DatenschutzWoche vom 08. 05. 2023

Europäischer Gerichtshof: Drei wichtige Entscheidungen zum Datenschutz

Anfang Mai hatte sich der EuGH in gleich drei Verfahren mit Grundsatzfragen des europäischen Datenschutzrechts zu beschäftigen. Sowohl bei den Anforderungen an einen immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO als auch bei der Reichweite des Rechts auf Kopie hat der EuGH eine eher betroffenenfreundliche Position eingenommen. Bei der Rechtmäßigkeit von Datenverarbeitungen entschied der EuGH eher zu Gunsten von Verantwortlichen. Die drei Entscheidungen im Überblick:

1) EuGH, Urteil vom 04.05.2023, Rs. C‑300/21 („Österreichische Post“)

Ein bloßer Verstoß gegen die Bestimmungen der DSGVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Voraussetzung für den Anspruch nach Art. 82 Abs. 1 DSGVO ist demnach, dass a) ein Verstoß gegen die DSGVO vorliegt, b) aus diesem Verstoß ein materieller oder ein immaterieller Schaden resultiert, sowie c) der Verstoß ursächlich ist für den Schaden.

Darüber hinaus stellt der EuGH fest, dass der Anspruch aus Art. 82 Abs. 1 DSGVO nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. Die Bemessung des Schadensersatzes kann nach nationalen Regeln erfolgen, solange ein vollständiger und wirksamer Schadensersatz gewährleistet ist.

2) EuGH, Urteil vom 04.05.2023, Rs. C-487/21 („Österreichische Datenschutzbehörde und CRIF“)

Das Recht auf Kopie aus Art. 15 Abs. 3 DSGVO verlangt, dass für die Betroffenen eine originalgetreue und verständliche Reproduktion ihrer Daten bereitgestellt wird. Das Recht umfasst auch Auszüge aus Dokumenten, ganze Dokumente oder Auszüge aus Datenbanken, soweit dies zur wirksamen Ausübung der Betroffenenrechte erforderlich ist.

3) EuGH, Urteil vom 04.05.2023, Rs. C-487/21 – Bundesrepublik Deutschland (Boîte électronique judiciaire)

Verstöße des Verantwortlichen gegen die Pflicht zum Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) oder zur Führung eines Verarbeitungsverzeichnisses (Art. 30 DSGVO) führen nicht zur Unrechtmäßigkeit der Verarbeitung. Die betroffene Person hat daher kein Recht auf Löschung oder auf Einschränkung der Verarbeitung.

Europaweite Prüfaktion zu Datenschutzbeauftragten: Fragebogen veröffentlicht

Die dänische Datenschutzaufsichtsbehörde hat den Fragebogen zur europaweiten Prüfaktion zur Stellung und den Aufgaben von Datenschutzbeauftragten veröffentlicht. Das Dokument, das bisher nur auf Dänisch verfügbar ist, verdeutlicht den informatorischen Charakter, den die Durchsetzungsmaßnahme im ersten Schritt hat. Gefragt wird unter anderem nach der Qualifikation und der Ressourcenausstattung der Datenschutzbeauftragten, aber auch nach möglichen Interessenkonflikten und Zusatzaufgaben. Auf den Fragebogen kann die Einleitung eines formellen Prüfverfahrens folgen. In Deutschland hat bisher nur das BayLDA eine Teilnahme bestätigt.

Internationale Nachrichten

• Europa: Am 25. Mai 2023 werden der Vorsitz und ein Co-Vorsitz des EDPB neu gewählt. Es gibt jeweils drei Bewerberinnen bzw. Bewerber.
• Europa: Das EDPB hat einen Leitfaden zur Umsetzung der DSGVO im Mittelstand veröffentlicht.
• Italien: Nach Verbesserungen beim Datenschutz hat die italienische Datenschutzbehörde dem Unternehmen OpenAI erlaubt, ihren KI-Dienst ChatGPT in Italien wieder in Betrieb zu nehmen.

Aktuelle Gerichtsentscheidungen

• VGH Bayern, Urteil vom 09.03.2023, Az. 13a B 22.1688 (Volltext): Name und Adresse gehören nicht zu den besonders schutzbedürftigen besonderen Kategorien personenbezogener Daten im Sinn von Art. 9 Abs. 1 DSGVO.
• AG Frankfurt, Urteil vom 14.03.2023, Az. 31 C 2043/22 (78) (Volltext): Kein Anspruch auf eine Kopie einer Prüfungsarbeit für einen Sprachtest aus Art. 15 Abs. 3 DSGVO wegen eines Geheimhaltungsinteresses des Testanbieters.
• EuGH, Urteil vom 04.05.2023, Rs. C‑300/21 (Volltext): Ein bloßer Verstoß gegen die DSGVO reicht nicht aus, um einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Zu ersetzen sind alle Schäden, die der Betroffene erleidet (keine Erheblichkeitsschwelle).
• EuGH, Urteil vom 04.05.2023, Rs. C-487/21 (Volltext): Das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO verlangt, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion ihrer Daten bereitgestellt wird.
• EuGH, Urteil vom 04.05.2023, Rs. C‑60/22 (Volltext): Fehlt für eine Datenverarbeitung eine Vereinbarung über die gemeinsame Verantwortung oder fehlt ein Eintrag im Verarbeitungsverzeichnis, so führt dieser Verstoß nicht zur Unrechtmäßigkeit der Verarbeitung.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Rheinland-Pfalz: „LFDI fragt zu ChatGPT nach“ – Pressemitteilung vom 24.04.2023
• Datenschutzaufsicht Bayern (BayLfD): „Datenschutz als Kriterium im Vergabeverfahren“ – Orientierungshilfe mit Stand vom 25.04.2023
• Datenschutzaufsicht Mecklenburg-Vorpommern: „Sebastian Schmidt zum Landesdatenschutzbeauftragter ernannt“ – Pressemitteilung vom 26.04.2023
• Datenschutzaufsicht Hessen: „HBDI eröffnet Mastodon-Account“ – Pressemitteilung vom 02.05.2023
• Bundesdatenschutzbeauftragter: „Politisches Frühlingsforum am 11. Mai 2023“ – Pressemitteilung vom 02.05.2023
• Datenschutzaufsicht Nordrhein-Westfalen: „Tipps zum Welt-Passwort-Tag“ – Informationen zum Welt-Passwort-Tag am 11. Mai
• Datenschutzaufsicht Sachsen: „Neuer Internetauftritt und neue E-Mail-Adressen“ – Pressemitteilung vom 08.05.2023