Am 4. Mai und in den Tagen davor hat der EuGH mehrere datenschutzrechtlich höchst relevante Entscheidungen bzw. Schlussanträge veröffentlicht. Es geht unter anderem erneut um die Reichweite des Auskunftsrechts und Schadensersatzansprüche bei DSGVO-Verstößen, um den Adressaten von Bußgeldentscheidungen und vieles mehr. Wir haben Ihnen eine substantielle Übersicht erstellt mit den nach unserer Auswertung wichtigsten Aussagen.
Angesichts der kürzlich veröffentlichten Entscheidungswelle wird deutlich, dass die Relevanz des Datenschutzrechts weiter steigt. Der EuGH schafft in diesem Bereich durch seine Urteile mehr Rechtssicherheit, die seit nunmehr fünf Jahren sehnlich erwartet wird.
Die Kernaussagen der Urteile und Schlussanträge der letzten Wochen haben wir im Folgenden zusammengefasst. Bitte beachten Sie, dass der EuGH den Schlussanträgen nicht folgen muss, auch wenn dies statistisch gesehen meist der Fall ist. Wir haben diese daher in der Schrift kleiner dargestellt:
Auskunftsrecht nach Art. 15 DSGVO
Zum Auskunftsrecht: Die Herausgabe einer Übersicht der verarbeiteten Daten genügt, um den Anspruch auf Kopie zu erfüllen.
- Eine „Kopie“ im Sinne des Art. 15 Abs. 3 DSGVO meint eine „originalgetreue und verständliche Reproduktion“ (Rn. 45) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Auch eine Übersicht, in der die Daten zusammengetragen werden, reicht grundsätzlich aus.
- Reicht dies ausnahmsweise nicht aus, damit die betroffene Person vollständig die Richtigkeit ihrer Daten überprüfen kann, kann sie Kopien von ganzen Dokumenten oder Datenbankauszügen verlangen. Dabei sind jedoch insbesondere Urheberrechte oder Geschäftsgeheimnisse anderer Personen zu berücksichtigen, die darin enthalten sein können.
- Auch, wenn die Kopien gem. Art. 15 Abs. 3 S. 3 DSGVO auf elektronischem Wege beantragt werden, bleibt der Umfang der herauszugebenden Daten der gleiche.
EuGH, Urteil vom 04.05.2023, Rs. C-487/21 – Österreichische Datenschutzbehörde
Zweck und Motivation des Herausverlangens von Kopien nach Art. 15 Abs. 3 DSGVO unerheblich; Entgelte können für weitere Kopien zulässig sein
- Grundsätzlich ist nach Ansicht des Generalanwalts die Motivation der betroffenen Person unerheblich für ihr Recht auf Herausgabe einer Kopie.
- Verfolgt die Person das Ziel, mit den Kopien beispielsweise arzthaftungsrechtliche Ansprüche zu belegen, besteht trotzdem eine Herausgabepflicht.
- Die erste Kopie ist gem. Art. 15 Abs. 3 DSGVO unentgeltlich herauszugeben. Dies kann aber durch eine nationale Regelung im Einklang mit Art. 23 DSGVO eingeschränkt werden. Vor allem muss das Entgelt „strikt auf die tatsächlich anfallenden Kosten beschränkt sein“ (Rn. 71)
Schlussanträge vom 20.04.2023 zur Rs. C-307/22
Schadensersatz Betroffener
Schadensersatz ist nur bei tatsächlich eingetretenem Schaden zu leisten; das Gewicht des Schadens ist allerdings unerheblich
- Der bloße Verstoß gegen die DSGVO begründet für sich noch keinen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Es muss beim Betroffenen tatsächlich ein Schaden eingetreten sein.
- Allerdings ist das Gewicht des Schadens unerheblich. Auch für Bagatellschäden ist Ersatz zu leisten.
EuGH, Urteil vom 04.05.2023, Rs. C-300/21 – Österreichische Post
Ersetzt wird nur der tatsächlich eingetretene Schaden
… und dieser ändert sich nicht abhängig vom Grad des Verschuldens des Verursachers, denn er wird objektiv danach bemessen, welchen Verlust der Geschädigte (materiell oder immateriell) erlitten hat.
Schlussanträge vom 25.05.2023, Rs. C-667/21 – Medizinischer Dienst Krankenversicherung Nordrhein
Befürchtung eines Missbrauchs von Daten nach DSGVO-Verstoß soll einen ersatzfähigen Schaden darstellen können
- Ein immaterieller Schaden der betroffenen Person kann auch in der bloßen Befürchtung des Missbrauchs ihrer Daten bestehen.
- Die Möglichkeit eines Missbrauchs muss die betroffene Person allerdings nachweisen ebenso wie die Tatsache, dass sie „individuell einen realen und sicheren emotionalen Schaden erlitten hat“ (Rn. 82).
Schlussanträge vom 27.04.2023 zur Rs. C-340/21 – Natsionalna agentsia
Verantwortlicher soll Datensicherheit nachweisen müssen (Rechenschaftspflicht)
- Eine Datenpanne i.S.d. Art. 4 Nr. 12 DSGVO impliziert nicht, dass die Datensicherheit unzureichend war.
- Der Verantwortliche trägt im Rahmen einer Schadensersatzklage (Art. 82 DSGVO) die Darlegungs- und Beweislast, dass die von ihm ergriffenen Maßnahmen i.S.d. Art. 32 DSGVO geeignet waren, da er i.d.R. als einziger die Mittel für einen solchen Nachweis besitzt. Die Bestimmung der zulässigen Beweismittel ist mangels unionsrechtlicher Vorschriften Sache der Mitgliedstaaten (Verfahrensautonomie). Auch ein gerichtliches Sachverständigengutachten kann daher nach nationalem Recht ein zulässiges Beweismittel darstellen.
Schlussanträge vom 27.04.2023 zur Rs. C-340/21
Haftungsfreistellung nur, wenn keinerlei Verantwortlichkeit für eingetretenen Schaden besteht
- Der Verantwortliche wird nicht allein deswegen von der Haftung nach Art. 82 DSGVO befreit, weil ein Dritter den Verstoß gegen die DSGVO, der den fraglichen Schaden verursacht hat, begangen hat (Hackerangriff).
- Vielmehr muss der Verantwortliche beweisen, dass er in keinerlei Hinsicht für den Verstoß verantwortlich ist.
Schlussanträge vom 27.04.2023 zur Rs. C-340/21
Adressat von Bußgeldern
Unternehmen können Adressaten von Bußgeldern sein
- Was zwischen den deutschen Aufsichtsbehörden und Gerichten umstritten war, will der Generalanwalt beim EuGH zugunsten des LG Bonn entscheiden: Unternehmen können nach der DSGVO und ungeachtet des OWiG Adressaten (natürliche Personen in erster Linie) von Bußgeldern sein.
- Die OWiG-Vorgaben können konkretisierend herangezogen werden, aber nur, wenn dies die Durchsetzung der DSGVO nicht beeinträchtigt.
- Bußgelder setzen auch nach der DSGVO einen schuldhaften Verstoß voraus.
- Die Anwendung des deutschen Ordnungswidrigkeitenrechts darf nicht dazu führen, dass schuldhaftes Verhalten von Mitarbeitern dem Unternehmen nicht zugerechnet wird. Der Generalanwalt tendiert zu einer unspezifischen, weiten Auslegung, nach der DSGVO-Verstöße von Mitarbeitern regelmäßig und quasi „generell“ dem Unternehmen zuzurechnen sind.
Schlussanträge vom 27.04.2023 zur Rs. C-807/21 – Deutsche Wohnen SE
Bußgelder setzen Verschulden voraus
- Ein Bußgeld darf nur verhangen werden, wenn ein DSGVO-Verstoß vorsätzlich oder fahrlässig begangen wurde.
- Allerdings kann ein Verantwortlicher auch für einen verschuldeten Verstoß seines Auftragsverarbeiters bebußt werden.
Schlussanträge vom 04.05.2023 zur Rs. C-683/21 – Nacionalinis visuoménes
Beweisverwertungsverbot bei DSGVO-Verstoß?
Rechtmäßigkeit der Datenverarbeitung trotz Verstoß gegen Art. 26, 30 DSGVO: Derartige Verstöße führen nicht zu einem Verwertungsverbot.
- Liegt ein Verstoß gegen die Pflicht zum Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit (Art. 26 DSGVO) vor oder wird kein ordnungsgemäßes Verarbeitungsverzeichnis geführt (Art. 30 DSGVO), führt das allein noch nicht zur Unrechtmäßigkeit der Datenverarbeitung (wohl aber zu einem Verstoß gegen die DSGVO).
- Die hierbei verarbeiteten Daten dürfen trotzdem in einem gerichtlichen Verfahren berücksichtigt werden. Das gilt auch, wenn die betroffene Person nicht ausdrücklich ihre Einwilligung dazu erteilt hat. Es besteht hier also kein Beweisverwertungsverbot.
EuGH, Urteil vom 04.05.2023, Rs. C-60/22 – Bundesrepublik Deutschland
Welche Daten sind personenbezogen?
Pseudonymisierte Daten sind nur für den Akteur personenbezogen, der die dahinterstehenden Personen identifizieren kann
- Daten können pseudonymisiert werden, sind aber auch dann noch – im Gegensatz zu anonymisierten Daten –personenbezogen.
- Pseudonymisierte Daten sind aber nur für den Akteur personenbezogen, der die Möglichkeit hat, den Personenbezug wiederherzustellen.
- Durch die Übermittlung können diese Daten für den Empfänger anonym werden, insbesondere, wenn der Empfänger nicht über die zusätzlichen Informationen wie die Zuordnung einer Kennnummer zu einem Namen verfügt und sich diese auch nicht mit verhältnismäßigem Aufwand beschaffen kann.
EuG, Urteil vom 26.04.2023, Rs. T-557/20 – SRB/EDSB
Sprechen Sie uns bei Fragen zu alledem immer gerne an! Sie erreichen uns unter kristina.schreiber@loschelder.de