Im März hat sich der Europäische Gerichtshof (EuGH, Urteil vom 14.03.2024 – C-46/23) zu der Frage geäußert, ob Datenschutzaufsichtsbehörden die Löschung personenbezogener Daten anordnen können. Ausgangspunkt war ein Meinungsstreit in Ungarn. Dieser basierte auf der Ansicht einer Verwaltungsbehörde, dass ein Löschantrag i. S. d. Art. 17 DSGVO (nur) betroffenen Personen vorbehalten sei. Die ungarische Aufsichtsbehörde hatte eine Löschung aufgrund einer unrechtmäßigen Datenverarbeitung angewiesen, ohne dass dies von den davon betroffenen Personen selbst verlangt worden war. Die Anordnung wurde dabei auf die Abhilfebefugnisse aus Art. 58 Abs. 2 lit. d DSGVO gestützt, wonach jede Aufsichtsbehörde die Befugnis hat, „den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung [der DSGVO, Anm. d. Verf.] zu bringen“.
Löschanweisung von Amts wegen
Der EuGH entschied, dass eine Datenschutzaufsichtsbehörde ihre Befugnisse aus Art. 58 Abs. 2 lit. d DSGVO – sowie ebenfalls aus Art. 58 Abs. 2 lit. g DSGVO – von Amts wegen ausüben darf, sofern dies zur Erfüllung ihrer Aufgabe erforderlich ist. Letztere Norm regelt, dass Aufsichtsbehörden „die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen“. So stellte der EuGH zunächst die fehlende Bezugnahme zu einem von der betroffenen Person geltend gemachten Betroffenenrecht bzw. Antrag innerhalb der beiden Bestimmungen heraus. Ferner wurde die grundsätzliche Löschpflicht des Verantwortlichen gemäß Art. 17 Abs. 1 DSGVO betont, die auch unabhängig von einem Antrag der betroffenen Person greift. Zu berücksichtigen sei dabei auch der Umstand, dass ggf. nicht über die Datenverarbeitung unterrichtet wurde – insbesondere bei deren Unrechtmäßigkeit. Gerade in diesen Fällen komme den Abhilfebefugnissen der Aufsichtsbehörden eine besondere Bedeutung zu, Verletzungen der DSGVO zu beenden. Zudem wurde herausgestellt, dass sich eine Löschanordnung einer Aufsichtsbehörde sowohl auf personenbezogene Daten beziehen kann, die bei der betroffenen Person selbst erhoben wurden als auch auf personenbezogene Daten, die aus anderen Quellen stammen.
Auswirkungen der Entscheidung
Grundsätzlich dürfte die Auseinandersetzung des EuGH mit Löschanordnungen durch eine Datenschutzaufsichtsbehörde aus deutscher Sicht eher verwunderlich sein. Während es hierzulande bislang keinen Diskurs zu diesem Thema gab, war diesbezüglich in Ungarn die höchstrichterliche Rechtsprechung gefordert. Die (für uns eher klarstellende) Entscheidung des EuGH zu den Befugnissen von Aufsichtsbehörden ist letztlich zu begrüßen. Zu bedenken bleibt das Argument des EuGH, dass nicht jede betroffene Person – ggf. wegen fehlender Datenschutzinformationen gemäß Art. 13 DSGVO – von der Verarbeitung ihrer Daten zu einem bestimmten Zweck wissen könne. Ferner dürften die Betroffenen oftmals auch nicht einschätzen können, ob ihre Daten verarbeitet werden dürfen oder zu löschen sind. Die Möglichkeit der Aufsichtsbehörden, Löschungen anzuordnen, bleibt daher erforderlich, um die Vorschriften der DSGVO umsetzen zu können.