Entscheidungsstichwort (Thema)
Vorlage zur Vorabentscheidung. Verarbeitung personenbezogener Daten. Reichweite des Rechts auf Auskunft hinsichtlich der in Art. 15 genannten Informationen. Informationen, die in den durch ein Datenaufzeichnungssystem generierten Protokolldateien (Logdateien) enthalten sind. Begriff ‚personenbezogene Daten‘. Begriff ‚Empfänger‘. Zeitliche Geltung
Normenkette
EUVO 679/2016 Art. 4, 15
Beteiligte
Tenor
1.Art. 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Licht von Art. 99 Abs. 2 dieser Verordnung
ist dahin auszulegen, dass
er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.
2.Art. 15 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.
3.Art. 15 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.
Tatbestand
In der Rechtssache C-579/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Itä-Suomen hallinto-oikeus (Verwaltungsgericht Ostfinnland, Finnland) mit Entscheidung vom 21. September 2021, beim Gerichtshof eingegangen am 22. September 2021, in dem Verfahren
J. M.,
Beteiligte:
Apulaistietosuojavaltuutettu,
Pankki S,
erlässt
DER GERICHTSHOF (Erste Kammer)
unter Mitwirkung des Kammerpräsidenten A. Arabadjiev sowie der Richter P. G. Xuereb, T. von Danwitz, A. Kumin und der Richterin I. Ziemele (Berichterstatterin),
Generalanwalt: M. Campos Sánchez-Bordona,
Kanzler: C. Strömholm, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 12. Oktober 2022,
unter Berücksichtigung der Erklärungen
- – von J. M., der sich selbst vertritt,
- – des Apulaistietosuojavaltuutettu, vertreten durch A. Talus, Tietosuojavaltuutettu,
- – von Pankki S, vertreten durch T. Kalliokoski und J. Lång, Asianajajat, sowie E.-L. Hokkonen, Oikeustieteen Maisteri,
- – der finnischen Regierung, vertreten durch A. Laine und H. Leppo als Bevollmächtigte,
- – der tschechischen Regierung, vertreten durch A. Edelmannová, M. Smolek und J. Vláčil als Bevollmächtigte,
- – der österreichischen Regierung, vertreten durch A. Posch als Bevollmächtigten,
- – der Europäischen Kommission, vertreten durch A. Bouchagiar, H. Kranenborg und I. Söderlund als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 15. Dezember 2022
folgendes
Urteil
Entscheidungsgründe
Rz. 1
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 15 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2) im Folgenden: DSGVO).
Rz. 2
Es ergeht im Rahmen eines von J. M. betriebenen Verfahrens, das darauf gerichtet ist, den Bescheid des Apulaistietosuojavaltuutettu (Stellvertretender Datenschutzbeauftragter, Finnland) aufzuheben, mit dem sein Antrag abgelehnt wurde, Pankki S, eine in Finnland ansässige Bank, anzuweisen, ihm bestimmte Informationen über Abfragen seiner personenbezogenen Daten zu erteilen.
Rechtlicher Rahmen
Rz. 3
In den Erwägungsgründen 4, 10, 11, 26, 39, 58, 60, 63 und 74 der DSGVO heißt es:
„(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschrä...