Schweigen ist Gold
PSP Case Study zur DSGVO: Praxisfall 41

DSGVO: Praktischer Fall

Die Müller Bank AG weist auf Kontoauszügen für ihre Kunden, wenn Zahlungen auf deren Konten bei der Müller Bank AG eingehen, die Adresse des Zahlenden aus. Ist diese Vorgehensweise datenschutzrechtlich zulässig?

Dieser Fall geht auf einen Bußgeldbescheid der rumänischen Datenschutzaufsicht vom Juli 2019 zurück. Sie wirft viele Folgefragen in Richtung „wer darf welche Daten einsehen?“ auf, und zwar sowohl bei rein unternehmensinterner Betrachtung („need to know“, dazu schon Fälle 3, 6, 21 und 27) als auch bei der Übermittlung bzw. „Zurverfügungstellung“ von Daten an Dritte. Wichtig ist dabei, dass nach Art. 4 Nr. 2 DSGVO eine „Verarbeitung“ personenbezogener Daten (auch) durch „die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“ erfolgt. Und diese Verarbeitungshandlung benötigt – wie jede andere auch – eine Legitimationsgrundlage und muss sich an den grundlegenden Prinzipien des Art. 5 DSGVO messen lassen.

Die rumänische Behörde war der Ansicht, dass die Adresse des Zahlenden, auch wenn dieser der verbuchenden Bank selbst (warum auch immer) legitimerweise vorliegt, von der Bank nicht an ihren Kunden – durch Anzeige in den Umsätzen (Transaktionsdetails) – offengelegt werden darf. Dies verstoße gegen Art. 5 Abs. 1 lit. c) DSGVO, den Grundsatz der Datenminimierung. Die Weitergabe der Adresse des Überweisenden bzw. Einzahlers (also eines dritten Betroffenen) ist für die Zwecke des (Girokonto-)Vertrages zwischen Bank und Kunden nicht erforderlich. Der Kunde benötigt diese Adresse nicht, um nachvollziehen zu können, dass ihm eine Zahlung von diesem Dritten geleistet wurde. Im Fall der rumänischen Datenschutzaufsicht ging es immerhin um 337.024 Betroffene (Dritte) im Zeitraum zwischen dem Inkrafttreten der DSGVO und dem 10. Dezember 2018, als diese Praxis gestoppt wurde.

Ob dies immer und uneingeschränkt gilt – z. B. wenn der Kontoinhaber zwei Zahlungen erwartet von zwei namensgleichen Schuldnern, die er nur anhand der Adresse voneinander unterscheiden könnte –, sei hier dahingestellt. Wichtiger ist, dass bei jeder Zurverfügungstellung von Daten darüber nachgedacht werden muss, warum der Empfänger auf diese Daten einen „datenschutzrechtlich legitimierbaren Anspruch“ haben sollte. Nun könnte man natürlich darüber nachdenken, wie es datenschutzrechtlich zu beurteilen wäre, wenn der (Girokonto-)Vertrag zwischen der Bank und dem Kunden die Klausel beinhalten würde, dass zu jeder eingehenden Überweisung dem Kunden die der Bank dazu vorliegenden Daten – also auch die Adresse des Zahlenden – zur Verfügung gestellt werden. Dann wäre die Übermittlung nach diesem Vertragsinhalt „erforderlich“. Dies kann ggf. zur „datenschutzrechtlichen Inhaltskontrolle“ des (Girokonto-)Vertrages führen; dieser kann nicht einfach „alles“ datenschutzrechtlich legitimieren (s. Fall 30).

Doch der Kreis ist noch weiter zu ziehen: Auch irgendwo „liegengelassene“ Daten werden allen potenziell technisch Zugriffsberechtigten „offengelegt“. Hätte die Bank etwa die Adressen sämtlicher Zahlender intern in Form eines Excel-Exports auf einem Netzlaufwerk abgelegt, auf das sämtliche Bankmitarbeiter Zugriff haben, so hätte eine Offenlegung der Daten – durch „Bereitstellung“ – an sämtliche Bankmitarbeiter und damit auch an Unbefugte (die kein „need to know“ haben) stattgefunden. Dies zeigt die „unternehmensinterne“ Dimension bei einer „Weitergabe“ von Informationen.

Plausibler mag im Hinblick auf eine interne Offenlegung der Fall sein, dass im Rahmen einer IT-Migration von Stammdaten der Beschäftigten (von einem System auf ein anderes) sämtliche Stammdaten der Beschäftigten eines Unternehmens in einem generell als „Transferverzeichnis“ genutzten Netzlaufwerk „zwischengeparkt“ werden. Wenn dies erst einige Zeit später auffällt, mag es sein, dass unbefugte Mitarbeiter (d. h. nicht aus der IT-Abteilung, soweit mit dem Migrationsprojekt befasst, und nicht aus der Personalabteilung, soweit mit den Stammdaten befasst) Einsicht in die Datei genommen haben. Dies könnte sogar nicht nachvollziehbar sein, weil Lesezugriffe nicht protokolliert werden (s. zur Frage der Pflicht zur Protokollierung von Lesezugriffen Fall 38). In derartigen Fällen, in denen Daten Unbefugten zur Verfügung standen, aber unklar ist, ob die Unbefugten tatsächlich die Daten eingesehen haben, steht ein Datenschutzverstoß – die „Bereitstellung“ ohne Legitimationsgrundlage – fest. Offen aber ist, ob ohne Möglichkeit des Beweises für oder gegen die erfolgte Einsichtnahme – die Beschäftigten, denen der Zugriff möglich gewesen wäre, kann man nicht fragen, da diese die Einsichtnahme wohl nicht zugeben würden – im Rahmen einer Meldepflicht nach Art. 33 DSGVO davon ausgegangen werden darf, „dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (s. dazu auch Fall 35). Die Beantwortung dieser Frage hängt entscheidend davon ab, ob ein Zugriff stattgefunden hat – dann wären ggf. auch die Betroffenen zu benachrichtigen (Art. 34 DSGVO) – oder nicht – dann bestünde kein Risiko für die Betroffenen. Im Zivilprozess fragt man in diesen Fällen, deren Sachverhalt letztlich nicht zur Überzeugung des Gerichts ermittelt werden kann, wer die Beweislast trägt. Die Formulierung „es sei denn“ in Art. 33 DSGVO würde nach diesem (für EU-Verordnungen aber nicht anwendbaren) Maßstab darauf hinweisen, dass im Zweifel – also wenn nicht nachgewiesen werden kann, dass keine Einsichtnahme stattgefunden hat – zu melden ist.

Neben der Frage des Datenschutzverstoßes tritt natürlich die Frage auf, wann die Betroffenen Schadensersatzansprüche (Art. 82 DSGVO) geltend machen können. Hierfür könnte die Frage, ob Dritte tatsächlich auf die Daten zugegriffen haben, entscheidend sein (s. Fall 9).

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden