Urteile des Europäischen Gerichtshofs (EuGH) zum Datenschutz haben eine hohe Bedeutung für Unternehmen. Der EuGH ist das höchste Gericht der EU und seine Urteile haben direkte Auswirkungen auf die nationalen Datenschutzgesetze der Mitgliedsstaaten. Dies gilt auch für Unternehmen außerhalb der EU, die die Datenschutzgrundverordnung beachten müssen.
Der EuGH stärkt mit seinen Urteilen zum Datenschutz die Rechte der betroffenen Personen. Unternehmen müssen sicherstellen, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und anderen Datenschutzgesetzen steht.
Einige wichtige Urteile des EuGH zum Datenschutz sind beispielsweise das Schrems-II-Urteil, in dem die Übermittlung personenbezogener Daten in Drittstaaten reguliert wurde, oder das Google-Spain-Urteil, in dem das Recht auf Vergessenwerden festgestellt wurde.
Unternehmen sollten sich daher regelmäßig über aktuelle Entwicklungen im Bereich Datenschutz informieren und sicherstellen, dass ihre Datenschutzrichtlinien und ‑verfahren den Anforderungen der DSGVO und anderen EU-Datenschutzgesetzen entsprechen.
Finden Sie hier die Urteile geordnet nach verschiedenen Themenbereichen im Datenschutz.
Schadenersatz
EuGH-Urteil C‑487/21 vom 4.5.2023
In einem Vorabentscheidungsverfahren gegen die Österreichische Post AG hat EuGH ein wichtiges Urteil zum Schadensersatz nach der Datenschutzgrundverordnung (DSGVO) gefällt. Dies wird auch in einer Pressemitteilung veröffentlicht. Dabei ging es unter anderem um die Frage, ob und ab wann ein Verstoß gegen die Vorgaben der DSGVO einen Schaden darstellen und somit Ansprüche auf Schadensersatz durch die betroffene Person begründen könnte. In den letzten Jahren gab es zahlreiche Urteile zu dieser Problematik, die bisweilen unterschiedliche Ergebnisse brachten.
Der EuGH hat nun klargestellt, dass nicht jeder Verstoß gegen die DSGVO automatisch einen Schadenersatzanspruch begründet. Es muss einen direkten Zusammenhang zwischen dem Verstoß und dem entstandenen Schaden bestehen, damit ein Schadenersatzanspruch entsteht. Dabei hat das Gericht auch entschieden, dass immaterielle Schäden nicht auf eine bestimmte Erheblichkeitsschwelle beschränkt werden sollten.
Ein weiterer wichtiger Punkt des Urteils betrifft die Bemessung der Höhe des Schadensersatzes. Hier hat der EuGH den Mitgliedstaaten die Möglichkeit gegeben, speziellere Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes festzulegen. Das bedeutet, dass die genaue Höhe des Schadenersatzes je nach Mitgliedstaat unterschiedlich ausfallen kann.
Insgesamt hat das Urteil des EuGH wichtige Klarstellungen zur Frage des Schadensersatzes nach der DSGVO gebracht und somit auch für mehr Rechtssicherheit gesorgt. Es bleibt abzuwarten, wie Schadensersatzanwälte den entstandenen “Schaden” begründen werden.
Auskunft für Betroffene Personen
EuGH-Urteil C‑300/21 vom 4.5.2023
In der Vergangenheit wurde oft diskutiert, welche Anforderungen an eine “Kopie” von personenbezogenen Daten im Rahmen des Auskunftsanspruchs nach Art. 15 Abs. 3 DSGVO gestellt werden sollten. Die DSGVO besagt, dass der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen muss.
Bislang war nicht klar, ob eine originalgetreue Reproduktion durch einen 1:1 Scan/Kopie von Unterlagen notwendig ist oder ob aggregierte Informationen ausreichen würden. Das Urteil des EuGHs bringt hier nun Klarheit und veröffentlicht auch auch Pressemitteilung dazu.
Der EuGH entschied, dass Begriff der “Kopie” weit anzulegen ist. Die anfragenden Personen haben das Recht, von dem verantwortlichen Unternehmen eine originalgetreue Reproduktion ihrer personenbezogenen Daten zu erhalten. Das bedeutet, dass die Kopie alle personenbezogenen Daten enthalten muss, die Gegenstand der Verarbeitung sind, und sich nicht nur auf ein Dokument als solches bezieht.
Die Daten müssen vollständig und originalgetreu dargestellt werden. In bestimmten Situationen, beispielsweise bei Freitextfeldern, bedarf es einer Erklärung des Kontextes der Datenverarbeitung, damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann.
Zuletzt äußert sich das Gericht auch zur Abwägung zwischen den Interessen der betroffenen Person und hiervon ebenso betroffenen Dritten. Es betont, dass bei der Ausübung des Auskunftsanspruchs eine angemessene Abwägung zwischen den Interessen der betroffenen Person und den Rechten und Freiheiten Dritter erforderlich ist. Wenn Dritte von dem Auskunftsanspruch betroffen sind, muss der Verantwortliche die betroffenen Personen über die Offenlegung der Daten informieren und sicherstellen, dass die Daten nicht unangemessen offengelegt werden.
EuGH-Urteil C‑60/22 vom 12.1.2023
Das EuGH-Urteil bezieht sich auf einen Fall in Österreich, in dem ein Bürger von der Österreichischen Post AG Auskunft über die Speicherung seiner personenbezogenen Daten und über etwaige Empfänger dieser Daten verlangt hatte. Die Post antwortete lediglich, dass die Daten nur soweit verarbeitet werden, wie es rechtlich zulässig ist, und verwies auf eine Website für weitere Informationen. Der Oberste Gerichtshof Österreichs legte dem EuGH die Frage vor, ob die Verantwortlichen verpflichtet sind, die konkreten Identitäten der Empfänger personenbezogener Daten von Betroffenen auf Verlangen mitzuteilen oder ob ihnen freigestellt ist, lediglich die Kategorien von Empfängern mitzuteilen. Der EuGH entschied, dass betroffene Personen ein Recht haben, die konkreten Empfänger personenbezogener Daten zu erfahren, um ihre Rechte gemäß der DSGVO ausüben zu können. In bestimmten Fällen können jedoch die Angabe von Empfängerkategorien ausreichen.
Das Urteil des Europäischen Gerichtshofs bedeutet für Unternehmen, dass sie nun strengere Anforderungen im Bereich des Datenschutzes erfüllen müssen und dass sie bei der Beantwortung von Anfragen von Betroffenen mehr Arbeit haben werden. Das Urteil klärt nun, dass bei einem Auskunftsersuchen auch die konkreten Empfänger der Daten genannt werden müssen. Es reicht nicht aus, nur die Kategorien von Empfängern zu nennen, wie es in einigen einseitigen Informationspflichten der Fall ist.
Passen Sie daher — sofern noch nicht geschehen — ihre Prozesse zur Bearbeitung von Auskunftsansprüchen an diese Anforderung an.
Rechtmäßigkeit der Verarbeitung
EuGH-Urteil C‑60/22 vom 4.5.2023
Der Europäische Gerichtshof (EuGH) in einem Urteil die Rechenschaftspflichten von Verantwortlichen betont. Es liegt in der Verantwortung desjenigen, der eine Datenverarbeitung durchführt, die Rechtmäßigkeit der Verarbeitung und die Einhaltung der DSGVO-Vorgaben nachzuweisen.
Im Rahmen eines Vorabentscheidungsverfahrens hat das Verwaltungsgericht Wiesbaden dem EuGH die Frage vorgelegt, ob eine fehlende, unterlassene oder unvollständige Rechenschaftspflicht des Verantwortlichen, wie z. B. ein unvollständiges Verzeichnis der Verarbeitungstätigkeiten oder eine fehlende Vereinbarung über eine Gemeinsames Verarbeitung , dazu führt, dass die Datenverarbeitung unrechtmäßig im Sinne des Rechts auf Löschung oder Einschränkung der Verarbeitung besteht. Der EuGH entschied in dem Urteil , dass ein Verstoß gegen die Rechenschaftspflicht des Verantwortlichen nicht automatisch zu einer unrechtmäßigen Verarbeitung führt und damit kein Recht auf Löschung oder Einschränkung der Verarbeitung besteht. Die Rechtmäßigkeit der Datenverarbeitung ergibt sich aus Art. 6 bzw. 9 DSGVO. Die in Art. 26 und Art. 30 DSGVO vorgesehenen Pflichten gehören nicht dazu.
Der EuGH stellt daher fest, “dass ein Verstoß gegen die Art. 26 und 30 der DS-GVO durch den Verantwortlichen keine “unrechtmäßige Verarbeitung” darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung gewährt.”
EUGH-URTEIL Az.: C‑34/21 vom 30.03.2023
Der Europäische Gerichtshof (EuGH) hat entschieden, dass nationale Rechtsvorschriften nicht als “spezifischere Vorschrift” im Sinne der Datenschutzgrundverordnung (DSGVO) gelten können, wenn sie nicht den Vorgaben des Artikels 88 Absatz 2 DSGVO entsprechen. Dies wurde in einem Fall aus Hessen entschieden, in dem während der Corona-Pandemie ein Livestream-Unterricht über ein Videokonferenzsystem eingeführt wurde. Für die Datenverarbeitung wurde die Einwilligung der Schüler und ihrer Erziehungsberechtigten eingeholt, jedoch nicht die der Lehrer. Der Hauptpersonalrat der Lehrer erhob Klage, da die nationale Regelung nicht mit den Vorgaben des Artikels 88 Absatz 2 DSGVO vereinbar sei. Der EuGH stimmte dem zu und betonte, dass die Verarbeitung von Beschäftigtendaten im privaten und öffentlichen Sektor durch die Bestimmungen der DSGVO geregelt werden muss, wenn keine “spezifischeren Vorschriften” vorliegen.
Das Urteil des Europäischen Gerichtshofs zum Beschäftigtendatenschutz wird voraussichtlich nur geringe Auswirkungen auf den Datenschutz von Arbeitnehmern im öffentlichen und privaten Sektor haben. Aufsichtsbehörden haben sich bislang nicht geäußert. Es liegt nahe, dass der oben genannte Fall auch auf nicht-öffentliche Unternehmen angewendet werden kann. Der deutsche Gesetzgeber hat es bisher versäumt, klare und sichere Regelungen zum Beschäftigtendatenschutz zu schaffen. Passen Sie ihre bestehenden Informations- und Verarbeitungsverzeichnisse an das Urteil an. Wechseln Sie nun vom § 26 des Bundesdatenschutzgesetzes bzw. den einschlägigen Landesdatenschutzgesetzen auf die Artikel 6 (Vertrag und Berechtigtes Interesse) der DSGVO. Ob der deutsche Gesetzgeber das Urteil zum Anlass nimmt, den nationalen Beschäftigtendatenschutz zu verbessern, ist ungewiss.