24-05-2023
Der Europäische Gerichtshof (EuGH) hat am 4. Mai 2023 drei bedeutende Entscheidungen zu Fragen der Datenschutz-Grundverordnung (DSGVO) veröffentlicht. In den Urteilen ging es um das Recht auf Schadensersatz (C-300/21), das Recht auf Auskunft (C-487/21) sowie die Rechtmäßigkeit der Verarbeitung personenbezogener Daten (C-60/22).
Schadensersatz
Seit längerem ist unklar, ob und wann ein Verstoß gegen die Vorschriften aus der DSGVO einen Schaden darstellen und damit auch einen Anspruch auf Schadensersatz begründen kann. Laut dem Urteil des EuGH eröffne nicht jeder Verstoß gegen die DSGVO für sich genommen einen Schadensersatzanspruch. Hierfür müsse ein Kausalzusammenhang zwischen dem Verstoß und dem entstandenen Schaden bestehen. Für einen Anspruch auf immateriellen Schadensersatz müsse dabei keine Erheblichkeitsschwelle erreicht werden. Die betroffene Person muss in diesem Fall aber nachweisen, dass der Verstoß gegen die DSGVO bei ihr zu einem immateriellen Schaden geführt hat.
„Kopie“ im Sinne des Auskunftsrechts nach Art. 15 Abs.3 DSGVO
Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Person. Nach Art. 15 Abs.3 DSGVO hat der für die Datenverarbeitung Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Bislang unklar war, ob unter dem Begriff „Kopie“ eine exakte Kopie durch einen Scan beziehungsweise eine Kopie der Unterlagen zu verstehen ist oder ob hierfür eine Liste der personenbezogenen Daten in aggregierter Form ausreicht.
Laut dem Urteil des EuGH begründet das Recht auf Kopie in Art. 15 Abs.3 DSGVO kein anderes Recht als das Auskunftsrecht in Absatz 1. Es sei nicht als Recht auf ein Dokument als solches zu verstehen. Nicht erfüllt werde das Recht auf Kopie etwa dann, wenn lediglich eine allgemeine Beschreibung der verarbeiteten Daten erfolgt. Dies gilt auch für eine bloße Aufzählung der Datenkategorien.
Weiter stellt der EuGH fest, dass das Recht auf Kopie auch die originalgetreue und verständliche Reproduktion von Auszügen aus Dokumenten oder Datenbanken oder sogar von ganzen Dokumenten erfordern kann, um dem Grundsatz der Transparenz zu genügen. Der Verantwortliche muss der betroffenen Person eine Kopie zur Verfügung stellen, welche alle Merkmale aufweist, die es ihr ermöglichen, ihre Rechte aus der DSGVO wirksam auszuüben. Das Recht auf Kopie und dessen Umfang hängt insofern vom jeweiligen Verarbeitungsvorgang ab. Bei der Gewährung der Auskunft dürfen jedoch die Rechte und Freiheiten Dritter, Geschäftsgeheimnisse oder Rechte in Bezug auf geistiges Eigentum nicht beeinträchtigt werden.
Unrechtmäßigkeit der Datenverarbeitung
In einem weiteren Urteil des EuGH ging es um die Rechenschaftspflichten des für die Datenverarbeitung Verantwortlichen im Sinne des Art. 5 Abs.2 DSGVO. Hiernach hat der Verantwortliche grundsätzlich Rechenschaft über die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung der Vorschriften aus der DSGVO abzulegen.
Hierzu führt der EuGH aus, dass sich die Prüfung der Rechtmäßigkeit einer Datenverarbeitung ausschließlich nach dem Vorliegen einer Rechtsgrundlage aus Art.6 DSGVO richtet. Die Rechtmäßigkeit einer Verarbeitung werde durch die Nichteinhaltung anderer Pflichten aus der DSGVO, etwa durch ein fehlendes Verarbeitungsverzeichnis nach Art.30 DSGVO oder einen fehlenden Vertrag über die gemeinsame Auftragsverarbeitung nach Art.26 DSGVO, nicht beeinträchtigt.
Mehr Informationen zu den Urteilen des EuGH und zu den Folgen für die Praxis können Sie hier nachlesen.