Wenig Hilfe vom Bayerischen Landesamt für Datenschutzaufsicht: Auskunftsanspruch DSGVO gegen Fidor Bank AG

Lesezeit: ca. 4 Minuten

Für einen unserer Mandanten haben wir beim Bayerischen Landesamt für Datenschutzaufsicht eine Datenschutzbeschwerde nach Art. 77 Datenschutzgrundverordnung (DSGVO) eingereicht.

Im konkreten Fall ging es darum, dass ein Auskunftsanspruch nach Art. 15 DSGVO gegenüber der Fidor Bank AG im Rahmen eines Phishing-Falles geltend gemacht wurde. Unserem Mandanten ist Geld in unberechtigten Überweisungen von Konten der Fidor Bank AG abhandengekommen.

Die Ansprüche müssen, wie in vielen anderen Fällen auch, nunmehr gerichtlich geltend gemacht werden. Parallel hatten wir für unseren Mandanten eine entsprechende Auskunft über alle personenbezogenen Daten nach der DSGVO abgefordert.

Als Antwort erhielt unser Mandant eher eine dürre Datenschutzauskunft. Aus diesem Grund wurde von uns beim Bayerischen Landesamt für Datenschutzaufsicht eine Datenschutzbeschwerde eingereicht.

Die Antwort, die wir dann von der Datenschutzaufsichtsbehörde erhielten, überzeugt nicht und frustriert eher.

Leider bestärkt sich unser Eindruck, dass die Aufsichtsbehörden im Moment noch nicht bereit sind, die DSGVO konsequent anzuwenden. Dieses Phänomen erstaunt und ist aus unserer Sicht nicht erklärlich.

Die DSGVO sieht hohe Bußgelder vor und appelliert deutlich an die Aufsichtsbehörden, bei Datenschutzbehörden aktiv zu werden. Dies scheint aber bei den deutschen Aufsichtsbehörden nicht angekommen zu sein.

Während beispielsweise portugiesische Aufsichtsbehörden bei Datenschutz­verstößen Bußgelder i. H. v. 400.000,00 Euro festsetzen, verweigern nach unserer Wahrnehmung die deutschen Aufsichtsbehörden überhaupt eine Verfolgung von Datenschutzverstößen oder verhängen Bußgelder i. H. v. 20.000,00 Euro und müssen sich dann ausführlich erklären, warum das Bußgeld so niedrig ist.

In dem konkreten Fall argumentiert das Bayerische Landesamt für Datenschutzaufsicht damit, dass entgegen dem Gesetzeswortlaut in Art. 15 Abs. 3 DSGVO kein Anspruch auf Kopien der personenbezogenen Daten besteht. Wörtlich heißt es in Art. 15 Abs. 3 DSGVO:

“Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.”

Hier ist für uns schon unverständlich, wie, trotz des eindeutigen Wortlauts, das Bayerische Landesamt für Datenschutzaufsicht zu der Erkenntnis kommen kann, dass dieser Wortlaut nicht ernst zu nehmen ist. Schon im Studium lernen alle Juristen, dass eine Argumentation entgegen dem Wortlaut eigentlich nicht möglich ist.

Trotz des eindeutigen Wortlauts ignoriert die Bayerische Datenschutzaufsicht den Gesetzestext und verweist darauf, dass doch nicht viele hundert Seiten kopiert und ausgedruckt werden müssen, sondern eine Auflistung der gespeicherten personenbezogenen Daten genügen würde. Ergänzend wird auf eine Entscheidung des Europäischen Gerichtshofs vom 17.07.2014 (Aktenzeichen 10-141/12 und 10-372/12) verwiesen.

In dieser Entscheidung hatte der Europäische Gerichtshof darauf hingewiesen, dass es zur Wahrung des Auskunftsanspruchs ausreichend ist, wenn die verantwortliche Stelle dem Betroffenen eine “vollständige Übersicht dieser Daten in verständlicher Form” überlässt, das heißt in einer Form, “die es ihm ermöglicht, von diesen Daten Kenntnis zu erlangen und zu prüfen, ob diese richtig sind und der Richtlinie gemäß verarbeitet werden”.

Im vorliegenden Fall hatte aber die Fidor Bank AG beispielsweise noch nicht einmal darauf hingewiesen, dass Kontostände gespeichert werden. Offensichtlich hatte das Bayerische Landesamt für Datenschutzaufsicht die Auskunft nicht weiter angeschaut, sondern vereinfacht darauf hingewiesen, dass solche Kopien nicht zur Verfügung gestellt werden.

Ergänzend verweist dann das Bayerische Landesamt auf Satz 7 des Erwägungsgrunds 63. Dort heißt es wörtlich:

“Verarbeitet der Verantwortliche eine große Menge von Informationen über die betreffende Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.”

In unserem Anforderungsschreiben an die Fidor Bank AG hatten wir darauf hingewiesen, dass wir alle personenbezogenen Daten in Kopie erhalten möchten. Es steht weder im Gesetz noch in den Erwägungsgründen, dass eine Pflicht zur Beschränkung des Auskunftsanspruchs besteht.

Dies ist auch widersinnig, wenn das Ziel ist, eine vollständige Übersicht der Daten in verständlicher Form zu erlangen, wie der EuGH dies formuliert.

Insgesamt ist also festzustellen, dass die Ausführungen des Bayerischen Landesamts für Datenschutzaufsicht wenig tragkräftig sind, aber in Konsequenz dazu führen, dass die Betroffenenrechte entgegen dem eindeutigen Wortlaut des Art. 15 Abs. 3 DSGVO eingeschränkt werden.

Wenn aber ein Bayerisches Landesamt für Datenschutzaufsicht den Wortlaut des Gesetzes, sprich Art. 15 DSGVO, ignoriert und darüber hinaus noch nicht einmal darauf achten will, dass die Forderungen des EuGH umgesetzt werden, ist dies nach unserer Einschätzung sehr traurig und bedauerlich. Dies wird den Datenschutz nicht fördern.

All dies auch unabhängig davon, dass die Entscheidung des Europäischen Gerichtshofs vom 17.07.2014, also deutlich vor Inkrafttreten der DSGVO, erlassen wurde und nicht ohne Weiteres auf die neue Rechtslage anzuwenden ist.

Warum das Bayerische Landesamt für Datenschutzaufsicht der Auffassung ist, dass eine Entscheidung des EuGH aus 2014 nunmehr anzuwenden ist, wird nicht weiter erklärt. Auch dies ist unter dem Gesichtspunkt der überprüfbaren und nachvollziehbaren juristischen Argumentation wenig hilfreich und zielführend.

Unser Mandant ist sehr enttäuscht über das Engagement und die Ernsthaftigkeit, mit der das Bayerische Landesamt für Datenschutzaufsicht die Betroffenenrechte wahrnimmt.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 3,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen