Am 22. Juni 2023 entschied der Gerichtshof der Europäischen Union in der Rechtssache C-579/21, dass jede Person das Recht hat, zu erfahren, wann und warum auf ihre personenbezogenen Daten zugegriffen wurde. Dies gilt unabhängig von der Tätigkeit des für die Verarbeitung Verantwortlichen und seiner Beziehung zu der Person.
Zu dem Fall: Ein Kunde und gleichzeitig Angestellter der finnischen Bank Pankki S erfuhr in 2014, dass seine personenbezogenen Daten mehrmals in 2013 von Mitarbeitern abgefragt worden waren. Er verlangte Ende Mai 2018 von seiner Bank, ihm die Identität der Mitarbeiter sowie die Daten und Gründe für die Abfragen mitzuteilen. Die Bank weigerte sich, die Identität ihrer Mitarbeiter preiszugeben, da es sich um personenbezogene Daten handele. Die übrigen Informationen wurden von der Bank zur Verfügung gestellt.
Nach Ablehnung durch den finnischen Datenschutzbeauftragten erhob der Kunde und Angestellte Klage beim finnischen Verwaltungsgericht. Das Verwaltungsgericht stellte die Auslegung des in der Allgemeinen Datenschutzverordnung (DSGVO) enthaltenen Rechts auf Zugang zu Daten in Frage und legte sie dem Gerichtshof zur Vorabentscheidung vor.
Der Gerichtshof ist der Ansicht, dass der Kläger Zugang zu Informationen über Beratungstermine und -vorgänge erhalten kann. Andererseits gewährt die Datenschutz-Grundverordnung nicht das Recht, die Identität der Mitarbeiter zu erfahren, die die Anweisungen des für die Verarbeitung Verantwortlichen ausführen, es sei denn, dies ist für die Ausübung der Rechte des Antragstellers unerlässlich und unter der Voraussetzung, dass die Rechte und Freiheiten der Mitarbeiter geachtet werden. Die Arbeitnehmer des Verantwortlichen können in diesem Fall jedoch nicht als „Empfänger“ angesehen werden.
Darüber hinaus wird in dem Urteil betont, dass weder die Tatsache, dass die betreffende Person sowohl Kunde als auch Angestellter ist, noch die besonderen Merkmale des Bankensektors an sich einen Einfluss auf die Reichweite des Rechts haben.
Schließlich bestätigt das Gericht, dass die DSGVO trotz ihres Inkrafttretens gilt. So ist ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde. Im vorliegenden Fall hat der Kläger seinen Antrag an die Bank am 29. Mai 2018 gestellt, die DSGVO ist jedoch seit dem 25. Mai 2018 anwendbar.