren Wortlaut, der Regelungskontext, sowie die Zwecke und Ziele des Gesetzes zu berücksichtigen (EuGH v. 12.1.2023 – C-154/21, ITRB 2023, 31 [Johnson/Kornbrust] = CR 2023, 103 m. Anm. Füllsack/Kirschke-Biller).
Wortlaut: Die in Art. 15 Abs. 1 DSGVO verwendeten Begriffe seien nach st. Rspr. weit zu verstehen und umfassten alle Arten von Informationen, soweit diese den Betroffenen beträfen (EuGH v. 4.5.2023 – C-487/21, CR 2023, 433 = ITRB 2023, 227 [Vogt]). Auch der Begriff „Verarbeitung“ i.S.v. Art. 4 Nr. 2 DSGVO sei umfassend zu verstehen („jeden Vorgang“). Demnach sei vom Auskunftsrecht eine große Bandbreite an Informationen umfasst.
Regelungskontext: Die Erwgrd. 58 und 60 sowie ausdrücklich Art. 12 Abs. 1 DSGVO stellten auf die Grundsätze einer fairen und transparenten Verarbeitung sowie der Transparenz ab, die auch bei Art. 15 DSGVO zu berücksichtigen seien. Daher müsse die Transparenz der Art und Weise der Datenverarbeitung und damit eine für den Betroffenen verständliche Information auch im Rahmen des Auskunftsrechts gewährleistet sein (EuGH v. 4.5.2023 – C-487/21, CR 2023, 433 = ITRB 2023, 227 [Vogt]).
Zwecke und Ziele der DSGVO: Dieses weite Verständnis stützten auch die Erwgrd. 10, 11 und 63, nach denen ein gleichmäßiges und hohes Schutzniveau zu gewährleisten sei sowie die Betroffenenrechte gestärkt und präzise festgelegt werden müssten. Zudem müsse es das Auskunftsrecht den Betroffenen ermöglichen, die Richtigkeit und Rechtmäßigkeit der Datenverarbeitung überprüfen und ggf. ihre Betroffenenrechte aus den Art. 16–18, 21, 79, 82 DSGVO wahrnehmen zu können.
Umfang der Auskunft: Nach dem weit zu verstehenden Begriff der „Kopie“ in Art. 15 Abs. 3 Satz 1 DSGVO (vgl. EuGH v. 4.5.2023 – C-487/21, CR 2023, 433 = ITRB 2023, 227 [Vogt]) müsse der Verantwortliche alle erforderlichen Informationen aushändigen, was auch die Protokolldateien der Datenabfragen umfassen könne. Denn diese dokumentierten die Datenverarbeitung und gäben Auskunft über Häufigkeit und Intensität der Abfragen, was für eine Überprüfung der Rechtmäßigkeit relevant sein könne. Die in den Protokolldateien enthaltenen Arbeitnehmeridentitäten seien jedoch ebenfalls schützenswerte personenbezogene Daten. Daher sei eine Abwägung der jeweiligen Rechte und Freiheiten vorzunehmen. Solange die Datenverarbeitung unter Aufsicht und im Einklang mit den Weisungen des Verantwortlichen erfolgt sei, falle diese zugunsten der Arbeitnehmer aus. Der Betroffene zweifle auch nicht daran, sondern an den Angaben der Bank zum Zweck der Abfragen.