• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
easy GDPR - we make compliance with GDPR easy

easyGDPR

We make implementing General Data Protection Regulation Easy

  • Home
  • Leistungen
    • Software
      • Quickcheck
      • easyGDPR lite
      • easyGDPR standard
      • Betroffenenanfragen
      • Sophos
    • IT Security
    • Netzwerk-Check
    • KMU DIGITAL 2.1
    • Beratungen
      • DSGVO
        • Beratung
        • Onlineberatung
      • Cybersecurity
    • Schulung
      • Datenschutz
      • Cybersecurity
  • Partner
    • Bonusprogramm
  • DSGVO
    • DSGVO News
    • FAQ
    • DSGVO Entscheidungen
    • DSGVO Strafen
    • DSGVO Gesetzestext
  • Shop
  • Kontakt
    • Kontakt
    • Anmeldung Schulung
    • Newsletteranmeldung
  • Login
    • Bonuspartner
    • easyGDPR Software
  • Deutsch
  • Englisch

Auskunftsrecht – Das Bundesverwaltungsgericht hat entschieden

13/05/2019 by Constanze Liebhart

Das Bundesverwaltungsgericht hat am 10. Dezember 2018 eine weitreichende Entscheidung bezüglich Auskunftsrecht getroffen. Gegenstand des Verfahrens war, welchen Aufwand Unternehmen betreiben müssen um Datenauskunftsbegehren von Betroffenen zu erfüllen. Die Entscheidung des Gerichts wird weitreichende Folgen für datenverarbeitende Unternehmen.

Vorgeschichte

Im Jahr 2017 verlangte eine Privatperson bei einer österreichischen Bank um Offenlegung, welche personenbezogene Daten das Geldinstitut über diesen gespeichert hat. Laut diesem hat die Bank personenbezogene Daten an eine Hausverwaltung weitergeleitet, obwohl dieser ausdrücklich eine Datenweitergabe untersagte.

Sein Auskunftsbegehren beziehe sich auf sämtliche verarbeitete Daten, die Information über ihre Herkunft, allfällige Empfänger oder Empfängerkreise, den Zweck der Datenverwendung sowie die Anführung der Rechtsgrundlagen. Weiter begehre er die Angabe von Namen und Adressen von mit der Verarbeitung seiner Daten beauftragten Dienstleistern.

Antwort der Bank

Das Geldinstitut stellte dem Betroffenen einige Datensätze zur Verfügung, erwähnte im Begleitschreiben aber auch, dass nicht alle Daten übermittelt wurden, und begründe dies wie folgt:

„Alle weiteren gespeicherten Personendaten würden keine persönlichen Informationen enthalten, sondern seien konto- und produktbezogene Daten und würden der EDV-technischen Abwicklung der Bankgeschäfte dienen. „

Weiters war eine „Beauskunftung zu Dienstleistern“ beigefügt sowie eine Aufzählung, wann das Instut laut diverser gesetzlicher Vorgaben zur Datenweitergabe an Behörden verpflichtet ist. Hier führte die Bank beispielsweise auf, dass Daten an die US-amerikanischen Behörden weitergeleitet werden, sofern die Person in den USA steuerpflichtig ist.

Beschwerde bei der Datenschutzbehörde

Die Auskunft der Bank war nach Meinung des Beschwerdeführers (der Betroffene) nicht ausreichend. Er legte daher Beschwerde nach § 31 Abs. 1 DSG 2000 ein und begründete dies einerseits mit einer unvollständigen bzw. unrichtigen Auskunft.

Die Bank beantwortete die Anfrage und entgegnete, dass regelmäßig Kontoaufstellungen zur Verfügung gestellt werden, es einen Kontoauszugsdrucker gibt und Einsicht über das Online-Banking möglich ist. Aus diesem Grund sieht die Bank hier einen nicht begründbaren und nicht gerechtfertigten Aufwand. Der Beschwerdeführer bestritt den unverhältnismäßigen Aufwand und beantrage das Hinzuziehen eines Sachverständigen aus dem Fachgebiet IT und Bankwesen. Der Betroffene konterte zudem, keinen E-Banking Zugang und dieser würde ohnehin nur Zugriff auf seine eigenen Kontodaten, nicht aber auf Daten, die bei den Konten Dritter gespeichert seinen, bieten.

Weiters war die Auskunft unvollständig, da die Datenweitergabe an interne Abteilungen wie Marketing nicht dokumentiert.

Entscheidung der Datenschutzbehörde

Die Datenschutzbehörde gab dem Antragsteller nur in einem Punkt recht, die Datenauskunft war unvollständig, da keinerlei Informationen über die Datenweiterleitung an die Hausverwaltung enthalten waren. Daher wurde die Bank aufgefordert binnen zwei Wochen diese Informationen an den Betroffenen nachzuliefern.

Die weiteren strittigen Punkte wurden zu Gunsten der Bank entschieden.

Gegen den Bescheid der Behörde zog die Privatperson vor das Bundesverwaltungsgericht.

Gerichtsentscheid

Das Bundesverwaltungsgerichts korrigierte den Bescheid der Datenschutzbehörde und argumentierte wie folgt:

Einfache verständliche Sprache

Die DSGVO fordert in Artikel 12:

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitungbeziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln

DSGVO Artikel 12, Paragraph 1

Aufgrunddessen hätte die Bank Hinweise zur Datenweitergabe an US-Behörden unterlassen müssen, da der Betroffene nicht in den USA steuerpflichtig ist.

Das Gericht verwies dabei auch auf die Erwägungsgrund 58 der DSGVO.

Interne Datenweitergabe

Auch hier entschied das Gericht, dass die Angaben der Bank unzureichend waren. Die Information „Durchführung von Bankgeschäften und die damit verbundenen Serviceleistungen“ ist nicht detailliert genug und erfüllt nicht die Anforderungen einer einfachen, verständlichen Sprache laut DSGVO Artikel 12. Der Erwägungsgrund 63 stützte die Argumention der Richter.

Zweckangaben wie „Verbesserung der Benutzerfreundlichkeit“, „Marketingzwecke“, „Zwecke der IT-Sicherheit“, „künftige Forschung“ sind zu allgemein und erfüllen nicht das Kriterium der hinreichenden Bestimmtheit. Als Faustregel ist anzuraten, einen Zweck idR in mehr als drei Worten anzugeben, ohne allerdings in ausufernde, unübersichtliche und komplizierte Formulierungen zu verfallen.

Auszug aus der Entscheidung des Bundesverwaltungsgerichtshofs

Damit ist auch klar, dass die Anforderungen der DSGVO nicht leicht zu erfüllen sind, eine detaillierte Angabe ohne in komplizierte Formulierungen zu verwenden ist ein Akt auf Messers Schneide.

Die Entscheidung des Gerichts sagt daher, dass auch interne Datenweitergaben Teil einer Datenauskunft sein müssen.

Verhältnismäßigkeit

Auch in diesem Punkt folgte das Bundesverwaltungsgerichts der Argumention des Betroffenen.

Die Bank war der Meinung, dass die Daten über E-Banking abrufbar sind und jede andere Datenauskunft unverhältnismäßig wäre. Laut Gericht entbehrt diese Argumention jeder Rechtsgrundlage. Da der Beschwerdeführer keinen E-Banking Zugang besitzt hat das Instutit andere Wege zu finden um die angeforderten Daten zur Verfügung zu stellen. Die Ausnahmegründe laut DSGVO Artikel 12 Absatz 5 können nicht angewendet werden, da diese zur Abwehr exzessiver Forderungen dienen. Da dies die erste Betroffenenanfrage des Beschwerdeführers ist, kann nicht von exzessivem Missbrauch gesprochen werden.

Die Auskunft nach Artikel 15 hat daher kostenlos zu erfolgen und muss die vergangenen sieben Jahre umfassen. Für die Beauskunftung hat die Bank eine Frist von nur zwei Wochen erhalten.

Fazit

Das Urteil zeigt einmal mehr, dass die DSGVO ein komplexes Konstrukt ist und nicht auf die leichte Schulter genommen werden sollte. Anders ist es nicht zu erklären, dass ein Gericht und eine Behörde aufgrund desselben Sachverhalts unterschiedliche Entscheidungen treffen.

Für die Beurteilung von Sachverhälten sind dabei nicht nur der Gesetzestext entscheidend sondern auch die Erwägungsgründe. Diese erläutern die Intentionen des Gesetzgebers und bringen mir Klarheit in die DSGVO.

Abschließend ist festzustellen, dass die Datenauskunft an Betroffene eine der großen Herausforderungen der DSGVO ist. Nur wenn Datenmanagement betrieben wird können diese Anfragen fristgerecht und vollständig beantwortet werden. Werden Daten in verschiedenen Systemen gespeichert, wie beispielsweise in einem CRM und einer Marketing-Applikation, so bedarf es technischem KnowHow um alle benötigten Daten aus beiden Systemen zu extrahieren.

Category iconNews,  DSGVO Entscheidungen,  Österreich

Primary Sidebar

IT-Security Whitepaper Downloaden
  • Deutsch
  • Englisch
  • Jobangebote
  • Lizenzbedingungen für easyGDPR
  • AGB
  • Impressum
  • Datenschutzerklärung
  • DSGVO Begriffe
  • easyGDPR News
Auf unserer Website verwenden wir Cookies, um Ihnen alle relevanten Informationen anzuzeigen und Ihnen den bestmöglichen Komfort zu bieten. Durch den Klick auf “Alle Akzeptieren" sind Sie mit allen Cookies einverstanden. Unter Einstellungen können Sie auswählen, ob und welche Cookies Sie zulassen möchten.
EinstellungenAlle akzeptieren
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Analytics

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Analytische Cookies helfen uns zu verstehen, wie Sie als Besucher mit der Website interagieren. Aufgrund dessen erhalten wir INformationen wie Anzahl der Besucher, Absprungraten, Quellseiten usw.

Save & Accept