Language of document : ECLI:EU:C:2022:1001

SCHLUSSANTRÄGE DES GENERALANWALTS

MANUEL CAMPOS SÁNCHEZ-BORDONA

vom 15. Dezember 2022(1)

Rechtssache C-579/21

J. M.,

Beteiligter:

Apulaistietosuojavaltuutettu,

Pankki S

(Vorabentscheidungsersuchen des Itä-Suomen hallinto-oikeus [Verwaltungsgericht Ostfinnland, Finnland])

„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – In einem Verzeichnis der Verarbeitungstätigkeiten enthaltene Daten – Auskunftsrecht – Begriff der personenbezogenen Daten – Begriff des Empfängers – Personal im Dienste des Verantwortlichen“






1.        Ein bei einem Finanzinstitut Beschäftigter, der zugleich dessen Kunde ist, ersuchte dieses Institut um Auskunft über die Identität der Personen, die im Rahmen einer internen Untersuchung seine personenbezogenen Daten abgefragt hatten. Da sich das Finanzinstitut weigerte, ihm die Informationen zur Verfügung zu stellen, hat er die entsprechenden Rechtsbehelfe eingelegt und schließlich Klage beim Itä-Suomen hallinto-oikeus (Verwaltungsgericht Ostfinnland, Finnland) erhoben.

2.        Dieses Gericht hat dem Gerichtshof mehrere Fragen zur Auslegung der Verordnung (EU) 2016/679(2) vorgelegt. Bei ihrer Beantwortung wird der Gerichtshof über das Recht der betroffenen Person auf Zugang zu bestimmten Informationen zu entscheiden haben, die mit der Verarbeitung ihrer personenbezogenen Daten in Verbindung stehen.

I.      Rechtlicher Rahmen

A.      Unionsrecht. DSGVO

3.        Der elfte Erwägungsgrund lautet:

„Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.“

4.        Art. 4 („Begriffsbestimmungen“) sieht vor:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.      ,personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden, betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2.      ,Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

9.      ,Empfänger‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. …“

5.        In Art. 15 („Auskunftsrecht der betroffenen Person“) Abs. 1 heißt es:

„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a)      die Verarbeitungszwecke;

b)      die Kategorien personenbezogener Daten, die verarbeitet werden;

c)      die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d)      falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e)      das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f)      das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g)      wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h)      das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“

6.        Art. 24 („Verantwortung des für die Verarbeitung Verantwortlichen“) Abs. 1 sieht vor:

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

7.        Art. 25 („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) Abs. 2 legt fest:

„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“

8.        Art. 29 („Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters“) lautet:

„Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.“

9.        Art. 30 („Verzeichnis von Verarbeitungstätigkeiten“) bestimmt:

„(1)      Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a)      den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b)      die Zwecke der Verarbeitung;

c)      eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d)      die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

f)      wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g)      wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(2)      Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, das Folgendes enthält:

a)      den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;

b)      die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;

c)      gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, …

d)      wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

(3)      Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

(4)      Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

(5)      Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien … bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten …“

10.      Art. 58 („Befugnisse“) Abs. 1 bestimmt:

„Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

a)      den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,

…“

B.      Nationales Recht

1.      Tietosuojalaki (1050/2018)(3)

11.      Nach § 30 dieses Gesetzes sind die Vorschriften zur Verarbeitung personenbezogener Daten von Arbeitnehmern, zu bei Arbeitnehmern durchzuführenden Tests und Kontrollen und den dabei einzuhaltenden Anforderungen sowie zur technischen Überwachung am Arbeitsplatz und zum Abrufen und Öffnen von E‑Mails eines Arbeitnehmers im Laki yksityisyyden suojasta työelämässä (759/2004)(4) enthalten.

12.      Gemäß § 34 Abs. 1 hat die betroffene Person kein Recht auf Zugang zu den über sie erhobenen Daten im Sinne von Art. 15 DSGVO, soweit

1)      die Bereitstellung der Daten die nationale Sicherheit, Verteidigung oder die öffentliche Ordnung und Sicherheit beeinträchtigen oder die Verhütung oder Aufklärung von Straftaten gefährden könnte,

2)      die Bereitstellung der Daten eine ernsthafte Gefahr für die Gesundheit oder Pflege der betroffenen Person oder für die Rechte der betroffenen Person oder eines Dritten darstellen könnte oder

3)      die personenbezogenen Daten bei Aufsichts- und Kontrolltätigkeiten verwendet werden und die Vorenthaltung der Daten zum Schutz eines wichtigen wirtschaftlichen oder finanziellen Interesses Finnlands oder der Europäischen Union erforderlich ist.

13.      Gemäß § 34 Abs. 2 ist die betroffene Person, wenn nur ein Teil der Daten gemäß Abs. 1 nicht unter das in Art. 15 DSGVO geregelte Recht fällt, berechtigt, Auskunft über alle anderen sie betreffenden Daten zu erhalten.

14.      Gemäß § 34 Abs. 3 müssen der betroffenen Person die Gründe für die Beschränkung mitgeteilt werden, soweit dies den Zweck der Beschränkung nicht gefährdet.

15.      Gemäß § 34 Abs. 4 müssen die in Art. 15 Abs. 1 DSGVO genannten Daten auf Antrag der betroffenen Person dem Datenschutzbeauftragten zur Verfügung gestellt werden, soweit die betroffene Person kein Recht auf Zugang zu den über sie erhobenen Daten hat.

2.      Laki yksityisyyden suojasta työelämässä (759/2004)

16.      Gemäß Abschnitt 2 § 4 Abs. 2 ist der Arbeitgeber verpflichtet, den Arbeitnehmer vorab über die Beschaffung von Daten zu unterrichten, die der Ermittlung seiner Zuverlässigkeit dienen. Wenn der Arbeitgeber die Kreditwürdigkeit des Arbeitnehmers prüft, hat er dem Arbeitnehmer außerdem mitzuteilen, aus welchem Register die Kreditinformationen bezogen werden. Wenn Daten über den Arbeitnehmer bei einer anderen Person als dem Arbeitnehmer selbst erhoben worden sind, muss der Arbeitgeber dem Arbeitnehmer die erhaltenen Daten mitteilen, bevor sie bei Entscheidungen genutzt werden, die den Arbeitnehmer betreffen. Die Verpflichtungen des Verantwortlichen, der betroffenen Person Daten zur Verfügung zu stellen, sowie das Recht der betroffenen Person auf Auskunft über die Daten richten sich nach Kapitel III der DSGVO.

II.    Sachverhalt, Rechtsstreit und Vorlagefragen

17.      Im Jahr 2014 erlangte J. M. Kenntnis davon, dass seine personenbezogenen Daten als Kunde des Finanzinstituts Suur-Savon Osuuspankki (im Folgenden: Pankki) im Zeitraum vom 1. November bis zum 31. Dezember 2013 abgefragt worden waren. Während dieser Zeit war J. M. nicht nur Kunde, sondern auch bei Pankki beschäftigt.

18.      Da J. M. den Verdacht hegte, dass die Gründe für die Abfrage seiner Daten nicht vollumfänglich rechtmäßig gewesen seien, forderte er am 29. Mai 2018 Pankki auf, ihn über die Identität derjenigen bei ihr Beschäftigten, die im genannten Zeitraum Zugang zu seinen Daten hatten, sowie über den Zweck der Datenverarbeitung zu informieren.

19.      J. M., dem mittlerweile von der Bank gekündigt worden war, begründete sein Auskunftsersuchen damit, u. a. die Gründe für seine Kündigung klären zu wollen.

20.      In ihrer Antwort vom 30. August 2018 weigerte sich Pankki in ihrer Eigenschaft als Verantwortliche, J. M. Auskunft über die Namen der bei ihr Beschäftigten zu erteilen, die seine personenbezogenen Daten verarbeitet hatten. Nach ihrer Ansicht gilt das Recht aus Art. 15 DSGVO nicht für interne Verzeichnisse oder Tagesprotokolle, aus denen hervorgeht, welche bei ihr Beschäftigten zu welchem Zeitpunkt Zugang zu dem die Kundendaten enthaltenden Datenverarbeitungssystem hatten. Bei den angeforderten Informationen handele es sich zudem um personenbezogene Daten dieser Beschäftigten und nicht um Daten von J. M.

21.      Pankki gab J. M., um Missverständnisse auszuräumen, folgende zusätzliche Erklärungen:

–        Die interne Revision der Bank habe im Jahr 2014 die Kundendaten von J. M. aus dem Zeitraum vom 1. November bis zum 31. Dezember 2013 untersucht.

–        Diese Untersuchungen ständen im Zusammenhang mit der Verarbeitung der Daten eines anderen Kunden von Pankki, aus denen hervorgehe, dass dieser zu J. M. eine Verbindung unterhalten habe, die zu einem Interessenkonflikt führen könne. Ziel der Verarbeitung sei somit gewesen, diese Situation zu klären(5).

22.      J. M. legte die Angelegenheit der nationalen Aufsichtsbehörde (Büro des Datenschutzbeauftragten, Finnland) vor und beantragte, die Bank anzuweisen, die erbetenen Informationen zu übermitteln.

23.      Mit Entscheidung vom 4. August 2020 lehnte der Stellvertretende Datenschutzbeauftragte den Antrag von J. M. ab.

24.      J. M. hat daraufhin Klage beim Itä-Suomen hallinto-oikeus (Verwaltungsgericht Ostfinnland) erhoben. Er ist der Ansicht, dass er aufgrund der DSGVO berechtigt sei, über die Identität und die Stellung der Personen, die seine Daten bei der Bank abgefragt hätten, Auskunft zu erhalten.

25.      Vor diesem Hintergrund hat das Verwaltungsgericht dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

1.      Ist das der betroffenen Person gemäß Art. 15 Abs. 1 der DSGVO zustehende Auskunftsrecht in Verbindung mit dem Begriff „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung so auszulegen, dass von dem Verantwortlichen erhobene Informationen, aus denen hervorgeht, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet hat, keine Informationen darstellen, zu denen die betroffene Person ein Zugangsrecht hat, insbesondere weil es sich um Daten handelt, die Arbeitnehmer des Verantwortlichen betreffen?

2.      Falls die Antwort auf Frage 1 „ja“ lautet und die betroffene Person aufgrund von Art. 15 Abs. 1 der DSGVO kein Recht auf Zugang zu den in dieser Frage genannten Informationen hat, weil sie keine „personenbezogenen Daten“ der betroffenen Person gemäß Art. 4 Nr. 1 der DSGVO darstellen, sind im vorliegenden Fall noch die Informationen in Betracht zu ziehen, zu denen die betroffene Person gemäß Art. 15 Abs. 1 Buchst. a bis h ein Zugangsrecht hat:

a)      Wie ist der Verarbeitungszweck im Sinne von Art. 15 Abs. 1 Buchst. a im Hinblick auf den Umfang des Auskunftsrechts der betroffenen Person auszulegen, d. h. kann der Verarbeitungszweck ein Recht auf Auskunft über die Benutzerprotokolldaten begründen, die der Verantwortliche erhoben hat, wie etwa Informationen zu personenbezogenen Daten der Verarbeitenden, den Zeitpunkt sowie den Zweck der Verarbeitung der personenbezogenen Daten?

b)      Können die Personen, die die Kundendaten von J. M. verarbeitet haben, in diesem Zusammenhang unter bestimmten Kriterien als Empfänger der personenbezogenen Daten gemäß Art. 15 Abs. 1 Buchst. c der DSGVO angesehen werden, über die die betroffene Person berechtigt wäre, Auskunft zu erhalten?

3.      Ist es für das Verfahren von Bedeutung, dass es sich um eine Bank handelt, die eine reglementierte Tätigkeit ausübt, oder dass J. M. gleichzeitig sowohl für die Bank gearbeitet hat als auch deren Kunde war?

4.      Ist es für die Bewertung der oben gestellten Fragen relevant, dass die Daten von J. M. vor Inkrafttreten der DSGVO verarbeitet wurden?

III. Verfahren vor dem Gerichtshof

26.      Das Vorabentscheidungsersuchen ist am 22. September 2021 beim Gerichtshof eingegangen.

27.      Schriftliche Erklärungen wurden von J. M., Pankki, der österreichischen, der tschechischen und der finnischen Regierung sowie der Europäischen Kommission eingereicht.

28.      An der mündlichen Verhandlung am 12. Oktober 2022 haben J. M., das Büro des Datenschutzbeauftragten, Pankki, die finnische Regierung und die Kommission teilgenommen.

IV.    Würdigung

29.      Da das vorlegende Gericht um die Auslegung mehrerer Bestimmungen der DSGVO ersucht, ist zunächst zu klären, ob diese Verordnung in zeitlicher Hinsicht auf den Ausgangsrechtsstreit anwendbar ist. Dies ist Gegenstand der vierten Vorlagefrage.

A.      Anwendbarkeit der DSGVO (vierte Vorlagefrage)

30.      Nach ihrem Art. 99 Abs. 1 trat die DSGVO am 24. Mai 2016 in Kraft. Sie gilt jedoch erst ab dem 25. Mai 2018(6).

31.      Die Überprüfung der personenbezogenen Daten von J. M. fand zwischen dem 1. November und dem 31. Dezember 2013 statt, d. h. vor Inkrafttreten und Anwendbarkeit der DSGVO.

32.      Vorliegend ist indessen der 29. Mai 2018 von Bedeutung, d. h. der Tag, an dem J. M. unter Berufung auf Art. 15 Abs. 1 DSGVO (der ab dem 25. Mai 2018 gilt) die streitigen Informationen anforderte.

33.      Wie die österreichische Regierung hervorhebt, verleiht Art. 15 Abs. 1 DSGVO den betroffenen Personen ein verfahrensmäßiges Recht (Auskunftsrecht) auf Zugang zu Informationen über die Verarbeitung ihrer personenbezogenen Daten(7). Als eine solche Bestimmung kommt der Artikel ab dem Zeitpunkt seines Inkrafttretens zur Anwendung(8). J. M. konnte sich daher zu dem Zeitpunkt, zu dem er von Pankki die Informationen anforderte, auf diese Bestimmung berufen.

34.      Die Rechtmäßigkeit der Verarbeitung von Daten, die vor dem Inkrafttreten der DSGVO erhoben wurden, ist zweifellos im Licht der zum damaligen Zeitpunkt in Kraft befindlichen materiellen Vorschriften, d. h. der Richtlinie 95/46/EG(9) und, soweit rückwirkend anwendbar, im Licht der DSGVO zu beurteilen(10).

35.      Da unbestritten ist, dass sich die angeforderten Informationen im Besitz des Verantwortlichen befanden, als J. M. insoweit Auskunft beantragte (und mithin das in Art. 15 Abs. 1 DSGVO garantierte Recht ausübte), kommt die DSGVO zur Anwendung(11).

36.      Dass die streitigen Daten vor Inkrafttreten der DSGVO verarbeitet wurden, ist folglich unerheblich dafür, ob die betroffene Person gemäß Art. 15 Abs. 1 DSGVO Auskunft über die geforderten Informationen erhalten kann oder ob ihr diese Auskunft verweigert werden darf.

B.      Erste und zweite Vorlagefrage

37.      Die erste und die zweite Vorlagefrage können zusammen geprüft werden. Zu klären ist im Wesentlichen, ob die von Pankki erhobenen und verarbeiteten personenbezogenen Daten von J. M. den Informationen entsprechen, für die die betroffene Person nach Art. 15 Abs. 1 DSGVO ein Auskunftsrecht besitzt.

1.      Identität des Beschäftigten und personenbezogene Daten der betroffenen Person

38.      Ich erinnere daran, dass sich die von J. M. geforderten Informationen auf die Identität der Beschäftigten beziehen, die seine Kundendaten im Jahr 2013 abgefragt haben, sowie auf den Zeitpunkt der Verarbeitung und den Verarbeitungszweck.

39.      In der mündlichen Verhandlung wurde bestätigt, dass J. M. sein Ersuchen um Auskunft über die Identität dieser Beschäftigten beschränkt. In dem Rechtsstreit wird ausdrücklich nicht in Zweifel gezogen, dass die Verarbeitung seiner Daten durch die Bank auf einer rechtmäßigen Grundlage beruhte(12).

40.      Daher gilt Folgendes:

–        Was den Zeitpunkt der Verarbeitung anbelangt, so geht aus der Vorlageentscheidung hervor, dass J. M. diesen bei der Antragstellung bereits kannte.

–        Was den Zweck der Verarbeitung anbelangt, so hat Pankki, wie oben beschrieben(13), J. M. über diesen Zweck informiert.

41.      In Streit steht somit allein das Recht auf Auskunft über die Identität der bei Pankki Beschäftigten, die die personenbezogenen Daten von J. M. verarbeitet haben.

42.      Tatsächlich beziehen sich diese Informationen auf Einzelheiten des Verarbeitungsvorgangs und nicht auf die personenbezogenen Daten der betroffenen Person gemäß Art. 4 Abs. 1 DSGVO(14) im eigentlichen Sinne.

43.      Es steht fest, dass speziell die J. M. betreffenden personenbezogenen Daten abgefragt wurden(15). Da er von Pankki die Bestätigung erhalten hat, dass seine Daten verarbeitet wurden(16), handelt es sich bei den Informationen, auf die er nach Art. 15 Abs. 1 DSGVO Anspruch hat, um die in den Buchst. a bis h dieser Bestimmung aufgezählten(17). Durch die Bereitstellung dieser Informationen wird der betroffenen Person die Ausübung der Rechte(18) im Rahmen der Mechanismen, die die Rechtmäßigkeit der Datenverarbeitung sicherstellen, erleichtert.

44.      Aus Art. 15 Abs. 1 DSGVO geht hervor, dass sich die Informationen, auf die verwiesen wird, auf die Umstände der Verarbeitung der Daten beziehen.

45.      Die betroffene Person hat nach Art. 15 Abs. 1 DSGVO das Recht, vom Verantwortlichen Folgendes zu verlangen:

–        erstens eine „Bestätigung darüber …, ob sie betreffende personenbezogene Daten verarbeitet werden“;

–        zweitens, sofern dies der Fall ist, „… Auskunft über diese personenbezogenen Daten und … folgende [nämlich über die in den Buchst. a bis h der Bestimmung aufgezählten] Informationen“(19).

46.      Die Bestimmung unterscheidet zwischen „personenbezogenen Daten“ zum einen und „Informationen“ im Sinne von Abs. 1 Buchst. a bis h zum anderen.

47.      Die Informationen, die der betroffenen Person nach Art. 15 Abs. 1 Buchst. a bis h DSGVO zur Verfügung zu stellen sind, dürfen daher nicht mit den personenbezogenen Daten der betroffenen Person im Sinne von Art. 4 Abs. 1 DSGVO verwechselt werden.

48.      Es handelt sich nicht um Daten, sondern um Informationen über

–        „die Verarbeitungszwecke“ (Buchst. a);

–        „die Kategorien personenbezogener Daten, die verarbeitet werden“ (Buchst. b);

–        „die geplante Dauer, für die die personenbezogenen Daten gespeichert werden“ (Buchst. d);

–        die unter den Buchst. e, f und g genannten Rechte der betroffenen Person(20);

–        das Bestehen einer automatisierten Entscheidungsfindung (Buchst. h).

49.      In all diesen Fällen beziehen sich die Informationen entweder auf bestimmte Rechte der betroffenen Person oder insbesondere auf Aspekte, die mit der durchgeführten Verarbeitung zusammenhängen, wie z. B. auf ihren Zweck (d. h. den Grund der Verarbeitung) und ihren Gegenstand (die Kategorien der verarbeiteten Daten).

50.      Der Begriff der Informationen über die Empfänger, gegenüber denen die personenbezogenen Daten der betroffenen Person offengelegt worden sind oder noch offengelegt werden (Art. 15 Abs. 1 Buchst. c DSGVO), wirft weitere Probleme auf, auf die ich im Folgenden eingehen werde.

51.      Art. 15 Abs. 1 DSGVO verleiht im Ergebnis ein Recht auf Information über den Verarbeitungsvorgang an sich sowie über die diesen Vorgang begleitenden Umstände. Hinzu kommt ein Anspruch auf Information hinsichtlich der Rechte, die der betroffenen Person in Bezug auf die verarbeiteten Daten zustehen, wie z. B. das Recht auf Beschwerde bei einer Aufsichtsbehörde.

52.      Bei dem bloßen Vorliegen einer Verarbeitung und den sie begleitenden Umständen handelt es sich nach meiner Auffassung nicht um „personenbezogene Daten“ im Sinne von Art. 4 Abs. 1 DSGVO.

53.      Zwar kann die Verarbeitung zu Entscheidungen führen, die die betroffene Person betreffen, wie das vorlegende Gericht hervorhebt(21). Eine solche Folge hängt jedoch nicht davon ab, welche natürliche Person bzw. welche natürlichen Personen konkret im Auftrag und unter der Verantwortung von Pankki die Daten abgefragt hat bzw. haben, und gerade die dahin gehende Information ist im Ausgangsverfahren streitig.

54.      Somit steht J. M. gegenüber Pankki in deren Eigenschaft als Verantwortliche ein Recht auf Auskunft über die in ihrem Besitz befindlichen personenbezogenen Daten zu, die sie bei J. M. selbst (Art. 13 DSGVO) oder auf sonstige Weise (Art. 14 DSGVO) erhoben hat. Weiterhin hat J. M. ein Recht – gemäß Art. 15 DSGVO – auf Informationen über die Durchführung und die Umstände jeder Verarbeitung dieser Daten, aber nicht, weil diese Informationen an sich „personenbezogene Daten“ darstellten, sondern aufgrund der ausdrücklichen Vorgabe in Art. 15 DSGVO(22).

55.      Wie ich im Folgenden noch ausführlicher darlegen werde, ist in der vorliegenden Rechtssache von Bedeutung, dass es sich bei der Identität der Beschäftigten, die die Daten von J. M. abgefragt haben, nicht um „personenbezogene Daten“ von J. M. handelt.

56.      Demgegenüber enthalten die Protokolle oder Verzeichnisse, auf die ich im Weiteren noch eingehen werde, unmittelbar oder mittelbar personenbezogene Daten der betroffenen Person, die von den Angaben dessen, welche Beschäftigten zu ihnen Zugang hatten, zu unterscheiden sind. Ob dies der Fall ist oder nicht, hängt weitgehend vom Inhalt der entsprechenden Protokolle oder Verzeichnisse ab. Ich möchte jedoch erneut hervorheben, dass es sich, insofern sich der Ausgangsrechtsstreit auf die Kenntnisnahme der Identität der bei Pankki Beschäftigten beschränkt, dabei nicht um personenbezogene Daten von J. M. handelt, sondern um die personenbezogenen Daten dieser Beschäftigten.

2.      Zugang zu Informationen über die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt wurden

57.      Das vorlegende Gericht möchte wissen, ob J. M. gegenüber Pankki, selbst wenn es sich nicht um seine personenbezogenen Daten handelt, im Licht von Art. 15 Abs. 1 Buchst. a und c DSGVO berechtigt ist, Auskunft über die bei Pankki Beschäftigten, die seine personenbezogenen Daten verarbeitet haben, zu erlangen.

58.      Nach Buchst. a hat die betroffene Person das Recht, vom Verantwortlichen Informationen über die Verarbeitungszwecke zu erhalten. Die Bestimmung in Buchst. a (die in der vorliegenden Rechtssache eingehalten wurde, da Pankki J. M. über den Verarbeitungszweck informiert hat) bietet indessen keine Kriterien dafür, wer die Empfänger der personenbezogenen Daten von J. M. waren.

59.      Die Frage ergibt jedoch durchaus Sinn, wenn es um die Auslegung von Buchst. c des Art. 15 Abs. 1 DSGVO geht. Ich erinnere daran, dass die betroffene Person nach dieser Bestimmung das Recht hat, Auskunft über die „Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden …“, zu erhalten.

60.      Nach Art. 4 Nr. 9 DSGVO wird als „Empfänger“ wiederum „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle [bezeichnet], der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht“.

61.      Der letzte Halbsatz („unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht“) könnte, worauf in der mündlichen Verhandlung hingewiesen wurde, zu Missverständnissen in Bezug auf den subjektiven Anwendungsbereich der Bestimmung führen. Eine oberflächliche und meiner Ansicht nach falsche Lesart könnte zu dem Schluss führen, dass „Empfänger“ nicht nur jeder Dritte ist, gegenüber dem Pankki die personenbezogenen Daten von J. M. offengelegt hat, sondern auch jeder der Beschäftigten, die die Daten im Namen und auf Weisung der juristischen Person Pankki konkret abgefragt haben.

62.      Nach Art. 4 Nr. 10 DSGVO bezeichnet der Ausdruck „Dritter“ eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten“(23).

63.      Ich vertrete daher den Standpunkt, dass der Begriff des Empfängers nicht die bei einer juristischen Person Beschäftigten einschließt, die unter Nutzung des Datenverarbeitungssystems der juristischen Person und im Auftrag ihrer leitenden Organe die personenbezogenen Daten eines Kunden abfragen. Werden solche Beschäftigte unter der unmittelbaren Verantwortung des Verantwortlichen tätig, so werden sie schon aufgrund dessen nicht zum „Empfänger“ der Daten(24).

64.      Es kann allerdings vorkommen, dass sich ein Beschäftigter nicht an die vom Verantwortlichen festgelegten Verfahren hält und auf eigene Initiative unrechtmäßig die Daten von Kunden oder anderen Beschäftigten abfragt. In einem solchen Fall handelt der unredlich handelnde Beschäftigte jedoch nicht im Auftrag und im Namen des Verantwortlichen.

65.      Insoweit könnte der unredlich handelnde Beschäftigte als „Empfänger“ angesehen werden, da er die personenbezogenen Daten der betroffenen Person unrechtmäßig gegenüber sich selbst (im übertragenen Sinne) „offengelegt“ hat(25), oder als (eigenständig) Verantwortlicher(26).

66.      Aus dem in der Vorlageentscheidung dargestellten Sachverhalt sowie aus dem Vorbringen von Pankki in der mündlichen Verhandlung geht hervor, dass das Finanzinstitut die bei ihm Beschäftigten unter seiner Verantwortung anwies, die personenbezogenen Daten von J. M. abzufragen. Die Beschäftigten befolgten sodann die Anweisung des Verantwortlichen und handelten in seinem Auftrag. Sie können daher nicht als Empfänger im Sinne von Art. 15 Abs. 1 Buchst. c DSGVO angesehen werden(27).

67.      Hiervon zu unterscheiden ist, dass gegenüber den Aufsichtsbehörden die Beschäftigten namhaft zu machen sind und der Zeitpunkt anzugeben ist, zu dem einer von ihnen auf die personenbezogenen Daten des Kunden zugegriffen hat (d. h. auf den Inhalt dieser Angaben in den Verzeichnissen oder Dateisystemen, auf die ich nachstehend eingehen werde), damit diese Behörden die Rechtmäßigkeit der Handlungen überprüfen können.

68.      Dies bestätigt Art. 29 DSGVO, der sich auf „jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat“, bezieht. Diese Personen dürfen die Daten nur auf Anweisung ihres Arbeitgebers verarbeiten, der der eigentliche Verantwortliche (oder Auftragsverarbeiter) ist.

69.      Ziel von Art. 15 Abs. 1 DSGVO ist es, dass die betroffene Person die ihr in Bezug auf ihre personenbezogenen Daten zustehenden Rechte wirksam ausüben (verteidigen) kann. Aus diesem Grund ist ihr Auskunft zu erteilen über den Verantwortlichen und gegebenenfalls über die Empfänger, gegenüber denen die Daten offengelegt worden sind. Mit diesen Informationen kann sich die betroffene Person außer an den Verantwortlichen an die Empfänger wenden, die von ihren Daten Kenntnis erlangt haben.

70.      Natürlich kann die betroffene Person Zweifel an der Rechtmäßigkeit der Beteiligung bestimmter Personen an der Verarbeitung ihrer Daten im Auftrag und auf Weisung des Verantwortlichen oder des Auftragsverarbeiters hegen.

71.      In einem solchen Fall kann sich die betroffene Person, wie die tschechische Regierung betont und wie die Kommission in der mündlichen Verhandlung hervorgehoben hat, an den Datenschutzbeauftragten wenden (Art. 38 Abs. 4 DSGVO) oder bei der Aufsichtsbehörde eine Beschwerde einreichen (Art. 15 Abs. 1 Buchst. f und Art. 77 DSGVO). Sie ist jedoch nicht berechtigt, unmittelbar Auskunft über die personenbezogenen Daten (die Identität) eines Beschäftigten zu erhalten, der dem Verantwortlichen oder Auftragsverarbeiter unterstellt ist und grundsätzlich in Übereinstimmung mit dessen Anweisungen handelt.

72.      In der mündlichen Verhandlung wurde erörtert, ob, unter dem Gesichtspunkt der Verteidigung der Rechte derjenigen Person betrachtet, deren Daten verarbeitet wurden, die Möglichkeit, sich an den Datenschutzbeauftragten oder die Aufsichtsbehörde zu wenden, eine ausreichende Garantie darstellt.

73.      In dieser Debatte kann ein maximalistischer Ansatz vertreten werden, wonach eine jede betroffene Person das Recht habe, die Identität der Beschäftigten des Verantwortlichen zu erfahren, die Zugang auf ihre Daten gehabt hätten, selbst wenn dies im Auftrag und auf Anweisung des für die Verarbeitung Verantwortlichen geschehen sei.

74.      Meines Erachtens ergeben sich aus der DSGVO keine Argumente, die eine solche These stützen, unbeschadet dessen, dass die Mitgliedstaaten den Ansatz für einen oder mehrere spezifische Bereiche in ihre nationalen Rechtsvorschriften übernehmen können(28).

75.      Nach meiner Auffassung wäre es nicht ratsam, wenn der Gerichtshof quasilegislative Aufgaben wahrnähme und die DSGVO änderte, um eine neue Auskunftspflicht einzuführen, die die in Art. 15 Abs. 1 festgelegte Pflicht überlagert. Dies wäre der Fall, wenn der Verantwortliche verpflichtet würde, der betroffenen Person nicht nur die Identität des Empfängers, gegenüber dem die Daten offengelegt wurden, sondern die Identität unterschiedslos jedes Beschäftigten oder jeder Person aus dem inneren Kreis des Unternehmens mitzuteilen, die rechtmäßig Zugang zu den Daten hatte(29).

76.      Wie Pankki in der mündlichen Verhandlung betont hat, stellt die Identität der einzelnen Beschäftigten, die an der Verarbeitung der Daten eines Kunden beteiligt waren, zumindest in bestimmten Wirtschaftssektoren aus Sicherheitsgründen eine besonders sensible Information dar.

77.      Diese Beschäftigten könnten der versuchten Ausübung von Druck oder der versuchten Beeinflussung durch Personen ausgesetzt sein, die als Kunden der Bank ein Interesse an der Personalisierung ihres Gesprächspartners haben können, bei dem es sich dann weniger um das Finanzinstitut selbst, sondern um einen oder mehrere seiner Angestellten als schwächstes Glied in der Unternehmenskette handeln würde. Diese Gefahr besteht u. a. in solchen Fällen, in denen die Überwachung von Transaktionen mit Hilfe der Abfrage von Kundendaten zwecks Erfüllung der Pflichten erfolgt, denen die Banken im Bereich der Verhütung und Bekämpfung von Finanzstraftaten unterliegen.

78.      Der Kunde kann sicherlich an der Redlichkeit oder Unparteilichkeit der natürlichen Person Zweifel hegen, die im Auftrag des Verantwortlichen an der Verarbeitung seiner Daten beteiligt war. Ein solcher Zweifel könnte, sofern er angemessen ist, ein berechtigtes Interesse des Kunden begründen, zu erfahren, wer dieser Beschäftigte ist, um sein Recht auszuüben, gegen ihn vorgehen zu können.

79.      In Anbetracht der Sensibilität der Informationen stehen jedoch dem Interesse an der Kenntnis der Identität der Beschäftigten das ebenso unbestreitbare Interesse der die Verarbeitung Leitenden, dass die Identität der bei ihnen Beschäftigten nicht offengelegt wird, sowie das Recht der Beschäftigten auf Schutz ihrer eigenen personenbezogenen Daten gegenüber. Ein Ausgleich wird meiner Ansicht nach durch die Vermittlung der Aufsichtsbehörde erzielt, die den Konflikt zwischen diesen entgegengesetzten Interessen zu schlichten hat.

80.      In einem Fall wie dem vorliegenden ist es daher Sache der Aufsichtsbehörde, als unparteiliche Einrichtung zu beurteilen, ob die Zweifel an den Handlungen der im Dienste des Bankinstituts Beschäftigten so begründet und schlüssig sind, dass sie die Offenlegung ihrer Identität rechtfertigen.

3.      Zugang zu Informationen über die Identität der Beschäftigten, die in den Dateisystemen oder Verzeichnissen der Verarbeitungstätigkeiten aufgeführt werden

81.      Die Beantwortung der ersten und der zweiten Vorlagefrage könnte an dieser Stelle beendet werden, nachdem geklärt wurde, dass die bei dem Finanzinstitut Beschäftigten, die in seinem Auftrag und auf seine Weisungen handeln, keine Empfänger gemäß Art. 15 Abs. 1 Buchst. c DSGVO im eigentlichen Sinne sind.

82.      Es ist indessen angebracht, im Rahmen der Beantwortung dieser Fragen darüber hinaus zu prüfen, ob die betroffene Person ein Recht darauf hat, zu erfahren, wer diese Beschäftigten sind, wenn sie in Dateisystemen oder Verzeichnissen von Verarbeitungstätigkeiten des Finanzinstituts aufgeführt werden. Zwar haben, wie ich bereits dargestellt habe, nicht alle Dateisysteme oder Verzeichnisse zwangsläufig den gleichen Inhalt, jedoch ist allgemein bekannt, dass sie widerspiegeln, wer (von den bei dem Verantwortlichen Beschäftigten), wie und wann die Kundendaten abgefragt hat.

83.      Mit dieser Art von Verzeichnissen kann der Verantwortliche seiner Verpflichtung nachkommen, die in Art. 5 Abs. 1 DSGVO verankerten Grundsätze einzuhalten und geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt (Art. 24 Abs. 1 und Art. 25 Abs. 2 DSGVO).

84.      Im spezifischen Bereich der Richtlinie (EU) 2016/680(30), die  von der Kommission als Beispiel(31) für eine besondere Datenschutzregelung für Straftaten herangezogen wird, gilt Folgendes:

–        Nach Art. 24 hat jeder Verantwortliche ein Verzeichnis aller Kategorien von Tätigkeiten der Verarbeitung, die seiner Zuständigkeit unterliegen (Abs. 1), und jeder Auftragsverarbeiter ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung (Abs. 2) zu führen.

–        Art. 25 legt fest, dass „… in automatisierten Verarbeitungssystemen zumindest die folgenden Verarbeitungsvorgänge protokolliert werden: Erhebung, Veränderung, Abfrage, Offenlegung einschließlich Übermittlung, Kombination und Löschung. Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identifizierung der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers solcher personenbezogenen Daten festzustellen(32).“

85.      Nach Art. 14 der Richtlinie 2016/680 zählen jedoch Informationen, die sich speziell auf die Identität des Beschäftigten beziehen, der die personenbezogenen Daten verarbeitet hat, nicht zu den Informationen, für die die betroffene Person ein Auskunftsrecht besitzt.

86.      In dem gleichen Sinne ist nach Art. 30 DSGVO ein „Verzeichnis von Verarbeitungstätigkeiten“ zu führen, dessen Inhalt mit dem des Protokolls nach Art. 25 der Richtlinie 2016/680(33) übereinstimmt, wobei die Vorgänge in geringerem Maße konkretisiert werden. Ebenso wie in der Richtlinie 2016/680 gehören auch hier die aufgezeichneten Informationen über die Identität des Beschäftigten nicht zu den Informationen, für die die betroffene Person nach Art. 15 DSGVO ein Auskunftsrecht besitzt.

87.      Der Grund dafür, dass zwischen den aufgezeichneten Informationen einerseits und dem Recht auf Auskunft über diese Informationen andererseits eine Diskrepanz besteht, liegt in den unterschiedlichen Zwecken, die mit den Vorschriften, die jeweils die Verzeichnisse der Verarbeitungstätigkeiten bzw. das Recht auf Auskunft über ihren Inhalt regeln, verfolgt werden.

88.      Zweck der in Art. 30 DSGVO geregelten Verzeichnisse sind, wie ich noch einmal hervorheben möchte, die Sicherstellung der Rechtmäßigkeit der Verarbeitung sowie die Integrität und Sicherheit der Daten. Die Verantwortung dafür liegt allgemein bei der Aufsichtsbehörde, der der Verantwortliche und der Auftragsverarbeiter die Verarbeitungstätigkeiten betreffenden Verzeichnisse zur Verfügung stellen müssen (Art. 30 Abs. 4 DSGVO).

89.      In der DSGVO sollen über das Beschwerderecht bei der Aufsichtsbehörde (Art. 15 Abs. 1 Buchst. f), die für die Überwachung der ordnungsgemäßen Anwendung der DSGVO zuständig ist, die Rechte natürlicher Personen bei der Verarbeitung ihrer Daten geschützt werden. Dies bestätigt Art. 51 Abs. 1 DSGVO und ergibt sich aus der Liste der Aufgaben, die den Aufsichtsbehörden in Art. 57 DSGVO zugewiesen werden.

90.      In der allgemeinen Aufgabe der Überwachung der Anwendung der DSGVO und des Schutzes der Rechte natürlicher Personen finden die Befugnisse der Aufsichtsbehörde ihre Rechtfertigung. Dazu gehört auch die Befugnis zur Aufklärung der Faktoren, unter denen die Datenverarbeitung durch einen Auftragsverarbeiter oder einen Verantwortlichen erfolgt ist. Gegenstand des Ausgangsverfahrens ist gerade einer dieser Faktoren, nämlich die Identität der Personen, die im Namen des Verantwortlichen oder Auftragsverarbeiters personenbezogene Daten der Kunden abgefragt haben.

91.      In der DSGVO steht allerdings an keiner Stelle, dass der Kunde ein Recht auf Auskunft über Informationen hinsichtlich der Identität der Beschäftigten hätte, die aus den internen Verzeichnissen der Unternehmen hervorgehen und anhand deren die Unternehmen wissen (und gegebenenfalls die Aufsichtsbehörde darüber informieren) können, wer personenbezogene Daten eines Kunden abgefragt hat und wann dies geschehen ist.

92.      Vielmehr sind der von einer bestimmten Verarbeitung betroffenen Person die für die Kenntnis der relevanten Gegebenheiten erforderlichen Informationen zur Verfügung zu stellen, damit sie die Rechtmäßigkeit der Verarbeitung beurteilen und diese gegebenenfalls bei der Aufsichtsbehörde oder letztlich vor Gericht in Frage stellen kann.

93.      Dies gilt unbeschadet dessen, dass die betroffene Person, sofern die Verarbeitungstätigkeiten betreffenden Verzeichnisse tatsächlich personenbezogene Daten dieser Person (d. h. nicht nur die bloße Identität der Beschäftigten) enthalten, natürlich berechtigt ist, vom Verantwortlichen eine Bestätigung darüber zu erhalten, dass ihre personenbezogenen Daten verarbeitet wurden. Hierbei ist es unerheblich, ob die Daten in einem Verarbeitungstätigkeiten betreffenden Verzeichnis oder in einem sonstigen Dateisystem oder einer internen Datenbank des Finanzinstituts gespeichert sind.

C.      Dritte Vorlagefrage

94.      Das vorlegende Gericht möchte wissen, ob es „für das Verfahren von Bedeutung [ist], dass es sich um eine Bank handelt, die eine reglementierte Tätigkeit ausübt, oder dass J. M. gleichzeitig sowohl für die Bank gearbeitet hat als auch deren Kunde war“.

95.      Ich vertrete den Standpunkt, dass sich an den vorstehenden Erwägungen auch dann nichts ändert, wenn der Verantwortliche eine reglementierte Tätigkeit ausübt. Dass es sich bei dem Verantwortlichen um eine Bank handelt, die den für diese Art von Unternehmen geltenden spezifischen Vorschriften unterliegt(34), kann jedoch Folgen für die Rechtmäßigkeit (die Rechtsgrundlage) der Verarbeitung haben, wenn sich diese aus der Erfüllung der für die Bank geltenden rechtlichen Verpflichtungen ergibt(35).

96.      Grundsätzlich ist es auch nicht von Bedeutung, dass die Person, deren Daten abgefragt wurden, Angestellter und gleichzeitig Kunde der Bank war. In Art. 15 Abs. 1 DSGVO wird nicht danach unterschieden, welcher beruflichen Tätigkeit die betroffene Person, während sie Kunde des Finanzinstituts ist, nachgeht(36).

97.      Wie die Kommission hervorhebt, gibt Art. 23 DSGVO den Mitgliedstaaten zwar die Möglichkeit, den Umfang der u. a. in Art. 15 festgelegten Rechte und Pflichten durch sektorspezifische Vorschriften für eine spezifische Kategorie von betroffenen Personen zu beschränken. Das vorlegende Gericht erwähnt jedoch keine solchen nationalen Beschränkungen.

V.      Ergebnis

98.      Nach alledem schlage ich dem Gerichtshof vor, dem Itä-Suomen hallinto-oikeus (Verwaltungsgericht Ostfinnland, Finnland) wie folgt zu antworten:

Art. 15 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist in Verbindung mit Art. 4 Nr. 1 dieser Verordnung

dahin auszulegen, dass

er zur Anwendung kommt, wenn das an den Verantwortlichen gerichtete Auskunftsersuchen der betroffenen Person nach dem 25. Mai 2018 gestellt wurde.

Art. 15 Abs. 1 verleiht der betroffenen Person kein Recht darauf, über die Informationen, die dem Verantwortlichen (gegebenenfalls anhand von Verzeichnissen oder Dateisystemen der Vorgänge) zur Verfügung stehen, Kenntnis von der Identität von Beschäftigten zu nehmen, die unter der Aufsicht und auf Weisungen des Verantwortlichen seine personenbezogenen Daten abgefragt haben.

1      Originalsprache: Spanisch.

2      Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2016, L 314, S. 72, ABl. 2018, L 127, S. 2, und ABl. 2021, L 74, S. 35, im Folgenden: DSGVO).

3      Datenschutzgesetz. Seinem § 1 zufolge konkretisiert und ergänzt dieses Gesetz die DSGVO.

4      Gesetz zum Schutz der Privatsphäre im Arbeitsleben.

5      Pankki habe das mögliche Bestehen eines Interessenkonflikts zwischen J. M. und einem Kunden der Bank, für dessen Konto J. M. der verantwortliche Kundenbetreuer gewesen sei, klären wollen. Dabei habe sich letztlich ergeben, dass J. M. kein Fehlverhalten vorzuwerfen sei.

6      Art. 99 Abs. 2 DSGVO.

7      Vgl. in diesem Sinne die Schlussanträge von Generalanwalt Pitruzzella in der Rechtssache Österreichische Post (Informationen über die Empfänger personenbezogener Daten) (C‑154/21, EU:C:2022:452, Nr. 33): „…das Auskunftsrecht im Sinne von Art. 15 Abs. 1 Buchst. c DSGVO [spielt] bei der Ausübung der anderen in der DSGVO vorgesehenen Befugnisse der betroffenen Person eine funktionale und instrumentale Rolle“.

8      Oder, wie im vorliegenden Fall, ab dem Zeitpunkt, zu dem die Vorschrift anwendbar wird, sofern dieser nicht dem Zeitpunkt des Inkrafttretens entspricht.

9      Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).

10      Die Rechtsprechung des Gerichtshofs zur zeitlichen Geltung von Änderungen der Rechtslage wird im Urteil vom 15. Juni 2021, Facebook Ireland u. a. (C‑645/19, EU:C:2021:483), zusammengefasst.

11      In Bezug auf die Richtlinie 95/46 hat der Gerichtshof im Urteil vom 7. Mai 2009, Rijkeboer (C‑553/07, EU:C.2009:293, Rn. 70), entschieden, dass „[n]ach Art. 12 Buchst. a der Richtlinie … die Mitgliedstaaten verpflichtet [sind], ein Recht auf Auskunft über die … Information vorzusehen, das nicht nur für die Gegenwart, sondern auch für die Vergangenheit gilt. Es ist Sache der Mitgliedstaaten, eine Frist für die Aufbewahrung dieser Information sowie einen darauf abgestimmten Zugang zu ihr festzulegen, die einen gerechten Ausgleich bilden zwischen dem Interesse der betroffenen Person am Schutz ihres Privatlebens, insbesondere mit Hilfe der in der Richtlinie vorgesehenen Rechte und Rechtsbehelfe, auf der einen Seite und der Belastung, die die Pflicht zur Aufbewahrung der betreffenden Information für den für die Verarbeitung Verantwortlichen darstellt, auf der anderen Seite.“ Hervorhebung nur hier.

12      Unbeschadet dessen, dass die Klärung dieses Punktes Sache des vorlegenden Gerichts ist, wurden in der mündlichen Verhandlung als Rechtsgrundlage für die Datenverarbeitung einerseits die Pflichten angeführt, die sich aus den finnischen Rechtsvorschriften ergeben, wonach Pankki als Finanzinstitut zur Sicherstellung eines ordnungsgemäßen Risikomanagements und zur Einhaltung der Vorschriften über die Verhinderung und Bekämpfung von Geldwäsche hinsichtlich der Rückverfolgbarkeit von Transaktionen verpflichtet ist, und andererseits die Verträge der Bank mit ihren Kunden und Angestellten genannt, wonach in einem Fall wie dem vorliegenden die Abfrage ihrer Daten zulässig ist.

13      Vgl. Nr. 21 der vorliegenden Schlussanträge.

14      Nach dieser Bestimmung sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen“, d. h., „die direkt oder indirekt … identifiziert werden kann“.

15      Seine Identität wurde nicht infolge oder aufgrund der Verarbeitung festgestellt, vielmehr erfolgte die Verarbeitung gerade nach der Identifizierung von J. M.

16      Wie die Kommission hervorhebt, ist es durchaus möglich, dass J. M. die bereitgestellten Informationen für unzureichend oder ungenau erachtet. Auf jeden Fall hat J. M. nach Art. 15 Abs. 1 DSGVO ein Recht auf Auskunft darüber, ob seine Daten verarbeitet wurden oder werden (was die Angabe des Zeitpunkts beinhaltet) und zu welchen Zwecken die Verarbeitung erfolgt. Es ist Sache des vorlegenden Gerichts, festzustellen, ob beide Informationen ihm in ausreichender Weise zur Verfügung gestellt wurden.

17      Vgl. den Wortlaut in Nr. 9 der vorliegenden Schlussanträge.

18      Der Gerichtshof hat in Bezug auf die Richtlinie 95/46 und in Ausführungen, die auf die DSGVO übertragen werden können, festgestellt, dass die für diesen Bereich im Unionsrecht vorgesehenen Schutzprinzipien „zum einen ihren Niederschlag in den Pflichten finden, die den für die Verarbeitung Verantwortlichen obliegen; diese Pflichten betreffen insbesondere die Datenqualität, die technische Sicherheit, die Meldung bei der Kontrollstelle und die Voraussetzungen, unter denen eine Verarbeitung vorgenommen werden kann. Zum anderen kommen sie zum Ausdruck in den Rechten der Personen, deren Daten Gegenstand von Verarbeitungen sind, über diese informiert zu werden, Zugang zu den Daten zu erhalten, ihre Berichtigung verlangen bzw. unter gewissen Voraussetzungen Widerspruch gegen die Verarbeitung einlegen zu können“ (Urteil vom 20. Dezember 2017, Nowak, C‑434/16, EU:C:2017:994, Rn. 48).

19      Hervorhebung nur hier.

20      Das Recht auf Berichtigung oder Löschung der Daten oder auf Einschränkung der Verarbeitung oder ein Widerspruchsrecht gegen diese Verarbeitung; das Beschwerderecht bei einer Aufsichtsbehörde und das Recht auf Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden.

21      Rn. 38 der Vorlageentscheidung.

22      Die Art. 13, 14 und 15 DSGVO, die in Kapitel III („Rechte der betroffenen Person“) Abschnitt 2 („Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten“) enthalten sind, bilden ein System, das auf der Anerkennung des Rechts auf Kenntnis des Folgenden beruht: a) der personenbezogenen Daten, die sich im Besitz des Verantwortlichen befinden, ungeachtet der Art und Weise, wie sie erhoben wurden (Art. 13 und 14), und b) der Umstände der spezifischen Verarbeitung dieser Daten (Art. 15).

23      Hervorhebung nur hier.

24      Diese Auffassung vertritt auch der Europäische Datenschutzausschuss in seinen Leitlinien 07/2020 vom 2. September 2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Rn. 83 bis 90.

25      In diesem Fall käme Art. 34 Abs. 1 DSGVO ins Spiel.

26      Diesen Standpunkt teilt der Europäische Datenschutzausschuss in den oben genannten Leitlinien 07/2020, Rn. 88: „Ein Beschäftigter usw., der Zugang zu Daten erlangt, zu denen er keinen Zugang haben darf, und dies für andere Zwecke als denen des Arbeitgebers[,] … sollte … mit Blick auf die vom Arbeitgeber vorgenommene Verarbeitung als Dritter betrachtet werden. Soweit der Beschäftigte personenbezogene Daten für eigene Zwecke verarbeitet, die sich von denen seines Arbeitgebers unterscheiden, wird er als Verantwortlicher betrachtet und übernimmt alle sich daraus ergebenden Konsequenzen und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten.“

27      Zu dem gleichen Ergebnis führt die Auslegung der Bezugnahmen in den Art. 13 und 14 sowie im 61. Erwägungsgrund der DSGVO auf den Zeitpunkt, zu dem der betroffenen Person über die Verarbeitung personenbezogener Daten, die den Empfängern gegenüber offengelegt wurden, Auskunft zu erteilen ist. Aus diesen Bestimmungen lässt sich schließen, dass es sich bei einem Empfänger um eine externe Einrichtung oder Person handelt, die nicht im Lager des Verantwortlichen bzw. Auftragsverarbeiters steht.

28      Die finnische Regierung hat in der mündlichen Verhandlung erklärt, dass sie dies in Bezug auf Gesundheitsdaten getan habe.

29      Die Folgen einer solchen Verpflichtung sind für das Alltagsgeschäft der Unternehmen schwerlich vorhersehbar, insbesondere für solche Unternehmen, die (logischerweise mit Hilfe der bei ihnen Beschäftigten) Millionen von personenbezogenen Daten ihrer Kunden verarbeiten müssen.

30      Richtlinie des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89).

31      In der mündlichen Verhandlung wurde geklärt, dass der Hinweis auf die Richtlinie 2016/680 nicht bedeutet, dass sie auf den vorliegenden Fall, der keinen Bezug zum Strafrecht aufweist, anwendbar wäre.

32      Die gleiche Bestimmung findet sich in Art. 88 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. 2018, L 295, S. 39), mit dem Zusatz in Abs. 2, dass die Protokolle nach drei Jahren gelöscht werden müssen, sofern sie nicht für eine laufende Kontrolle benötigt werden.

33      Art. 25 Abs. 1 der Richtlinie 2016/680 bezieht sich ausdrücklich auf die „Person, die die personenbezogenen Daten abgefragt oder offengelegt hat“. Allgemein und ohne Bezugnahme auf jede einzelne Verarbeitungstätigkeit, sondern auf die „Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung“ verweist Art. 30 Abs. 2 Buchst. a DSGVO auf den „Namen und die Kontaktdaten des Auftragsverarbeiters“, d. h. gemäß Art. 4 Abs. 8 DSGVO auf die „Person, … die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

34      Eine solche spezifische Vorschrift kann z. B., wie im elften Erwägungsgrund der Richtlinie 2016/680 erläutert, bedeuten, dass „… Finanzinstitute zum Zwecke der Ermittlung, Aufdeckung oder Verfolgung von Straftaten bestimmte personenbezogene Daten [speichern], die sie verarbeiten, und … nur den zuständigen nationalen Behörden in bestimmten Fällen und in Einklang mit dem Recht der Mitgliedstaaten zur Verfügung [stellen]“.

35      Vgl. Fn. 12 der vorliegenden Schlussanträge.

36      Das vorlegende Gericht fragt nicht, ob etwa die Rechte von J. M. als Arbeitnehmer von Pankki verletzt wurden.