EuGH-Urteil: Verstöße gegen bestimmte Pflichten der DSGVO begründen nicht automatisch ein Recht auf Löschung oder Einschränkung von Daten

In der Rechtssache C-60/22 hat der Europäische Gerichtshof (EuGH) entschieden, dass Verstöße gegen die Artikel 26 und 30 der Datenschutz-Grundverordnung (DSGVO) nicht automatisch eine rechtswidrige Verarbeitung darstellen. Das bedeutet, dass Betroffene in solchen Fällen nicht zwangsläufig ein Recht auf Löschung oder Einschränkung der Verarbeitung ihrer Daten haben. Diese Verstöße bedeuten nämlich nicht zwangsläufig, dass der Verantwortliche gegen den Grundsatz der Rechenschaftspflicht verstoßen hat.

In dem Fall ging es um eine Klage gegen das Bundesamt für Migration und Flüchtlinge in Deutschland. Das Verwaltungsgericht Wiesbaden hatte Zweifel, ob die Erstellung und Übermittlung einer Akte mit personenbezogenen Daten des Klägers mit der DSGVO vereinbar war und legte dem EuGH drei Fragen zur Klärung vor.

Verstöße gegen DSGVO begründen nicht automatisch Rechte der Betroffenen

Der EuGH betonte, dass jeder Verarbeitungsvorgang die in Artikel 5 Absatz 1 und Artikel 6 der DSGVO festgelegten Grundsätze und Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen muss. Verstöße gegen Artikel 26 und 30 DSGVO führen jedoch nicht automatisch zu einer unrechtmäßigen Verarbeitung, die der betroffenen Person ein Recht auf Löschung oder Einschränkung der Verarbeitung einräumt.

Laut EuGH müssen solche Verstöße durch die Ausübung der in der DSGVO vorgesehenen Abhilfebefugnisse durch die Aufsichtsbehörde beseitigt werden. Dazu gehören die Anordnung, die Verarbeitungsvorgänge mit der DSGVO in Einklang zu bringen, das Einlegen einer Beschwerde oder die Geltendmachung eines Schadensersatzanspruchs.

Der EuGH stellte auch klar, dass die Einwilligung der betroffenen Person nur eine der möglichen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten ist. Personenbezogene Daten können daher auch ohne Einwilligung rechtmäßig verarbeitet werden, beispielsweise durch nationale Gerichte auf Grundlage von Art. 6 Abs. 1 lit. e DSGVO.

Zusammenfassend zeigt diese Entscheidung, dass es wichtig ist, zwischen der Rechtsgrundlage für die Datenverarbeitung und den begleitenden Compliance-Pflichten der DSGVO zu unterscheiden. Ob eine Verarbeitung unzulässig ist, hängt davon ab, ob für die jeweilige Verarbeitung eine Rechtsgrundlage besteht.

Handlungsempfehlungen

Die Entscheidung des EuGH hat weitreichende Folgen für Unternehmen, die personenbezogene Daten verarbeiten. Im Folgenden sind einige praktische Maßnahmen aufgeführt, die Unternehmen ergreifen können, um sicherzustellen, dass sie die Anforderungen der DSGVO erfüllen:

• Die Verpflichtungen der DSGVO kennen: Unternehmen sollten sicherstellen, dass sie die Bestimmungen der DSGVO vollständig verstehen, insbesondere die Grundsätze und Pflichten gemäß Artikel 5, 6, 26 und 30.
• Datenschutzbeauftragter: Gegebenenfalls sollte ein Datenschutzbeauftragter ernannt werden, der die Einhaltung der DSGVO überwacht und das Unternehmen in Datenschutzfragen berät.
• Verarbeitungsverzeichnis und Vereinbarungen über die gemeinsame Verantwortlichkeit: Unternehmen sollten ein Verzeichnis aller Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO erstellen und führen. Bei gemeinsamer Verantwortlichkeit für die Verarbeitung personenbezogener Daten sollten Unternehmen entsprechende Vereinbarungen gemäß Artikel 26 DSGVO treffen.
• Sensibilisierung und Schulung: Mitarbeiter sollten in Bezug auf die DSGVO geschult und regelmäßig über ihre Verantwortlichkeiten und Pflichten im Umgang mit personenbezogenen Daten informiert werden.
• Technische und organisatorische Vorkehrungen: Unternehmen sollten geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten und Datenschutzverletzungen zu verhindern.
• Transparente Kommunikation: Unternehmen sollten auf eine transparente Kommunikation mit den Betroffenen achten und ihre Datenschutzrichtlinien und -verfahren klar und verständlich darstellen.
• Proaktive Zusammenarbeit mit den Aufsichtsbehörden: Bei Verstößen gegen die Datenschutz-Grundverordnung sollten Unternehmen proaktiv mit den zuständigen Aufsichtsbehörden zusammenarbeiten, um die Einhaltung der Verordnung sicherzustellen und mögliche Sanktionen oder Schadensersatzforderungen zu minimieren.
• Durch die Befolgung dieser Empfehlungen können Unternehmen die Einhaltung der DSGVO sicherstellen und das Risiko von Verstößen und damit verbundenen negativen Folgen minimieren.