Die Auslegung der DSGVO kann für die nationalen Gerichte eine echte Herausforderung darstellen. Immer öfter wird der Europäische Gerichtshof (EuGH) daher im Rahmen eines Vorabentscheidungsverfahrens um Rat gefragt. In der vergangenen Woche hat der EuGH an einem Tag gleich drei bedeutende Urteile zu datenschutzrechtlichen Fragestellungen veröffentlicht und einige grundlegende Fragen geklärt!
Der Inhalt im Überblick
Kopie heißt Kopie
Die Kreditauskunftei CRIF erhielt ein Auskunftsersuchen, in dem der Betroffene Auskunft über die zu seiner Person verarbeiteten personenbezogenen Daten verlangte. Zusätzlich bat er um die Bereitstellung einer Kopie der Dokumente, die seine Daten enthalten. Die Wirtschaftsauskunftei kam der Anfrage nach und schickte eine aggregierte Liste von personenbezogenen Daten. Der Kläger war mit der Auskunft nicht zufrieden und legte eine Beschwerde bei der zuständigen österreichischen Datenschutzaufsichtsbehörde ein. Seiner Meinung nach hätte CRIF Kopien von sämtlichen Dateien, die seine personenbezogenen Daten enthalten haben, herausgeben müssen. Die Aufsichtsbehörde entschied, dass keine Verletzung von Art. 15 DSGVO gegeben sei und wies die Beschwerde zurück. Anschließend befasste sich das Österreichische Bundesverwaltungsgericht mit der Angelegenheit und legte dem EuGH (C‑487/21) insgesamt vier Fragen zur Entscheidung vor.
Kopie oder Daten in aggregierter Form?
In Artikel 15 Abs. 3 DSGVO heißt es:
„Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.“
Die Norm kann unterschiedlich ausgelegt werden. In den letzten Jahren haben sich unzählige Gerichte mit der Frage beschäftigt, wie weit das Recht auf Kopien tatsächlich geht. Das Urteil des EuGHs schafft nun endlich Klarheit. Der betroffenen Person muss eine originalgetreue und verständliche Reproduktion der betreffenden Dokumente ausgehändigt werden. Konkret kann das zum Beispiel Kopien von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch Auszüge aus Datenbanken betreffen. Wenn die Kopien unerlässlich sind, um der Person eine Prüfung ihrer Rechte aus der DSGVO zu ermöglichen, sollten sie übermittelt werden. Ausnahmen können sich jedoch ergeben, wenn Rechte und Freiheiten anderer Personen dem Anspruch entgegenstehen. Darüber hinaus sollen Unternehmen Betroffenen auch den Kontext von Verarbeitungen erklären, sofern sich der Zusammenhang nicht von selbst erschließt. Eine verständliche und transparente Darstellung der Daten muss gewährleistet werden.
Herausforderung für Unternehmen
Nachdem der EuGH erst vor Kurzem die Anforderungen an die Angabe von Datenempfängern konkretisiert hat, folgen nun weitere Anforderungen zu dem Recht auf Kopie. In der Praxis wird die Beantwortung von Auskunftsersuchen daher immer zeitintensiver. Unternehmen sollten sich frühzeitig um Prozesse zur Bearbeitung entsprechender Anfragen bemühen.
Schadensersatzansprüche nach der DSGVO
Unter welchen Voraussetzungen Betroffene Schadensersatz nach Art. 82 DSGVO verlangen können, wird immer wieder diskutiert. Nun hat der EuGH im Fall Österreichische Post (C‑300/21) in einigen Punkten Klarheit geschaffen.
Die österreichische Post wurde vor einem Zivilgericht auf Unterlassung und Schadensersatz in Höhe von 1.000 Euro wegen eines immateriellen Schadens verklagt. Das Unternehmen bereitete Informationen über politische Vorlieben über einen Algorithmus und verkaufte die Daten anschließend. Die Affinität des Klägers für eine bestimmte Partei wurde im Rahmen einer Hochrechnung festgestellt. Obwohl die Informationen des Klägers (noch) nicht Gegenstand des Adresshandels waren, ging er auf dem Klageweg gegen die österreichische Post vor.
Schaden als Grundvoraussetzung
Das Gericht fragte den EuGH, ob für einen Anspruch auf Schadensersatz eine Verletzung von Regelungen aus der DSGVO ausreicht oder ein Schaden eingetreten sein muss. Nach dem Europäischen Gerichtshof reicht der bloße Verstoß gegen die DSGVO nicht aus, um Schadensersatzansprüche aus Art. 82 DSGVO zu begründen. Der betroffenen Person muss ein individueller materieller oder immaterieller Schaden entstanden sein. Zudem muss ein Kausalzusammenhang zwischen dem entstandenen Schaden und dem potenziellen DSGVO Verstoß vorliegen.
Keine Erheblichkeitsschwelle für immaterielle Schäden
Der EuGH betonte, dass das Unionsrecht keine Erheblichkeitsschwelle für immaterielle Schadensersatzansprüche vorsieht. Eine Eingrenzung dieses Schutzes durch eine Erheblichkeitsschwelle widerspreche den Zielen der DSGVO. Die Hürden zur Geltendmachung von immateriellen Schäden werden durch die EuGH Entscheidung also gesenkt. Betroffene könnten Unternehmen zukünftig häufiger bei DSGVO Verstößen mit Schadensersatzansprüchen wegen immaterieller Schäden konfrontieren. Abgewartet werden muss, wie die nationalen Gerichte mit den Schadensersatzklagen umgehen. Eine Erheblichkeitsschwelle wird bei Ansprüchen aus Art. 82 DSGVO zukünftig jedenfalls keine Rolle mehr spielen.
Verstöße gegen Art. 26 und 30 DSGVO stellen keine unrechtmäßige Verarbeitung dar
Im letzten Fall (C‑60/22) hatte der EuGH zu entscheiden, ob ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO oder eine fehlende Vereinbarung über ein gemeinsames Verfahren nach Art. 26 DSGVO dazu führt, dass die Datenverarbeitung unrechtmäßig erfolgen und daher einen Löschungs- bzw. Beschränkungsanspruch des Betroffenen aus Art. 17 und Art. 18 DSGVO besteht.
Der Art. 17 Abs. 1 lit. d DSGVO regelt:
„Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: (…) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.“
Für einen Anspruch auf Beschränkung der Verarbeitung nach Art. 18 Abs. 1 lit. b DSGVO gilt:
„Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: (…) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt.“
Ein fehlendes oder unvollständiges Verarbeitungsverzeichnis oder eine fehlende Vereinbarung der gemeinsamen Verantwortlichkeit stellt laut dem EuGH keine unrechtmäßige Verarbeitung dar. Der Betroffene habe somit kein Recht auf Löschung oder auf Einschränkung der Verarbeitung. Die Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO und die Erfüllung datenschutzrechtlicher Dokumentations– und Rechenschaftspflichten sind grundsätzlich getrennt zu betrachten.
Aller guten Dinge sind drei
An einem Tag hat sich der EuGH umfassend zu gleich drei praxisrelevanten Themen geäußert. Des Weiteren hat auch noch der Generalanwalt seine Schlussanträge im Fall Deutsche Wohnen (C-807/21) zur Haftung von Unternehmen bei Datenschutzverstößen abgegeben. Es ist zu hoffen, dass dadurch die Urteile der nationalen Gerichte, gerade im Bereich von Schadensersatzansprüchen und dem Anspruch auf Auskunft und Kopie, in Zukunft einheitlicher ausfallen. Stellungnahmen der europäischen Aufsichtsbehörden stehen derzeit zu den Urteilen noch aus. Ein Handlungsbedarf für Unternehmen wird sich vor allem aus der Vorabentscheidung zu dem Anspruch auf Kopien ergeben. Es ist ratsam, sich vorausschauend mit den Anforderungen aus Art. 15 DSGVO auseinanderzusetzen, um die Betroffenenanfrage fristgerecht beantworten zu können.
Nach meiner Einschätzung ist das Urteil des EuGH zum Recht auf Kopie von Ihnen nicht ganz zutreffend wiedergegeben worden. Nach Ihrer Auffassung scheint der EuGH ganz klar geurteilt zu haben, dass primär eine Kopie von Dokumenten zur Verfügung zu stellen sind und nicht die verarbeiteten personenbezogenen Daten in aggregierter Form.
So schreiben Sie
„Der betroffenen Person muss eine originalgetreue und verständliche Reproduktion der betreffenden Dokumente ausgehändigt werden.“
Tatsächlich ist dem Urteil aber eher zu entnehmen, dass eine originalgetreue und verständliche Reproduktion der verarbeiteten personenbezogenen Daten zu erfolgen hat.
Eine tatsächliche 1:1 Kopie ist nur dann erforderlich, „wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen […]“.
Aus meiner Sicht ist es daher in erster Linie zulässig, eben keine Kopien zur Verfügung zu stellen, sondern eine Aggregation der Daten. Nur wenn es für das Verständnis oder die Geltendmachung von Rechten erforderlich ist, dann sind auch Kopien anzufertigen.
Tatsächlich sind nur Kopien notwendig, wenn der Betroffene sie dazu braucht um z.B. die Rechtmäßigkeit der Datenverarbeitung überprüfen zu können. Natürlich bleibt hier noch ein wenig Argumentationsspielraum für das jeweilige Unternehmen. In den meisten Fällen wird sich der Betroffene jedoch auf eben dieses Erfordernis berufen und Kopien einfordern. Wie die Formulierung von den Aufsichtsbehörden interpretiert wird, bleibt abzuwarten.
Sehr guter, kompakter Überblick. Vielen Dank!