Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.
Update zur DSGVO: Aktuelle Entscheidungen des EuGH zu grundlegenden Fragen
Der EuGH hat im ersten Halbjahr wichtige Weichen in grundlegenden Anwendungsfragen der DSGVO gestellt. In mehreren Entscheidungen wurden Unklarheiten in den Bereichen Schadenersatz, Rechtmäßigkeit der Verarbeitung und dem Begriff der „Kopie“ von personenbezogenen Daten geklärt. Die Urteile sind zwar nicht völlig überraschend, führen dennoch zu mehr Rechtssicherheit.
Schadenersatzanspruch nicht ohne Schaden
Enscheidung des EuGH
Ein Anspruch auf Schadenersatz in Geld setzt nach Art. 82 DSGVO einen nachgewiesenen materiellen oder immateriellen Schaden des Betroffenen voraus. Der bloße Verstoß gegen die DSGVO reicht nicht aus. Außerdem gibt es keine Erheblichkeitsschwelle für (immaterielle) Schäden. Auch „unerhebliche“ Schäden sind nach Art. 82 DSGVO zu ersetzen. (Rechtssache. C-300/21).
Auswirkungen auf die Praxis
Dass nicht jeder Verstoß gegen die DSGVO zu einem Schadenersatz führt, dürfte erleichternd sein. Unklar bleibt jedoch weiterhin, wann ein Schaden anzunehmen ist und welche Voraussetzungen für immaterielle Schäden gelten, die nicht in Geld messbar sind. Als potentieller Schaden kann etwa Ärger über Spam-Mails, Unbehagen, weil Daten abhandengekommen sind, oder Befürchtungen von Auswirkungen auf die Reputation dargelegt werden. Erheblichkeit ist dabei nicht notwendig. Für Betroffene könnte es zukünftig attraktiver sein, Schadenersatz vor Gericht geltend zu machen.
Handlungsempfehlung
Vorbeugen ist nach wie vor die effektivste Maßnahme: Die unternehmensinternen Prozesse zur Einhaltung der datenschutzrechtlichen Anforderungen sollten geprüft und falls erforderlich nachgebessert werden. Kommt es dennoch zu einer Schadenersatzklage, kann die Verteidigung argumentieren, dass kein Schaden entstanden oder der Verstoß nicht die Ursache für den Schaden ist.
Nicht jeder Verstoß gegen die DSGVO führt zur Unrechtmäßigkeit der Verarbeitung
Entscheidung des EuGH
Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist nicht von der Einhaltung der datenschutzrechtlichen Dokumentationspflichten abhängig. Dazu zählen etwa das Führen eines Verarbeitungsverzeichnisses oder der Abschluss eines Vertrages über die gemeinsame Verantwortung. Für die Rechtmäßigkeit der Verarbeitung ist allein das Vorliegen einer Rechtsgrundlage entscheidend. Dies begründet der EuGH mit dem Wortlaut des Art. 6 DSGVO sowie dessen systematischer Stellung innerhalb der DSGVO. (Rechtssache C-60/22)
Auswirkungen auf die Praxis
Die Entscheidung verdeutlicht, dass für die Rechtsmäßigkeit der Datenverarbeitung lediglich eine Rechtsgrundlage – Einwilligung oder andere gesetzliche Legitimation – vorliegen muss. Davon zu trennen sind die „sonstigen“ von Unternehmen einzuhaltenden Compliance-Verpflichtungen der DSGVO bezüglich der datenschutzrechtlichen Organisation und Dokumentation. Auch wenn der EuGH sich nur zu bestimmten Pflichten äußert, dürfte die Rechtsprechung generell auf Verletzungen von Compliance-Pflichten wie beispielsweise das Fehlen einer ordnungsgemäßen Datenschutzerklärung oder Datenschutz-Folgenabschätzung übertragbar sein: Ein solcher Verstoß führt nicht zur Unrechtmäßigkeit der Verarbeitung, weshalb die Daten weiterhin vom Unternehmen verarbeitet werden dürfen.
Handlungsempfehlung
Das bedeutet selbstverständlich nicht, dass Unternehmen diese Compliance-Pflichten der DSGVO ignorieren sollten. Jede Verletzung dieser Pflichten ist ein eigenständiger Datenschutzverstoß und als solcher mit einem Bußgeld bedroht.
Recht auf „Kopie“ bedeutet 1:1 Kopie
Entscheidung des EuGH
Recht auf Kopie nach Art. 15 DSGVO (Inhalt und Umfang des Auskunftsanspruchs) bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion von Dokumenten, die personenbezogene Daten enthalten, zusteht. Konkret können Kopien ganzer Dokumente, Auszüge aus Dokumenten oder auch Auszüge aus Datenbanken gefordert werden, wenn eine solche Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen. Eine allgemeine Beschreibung der Daten, die Gegenstand der Verarbeitung sind, die aggregierte Darstellung oder ein Verweis auf Kategorien personenbezogener Daten reicht nicht aus. (Rechtssache C-487/21)
Auswirkungen auf die Praxis
Wie das Recht auf Kopie tatsächlich umgesetzt werden muss, hat in den letzten Jahren zahlreiche Gerichte beschäftigt. Mit dem Urteil des EuGH wurde nun Klarheit geschaffen: Kopien müssen überlassen werden, wenn diese erforderlich sind, damit die Betroffenen ihre Rechte aus der DSGVO ausüben können. Eine transparente Darstellung muss gewährleistet sein, insbesondere kann es erforderlich sein den Kontext der Verarbeitung zu erläutern. Leidglich in Ausnahmefällen können Rechte und Freiheiten von anderen Personen dem Anspruch entgegenstehen. Die Bearbeitung von Auskunftsanfragen wird dadurch immer zeitintensiver.
Handlungsempfehlung
Unternehmen sollten sich präventiv mit den Anforderungen des Auskunftsanspruchs vertraut machen. Die Standardisierung des Auskunftsprozesse ist unerlässlich, um die Anforderungen effizient zu erfüllen. Die Informationen und Dokumente zur Bearbeitung von Auskunftsanfragen sollten jederzeit verfügbar sein und im Rahmen eines strukturierten Prozesses zusammengestellt werden können.
Fazit
Der EUGH hat sich gleich mit drei wesentlichen und praxisrelevanten Fragestellungen aus der DSGVO befasst und für Klärung gesorgt. Dadurch dürften auch die Entscheidungen nationaler Gerichte zu Schadenersatz und Auskunftsrecht in Zukunft einheitlicher sein. Die Urteile zeigen aber auch auf, wie wichtig es weiterhin für Unternehmen ist, die Vorgaben der DSGVO in den Unternehmensprozessen umzusetzen und zu standardisieren.