Sie kennen das schon. In den letzten Jahren hat der Europäische Gerichtshof (EuGH) vermehrt Stellung zu datenschutzrechtlichen Fragestellungen, beziehungsweise zur Auslegung einzelner Regelungen der Datenschutz-Grundverordnung (DSGVO) nehmen müssen. In der letzten Zeit haben wir zum Beispiel hier und hier dazu berichtet. Eine aktuelle Entscheidung des EuGH hat es bislang noch nicht so richtig in die Presse geschafft. Wir halten sie aber für so relevant und auch für interessant, dass wir in diesem Beitrag darauf eingehen möchten. Es geht um die Fragestellung der Auswirkungen einzelner Verstöße gegen die DSGVO auf die Rechtmäßigkeit von Datenverarbeitungen.
Die Rechtmäßigkeit (Art. 6 DSGVO) ist eine zentrale Voraussetzung bei der Verarbeitung personenbezogener Daten. Aber worauf gründet sich diese Rechtmäßigkeit? Verliert eine Datenverarbeitung ihre Rechtmäßigkeit, wenn auch nur eine Verpflichtung aus der DSGVO nicht erfüllt wird? Mit Urteil vom 4. Mai 2023 (Rechtssache C-60/22) hat sich der EuGH mit diesem Thema befasst, nachdem ihm das Verwaltungsgericht Wiesbaden (VG Wiesbaden) drei Vorlagefragen zur Vorabentscheidung vorlegte hatte.
Gegenstand des vom VG Wiesbaden zu verhandelnden Rechtstreits war eigentlich die Rechtmäßigkeit der Datenverarbeitung durch öffentliche Stellen. Der EuGH hat nun in seiner Vorabentscheidung eine wichtige Auslegung dessen vorgenommen, was eine Datenverarbeitung unzulässig macht und was nicht. Diese Auslegung ist aufgrund der identischen Rechtslage bei nichtöffentlichen Stellen auch für diese von erheblicher Bedeutung.
Ausgangsverfahren
Der Vorabentscheidung des EuGH liegt ein Rechtsstreit zwischen einer Privatperson und dem Bundesamt für Migration und Flüchtlinge (BAMF) zugrunde. Die klagende Person hatte vor dem Verwaltungsgericht Wiesbaden (VG Wiesbaden) gegen einen Bescheid des Bundesamtes geklagt, mit dem ihr Antrag auf internationalen Schutz abgelehnt worden war. Die Bearbeitung des Antrags und die damit verbundene Verarbeitung der Daten der klagenden Person erfolgte im Wege der vom BAMF erstellten elektronischen Akte „MARIS“. Aufgrund der erhobenen Klage wurde die elektronische Akte, in der personenbezogene Daten der klagenden Person gespeichert waren, im Rahmen eines gemeinsamen Verfahrens nach Art. 26 der DSGVO über das Elektronische Gerichts- und Verwaltungspostfach an das VG Wiesbaden übermittelt.
Die Vereinbarkeit der vorgenannten Verarbeitungen, also der Führung der elektronischen Akte „MARIS“ und ihrer Übermittlung an das Verwaltungsgericht, mit der DSGVO stand im Vordergrund der Auseinandersetzung. Das BAMF hat nämlich kein vollständiges Verzeichnis der Verarbeitungstätigkeiten in Bezug auf die fragliche Akte vorgelegt und ist damit seiner Verpflichtung aus Art. 5 DSGVO i.V.m. Art. 30 DSGVO nicht nachgekommen. Zum anderen lag für die Übermittlung der Akte keine Vereinbarung über die gemeinsame Verantwortung vor, deren Fehlen einen Verstoß gegen Art. 26 der DSGVO darstellt. Vor diesem Hintergrund bestanden Zweifel an der Rechtmäßigkeit von Datenverarbeitungen, denen das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO oder eine Vereinbarung über ein gemeinsames Verfahren gemäß Art. 26 der DSGVO fehlt. Im Mittelpunkt stand die Frage, welche Rechtsfolgen bei Verstößen gegen die Verpflichtungen aus Art. 5, 26 und 30 DSGVO eintreten müssten.
Die Vorabentscheidung des EuGH zur Rechtmäßigkeit der Datenverarbeitung im Hinblick auf das Recht auf Löschung und auf Einschränkung der Verarbeitung
Um die Zweifel auszuräumen, hat das VG Wiesbaden das Verfahren ausgesetzt und dem EuGH die folgende drei Fragen zur Vorabentscheidung vorgelegt.
1. Führt eine fehlende bzw. unterlassene oder unvollständige Rechenschaftspflicht eines Verantwortlichen nach Art. 5 der DSGVO, beispielsweise durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO oder eine fehlende Vereinbarung über ein gemeinsames Verfahren nach Art. 26 DSGVO dazu, dass die Datenverarbeitung unrechtmäßig im Sinne der Art. 17 Abs. 1 Buchst. d DSGVO und Art. 18 Abs. 1 Buchst. b DSGVO ist, so dass ein Löschungs- bzw. Beschränkungsanspruch des Betroffenen besteht?
2. Falls Frage 1 zu bejahen ist: Führt das Bestehen eines Löschungs- oder Beschränkungsanspruchs dazu, dass die verarbeiteten Daten in einem Gerichtsverfahren nicht zu berücksichtigen sind? Dies jedenfalls dann, wenn die betroffene Person der Verwertung im gerichtlichen Verfahren widerspricht?
3. Falls Frage 1 zu verneinen ist: Führt ein Verstoß eines Verantwortlichen gegen Art. 5, 30 oder 26 DSGVO dazu, dass ein nationales Gericht bei der Frage der gerichtlichen Verwertung der Datenverarbeitung die Daten nur berücksichtigen darf, wenn der Betroffene der Verwertung ausdrücklich zustimmt?
Erste Vorlagefrage: Wann liegt eine Unrechtmäßigkeit vor?
Mit der ersten Vorlagefrage wollte das VG Wiesbaden wissen, ob die Verletzung der Art. 26 und 30 DSGVO zur Unrechtmäßigkeit der Datenverarbeitung führt, sodass der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung im Sinne von Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO zusteht.
Zusammenfassend kommt der EuGH in seinem Urteil zu der Auslegung, “dass ein Verstoß des Verarbeiters gegen die in den Art. 26 und 30 dieser Verordnung vorgesehenen Pflichten keine ‚unrechtmäßige Verarbeitung‘ im Sinne von Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung darstellt“. Diese Auslegung beruht auf der Berücksichtigung des Wortlauts der DSGVO sowie des Kontexts und der Ziele der Verordnung. Dabei grenzt der Gerichtshof im Hinblick auf die Struktur und Systematik der DSGVO die Grundsätze der Verordnung (z.B. Art. 5 und 6 DSGVO) von den von ihr aufgestellten „allgemeinen Pflichten“ (hierzu gehören auch die erwähnten Art. 26 und 30 DSGVO) ab. Auf dieser Auslegungsgrundlage kommt der EuGH zu dem Ergebnis, dass das Fehlen einer Vereinbarung zur Festlegung der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO oder eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO für sich genommen keine Verletzung des Grundrechtes auf den Schutz personenbezogener Daten darstellt und damit den Zielen der DSGVO nicht zuwiderläuft. Eine unrechtmäßige Verarbeitung, die der betroffenen Person ein Recht auf Löschung (Art. 17 Abs. 1 lit. b DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 Abs. 1 lit. b DSGVO) gewährt, liegt daher nach der Entscheidung des EuGH nicht vor.
Auch wenn eine Verarbeitung personenbezogener Daten, die unter Verstoß gegen die Verpflichtungen aus Art. 26 und 30 DSGVO erfolgt ist, rechtmäßig ist, unterliegt die Datenverarbeitung den Bestimmungen der DSGVO, die dem Verantwortlichen die Beseitigung des Verstoßes auferlegen. Geeignete Maßnahmen sind dem EuGH zufolge die folgenden:
- Ausübung von „Abhilfebefugnissen“ durch die Aufsichtsbehörde im Sinne von 58 Abs. 2 DSGVO;
- Einlegung einer Beschwerde bei einer Aufsichtsbehörde gemäß 77 Abs. 1 DSGVO;
- Ersatz des vom Verantwortlichen etwaig verursachten Schadens nach 82 DSGVO.
Auch die mögliche Verhängung von Geldbußen nach Art. 83 Abs. 4 DSGVO ist möglich, scheidet im aktuellen Fall aber aus, da gegen Behörden und andere öffentliche Stellen nach § 43 Abs. 3 BDSG i.V.m. Art. 83 Abs. 7 DSGVO keine Geldbuße verhängt werden kann.
Zweite Vorlagefrage
Aufgrund der Verneinung der ersten Vorlagefrage war die zweite Vorlagefrage nicht zu beantworten. Der EuGH hat sich daher anschließend mit der dritten Vorlagefrage befasst.
Dritte Vorlagefrage: Einwilligung als eine der möglichen Rechtsgrundlage für die Verarbeitung
Diese Frage betrifft die Rechtsgrundlage für die Verarbeitung der elektronischen Akte durch das VG Wiesbaden, deren Führung und Übermittlung an das Gericht nicht den Anforderungen der Art. 26 und 30 DSGVO entsprach. Es geht um die Frage, ob angesichts solcher Verstöße gegen die DSGVO die Berücksichtigung (= Verarbeitung) der elektronischen Akte durch ein nationales Gericht nur auf der Grundlage einer Einwilligung der Betroffenen erfolgen darf, sofern gegen weitere Regelungen der DSGVO verstoßen wird.
Hierzu hat der EuGH klargestellt, dass die Einwilligung der betroffenen Person gem. Art. 6 Abs. 1 lit. a DSGVO nur einen der Gründe für die Rechtmäßigkeit der Datenverarbeitung darstellt. Die nachfolgenden Buchstaben b bis f dieser Vorschrift normieren weitere Voraussetzungen für die Datenverarbeitung. Sie sind eigenständig und auf bestimmte Zwecke bezogen. Es handelt sich um normierte Verarbeitungszwecke, von denen eine auf diese Rechtsgrundlagen gestützte Datenverarbeitung zwingend mindestens eine erfüllen muss.
Letztendlich hat der EuGH die entsprechenden Regelungen wie folgt ausgelegt: Wird ein Gericht mit einer Rechtsfrage befasst, so entscheidet es über den Fall und verarbeitet gegebenenfalls personenbezogene Daten im Rahmen seiner gerichtlichen Zuständigkeit. Das Gericht übt somit die ihm durch das (nationale) Recht übertragenen gerichtlichen Befugnisse aus. Die damit verbundene Datenverarbeitung erfolgt auf der Grundlage von Art. 6 Abs. 1 lit. e DSGVO: Die Datenverarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Hierauf stützt sich die Rechtmäßigkeit der Verarbeitung durch ein nationales Gericht – und somit auch das VG Wiesbaden. Daher ist nach der Auslegung des EuGH die Einwilligung der betroffenen Person nicht erforderlich.
Fazit: Praxisbedeutung
Obschon sich der EuGH in seinem Urteil vom 4. Mai 2023 mit der Datenverarbeitung durch öffentliche Stellen befasst hat, geht die Bedeutung seiner Vorabentscheidung über den öffentlichen Bereich hinaus. Denn der Entscheidung liegt eine restriktive Auslegung der Zulässigkeit der Verarbeitung personenbezogener Daten zugrunde. Aus dem EuGH-Urteil geht folgendes hervor: Die Rechtmäßigkeit der Datenverarbeitung ergibt sich grundsätzlich daraus, dass die Verarbeitung im Einklang mit den Grundsätzen des Art. 5 Abs. 1 DSGVO steht und eine der Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DSGVO erfüllt. Verstöße gegen die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO für sich genommen können nicht zur Unrechtmäßigkeit der Verarbeitung führen. In der Folge steht betroffenen Personen aus diesem Grund auch nicht das Recht auf Löschung (Art. 17 Abs. 1 lit. d DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 Abs. 1 lit. b DSGVO) zu. Der für die Datenverarbeitung Verantwortliche, der gegen die vorgenannten Vorschriften verstößt, unterliegt jedoch anderen Bestimmungen der DSGVO, die ihm die Behebung der Verstöße auferlegen, ganz zu schweigen von der möglichen Verhängung von Geldbußen (siehe Art. 83 Abs. 4 DSGVO).
Zweifelsohne haben wir mit diesem Urteil des EuGH endlich eine wichtige Auslegung der Voraussetzungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Offen bleibt jedoch die Frage, welche Rechtsfolgen sich für die Rechtmäßigkeit ergeben, soweit der für die Verarbeitung Verantwortliche die Informationspflichten nach Art. 13 und 14 DSGVO nicht erfüllt. Eine Vorabentscheidung des Europäischen Gerichtshofs, wie diese Bestimmungen im Hinblick auf die Rechtmäßigkeit der Verarbeitung auszulegen sind, liegt aber noch nicht vor. Eine solche Auslegung könnte weitere Klarheit über die Voraussetzungen für die Rechtmäßigkeit von Verarbeitungen sowie über die im Fall einer Unrechtmäßigkeit einzutretenden Rechtsfolgen schaffen. Wir sind uns allerdings sicher, dass auch diese Fragestellung irgendwann geklärt werden wird.
______________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.
Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir zu aktuellen und interessanten Themen neue Folgen. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.