Datenschutz­woche

#86

Europäischer Gerichtshof: Drei wichtige Entscheidungen zum Datenschutz

Anfang Mai hatte sich der EuGH in gleich drei Verfahren mit Grundsatzfragen des europäischen Datenschutzrechts zu beschäftigen. Sowohl bei den Anforderungen an einen immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO als auch bei der Reichweite des Rechts auf Kopie hat der EuGH eine eher betroffenenfreundliche Position eingenommen. Bei der Rechtmäßigkeit von Datenverarbeitungen entschied der EuGH eher zu Gunsten von Verantwortlichen. Die drei Entscheidungen im Überblick:

1) EuGH, Urteil vom 04.05.2023, Rs. C‑300/21 („Österreichische Post“)

Ein bloßer Verstoß gegen die Bestimmungen der DSGVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Voraussetzung für den Anspruch nach Art. 82 Abs. 1 DSGVO ist demnach, dass a) ein Verstoß gegen die DSGVO vorliegt, b) aus diesem Verstoß ein materieller oder ein immaterieller Schaden resultiert, sowie c) der Verstoß ursächlich ist für den Schaden.

Darüber hinaus stellt der EuGH fest, dass der Anspruch aus Art. 82 Abs. 1 DSGVO nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. Die Bemessung des Schadensersatzes kann nach nationalen Regeln erfolgen, solange ein vollständiger und wirksamer Schadensersatz gewährleistet ist.

2) EuGH, Urteil vom 04.05.2023, Rs. C-487/21 („Österreichische Datenschutzbehörde und CRIF“)

Das Recht auf Kopie aus Art. 15 Abs. 3 DSGVO verlangt, dass für die Betroffenen eine originalgetreue und verständliche Reproduktion ihrer Daten bereitgestellt wird. Das Recht umfasst auch Auszüge aus Dokumenten, ganze Dokumente oder Auszüge aus Datenbanken, soweit dies zur wirksamen Ausübung der Betroffenenrechte erforderlich ist.

3) EuGH, Urteil vom 04.05.2023, Rs. C-487/21 – Bundesrepublik Deutschland (Boîte électronique judiciaire)

Verstöße des Verantwortlichen gegen die Pflicht zum Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) oder zur Führung eines Verarbeitungsverzeichnisses (Art. 30 DSGVO) führen nicht zur Unrechtmäßigkeit der Verarbeitung. Die betroffene Person hat daher kein Recht auf Löschung oder auf Einschränkung der Verarbeitung.

Europaweite Prüfaktion zu Datenschutzbeauftragten: Fragebogen veröffentlicht

Die dänische Datenschutzaufsichtsbehörde hat den Fragebogen zur europaweiten Prüfaktion zur Stellung und den Aufgaben von Datenschutzbeauftragten veröffentlicht. Das Dokument, das bisher nur auf Dänisch verfügbar ist, verdeutlicht den informatorischen Charakter, den die Durchsetzungsmaßnahme im ersten Schritt hat. Gefragt wird unter anderem nach der Qualifikation und der Ressourcenausstattung der Datenschutzbeauftragten, aber auch nach möglichen Interessenkonflikten und Zusatzaufgaben. Auf den Fragebogen kann die Einleitung eines formellen Prüfverfahrens folgen. In Deutschland hat bisher nur das BayLDA eine Teilnahme bestätigt.

Internationale Nachrichten

Aktuelle Gerichtsentscheidungen

  • VGH Bayern, Urteil vom 09.03.2023, Az. 13a B 22.1688 (Volltext): Name und Adresse gehören nicht zu den besonders schutzbedürftigen besonderen Kategorien personenbezogener Daten im Sinn von Art. 9 Abs. 1 DSGVO.
  • AG Frankfurt, Urteil vom 14.03.2023, Az. 31 C 2043/22 (78) (Volltext): Kein Anspruch auf eine Kopie einer Prüfungsarbeit für einen Sprachtest aus Art. 15 Abs. 3 DSGVO wegen eines Geheimhaltungsinteresses des Testanbieters.
  • EuGH, Urteil vom 04.05.2023, Rs. C‑300/21 (Volltext): Ein bloßer Verstoß gegen die DSGVO reicht nicht aus, um einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Zu ersetzen sind alle Schäden, die der Betroffene erleidet (keine Erheblichkeitsschwelle).
  • EuGH, Urteil vom 04.05.2023, Rs. C-487/21 (Volltext): Das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO verlangt, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion ihrer Daten bereitgestellt wird.
  • EuGH, Urteil vom 04.05.2023, Rs. C‑60/22 (Volltext): Fehlt für eine Datenverarbeitung eine Vereinbarung über die gemeinsame Verantwortung oder fehlt ein Eintrag im Verarbeitungsverzeichnis, so führt dieser Verstoß nicht zur Unrechtmäßigkeit der Verarbeitung.

Neuigkeiten aus den Aufsichtsbehörden