Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Urtei­le vom Euro­päi­schen Gerichtshof

Urtei­le des Euro­päi­schen Gerichts­hofs (EuGH) zum Daten­schutz haben eine hohe Bedeu­tung für Unter­neh­men. Der EuGH ist das höchs­te Gericht der EU und sei­ne Urtei­le haben direk­te Aus­wir­kun­gen auf die natio­na­len Daten­schutz­ge­set­ze der Mit­glieds­staa­ten. Dies gilt auch für Unter­neh­men außer­halb der EU, die die Daten­schutz­grund­ver­ord­nung beach­ten müssen. 

Der EuGH stärkt mit sei­nen Urtei­len zum Daten­schutz die Rech­te der betrof­fe­nen Per­so­nen. Unter­neh­men müs­sen sicher­stel­len, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Ein­klang mit der Daten­schutz-Grund­ver­ord­nung (DSGVO) und ande­ren Daten­schutz­ge­set­zen steht.

Eini­ge wich­ti­ge Urtei­le des EuGH zum Daten­schutz sind bei­spiels­wei­se das Schrems-II-Urteil, in dem die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­staa­ten regu­liert wur­de, oder das Goog­le-Spain-Urteil, in dem das Recht auf Ver­ges­sen­wer­den fest­ge­stellt wurde.

Unter­neh­men soll­ten sich daher regel­mä­ßig über aktu­el­le Ent­wick­lun­gen im Bereich Daten­schutz infor­mie­ren und sicher­stel­len, dass ihre Daten­schutz­richt­li­ni­en und ‑ver­fah­ren den Anfor­de­run­gen der DSGVO und ande­ren EU-Daten­schutz­ge­set­zen entsprechen.

Fin­den Sie hier die Urtei­le geord­net nach ver­schie­de­nen The­men­be­rei­chen im Datenschutz. 

Scha­den­er­satz

EuGH-Urteil C‑487/21 vom 4.5.2023

In einem Vor­ab­ent­schei­dungs­ver­fah­ren gegen die Öster­rei­chi­sche Post AG hat EuGH ein wich­ti­ges Urteil zum Scha­dens­er­satz nach der Daten­schutz­grund­ver­ord­nung (DSGVO) gefällt. Dies wird auch in einer Pres­se­mit­tei­lung ver­öf­fent­licht. Dabei ging es unter ande­rem um die Fra­ge, ob und ab wann ein Ver­stoß gegen die Vor­ga­ben der DSGVO einen Scha­den dar­stel­len und somit Ansprü­che auf Scha­dens­er­satz durch die betrof­fe­ne Per­son begrün­den könn­te. In den letz­ten Jah­ren gab es zahl­rei­che Urtei­le zu die­ser Pro­ble­ma­tik, die bis­wei­len unter­schied­li­che Ergeb­nis­se brachten.

Der EuGH hat nun klar­ge­stellt, dass nicht jeder Ver­stoß gegen die DSGVO auto­ma­tisch einen Scha­den­er­satz­an­spruch begrün­det. Es muss einen direk­ten Zusam­men­hang zwi­schen dem Ver­stoß und dem ent­stan­de­nen Scha­den bestehen, damit ein Scha­den­er­satz­an­spruch ent­steht. Dabei hat das Gericht auch ent­schie­den, dass imma­te­ri­el­le Schä­den nicht auf eine bestimm­te Erheb­lich­keits­schwel­le beschränkt wer­den sollten.

Ein wei­te­rer wich­ti­ger Punkt des Urteils betrifft die Bemes­sung der Höhe des Scha­dens­er­sat­zes. Hier hat der EuGH den Mit­glied­staa­ten die Mög­lich­keit gege­ben, spe­zi­el­le­re Kri­te­ri­en für die Ermitt­lung des Umfangs des in die­sem Rah­men geschul­de­ten Scha­den­er­sat­zes fest­zu­le­gen. Das bedeu­tet, dass die genaue Höhe des Scha­den­er­sat­zes je nach Mit­glied­staat unter­schied­lich aus­fal­len kann.

Ins­ge­samt hat das Urteil des EuGH wich­ti­ge Klar­stel­lun­gen zur Fra­ge des Scha­dens­er­sat­zes nach der DSGVO gebracht und somit auch für mehr Rechts­si­cher­heit gesorgt. Es bleibt abzu­war­ten, wie Scha­dens­er­satz­an­wäl­te den ent­stan­de­nen “Scha­den” begrün­den werden.

Aus­kunft für Betrof­fe­ne Personen

EuGH-Urteil C‑300/21 vom 4.5.2023

In der Ver­gan­gen­heit wur­de oft dis­ku­tiert, wel­che Anfor­de­run­gen an eine “Kopie” von per­so­nen­be­zo­ge­nen Daten im Rah­men des Aus­kunfts­an­spruchs nach Art. 15 Abs. 3 DSGVO gestellt wer­den soll­ten. Die DSGVO besagt, dass der Ver­ant­wort­li­che eine Kopie der per­so­nen­be­zo­ge­nen Daten, die Gegen­stand der Ver­ar­bei­tung sind, zur Ver­fü­gung stel­len muss.

Bis­lang war nicht klar, ob eine ori­gi­nal­ge­treue Repro­duk­ti­on durch einen 1:1 Scan/Kopie von Unter­la­gen not­wen­dig ist oder ob agg­re­gier­te Infor­ma­tio­nen aus­rei­chen wür­den. Das Urteil des EuGHs bringt hier nun Klar­heit und ver­öf­fent­licht auch auch Pres­se­mit­tei­lung dazu.

Der EuGH ent­schied, dass Begriff der “Kopie” weit anzu­le­gen ist. Die anfra­gen­den Per­so­nen haben das Recht, von dem ver­ant­wort­li­chen Unter­neh­men eine ori­gi­nal­ge­treue Repro­duk­ti­on ihrer per­so­nen­be­zo­ge­nen Daten zu erhal­ten. Das bedeu­tet, dass die Kopie alle per­so­nen­be­zo­ge­nen Daten ent­hal­ten muss, die Gegen­stand der Ver­ar­bei­tung sind, und sich nicht nur auf ein Doku­ment als sol­ches bezieht.

Die Daten müs­sen voll­stän­dig und ori­gi­nal­ge­treu dar­ge­stellt wer­den. In bestimm­ten Situa­tio­nen, bei­spiels­wei­se bei Frei­text­fel­dern, bedarf es einer Erklä­rung des Kon­tex­tes der Daten­ver­ar­bei­tung, damit die betrof­fe­ne Per­son eine trans­pa­ren­te Aus­kunft und eine ver­ständ­li­che Dar­stel­lung die­ser Daten erhal­ten kann.

Zuletzt äußert sich das Gericht auch zur Abwä­gung zwi­schen den Inter­es­sen der betrof­fe­nen Per­son und hier­von eben­so betrof­fe­nen Drit­ten. Es betont, dass bei der Aus­übung des Aus­kunfts­an­spruchs eine ange­mes­se­ne Abwä­gung zwi­schen den Inter­es­sen der betrof­fe­nen Per­son und den Rech­ten und Frei­hei­ten Drit­ter erfor­der­lich ist. Wenn Drit­te von dem Aus­kunfts­an­spruch betrof­fen sind, muss der Ver­ant­wort­li­che die betrof­fe­nen Per­so­nen über die Offen­le­gung der Daten infor­mie­ren und sicher­stel­len, dass die Daten nicht unan­ge­mes­sen offen­ge­legt werden.

EuGH-Urteil C‑60/22 vom 12.1.2023

Das EuGH-Urteil bezieht sich auf einen Fall in Öster­reich, in dem ein Bür­ger von der Öster­rei­chi­schen Post AG Aus­kunft über die Spei­che­rung sei­ner per­so­nen­be­zo­ge­nen Daten und über etwa­ige Emp­fän­ger die­ser Daten ver­langt hat­te. Die Post ant­wor­te­te ledig­lich, dass die Daten nur soweit ver­ar­bei­tet wer­den, wie es recht­lich zuläs­sig ist, und ver­wies auf eine Web­site für wei­te­re Infor­ma­tio­nen. Der Obers­te Gerichts­hof Öster­reichs leg­te dem EuGH die Fra­ge vor, ob die Ver­ant­wort­li­chen ver­pflich­tet sind, die kon­kre­ten Iden­ti­tä­ten der Emp­fän­ger per­so­nen­be­zo­ge­ner Daten von Betrof­fe­nen auf Ver­lan­gen mit­zu­tei­len oder ob ihnen frei­ge­stellt ist, ledig­lich die Kate­go­rien von Emp­fän­gern mit­zu­tei­len. Der EuGH ent­schied, dass betrof­fe­ne Per­so­nen ein Recht haben, die kon­kre­ten Emp­fän­ger per­so­nen­be­zo­ge­ner Daten zu erfah­ren, um ihre Rech­te gemäß der DSGVO aus­üben zu kön­nen. In bestimm­ten Fäl­len kön­nen jedoch die Anga­be von Emp­fän­ger­ka­te­go­rien ausreichen.

Das Urteil des Euro­päi­schen Gerichts­hofs bedeu­tet für Unter­neh­men, dass sie nun stren­ge­re Anfor­de­run­gen im Bereich des Daten­schut­zes erfül­len müs­sen und dass sie bei der Beant­wor­tung von Anfra­gen von Betrof­fe­nen mehr Arbeit haben wer­den. Das Urteil klärt nun, dass bei einem Aus­kunfts­er­su­chen auch die kon­kre­ten Emp­fän­ger der Daten genannt wer­den müs­sen. Es reicht nicht aus, nur die Kate­go­rien von Emp­fän­gern zu nen­nen, wie es in eini­gen ein­sei­ti­gen Infor­ma­ti­ons­pflich­ten der Fall ist.

Pas­sen Sie daher — sofern noch nicht gesche­hen — ihre Pro­zes­se zur Bear­bei­tung von Aus­kunfts­an­sprü­chen an die­se Anfor­de­rung an. 

Recht­mä­ßig­keit der Verarbeitung

EuGH-Urteil C‑60/22 vom 4.5.2023

Der Euro­päi­sche Gerichts­hof (EuGH) in einem Urteil die Rechen­schafts­pflich­ten von Ver­ant­wort­li­chen betont. Es liegt in der Ver­ant­wor­tung des­je­ni­gen, der eine Daten­ver­ar­bei­tung durch­führt, die Recht­mä­ßig­keit der Ver­ar­bei­tung und die Ein­hal­tung der DSGVO-Vor­ga­ben nachzuweisen.

Im Rah­men eines Vor­ab­ent­schei­dungs­ver­fah­rens hat das Ver­wal­tungs­ge­richt Wies­ba­den dem EuGH die Fra­ge vor­ge­legt, ob eine feh­len­de, unter­las­se­ne oder unvoll­stän­di­ge Rechen­schafts­pflicht des Ver­ant­wort­li­chen, wie z. B. ein unvoll­stän­di­ges Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten oder eine feh­len­de Ver­ein­ba­rung über eine Gemein­sa­mes Ver­ar­bei­tung , dazu führt, dass die Daten­ver­ar­bei­tung unrecht­mä­ßig im Sin­ne des Rechts auf Löschung oder Ein­schrän­kung der Ver­ar­bei­tung besteht. Der EuGH ent­schied in dem Urteil , dass ein Ver­stoß gegen die Rechen­schafts­pflicht des Ver­ant­wort­li­chen nicht auto­ma­tisch zu einer unrecht­mä­ßi­gen Ver­ar­bei­tung führt und damit kein Recht auf Löschung oder Ein­schrän­kung der Ver­ar­bei­tung besteht. Die Recht­mä­ßig­keit der Daten­ver­ar­bei­tung ergibt sich aus Art. 6 bzw. 9 DSGVO. Die in Art. 26 und Art. 30 DSGVO vor­ge­se­he­nen Pflich­ten gehö­ren nicht dazu.

Der EuGH stellt daher fest, “dass ein Ver­stoß gegen die Art. 26 und 30 der DS-GVO durch den Ver­ant­wort­li­chen kei­ne “unrecht­mä­ßi­ge Ver­ar­bei­tung” dar­stellt, die der betrof­fe­nen Per­son ein Recht auf Löschung oder auf Ein­schrän­kung der Ver­ar­bei­tung gewährt.”

EUGH-URTEIL Az.: C‑34/21 vom 30.03.2023

Der Euro­päi­sche Gerichts­hof (EuGH) hat ent­schie­den, dass natio­na­le Rechts­vor­schrif­ten nicht als “spe­zi­fi­sche­re Vor­schrift” im Sin­ne der Daten­schutz­grund­ver­ord­nung (DSGVO) gel­ten kön­nen, wenn sie nicht den Vor­ga­ben des Arti­kels 88 Absatz 2 DSGVO ent­spre­chen. Dies wur­de in einem Fall aus Hes­sen ent­schie­den, in dem wäh­rend der Coro­na-Pan­de­mie ein Live­stream-Unter­richt über ein Video­kon­fe­renz­sys­tem ein­ge­führt wur­de. Für die Daten­ver­ar­bei­tung wur­de die Ein­wil­li­gung der Schü­ler und ihrer Erzie­hungs­be­rech­tig­ten ein­ge­holt, jedoch nicht die der Leh­rer. Der Haupt­per­so­nal­rat der Leh­rer erhob Kla­ge, da die natio­na­le Rege­lung nicht mit den Vor­ga­ben des Arti­kels 88 Absatz 2 DSGVO ver­ein­bar sei. Der EuGH stimm­te dem zu und beton­te, dass die Ver­ar­bei­tung von Beschäf­tig­ten­da­ten im pri­va­ten und öffent­li­chen Sek­tor durch die Bestim­mun­gen der DSGVO gere­gelt wer­den muss, wenn kei­ne “spe­zi­fi­sche­ren Vor­schrif­ten” vorliegen.

Das Urteil des Euro­päi­schen Gerichts­hofs zum Beschäf­tig­ten­da­ten­schutz wird vor­aus­sicht­lich nur gerin­ge Aus­wir­kun­gen auf den Daten­schutz von Arbeit­neh­mern im öffent­li­chen und pri­va­ten Sek­tor haben. Auf­sichts­be­hör­den haben sich bis­lang nicht geäu­ßert. Es liegt nahe, dass der oben genann­te Fall auch auf nicht-öffent­li­che Unter­neh­men ange­wen­det wer­den kann. Der deut­sche Gesetz­ge­ber hat es bis­her ver­säumt, kla­re und siche­re Rege­lun­gen zum Beschäf­tig­ten­da­ten­schutz zu schaf­fen. Pas­sen Sie ihre bestehen­den Infor­ma­ti­ons- und Ver­ar­bei­tungs­ver­zeich­nis­se an das Urteil an. Wech­seln Sie nun vom § 26 des Bun­des­da­ten­schutz­ge­set­zes bzw. den ein­schlä­gi­gen Lan­des­da­ten­schutz­ge­set­zen auf die Arti­kel 6 (Ver­trag und Berech­tig­tes Inter­es­se) der DSGVO. Ob der deut­sche Gesetz­ge­ber das Urteil zum Anlass nimmt, den natio­na­len Beschäf­tig­ten­da­ten­schutz zu ver­bes­sern, ist ungewiss. 

Inhalte

projektanfrage-datenschutz

Ein wichtiger Hinweis: Die Beiträge ersetzen nicht die Datenschutzberatung und stellen keine rechtliche Beratung dar. Die Beiträge geben einen groben Überblick über die Thematik und geben erste Informationen zum Sachverhalt. Vielleicht sind die Inhalte auch nicht mehr aktuell, weil sich die Rechts­prech­ung oder die Rechts­grundlagen geändert haben. 

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.

News in Datenschutz und Informationssicherheit