Rundumschlag des EuGH: Drei bedeutende Entscheidungen zur DSGVO!
09. Mai 2023 | IT- und Datenschutzrecht
Der Europäische Gerichtshof (EuGH) hat am 04.05.2023 in drei Grundsatzurteilen weiter für Klarheit gesorgt und zur Klärung von bisher höchst umstrittenen Rechtsfragen der Datenschutzgrundverordnung (DSGVO) beigetragen.
Keine Erheblichkeitsschwelle bei immateriellen Schadensersatzansprüchen!
Verstöße gegen die DSGVO oder andere datenschutzrechtlichen Normen können für Unternehmen teuer werden. Konkret können Geldbußen in achtstelliger Höher verhängt werden. In Betracht kommen aber auch Schadensersatzansprüche von Personen, welche von einer unrechtmäßigen Datenverarbeitung betroffen sind. Der EuGH hat nun entschieden (Urt. v. 04.05.2023 – Az.: C-300/21), unter welchen Voraussetzungen ein Schadensersatzanspruch bestehen kann.
Die Entscheidung des EuGH geht auf eine Datenverarbeitung bei der Österreichischen Post zurück. Konkret hatte diese Daten von BürgerInnen in Österreich gesammelt, u.a. Adressen und demografische Daten, und hieraus mit Hilfe eines Algorithmus eine Präferenz für politische Parteien ermittelt. Gegen dieses Vorgehen, in welchem die Datenschutzbehörde in Österreich einen Datenschutzverstoß sah, klagte ein Betroffener. Dieser war mit der Parteizuordnung nicht einverstanden und hatte zuvor in die Datenverarbeitung auch nicht eingewilligt. Als Entschädigung für einen erlittenen immateriellen Schaden verlangte er von der österreichischen Post eine Entschädigung in Höhe von 1.000 €.
Die beiden ersten Instanzen wiesen die Klage zurück. Der österreichische Oberste Gerichtshof legte die Sache sodann dem EuGH zur Vorabentscheidung vor (Vorlagebeschl. v. 12.05.2021, Az.: 6 Ob 35/21 x). Gegenstand der Vorlagefragen waren folgende Punkte:
- Ist Schadensersatz bereits allein für die Verletzung von Vorgaben der DSGVO zuzusprechen oder ist ein immaterieller Schaden genauer darzulegen?
- Steht es im Einklang mit dem Unionsrecht, wenn für die Verurteilung zur Zahlung eines immateriellen Schadensersatzes eine Rechtsgutsverletzung von einigem Gewicht verlangt wird? (sog. „Erheblichkeit“)
Der EuGH entschied nun, dass der bloße Verstoß gegen die DSGVO keinen Anspruch auf Schadensersatz begründet. Erforderlich sei vielmehr die (kumulative) Erfüllung folgender Voraussetzungen:
- Verstoß gegen die DSGVO,
- Bestehen eines materiellen oder immateriellen Schadens und
- Ursachenzusammenhang zwischen den ersten beiden Punkten.
Das bedeutet für die Praxis, dass jeweils ein individueller Schaden nachgewiesen werden muss. Soweit es sich um einen immateriellen Schaden handelt, müsse nach Ansicht des EuGH jedoch keine Erheblichkeitsschwelle erreicht werden. Eine Bagatell-Grenze besteht also nicht!
Damit weicht die Entscheidung des Gerichtshofs von dem Schlussantrag des Generalanwalts Sánchez-Bordona vom 06.10.2022 zu dem zugrundliegenden Verfahren ab. Der EuGH argumentierte, solche Erheblichkeitsanforderungen seien der DSGVO unbekannt. Zudem habe sich der Unionsgesetzgeber gerade für ein weites Verständnis des Schadensbegriffs entschieden. Eine Beschränkung von Schadensersatzansprüchen würde daher im Widerspruch zu diesen Grundsätzen stehen.
Zugleich wies der Gerichtshof darauf hin, dass sich die Kriterien für die Ermittlung des Schadensumfangs nach dem Recht der EU-Mitgliedsstaaten richte, welche nun durch die nationalen Gerichte zu entwickeln und festzulegen sind. Hierbei sind die Grundsätze aus der vorgestellten Entscheidung zu berücksichtigen: Die Darlegung eines Schadens ist notwendig. Die Erheblichkeit des Schadens darf jedoch nicht zu einer anspruchsbegründenden Voraussetzung gemacht werden.
EuGH klärt Umfang des Auskunftsrechts nach Art. 15 DSGVO
In einem weiteren Urteil (Urt. v. 04.05.2023 – Az.: C-487/21) hat der EuGH zu der lange Zeit umstrittenen Frage Stellung bezogen, welchen Anforderungen eine „Kopie“ von personenbezogenen Daten im Rahmen eines Auskunftsanspruchs durch den Betroffenen nach Art. 15 Abs. 3 DSGVO unterliegt. Bisher war in der Praxis unklar, ob hierunter eine originalgetreue Reproduktion der Unterlagen zu verstehen ist oder ob eine bloße Auflistung in aggregierter Form ausreicht.
Der EuGH hat nun entschieden, dass ein recht weites Verständnis vom Begriff „Kopie“ zugrunde zu legen sei. Nach Ansicht des Gerichts umfasst das Recht der betroffenen Person eine Kopie personenbezogener Daten erhalten zu können, dass dieser eine originalgetreue und verständliche Reproduktion dieser Daten zur Verfügung wird. Der Betroffene hat das Recht, eine Kopie von Auszügen aus Dokumenten, von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erlangen, wenn dies unerlässlich ist, um betroffener Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen. Der EuGH hebt dabei die besondere Bedeutung des Auskunftsrechts hervor, welches dem Betroffenen ermöglicht weitere Rechte wie etwa die Löschung oder die Ausübung eines Widerspruchs geltend machen zu können. Von Bedeutung ist zudem, dass der EuGH die Notwendigkeit der Kontextualisierung der bereitgestellten Informationen hervorhebt. Hierzu sei es regelmäßig unerlässlich, Auszüge von Dokumenten, ganze Dokumente oder sogar Datenbankauszüge bereitzustellen.
Die Entscheidung des EuGH gibt Betroffenen Klarheit über den Umfang herauszugebender Daten. Verantwortliche sollten daher frühzeitig Prozesse etablieren, die der weiten Auslegung des EuGH Genüge tun.
Verstöße gegen Art. 26 und 30 DSGVO führen nicht zu einer Unrechtmäßigkeit der Datenverarbeitung im Sinne von Art. 17 und 18 DSGVO
In einer dritten datenschutzrechtlich relevanten Entscheidung (Urt. v. 04.05.2023 – Az.: C-60/22) hat der EuGH zu den Rechenschaftspflichten des Verantwortlichen nach Art. 5 Abs. 2 DSGVO Bezug genommen. Grundsätzlich hat danach der für eine Datenverarbeitung Verantwortliche die Rechenschaft über die Rechtmäßigkeit der Datenverarbeitung und Einhaltung der Vorgaben aus der DSGVO abzulegen. Der EuGH hat nun klargestellt, dass es sich bei einem bloßen Verstoß eines Verantwortlichen gegen Art. 26 und 30 DSGVO über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung (Art. 26 DSGVO) bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) nicht um eine unrechtmäßige Verarbeitung handelt, die Betroffenen ein Recht auf Löschung (Art. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) verleiht, weil daraus nicht ohne weiteres folgt, dass der Verantwortliche auch gegen den Grundsatz der Rechenschaftspflicht verstoßen hat. Der Verantwortliche habe zwar, so der EuGH, die Pflicht die Rechtmäßigkeit der von ihm durchgeführten Datenverarbeitung sicherzustellen, diese ergäbe sich jedoch aus Art. 6 DSGVO. Die Einhaltung der Bestimmungen der Art. 26 und 30 DSGVO zähle hingegen nicht zu den in Art. 6 Abs. 1 DSGVO genannten Gründen für die Rechtmäßigkeit einer Verarbeitung.
Haben Sie hierzu Fragen? Wir stehen Ihnen gerne mit unserer langjährigen Erfahrung im Bereich des unternehmerischen Datenschutzes zur Seite. Sprechen Sie uns gerne an!