DSGVO-News: Zugang zu Bankdaten muss kostenlos sein
Co-Autor:innen: Dr. Lukas Röper; Mag. Sabine Brunner, LLB.oec.
Erster Bescheid der Datenschutzbehörde zum Auskunftsrecht der Betroffenen
Am 21. Juni 2018 erging der erste Bescheid der Datenschutzbehörde zum Auskunftsrecht nach der Datenschutz-Grundverordnung (DSGVO). Der Bescheid betraf ein Auskunftsbegehren im Bankensektor und wurde von einer Datenschutz-NGO (anonymisiert) veröffentlicht. Wir haben die Eckpunkte der gegenständlichen Entscheidung für Sie zusammengefasst:
Ende 2017 wandte sich der Beschwerdeführer an die Beschwerdegegnerin, eine österreichische Bank, mit dem Begehren, Überweisungsauszüge für vier Jahre bereitzustellen. Durch technische Gegebenheiten war es dem Beschwerdeführer – ohne weitergehende Unterstützung durch die Bank – nur möglich, in die Daten des letzten Jahres Einsicht zu nehmen. Der Beschwerdeführer begehrte jedoch Auskunft betreffend Überweisungsnachweise bis in das Jahr 2013 zurück. Die Bank erteilte keine Auskunft und knüpfte an eine solche ein Entgelt in Höhe von EUR 30.
Daraufhin stellte der Beschwerdeführer ein datenschutzrechtliches Auskunftsbegehren, das von der Bank jedoch nicht fristgerecht beantwortet wurde. Mittels einer Eingabe vom 22. Jänner 2018 begehrte er daher eine Entscheidung durch die Datenschutzbehörde, ob eine Verletzung seines Auskunftsrechts vorliege.
Der Datenschutzbehörde stellten sich zwei zentrale Fragen:
- Wurde durch die fehlende Reaktion seitens der Beschwerdegegnerin das Recht auf Auskunft des Beschwerdeführers verletzt?
- Dürfen im Rahmen der Geltendmachung des datenschutzrechtlichen Rechts auf Auskunft auch historische Kontoauszüge ohne Kostenersatz eingefordert werden?
Ad Verletzung und Umfang des Auskunftsrechts
Die Datenschutzbehörde hält in ihrer Entscheidung zunächst fest, dass der Beschwerdeführer durch die Nichtreaktion der Bank in seinem Recht auf Auskunft verletzt wurde.
Der Bank wurde überdies aufgetragen, dem Beschwerdeführer innerhalb einer zweiwöchigen Frist Auskunft zu erteilen. Zum Umfang des Auskunftsrechts erkannte die Datenschutzbehörde, dass die Bank den Beschwerdeführer betreffende personenbezogene Daten seinem Auskunftsbegehren folgend – unter Berücksichtigung der Einschränkung des Art. 15 Abs. 4 DSGVO – offenzulegen hat.
Ad Kostenersatz bei der Erfüllung von Auskunftsbegehren
In ihrer Entscheidung hält die Datenschutzbehörde weiters fest, dass der Beschwerdeführer zum ersten Mal Auskunft über sehr spezifische Daten von der Beschwerdegegnerin verlangt hatte und die Vorschreibung von Kosten oder die Verweigerung der Auskunftserteilung daher unzulässig ist.
Die Datenschutzbehörde führt aus, dass nur im Falle einer offenkundig unbegründeten bzw exzessiven Rechtsausübung durch die betroffene Person ein Anspruch auf Vorschreibung von Kosten oder ein „Verweigerungsrecht“ zustünde. Es sei daher insbesondere im Fall häufiger Wiederholung davon auszugehen, dass eine gewisse Intensität vorliegen müsse, die zur Unzumutbarkeit für den Verantwortlichen führe. Auch soll das ZaDiG 2018, das selbst kein spezielles Auskunftsrecht normiert, nicht das allgemeine datenschutzrechtliche Auskunftsrecht verdrängen können.
Die Entscheidung der Datenschutzbehörde kann als erster „Warnschuss“ für Unternehmen und Organisationen in Hinblick auf die Abwicklung von Betroffenenrechten angesehen werden. Die Verantwortlichen sind daher gut beraten, ihre datenschutzrechtlichen Prozesse klar und strukturiert aufzustellen, um insbesondere im Falle der Geltendmachung von Betroffenenrechten schnell und richtig reagieren zu können.
Ist Ihr Unternehmen bereits auf die neuen Anforderungen im Datenschutz vorbereitet? Unsere Datenschutz- und Financial Services-Experten unterstützen Sie gerne mit folgenden Leistungen:
- Individuelle Erstberatung und Status-Quo-Analyse Ihres Unternehmens
- Unterstützung bei der Erstellung eines Datenverarbeitungsverzeichnisses
- Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen
- Erstellung bzw Überarbeitung von
- Kundendokumentation (Allgemeine und besondere Geschäftsbedingungen, Kundenverträge)
- Interfirm-Agreements
- Auftragsverarbeitervereinbarungen mit Dienstleistern
- Datenschutzerklärungen für den Web-Auftritt
- Einwilligungserklärungen
- Informationsblätter gemäß Art. 13 und Art. 14 DSGVO
- Geheimhaltungserklärungen für Mitarbeiter
- Vorlagen für die Meldung von Datenschutzverletzungen
- m.
- Begleitende Unterstützung bei konkreten Fragestellungen in der Implementierungsphase
- Stellung eines externen Datenschutzbeauftragten
- Anwaltliche Begleitung vor Behörden und Gerichten