Am Donnerstag, dem 4.5.2023, hat der EuGH drei für das Datenschutzrecht relevante Urteile gefällt. Der Beitrag gibt einen Überblick über die jeweiligen Verfahren, die Entscheidungen und potentielle Auswirkungen. Die angegebenen Randnummern beziehen sich auf das jeweilige Urteil.
A. Rechtssache C-60/22 – Bundesrepublik Deutschland (Boîte électronique judiciaire)
Der EuGH urteilt in der Rechtssache C-60/22 – Bundesrepublik Deutschland (Boîte électronique judiciaire) im Wege eines Vorabentscheidungsverfahrens, dass Verstöße gegen die Pflichten aus den Artt. 26 und 30 DSGVO keine unrechtmäßige Verarbeitung darstellen, die Betroffenen ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht, weil daraus nicht ohne weiteres folgt, dass der Verantwortliche auch gegen den Grundsatz der „Rechenschaftspflicht“ im Sinne von Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO verstoßen hat. Auch wenn ein datenschutzrechtlich Verantwortlicher gegen seine Pflichten aus Art. 26 oder 30 DSGVO verstoßen hat, können personenbezogenen Daten ohne die Einwilligung des Betroffenen rechtmäßig verarbeitet werden – vorliegend durch ein nationales Gericht.
Gegenstand des Ausgangsverfahrens war eine Klage gegen einen Bescheid des Bundesamtes für Migration und Flüchtlinge beim VG Wiesbaden, in dem sich das Bundesamt auf die von ihm erstellte elektronische Akte „MARIS“, die personenbezogene Daten des Klägers des Ausgangsverfahrens enthielt, stützte. Die elektronische Akte „MARIS“ wurde dem VG im Rahmen eines gemeinsamen Verfahrens nach Art. 26 DSGVO über das Elektronische Gerichts- und Verwaltungspostfach übermittelt. Das Gericht hatte Zweifel daran, dass das Führen der vom Bundesamt erstellten elektronischen Akte und deren Übermittlung an das Gericht über das Elektronische Gerichts- und Verwaltungspostfach mit der DSGVO in Einklang steht. Diese gerichtlichen Zweifel nährten sich aus der Tatsache, dass das Bundesamt auf Nachfrage weder ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, noch eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vorlegte. Um Klarheit darüber zu erlangen, ob die in der elektronische Akte „MARIS“ vorhandenen Daten zum Gegenstand des verwaltungsgerichtlichen Verfahren gemacht werden dürfen, legte das VG dem EuGH drei Fragen vor.
Im Hinblick auf die erste Frage vom VG Wiesbaden vorgelegte Frage unterstreicht der EuGH neuerlich, dass jede Verarbeitung personenbezogener Daten mit den in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 DSGVO aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen muss (Rn. 57). Ein Verstoß gegen Art. 26 und 30 DSGVO durch den Verantwortlichen stellt nach dem Urteil hingegen keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 lit. d oder Art. 18 Abs. 1 lit. b DSGVO dar (Rn. 61, 66), die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht, weil dieser Verstoß als solcher nicht bedeutet, dass der Verantwortliche gegen den Grundsatz der „Rechenschaftspflicht“ im Sinne von Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO verstößt (Rn. 69). Derlei Verstößen ist nach Auffassung des EuGH durch die Ausübung der von der DSGVO vorgesehenen „Abhilfebefugnissen“ durch die Aufsichtsbehörde zu begegnen, namentlich die Anordnung nach Art. 58 Abs. 2 lit. d DSGVO, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen, die Einlegung einer Beschwerde gemäß Art. 77 Abs. 1 DSGVO oder die Geltendmachung eines Schadenersatzanspruchs nach Art. 82 DSGVO (Rn. 67).
Die damit noch zu beantwortende dritte Frage des VG Wiesbaden beantwortet der EuGH dahingehend, dass eine Einwilligung des Betroffenen nach Art. 6 Abs. 1 S. 1 lit. a DSGVO nur einen der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO darstellt (Rn. 72), so dass die von nationalen Gerichten im Rahmen der ihnen übertragenen Befugnisse erforderlichen Verarbeitungen personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. e DSGVO von sind (Rn. 73). wenn ein für die Verarbeitung personenbezogener Daten Verantwortlicher gegen seine Pflichten aus den Art. 26 oder 30 der DS-GVO verstoßen hat, die Einwilligung der betroffenen Person keine Voraussetzung dafür darstellt, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig ist. (Rn. 75).
Fazit: Der EuGH macht deutlich, dass zwischen der Frage der Rechtsgrundlage für eine Datenverarbeitung einerseits und „begleitenden“ Compliance-Pflichten nach der DSGVO andererseits differenziert werden muss. Ob eine Verarbeitung „unrechtmäßig“ erfolgt ist, hängt allein von der Frage ab, ob eine Rechtsgrundlage für die in Rede stehende Verarbeitung existiert.
B. Rechtssache C-300/21 – Österreichische Post
Der EuGH urteilt in der Rechtssache C-300/21 – Österreichische Post, dass ein bloßer Verstoß gegen die DSGVO nicht schon einen Schadensersatzanspruch begründet, sondern dass dieser davon abhängt, ob tatsächlich ein Schaden entstanden ist. Hinsichtlich der Höhe des Schadenersatzanspruchs verweist das Gericht lediglich auf die nationalen Vorschriften der Mitgliedsstaaten, wobei die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität zu beachten sind.
Der österreichische Oberste Gerichtshof äußerte Zweifel am geltend gemachten Schadensersatzanspruch eines Betroffenen, dem im Zuge einer Sammlung von Informationen über politische Affinitäten mit Hilfe eines Algorithmus durch die Österreichische Post eine besondere Affinität zu einer bestimmten Partei zugeschrieben wurde. Der Betroffene, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptete, dass er ein großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt habe und begehrte als Ersatz für den ihm angeblich entstandenen immateriellen Schaden vor den österreichischen Gerichten die Zahlung von 1000 Euro.
In seinem Urteil vom 4.5.2023 stellt der EuGH dazu zunächst fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß (Rn. 32, 37). Somit führt bereits nach dem Wortlaut der Erwägungsgründe nicht jeder Verstoß gegen die DSGVO für sich genommen zu einem Schadenersatzanspruch – anders als bei Rechtsbehelfen, die die Verhängung von Geldbußen erlauben, muss das Vorliegen eines individuellen Schadens bei Geltendmachung eines immateriellen Schadensersatzanspruchs nachgewiesen werden (Rn. 40, 50).
Weiterhin stellt der EuGH aber fest, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen, da ein solches Erfordernis in der DSGVO nicht erwähnt ist (Rn. 45) und eine solche Beschränkung im Widerspruch zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Schadenbegriffs stünde (Rn. 46).
Zudem stellt der EuGH fest, dass die DSGVO keine Regeln für die Bemessung von Schadensersatzansprüchen vorsieht, weshalb die Festlegung der Kriterien Aufgabe des Rechts der einzelnen Mitgliedstaaten ist (Rn. 54). In diesem Zusammenhang betont der EuGH die Ausgleichsfunktion des Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO und weist darauf hin, dass dieses Instrument ausweislich Erwägungsgrund 146 DSGVO einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen soll (Rn. 57).
Fazit: Verstoß bedeutet Verstoß – unabhängig von dessen Schwere. Aber; kein Schadenersatz auf Grundlage von Art. 82 DSGVO ohne Schaden – den der Betroffene darlegen muss.
C. Rechtssache C-487/21 – Österreichische Datenschutzbehörde und CRIF
In einem weiteren Urteil mit österreichischer Vorgeschichte urteilt der EuGH, dass das Recht auf Kopie aus Art. 15 Abs. 3 DSGVO bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller vorhandenen Daten zur Verfügung gestellt wird. Dies umfasst das Recht, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder Auszügen aus Datenbanken zu erlangen, wenn dies unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen. Zudem stellt der EuGH klar, dass sich der Begriff „Informationen“ in Art. 15 Abs. 3 S. 3 DSGVO ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Art. 15 Abs. 3 S. 1 DSGVO eine Kopie zur Verfügung stellen muss.
Gegenstand des Ausgangsverfahrens war die Beschwerde eines Betroffenen, der gegen eine Kreditauskunftei einen Auskunftsanspruch nach Art. 15 DSGVO geltend machte und um die Zurverfügungstellung der dort vorgehaltenen Daten „in einem üblichen technischen Format“ bat. Daraufhin übermittelte die Auskunftei dem Kläger eine Liste seinerpersonenbezogenen Daten in aggregierter Form. Da der Betroffene der Ansicht war, dass ihm eine Kopie sämtlicher seine Daten enthaltender Dokumente wie E-Mails und Auszüge aus Datenbanken hätte übermitteln werden müssen, legte er bei der Österreichischen Datenschutzbehörde eine Beschwerde ein. Diese wies die Beschwerde mit der Begründung ab, dass das Recht des Betroffenen aus Art. 15 DSGVO nicht verletzt wurde.
Das österreichische Bundverwaltungsgericht legte dem EuGH daher die Frage vor, ob die Verpflichtung aus Art. 15 Abs. 3 S. 1 DSGVO erfüllt ist, wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten als Tabelle in aggregierter Form übermittelt, oder ob sie auch die Übermittlung von Auszügen aus Dokumenten oder gar ganzen Dokumenten sowie von Auszügen aus Datenbanken umfasst, in denen diese Daten wiedergegeben werden und bat außerdem um Klarstellung, was der Begriff „Informationen“ in Art. 15 Abs. 3 S. 3 DSGVO genau umfasst.
Der EuGH vertritt dazu die Auffassung, dass das Recht aus Art. 15 Abs. 3 S. 3 DSGVO dahingehend auszulegen ist, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller personenbezogenen Daten zur Verfügung gestellt wird. Dazu muss eine Kopie von Auszügen oder von ganzen Dokumenten beziehungsweise Auszüge aus Datenbanken zur Verfügung gestellt werden, wenn dies unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind. Im Übrigen stellt der EuGH klar, dass sich der im Sinne des Art. 15 Abs. 3 S. 3 DSGVO verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht.
Zum Wortlaut von Art. 15 Abs. 3 S 1 DSGVO stellt der EuGH im Wege einer grammatikalischen Auslegung fest, dass die Norm das Recht verleiht, eine originalgetreue Reproduktion der personenbezogenen Daten im Sinne einer weiten Bedeutung zu erhalten, die Gegenstand von Vorgängen sind, die als Verarbeitung durch den Verantwortlichen eingestuft werden müssen. Im Übrigen erläutert der Gerichtshof, dass sich der Begriff „Kopie“ nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen, bezieht. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind.
Zu den mit Art. 15 DSGVO verfolgten Zielen weist der EuGH darauf hin, dass durch die Ausübung des Auskunftsrechts nicht nur ermöglicht werden muss, zu überprüfen, ob personenbezogene Daten richtig sind, sondern auch, ob sie in zulässiger Weiseverarbeitet werden.
Zudem stellt der EuGH unter Verweis auf die Erwägungsgründe 58 und 60 sowie Art. 12 Abs. 1 DSGVO fest, dass der Verantwortliche geeignete Maßnahmen zu treffen hat, um alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, und dass die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch zu erfolgen hat, es sei denn, die betroffene Person verlangt,dass diese mündlich erteilt werden. Insbesondere wenn personenbezogene Daten aus anderen Daten generiert werden oder wenn sie auf freien Feldern beruhen, d. h. einer fehlenden Angabe, aus der eine Information über die betroffene Personhervorgeht, ist der Kontext, in dem diese Daten Gegenstand der Verarbeitung sind, unerlässlich, damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung dieser Daten erhalten kann.
Weiterhin sind die Modalitäten der Übermittlung nach Auffassung des EuGH so zu wählen, dass die Rechte oder Freiheiten anderer Personen nicht verletzen werden, wobei dies nicht dazu führen darf, dass der betroffenen Person jegliche Auskunft verweigert wird.
Fazit: Eine Kopie ist (lediglich) eine Reproduktion der verarbeiteten personenbezogenen Daten. Nur wenn es unerlässlich ist, müssen die (den Kontext beschreibenden) begleitenden Dokumente, Vertragswerke bereitgestellt werden. Vorhang zu und alle Fragen offen.