EuGH: Verstoß gegen Art. 26 und 30 DSGVO unrechtmäßige Verarbeitung?

8. Mai 2023

Vergangene Woche traf der Gerichtshof der Europäischen Union (EuGH) mehrere Entscheidungen im Rahmen eines Vorabentscheidungsverfahrens, die die Auslegung der Datenschutz-Grundverordnung (DSGVO) betrafen (Urteil immaterieller Schadensersatz bei DSGVO-Verstößen- wir berichteten -).

Unter anderem entschied der EuGH (Rs. Az. C-60/22) über die Frage, ob ein unrechtmäßige Datenverarbeitung iSd Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO vorliege, soweit ein Verantwortlicher seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkomme. Dabei sei der Rechenschaftspflicht unzureichend nachgekommen worden, aufgrund einer fehlenden Vereinbarung über die gemeinsame Verantwortlichkeit (Art. 26 DSGVO) und einem unvollständigen Verzeichnis für Verarbeitungstätigkeiten (Art. 30 DSGVO).

Die Hintergründe

Dem Ausgangsverfahren lag der Antrag des Klägers auf internationalen Schutz beim zuständigen Bundesamt zu Grunde. Seine Entscheidung traf das Bundesamt unter Verwendung einer elektronischen Akten. Anschließend klagte der Betroffene vor dem Verwaltungsgericht gegen die Ablehnung auf internationalen Schutz. Im Rahmen des Prozesse übermittelte das Bundesamt dem Verwaltungsgericht die elektronische Akte des betroffenen Klägers, sodass Bundesamt und Verwaltungsgericht gemeinsam verantwortlich nach Art. 26 DSGVO waren. Aus Sicht des Klägers verstieß das Verwaltungsgericht gegen seine Rechenschaftspflicht aus der DSGVO, indem es weder einen Vertrag über die gemeinsame Verantwortlichkeit vorlegen konnte noch die Übermittlung in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen hatte.

Keine unrechtmäßige Verarbeitung

Der EuGH äußerte sich dazu, ob die fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit und das lückenhaft Verzeichnis für Verarbeitungstätigkeiten eine unrechtmäßige Verarbeitung iSd DSGVO sei. Danach richte sich, ob die betroffene Person ein Recht auf Löschung der verarbeiteten personenbezogenen Daten nach Art. 17 Abs. 1 lit. d und ein Recht auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 lit. b DSGVO habe.

Dazu führte der Gerichtshof erstens aus, dass ein Verantwortlicher nach Art. 5 Abs. 1 und 2 DSGVO sicherstellen müsse, dass die Datenverarbeitung rechtmäßig sei. Die Rechtmäßigkeit der Datenverarbeitung regele die DSGVO nach Art. 6. Demnach müsse eine der nach Abs. 1 lit. a bis f DSGVO alternativ aufgeführten Bedingungen erfüllt sein. Die nach Art. 26 und 30 DSGVO vorgesehenen Pflichten seien aber „(…) nicht zu den in nach Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung [zu] zählen.“ (EuGH, Urteil vom 4.5.2023, C-60/22 Rn. 59) Die Pflichten nach Art. 26 und 30 DSGVO seien nicht dafür gedacht die Anforderungen an eine rechtmäßige Verarbeitung iSd nach Art. 6 Abs. 1 DSGVO genauer zu bestimmen.

Zweitens führte das Gerichts aus, dass die Rechtmäßigkeit zu den Grundsätzen der Datenverarbeitung zähle. Stattdessen seien die Vereinbarung über die gemeinsame Verantwortlichkeit und das Verzeichnis über Verarbeitungstätigkeiten allgemeine Pflichten des Verantwortlichen.

Außerdem führte der Gerichtshof drittens aus, dass bei einem Verstoß gegen Art. 26 und 30 DSGVO noch keine Verletzung des Grundrechts auf den Schutz personenbezogener Daten vorliege.

Fazit

Abschließend stellte der Gerichtshof fest, dass der Verstoß gegen Art. 26 und 30 DSGVO keine unrechtmäßige Verarbeitung nach Art. 17 Abs. I lit. d und Art. 18 Abs. 1 lit. b DSGVO sei. Da das Urteil erst vor kurzem erschienen ist, bleiben Reaktionen der Aufsichtsbehörden noch abzuwarten.