In seinem kürzlich ergangenen Urteil vom 4. Mai (Rechtssache C-60/22) befasst sich der EuGH u. a. mit der Frage, wann eine unrechtmäßige Verarbeitung vorliegt, die dem Betroffenen ein Recht auf Löschung oder Einschränkung der Verarbeitung verleiht. Auf die Kernaussagen aus dem EuGH-Urteil zu dieser Frage wird im Folgenden eingegangen.

Allgemeines

Gemäß Art. 17 Abs. 1 lit. d DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn diese unrechtmäßig verarbeitet wurden. Darüber hinaus hat die betroffene Person nach Art. 18 Abs. 1 lit. b DSGVO das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die Verarbeitung unrechtmäßig ist und sie die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung dieser Daten verlangt. Die zuvor genannten Bestimmungen sind regelmäßig in Verbindung mit den in Art. 5 Abs. 1 DSGVO genannten Grundsätzen, zu deren Einhaltung der Verantwortliche nach Art. 5 Abs. 2 DSGVO verpflichtet ist, zu lesen. Art. 5 Abs. 2 DSGVO legt dem Verantwortlichen neben der sog. Rechenschaftspflicht, ebenso wie Art. 24 DSGVO, gewisse Pflichten auf.  Um etwaigen Verstößen gegen die Vorschriften der DSGVO vorzubeugen, wird der Verantwortliche dabei insbesondere zur Wahrung des Rechts auf Datenschutz verpflichtet.

Worum ging es?

Gegenstand des Ausgangsverfahrens war die Klage einer Privatperson gegen einen Bescheid des Bundesamtes für Migration und Flüchtlinge (BAMF) vor dem Verwaltungsgericht Wiesbaden, in welchem sich das BAMF auf die von ihr erstellte elektronische Akte „MARIS“ stützte, die personenbezogene Daten des Klägers enthielt. Die Akte wurde dem Verwaltungsgericht im Rahmen eines gemeinsamen Verfahrens nach Art. 26 DSGVO über das elektronische Gerichts- und Verwaltungspostfach übermittelt. Das Gericht wies darauf hin, dass die Verarbeitung personenbezogener Daten durch die Mitgliedsstaaten bei Verfahren für die Zuerkennung des internationalen Schutzes nach Maßgabe der DSGVO erfolgt (52. Erwägungsgrund der Richtlinie 2013/32). Dass das Führen der vom BAMF erstellten elektronischen Akte sowie deren Übermittlung an das Gericht mit der DSGVO im Einklang stünden, bezweifelte das Gericht jedoch.

Die Zweifel entstanden, da das BAMF auf Nachfrage weder eine Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO noch ein vollständiges Verzeichnis der Verarbeitungstätigkeit nach Art. 30 DSGVO vorlegen konnte.

Um festzustellen, ob die in der elektronischen Akte „MARIS“ enthaltenen Daten zum Gegenstand eines Verwaltungsverfahrens gemacht werden können, legte das Verwaltungsgericht dem EuGH die folgenden Fragen vor (Rn. 38):

  1. „Führt eine fehlende bzw. unterlassene oder unvollständige Rechenschaftspflicht eines Verantwortlichen nach Art. 5 der DS-GVO, z. B. durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO oder eine fehlende Vereinbarung über ein gemeinsames Verfahren nach Art. 26 DS-GVO dazu, dass die Datenverarbeitung unrechtmäßig im Sinne der Art. 17 Abs. 1 Buchst. d DS-GVO und Art. 18 Abs. 1 Buchst. b DS-GVO ist, so dass ein Löschungs- bzw. Beschränkungsanspruch des Betroffenen besteht?“
  2. „Falls Frage 1 zu bejahen ist: Führt das Bestehen eines Löschungs- oder Beschränkungsanspruchs dazu, dass die verarbeiteten Daten in einem Gerichtsverfahren nicht zu berücksichtigen sind? Dies jedenfalls dann, wenn die betroffene Person der Verwertung im gerichtlichen Verfahren widerspricht?“
  3. „Falls Frage 1 zu verneinen ist: Führt ein Verstoß eines Verantwortlichen gegen Art. 5, 30 oder 26 DS-GVO dazu, dass ein nationales Gericht bei der Frage der gerichtlichen Verwertung der Datenverarbeitung die Daten nur berücksichtigen darf, wenn der Betroffene der Verwertung ausdrücklich zustimmt?“

Antworten des EuGH auf die Vorlagefragen des Verwaltungsgerichts

Zur ersten Frage: Aus der Rechenschaftspflicht folgt, dass der Verantwortliche nach Art. 5 Abs. 2 i. V. m. Art. 5 Abs. 1 lit. a DSGVO sicherstellen muss, dass die von ihm durchgeführte Datenverarbeitung rechtmäßig ist. Nach Art. 6 ist eine Datenverarbeitung rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitstatbestände erfüllt ist. Die Liste ist erschöpfend und abschließend. Daraus folgt, dass die Pflicht zum Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung nach Art. 26 DSGVO sowie die Pflicht nach Art. 30 DSGVO, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, keine Voraussetzungen für eine rechtmäßige Verarbeitung i. S. d. Art. 6 Abs. 1 DSGVO darstellen. Mithin führt ein Verstoß eines Verantwortlichen gegen seine Pflichten aus Art. 26 und 30 DSGVO auch nicht zu einer unrechtmäßigen Verarbeitung i. S. v. Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO und dem Betroffenen entsteht somit auch kein Recht auf Löschung oder auf Einschränkung der Verarbeitung. Der Verstoß als solcher bedeutet nämlich nicht, dass der Verantwortliche gegen den Grundsatz der Rechenschaftspflicht i. S. v. Art. 5 Abs. 2 i. V. m. Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO verstößt.

Nach Ansicht des EuGH werden solche Verstöße vielmehr durch Ausübung der den Aufsichtsbehörden zur Verfügung gestellten „Abhilfebefugnissen“ geregelt. Im Besonderen durch die Anordnung gemäß Art. 58 Abs. 2 lit. d. DSGVO, Verarbeitungsvorgänge auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, die Einlegung einer Beschwerde bei der Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO oder die Geltendmachung eines Schadensersatzanspruchs nach Art. 82 DSGVO.

Zur zweiten Frage: Eine Entscheidung des EuGH zur zweiten Frage war angesichts der Beantwortung der ersten Frage nicht erforderlich.

Zur dritten Frage: Die damit noch ausstehende dritte Frage beantwortet der EuGH damit, dass aus dem Wortlaut von Art. 6 Abs. 1 DSGVO klar hervorgeht, dass eine Einwilligung des Betroffenen gemäß lit. a nur einen von mehreren Gründen für die Rechtmäßigkeit der Verarbeitung darstellt. Die Rechtmäßigkeitstatbestände stehen gleichberechtigt nebeneinander und können kumulativ herangezogen werden. Übt ein Gericht die ihm durch das nationale Recht verliehenen gerichtlichen Befugnisse aus, so kann davon ausgegangen werden, dass die personenbezogene Datenverarbeitung durch dieses Gericht zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erfolgt und somit für den in Art. 6 Abs. 1 lit. e DSGVO genannten Zweck erforderlich ist. Wenn ein Verantwortlicher gegen seine Pflichten aus den Art. 26 oder 30 der DSGVO verstoßen hat, stellt die Einwilligung des Betroffenen in die Verwertung seiner personenbezogenen Daten folglich keine Voraussetzung dafür dar, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig ist.

Fazit

Durch die Entscheidung des EuGH wird deutlich, dass einerseits zwischen der Frage nach der Rechtsgrundlage und andererseits den erweiterten Pflichten, wie etwa die Pflicht, geeignete Maßnahmen zu ergreifen, um etwaigen Verstößen gegen die Vorschriften der DSGVO vorzubeugen, unterschieden werden muss. Ob eine Verarbeitung rechtmäßig ist oder nicht, hängt schließlich allein davon ab, ob für die in Rede stehende Verarbeitung eine Rechtsgrundlage vorliegt.