Rechtssache C‑579/21

Von J. M. betriebenes Verfahren

(Vorabentscheidungsersuchen des Itä-Suomen hallinto-oikeus)

Urteil des Gerichtshofs (Erste Kammer) vom 22. Juni 2023

„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 und 15 – Reichweite des Rechts auf Auskunft hinsichtlich der in Art. 15 genannten Informationen – Informationen, die in den durch ein Datenaufzeichnungssystem generierten Protokolldateien (Logdateien) enthalten sind – Art. 4 – Begriff ‚personenbezogene Daten‘ – Begriff ‚Empfänger‘ – Zeitliche Geltung“

1. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Zeitliche Geltung – Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten – Nach dem Anwendungsdatum vorgebrachtes Auskunftsersuchen – Vor dem Anwendungsdatum ausgeführte Datenverarbeitung – Anwendbarkeit der Verordnung

   (Richtlinie 2016/679 des Europäischen Parlaments und des Rates, Art. 15 und Art. 99 Abs. 2)

   (vgl. Rn. 30-36, Tenor 1)

2. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten – Informationen hinsichtlich der Abfragen dieser Daten – Begriff – Informationen über den Zeitpunkt und die Zwecke dieser Vorgänge – Einbeziehung – Informationen über die Identität der Personen, die diese Vorgänge ausgeführt haben – Arbeitnehmer des Verantwortlichen, die diese Vorgänge unter dessen Aufsicht ausgeführt haben – Ausschluss – Ausnahme – Reichweite

   (Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 15 Abs. 1)

   (vgl. Rn. 39-49, 52-59, 61, 62, 69-76, 79-83, Tenor 2)

3. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung 2016/679 – Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten – Informationen hinsichtlich der Abfragen dieser Daten – Informationen über den Zeitpunkt und die Zwecke dieser Vorgänge – Verantwortlicher, der eine reglementierte Tätigkeit ausübt – Betroffene Person, die die Eigenschaft eines bei diesem Verantwortlichen beschäftigten Kunden hat – Fehlende Auswirkung auf die Reichweite ihres Auskunftsrechts

   (Verordnung 2016/679 des Europäischen Parlaments und des Rates, Art. 15 Abs. 1)

   (vgl. Rn. 85-89, Tenor 3)

Zusammenfassung

J. M. war sowohl Arbeitnehmer als auch Kunde eines finnischen Bankinstituts. Im Jahr 2014 erlangte er Kenntnis davon, dass seine eigenen Kundendaten von Mitarbeitern dieses Instituts im Jahr 2013 mehrmals abgefragt worden waren. Da J. M., dessen Beschäftigungsverhältnis bei diesem Institut mittlerweile gekündigt worden war, Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er dieses Institut im Jahr 2018 auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen und die Zwecke der Verarbeitung dieser Daten offenzulegen.

In seiner Eigenschaft als Verantwortlicher ( 1 ) weigerte sich das Bankinstitut, ihm Auskünfte über die Identität der Arbeitnehmer zu erteilen, die die Abfragen vorgenommen hatten, und führte zur Begründung aus, dass es sich bei diesen Informationen um personenbezogene Daten dieser Arbeitnehmer handele. Es stellte klar, dass die Abfragen auf seine Weisungen hin von seiner internen Revision im Rahmen einer Untersuchung eines potenziellen Interessenkonflikts zwischen J. M. und einem weiteren Kunden ausgeführt worden seien.

Im Nachgang hierzu beantragte J. M. bei der finnischen Aufsichtsbehörde, ihm die Identität der Personen mitzuteilen, die seine Kundendaten abgefragt hatten. Nachdem sein Antrag mit der Begründung abgelehnt worden war, dass die Protokolldateien der Arbeitnehmer, die seine Daten verarbeitet hätten, personenbezogene Daten dieser Arbeitnehmer darstellten, wandte sich J. M. an das vorlegende Gericht. Dieses fragt sich, ob die Mitteilung von anlässlich von Verarbeitungsvorgängen generierten Protokolldateien, die Informationen hinsichtlich der Zwecke der Verarbeitung und der Empfänger der Daten sowie der Identität der Personen enthielten, die diese Vorgänge ausgeführt haben – im vorliegenden Fall die Arbeitnehmer des Verantwortlichen – von Art. 15 DSGVO erfasst werde.

Mit seinem Urteil äußert sich der Gerichtshof zur zeitlichen Anwendbarkeit von Art. 15 DSGVO im Kontext eines Auskunftsersuchens hinsichtlich der in dieser Bestimmung genannten Informationen, das nach dem Anwendungsdatum dieser Verordnung vorgebracht wurde. Er stellt ferner klar, welche Reichweite dem Recht der betroffenen Person zukommt, von dem Verantwortlichen Auskünfte über die sie betreffenden verarbeiteten Daten sowie hinsichtlich der Informationen zu diesen Daten zu verlangen ( 2 ).

Würdigung durch den Gerichtshof

Als Erstes entscheidet der Gerichtshof, dass Art. 15 DSGVO auf ein Auskunftsersuchen hinsichtlich der in dieser Bestimmung genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum dieser Verordnung ausgeführt wurden, das Ersuchen aber nach diesem Datum vorgebracht wurde. Art. 15 Abs. 1 DSGVO betrifft nämlich nicht die Voraussetzungen für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der betroffenen Person, sondern beschränkt sich darauf, die Reichweite des Rechts dieser Person auf Auskunft hinsichtlich der in dieser Bestimmung genannten Daten und Informationen genau anzugeben. Folglich verleiht diese Bestimmung den betroffenen Personen ein verfahrensmäßiges Recht, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu verlangen. Als Verfahrensvorschrift findet sie auf Auskunftsersuchen Anwendung, die wie das Ersuchen von J. M. ab der Anwendung dieser Verordnung vorgebracht worden sind.

Als Zweites betont der Gerichtshof, dass es sich bei den Informationen über Abfragen von personenbezogenen Daten einer Person, die den Zeitpunkt und die Zwecke dieser Vorgänge betreffen, um Informationen handelt, die diese Person gemäß Art. 15 Abs. 1 DSGVO von dem Verantwortlichen verlangen darf.

Aus der Analyse des Wortlauts dieser Bestimmung und der darin enthaltenen Begriffe ergibt sich zunächst, dass das Auskunftsrecht, dass diese Bestimmung der betroffenen Person gewährt, durch die große Bandbreite der Informationen gekennzeichnet ist, die der Verantwortliche dieser Person zur Verfügung zu stellen hat.

Sodann geht aus dem Zusammenhang, in den sich diese Bestimmung einfügt, hervor, dass diese die Transparenz der Art und Weise der Verarbeitung personenbezogener Daten gegenüber der betroffenen Person gewährleisten soll; ohne diese Transparenz wäre die fragliche Person nicht in der Lage, zu beurteilen, ob ihre Daten rechtmäßig verarbeitet wurden.

Schließlich wird diese Auslegung der Reichweite des in Art. 15 Abs. 1 DSGVO vorgesehenen Auskunftsrechts durch die mit dieser Verordnung verfolgten Ziele bestätigt. Zu diesen Zielen gehört, dass in der Union ein gleichmäßiges und hohes Schutzniveau für natürliche Personen zu gewährleisten ist und dass es der betroffenen Person zu ermöglichen ist, zu überprüfen, ob sie betreffende Daten richtig sind und ob sie in rechtmäßiger Weise verarbeitet werden.

Was die von J. M. angeforderten Informationen betrifft, so stellt der Gerichtshof in einem ersten Schritt fest, dass die die personenbezogenen Daten von J. M. betreffenden Abfragen eine „Verarbeitung“ ( 3 ) darstellen, so dass sie ihm ein Recht auf Auskunft über diese personenbezogenen Daten und ein Recht auf Übermittlung der im Zusammenhang mit diesen Vorgängen stehenden Informationen gewähren ( 4 ). Der Gerichtshof betont hierzu, dass die betroffene Person durch die Offenlegung des Zeitpunkts der Abfragen die Bestätigung darüber erlangen kann, dass ihre personenbezogenen Daten zu einem bestimmten Zeitpunkt tatsächlich verarbeitet wurden, wobei es der Zeitpunkt dieser Verarbeitung ihr ermöglicht, deren Rechtmäßigkeit zu überprüfen. Ferner stellt er klar, dass die Information über die Verarbeitungszwecke in der DSGVO ( 5 ) ausdrücklich genannt wird und diese Verordnung vorsieht, dass der Verantwortliche die betroffene Person darüber unterrichtet, gegenüber welchen Empfängern ihre Daten offengelegt worden sind ( 6 ).

Was die Bereitstellung all dieser Informationen durch die Zurverfügungstellung von Protokolldateien über die in Rede stehenden Verarbeitungsvorgänge betrifft, so stellt der Gerichtshof in einem zweiten Schritt klar, dass sich die Bereitstellung einer Kopie der in diesen Dateien enthaltenen Informationen als erforderlich erweisen kann, um der dem Verarbeiter obliegenden Pflicht nachzukommen, der betroffenen Person alle in Art. 15 Abs. 1 DSGVO genannten Informationen zugänglich zu machen und eine faire und transparente Verarbeitung zu gewährleisten.

Zum einen lassen diese Dateien nicht nur auf das Bestehen einer Datenverarbeitung ( 7 ) schließen, sondern sie geben auch Aufschluss über Häufigkeit und Intensität der Abfragen. Mithin ermöglichen sie es der betroffenen Person, zu überprüfen, ob der ausgeführten Verarbeitung tatsächlich die von dem Verantwortlichen angegebenen Zwecke zugrunde liegen.

Zum anderen enthalten diese Dateien Informationen über die Identität der Personen, die die Abfragen vorgenommen haben. Im vorliegenden Fall hat die betroffene Person zwar das Recht, von dem Verantwortlichen Informationen über die Empfänger oder die Kategorien von Empfängern zu verlangen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden ( 8 ), doch können Arbeitnehmer des Verantwortlichen nicht als „Empfänger“ ( 9 ) angesehen werden, wenn sie personenbezogene Daten unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen verarbeiten. Unterstellt man daher, dass die Bereitstellung von Informationen über die Identität der Arbeitnehmer des Verantwortlichen für die betroffene Person notwendig ist, damit sie sich von der Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten überzeugen kann, so kann eine solche Informationsbereitstellung nichtsdestoweniger die Rechte und Freiheiten dieser Arbeitnehmer insofern beeinträchtigen, als diese Informationen selbst personenbezogene Daten der genannten Arbeitnehmer enthalten. Unter solchen Umständen ist das Recht auf Auskunft der betroffenen Person gegen die Rechte und Freiheiten anderer Personen abzuwägen. Folglich gelangt der Gerichtshof zu dem Schluss, dass Art. 15 Abs. 1 DSGVO der Person, deren Daten verarbeitet werden, kein Recht verleiht, vom Verantwortlichen Auskunft hinsichtlich der Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen zu verlangen, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um es der betroffenen Person zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.

Als Drittes und Letztes stellt der Gerichtshof fest, dass der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach Art. 15 Abs. 1 DSGVO gewährt wird. In Bezug auf den Anwendungsbereich dieses Rechts unterscheidet die Verordnung nämlich nicht nach der Art der Tätigkeiten des Verantwortlichen oder nach der Eigenschaft der Person, deren personenbezogene Daten verarbeitet werden.

( 1 ) Im Sinne von Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).

( 2 ) So wie in Art. 15 Abs. 1 DSGVO vorgesehen.

( 3 ) Im Sinne von Art. 4 Nr. 2 DSGVO.

( 4 ) Art. 15 Abs. 1 DSGVO.

( 5 ) Art. 15 Abs. 1 Buchst. a DSGVO.

( 6 ) Art. 15 Abs. 1 Buchst. c DSGVO.

( 7 ) Information, über die der betroffenen Person gemäß Art. 15 Abs. 1 DSGVO Auskunft zu erteilen ist.

( 8 ) Gemäß Art. 15 Abs. 1 Buchst. c DSGVO.

( 9 ) Im Sinne von Art. 15 Abs. 1 Buchst. c DSGVO.