Icon Datenschutzbeauftragter
Datenschutz

Aller guten Dinge sind drei – der EuGH schafft Klarheit

Sören Hartmann
Verfasst von: Sören Hartmann
Berater Datenschutz und Informationssicherheit

Im Mai 2023 hat der Europäische Gerichtshof gleich drei grundlegende Urteile in Bezug auf die Datenschutz-Grundverordnung veröffentlicht. Die Entscheidungen betreffen den Begriff „Kopie“ im Rahmen des Auskunftsrechts gem. Art. 15 Abs. 3 DSGVO, den Schadensersatz nach der DSGVO und die (Nicht) Unrechtrechtmäßigkeit der Verarbeitung bei Verstoß gegen die Rechenschaftspflicht nach Art. 5 DSGVO.

Das Auskunftsrecht nach Art. 15 DSGVO und der Begriff „Kopie“ gem. Abs 3

Meint Kopie ein originalgetreues Duplikat von Dokumenten oder die Auflistung der genauen personenbezogenen Daten in einer zusammengefassten Tabelle? Lange Zeit herrschte eine Ungewissheit, was mit dem Begriff „Kopie“ im Sinne des Auskunftsrechts nach Art. 15 Abs. 3 DSGVO genau gemeint war.

In seinem Urteil zur Rechtssache C‑487/21 vom 04. Mai 2023 entschied der EuGH, „dass Art. 15 Abs. 3 Satz 1 DSGVO dahin auszulegen ist, dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind.“

Daraus ergibt sich, dass (Teil-)Kopien von Unterlagen etc. insoweit zur Verfügung zu stellen sind, dass die betroffene Person die Verarbeitung der sie betreffenden Daten nachvollziehen und verstehen kann.

Urteil und Pressemitteilung finden Sie auf der Website des EuGH:
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273286&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=3957110
https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-05/cp230071de.pdf

Der Schadensersatz nach DSGVO

Stellt ein Verstoß gegen die DSGVO einen Schaden dar und ab wann könnte dieser Schadensersatz durch die betroffene Person begründen? Eine Frage, die bislang nicht beantwortet war.

In dem am 04. Mai 2023 gefällten Urteil zur Rechtssache C‑300/21 entschied der EuGH, dass der Schadensersatzanspruch an drei Voraussetzungen geknüpft ist:

  1. einen Verstoß gegen die DSGVO,
  2. einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und
  3. einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß (vgl. Pressemitteilung Nr. 72/23, Europäischer Gerichtshof, 04. Mai 2023).

Somit ergibt sich, dass ein bloßer Verstoß keinen Schadensersatzanspruch begründet.

Auch im Hinblick auf die Höhe des Schadensersatzes äußerte sich der EuGH. So obliegt es den Mitgliedsstaaten, geeignete Kriterien festzulegen, mit denen die Höhe des Schadensersatzes ermittelt werden kann.

Urteil und Pressemitteilung finden Sie auf der Website des EuGH:
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273284&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=3957017
https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-05/cp230072de.pdf
 

Verstoß gegen die Rechenschaftspflicht nach Art. 5 DSGVO = Unrechtmäßigkeit der Verarbeitung?

Die verantwortliche Stelle muss gemäß Art. 5 Abs. 2 DSGVO die Einhaltung der Grundsätze der Datenverarbeitung nachweisen können. Doch ist eine Verarbeitung unrechtmäßig, wenn der Verantwortliche seinen Rechenschaftspflichten nicht nachkommt? Im konkreten Fall ging es um die Frage, ob das Fehlen einer Vereinbarung gemäß Art. 26 DSGVO (Gemeinsame Verantwortung) und ein unvollständiges beziehungsweise fehlendes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) eine unrechtmäßige Datenverarbeitung im Sinne der Artt. 17 und 18 DSGVO darstellt.

Im Urteil zur Rechtssache C‑60/22 vom 04. Mai 2023 entschied der EuGH, dass der Verantwortliche die Rechtmäßigkeit der Verarbeitung sicherzustellen habe – diese ergäbe sich allerdings aus Art. 6 DSGVO. So hat der Verantwortliche zwar gegen die Pflichten aus Art. 26 und 30 DSGVO verstoßen, jedoch wird hierdurch die Rechtmäßigkeit nach Art. 6 nicht berührt, sodass der Verstoß keine unrechtmäßige Verarbeitung im Sinne von Artt. 17 und 18 DSGVO darstellt.

Das Urteil finden Sie auf der Website des EuGH:
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273289&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=4022244

 

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.