Die betroffene Person ist ehemaliger Angestellter und ehemaliger Kunde einer Bank. Es wurde offenbar, dass dessen Kundendaten von anderen Bankmitarbeitern Ende 2013 mehrfach abgefragt worden waren.
Die betroffene Person forderte deshalb am 29.05.2018 nach der DSGVO Auskunft über die Identität der abfragenden Mitarbeiter, die genauen Abfragezeitpunkte und über die damit verfolgten Verarbeitungszwecke. Die Bank verweigerte mit dem Hinweis, dass diese Auskunft von Art 15 DSGVO nicht erfasst sei.
Die Streitfrage ging nun bis zum EuGH, der uns gestern erhellte:
💡 Die Betroffenenrechte der DSGVO gelten auch für Verarbeitungen, die vor dem 25.05.2018 unternommen wurden, solange das Verlangen danach gestellt wird.
💡 Auf den Kontext, in dem Betroffenenrechte ausgeübt werden, kommt es nicht an.
💡 Die Abfrage aus einer Kundendatenbank ist eine Verarbeitung.
💡 Das Auskunftsrecht umfasst auch die Information über den Zeitpunkt und den Zweck einzelner Verarbeitungen.
💡 Die Identität des anfragenden Mitarbeiters ist aber nur herauszugeben, wenn dies zur wirksamen Wahrung der Rechte nach der DSGVO erforderlich ist.
Dazu noch viele Klarstellungen zu einzelnen Begriffen in Art 15 DSGVO und zum Transparenzgrundsatz.