Rundumschlag des EuGH: Drei bedeutende Entscheidungen zur DSGVO!

09. Mai 2023   |   IT- und Datenschutzrecht

Der Europäische Gerichtshof (EuGH) hat am 04.05.2023 in drei Grundsatzurteilen weiter für Klarheit gesorgt und zur Klärung von bisher höchst umstrittenen Rechtsfragen der Datenschutzgrundverordnung (DSGVO) beigetragen.

Keine Erheblichkeitsschwelle bei immateriellen Schadensersatzansprüchen!

Verstöße gegen die DSGVO oder andere datenschutzrechtlichen Normen können für Unternehmen teuer werden. Konkret können Geldbußen in achtstelliger Höher verhängt werden. In Betracht kommen aber auch Schadensersatzansprüche von Personen, welche von einer unrechtmäßigen Datenverarbeitung betroffen sind. Der EuGH hat nun entschieden (Urt. v. 04.05.2023 – Az.: C-300/21), unter welchen Voraussetzungen ein Schadensersatzanspruch bestehen kann.

Die Entscheidung des EuGH geht auf eine Datenverarbeitung bei der Österreichischen Post zurück. Konkret hatte diese Daten von BürgerInnen in Österreich gesammelt, u.a. Adressen und demografische Daten, und hieraus mit Hilfe eines Algorithmus eine Präferenz für politische Parteien ermittelt. Gegen dieses Vorgehen, in welchem die Datenschutzbehörde in Österreich einen Datenschutzverstoß sah, klagte ein Betroffener. Dieser war mit der Parteizuordnung nicht einverstanden und hatte zuvor in die Datenverarbeitung auch nicht eingewilligt. Als Entschädigung für einen erlittenen immateriellen Schaden verlangte er von der österreichischen Post eine Entschädigung in Höhe von 1.000 €.

Die beiden ersten Instanzen wiesen die Klage zurück. Der österreichische Oberste Gerichtshof legte die Sache sodann dem EuGH zur Vorabentscheidung vor (Vorlagebeschl. v. 12.05.2021, Az.: 6 Ob 35/21 x). Gegenstand der Vorlagefragen waren folgende Punkte:

  • Ist Schadensersatz bereits allein für die Verletzung von Vorgaben der DSGVO zuzusprechen oder ist ein immaterieller Schaden genauer darzulegen?
  • Steht es im Einklang mit dem Unionsrecht, wenn für die Verurteilung zur Zahlung eines immateriellen Schadensersatzes eine Rechtsgutsverletzung von einigem Gewicht verlangt wird? (sog. „Erheblichkeit“)

Der EuGH entschied nun, dass der bloße Verstoß gegen die DSGVO keinen Anspruch auf Schadensersatz begründet. Erforderlich sei vielmehr die (kumulative) Erfüllung folgender Voraussetzungen:

  • Verstoß gegen die DSGVO,
  • Bestehen eines materiellen oder immateriellen Schadens und
  • Ursachenzusammenhang zwischen den ersten beiden Punkten.

Das bedeutet für die Praxis, dass jeweils ein individueller Schaden nachgewiesen werden muss. Soweit es sich um einen immateriellen Schaden handelt, müsse nach Ansicht des EuGH jedoch keine Erheblichkeitsschwelle erreicht werden. Eine Bagatell-Grenze besteht also nicht!

Damit weicht die Entscheidung des Gerichtshofs von dem Schlussantrag des Generalanwalts Sánchez-Bordona vom 06.10.2022 zu dem zugrundliegenden Verfahren ab. Der EuGH argumentierte, solche Erheblichkeitsanforderungen seien der DSGVO unbekannt. Zudem habe sich der Unionsgesetzgeber gerade für ein weites Verständnis des Schadensbegriffs entschieden. Eine Beschränkung von Schadensersatzansprüchen würde daher im Widerspruch zu diesen Grundsätzen stehen.

Zugleich wies der Gerichtshof darauf hin, dass sich die Kriterien für die Ermittlung des Schadensumfangs nach dem Recht der EU-Mitgliedsstaaten richte, welche nun durch die nationalen Gerichte zu entwickeln und festzulegen sind. Hierbei sind die Grundsätze aus der vorgestellten Entscheidung zu berücksichtigen: Die Darlegung eines Schadens ist notwendig. Die Erheblichkeit des Schadens darf jedoch nicht zu einer anspruchsbegründenden Voraussetzung gemacht werden.

EuGH klärt Umfang des Auskunftsrechts nach Art. 15 DSGVO

In einem weiteren Urteil (Urt. v. 04.05.2023 – Az.: C-487/21) hat der EuGH zu der lange Zeit umstrittenen Frage Stellung bezogen, welchen Anforderungen eine „Kopie“ von personenbezogenen Daten im Rahmen eines Auskunftsanspruchs durch den Betroffenen nach Art. 15 Abs. 3 DSGVO unterliegt. Bisher war in der Praxis unklar, ob hierunter eine originalgetreue Reproduktion der Unterlagen zu verstehen ist oder ob eine bloße Auflistung in aggregierter Form ausreicht.

Der EuGH hat nun entschieden, dass ein recht weites Verständnis vom Begriff „Kopie“ zugrunde zu legen sei. Nach Ansicht des Gerichts umfasst das Recht der betroffenen Person eine Kopie personenbezogener Daten erhalten zu können, dass dieser eine originalgetreue und verständliche Reproduktion dieser Daten zur Verfügung wird. Der Betroffene hat das Recht, eine Kopie von Auszügen aus Dokumenten, von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erlangen, wenn dies unerlässlich ist, um betroffener Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen. Der EuGH hebt dabei die besondere Bedeutung des Auskunftsrechts hervor, welches dem Betroffenen ermöglicht weitere Rechte wie etwa die Löschung oder die Ausübung eines Widerspruchs geltend machen zu können. Von Bedeutung ist zudem, dass der EuGH die Notwendigkeit der Kontextualisierung der bereitgestellten Informationen hervorhebt. Hierzu sei es regelmäßig unerlässlich, Auszüge von Dokumenten, ganze Dokumente oder sogar Datenbankauszüge bereitzustellen.

Die Entscheidung des EuGH gibt Betroffenen Klarheit über den Umfang herauszugebender Daten. Verantwortliche sollten daher frühzeitig Prozesse etablieren, die der weiten Auslegung des EuGH Genüge tun.

Verstöße gegen Art. 26 und 30 DSGVO führen nicht zu einer Unrechtmäßigkeit der Datenverarbeitung im Sinne von Art. 17 und 18 DSGVO

In einer dritten datenschutzrechtlich relevanten Entscheidung (Urt. v. 04.05.2023 – Az.: C-60/22) hat der EuGH zu den Rechenschaftspflichten des Verantwortlichen nach Art. 5 Abs. 2 DSGVO Bezug genommen. Grundsätzlich hat danach der für eine Datenverarbeitung Verantwortliche die Rechenschaft über die Rechtmäßigkeit der Datenverarbeitung und Einhaltung der Vorgaben aus der DSGVO abzulegen. Der EuGH hat nun klargestellt, dass es sich bei einem bloßen Verstoß eines Verantwortlichen gegen Art. 26 und 30 DSGVO über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung (Art. 26 DSGVO) bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) nicht um eine unrechtmäßige Verarbeitung handelt, die Betroffenen ein Recht auf Löschung (Art. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) verleiht, weil daraus nicht ohne weiteres folgt, dass der Verantwortliche auch gegen den Grundsatz der Rechenschaftspflicht verstoßen hat. Der Verantwortliche habe zwar, so der EuGH, die Pflicht die Rechtmäßigkeit der von ihm durchgeführten Datenverarbeitung sicherzustellen, diese ergäbe sich jedoch aus Art. 6 DSGVO. Die Einhaltung der Bestimmungen der Art. 26 und 30 DSGVO zähle hingegen nicht zu den in Art. 6 Abs. 1 DSGVO genannten Gründen für die Rechtmäßigkeit einer Verarbeitung.

Haben Sie hierzu Fragen? Wir stehen Ihnen gerne mit unserer langjährigen Erfahrung im Bereich des unternehmerischen Datenschutzes zur Seite. Sprechen Sie uns gerne an!


Ansprechpartner

Thomas Altendorfer

Diplom-Volkswirt

Rechtsanwalt

Steuerberater

Partner

Til Ammermann

Diplom-Kaufmann

Wirtschaftsprüfer

Steuerberater

Partner

Thomas Baransky

Diplom-Betriebswirt (FH)

Steuerberater

Sozius

Lars Bellmer

Steuerberater

Dr. Christian Bereska

Rechtsanwalt

Partner

Fachanwalt für Handels- und Gesellschaftsrecht

Fachanwalt für Bau- und Architektenrecht

Zertifizierter Testamentsvollstrecker (AGT)

Philipp M. v. Bismarck

Rechtsanwalt, Notar a. D.

Dr. Björn Bogner, LL.M.

Rechtsanwalt

Partner

Fachanwalt für Arbeitsrecht

Fachanwalt für gewerblichen Rechtsschutz

Zertifizierter Compliance Officer (School GRC)

Isabelle Bulenda, LL.M.

Rechtsanwältin

Assoziierte Partnerin

Fachanwältin für Informationstechnologierecht

Christian Ceyp

Rechtsanwalt

Josie Charwat

Rechtsanwältin

Assoziierte Partnerin

Danine von der Decken

Rechtsanwältin

Frank Deppenkemper

Diplom-Kaufmann

Wirtschaftsprüfer

Steuerberater

Sozius

Anna Dietrich

Rechtsanwältin

Mathias Dietrich

Diplom-Finanzwirt (FH)

Rechtsanwalt

Steuerberater

Partner

Rolf Dittmar

Diplom-Ingenieur

Wirtschaftsprüfer

Steuerberater

Johannes Dörrie

Rechtsanwalt

Sozius

Fachanwalt für Arbeitsrecht

Zertifizierter Mediator (DAA)

Jan Ellwanger

Diplom Ökonom

Steuerberater

Dr. Lea Frey

Rechtsanwältin

Sozia

Dr. Martin Gerigk

Rechtsanwalt

Sozius

Fachanwalt für Versicherungsrecht

Fachanwalt für Verwaltungsrecht

Sascha Halbe, LL.M.

Diplom-Kaufmann

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Bianca Hein, LL.M

Wirtschaftsjuristin/Paralegal

Maren Helm

Steuerberaterin

Stiftungsberaterin (DSA)

Miriam Henschel

Diplom-Finanzwirtin (FH)

Rechtsanwältin

Steuerberaterin

Partnerin

Fachanwältin für Steuerrecht

Dr. Sabine Jehner, LL.M.

Rechtsanwältin, Attorney at Law (New York)

Sozia

Christian Knoke

Rechtsanwalt

Wirtschaftsprüfer

Steuerberater

Björn Knuth, LL.M.

Rechtsanwalt

Assoziierter Partner

Fachanwalt für Arbeitsrecht

Anika Kraas

Rechtsanwältin

Kirstin Krüger

Rechtsanwältin

Sozia

Fachanwältin für Bau- und Architektenrecht

Dr. Michael Kunst

Diplom-Volkswirt

Rechtsanwalt, Notar m.d. Amtssitz in Hannover

Wirtschaftsprüfer

Partner

Fachanwalt für Steuerrecht

Tobias Lerch

Rechtsanwalt, Notar m. d. Amtssitz in Celle

Partner

Fachanwalt für Handels- und Gesellschaftsrecht

Dr. Christoph Lohmann

Rechtsanwalt

Steuerberater

Monika Martyniak

Diplom-Ökonomin

Wirtschaftsprüferin

Steuerberaterin

Assoziierte Partnerin

Stefanie Meinen

B.Sc. Wirtschaftswissenschaft

Charlotte Merkel

Dipl.-Finanzwirtin (Steuerakademie)

Rechtsanwältin

Sozia

Jan-Christoph Metzler

Rechtsanwalt

Sozius

Fachanwalt für Arbeitsrecht

Zertifizierter Mediator (DAA)

Zertifizierter Datenschutzbeauftragter (TÜV)

Marie Meyer

Rechtsanwältin

Friedrich Graf zu Ortenburg, LL.M.

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Dr. Nicolas Penner

Diplom-Finanzwirt (FH)

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Steuerberater

Partner

Fachanwalt für Steuerrecht

Antje Pietrek

Rechtsanwältin

Fachanwältin für Familienrecht

Mediatorin

Sascha Priebe, MLE

Rechtsanwältin

Natalie Remel

Rechtsanwältin

Sozia

Fachanwältin für Vergaberecht

Dr. Stefan Rieger

Rechtsanwalt

Assoziierter Partner

Dr. Stephan Rose

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Fachanwalt für Arbeitsrecht

Fachanwalt für Handels- und Gesellschaftsrecht

Fachanwalt für Erbrecht

Zertifizierter Testamentsvollstrecker (AGT)

Michael Rudolph

Diplom-Ökonom

Steuerberater

Sozius

Jan Schätzel

Rechtsanwalt

Assoziierter Partner

Dr. Ralf Schlottau

Rechtsanwalt, Notar m. d. Amtssitz in Celle

Partner

Fachanwalt für Agrarrecht

Fachanwalt für Handels- und Gesellschaftsrecht

Zertifizierter Stiftungsmanager (DSA)

Zertifizierter Testamentsvollstrecker (AGT)

Dr. Stephan Schmack

Rechtsanwalt

Sozius

Sarah Schrader

Rechtsanwältin

Dr. Philipp Schulz

Rechtsanwalt

Partner

Fachanwalt für Versicherungsrecht

Dr. Hermann Schünemann

Rechtsanwalt, Notar a. D.

Fachanwalt für Versicherungsrecht

Fachanwalt für Medizinrecht

Valentin R. Seidenfus

Rechtsanwalt

Steuerberater

Partner

Fachanwalt für Steuerrecht

Zertifizierter Testamentsvollstrecker (AGT)

Dr. Caroline Charlotte Sohns

Rechtsanwältin

Sozia

Fachanwältin für Arbeitsrecht

Zertifizierte Datenschutzbeauftragte (TÜV)

Konrad Solf

Rechtsanwalt

Sozius

Fachanwalt für Arbeitsrecht

Thomas Stillahn

Rechtsanwalt

Partner

Fachanwalt für Arbeitsrecht

Mediator

Coach der Wirtschaft (IHK)

Benjamin Tapkenhinrichs

Bachelor of Arts (B. A.)

Rechtsanwalt

Christiane Thomys

Rechtsanwältin

Dr. Karl-Heinz Vehling

Executive MBA HSG

Rechtsanwalt

Partner

Zertifizierter Compliance Officer

Zertifizierter Compliance Auditor

Dr. Jan-W. Vesting

Rechtsanwalt

Partner

Georg Wagner

Diplom Kaufmann

Steuerberater

Fachberater für Unternehmensnachfolge (DStV e.V.)

Katharina Wegmann

Steuerberaterin

Sozia

Christiane Wehe

Diplom-Kauffrau (FH)

Steuerberaterin

Dr. Marc Wendt

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Fachanwalt für Handels- und Gesellschaftsrecht

Dr. Tim Wittwer, LL.M.

Rechtsanwalt

Assoziierter Partner

Fachanwalt für gewerblichen Rechtsschutz