Der Gerichtshof der Europäischen Union (EuGH) hat am 4. Mai 2023 mehrere Urteile veröffentlicht, in denen er sich zu einigen Schlüsselfragen des Schutzes personenbezogener Daten geäußert hat.

In der Entscheidung im Fall C-300/21 befasste sich der EuGH mit der Frage des Schadensersatzes im Zusammenhang mit der Verletzung von GDPR-Bestimmungen. Der EuGH widerlegte zunächst
die These, dass bereits der bloße Nachweis eines Verstoßes gegen diese Regelung ausreichen könne, um Schadensersatz lt. Art. 82 GDPR zu beantragen. Dem EuGH zufolge ist vielmehr eine konsequente Unterscheidung zwischen den Sanktionsbestimmungen der GDPR-Verordnung (insbesondere Art. 83 und 84 GDPR), deren Anwendung nicht vom Vorliegen eines individuellen Schadens abhängig ist,
und Art. 82 GDPR, der nur im Falle eines tatsächlich faktitiven Schadens Anwendung findet.

Der EuGH stellte weiter klar, dass die Entstehung eines Anspruchs auf Ersatz eines – in diesem Fall immateriellen – Schadens nach Artikel 82 GDPR nicht von der Erreichung einer bestimmten Schwere des Schadens abhängig ist. Voraussetzung für den Schadensersatz ist jedoch, dass die betroffene Person im Verfahren vor dem zuständigen nationalen Gericht hinreichend nachweisen kann, dass ihr ein tatsächlicher und bestimmter seelischer Schaden entstanden ist. Es ist daher wichtig zu bedenken, dass „Schaden“ im Sinne der GDPR zwar nach der ständigen Rechtsprechung des EuGHs ein autonomer Begriff des EU-Rechts ist, so die Beurteilung, ob die betroffene Person diesen Schaden hinreichend nachgewiesen hat, jedoch beim nationalen Gericht vorbehalten bleibt.  

Darüber hinaus stellt die Geringfügigkeit des Schadens zwar kein Hindernis für die Entstehung des Anspruchs auf Schadensersatz dar, wirkt sich jedoch auf die Höhe der Geldentschädigung aus. Nach Ansicht des EuGHs muss der Ersatz des verursachten Schadens einen „vollständigen und wirksamen Ersatz des von den betroffenen Personen erlittenen Schadens“ darstellen, ohne dass es für die Zwecke eines solchen vollständigen Ersatzes einer Verpflichtung zur Zahlung von Strafschadenersatz bedarf. Bei einem immateriellen Schaden in Form bloßer Besorgnis oder Empörung ist daher damit zu rechnen, dass die finanzielle Entschädigung für den Schaden relativ niedrig bleibt, unabhängig von der Schwere des Verstoßes des Verantwortlichen/Datenverwalters gegen die GDPR-Verordnung.

Im Fall C-487/21 befasste sich der EuGH mit dem Umfang des Rechts der betroffenen Person auf Erhalt einer Kopie der verarbeiteten personenbezogenen Daten im Sinne von Artikel 15 GDPR.
Der EuGH judizierte, dass diese Kopien alle Merkmale aufweisen müssen, die es der betroffenen Person ermöglichen, ihre durch die GDPR anerkannten/gewährten Rechte wirksam auszuüben, und dass sie daher die Daten vollständig und genau wiedergeben müssen.

Das Recht auf Erhalt einer Kopie kann daher, je nach Kontext, auch das Recht umfassen, nicht nur eine Kopie der Daten selbst, sondern auch Kopien von Auszügen aus Teilen von Dokumenten, aus ganzen Dokumenten oder aus Datenbanken zu erhalten, die u.a. die betreffenden zu verarbeitenden Daten enthalten, wenn dies erforderlich ist, damit die betroffene Person die durch die Verordnung gewährten Rechte wirksam ausüben kann. Dabei sind die Rechte und Freiheiten anderer Personen zu berücksichtigen, wobei es gilt, dass Art. 15 GDPR die betroffene Person nicht ermächtigt, andere als ihre eigenen personenbezogenen Daten zu erhalten.

Auch diese Entscheidung des EuGH haben wir hier genauer behandelt.

Im Fall C-60/22 bestätigte der EuGH, dass die betroffene Person das Recht auf Löschung oder Einschränkung der Verarbeitung ihrer Daten hat, wenn der Verantwortliche diese Daten unter Verstoß gegen Artikel 6 Abs. 1 GDPR oder unter Verstoß gegen die Grundprinzipien der Verarbeitung personenbezogener Daten gemäß Artikel 5 GDPR.

Ein Verstoß gegen die Pflichten gemeinsamer Verantwortlicher (Art 26 GDPR) oder gegen die Pflichten bzgl. Führung der Aufzeichnung über die Tätigkeiten betr. Datenverarbeitung (Art. 30 GDPR) macht dahingegen die Datenverarbeitung selbst nicht gesetzwidrig, und begründet daher ohne weiteres nicht das Recht der betroffenen Person auf Löschung oder Einschränkung der Datenverarbeitung. Der EuGH stellte ausdrücklich fest, dass eine ähnliche Schlussfolgerung auch in Bezug auf andere Pflichten der für die Datenverarbeitung Verantwortlichen gemäß Kapitel IV der GDPR gezogen werden kann. Weiterhin bleibt die Frage offen, welche Intensität der Verstoß des Verantwortlichen gegen diese Pflichten erreichen muss, um als Verstoß gegen die Grundprinzipien der Verarbeitung personenbezogener Daten im Sinne von Artikel 5 GDPR angesehen zu werden.

Der EuGH judizierte außerdem ausdrücklich, dass ein nationales Gericht berechtigt ist, Daten zu berücksichtigen, die von einem für die Verarbeitung Verantwortlichen unter Verstoß gegen Artikel 26 oder Art. 30 GDPR verarbeitet werden, auch ohne die zusätzliche Zustimmung der Betroffenen dieser Daten, da das nationale Gericht die Daten im öffentlichen Interesse bei der Ausübung seiner Befugnisse verarbeitet.

Autor: Veronika Odrobinová, Martina Šumavská, Tatiana Podstolná