Auf die Frage eines ungarischen Gerichts hin, stellte der Gerichtshof der Europäischen Union mit Urteil vom 14. März 2024 klar: nationale Datenschutzaufsichtsbehörden sind gegenüber Verantwortlichen oder Auftragsverarbeitern auch dann zur Anordnung der Löschung unrechtmäßig verarbeiteter personenbezogener Daten befugt, wenn kein entsprechender Antrag der betroffenen Person vorliegt. Der Gerichtshof der Europäischen Union dürfte hiermit in einem Atemzug eine, wie es scheint, hoch umstrittene Frage in Ungarn geklärt und die zu diesem Thema in Deutschland bestehende herrschende Meinung bestätigt haben.
Der Inhalt im Überblick
Ausgangsverfahren: Dritterhebung von Einwohnerdaten
Bei dem hier in Rede stehenden Urteil handelt es sich um das Urteil des Gerichtshof(es) der Europäischen Union (im Folgenden: EuGH) vom 14. März 2024 in der Rechtssache C-46/23. Wie sich den Ausführungen des EuGH zum Ausgangsverfahren innerhalb dieses Urteils entnehmen lässt, erging es im Rahmen eines seitens des Fővárosi Törvényszék (Hauptstädtisches Stuhlgericht, Ungarn; im Folgenden: vorlegendes Gericht) eingeleiteten Vorabentscheidungsverfahrens, welchem das Folgende vorausging:
Zu Beginn der Covid-19 Pandemie beschloss die Verwaltung des IV. Bezirkes der ungarischen Hauptstadt Budapest (im Folgenden: Verwaltung Újpest) Einwohnern, welche
- einer von der Pandemie bedrohten Gruppe angehörten und
- bestimmte weitere Voraussetzungen erfüllten
im Zuge eines Unterstützungsprogrammes finanziell zu helfen. Um feststellen zu können, welche Einwohner die Anspruchsvoraussetzungen für den Erhalt der finanziellen Hilfe erfüllten, wandte sich die Verwaltung Újpest erfolgreich an
- die Ungarische Staatskasse sowie
- die Regierungsbehörde des IV. Bezirkes Budapests (im Folgenden: Regierungsbehörde Újpest),
um die hierfür erforderlichen personenbezogenen Daten von ihnen zu erhalten. Die entsprechend übermittelten personenbezogenen Daten speicherte die Verwaltung Ùjpset in einer eigens hierfür eingerichteten Datenbank ab.
Datenschutzaufsichtsbehörde: Untersuchung von Amts wegen
Im weiteren Verlauf erhielt die ungarische Datenschutzaufsichtsbehörde einen Hinweis und leitete hieraufhin von Amts wegen eine Untersuchung zu derjenigen Datenverarbeitung ein, welche die Grundlage des Unterstützungsprogrammes der Verwaltung Újpest bildete.
Resultat dieser Untersuchung der ungarischen Datenschutzaufsichtsbehörde war ein Bescheid, mit welchem sie unter anderem feststellte, dass die Verwaltung Újpest sowohl
- gegen Grundsätze der Verarbeitung personenbezogener Daten und/oder gegen ihre entsprechende Rechenschaftspflicht (Art. 5 DSGVO) als auch
- gegen Informationspflichten (hier Art. 12 Abs. 1 DSGVO und Art. 14 DSGVO)
verstoßen habe.
Des Weiteren und neben anderen Folgen aus der Untersuchung wies die ungarische Datenschutzaufsichtsbehörde die Verwaltung Újpest gem. Art. 58 Abs. 2 lit. d) DSGVO an, die von ihr gespeicherten personenbezogenen Daten derjenigen betroffenen Personen zu löschen, welche
- zwar – ausweislich der seitens der ungarischen Staatskasse und der Regierungsbehörde Ùjpest übermittelten personenbezogenen Daten – anspruchsberechtigt waren,
- ihren Anspruch jedoch nicht geltend gemacht hatten.
Beide der vorgenannten Datenübermittler hätten gegen die Vorschriften über die Verarbeitung der personenbezogenen Daten der betroffenen Personen verstoßen.
Meinungsstreit in Ungarn: Löschung nur auf Antrag des Betroffenen?
Und hier begann der ungarische Meinungsstreit über die Auslegung der Art. 58 Abs. 2 lit. c), d), g) DSGVO; Art. 17 Abs. 1 DSGVO, welcher schließlich in dem Vorabentscheidungsverfahren vor dem EuGH mündete und an dem vier Akteure – teils mittel- teils unmittelbar – wie folgt beteiligt waren:
- Die ungarische Datenschutzaufsichtsbehörde war – wie sich aus deren entsprechender Anweisung gegenüber der Verwaltung Ùjpest ergibt – der Ansicht, sie dürfe die Löschung unrechtmäßig verarbeiteter personenbezogener Daten nach Art. 58 Abs. 2 lit. d) DSGVO auch ohne einen Antrag der betroffenen Person nach Art. 17 DSGVO anordnen.
- Die Verwaltung Újpest hingegen war konträrer Auffassung, weswegen sie sich mit einer Klage vor dem vorlegenden Gericht gegen den, diese Anordnung enthaltenden, Bescheid der ungarischen Datenschutzaufsichtsbehörde wandte (Ausgangsverfahren). Hierzu führte sie aus, dass das in Art. 17 DSGVO normierte Recht zur Löschung personenbezogener Daten ihrer Ansicht nach ausschließlich als ein Recht der betroffenen Person konzipiert sei. Sofern die Verwaltung Ùjpest die Ansicht vertrat, es bedürfe zur Anordnung der Löschung unrechtmäßig verarbeiteter Daten durch die ungarische Datenschutzaufsichtsbehörde eines Antrages der betroffenen Person nach Art. 17 DSGVO, stützte sie sich auf ein Urteil der Kúria, dem obersten Gericht Ungarns.
- Die Kúria habe in diesem Urteil – unter Bestätigung ausgerechnet eines Urteils des vorlegenden Gerichts – befunden, dass die ungarische Datenschutzaufsichtsbehörde zu einer Anordnung, wie der gegenüber der Verwaltung Ùjpset ausgesprochenen, gerade nicht befugt sei.
- Das Verfassungsgericht Ungarns, welches nachfolgend im Wege einer Klage der ungarischen Datenschutzaufsichtsbehörde eingeschaltet wurde, hob wiederum das vorgenannte Urteil der Kúria auf und entschied, dass die ungarische Datenschutzaufsichtsbehörde sehr wohl auch dann zur Anordnung der Löschung unrechtmäßig verarbeiteter personenbezogener Daten befugt sei, wenn kein entsprechender Antrag der betroffenen Person vorliege. Hinsichtlich dieses Ergebnisses stützte sich das Verfassungsgericht Ungarns auf die Stellungnahme Nr. 39/2021 des Europäischen Datenschutzausschusses (im Folgenden: EDSA), in welcher dieser darlege, dass Art. 17 DSGVO zwei verschiedene Fälle der Löschung enthalte, von denen ersterer einen entsprechenden Antrag der betroffenen Person erfordere, während zweiterer den Verantwortlichen unabhängig hiervon zur Löschung verpflichte. Hieraus – so das Verfassungsgericht Ungarns – ergebe sich, dass Art. 58 Abs. 2 lit. g) DSGVO als Rechtsgrundlage für die Anordnung der Löschung unrechtmäßig verarbeiteter personenbezogener Daten von Amts wegen herangezogen werden könne.
So weit, so gut.
Anders, als man aufgrund der Entwicklung des voraufgefächerten Meinungsstreites annehmen mag, endete dieser mit der letztgenannten Entscheidung des Verfassungsgerichts Ungarns nicht. Vielmehr war das vorlegende Gericht
- nach wie vor im Zweifel über die Auslegung der Art. 17 Abs. 1 DSGVO; Art. 58 Abs. 2 lit. c), d), g) DSGVO,
- teilte die Ansicht, nach der Art. 17 DSGVO zwei verschiedene Fälle der Löschung enthalte, nicht und
- war besorgt darüber, dass, wenn eine nationale Datenschutzaufsichtsbehörde zur Anordnung der Löschung unrechtmäßig verarbeiteter personenbezogener Daten ohne einen Antrag der betroffenen Person nach Art. 17 DSGVO befugt sei, eine derartige Löschungsanordnung – so die Befürchtung des vorlegenden Gerichts – entgegen dem etwaigen Interesse der betroffenen Person an der fortwährenden Speicherung der betreffenden personenbezogenen Daten und mithin gegen deren Willen ergehen könne.
Und so wandte sich das vorlegende Gericht im Rahmen des nun mit Urteil vom 14. März 2024 beschiedenen Vorabentscheidungsverfahrens an den EuGH.
EuGH: Löschungsanordnung bei unrechtmäßiger Datenverarbeitung auch ohne Betroffenenantrag
Wie sich bereits aus Titel und Teaser ergibt teilt der EuGH im Wesentlichen die oben dargestellte Ansicht
- der ungarischen Datenschutzaufsichtsbehörde,
- des Verfassungsgerichts Ungarns sowie
- des EDSA.
Entsprechend beantwortete der EuGH die erste Vorlagefrage, mit welcher das vorlegende Gericht den oben aufgefächerten ungarischen Meinungsstreit zu klären suchte, in Rn. 46 des hier in Rede stehenden Urteils, wie folgt:
„Nach alledem ist auf die erste Frage zu antworten, dass Art. 58 Abs. 2 Buchst. d und g DSGVO dahin auszulegen ist, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 DSGVO gestellt hat.“
Im Rahmen der Herleitung dieses Ergebnisses führt der EuGH zunächst zu den Aufgaben und Pflichten nationaler Datenschutzaufsichtsbehörden aus. So gehöre es gem. Art. 57 Abs. 1 lit. a) DSGVO unter anderem zu deren Aufgaben,
„(…) die Anwendung der (…) [DSGVO] zu überwachen und durchzusetzen (…).“.
Gelange also eine nationale Datenschutzaufsichtsbehörde zu dem Ergebnis, dass eine betroffene Person kein angemessenes Schutzniveau genieße, so sei sie unionsrechtlich zur entsprechenden Abhilfe unter Anwendung der hierfür in Art. 58 Abs. 2 DSGVO normierten Abhilfebefugnisse verpflichtet.
Dies vorweggeschickt legt der EuGH dar, dass die Abhilfebefugnisse nach Art. 58 Abs. 2 DSGVO ihrem Wortlaut nach zwischen solchen unterschieden,
- die eines vorherigen Antrages der jeweiligen betroffenen Person bedürften sowie solchen,
- welche dies gerade nicht täten und daher ohne einen derartigen Antrag, das heiße von Amts wegen, wahrgenommen werden könnten; zu diesen gehörten auch Art. 58 Abs. 2 lit. d) und g) DSGVO.
Sofern es Art. 17 Abs. 1 DSGVO betreffe sehe dieser ausweislich seines Wortlautes („und“) sehr wohl zwei voneinander unabhängige Löschungsfälle vor, welches – wie der EDSA in dessen Stellungnahme Nr. 39/2021 ausführe – auch erforderlich sei, bedenke man, dass Art. 17 Abs. 1 DSGVO mitunter Fallkonstellationen enthalte, in denen die betroffene Person womöglich nicht über die Verarbeitung ihrer personenbezogenen Daten informiert worden sei und in denen daher nur der Verantwortliche selbst beurteilen könne, ob einer der Fälle des Art. 17 Abs. 1 DSGVO vorliege.
Untermauert werde diese Auslegung durch das Zusammenspiel aus
- der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht und
- des in Art. 5 Abs. 1 lit. a) DSGVO festgehaltenen Grundsatzes der Rechtmäßigkeit der Verarbeitung personenbezogener Daten.
So müsse hiernach der Verantwortliche selbst [Anmerkung der Autorin: und gerade nicht die betroffene Person] sicherstellen, dass von ihm durchgeführte Datenverarbeitungen rechtmäßig seien.
In Beantwortung der zweiten Vorlagefrage stellte der EuGH klar, dass seine Ausführungen zur ersten Vorlagefrage unabhängig davon Bestand hätten, ob die betreffenden personenbezogenen Daten im Rahmen einer Dritt- oder Direkterhebung erhoben worden seien.
Anordnung der Löschung gegen den Willen der betroffenen Person?
Worauf der EuGH im Rahmen seiner Beantwortung der Vorlagefragen jedenfalls nicht explizit einging, ist die seitens des vorlegenden Gerichts geäußerte Sorge, eine nationale Datenschutzaufsichtsbehörde könne, so es hierfür keines entsprechenden Antrages der betroffenen Person bedürfe, womöglich die Löschung solcher unrechtmäßig verarbeiteter personenbezogener Daten der betroffenen Person anordnen, an deren weiterer Speicherung diese gerade ein Interesse habe und mithin gegen den Willen dieser betroffenen Person deren Recht ausüben.
Insofern ist zunächst einmal festzuhalten, dass – nach den Ausführgen des EuGH in dessen hier in Rede stehenden Urteil – die handelnde nationale Datenschutzaufsichtsbehörde in einem Szenario, wie dem vorbeschriebenen, wohl nicht etwa die Rechte der betroffenen Person für diese ausübte, sondern vielmehr in Erfüllung ihrer Aufgaben einen datenschutzkonformen Zustand (wieder-)herstellte, indem sie eine nicht befolgte Verpflichtung des Verantwortlichen durchsetzte.
Des Weiteren stellt sich die Frage danach, wie wahrscheinlich der Eintritt des seitens des vorlegenden Gerichts befürchteten Szenarios tatsächlich ist.
Wurden personenbezogene Daten unrechtmäßig verarbeitet, so steht der betroffenen Person nicht nur das in Art. 17 Abs. 1 lit. d) DSGVO normierte Recht zur Löschung jener personenbezogenen Daten zu. Vielmehr gewährt die DSGVO der betroffenen Person in einem solchen Fall gleichsam gem. Art. 18 Abs. 1 lit. b) DSGVO das Recht, unter Ablehnung der Löschung ihrer betreffenden personenbezogenen Daten die Einschränkung deren Nutzung von dem Verantwortlichen zu verlangen.
Ähnlich verhält es sich mit der – im Falle von Löschungsanordnungen gegenüber dem Verantwortlichen im Vergleich zu Art. 58 Abs. 2 lit. d) DSGVO spezielleren – Abhilfebefugnis nach Art. 58 Abs. 2 lit. g) DSGVO. So sieht auch diese nicht nur die Befugnis zur Anordnung der Löschung personenbezogener Daten nach Art. 17 DSGVO, sondern unter anderem auch die Befugnis zur Anordnung der Einschränkung deren Verarbeitung nach Art. 18 DSGVO vor.
Dies vorweggeschickt wird eine nationale Datenschutzaufsichtsbehörde, so sie die unrechtmäßige Verarbeitung personenbezogener Daten feststellt, nach pflichtgemäßen Ermessen unter Berücksichtigungen insbesondere auch der Interessen der betroffenen Person und mithin auch inklusive deren etwaigen Interesses an einer fortwährenden Speicherung ihrer betreffenden personenbezogenen Daten entscheiden, ob in dem konkret zu beurteilenden Einzelfall die Anordnung einer Einschränkung der Verarbeitung der betreffenden personenbezogenen Daten der Anordnung deren Löschung vorzuziehen ist.
Dies mag auch der EuGH bedacht und mithin implizit die entsprechende Sorge des vorlegenden Gerichts adressiert haben als er in Rn. 41 des hier in Rede stehenden Urteils ausführte:
„Insoweit ist klarzustellen, dass es zwar Sache der Aufsichtsbehörde ist, das geeignete und erforderliche Mittel zu wählen und dabei alle Umstände des Einzelfalls zu berücksichtigen, dass diese Behörde aber gleichwohl verpflichtet ist, mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 112). Zur Gewährleistung einer wirksamen Anwendung der DSGVO ist es daher von besonderer Bedeutung, dass die Aufsichtsbehörde über wirksame Befugnisse verfügt, um wirksam gegen Verletzungen dieser Verordnung vorzugehen und insbesondere, um solche Verletzungen zu beenden, und zwar auch in den Fällen, in denen die betroffenen Personen nicht über die Verarbeitung ihrer personenbezogenen Daten informiert wurden, ihnen diese nicht bekannt ist oder sie jedenfalls die Löschung dieser Daten nicht beantragt haben.“
Urteil markiert Bedeutung des Vorabentscheidungsverfahrens
Im Hinblick auf die Beantwortung der Vorlagefragen dürfte das hier in Rede stehende Urteil des EuGH hierzulande kaum für Überraschung gesorgt haben. Bereits vor dem 14. März 2024 wurde die nun vom EuGH kundgetane Rechtsansicht sowohl zur Auslegung des Art. 17 Abs. 1 DSGVO als auch zu derjenigen des Art. 58 Abs. 2 lit. g) DSGVO wohl weit überwiegend in der einschlägigen deutschen Kommentarliteratur vertreten. Soweit es die Ansicht des EuGH zur Auslegung des Art. 17 Abs. 1 DSGVO betrifft, vertritt diese ferner bereits seit 2018, wie sich dem – derzeit in Überarbeitung befindlichen – Kurzpapier Nr. 11 Recht auf Löschung / „Recht auf Vergessenwerden“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz (DSK)) entnehmen lässt, auch die DSK. Was jedoch für Überraschung gesorgt haben dürfte, ist, wie weit die Meinungen zur Auslegung der DSGVO zwischen den Mitgliedstaaten auseinanderdriften können; dass also die Auslegung einer bestimmten Norm der DSGVO in einem Mitgliedstaat weitestgehend unumstritten sein kann, jedoch in einem anderen letztlich zur Anrufung des EuGH veranlasst. Ein Grund mehr, das Vorabentscheidungsverfahren vor dem EuGH hochzuhalten.