URTEIL DES GERICHTSHOFS (Erste Kammer)
22. Juni 2023(*)
„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 und Art. 15 – Reichweite des Rechts auf Auskunft hinsichtlich der in Art. 15 genannten Informationen – Informationen, die in den durch ein Datenaufzeichnungssystem generierten Protokolldateien (Logdateien) enthalten sind – Art. 4 – Begriff ‚personenbezogene Daten‘ – Begriff ‚Empfänger‘ – Zeitliche Geltung“
In der Rechtssache C‑579/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Itä-Suomen hallinto-oikeus (Verwaltungsgericht Ostfinnland, Finnland) mit Entscheidung vom 21. September 2021, beim Gerichtshof eingegangen am 22. September 2021, in dem Verfahren
J. M.,
Beteiligte:
Apulaistietosuojavaltuutettu,
Pankki S,
erlässt
DER GERICHTSHOF (Erste Kammer)
unter Mitwirkung des Kammerpräsidenten A. Arabadjiev sowie der Richter P. G. Xuereb, T. von Danwitz, A. Kumin und der Richterin I. Ziemele (Berichterstatterin),
Generalanwalt: M. Campos Sánchez-Bordona,
Kanzler: C. Strömholm, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 12. Oktober 2022,
unter Berücksichtigung der Erklärungen
– von J. M., der sich selbst vertritt,
– des Apulaistietosuojavaltuutettu, vertreten durch A. Talus, Tietosuojavaltuutettu,
– von Pankki S, vertreten durch T. Kalliokoski und J. Lång, Asianajajat, sowie E.‑L. Hokkonen, Oikeustieteen Maisteri,
– der finnischen Regierung, vertreten durch A. Laine und H. Leppo als Bevollmächtigte,
– der tschechischen Regierung, vertreten durch A. Edelmannová, M. Smolek und J. Vláčil als Bevollmächtigte,
– der österreichischen Regierung, vertreten durch A. Posch als Bevollmächtigten,
– der Europäischen Kommission, vertreten durch A. Bouchagiar, H. Kranenborg und I. Söderlund als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 15. Dezember 2022
folgendes
Urteil
1 Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 15 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2) im Folgenden: DSGVO).
2 Es ergeht im Rahmen eines von J. M. betriebenen Verfahrens, das darauf gerichtet ist, den Bescheid des Apulaistietosuojavaltuutettu (Stellvertretender Datenschutzbeauftragter, Finnland) aufzuheben, mit dem sein Antrag abgelehnt wurde, Pankki S, eine in Finnland ansässige Bank, anzuweisen, ihm bestimmte Informationen über Abfragen seiner personenbezogenen Daten zu erteilen.
Rechtlicher Rahmen
3 In den Erwägungsgründen 4, 10, 11, 26, 39, 58, 60, 63 und 74 der DSGVO heißt es:
„(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; ….
…
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. …
(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten ….
…
(26) … Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. …
…
(39) Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. …
…
(58) Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet. Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.
…
(60) Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. …
…
(63) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. … Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. … Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. …
…
(74) Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.“
4 Art. 1 („Gegenstand und Ziele“) Abs. 2 DSGVO bestimmt:
„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“
5 Art. 4 DSGVO sieht vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …
…
9. ,Empfänger‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. …;
…
21. ‚Aufsichtsbehörde‘ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
…“
6 In Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO heißt es:
„(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
…
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
7 In Art. 12 („Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person“) DSGVO heißt es:
„(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; … Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. …
…
(5) … Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche …
…
b) sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
…“
8 Art. 15 („Auskunftsrecht der betroffenen Person“) DSGVO bestimmt:
„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen.
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“
…
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. …
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“
9 In den Art. 16 und 17 DSGVO ist das Recht der betroffenen Person auf Berichtigung unrichtiger personenbezogener Daten (Recht auf Berichtigung) bzw. das unter bestimmten Umständen bestehende Recht auf Löschung dieser Daten (Recht auf Löschung oder „Recht auf Vergessenwerden“) verankert.
10 Art. 18 („Recht auf Einschränkung der Verarbeitung“) Abs. 1 DSGVO bestimmt:
„Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.“
11 Art. 21 („Widerspruchsrecht“) Abs. 1 DSGVO sieht vor:
„Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“
12 In Art. 24 Abs. 1 DSGVO heißt es:
„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. …“
13 Art. 29 („Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters“) DSGVO lautet:
„Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.“
14 Art. 30 („Verzeichnis von Verarbeitungstätigkeiten“) DSGVO sieht vor:
„(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. …
…
(4) Der Verantwortliche … sowie gegebenenfalls der Vertreter des Verantwortlichen stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
…“
15 In Art. 58 („Befugnisse“) Abs. 1 DSGVO bestimmt:
„Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
…“
16 Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) DSGVO stellt Folgendes klar:
„(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.“
17 In Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 heißt es:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
18 Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 DSGVO sieht vor:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
19 Gemäß ihrem Art. 99 Abs. 2 gilt die DSGVO ab dem 25. Mai 2018.
Ausgangsverfahren und Vorlagefragen
20 Im Jahr 2014 erlangte J. M., der damals ein Kunde von Pankki S und bei ihr beschäftigt war, Kenntnis davon, dass seine Kundendaten von Mitarbeitern der Bank im Zeitraum vom 1. November bis zum 31. Dezember 2013 mehrmals abgefragt worden waren.
21 Da J. M., dessen Beschäftigungsverhältnis bei Pankki S mittlerweile gekündigt worden war, Zweifel an der Rechtmäßigkeit dieser Abfragen hatte, forderte er Pankki S am 29. Mai 2018 auf, ihm die Identität der Personen, die seine Kundendaten abgefragt hatten, den genauen Zeitpunkt der Abfragen sowie die Zwecke der Verarbeitung dieser Daten offenzulegen.
22 In ihrer Antwort vom 30. August 2018 weigerte sich Pankki S als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, Auskünfte über die Identität der Arbeitnehmer zu erteilen, die die Abfragen vorgenommen hatten, und führte zur Begründung aus, dass es sich bei diesen Informationen um personenbezogene Daten dieser Arbeitnehmer handele.
23 Gleichwohl machte Pankki S in dieser Antwort nähere Angaben über die auf ihre Weisungen hin von ihrer internen Revision ausgeführten Abfragen. Dabei erläuterte sie, ein Kunde der Bank, dessen Kundenberater J. M. gewesen sei, sei Gläubiger einer Person, die ebenfalls den Nachnamen von J. M. trage, so dass sie habe klären wollen, ob der Kläger des Ausgangsverfahrens und der in Rede stehende Schuldner personenidentisch seien und ob möglicherweise ein ungehöriger Interessenkonflikt bestanden habe. Ergänzend erläuterte Pankki S, dass zur Klärung dieser Frage die Verarbeitung der Daten von J. M. erforderlich gewesen sei und jeder Mitarbeiter der Bank, der diese Daten verarbeitet habe, gegenüber der internen Revision eine Erklärung zu den Gründen dieser Datenverarbeitung abgegeben habe. Außerdem gab die Bank an, dass diese Abfragen es ermöglicht hätten, den Verdacht eines Interessenkonflikts in Bezug auf J. M. gänzlich auszuräumen.
24 J. M. wandte sich an die Aufsichtsbehörde im Sinne von Art. 4 Nr. 21 DSGVO, das Tietosuojavaltuutetun toimisto (Büro des Datenschutzbeauftragten, Finnland), und beantragte, Pankki S anzuweisen, ihm die angeforderten Informationen zu erteilen.
25 Mit Bescheid vom 4. August 2020 lehnte der Stellvertretende Datenschutzbeauftragte den Antrag von J. M. ab. Er erläuterte, dass ein solcher Antrag darauf abziele, ihm Zugang zu den Protokolldateien der Arbeitnehmer, die seine Daten verarbeitet hätten, zu ermöglichen; bei solchen Daten handele es sich nach seiner Entscheidungspraxis jedoch um personenbezogene Daten, die sich nicht auf die betroffene Person bezögen, sondern auf die Arbeitnehmer, die die Daten der fraglichen Person verarbeitet hätten.
26 J. M. erhob gegen diesen Bescheid Klage beim vorlegenden Gericht.
27 Das vorlegende Gericht weist darauf hin, dass in Art. 15 DSGVO das Recht der betroffenen Person vorgesehen sei, von dem Verantwortlichen Auskunft über die sie betreffenden verarbeiteten Daten und Informationen insbesondere über die Zwecke der Verarbeitung und über die Empfänger der Daten zu verlangen. Es fragt sich, ob die Mitteilung von anlässlich von Verarbeitungsvorgängen generierten Protokolldateien, die solche Informationen – namentlich die Identität der Arbeitnehmer des Verantwortlichen – enthielten, von Art. 15 DSGVO erfasst werde, da diese Dateien für die betroffene Person erforderlich sein könnten, um die Rechtmäßigkeit der ihre Daten betreffenden Verarbeitung zu beurteilen.
28 Unter diesen Umständen hat das Itä-Suomen hallinto-oikeus (Verwaltungsgericht Ostfinnland, Finnland) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist das der betroffenen Person gemäß Art. 15 Abs. 1 DSGVO zustehende Auskunftsrecht in Verbindung mit dem Begriff „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 dieser Verordnung so auszulegen, dass von dem Verantwortlichen erhobene Informationen, aus denen hervorgeht, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet hat, keine Informationen darstellen, zu denen die betroffene Person ein Zugangsrecht hat, insbesondere weil es sich um Daten handelt, die Arbeitnehmer des Verantwortlichen betreffen?
2. Falls die Antwort auf Frage 1 „ja“ lautet und die betroffene Person aufgrund von Art. 15 Abs. 1 DSGVO kein Recht auf Zugang zu den in dieser Frage genannten Informationen hat, weil sie keine „personenbezogenen Daten“ der betroffenen Person gemäß Art. 4 Nr. 1 dieser Verordnung darstellen, sind im vorliegenden Fall noch die Informationen in Betracht zu ziehen, zu denen die betroffene Person gemäß Art. 15 Abs. 1 Buchst. a bis h dieser Verordnung ein Zugangsrecht hat:
a) Wie ist der Verarbeitungszweck im Sinne von Art. 15 Abs. 1 Buchst. a DSGVO im Hinblick auf den Umfang des Auskunftsrechts der betroffenen Person auszulegen, d. h. kann der Verarbeitungszweck ein Recht auf Auskunft über die Benutzerprotokolldaten begründen, die der Verantwortliche erhoben hat, wie etwa Informationen zu personenbezogenen Daten der Verarbeitenden, den Zeitpunkt sowie den Zweck der Verarbeitung der personenbezogenen Daten?
b) Können die Personen, die die Kundendaten von J. M. verarbeitet haben, in diesem Zusammenhang unter bestimmten Kriterien als Empfänger der personenbezogenen Daten gemäß Art. 15 Abs. 1 Buchst. c DSGVO angesehen werden, über die die betroffene Person berechtigt wäre, Auskunft zu erhalten?
3. Ist es für das Verfahren von Bedeutung, dass es sich um eine Bank handelt, die eine reglementierte Tätigkeit ausübt, oder dass J. M. gleichzeitig sowohl für die Bank gearbeitet hat als auch deren Kunde war?
4. Ist es für die Bewertung der oben gestellten Fragen relevant, dass die Daten von J. M. vor Inkrafttreten der DSGVO verarbeitet wurden?
Zu den Vorlagefragen
Zur vierten Frage
29 Mit seiner vierten Frage, die vorab zu prüfen ist, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 15 DSGVO im Licht von Art. 99 Abs. 2 dieser Verordnung auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.
30 Zur Beantwortung dieser Frage ist darauf hinzuweisen, dass die DSGVO nach ihrem Art. 99 Abs. 2 ab dem 25. Mai 2018 gilt.
31 Im vorliegenden Fall geht aus der Vorlageentscheidung hervor, dass die im Ausgangsverfahren in Rede stehenden Verarbeitungsvorgänge personenbezogener Daten zwischen dem 1. November 2013 und dem 31. Dezember 2013, also vor dem Anwendungsdatum der DSGVO, ausgeführt wurden. Aus dieser Entscheidung ergibt sich jedoch auch, dass J. M. nach diesem Zeitpunkt, nämlich am 29. Mai 2018, Pankki S um Informationen ersucht hat.
32 Insoweit ist festzustellen, dass bei Verfahrensvorschriften im Allgemeinen davon auszugehen ist, dass sie ab dem Zeitpunkt ihres Inkrafttretens Anwendung finden, während materiell-rechtliche Vorschriften in der Regel so ausgelegt werden, dass sie auf vor ihrem Inkrafttreten entstandene und endgültig erworbene Rechtspositionen nur Anwendung finden, wenn aus ihrem Wortlaut, ihrer Zielsetzung oder ihrem Aufbau eindeutig hervorgeht, dass ihnen eine solche Wirkung beizumessen ist (Urteil vom 15. Juni 2021, Facebook Ireland u.a., C‑645/19, EU:C:2021:483, Rn. 100 und die dort angeführte Rechtsprechung).
33 Im vorliegenden Fall geht aus der Vorlageentscheidung hervor, dass sich das Begehren von J. M. auf die Bereitstellung der im Ausgangsverfahren in Rede stehenden Informationen auf Art. 15 Abs. 1 DSGVO bezieht, der das Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, und auf die in dieser Bestimmung genannten Informationen vorsieht.
34 Diese Bestimmung betrifft nicht die Voraussetzungen für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der betroffenen Person. Art. 15 Abs. 1 DSGVO beschränkt sich nämlich darauf, die Reichweite des Rechts dieser Person auf Auskunft hinsichtlich der in dieser Bestimmung genannten Daten und Informationen genau anzugeben.
35 Hieraus folgt, wie der Generalanwalt in Nr. 33 seiner Schlussanträge festgestellt hat, dass Art. 15 Abs. 1 DSGVO den betroffenen Personen ein verfahrensmäßiges Recht verleiht, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu verlangen. Als Verfahrensvorschrift findet diese Bestimmung auf Auskunftsersuchen Anwendung, die wie das Ersuchen von J. M. ab der Anwendung dieser Verordnung vorgebracht worden sind.
36 Unter diesen Umständen ist auf die vierte Frage zu antworten, dass Art. 15 DSGVO im Licht von Art. 99 Abs. 2 dieser Verordnung dahin auszulegen ist, dass er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.
Zur ersten und zur zweiten Frage
37 Mit seiner ersten und seiner zweiten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 15 Abs. 1 DSGVO dahin auszulegen ist, dass Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge sowie die Identität der natürlichen Personen beziehen, die sie ausgeführt haben, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf.
38 Vorab ist darauf hinzuweisen, dass nach ständiger Rechtsprechung bei der Auslegung einer Vorschrift des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in dem sie steht, sowie die Zwecke und Ziele, die mit dem Rechtsakt, zu dem sie gehört, verfolgt werden, zu berücksichtigen sind (Urteil vom 12. Januar 2023, Österreichische Post [Informationen über die Empfänger personenbezogener Daten], C‑154/21, EU:C:2023:3, Rn 29).
39 Was zunächst den Wortlaut von Art. 15 Abs. 1 DSGVO betrifft, so hat die betroffene Person nach dieser Bestimmung das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und u. a. auf Informationen zu den Verarbeitungszwecken und über die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden.
40 Hierbei ist hervorzuheben, dass die in Art. 15 Abs. 1 DSGVO verwendeten Begriffe in Art. 4 dieser Verordnung definiert werden.
41 So definiert Art. 4 Nr. 1 DSGVO als Erstes den Ausdruck „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, und stellt klar, dass „als identifizierbar … eine natürliche Person angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.
42 In der Verwendung der Formulierung „alle Informationen“ bei der Bestimmung des Begriffs „personenbezogene Daten“ in dieser Vorschrift kommt das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 23).
43 Insoweit ist entschieden worden, dass es sich um eine Information über eine identifizierte oder identifizierbare natürliche Person handelt, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 24).
44 Zur „Identifizierbarkeit“ einer Person heißt es im 26. Erwägungsgrund der DSGVO, dass „alle Mittel berücksichtigt werden [sollten], die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern“.
45 Daher erfasst die weite Definition des Begriffs „personenbezogene Daten“ nicht nur die von dem Verantwortlichen erhobenen und gespeicherten Daten, sondern auch alle Informationen über eine identifizierte oder identifizierbare Person, die aus einer Verarbeitung personenbezogener Daten resultieren (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 26).
46 Als Zweites ist zum Begriff „Verarbeitung“, wie er in Art. 4 Nr. 2 DSGVO definiert wird, festzustellen, dass der Unionsgesetzgeber mit der Formulierung „jede[r] Vorgang“ diesen Begriff weit fassen wollte und dabei auf eine nicht erschöpfende Aufzählung von Vorgängen im Zusammenhang mit personenbezogenen Daten oder Sätzen solcher Daten – wie etwa Erheben, Erfassen, Speicherung und Abfragen – Bezug nahm (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 27).
47 Als Drittes stellt Art. 4 Nr. 9 DSGVO klar, dass „Empfänger“ „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle [bezeichnet], der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht“.
48 Hierzu hat der Gerichtshof entschieden, dass die betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die konkreten Empfänger zu verlangen, gegenüber denen personenbezogene Daten, die die fragliche Person betreffen, offengelegt worden sind oder noch offengelegt werden (Urteil vom 12. Januar 2023, Österreichische Post [Informationen über die Empfänger personenbezogener Daten], C‑154/21, EU:C:2023:3, Rn. 46).
49 Somit ergibt sich aus einer Analyse des Wortlauts von Art. 15 Abs. 1 DSGVO und der darin enthaltenen Begriffe, dass das Auskunftsrecht, das diese Bestimmung der betroffenen Person gewährt, durch die große Bandbreite der Informationen gekennzeichnet ist, die der Verantwortliche dieser Person zur Verfügung zu stellen hat.
50 Was sodann den Zusammenhang betrifft, in den sich Art. 15 Abs. 1 DSGVO einfügt, so ist als Erstes darauf hinzuweisen, dass nach dem 63. Erwägungsgrund dieser Verordnung jede betroffene Person ein Anrecht darauf haben sollte, zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, sowie wer die Empfänger dieser personenbezogenen Daten sind.
51 Als Zweites ist darauf hinzuweisen, dass nach dem 60. Erwägungsgrund der DSGVO die Grundsätze einer fairen und transparenten Verarbeitung es erforderlich machen, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird, wobei der Verantwortliche alle weiteren Informationen zur Verfügung stellen sollte, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Im Übrigen muss gemäß dem vom vorlegenden Gericht erwähnten Grundsatz der Transparenz, auf den im 58. Erwägungsgrund der DSGVO Bezug genommen wird und der in Art. 12 Abs. 1 dieser Verordnung ausdrücklich verankert ist, eine für die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein.
52 Insoweit stellt Art. 12 Abs. 1 DSGVO klar, dass die Übermittlung der Informationen durch den Verantwortlichen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch, zu erfolgen hat, es sei denn, die betroffene Person verlangt, dass diese mündlich erteilt werden. Diese Bestimmung, die Ausdruck des Transparenzgrundsatzes ist, soll gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 38 und die dort angeführte Rechtsprechung).
53 Aus der vorstehenden kontextbezogenen Analyse ergibt sich, dass Art. 15 Abs. 1 DSGVO eine derjenigen Bestimmungen darstellt, die die Transparenz der Art und Weise der Verarbeitung personenbezogener Daten gegenüber der betroffenen Person gewährleisten sollen.
54 Schließlich wird diese Auslegung der Reichweite des in Art. 15 Abs. 1 DSGVO vorgesehenen Auskunftsrechts durch die mit dieser Verordnung verfolgten Ziele bestätigt.
55 Erstens soll diese Vorschrift nämlich, wie sich aus den Erwägungsgründen 10 und 11 ergibt, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union gewährleisten und die Rechte der betroffenen Personen stärken und präzise festlegen.
56 Außerdem wird dem 63. Erwägungsgrund der DSGVO zufolge mit dem Recht einer Person auf Auskunft über ihre eigenen personenbezogenen Daten und hinsichtlich der übrigen in Art. 15 Abs. 1 dieser Verordnung genannten Informationen zuvörderst das Ziel verfolgt, dass diese Person sich der Verarbeitung bewusst sein und deren Rechtmäßigkeit überprüfen kann. Nach diesem Erwägungsgrund – und wie in Rn. 50 des vorliegenden Urteils ausgeführt – folgt hieraus, dass jede betroffene Person ein Anrecht darauf haben sollte, zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger dieser Daten sind sowie nach welcher Logik deren Verarbeitung erfolgt.
57 Insoweit ist zweitens darauf hinzuweisen, dass der Gerichtshof bereits entschieden hat, dass das in Art. 15 DSGVO vorgesehene Auskunftsrecht es der betroffenen Person ermöglichen muss, zu überprüfen, ob sie betreffende Daten richtig sind und ob sie in zulässiger Weise verarbeitet werden (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 34).
58 Des genannten Auskunftsrechts bedarf es insbesondere deswegen, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihre Rechte auf Berichtigung, auf Löschung („Recht auf Vergessenwerden“) und auf Einschränkung der Verarbeitung, die ihr nach den Art. 16 bis 18 DSGVO zukommen, sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten oder im Schadensfall ihr in den Art. 79 und 82 DSGVO vorgesehenes Recht auf Einlegung eines Rechtsbehelfs auszuüben (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 35 und die dort angeführte Rechtsprechung).
59 Folglich handelt es sich bei Art. 15 Abs. 1 DSGVO um eine derjenigen Bestimmungen, die die Transparenz der Art und Weise der Verarbeitung personenbezogener Daten gegenüber der betroffenen Person gewährleisten sollen (Urteil vom 12. Januar 2023, Österreichische Post [Informationen über die Empfänger personenbezogener Daten], C‑154/21, EU:C:2023:3, Rn. 42): Ohne diese Transparenz wäre die betroffene Person nicht in der Lage, die Rechtmäßigkeit der Verarbeitung ihrer Daten zu beurteilen und die namentlich in den Art. 16 bis 18, 21, 79 und 82 dieser Verordnung vorgesehenen Befugnisse wahrzunehmen.
60 Im vorliegenden Fall geht aus der Vorlageentscheidung hervor, dass Pankki S von J. M. darum ersucht wurde, ihm Informationen über die Abfragen bereitzustellen, die seine personenbezogenen Daten zwischen dem 1. November 2013 und dem 31. Dezember 2013 betrafen, und zwar Informationen über den Zeitpunkt dieser Abfragen, deren Zwecke und die Identität der Personen, die diese Abfragen vorgenommen hatten. Das vorlegende Gericht weist darauf hin, dass durch die Übermittlung der bei diesen Vorgängen generierten Protokolldateien dem Ersuchen von J. M. entsprochen werden könnte.
61 Vorliegend stellen die die personenbezogenen Daten des Klägers im Ausgangsverfahren betreffenden Abfragen unstreitig eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO dar, so dass sie ihm nach Art. 15 Abs. 1 dieser Verordnung nicht nur ein Recht auf Auskunft über diese personenbezogenen Daten gewähren, sondern auch ein Recht auf Übermittlung der im Zusammenhang mit diesen Vorgängen stehenden Informationen, wie sie in Art. 15 Abs. 1 der Verordnung genannt werden.
62 Was Informationen wie die von J. M. angeforderten betrifft, so kann die betroffene Person durch die Offenlegung des Zeitpunkts der Abfragen zunächst die Bestätigung darüber erlangen, dass ihre personenbezogenen Daten zu einem bestimmten Zeitpunkt tatsächlich verarbeitet wurden. Außerdem stellt der Zeitpunkt der Verarbeitung einen Gesichtspunkt dar, um deren Rechtmäßigkeit zu überprüfen, da zum Zeitpunkt der Verarbeitung die in den Art. 5 und 6 DSGVO vorgesehenen Voraussetzungen für die Rechtmäßigkeit erfüllt sein müssen. Sodann ist darauf hinzuweisen, dass in Art. 15 Abs. 1 Buchst. a dieser Verordnung die Information über die Verarbeitungszwecke ausdrücklich genannt wird. Schließlich sieht Art. 15 Abs. 1 Buchst. c der Verordnung vor, dass der Verantwortliche die betroffene Person darüber unterrichtet, gegenüber welchen Empfängern ihre Daten offengelegt worden sind.
63 Was konkret die Bereitstellung all dieser Informationen durch die Zurverfügungstellung von Protokolldateien über die im Ausgangsverfahren in Rede stehenden Verarbeitungsvorgänge betrifft, so ist darauf hinzuweisen, dass nach Art. 15 Abs. 3 Satz 1 DSGVO der Verantwortliche „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, zur Verfügung stellt.
64 Insoweit hat der Gerichtshof bereits entschieden, dass der so verwendete Begriff „Kopie“ die originalgetreue Reproduktion oder Abschrift bezeichnet, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand einer Verarbeitung sind, oder ein Verweis auf Kategorien personenbezogener Daten dieser Definition nicht entspräche. Außerdem ergibt sich aus dem Wortlaut von Art. 15 Abs. 3 Satz 1 dieser Verordnung, dass sich die Mitteilungspflicht auf die personenbezogenen Daten bezieht, die Gegenstand der in Rede stehenden Verarbeitung sind (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 21).
65 Die Kopie, die der Verantwortliche zur Verfügung zu stellen hat, muss alle personenbezogenen Daten erhalten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen, die es der betroffenen Person ermöglichen, ihre Rechte gemäß der Verordnung wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 32 und 39).
66 Um zu gewährleisten, dass die so bereitgestellten Informationen leicht verständlich sind, wie es Art. 12 Abs. 1 in Verbindung mit dem 58. Erwägungsgrund der DSGVO verlangt, kann sich die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten. Insbesondere wenn personenbezogene Daten aus anderen Daten generiert werden oder wenn sie auf freien Feldern beruhen, d. h. einer fehlenden Angabe, aus der eine Information über die betroffene Person hervorgeht, ist der Kontext, in dem diese Daten Gegenstand der Verarbeitung sind, unerlässlich, damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 41 und 42).
67 Im vorliegenden Fall handelt es sich, wie der Generalanwalt in den Nrn. 88 bis 90 seiner Schlussanträge ausgeführt hat, bei den Protokolldateien, die die von J. M. angeforderten Informationen enthalten, um Verzeichnisse von Verarbeitungstätigkeiten im Sinne von Art. 30 DSGVO. Es ist davon auszugehen, dass sie unter die im 74. Erwägungsgrund dieser Verordnung genannten Maßnahmen fallen, die von dem Verantwortlichen getroffen werden, um nachweisen zu können, dass die Verarbeitungstätigkeiten im Einklang mit der Verordnung stehen. In Art. 30 Abs. 4 der Verordnung ist insbesondere festgelegt, dass solche Verzeichnisse der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen sind.
68 Soweit diese Verzeichnisse von Verarbeitungstätigkeiten keine Informationen über eine identifizierte oder identifizierbare natürliche Person im Sinne der in den Rn. 42 und 43 des vorliegenden Urteils angeführten Rechtsprechung enthalten, ermöglichen sie es lediglich dem Verantwortlichen, seinen Pflichten gegenüber der deren Bereitstellung anfordernden Aufsichtsbehörde nachzukommen.
69 Was konkret die Protokolldateien des Verantwortlichen betrifft, so kann sich die Bereitstellung einer Kopie der in diesen Dateien enthaltenen Informationen als erforderlich erweisen, um der Pflicht nachzukommen, der betroffenen Person alle in Art. 15 Abs. 1 DSGVO genannten Informationen zugänglich zu machen, und um eine faire und transparente Verarbeitung zu gewährleisten. So wird es der fraglichen Person ermöglicht, die ihr nach dieser Verordnung gewährten Rechte in vollem Umfang geltend zu machen.
70 Erstens lassen solche Dateien nämlich auf das Bestehen einer Datenverarbeitung schließen: Hierbei handelt es sich um eine Information, die der betroffenen Person nach Art. 15 Abs. 1 DSGVO zugänglich sein muss. Außerdem geben sie Auskunft über Häufigkeit und Intensität der Abfragen und ermöglichen es mithin der betroffenen Person, zu überprüfen, ob der ausgeführten Verarbeitung tatsächlich die von dem Verantwortlichen angegebenen Zwecke zugrunde liegen.
71 Zweitens enthalten diese Dateien Informationen über die Identität der Personen, die die Abfragen vorgenommen haben.
72 Im vorliegenden Fall geht aus der Vorlageentscheidung hervor, dass die Personen, die die im Ausgangsverfahren in Rede stehenden Abfragen vorgenommen haben, Arbeitnehmer von Pankki S sind und unter der Aufsicht von Pankki S und im Einklang mit deren Weisungen gehandelt haben.
73 Zwar ergibt sich aus Art. 15 Abs. 1 Buchst. c DSGVO, dass die betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die Empfänger oder über die Kategorien von Empfängern zu verlangen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, doch können Arbeitnehmer des Verantwortlichen, wie der Generalanwalt in Nr. 63 seiner Schlussanträge ausgeführt hat, nicht als „Empfänger“ im Sinne von Art. 15 Abs. 1 Buchst. c DSGVO, auf den in den Rn. 47 und 48 des vorliegenden Urteils hingewiesen worden ist, angesehen werden, wenn sie personenbezogene Daten unter der Aufsicht dieses Verantwortlichen und im Einklang mit seinen Weisungen verarbeiten.
74 In diesem Zusammenhang ist hervorzuheben, dass nach Art. 29 DSGVO jede dem Verantwortlichen unterstellte Person, die Zugang zu personenbezogenen Daten hat, diese Daten nur auf Weisung des Verantwortlichen verarbeiten darf.
75 Bei den in den Protokolldateien enthaltenen Informationen über die Personen, die die Abfragen der personenbezogenen Daten der betroffenen Person vorgenommen haben, könnte es sich allerdings um Informationen handeln, die wie diejenigen, auf die in Rn. 41 des vorliegenden Urteils hingewiesen wurde, unter Art. 4 Abs. 1 DSGVO fallen und diese Person in die Lage versetzen können, die Rechtmäßigkeit der Verarbeitung ihrer Daten zu überprüfen und sich insbesondere davon zu überzeugen, dass die Verarbeitungsvorgänge tatsächlich unter der Aufsicht des Verantwortlichen sowie im Einklang mit seinen Weisungen durchgeführt wurden.
76 Allerdings geht erstens aus der Vorlageentscheidung hervor, dass die Informationen, die in Protokolldateien wie den im Ausgangsverfahren in Rede stehenden enthalten sind, es ermöglichen, die Arbeitnehmer, die die Verarbeitungsvorgänge vorgenommen haben, zu identifizieren, und dass sie personenbezogene Daten dieser Arbeitnehmer im Sinne von Art. 4 Nr. 1 DSGVO enthalten.
77 Insoweit ist darauf hinzuweisen, dass es in Bezug auf das in Art. 15 DSGVO vorgesehene Auskunftsrecht im 63. Erwägungsgrund dieser Verordnung heißt, dass „[d]ieses Recht … die Rechte und Freiheiten anderer Personen … nicht beeinträchtigen [sollte]“.
78 Nach dem vierten Erwägungsgrund der DSGVO ist das Recht auf Schutz der personenbezogenen Daten nämlich kein uneingeschränktes Recht, da es im Hinblick auf seine gesellschaftliche Funktion gesehen werden und gegen andere Grundrechte abgewogen werden muss (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 172).
79 Unterstellt man, dass die Bereitstellung von Informationen über die Identität der Arbeitnehmer des Verantwortlichen für die von der Verarbeitung betroffene Person notwendig ist, damit sie sich von der Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten überzeugen kann, so kann eine solche Informationsbereitstellung nichtsdestoweniger die Rechte und Freiheiten dieser Beschäftigten beeinträchtigen.
80 Unter diesen Umständen sind, falls die Wahrnehmung eines Rechts auf Auskunft, das die praktische Wirksamkeit der der betroffenen Person durch die DSGVO eingeräumten Rechte sicherstellt, zum einen und die Rechte und Freiheiten anderer Personen zum anderen miteinander kollidieren, die in Rede stehenden Rechte und Freiheiten gegeneinander abzuwägen. Nach Möglichkeit sind Modalitäten zu wählen, die die Rechte und Freiheiten anderer Personen nicht verletzen, wobei zu berücksichtigen ist, dass diese Erwägungen nicht dazu „führen [dürfen], dass der betroffenen Person jegliche Auskunft verweigert wird“, wie sich aus dem 63. Erwägungsgrund der DSGVO ergibt (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 44).
81 Zweitens geht jedoch aus der Vorlageentscheidung hervor, dass J. M. die Bereitstellung von Informationen über die Identität der Arbeitnehmer von Pankki S, die die Abfragen seiner personenbezogenen Daten vorgenommen haben, nicht deshalb anfordert, weil sie tatsächlich nicht unter Aufsicht und im Einklang mit den Weisungen des Verantwortlichen gehandelt hätten, sondern dass er an der Richtigkeit der ihm von Pankki S erteilten Informationen über den Zweck dieser Abfragen zu zweifeln scheint.
82 Unter solchen Umständen hat die betroffene Person, wenn sie der Ansicht sein sollte, dass die von dem Verantwortlichen erteilten Informationen nicht ausreichen, um ihre Zweifel an der Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten auszuräumen, auf der Grundlage von Art. 77 Abs. 1 DSGVO das Recht, bei der Aufsichtsbehörde eine Beschwerde einzulegen, wobei diese Behörde nach Art. 58 Abs. 1 Buchst. a dieser Verordnung befugt ist, den Verantwortlichen anzuweisen, alle Informationen bereitzustellen, die sie für die Prüfung der Beschwerde der betroffenen Person benötigt.
83 Aus den vorstehenden Erwägungen ergibt sich, dass Art. 15 Abs. 1 DSGVO dahin auszulegen ist, dass Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.
Zur dritten Frage
84 Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob der Umstand, dass zum einen der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und zum anderen die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, für die Bestimmung der Reichweite des Auskunftsrechts, das ihr Art. 15 Abs. 1 DSGVO gewährt, relevant ist.
85 Zunächst ist darauf hinzuweisen, dass keine Bestimmung der DSGVO in Bezug auf den Anwendungsbereich des in Art. 15 Abs. 1 dieser Verordnung vorgesehenen Auskunftsrechts nach der Art der Tätigkeiten des Verantwortlichen oder nach der Eigenschaft der Person, deren personenbezogene Daten verarbeitet werden, unterscheidet.
86 Was zum einen die Reglementiertheit der Tätigkeit von Pankki S betrifft, so erlaubt es Art. 23 DSGVO den Mitgliedstaaten zwar, den Umfang der namentlich in Art. 15 dieser Verordnung vorgesehenen Pflichten und Rechte im Wege von Gesetzgebungsmaßnahmen zu beschränken.
87 Aus der Vorlageentscheidung geht indessen nicht hervor, dass die Tätigkeit von Pankki S Gegenstand einer solchen Gesetzgebung wäre.
88 Was zum anderen den Umstand betrifft, dass J. M. sowohl Kunde von Pankki S als auch bei ihr beschäftigt war, so ist darauf hinzuweisen, dass der Kontext, in dem er einen Zugang zu den in Art. 15 Abs. 1 DSGVO genannten Informationen begehrt, in Anbetracht nicht nur der Ziele der DSGVO, sondern auch der Reichweite des Auskunftsrechts der betroffenen Person, wie sie in den Rn. 49 und 55 bis 59 des vorliegenden Urteils dargelegt worden sind, keinen Einfluss auf die Reichweite dieses Rechts haben kann.
89 Folglich ist Art. 15 Abs. 1 DSGVO dahin auszulegen, dass der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.
Kosten
90 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:
1. Art. 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Licht von Art. 99 Abs. 2 dieser Verordnung
ist dahin auszulegen, dass
er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.
2. Art. 15 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.
3. Art. 15 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.
Unterschriften