Das Bundesverwaltungsgericht hat am 10. Dezember 2018 eine weitreichende Entscheidung bezüglich Auskunftsrecht getroffen. Gegenstand des Verfahrens war, welchen Aufwand Unternehmen betreiben müssen um Datenauskunftsbegehren von Betroffenen zu erfüllen. Die Entscheidung des Gerichts wird weitreichende Folgen für datenverarbeitende Unternehmen.
Vorgeschichte
Im Jahr 2017 verlangte eine Privatperson bei einer österreichischen Bank um Offenlegung, welche personenbezogene Daten das Geldinstitut über diesen gespeichert hat. Laut diesem hat die Bank personenbezogene Daten an eine Hausverwaltung weitergeleitet, obwohl dieser ausdrücklich eine Datenweitergabe untersagte.
Sein Auskunftsbegehren beziehe sich auf sämtliche verarbeitete Daten, die Information über ihre Herkunft, allfällige Empfänger oder Empfängerkreise, den Zweck der Datenverwendung sowie die Anführung der Rechtsgrundlagen. Weiter begehre er die Angabe von Namen und Adressen von mit der Verarbeitung seiner Daten beauftragten Dienstleistern.
Antwort der Bank
Das Geldinstitut stellte dem Betroffenen einige Datensätze zur Verfügung, erwähnte im Begleitschreiben aber auch, dass nicht alle Daten übermittelt wurden, und begründe dies wie folgt:
„Alle weiteren gespeicherten Personendaten würden keine persönlichen Informationen enthalten, sondern seien konto- und produktbezogene Daten und würden der EDV-technischen Abwicklung der Bankgeschäfte dienen. „
Weiters war eine „Beauskunftung zu Dienstleistern“ beigefügt sowie eine Aufzählung, wann das Instut laut diverser gesetzlicher Vorgaben zur Datenweitergabe an Behörden verpflichtet ist. Hier führte die Bank beispielsweise auf, dass Daten an die US-amerikanischen Behörden weitergeleitet werden, sofern die Person in den USA steuerpflichtig ist.
Beschwerde bei der Datenschutzbehörde
Die Auskunft der Bank war nach Meinung des Beschwerdeführers (der Betroffene) nicht ausreichend. Er legte daher Beschwerde nach § 31 Abs. 1 DSG 2000 ein und begründete dies einerseits mit einer unvollständigen bzw. unrichtigen Auskunft.
Die Bank beantwortete die Anfrage und entgegnete, dass regelmäßig Kontoaufstellungen zur Verfügung gestellt werden, es einen Kontoauszugsdrucker gibt und Einsicht über das Online-Banking möglich ist. Aus diesem Grund sieht die Bank hier einen nicht begründbaren und nicht gerechtfertigten Aufwand. Der Beschwerdeführer bestritt den unverhältnismäßigen Aufwand und beantrage das Hinzuziehen eines Sachverständigen aus dem Fachgebiet IT und Bankwesen. Der Betroffene konterte zudem, keinen E-Banking Zugang und dieser würde ohnehin nur Zugriff auf seine eigenen Kontodaten, nicht aber auf Daten, die bei den Konten Dritter gespeichert seinen, bieten.
Weiters war die Auskunft unvollständig, da die Datenweitergabe an interne Abteilungen wie Marketing nicht dokumentiert.
Entscheidung der Datenschutzbehörde
Die Datenschutzbehörde gab dem Antragsteller nur in einem Punkt recht, die Datenauskunft war unvollständig, da keinerlei Informationen über die Datenweiterleitung an die Hausverwaltung enthalten waren. Daher wurde die Bank aufgefordert binnen zwei Wochen diese Informationen an den Betroffenen nachzuliefern.
Die weiteren strittigen Punkte wurden zu Gunsten der Bank entschieden.
Gegen den Bescheid der Behörde zog die Privatperson vor das Bundesverwaltungsgericht.
Gerichtsentscheid
Das Bundesverwaltungsgerichts korrigierte den Bescheid der Datenschutzbehörde und argumentierte wie folgt:
Einfache verständliche Sprache
Die DSGVO fordert in Artikel 12:
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitungbeziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln
DSGVO Artikel 12, Paragraph 1
Aufgrunddessen hätte die Bank Hinweise zur Datenweitergabe an US-Behörden unterlassen müssen, da der Betroffene nicht in den USA steuerpflichtig ist.
Das Gericht verwies dabei auch auf die Erwägungsgrund 58 der DSGVO.
Interne Datenweitergabe
Auch hier entschied das Gericht, dass die Angaben der Bank unzureichend waren. Die Information „Durchführung von Bankgeschäften und die damit verbundenen Serviceleistungen“ ist nicht detailliert genug und erfüllt nicht die Anforderungen einer einfachen, verständlichen Sprache laut DSGVO Artikel 12. Der Erwägungsgrund 63 stützte die Argumention der Richter.
Zweckangaben wie „Verbesserung der Benutzerfreundlichkeit“, „Marketingzwecke“, „Zwecke der IT-Sicherheit“, „künftige Forschung“ sind zu allgemein und erfüllen nicht das Kriterium der hinreichenden Bestimmtheit. Als Faustregel ist anzuraten, einen Zweck idR in mehr als drei Worten anzugeben, ohne allerdings in ausufernde, unübersichtliche und komplizierte Formulierungen zu verfallen.
Auszug aus der Entscheidung des Bundesverwaltungsgerichtshofs
Damit ist auch klar, dass die Anforderungen der DSGVO nicht leicht zu erfüllen sind, eine detaillierte Angabe ohne in komplizierte Formulierungen zu verwenden ist ein Akt auf Messers Schneide.
Die Entscheidung des Gerichts sagt daher, dass auch interne Datenweitergaben Teil einer Datenauskunft sein müssen.
Verhältnismäßigkeit
Auch in diesem Punkt folgte das Bundesverwaltungsgerichts der Argumention des Betroffenen.
Die Bank war der Meinung, dass die Daten über E-Banking abrufbar sind und jede andere Datenauskunft unverhältnismäßig wäre. Laut Gericht entbehrt diese Argumention jeder Rechtsgrundlage. Da der Beschwerdeführer keinen E-Banking Zugang besitzt hat das Instutit andere Wege zu finden um die angeforderten Daten zur Verfügung zu stellen. Die Ausnahmegründe laut DSGVO Artikel 12 Absatz 5 können nicht angewendet werden, da diese zur Abwehr exzessiver Forderungen dienen. Da dies die erste Betroffenenanfrage des Beschwerdeführers ist, kann nicht von exzessivem Missbrauch gesprochen werden.
Die Auskunft nach Artikel 15 hat daher kostenlos zu erfolgen und muss die vergangenen sieben Jahre umfassen. Für die Beauskunftung hat die Bank eine Frist von nur zwei Wochen erhalten.
Fazit
Das Urteil zeigt einmal mehr, dass die DSGVO ein komplexes Konstrukt ist und nicht auf die leichte Schulter genommen werden sollte. Anders ist es nicht zu erklären, dass ein Gericht und eine Behörde aufgrund desselben Sachverhalts unterschiedliche Entscheidungen treffen.
Für die Beurteilung von Sachverhälten sind dabei nicht nur der Gesetzestext entscheidend sondern auch die Erwägungsgründe. Diese erläutern die Intentionen des Gesetzgebers und bringen mir Klarheit in die DSGVO.
Abschließend ist festzustellen, dass die Datenauskunft an Betroffene eine der großen Herausforderungen der DSGVO ist. Nur wenn Datenmanagement betrieben wird können diese Anfragen fristgerecht und vollständig beantwortet werden. Werden Daten in verschiedenen Systemen gespeichert, wie beispielsweise in einem CRM und einer Marketing-Applikation, so bedarf es technischem KnowHow um alle benötigten Daten aus beiden Systemen zu extrahieren.