Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Den europäischen Gerichtshof erreichten drei verschiedene Fälle zur Auslegung der Datenschutz-Grundverordnung (DSGVO) im Wege des Vorabentscheidungsverfahrens gemäß Artikel 267 AEUV, welche dieser am 4.Mai beantwortete.
In dem ersten Verfahren befasste sich der EuGH mit der Frage, ob ein Verstoß gegen Vorschriften der DSGVO ausreichen würden, oder ob ein tatsächlich eigetretener Schaden für einen Schadensersatzanspruch erforderlich sei. Dabei ging es um die Auslegung des Artikel 82 der DSGVO.
Dabei stritten Rechtsanwalt UI und die österreichische Post AG. UI möchte von der deutschen Post Ersatz des immateriellen Schadens, der dadurch entstanden sei, dass die österreichische Post AG, um politische Affinitäten von Personen mit Wohnsitz in Österreich zu ermitteln, insbesondere auch von ihm, personenbezogene Daten verarbeitet habe, obwohl er einer solchen Verarbeitung nicht zugestimmt habe.
Urteil vom 04. Mai 2023, C‑300/21
Die österreichische Post AG sammelte anhand von personenbezogenen Daten Informationen über die politischen Affinitäten der Bevölkerung und so auch von Rechtsanwalt UI. Dabei wurden seine personenbezogenen Daten ohne seine Zustimmung verwendet. Im Wege der Verarbeitung der Daten leitete die österreichische Post AG eine hohe Affinität zu einer bestimmten österreichischen Partei ab, ohne jedoch die personenbezogenen Daten von UI an Dritte zu übermitteln. UI fühlte sich dadurch beleidigt und die Speicherung seiner Daten führten bei ihm zu einem großen Ärgernis und einem Gefühl der Bloßstellung.
Deswegen erhob er Klage vor dem österreichischen Landesgericht. Aufgrund des immateriellen Schadens forderte UI 1000€ Schadensersatz. Das LG sprach ihm einen Unterlassungsanspruch zu, jedoch keinen Schadensersatzanspruch.
Im Wege des Rechtsmittelverfahrens wurden dem EuGH drei Vorlagefragen vorgelegt. Zum einen wurde gefragt, ob eine Verletzung von DSGVO-Vorschriften für einen Schadensersatzanspruch ausreichend oder ob ein tatsächlich vorhandener Schaden erforderlich sei.
Zudem wurde gefragt, ob ein immaterieller Schaden eine bestimmte Erheblichkeitsschwelle erreichen muss, damit dieser ersatzfähig ist.
Im letzten Schritt musste sich der EuGH mit der Bemessung eines Schadensersatzanspruch auseinandersetzen und die Frage beantworten, ob neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts beachtet werden müssen.
Zu der ersten Frage entschied der EuGH, dass ein bloßer Verstoß gegen Bestimmungen der DSGVO für einen Schadensersatz nicht ausreichend sei. Dies gehe schon aus dem Wortlaut von Artikel 82 Absatz 1 DSGVO hervor, der einen „Schaden“ voraussetze. Zudem wird auch ein ursächlicher Zusammenhang zwischen der Verletzung und dem Schaden von Artikel 82 DSGVO vorausgesetzt.
Zu der zweiten Frage stellt der EuGH zunächst klar, dass der Begriff des immateriellen Schadens eine autonome und einheitliche unionsrechtliche Definition erhalten müsse, weil jegliche Bezugnahme auf das innerstaatliche Recht der Mitgliedstaaten fehle.
Schließlich entschied der EuGH, dass es keiner bestimmten Erheblichkeit brauche, um einen immateriellen Schaden zu begründen. Denn im Wortlaut von Artikel 82 DSGVO werde das nicht gefordert, und auch aus dem Zusammenhang ergäbe sich keine solche Erforderlichkeit. Zudem würde eine Erheblichkeitsschwelle unterschiedliche Beurteilungen von Gerichten nach sich ziehen, was die Einheitlichkeit der Auslegung der DSGVO beeinträchtigen würde.
Der EuGH betont jedoch, dass dies nicht von dem erforderlichen Nachweis des Schadens befreien würde.
Zur letzten Frage entschied der EuGH, dass mangels unionsrechtlicher Vorschriften die Mitgliedstaaten zur Bemessung des Schadensersatzes das innerstaatliche Recht anzuwenden haben. Dabei müssen sie jedoch die Grundsätze der Äquivalenz und Effektivität beachten. Das bedeutet, dass die innerstaatlichen Regelungen bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen sowie dass die Ausübung des Unionsrechts bei Anwendung des innerstaatlichen Rechts nicht praktisch unmöglich wird.
OLG Dresden: DSGVO greift bei juristischen Personen nicht
Plattformbetreiber aufgepasst: Der DSA wirkt ab Februar 2024
Das zweite Verfahren betrifft die Auslegung von Artikel 15 DSGVO, wonach betroffene Personen ein Auskunftsrecht über die Verwendung und Verarbeitung ihrer personenbezogenen Daten haben. Es stritten F.F und die österreichische Datenschutzbehörde über den Umfang dieses Auskunftsrechts. Die CRIF GmbH ist eine Kreditauskunftei, welche auf Verlangen von Kunden Auskünfte an Dritte über ihre Zahlungsfähigkeit gibt. Aus diesem Grund verarbeitete sie auch personenbezogene Daten von F.F. Dieser wollte von CRIF Auskunft auf Grundlage von Artikel 15 DSGVO und bat um eine Kopie der Dokumente (vor allem auch E-Mails und Auszüge von Datenbanken) „in einem üblichen technischen Format“. Er erhielt jedoch nur eine Liste seiner personenbezogenen Daten in aggregierter Form.
EuGH, Urteil vom 4. Mai 2023 - C‑487/21
Damit war F.F. unzufrieden und wollte eine Kopie sämtlicher Dokumente. Daher legte er bei der österreichischen Datenschutzbehörde Beschwerde ein, welche diese zurückwies. F.F. klagte gegen die österreichische Datenschutzbehörde. Das damit befasste Gericht war sich mit der Auslegung von Artikel 15 DSGVO nicht sicher und legte dem EuGH daher den Fall mit vier Fragen vor.
In einer ersten Frage musste sich der EuGH mit der Frage beschäftigen, was unter einer „Kopie“ im Sinne des Artikel 15 Absatz 3 Satz 1 DSGVO zu verstehen ist und welchen Umfang das Erfordernis der zur Verfügungstellung der Kopien hat. Dabei ging es um die Frage, ob nur eine Kopie der Daten ausgehändigt werden muss, oder auch Auszüge von Dokumenten oder ganzen Dokumente sowie Auszüge von Datenbanken ausgefertigt werden müssen.
Der EuGH entschied, dass im Rahmen des Auskunftsrechts eine originalgetreue und verständliche Reproduktion aller Daten gefordert werden kann. Dabei steht einem dieses Recht nur zu, wenn die Zurverfügungstellung einer Kopie unerlässlich ist für die Ausübung der die durch die DSVGO erlangten Rechte, wobei jedoch die Rechte und Freiheiten von anderen zu berücksichtigen sind. Der EuGH begründet dies damit, dass das Ziel des Artikel 15 DSGVO wäre, die Rechte von Betroffenen zu stärken und präzise festzuhalten. Nur so könnte man die Rechtmäßigkeit der Datenverarbeitung auch überprüfen. Dieser Umfang sei dabei insbesondere erforderlich, um die Rechte des Betroffenen auf Berichtigung sowie auf Löschung zu gewährleisten.
Das heißt eine einfache Liste mit den personenbezogenen Daten reicht nicht aus und es besteht ein Anspruch auf vollständige Übermittlung der Verwendung der personenbezogenen Daten.
Die zweite Frage beschäftigte sich mit der Auslegung des Begriffs „Information“, und ob darunter nur die personenbezogenen Daten fallen oder auch darüber hinaus gehende Einzelheiten wie beispielsweise Metadaten.
Laut EuGH fallen unter den Begriff der Information ausschließlich die personenbezogenen Daten, welche der Verantwortliche als Kopie zur Verfügung stellen muss. Denn dies ergäbe sich aus dem Kontext der Norm und zudem aus den Zielen, die mit der Richtlinie verfolgt werden.
Im Ausgangsverfahren stritten UZ, ein Drittstaatsangehöriger, und das Bundesamt für Migration und Flüchtlinge über die Rechtmäßigkeit der Verarbeitung eines von UZ gestellten Antrags auf internationalen Schutz.
Das Bundesamt lehnte diesen nämlich ab, und stützte sich dabei auf eine von ihm erstellte elektronische Akte „MARIS“, welche personenbezogene Daten von UZ enthielt.
Gegen diesen Bescheid klagte UZ vor dem Verwaltungsgericht Wiesbaden. Dabei wurde dem Gericht die „MARIS“ Akte über das elektronische Gerichts- und Verwaltungspostfach im Rahmen eines Verfahrens nach Artikel 26 DSGVO übermittelt.
Das VG Wiesbaden legte daraufhin dem EuGH das Verfahren vor, da es Zweifel daran hatte, dass das Führen der Akte vom Bundesamt sowie die Übermittlung dieser an das Gericht rechtmäßig waren. Denn das Bundesamt könnte beim Führen der Akte gegen Artikel 5 Absatz 1 und Artikel 30 der DSGVO verstoßen haben, denn es fehlte ein vollständiges Verzeichnis der Verarbeitungstätigkeiten.
EuGH, Urteil vom 4. Mai 2023 -C-60/22
Das Gericht wollte im Wege der Vorabentscheidung nun vom EuGH wissen, ob eine unvollständige Rechenschaftspflicht nach Artikel 5 DSGVO oder eine fehlende Vereinbarung über ein gemeinsames Verfahren nach Artikel 26 DSGVO dazu führen, dass die Verarbeitung unrechtmäßig im Sinne der Artikel 17 und 18 DSGVO ist und der Betroffene einen Löschungs- oder Beschränkungsanspruch hat.
Der EuGH entschied unter Berücksichtigung von Wortlaut, Kontext und Zielen der Norm, dass ein bloßer Verstoß gegen die Pflichten der Artikel 26 und 30 DSGVO wie das unvollständige Führen eines Verzeichnisses von Verarbeitungstätigkeiten nicht unrechtmäßig sei. Danach hat der Betroffene auch keinen Löschungs- oder Beschränkungsanspruch. Denn ein solcher Verstoß gegen Artikel 26 und 30 DSGVO verstoße nicht automatisch gegen die Rechenschaftspflicht aus Artikel 5 DSGVO.
Zudem wollte das Gericht, wissen, ob, sollte gegen Artikel 26 und 30 DSGVO verstoßen worden sein, das Gericht die Daten nur unter Einwilligung der betroffenen Person berücksichtigen darf.
Der EuGH entschied jedoch dagegen. Eine Einwilligung ist keine Voraussetzung für die rechtmäßige Berücksichtigung der Daten durch ein nationales Gericht. Dies liest der EuGH aus dem Wortlaut des Artikel 6 DSGVO, denn es sei davon auszugehen, dass bei der Ausübung der durch nationalen Rechts übertragenen gerichtlichen Befugnisse die Verarbeitung der personenbezogenen Daten erforderlich sei.
Ihre personenbezogenen Daten sind unrechtmäßig verarbeitet worden und Sie wollen nun dagegen vorgehen? Dann sind Sie bei SBS LEGAL genau richtig! Wir als Datenschutzrechtskanzlei sind Experten auf diesem Gebiet und beraten Sie fachbasiert und zielorientiert. Egal ob Schadensersatzansprüche oder Unterlassungsklagen, wir setzen Ihre Interessen gerichtlich sowie außergerichtlich durch.
Oder noch Unklarheiten zu den neuen Urteilen des EuGH? Dann kontaktieren Sie uns gerne. Sie erreichen und jederzeit telefonisch sowie auch per E-Mail.