Skip to content

EuGH: Datenschutzrechtliche Aufsichtsbehörde darf auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen

EuGH
Urteil vom 14.03.2024
C‑46/23


Der EuGH hat entschieden, dass eine datenschutzrechtliche Aufsichtsbehörde auch ohne Antrag des Betroffenen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf.

Tenor der Entscheidung:
1. Art. 58 Abs. 2 Buchst. d und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 dieser Verordnung gestellt hat.

2. Art. 58 Abs. 2 der Verordnung 2016/679 ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann.

Die Pressemitteilung des EuGH:
Schutz personenbezogener Daten: Die Aufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat

Eine solche Löschung kann sich sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen.

2020 beschloss die Kommunalverwaltung Újpest (Ungarn), Personen, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, finanziell zu unterstützen. Sie ersuchte deshalb die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.

Aufgrund eines Hinweises stellte die zuständige ungarische Datenschutzbehörde (im Folgenden: Aufsichtsbehörde) fest, dass sowohl die Verwaltung Újpest als auch die ungarische Staatskasse und die Regierungsbehörde gegen Regelungen der DSGVO1 verstoßen hatten. Entsprechende Geldbußen wurden verhängt.

Die Aufsichtsbehörde stellte fest, dass die Verwaltung Újpest die betroffenen Personen innerhalb der dafür geltenden Frist von einem Monat weder über die Verwendung ihrer Daten und den Zweck dieser Verarbeitung noch über ihre Datenschutzrechte informiert hatte. Zudem wies sie die Verwaltung Újpest an, die Daten anspruchsberechtigter Personen, die keine Unterstützung beantragt hatten, zu löschen.

Die Verwaltung Újpest hat diese Entscheidung beim Hauptstädtischen Stuhlgericht (Ungarn) angefochten und macht geltend, die Aufsichtsbehörde sei nicht befugt, die Löschung personenbezogener Daten anzuordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe.

Das ungarische Gericht ersucht den Gerichtshof um Auslegung der DSGVO.

Mit seinem heutigen Urteil antwortet der Gerichtshof, dass die Aufsichtsbehörde eines Mitgliedstaats von Amts wegen die Löschung unrechtmäßig verarbeiteter Daten anordnen darf, also selbst dann, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat, falls eine solche Maßnahme zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen. Erkennt die Aufsichtsbehörde, dass eine Datenverarbeitung nicht der DSGVO entspricht, so muss sie dem festgestellten Verstoß abhelfen, und zwar auch dann, wenn die betroffene Person zuvor keinen Antrag gestellt hat. Denn das Erfordernis einer solchen Antragstellung würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte.

Außerdem kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten unabhängig davon anordnen, ob sie unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.


Den Volltext der Entscheidung finden Sie hier:

VG Karlsruhe: Anweisungen nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) durch datenschutzrechtliche Aufsichtsbehörde erst ab In-Kraft-Treten am 25.05.2018

VG Karlsruhe
Urteil vom 6.7.2017
10 K 7698/16


Das VG Karlsruhe hat entschieden, dass Anweisungen nach der nach der EU-Datenschutz-Grundverordnung (EU-DSGVO) erst ab In-Kraft-Treten am 25.05.2018 zulässig sind.

Aus den Entscheidungsgründen:

"1. Für die datenschutzrechtliche Verfügung des Beklagten liegt keine Ermächtigungsgrundlage vor.

a) Die tatbestandlichen Voraussetzungen des als Ermächtigungsgrundlage herangezogenen § 38 Abs. 5 S. 1 BDSG liegen nicht vor. Hiernach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Ausübung der Befugnisse nach § 38 Abs. 5 S. 1 BDSG kommt in Betracht, wenn bei kontrollierten Stellen keine Bereitschaft zur Behebung der von der Aufsichtsbehörde gerügten Mängel oder Rechtsverletzungen festzustellen ist (Petri in Simitis, BDSG, 8. Aufl. 2014, § 38 Rn. 72). Eine aufsichtsbehördliche Maßnahme ist nicht erst dann zulässig, wenn die betreffende Datenverarbeitung ins Werk gesetzt ist. Insbesondere bei besonders sensiblen und sogar strafrechtlich geschützten Daten kann die Aufsichtsbehörde Anordnungen bereits treffen, wenn die unzulässige Datenverarbeitung durch ein Vertragswerk schon deutlich vorgezeichnet ist und dieses Vertragswerk in Kraft getreten ist (vgl. OVG Schleswig-Holstein, Beschluss vom 12.01.2011 - 4 MB 56/10 -, juris).

Diese Voraussetzungen sind vorliegend nicht erfüllt. Festgestellte Datenschutzverstöße durch die Klägerin, welche seitens der Aufsichtsbehörde gerügt worden wären, liegen der angefochtenen Verfügung unstreitig nicht zugrunde. Gleiches gilt für technische oder organisatorische Mängel. Ausweislich der Verfügungsbegründung sollen keine gegenwärtigen Datenschutzverstöße der Klägerin unterbunden, sondern vielmehr Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien. Soweit der Landesbeauftragte für den Datenschutz Baden-Württemberg insoweit die aus der Rechtsprechung des Oberverwaltungsgerichts Schleswig-Holstein abgeleiteten Grundsätze für anwendbar hält, wonach bei Vorliegen besonderer Umstände auch künftig zu erwartende Datenschutzverstöße bereits ein Tätigwerden der Aufsichtsbehörde zuließen, vermag die erkennenden Kammer dem nicht zu folgen. Denn anders als in der der herangezogenen Entscheidung zugrundliegenden Konstellation ist das künftige Verhalten der Klägerin nicht durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet. Es ist vielmehr noch völlig ungewiss, wie die Prüf- und Löschpraxis der Klägerin bezüglich forderungsbezogener Daten künftig unter Geltung der EU-Datenschutzgrundverordnung aussehen wird und ob diese rechtswidrig sein wird, zumal auch der genaue rechtliche Rahmen hierfür noch unklar ist.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG, wonach personenbezogene Daten zu löschen sind, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist, wird mit Neufassung des Bundesdatenschutzgesetz durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30.06.2017 (BGBl. I, S. 2097 ff.) nicht fortbestehen. Die Datenschutzgrundverordnung enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 Buchst. e EU-DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Ihr ist lediglich – unter anderem in Erwägungsgrund 39 – zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 EU-DSGVO („Recht auf Vergessenwerden“) regelmäßig zu überprüfen hat. Hierbei kann auf typisierte Regelprüffristen für wiederkehrende Vorgänge zurückgegriffen werden, da es gerade Unternehmen, die in großem Umfang Daten verarbeiten – wie etwa Auskunfteien – nicht zuzumuten ist, jeden Einzelfall gesondert zu bewerten (vgl. Plath in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 5 EU-DSGVO Rn. 18). Eine Überprüfung kann in bestimmten Intervallen erfolgen, so wie es beispielsweise bislang nach § 35 Abs. 2 S. 2 Nr. 4 BDSG möglich und zulässig war (vgl. Kamlah in: Plath, a.a.O., Art. 17 EU-DSGVO Rn. 6).

Einen Vorschlag bezüglich der Prüf- und Löschfristen unter Geltung der EU-Datenschutzgrundverordnung enthält der vom Verband der Wirtschaftsauskunfteien, dem auch die Klägerin angehört, ausgearbeitete Entwurf von Verhaltensregeln („Code of Conduct“). Nach Art. 40 Abs. 2 EU-DSGVO können Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der Verordnung präzisiert wird. Auf Antrag nimmt die zuständige Aufsichtsbehörde in einem zweistufigen Verfahren dazu Stellung, ob die vorgelegten Verhaltensregeln mit der Verordnung vereinbar sind und genehmigt diese, soweit sie „ausreichende geeignete Garantien“ bieten (vgl. Art. 40 Abs. 5 S. 2 EU-DSGVO). Ein entsprechender Antrag bei der hier zuständigen Aufsichtsbehörde des Landes Nordrhein-Westfalen ist – wie die Prozessbevollmächtigten der Klägerin in der mündlichen Verhandlung vom 06.07.2017 angegeben haben – formal noch nicht gestellt worden. Aktuell finde noch die Abstimmung und Konsensbildung mit den im Düsseldorfer Kreis vertretenen Aufsichtsbehörden des Bundes und der Länder für den nicht-öffentlichen Bereich statt. Ausweislich des Protokolls der letzten Sitzung des Düsseldorfer Kreises vom 07.03.2017 (abrufbar unter: https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Protokolle/Inhalt/Protokolle_des_Duesseldorfer_Kreises/Inhalt/7_-Maerz-2017/DK-2017_1-Protokoll.pdf) hat der „Code of Conduct Prüf- und Löschfristen in der Fassung des Entwurfs vom 28.02.2017“ bei einer Probeabstimmung zwar eine mehrheitliche Zustimmung, jedoch nicht die nach der Geschäftsordnung des Düsseldorfer Kreises erforderliche einstimmige Zustimmung erhalten. Mehrheitlich befürworte der Düsseldorfer Kreis, dass Nordrhein-Westfalen als genehmigende Aufsichtsbehörde dem Verband der Wirtschaftsauskunfteien empfehlen solle, den Bundesverband Verbraucherzentralen bei der „weiteren Ausarbeitung des Code of Conduct“ zu beteiligen (vgl. Protokoll der Sitzung vom 07.03.2017, S. 7). Vor dem Hintergrund des nach wie vor laufenden Verfahrens steht weder fest, ob es überhaupt zu einer späteren Genehmigung von Verhaltensregeln zu den Prüf- und Löschfristen kommen wird, noch wie diese letztlich ausgestaltet sein werden. Angesichts dessen kann die weitere Frage der Wirkung und Verbindlichkeit von genehmigten Verhaltensregeln dahingestellt bleiben. Nach dem Voranstehenden fehlt es bereits an einer Grundlage, welche die getroffene Einschätzung tragen könnte, wonach die Klägerin mit ihrer – derzeit im Übrigen noch ungewissen – künftigen Prüf- und Löschpraxis gegen die – ggf. noch zu konkretisierenden – Vorgaben der EU-Datenschutzgrundverordnung verstoßen würde.

Insbesondere kann auch nicht davon ausgegangen werden, dass nur eine Handhabung entsprechend der in der angegriffenen Verfügung vorgesehenen Prüf- und Löschpraxis mit der EU-Datenschutzgrundverordnung vereinbar wäre. Denn die vom Landesbeauftragen für den Datenschutz Baden-Württemberg für angemessen erachtete Frist, wonach Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.05.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, stellt keineswegs die einzig mögliche Speicher- und Löschkonzeption dar, die mit der EU-Datenschutzgrundverordnung in Einklang steht bzw. sich aus selbiger zwingend ergibt. Die künftige Prüf- und Löschpraxis der Auskunfteien muss sich – wie bereits dargestellt wurde – am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 Buchst. e EU-DSGVO messen lassen, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Die erkennende Kammer muss vorliegend nicht darüber entscheiden, wo die Grenzen dieses Spielraums erreicht sind. Sie geht aber – worauf es hier alleine ankommt – jedenfalls davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der EU-Datenschutzgrundverordnung in Einklang stehenden Prüf- und Löschfristen zulässig ist.

b) Entgegen den Ausführungen der Beklagten ergibt sich eine Ermächtigungsgrundlage für die angegriffene Verfügung auch nicht aus § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 der EU-DSGVO. Aus diesem Erwägungsgrund geht unter anderem hervor, dass der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen sollte, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden.

Zunächst kann dahingestellt bleiben, ob aus einem Erwägungsgrund einer zwar in Kraft getretenen, jedoch noch nicht anwendbaren Verordnung in Verbindung mit einer Regelung, die bei Geltung der Verordnung weggefallen sein wird, eine Rechtsgrundlage hergeleitet werden kann. Denn jedenfalls ergibt sich auch aus dem ergänzend herangezogenen Erwägungsgrund nicht, dass die Klägerin bereits vor Geltung der Verordnung verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit der Verordnung durch die Aufsichtsbehörde verpflichtet werden könnte. Eine frühzeitige Anpassung ihrer Datenschutzlöschkonzeption an die EU-Datenschutzgrundverordnung liegt unzweifelhaft im Interesse der Klägerin, da bei Verstößen gegen das europäische Datenschutzrecht erhebliche Sanktionen drohen (vgl. nur Art. 83 Abs. 5 Buchst. a EU-DSGVO zu Verstößen gegen die Grundsätze der Verarbeitung gemäß Art. 5 EU-DSGVO). Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

c) Soweit der Beklagte auf Art. 58 Abs. 2 Buchst. d EU-DSGVO verweist, wonach jede Aufsichtsbehörde über Abhilfebefugnisse verfügt, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen, kann die am 25.11.2016 erlassene Verfügung bereits deshalb nicht auf diese Ermächtigungsgrundlage gestützt werden, da diese erst ab 25.05.2018 Gültigkeit beanspruchen wird (vgl. Art. 99 Abs. 2 EU-DSGVO)."


Den Volltext der Enstcheidung finden Sie hier: