URTEIL DES GERICHTSHOFS (Erste Kammer)
22. Juni 2023(*)
„Vorlage zur Vorabentscheidung – Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 und Art. 15 – Reichweite des Rechts auf Auskunft hinsichtlich der in Art. 15 genannten Informationen – Informationen, die in den durch ein Datenaufzeichnungssystem generierten Protokolldateien (Logdateien) enthalten sind – Art. 4 – Begriff ‚personenbezogene Daten‘ – Begriff ‚Empfänger‘ – Zeitliche Geltung“
In der Rechtssache C-579/21https://curia.europa.eu/juris/document/document.jsf?text=&docid=274867&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=541532Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:
1. Art. 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Licht von Art. 99 Abs. 2 dieser Verordnung
ist dahin auszulegen, dass
er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde.
2. Art. 15 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden.
3. Art. 15 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird.
57 Insoweit ist zweitens darauf hinzuweisen, dass der Gerichtshof bereits entschieden hat, dass das in Art. 15 DSGVO vorgesehene Auskunftsrecht es der betroffenen Person ermöglichen muss, zu überprüfen, ob sie betreffende Daten richtig sind und ob sie in zulässiger Weise verarbeitet werden (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 34).
58 Des genannten Auskunftsrechts bedarf es insbesondere deswegen, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihre Rechte auf Berichtigung, auf Löschung („Recht auf Vergessenwerden“) und auf Einschränkung der Verarbeitung, die ihr nach den Art. 16 bis 18 DSGVO zukommen, sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten oder im Schadensfall ihr in den Art. 79 und 82 DSGVO vorgesehenes Recht auf Einlegung eines Rechtsbehelfs auszuüben (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 35 und die dort angeführte Rechtsprechung).
59 Folglich handelt es sich bei Art. 15 Abs. 1 DSGVO um eine derjenigen Bestimmungen, die die Transparenz der Art und Weise der Verarbeitung personenbezogener Daten gegenüber der betroffenen Person gewährleisten sollen (Urteil vom 12. Januar 2023, Österreichische Post [Informationen über die Empfänger personenbezogener Daten], C-154/21, EU:C:2023:3, Rn. 42): Ohne diese Transparenz wäre die betroffene Person nicht in der Lage, die Rechtmäßigkeit der Verarbeitung ihrer Daten zu beurteilen und die namentlich in den Art. 16 bis 18, 21, 79 und 82 dieser Verordnung vorgesehenen Befugnisse wahrzunehmen.
Die Pressemitteilung dazu hat einen klareren Wortlaut
Urteil des Gerichtshofs in der Rechtssache C-579/21 | Pankki Shttps://curia.europa.eu/jcms/upload/docs/application/pdf/2023-06/cp230107de.pdfJedermann hat ein Recht darauf, zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen seine personenbezogenen Daten abgefragt wurden
Wer auch immer personen-bezogene Daten anderer Personen verarbeitet, ist diesbezüglich zur Auskunft verpflichtet; es gilt also nicht nur für Behörden, nicht nur für Unternehmen jeder Art, (in der Rechtssache ging es um eine Bank), sondern für alle, die im Sinne der DSGVO "verantwortlich für die Verarbeitung personen-bezogener Daten" sind.
Es wird klargestellt, daß die Reichweite dieses "Rechts auf Auskunft über die Verarbeitung, bzw., Weiterverarbeitung der eigenen personen-bezogenen Daten" nicht begrenzt ist; siehe Pressemitteilung.
Urteil des Gerichtshofs in der Rechtssache C-579/21 | Pankki Shttps://curia.europa.eu/jcms/upload/docs/application/pdf/2023-06/cp230107de.pdf[...] Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt [...] sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt.
Zum SchlußantragRechtssache C-579/21https://curia.europa.eu/juris/document/document.jsf?text=&docid=268629&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=54153234. Die Rechtmäßigkeit der Verarbeitung von Daten, die vor dem Inkrafttreten der DSGVO erhoben wurden, ist zweifellos im Licht der zum damaligen Zeitpunkt in Kraft befindlichen materiellen Vorschriften, d. h. der Richtlinie 95/46/EG(9) und, soweit rückwirkend anwendbar, im Licht der DSGVO zu beurteilen(10).
36. Dass die streitigen Daten vor Inkrafttreten der DSGVO verarbeitet wurden, ist folglich unerheblich dafür, ob die betroffene Person gemäß Art. 15 Abs. 1 DSGVO Auskunft über die geforderten Informationen erhalten kann oder ob ihr diese Auskunft verweigert werden darf.
67. Hiervon zu unterscheiden ist, dass gegenüber den Aufsichtsbehörden die Beschäftigten namhaft zu machen sind und der Zeitpunkt anzugeben ist, zu dem einer von ihnen auf die personenbezogenen Daten des Kunden zugegriffen hat (d. h. auf den Inhalt dieser Angaben in den Verzeichnissen oder Dateisystemen, auf die ich nachstehend eingehen werde), damit diese Behörden die Rechtmäßigkeit der Handlungen überprüfen können.
68. Dies bestätigt Art. 29 DSGVO, der sich auf „jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat“, bezieht. Diese Personen dürfen die Daten nur auf Anweisung ihres Arbeitgebers verarbeiten, der der eigentliche Verantwortliche (oder Auftragsverarbeiter) ist.
69. Ziel von Art. 15 Abs. 1 DSGVO ist es, dass die betroffene Person die ihr in Bezug auf ihre personenbezogenen Daten zustehenden Rechte wirksam ausüben (verteidigen) kann. Aus diesem Grund ist ihr Auskunft zu erteilen über den Verantwortlichen und gegebenenfalls über die Empfänger, gegenüber denen die Daten offengelegt worden sind. Mit diesen Informationen kann sich die betroffene Person außer an den Verantwortlichen an die Empfänger wenden, die von ihren Daten Kenntnis erlangt haben.
Persönliche Meinung:In allen Belangen der Medien könnte die Verarbeitung personen-bezogener Daten durch einen "Verantwortlichen im Sinne der DSGVO" bereits dann unrechtmäßig im Sinne der DSGVO sein, wenn sich dieser "Verantwortliche im Sinne der DSGVO" über die Bestimmungen des Grundrechts der Europäischen Union hinweggesetzt hat; dieses Grundrecht der Europäischen Union gelangt bekanntermaßen bei Verarbeitung personen-bezogener Daten zur unmittelbaren Anwendung. Hierzu siehe
Datenschutzentscheidung - Recht auf Vergessen II
BVerfG -1 BvR 276/17 - Vorrang des Unionsrechts auch beim Unionsgrundrechthttps://gez-boykott.de/Forum/index.php?topic=32844.0Und zum Grundrecht der Europäischen Union wurde bekanntermaßen seitens des EuGH entschieden, daß
EuGH C-234/17 - Mit Unionsgrundrechten unvereinbare Maßnahmen sind unzulässighttps://gez-boykott.de/Forum/index.php?topic=35193.0Falls nun der "Verantwortliche im Sinne der DSGVO" ein Mitarbeiter/eine Mitarbeiterin des Staates ist, bspw., einer Behörde, ist Art 11 Charta zur Informations- und Meinungsfreiheit mit der darin enthaltenen klaren Aussage "ohne behördliche Eingriffe" durch diesen Mitarbeiter/diese Mitarbeiterin genauso unmittelbar bindend, wie die anderen Artikel der Charta.
Charta der Grundrechte der Europäischen Unionhttps://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:12016P/TXTArtikel 11
Freiheit der Meinungsäußerung und Informationsfreiheit
(1) Jede Person hat das Recht auf freie Meinungsäußerung. Dieses Recht schließt die Meinungsfreiheit und die Freiheit ein, Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben.
(2) Die Freiheit der Medien und ihre Pluralität werden geachtet.
Und hier ist dann wiederum zu berücksichtigen, daß Art 11 Charta nicht nur den Inhalt der Informationen schützt, sondern auch die Mittel zu ihrer Verbreitung.
EuGH C-401/19 - Mittel zum Vertrieb der Information durch Grundrecht geschützthttps://gez-boykott.de/Forum/index.php?topic=36779.0Hierbei zudem darüberhinaus nicht unbeachtlich
EuGH C-817/19 - DSGVO - Nur der EuGH darf Tragweite des Unionsrechts begrenzenhttps://gez-boykott.de/Forum/index.php?topic=36452.0
Bei Verarbeitung pers.-bez.-Daten ist das Unionsgrundrecht unmittelbar bindend; (BVerfG 1 BvR 276/17 & BVerfG 1 BvR 16/13)
Keine Unterstützung für
- Amtsträger, die sich über europäische wie nationale Grundrechte hinwegsetzen oder dieses in ihrem Verantwortungsbereich bei ihren Mitarbeitern, (m/w/d), dulden;
- Parteien, der Mitglieder sich als Amtsträger über Grundrechte hinwegsetzen und wo die Partei dieses duldet;
- Gegner des Landes Brandenburg wie auch gesamt Europas;
Autor