Streit um Umfang der Auskunftspflicht
Ein Kunde machte gegenüber seiner Bank von seinem Recht auf Auskunft Gebrauch. Insbesondere wollte er feststellen, ob die Bank seine personenbezogenen Daten rechtswidrig übermittelt hat. Die Bank erteilte zwar eine Auskunft, nannte aber nur die Kategorien von Empfänger*innen (z. B. Dienstleister, Kreditdienstleistungsinstitute, Behörden), nicht jedoch die konkreten Empfänger*innen. Sie begründete dies damit, dass bei einem Auskunftsbegehren der Verantwortliche ein Wahlrecht habe, ob er den Betroffenen die konkreten Empfänger*innen oder nur Empfänger*innenkategorien mitteile. Außerdem betrachtete die Bank die Datenempfänger*innen als Geschäftsgeheimnis; dieses müsse beim Auskunftsanspruch nicht preisgegeben werden. Der Bankkunde war mit dieser Auskunft unzufrieden und beschwerte sich bei uns.
Betroffene Personen haben gegenüber den Verantwortlichen einen Anspruch auf Auskunft über „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“. Zwar scheint der Wortlaut dieser Vorschrift nahezulegen, dass es sich bei „Empfänger oder Kategorien von Empfängern“ um gleichwertige Alternativen handelt und insofern ein Wahlrecht der oder des Verantwortlichen bestehen könnte. Eine Beschränkung der Auskunft auf Kategorien von Empfänger*innen ohne Offenlegung von deren Identität würde jedoch dem Zweck der DSGVO zuwiderlaufen, betroffene Personen in die Lage zu versetzen, die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten überprüfen zu können und den Verantwortlichen gegenüber ihre Rechte insbesondere auf Berichtigung, Löschung, Widerspruch und Einschränkung der Bearbeitung der Daten geltend zu machen. Diese Rechte können die betroffenen Personen gegenüber Empfänger*innen ihrer übermittelten personenbezogenen Daten aber nur dann geltend machen, wenn ihnen die Identität der Adressaten bekannt ist. Eine Beschränkung des Auskunftsrechts nur auf Kategorien von Empfänger*innen reicht damit zur Wahrung der Rechte der betroffenen Personen nicht aus. Dies würde sogar einen Verstoß gegen europäisches Primärrecht darstellen. Unsere Auslegung entspricht auch dem gesetzgeberischen Willen, denn danach haben betroffene Personen ein Anrecht darauf zu wissen und zu erfahren, wer die Empfänger*innen der personenbezogenen Daten sind. Demnach ist eine Angabe von Kategorien von Empfänger*innen nur dann ausreichend, wenn Übermittlungen zwar grundsätzlich vorgesehen, aber noch nicht erfolgt sind.
Die Bank kann sich auch nicht erfolgreich darauf berufen, die Empfänger*innen der Daten nicht identifizieren zu müssen, da sie ein Geschäftsgeheimnis darstellten. Geschäftsgeheimnisse des Verantwortlichen können zwar den Auskunftsanspruch der betroffenen Person verringern, das Gesetz hat dies allerdings nur für den Kopieranspruch geregelt. Teilweise wird zwar die Auffassung vertreten, der Gesetzgeber habe das Auskunftsrecht beim Vorliegen von Rechten Dritter nicht nur beim Kopieranspruch beschränken wollen, es liege also eine planwidrige Lücke vor. Dieser Auffassung ist aber nicht zu folgen. Während bei dem Recht auf Kopie die Beeinträchtigung von Rechten und Freiheiten anderer Personen besonders nahe liegt, ist kaum anzunehmen, dass eine Beeinträchtigung Dritter durch die Identifizierung der Datenempfänger*innen zu befürchten ist.
Da die Bank sich auch gegenüber der Datenschutzaufsicht weigerte, dem Beschwerdeführer die konkreten Empfänger*innen zu benennen, wurde der Vorgang an die Sanktionsstelle zur Prüfung der Einleitung eines Ordnungswidrigkeitenverfahrens weitergeleitet.
Quelle: BInBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks