Am heutigen Tag hat der EuGH drei bedeutende Entscheidungen zur DSGVO veröffentlicht, über die wir Sie kurz informieren möchten. Eine ausführliche Besprechung der Urteile erfolgt in Kürze in unserem Blog.

Schadensersatz nach der DSGVO

Das höchste europäische Gericht entschied unter anderem zu der seit längerem diskutierten Frage, ob und ab wann ein Verstoß gegen Vorschriften aus der DSGVO auch einen Schaden darstellen und somit Ansprüche auf Schadensersatz (durch die hiervon betroffene Person) begründen könnte. Zu dieser Problematik ergingen in den letzten Jahren zahlreiche Urteile mit bisweilen unterschiedlichen Ergebnissen. Zum Teil entschieden deutsche Gerichte, dass eine gewisse Erheblichkeit eines Schadens für den Erfolg des Schadensersatzes vorliegen müsse, zum Teil wurde bereits ein Schadensersatz bei kleineren Verstößen gegen die Bestimmungen aus der DSGVO angenommen.

Der EuGH urteilte im Vorabentscheidungsverfahren zum Verfahren gegen die Österreichische Post AG (Urteil vom 4.5.2023, Az.: C-300/21), dass nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch eröffne, d. h. ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führe, sondern auch ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen müsse, um einen Schadenersatzanspruch zu begründen. Im Hinblick auf immaterielle Schäden lehnt das Gericht eine Beschränkung des Schadenersatzanspruchs auf Fälle mit einer gewissen Erheblichkeit ab und erteilt damit der Diskussion über eine „Erheblichkeitsschwelle“ eine Abfuhr.

Auch äußerst sich der EuGH zur Bemessung der Höhe des Schadensersatzes und legt es in die Hände der Mitgliedstaaten, speziellere Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes festzulegen.

Das Urteil und die zugehörige Pressemitteilung finden Sie hier und hier.

Zum Begriff der „Kopie“ im Sinne des Auskunftsrechts (Art. 15 Abs. 3 DSGVO)

Auch war es lange Zeit umstritten, welchen exakten Anforderungen eine „Kopie“ von personenbezogenen Daten im Rahmen des Auskunftsanspruches nach Art. 15 Abs. 3 DSGVO unterliegt. Der Wortlaut der Norm lautet:

„Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.“

Unklar war, ob hierunter eine exakte Kopie (originalgetreue Reproduktion) durch einen 1:1 Scan/Kopie von Unterlagen zu verstehen ist oder eine Tabelle an aggregierten Informationen ausreicht.

Der EuGH entschied heute (Urteil vom 4.5.2023, Az.: C-487/21), dass ein recht weites Verständnis vom Begriff der „Kopie“ anzulegen sei, also „dass diese Bestimmung der betroffenen Person das Recht verleiht, eine originalgetreue Reproduktion ihrer personenbezogenen Daten im Sinne einer weiten Bedeutung zu erhalten, die Gegenstand von Vorgängen sind, die als Verarbeitung durch den für diese Verarbeitung Verantwortlichen eingestuft werden müssen.“

Auch müsse die Kopie alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind, sich also nicht nur auf ein Dokument als solches beziehe. Die Daten sind daher vollständig und originalgetreu wiederzugeben. In bestimmten Situationen, z. B. bei Freitextfeldern bedarf es einer Erklärung des Kontextes der Datenverarbeitung, „damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann.“

Zuletzt nimmt das Gericht auch Stellung zur Abwägung zwischen den Interessen der betroffenen Person und hiervon ebenso betroffenen Dritten (im Sinne von Art. 15 Abs. 4 DSGVO).

Das Urteil und die Pressemitteilung finden Sie hier und hier.

Verstoß gegen Art. 26 und 30 DSGVO führt nicht zur Unrechtmäßigkeit der Datenverarbeitung im Sinne von Art. 17 DSGVO

Zuletzt erging heute eine dritte, datenschutzrechtlich relevante Entscheidung des EuGH zu den Rechenschaftspflichten des Verantwortlichen im Sinne von Art. 5 Abs. 2 DSGVO. Denn grundsätzlich hat der für eine Datenverarbeitung Verantwortliche die Rechenschaft über die Rechtmäßigkeit der Datenverarbeitung und Einhaltung der Vorgaben aus der DSGVO abzulegen.

Das VG Wiesbaden legte dem EuGH im Wege der Vorabentscheidung folgende Ausgangsfrage vor:

„Führt eine fehlende bzw. unterlassene oder unvollständige Rechenschaftspflicht eines Verantwortlichen nach Art. 5 der DS-GVO, z. B. durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO oder eine fehlende Vereinbarung über ein gemeinsames Verfahren nach Art. 26 DS-GVO dazu, dass die Datenverarbeitung unrechtmäßig im Sinne der Art. 17 Abs. 1 Buchst. d DS-GVO und Art. 18 Abs. 1 Buchst. b DS-GVO ist, so dass ein Löschungs- bzw. Beschränkungsanspruch des Betroffenen besteht?“

Im Verfahren gegen die Bundesrepublik Deutschland entschied der EuGH (Urteil vom 4.5.2023, Az.: C-60/22) nun, dass der Verantwortliche die Rechtmäßigkeit der von ihm durchgeführten Datenverarbeitung sicherzustellen habe, die sich jedoch aus Art. 6 der DSGVO ergäbe. Die Einhaltung der in Art. 26 DSGVO vorgesehenen Pflicht zum Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung und der in Art. 30 dieser Verordnung verankerten Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, zählen nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung.

Der EuGH stellt daher fest, „dass ein Verstoß gegen die Art. 26 und 30 der DS-GVO durch den Verantwortlichen keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 Buchst. d oder Art. 18 Abs. 1 Buchst. b dieser Verordnung in Verbindung mit ihren Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 Unterabs. 1 darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung gewährt.“

Das Urteil finden Sie hier.

Ausblick

Wie geht es weiter? In den nächsten Tagen und Wochen dürften diese drei Urteile nun akribisch gelesen und analysiert werden. Es ist zu hoffen, dass sich die Datenschutzaufsichtsbehörden zeitnah mit diesen Entscheidungen befassen und hierzu (rechtsverständlich) positionieren werden. Dies würde auch Unternehmen und öffentliche Stellen bei der Umsetzung dieser (neuen), nun etwas konkreteren Vorgaben aus der DSGVO entgegenkommen.