Datenschutz im Wandel: Warum Unternehmen und Behörden sich kontinuierlich informieren sollten
Nicht nur Entwicklungen wie künstliche Intelligenz, die der Chatbot ChatGPT einsetzt, oder neue Gesetzgebung auf europäischer Ebene, z.B. der Digital Services Act oder der Digital Markets Act rücken den Datenschutz immer wieder in den Fokus. Auch der Europäische Gerichtshof (EuGH) hat sich in der letzten Zeit verstärkt mit dem Datenschutz befasst. Inzwischen liegt zu vielen praxisrelevanten Themen der Datenschutz-Grundverordnung (DSGVO) aktuelle Rechtsprechung vor. Für Behörden und Unternehmen sind Anfang Mai 2023 wieder drei relevante Entscheidungen ergangen, die sich mit dem Schadensersatzanspruch der Betroffenen, dem Recht auf Kopie und der Frage der Rechtmäßigkeit von Datenverarbeitungen befassen:
Voraussetzungen für einen Schadensersatzanspruch
Ein Betroffener, dessen Rechte durch einen Verstoß gegen die DSGVO verletzt wurden, hat das Recht auf Schadensersatz. Art. 82 DSGVO regelt diesen Schadensersatzanspruch. Ein einfacher Verstoß gegen die Bestimmungen der DSGVO allein reicht jedoch nicht aus, um einen Schadensersatzanspruch geltend zu machen. Für einen Anspruch gemäß Art. 82 Abs. 1 DSGVO müssen drei Voraussetzungen erfüllt sein: Erstens muss ein Verstoß gegen die DSGVO vorliegen, zweitens muss aus diesem Verstoß ein materieller oder immaterieller Schaden resultieren, und drittens muss der Verstoß kausal für den Schaden sein.
Der EuGH hat nun klargestellt, dass der Anspruch nach Art. 82 Abs. 1 DSGVO nicht nur auf immaterielle Schäden beschränkt ist, sondern auch materielle Schäden umfasst. Die Höhe des Schadensersatzes kann nach nationalem Recht berechnet werden, solange dieser vollständig und wirksam ist. (EuGH, Urt. v. 04.05.2023 - C 300/21)
Recht auf Kopie vollständiger Dokumente
Zu den bekanntesten Betroffenenrechten der DSGVO zählt das Recht auf Auskunft (Art. 15 Abs. 1 DSGVO). Danach kann eine betroffene Person von einer Behörde oder einem Unternehmen ohne weitere Voraussetzung eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn ja, welche Daten verarbeitet werden. Daneben enthält die Vorschrift ein Recht auf Kopie (Art. 15. Abs. 3). Danach muss die Behörde oder das Unternehmen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Allerdings darf dies die Rechte und Freiheiten anderer Personen nicht beeinträchtigen, z.B. weil deren Informationen ebenfalls auf der Kopie zu lesen sind.
Der EuGH hat nun entschieden, dass Betroffenen das Recht auf eine Kopie ihrer Daten in einer originalgetreuen und verständlichen Form zusteht. Dieses Recht beinhaltet nicht nur Auszüge aus Dokumenten, sondern auch vollständige Dokumente oder Auszüge aus Datenbanken, sofern dies für die wirksame Ausübung der Betroffenenrechte erforderlich ist. (EuGH, Urt. v. 04.05.2023 - C-487/21)
Folgen der Verstöße gegen gemeinsame Verantwortlichkeit und Verarbeitungsverzeichnis
Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Jeder Verantwortliche ist für die Einhaltung der DSGVO verantwortlich und muss diesbezüglich mit den anderen Verantwortlichen kooperieren. Ein Beispiel für die gemeinsame Verantwortlichkeit im Datenschutzsinne könnte ein Gemeinschaftsprojekt zwischen mehreren öffentlichen Einrichtungen sein, bei dem personenbezogene Daten verarbeitet werden, bspw. ein Forschungsprojekt oder eine gemeinsame Datenbank. Es muss dann eine Vereinbarung getroffen werden, die die jeweiligen Verantwortlichkeiten der Kooperationspartner festlegt und die den betroffenen Personen bestimmte Rechte garantiert, insbesondere das Recht auf Auskunft und weiterer Betroffenenrechte.
Nach Art. 30 DSGVO müssen Verantwortliche oder der Auftragsverarbeiter eine Übersicht über alle Verarbeitungstätigkeiten von personenbezogenen Daten führen (Verarbeitungsverzeichnis). In dem Verzeichnis müssen unter anderem die Zwecke der Verarbeitung, die Kategorien von betroffenen Personen, die Kategorien personenbezogener Daten, die Empfänger oder Kategorien von Empfängern sowie gegebenenfalls Übermittlungen von personenbezogenen Daten in Drittländer aufgeführt sein.
Hierzu hat der EuGH entscheiden, dass der Verstoß des Verantwortlichen gegen die Pflichten zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) oder zur Führung eines Verarbeitungsverzeichnisses (Art. 30 DSGVO) nicht automatisch dazu führt, dass die Verarbeitung unrechtmäßig wird. Infolgedessen hat die betroffene Person auch kein Recht auf Löschung oder Einschränkung der Verarbeitung. (EuGH, Urt. v. 04.05.2023 - C 60/22)
Zusammenfassend lässt sich feststellen, dass sich nach und nach nicht nur eine Anwendungspraxis für die DSGVO etabliert hat, sondern dass diese sich aufgrund der Rechtsprechung des EuGH fortlaufend weiterentwickelt. Für Verantwortliche in Behörden und Unternehmen, Datenschutzbeauftragte, Personal- oder Betriebsräte ist es daher angezeigt, ihr Datenschutzwissen von Zeit zu Zeit auf dem Laufenden zu halten.
Dr. Martin Eßer, Dozent für Datenschutz und Compliance
Die dbb akademie unterstützt Sie gerne dabei:
Datenschutz-Update: Was gibt es Neues bei DSGVO, BDSG & Co?
17.07.2023, online
20.11.2023 in Köln
Datenschutz-Folgenabschätzung – Theorie und Praxis
07.09.2023, online
Grundlagen des Datenschutzes – Einführung in das Datenschutzrecht und IT-Grundkenntnisse
12.-14.09.2023 in Köln
Workshop zu den Betroffenenrechten, Auftragsverarbeitung und Datenschutz-Folgenabschätzung nach der DSGVO
24./25.10.2023 in Köln
Grundlagenkenntnisse und Praxiswissen im Datenschutzrecht
Online-Lehrgang - 10 Module à 90 Minuten (auch einzeln buchbar)
ab 08.08.2023
Zertifizierte Fortbildung zur/zum behördlichen Datenschutzbeauftragten
3 Module und Prüfung ab 25.09.2023 in Köln
Ihre Ansprechpartnerin in der dbb akademie:
Brigitte Schneider
b.schneider@dbbakademie.de
Tel. 0228.8193 187