DSGVO-News: Zugang zu Bankdaten muss kostenlos sein

Erster Bescheid der Datenschutzbehörde zum Auskunftsrecht der Betroffenen

Am 21. Juni 2018 erging der erste Bescheid der Datenschutzbehörde zum Auskunftsrecht nach der Datenschutz-Grundverordnung (DSGVO). Der Bescheid betraf ein Auskunftsbegehren im Bankensektor und wurde von einer Datenschutz-NGO (anonymisiert) veröffentlicht. Wir haben die Eckpunkte der gegenständlichen Entscheidung für Sie zusammengefasst:

Ende 2017 wandte sich der Beschwerdeführer an die Beschwerdegegnerin, eine österreichische Bank, mit dem Begehren, Überweisungsauszüge für vier Jahre bereitzustellen. Durch technische Gegebenheiten war es dem Beschwerdeführer – ohne weitergehende Unterstützung durch die Bank – nur möglich, in die Daten des letzten Jahres Einsicht zu nehmen. Der Beschwerdeführer begehrte jedoch Auskunft betreffend Überweisungsnachweise bis in das Jahr 2013 zurück. Die Bank erteilte keine Auskunft und knüpfte an eine solche ein Entgelt in Höhe von EUR 30.

Daraufhin stellte der Beschwerdeführer ein datenschutzrechtliches Auskunftsbegehren, das von der Bank jedoch nicht fristgerecht beantwortet wurde. Mittels einer Eingabe vom 22. Jänner 2018 begehrte er daher eine Entscheidung durch die Datenschutzbehörde, ob eine Verletzung seines Auskunftsrechts vorliege.

Der Datenschutzbehörde stellten sich zwei zentrale Fragen:

Wurde durch die fehlende Reaktion seitens der Beschwerdegegnerin das Recht auf Auskunft des Beschwerdeführers verletzt?
Dürfen im Rahmen der Geltendmachung des datenschutzrechtlichen Rechts auf Auskunft auch historische Kontoauszüge ohne Kostenersatz eingefordert werden?

Ad Verletzung und Umfang des Auskunftsrechts

Die Datenschutzbehörde hält in ihrer Entscheidung zunächst fest, dass der Beschwerdeführer durch die Nichtreaktion der Bank in seinem Recht auf Auskunft verletzt wurde.

Der Bank wurde überdies aufgetragen, dem Beschwerdeführer innerhalb einer zweiwöchigen Frist Auskunft zu erteilen. Zum Umfang des Auskunftsrechts erkannte die Datenschutzbehörde, dass die Bank den Beschwerdeführer betreffende personenbezogene Daten seinem Auskunftsbegehren folgend – unter Berücksichtigung der Einschränkung des Art. 15 Abs. 4 DSGVO – offenzulegen hat.

Ad Kostenersatz bei der Erfüllung von Auskunftsbegehren

In ihrer Entscheidung hält die Datenschutzbehörde weiters fest, dass der Beschwerdeführer zum ersten Mal Auskunft über sehr spezifische Daten von der Beschwerdegegnerin verlangt hatte und die Vorschreibung von Kosten oder die Verweigerung der Auskunftserteilung daher unzulässig ist.

Die Datenschutzbehörde führt aus, dass nur im Falle einer offenkundig unbegründeten bzw exzessiven Rechtsausübung durch die betroffene Person ein Anspruch auf Vorschreibung von Kosten oder ein „Verweigerungsrecht“ zustünde. Es sei daher insbesondere im Fall häufiger Wiederholung davon auszugehen, dass eine gewisse Intensität vorliegen müsse, die zur Unzumutbarkeit für den Verantwortlichen führe. Auch soll das ZaDiG 2018, das selbst kein spezielles Auskunftsrecht normiert, nicht das allgemeine datenschutzrechtliche Auskunftsrecht verdrängen können.

Die Entscheidung der Datenschutzbehörde kann als erster „Warnschuss“ für Unternehmen und Organisationen in Hinblick auf die Abwicklung von Betroffenenrechten angesehen werden. Die Verantwortlichen sind daher gut beraten, ihre datenschutzrechtlichen Prozesse klar und strukturiert aufzustellen, um insbesondere im Falle der Geltendmachung von Betroffenenrechten schnell und richtig reagieren zu können.

Ist Ihr Unternehmen bereits auf die neuen Anforderungen im Datenschutz vorbereitet? Unsere Datenschutz- und Financial Services-Experten unterstützen Sie gerne mit folgenden Leistungen:

Individuelle Erstberatung und Status-Quo-Analyse Ihres Unternehmens
Unterstützung bei der Erstellung eines Datenverarbeitungsverzeichnisses
Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen
Erstellung bzw Überarbeitung von
- Kundendokumentation (Allgemeine und besondere Geschäftsbedingungen, Kundenverträge)
- Interfirm-Agreements
- Auftragsverarbeitervereinbarungen mit Dienstleistern
- Datenschutzerklärungen für den Web-Auftritt
- Einwilligungserklärungen
- Informationsblätter gemäß Art. 13 und Art. 14 DSGVO
- Geheimhaltungserklärungen für Mitarbeiter
- Vorlagen für die Meldung von Datenschutzverletzungen
- m.
Begleitende Unterstützung bei konkreten Fragestellungen in der Implementierungsphase
Stellung eines externen Datenschutzbeauftragten
Anwaltliche Begleitung vor Behörden und Gerichten

FB twitter Linkedin GooglePlus

TagsAuskunftsrecht Banken Datenschutzbehörde DSB DSGVO

Dr. Axel Thoss axel.thoss@pwclegal.at

Mag. Sabine Brunner, LLB.oec. sabine.brunner@pwclegal.at

Dr. Lukas Röper lukas.roeper@pwclegal.at

© 2021 *oehner & partner rechtsanwaelte gmbh is an independent Austrian law firm and cooperates with PricewaterhouseCoopers Legal Aktiengesellschaft Rechtsanwaltsgesellschaft, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main, District Court Frankfurt am Main HRB 74165. oehner & partner rechtsanwaelte gmbh does not render non-legal services, such services may be procured through member firms of the PwC network.

Privacy Overview

Diese Webseite benutzt Cookies zur Verbesserung Ihrer Nutzererfahrung und unseres Informationsangebotes. Wir verwenden verschiedene Cookie-Arten: Essenzielle Cookies zur Erreichung der Funktionen der Webseite (zB. Spracheinstellungen). Weiters nutzen wir Cookies von Drittanbietern um zu verstehen, wie Sie unsere Seite nutzen. Diese Cookies sind nicht notwendig für die Funktionalität der Seite und Sie können daher der Setzung des Selbigen widersprechen.

Necessary

immer aktiv

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional

Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.

Cookie	Dauer	Beschreibung
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.

Analyse

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.

Cookie	Dauer	Beschreibung
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
Google Analytics MFMSWS70PX	2 Jahre	Dieser Cookie wird von Google Analytics installiert.