Datenschutz und Bankgeheimnis: Wie weit reicht das DSGVO-Auskunftsrecht?

Der Auskunftsanspruch gege eine Bank über die Verarbeitung personenbezogener Daten nach Art. 15 DS-GVO verpflichtet Verantwortliche nicht zur Offenlegung interner Verarbeitungsmittel, Datenspeicher oder Cloud-Infrastrukturen, zur Auskunft über bereits gelöschte Daten und auch nicht zur namentlichen Benennung konkreter Drittempfänger - die Nennung von Empfängerkategorien genügt. Interne Vermerke und Gesprächsnotizen fallen nicht in den Schutzbereich des Auskunftsrechts. Eine vollständige Auskunft liegt vor, wenn die betroffene Person die Verarbeitung ihrer personenbezogenen Daten in präziser, transparenter und verständlicher Weise nachvollziehen kann.

Grundlagen des Auskunftsanspruchs

Betroffene Personen haben gegenüber dem Verantwortlichen gemäß Art. 15 DS-GVO einen Anspruch auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO sind dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, insbesondere Kennungen wie Name, Adresse sowie Kennnummern, unter denen Informationen gespeichert werden. Die Auskunft ist nach Art. 12 I 1 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Inhaltlich umfasst der Anspruch gemäß Art. 15 I lit. a-d DS-GVO namentlich die Verarbeitungszwecke, die betroffenen Datenkategorien, die Empfänger oder Empfängerkategorien sowie die geplante Speicherdauer.

Keine Pflicht zur Offenlegung von Verarbeitungsmitteln und IT-Infrastruktur

Der Wortlaut des Art. 15 I DS-GVO beschränkt den Auskunftsanspruch auf die genannten Informationskategorien. Eine Verpflichtung, darüber hinaus auch die eingesetzten Verarbeitungsmittel - also konkrete Datenträger, Server-Strukturen oder genutzte Cloud-Dienste - offenzulegen, ist der Norm nicht zu entnehmen. Eine solche Ausweitung würde das berechtigte Interesse des Verantwortlichen an der Geheimhaltung seiner internen Angelegenheiten verletzen. Ergänzend ergibt sich aus Art. 30 IV DS-GVO, dass die Einsicht in das interne Verarbeitungsverzeichnis - welches gemäß Art. 4 Nr. 2 DS-GVO sämtliche Verarbeitungsvorgänge dokumentiert - ausschließlich der zuständigen Aufsichtsbehörde zusteht. Anders als noch unter dem Bundesdatenschutzgesetz besteht kein allgemeines Jedermann-Einsichtsrecht in dieses Verzeichnis. Die Kontrolle der Einhaltung datenschutzrechtlicher Vorschriften ist Aufgabe der Aufsichtsbehörde, nicht des Betroffenen. Das Auskunftsrecht des Betroffenen dient als Vorstufe zur Durchsetzung der Rechte auf Berichtigung, Löschung und Einschränkung der Verarbeitung nach Art. 16-18 DS-GVO; ein Anspruch auf Verbesserung oder Änderung der IT-Sicherheit des Verantwortlichen besteht nicht.

Keine Auskunft über interne Vermerke und bereits bekannte Kommunikation

Der Auskunftsanspruch nach Art. 15 DS-GVO erstreckt sich nicht auf sämtliche internen Vorgänge des Verantwortlichen. Interne Vermerke, Gesprächsnotizen und ähnliche interne Dokumente unterfallen dem Auskunftsanspruch nicht. Auch besteht kein Anspruch darauf, Kommunikation, die der Betroffene bereits kennt, erneut ausgedruckt und übersandt zu erhalten. Vorliegend waren die Betroffenen bei den fraglichen Gesprächen mit Dritten ordnungsgemäß vertreten und mussten deren Inhalt daher bereits kennen.

Der weitere Inhalt ist nur für registrierte Nutzer zugänglich. Bitte melden Sie sich an oder registrieren Sie sich für einen Zugang.

Hinweis: Diese Informationen ersetzen keine rechtliche Beratung im Einzelfall. Trotz sorgfältiger Bearbeitung bleibt eine Haftung ausgeschlossen.