Skip to content

EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind

EuGH
Urteil vom 15.06.2021
C‑645/19
Facebook Ireland Ltd, Facebook Inc., Facebook Belgium BVBA
gegen
Gegevensbeschermingsautoriteit


Der EuGH hat entschieden, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch dann tätig werden dürfen, wenn sie nicht federführend zuständig sind.

Tenor der Entscheidung:

1. Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.

2. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.

3. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Vorlagefrage 1 dafür zuständig ist, die Befugnis auszuüben.

4. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.

5. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.

Den Volltext der Entscheidung finden Sie hier:

Die Pressemitteilung des EuGH:

Datenschutz-Grundverordnung (DSGVO): Der Gerichtshof erläutert die Voraussetzungen für die Ausübung der Befugnisse der nationalen Aufsichtsbehörden bei der grenzüberschreitenden Datenverarbeitung

Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DSGVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist

"EuGH: Nationale Datenschutzbehörden dürfen bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung auch tätig werden wenn sie nicht federführend sind" vollständig lesen

ArbG Mannheim: Kein Anspruch auf Geldentschädigung aus Art. 82 DSGVO wenn Kläger nicht darlegt welche datenschutzrechtlichen Vorschriften durch welche Handlungen konkret verletzt wurden

ArbG Mannheim
Urteil vom 25.03.2021
8 Ca 409/20


Das ArbG Mannheim hat wenig überraschend entschieden, dass kein Anspruch auf Geldentschädigung aus Art. 82 DSGVO zugesprochen werden kann, wenn der Kläger nicht darlegt, welche datenschutzrechtlichen Vorschriften durch welche Handlungen konkret verletzt wurden.


LAG Baden-Württemberg: Keine Geldentschädigung nach Art. 82 DSGVO für Verstoß gegen DSGVO durch Datenübermittlung in USA ohne konkreten Schaden

LAG Baden-Württemberg
Urteil vom 25.2.2021
17 Sa 37/20


Das LAG Baden-Württemberg hat entschieden, dass einem Betroffenen keine Geldentschädigung nach Art. 82 DSGVO für den Verstoß gegen die Vorgaben der DSGVO durch Datenübermittlung in die USA oder ein anderes Drittland zusteht, sofern kein konkreter Schaden entstanden ist.

Aus den Entscheidungsgründen:
III. Die Klage ist unbegründet. Dem Kläger steht kein Anspruch gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter der Beklagten in den USA nach Art. 82 DSGVO zu.

1. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsdatenverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO. Art. 82 DSGVO normiert damit einen Schadensersatzanspruch zugunsten der von der Datenverarbeitung betroffenen Person gegen die für die Datenverarbeitung verantwortlichen Stelle für den Fall, dass die Datenverarbeitung gegen Vorgaben der Datenschutzgrundverordnung verstößt (vgl. EU-ArbR/Franzen 3. Aufl. Art. 82 DSGVO Rn. 1).

2. Die Voraussetzungen für eine Schadensersatzverpflichtung in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen danach nicht vor. Dem Kläger oblag es dabei darzulegen, dass die Beklagte als in Anspruch genommene Person als Verantwortlicher (oder Auftragsdatenverarbeiter) an der Datenverarbeitung beteiligt war, dass die Datenverarbeitung gegen Vorschriften der Datenschutzgrundverordnung oder anderer relevanter mitgliedstaatlicher Bestimmungen verstoßen hat, und dass dieser Verstoß kausal war für einen Schaden welcher der betroffenen Person entstanden ist (vgl. EU-ArbR/Franzen Art. 82 DSGVO Rn. 15). Dies ist ihm nicht gelungen.

a) Der Kläger ist nach Art. 82 Abs. 1 DSGVO Anspruchsberechtigter. Die DSGVO enthält nach Art. 1 Abs. 1 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Was „personenbezogene Daten“ im Sinne der Verordnung sind, bestimmt Art. 4 Abs. 1 DSGVO mit allen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Anspruchsberechtigt sind damit natürliche Personen, wobei Art. 82 Abs. 1 DSGVO ausdrücklich von „jeder Person“ spricht. Nachdem personenbezogene Daten des Klägers unstreitig verarbeitet wurden, er also sogar die „betroffene Person“ iSv. Art. 4 Nr. 1 DSGVO ist, gehört der Kläger in jedem Fall zum anspruchsberechtigten Personenkreis.

b) Die Beklagte ist mögliches Haftungssubjekt des vom Kläger geltend gemachten Anspruchs. Nach Art. 82 Abs. 2 Satz 1 DSGVO ist Haftungssubjekt jeder an einer Verarbeitung beteiligte Verantwortliche. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Beklagte als juristische Person und Arbeitgeberin verarbeitet personenbezogene Daten der bei ihr beschäftigten Arbeitnehmer und entscheidet (ob, wofür und wieweit der Datenverarbeitung; vgl. Hartung in: Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13) - ggf. mitbestimmt - über die Zwecke und Mittel der Verarbeitung personenbezogener Daten; ihr sind die datenschutzrechtlichen Handlungen innerhalb ihrer Organisation zuzurechnen, weshalb sie Verantwortliche nach Art. 4 Nr. 7 DSGVO ist.

[...]

e) Gleichwohl steht dem Kläger ein Anspruch auf Ersatz des von ihm geltend gemachten immateriellen Schadens deshalb nicht zu, weil der vom Kläger geltend gemachte Schaden nicht dem festgestellten Verordnungsverstoß zugeordnet werden kann bzw. tatsächlich nicht eingetreten ist, dh. nicht „erlitten“ wurde.

aa) Der Verstoß muss für den Schaden kausal sein. Der Schaden muss gerade durch den Rechtsverstoß entstanden sein. Es genügt nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es (irgendwann) zu einem Rechtsverstoß gekommen ist. Wenn der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, kann nicht davon ausgegangen werden, dass bspw. ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 42). Allenfalls dann, wenn durch den Verstoß die gesamte Datenverarbeitung rechtswidrig wird, kann angenommen werden, dass es keiner Zuordnung des Schadens zu einem konkreten Verordnungsverstoß bedarf (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO aaO). Zudem ist auch unionsrechtlich anerkannt, dass die Kausalitätsprüfung verhindern soll, dass es zu einer uferlosen Schadensersatzpflicht für alle möglichen, noch so entfernten Schäden kommt, für die ein rechtswidriges Verhalten eine Ursache iSe „conditio sine qua non“ gesetzt hat (vgl. zu einer kartellrechtlichen Fragestellung: Kokott Schlussanträge in der Rechtssache - C-557/12 - Rn. 33, 30. Januar 2014, juris). Eine alleinige Kausalität ist aber nicht gefordert, es genügt eine Mitursächlichkeit des Verstoßes für den Schaden, wobei ein hinreichend unmittelbarer Zusammenhang zu fordern ist (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 44 f.) und der Schaden muss für den Schädiger vorhersehbar gewesen sein (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 45).

bb) Danach hat der Kläger keinen durch die Beklagte infolge eines Verordnungsverstoßes verursachten immateriellen Schaden erlitten.

(1) Kein Anknüpfungspunkt für den Schaden können (überschießende) Datenübermittlungen (Datentransfer auf die Sharepoint-Seite der Konzernmutter) sein, denn diese Datenübermittlung hat stattgefunden als die DSGVO noch nicht in Geltung war. Insoweit ist es völlig unerheblich, wie sich das Datenschutzniveau in den USA gestaltet, da jedenfalls die Beklagte nicht für die Datenübermittlung in die USA nach der DSGVO in Anspruch genommen werden kann. Die Beklagte hat nicht gegen die Art. 44 ff. DSGVO verstoßen. Jedwede Begründung eines Schadens mit der Datenübermittlung in die USA (bspw. Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) kann einem DSGVO-Verstoß nicht zugeordnet werden. Die Beklagte hat nicht gegen Vorschriften des Kapitels V der DSGVO verstoßen.

(2) Ebenso wenig kann Anknüpfungspunkt der Umstand sein, dass die Beklagte zum Zeitpunkt des Geltungsbeginns der DSGVO (25. Mai 2018) als Verantwortliche personenbezogene Daten bei der Konzernmutter als Auftragsverarbeiterin hat speichern lassen. Die Auftragsdatenverarbeitung erfolgte auf einer ausreichenden vertraglichen Grundlage iSd. Art. 46 Abs. 2 Buchst. c, Abs. 5 DSGVO, welche zudem auch den Anforderungen für eine Auftragsdatenverarbeitung nach Art. 28 DSGVO gerecht wurde. Die Beklagte hat nicht gegen Art. 28 DSGVO verstoßen. Daher kann die behauptete permanente Unsicherheit, dass „unbefugte Dritte“ auf Daten des Klägers Zugriff nehmen, nicht einem Verstoß gegen die DSGVO zugeordnet werden. Die Beklagte hat alle Erfordernisse der DSGVO eingehalten, um eine sichere Auftragsdatenverarbeitung bei ihrer Konzernmutter zu gewährleisten. Dem Kläger wiederum standen bzw. stehen im Verhältnis zur auftragsverarbeitenden Konzernmutter alle Rechte, wie sie nach der DSGVO gegenüber der Beklagten bestehen, zu.

(3) Der einzige Verstoß, welcher der Beklagten vorzuhalten ist, ist die überschießende Datenverarbeitung in Workday vor Einführung von Workday (durch die BV Workday vom 23. Januar 2019), wobei sich diese Datenverarbeitung in Workday auf Daten bezieht, welche die Beklagte rechtmäßig in SAP - auf der Grundlage einer Betriebsvereinbarung zur Nutzung von SAP - bzw. sonst rechtmäßig nach § 26 BDSG zu anderen Zwecken verarbeitete. Die Datenverarbeitung in Workday war nur deshalb nicht rechtmäßig, weil Workday bis zur Einführung nicht produktiv genutzt wurde und es deshalb an der Erforderlichkeit der Datenverarbeitung iSv. § 26 Abs. 1 BDSG bzw. noch an einer Betriebsvereinbarung zur Einführung fehlte. Die Beklagte bedurfte daher der Duldungs-BV als Rechtsgrundlage, um die nach § 26 Abs. 1 BDSG nicht erforderliche Datenverarbeitung nach § 26 Abs. 4 BDSG zu den normierten Testzwecken zu legitimieren. Die Duldungs-BV berechtigte zur Datenverarbeitung der in der Anlage 2 genannten Datenkategorien in dem durch die Betriebsvereinbarung normierten Umfang (§§ 2, 3 Duldungs-BV). Allerdings berechtigte auch die Duldungs-BV nicht dazu, Daten, die nicht in der Anlage 2 genannt sind, zu verarbeiten (betrifft insb. Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers). Diese Daten wiederum durfte die Beklagte aber - unstreitig - außerhalb der Plattform Workday, insb. in SAP zu anderen Zwecken verarbeiten, da die Verarbeitung dieser Daten nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Einen „erlittenen“ Schaden, der allein auf der überschießenden Datenverarbeitung in Workday oder für (Test-)Zwecke von Workday - bei gleichzeitig rechtmäßiger Datenverarbeitung in SAP zu anderen Zwecken - fußt, macht der Kläger nicht geltend und ein solcher „Schaden“ ist auch nicht ersichtlich (die Duldungs-BV schließt insb. eine Nutzung/Verwertung der zu Testzwecken verarbeiteten Daten für Zwecke der Durchführung des Arbeitsverhältnisses gerade aus), vielmehr liegt insoweit nur ein Verordnungsverstoß ohne zuordenbaren Schaden vor. Eine Nutzung der überschießend gespeicherten Daten für andere als die normierten Testzwecke gem. Duldungs-BV ist nicht ersichtlich. Allein der Umstand, dass Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers auch in Workday gespeichert und zu Testzwecken verarbeitet wurden, löst nach Auffassung der Kammer keinen Schaden aus. Auch der Kläger behauptet einen solchen nicht. Die Speicherung der Daten in Workday bei der Konzernmutter stellt keinen Datenabfluss dar, sondern erfolgte auf der Grundlage einer rechtmäßigen Auftragsverarbeitung nach Art. 28 DSGVO. Auch wenn die Daten in Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet wurden, so hat die Beklagte doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter sicherzustellen. Soweit der Kläger darüber spekuliert, dass es die Daten unbefugt nach Speicherung in Workday hätten verwendet werden könnten, fehlt es an jedem tatsächlichen Anhaltspunkt hierfür, vor allem aber an einem zuordenbaren Verordnungsverstoß („wegen“). Vielmehr ergibt sich aus den vertraglichen Garantien iSv. Art. 28 DSGVO, die es auch einschließen, dass sämtliche Konzernunternehmen die Bestimmungen des GDPA einzuhalten haben (insb. auch: D. Corporation Global Data Protection Agreement Protocol and Power of Attorney) und damit auch der Ausschluss von Missbrauch durch Konzerngesellschaften. Jedenfalls hat die Beklagte sich verordnungskonform verhalten, um jedweden Missbrauch auszuschließen. In diesem Zusammenhang ist auch ein Kontrollverlust nicht ersichtlich, da die mit der Konzernmutter getroffenen Vereinbarungen gerade sicherstellen, dass dem Kläger alle Rechte, die er gegenüber der Beklagten hat, auch im Rahmen der Auftragsverarbeitung zustehen. Der Kläger konnte daher seine Daten insb. auch löschen lassen, was die Beklagte auch tatsächlich im Verlaufe des Rechtsstreits bzgl. der nach der BV Workday in Workday nicht zu speichernden Daten - trotz Auftragsverarbeitung - veranlasst hat. Der Kläger macht einen verordnungswidrigen Zustand mit Abschluss der BV Workday und BV IT auch nicht geltend; mit anderen Worten: der Kläger war tatsächlich in der Lage, seine überschießend übermittelten Daten löschen zu lassen und konnte sie insoweit kontrollieren. Dabei kann auch nicht davon ausgegangen werden, der tatsächliche Verordnungsverstoß (im Verhältnis zur Duldungs-BV überschießende Datenspeicherung in Workday) habe den gesamten Datenverarbeitungsvorgang „infiziert“, so dass die Beklagte für jeden Schaden in Anspruch genommen werden könnte. Dergleichen könnte allenfalls dann angenommen werden, wenn jede Datenverarbeitung von personenbezogenen Daten des Klägers in Workday verordnungswidrig gewesen wäre. Infolge der Regelungen der Duldungs-BV durfte die Beklagte allerdings diejenigen Datenkategorien der Anlage 2 und damit auch die entsprechenden personenbezogenen Daten des Klägers verarbeiten. Es verbleibt damit dabei, dass die gegenüber der Anlage 2 der Duldungs-BV überschießende Datenverarbeitung von ansonsten rechtmäßig verarbeiteten Daten zu anderen (Test-)Zwecken beim Kläger keinen Schaden ausgelöst hat, der einem der Beklagten zurechenbaren Verordnungsverstoß zugeordnet werden könnte. Bloße Befürchtungen, ein Schaden könnte eintreten, stellen keinen Schaden dar.

(4) Ob dem Kläger ein Schadensersatz nach Art. 82 DSGVO deshalb zusteht, weil die Beklagte ggf. gegen Bestimmungen der DSGVO bei der Auskunftserteilung verstoßen hat (vgl. dazu etwa: ArbG Neumünster 11. August 2020 - 1 Ca 247 c/20 - Rn. 36 ff., ReckRS 2020, 29998; ArbG Düsseldorf 5. März 2020 - 9 Ca 6557/18 - Rn
. 94 ff., NZA-RR 2020, 409), hatte die Berufungskammer nicht zu entscheiden.

Den Volltext der Entscheidung finden Sie hier:


EuGH-Generalanwalt: Nationale Datenschutzbehörde kann bei DSGVO-Verstoß im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden auch wenn sie nicht federführend zuständig ist

EuGH-Generalanwalt
Schlussanträge vom 13.01.2021
C-645/19
Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die nationalen Datenschutzbehörden bei DSGVO-Verstößen im Zusammenhang mit grenzüberschreitender Datenverarbeitung tätig werden können auch wenn sie nicht federführend zuständig sind.

Die Pressemitteilung des EuGH:

Generalanwalt Bobek: Die Datenschutzbehörde des Staates, in dem sich die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU befindet, hat eine allgemeine Zuständigkeit, um gerichtliche Verfahren wegen Verstößen gegen die Datenschutz-Grundverordnung in Bezug auf grenzüberschreitende Datenverarbeitung einzuleiten

Die anderen betroffenen nationalen Datenschutzbehörden seien gleichwohl befugt, in Situationen, in denen es ihnen die Datenschutz-Grundverordnung spezifisch gestatte, derartige Verfahren inihren jeweiligen Mitgliedstaaten einzuleiten

Im September 2015 leitete die belgische Datenschutzbehörde vor den belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe (im Folgenden: Facebook) ein, nämlich gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA (im Folgenden: Facebook Belgium). In diesem Verfahren beantragte die Datenschutzbehörde, Facebook zu verpflichten, bei in Belgien ansässigen Internetnutzern, wenn sie hierein nicht eingewilligt haben, das Platzieren von bestimmten Cookies auf dem Gerät, das diese Personen verwenden, wenn sie auf eine Website der Domain Facebook.com oder auf eine Website eines Dritten gelangen, zu unterlassen sowie die
übermäßige Erhebung von Daten durch Social Plugins und Pixels auf Websites Dritter zu unterlassen. Ferner beantragte die genannte Behörde, alle personenbezogenen Daten, die mittels Cookies und Social Plugins über jeden in Belgien ansässigen Internetnutzer erlangt worden sind, zu vernichten.

Das fragliche Verfahren ist derzeit beim Hof van beroep te Brussel (Berufungsgericht Brüssel, Belgien) anhängig, betrifft aber nur noch Facebook Belgium, nachdem das genannte Gericht zuvor befunden hat, für Klagen gegen Facebook Inc. und Facebook Ireland Ltd nicht zuständig zu sein. In diesem Zusammenhang trägt Facebook Belgium vor, dass die belgische Datenschutzbehörde ab dem Zeitpunkt, zu dem die Datenschutz-Grundverordnung (DSGVO) 1 anwendbar geworden sei, die Zuständigkeit dafür verloren habe, das fragliche Gerichtsverfahren gegen Facebook weiter zu betreiben. Nach der DSGVO sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der EU befinde (die sogenannte „federführende“ Datenschutzbehörde in der EU für Facebook), nämlich die Irish Data Protection Commission, befugt, wegen Verstößen gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung ein gerichtliches Verfahren gegen Facebook zu betreiben.

Unter diesen Umständen möchte der Hof van beroep te Brussel vom Gerichtshof wissen, ob die DSGVO tatsächlich andere Datenschutzbehörden als die federführende daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen die Vorschriften der DSGVO in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben.

In seinen Schlussanträgen vom heutigen Tag vertritt Generalanwalt Michal Bobek erstens die Auffassung, dass sich aus dem Wortlaut der DSGVO ergebe, dass die federführende Datenschutzbehörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit habe, wozu auch die Einleitung gerichtlicher Verfahren wegen Verstößen gegen die DSGVO gehöre; folglich seien die diesbezüglichen Handlungsbefugnisse der übrigen betroffenen Datenschutzbehörden weniger umfassend.

In Bezug darauf, dass die DSGVO jeder Datenschutzbehörde die Befugnis verleiht, gerichtliche Verfahren gegen mögliche Verstöße einzuleiten, die ihr Hoheitsgebiet betreffen, führt der Generalanwalt aus, dass diese Befugnis ausdrücklich beschränkt sei, soweit es um grenzüberschreitende Datenverarbeitung gehe, gerade um der federführenden Datenschutzbehörde zu ermöglichen, insoweit ihre Aufgaben wahrzunehmen.

Zweitens erinnert der Generalanwalt daran, dass der Grund, weswegen mit der DSGVO der sogenannte „One-Stop-Shop“-Mechanismus eingeführt worden sei, wodurch der federführenden Datenschutzbehörde eine bedeutende Rolle zugewiesen worden sei und zur Beteiligung anderer Datenschutzbehörden Kooperationsmechanismen geschaffen worden seien, gerade darin bestanden habe, bestimmten Unzulänglichkeiten abzuhelfen, die sich aus den früheren Rechtsvorschriften ergeben hätten.

Wirtschaftsteilnehmer hätten nämlich die verschiedenennationalen Regelwerke einhalten müssen, mit denen diese Rechtsvorschriften umgesetzt wordenseien, und zugleich mit allen nationalen Datenschutzbehörden in Verbindung treten müssen. Dies habe sich für die Wirtschaftsteilnehmer als kostspielig, belastend und zeitaufwändig erwiesen, und für sie und ihre Kunden hätten sich daraus unvermeidlicherweise Unsicherheiten und Konflikte ergeben.

Drittens betont der Generalanwalt, dass die federführende Datenschutzbehörde bei grenzüberschreitenden Sachverhalten nicht als alleinige Stelle zur Durchsetzung der DSGVO angesehen werden könne und im Einklang mit den einschlägigen Vorschriften und Fristen, die sich aus der DSGVO ergäben, eng mit den anderen betroffenen Datenschutzbehörden zusammenarbeiten müsse, deren Beiträge auf diesem Gebiet äußerst wichtig seien.

Viertens hebt der Generalanwalt hervor, dass nationale Datenschutzbehörden, selbst wenn sie nicht als federführende Behörde fungierten, gleichwohl unter bestimmten Umständen vor den Gerichten ihres jeweiligen Mitgliedstaats Verfahren wegen grenzüberschreitender Verarbeitung einleiten könnten. Dies sei insbesondere möglich, wenn die nationalen Datenschutzbehörden i) außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig würden, ii) sie Untersuchungen
zu grenzüberschreitender Datenverarbeitung anstellten, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der Union hätten, iii) bei Dringlichkeit Maßnahmen ergriffen oder iv) tätig würden, nachdem die federführende Datenschutzbehörde beschlossen habe, sich nicht selbst mit dem Fall zu befassen.

Demnach ist der Generalanwalt der Auffassung, dass die Datenschutzbehörde eines Mitgliedstaats nach den Bestimmungen der DSGVO befugt ist, vor einem Gericht ihres Staates ein Verfahren wegen eines angeblichen Verstoßes gegen die DSGVO im Zusammenhang mit einer grenzüberschreitenden Datenverarbeitung einzuleiten, auch wenn sie nicht die federführende Datenschutzbehörde ist, der für die Einleitung solcher Verfahren eine allgemeine Befugnis verliehen worden ist, sofern die erstgenannte Datenschutzbehörde in Situationen tätig wird, in denen ihr die DSGVO spezifisch hierzu Befugnisse verleiht, und die in der DSGVO vorgesehenen entsprechenden Verfahren beachtet.

Den Volltext der Schlussanträge finden Sie hier:




DSK: Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mitgeteilt, dass Datenübermittlungen nach Großbritannien und Nordirland nach Abschluss des Brexit-Deals jedenfalls binnen viermonatiger Übergangsfrist weiter möglich ist.

Die Pressemitteilung des DSK:

Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich – Entwurf des Brexit-Abkommens bietet viermonatige Übergangsfrist ab dem 01. Januar 2021

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist Unternehmen, Behörden und andere Institutionen in Deutschland darauf hin, dass in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich und der Europäischen Union eine neue Übergangsregelung für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt (Article 10A Interim provision for transmission of personal data to the United Kingdom, S. 406 ff.).

Danach sollen Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. Diese Periode beginnt mit dem In-Kraft-Treten des Abkommens und endet, wenn die EU-Kommission das Vereinigte Königreich betreffende Adäquanzentscheidungen nach Art. 45 Abs. 3 DSGVO und Art. 36 Abs. 3 Richtlinie (EU) 2016/680 getroffen hat, spätestens jedoch nach vier Monaten. Dieses Enddatum kann um zwei Monate verlängert werden, falls keine der beteiligten Parteien widerspricht.

Andreas Schurig: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden. Allerdings ist jetzt die EU-Kommission in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden.“


Siehe auch zum Thema: Brexit-Deal zwischen EU und Großbritannien liegt als Entwurf vor


Datenschutzkonferenz: Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 - DSGVO

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat ein Brexit-Positionspapier zur Datenübermittlung in das Vereinigte Königreich Großbritannien und Nordirland ab dem 30. März 2019 unter Berücksichtigung des DSGVO veröffentlicht.


BVerfG: Erfolgloser Eilantrag gegen Übermittlung personenbezogener Daten an das Statistische Bundesamt zur Vorbereitung des Zensus 2021

BVerfG
Beschluss vom 06.02.2019
1 BvQ 4/19

Das Bundesverfassungsgericht einen Eilantrag gegen die Übermittlung personenbezogener Daten an das Statistische Bundesamt zur Vorbereitung des Zensus 2021 abgelehnt.

Die Pressemitteilung des Bundesverfassungsgerichts:

Erfolgloser Eilantrag gegen die testweise Datenübermittlung für den Zensus 2021

Mit heute veröffentlichtem Beschluss hat die 2. Kammer des Ersten Senats des Bundesverfassungsgerichts einen Antrag auf Erlass einer einstweiligen Anordnung abgelehnt, der darauf gerichtet war, § 9a ZensVorbG 2021 und die danach seit dem 14. Januar 2019 vorgenommene Übermittlung personenbezogener Daten an das Statistische Bundesamt zur Vorbereitung des Zensus 2021 außer Kraft zu setzen. Nach dieser Vorschrift werden seit dem 14. Januar 2019 testweise bestimmte personenbezogene Daten aus allen Melderegistern an das Statistische Bundesamt übermittelt, damit dieses in Vorbereitung des Zensus 2021 die Übermittlungswege und die Qualität der für den Zensus 2021 zu übermittelnden Daten aus den Melderegistern prüfen und die Programme für die Durchführung des Zensus weiterentwickeln kann. Die Kammer entschied, dass eine gegebenenfalls noch zu erhebende Verfassungsbeschwerde zwar nicht offensichtlich unzulässig oder unbegründet wäre. Im Rahmen einer für den Erlass einer einstweiligen Anordnung gebotenen Folgenabwägung überwiegen die Nachteile, die durch die testweise Übermittlung der Daten eintreten, jedoch nicht mit der für die Außerkraftsetzung eines Gesetzes erforderlichen Deutlichkeit gegenüber dem Gewicht, das der Gesetzgeber einer guten Vorbereitung der Durchführung des Zensus 2021 beilegen durfte.

Sachverhalt:

Die Bundesrepublik Deutschland ist verpflichtet, der Europäischen Kommission für das Bezugsjahr 2021 statistische Daten für eine geplante Volkszählung zu übermitteln. Zum Zweck der Prüfung der Übermittlungswege und der Qualität der hierfür zu übermittelnden Daten aus den Melderegistern sowie zum Test und zur Weiterentwicklung der Programme für die Durchführung des Zensus 2021 sieht § 9a des Zensusvorbereitungsgesetzes 2021 - beginnend am 14. Januar 2019 - eine zentrale Erfassung, Speicherung und Verarbeitung der nicht anonymisierten Meldedaten aller zum 13. Januar 2019 gemeldeter Personen durch das Statistische Bundesamt vor. Die übermittelten Daten sind nicht anonymisiert und umfassen neben Name und Wohnanschrift, Geschlecht, Staatsangehörigkeit und Familienstand u.a. auch die Zugehörigkeit zu öffentlich-rechtlichen Religionsgesellschaften. Eine Speicherung ist für einen Zeitraum von bis zu zwei Jahren nach dem Stichtag vorgesehen; eine Verarbeitung der Daten zu anderen Zwecken als der Prüfung der Übermittlungswege, der Prüfung der Datenqualität und dem Test und der Weiterentwicklung der Programme für die Durchführung des Zensus 2021 ist ausgeschlossen.

Die Antragsteller machen eine Verletzung ihres Rechts auf informationelle Selbstbestimmung geltend. Die Übermittlung der nicht anonymisierten Daten lasse Rückschlüsse auf den Kernbereich der privaten Lebensführung zu. Dies stehe außer Verhältnis zum Nutzen einer Erprobung und Optimierung der bereits weitgehend erprobten Übermittlungswege und Programme, zumal der Zweck der Übermittlung auch durch eine Übermittlung anonymisierter Daten - gegebenenfalls ergänzt um nicht anonymisierte Stichproben in geringem Umfang - in vergleichbarer Weise erreicht werden könne.

Wesentliche Erwägungen der Kammer:

Der Antrag auf Erlass einer einstweiligen Anordnung ist auf Grundlage einer Folgenabwägung abzulehnen.

Das Bundesverfassungsgericht kann einen Zustand durch eine einstweilige Anordnung vorläufig regeln, wenn dies zur Abwehr schwerer Nachteile, zur Verhinderung drohender Gewalt oder aus einem anderen wichtigen Grund zum gemeinen Wohl dringend geboten ist.

Der Ausgang einer gegebenenfalls noch zu erhebenden Verfassungsbeschwerde ist offen. Sie ist weder offensichtlich unzulässig noch unbegründet, da in der Kürze der Zeit beispielsweise nicht abschließend geklärt werden konnte, ob für den Testdurchlauf nicht auch geringere Datenmengen oder eine begrenztere Übermittlung oder Speicherung ausreichend gewesen wäre.

Das Bundesverfassungsgericht hat daher auf Grundlage einer Folgenabwägung zu entscheiden. Dabei hat es die Folgen, die eintreten würden, wenn eine einstweilige Anordnung erginge, die Verfassungsbeschwerde jedoch erfolglos wäre, gegenüber den Nachteilen abzuwägen, die entstünden, wenn die begehrte einstweilige Anordnung abgelehnt würde, die Verfassungsbeschwerde letztlich aber Erfolg hätte. Wird - wie vorliegend - die Aussetzung des Vollzugs eines Gesetzes begehrt, ist wegen des Eingriffs in die Gestaltungsfreiheit des Gesetzgebers ein besonders strenger Maßstab an die Folgenabwägung anzulegen.

Ergeht die einstweilige Anordnung nicht, hätte eine potentielle Verfassungsbeschwerde aber Erfolg, würden alle Daten der Beschwerdeführer für die Testzwecke zusammengeführt, obwohl dies nicht erforderlich und damit unverhältnismäßig wäre. Angesichts der eng begrenzten Verwendungszwecke und der strengen Vorgaben der Geheimhaltung überwiegt der Nachteil einer möglicherweise unverhältnismäßigen Speicherung nicht mit der erforderlichen Deutlichkeit gegenüber dem Interesse daran, durch einen Testlauf eine reibungslose Durchführung des Zensus 2021 zu ermöglichen. Die Behörden dürfen die Daten nur zur Vorbereitung des Zensus nutzen. An den Inhalt der Daten selbst dürfen sie hierfür nicht anknüpfen und an ihm haben sie auch keinerlei Interesse. Demgegenüber ist nach dem bei vorläufiger Betrachtung nicht unplausibel erscheinenden Vortrag des Bundesministeriums des Innern, für Bau und Heimat der Probedurchlauf mit nicht anonymisierten Daten aller Meldebehörden erforderlich, um die Qualität der Merkmale und der Programme effektiv überprüfen zu können.


Den Volltext der Entscheidung finden sie hier:

OVG Münster: Gastro-Kontrollbarometer bzw. Hygiene-Ampel für Gastronomietriebe mangels ausreichender Rechtsgrundlage für Datenübermittlung unzulässig

OVG Münster
Urteile vom 12.12.2016
13 A 846/15
13 A 2059/15


Das OVG Münster hat entschieden, dass das in Bielefeld und Duisburg betrieben Pilotprojekt Gastro-Kontrollbarometer bzw. Hygiene-Ampel, bei dem die hygienischen Zustände in Gastronomiebetrieben mit einem Punktesystem bewertet und veröffentlicht werden, unzulässig ist. Das Verbraucherinformationsgesetz bietet keine ausreichende Rechtsgrundlage für die Datenübermittlung.

Die Pressemitteilung des OVG Münster:

Pilotprojekt "Gastro-Kontrollbarometer" in Duisburg und Bielefeld rechtswidrig

Das Oberverwaltungsgericht hat heute entschieden, dass die Verbraucherzentrale NRW nach dem Verbraucherinformationsgesetz keinen Anspruch darauf hat, dass die Lebensmittelüberwachungsbehörden die im Rahmen der Ri­sikobeurteilung von Gastronomiebetrieben ermittelten Punktwerte herausgeben.

Die beklagten Städte Duisburg und Bielefeld führen zur Ermittlung der Kontrollhäu­figkeit von Gastronomiebetrieben sogenannte risikoorientierte Kontrollen durch. Da­bei verwenden sie ein Beurteilungssystem, wonach in verschiedenen Kategorien durch einen Kontrolleur oder eine Kontrolleurin Punkte vergeben werden. Je größer die Punktzahl ist, desto höher ist die Risikoeinstufung des Betriebs und desto häufi­ger erfolgen behördliche Kontrollen. Zu den zu beurteilenden Kategorien gehören etwa die Einhaltung lebensmittelrechtlicher Bestimmungen, Mitarbeiterschulung, Ei­genkontrolluntersuchungen, bauliche Beschaffenheit oder Personalhygiene. Geför­dert durch das nordrhein-westfälische Verbraucherschutzministerium, beantragte die zu den Verfahren jeweils beigeladene Verbraucherzentrale bei den Städten Duisburg und Bielefeld die laufende Herausgabe des Gesamtpunktwertes für sämtliche Gastronomiebetriebe in Duisburg und Bielefeld. Sie ordnet die Punktwerte sodann drei Ergebnisstufen in den Farben grün, gelb und rot zu und zeigt auf ihrer Internet­seite sowie in einer App die Bewertung auf einem horizontalen Balkendiagramm in den Ampelfarben an. Gegen die Herausgabe der Punktwerte an die Verbraucher­zentrale hatten mehrere Gastronomiebetreiber aus Duisburg und Bielefeld geklagt.

Der 13. Senat des Oberverwaltungsgerichts hat mit insgesamt neun Urteilen die erstinstanzlichen Entscheidungen der Verwaltungsgerichte Düsseldorf und Minden im Ergebnis bestätigt. Die Weitergabe der von der Verbraucherzentrale nachgefrag­ten Informationen - insbesondere Name und Anschrift des Gastronomiebetriebs so­wie der im Rahmen der Risikobeurteilung ermittelte Punkt­wert - finde im Verbrau­cherinformationsgesetz keine rechtliche Grundlage. Das Er­gebnis der behördlichen Risikobeurteilung in Form eines Punktwerts sei keine Infor­mation, zu der nach die­sem Gesetz Zugang zu gewähren wäre. Der Wert gebe keine Auskunft über konkret festgestellte Abweichungen von lebensmittelrechtlichen Vor­schriften. Es handele sich auch nicht um eine Auswertung einer behördlichen Über­wachungsmaßnahme. Der Punktwert lasse keine Rückschlüsse auf konkrete Ergeb­nisse der Betriebskontrolle zu; eine Weitergabe des Werts entspreche aus diesem Grund auch nicht dem Zweck des Verbraucherinformationsgesetzes, Transparenz zu schaffen.

Der Senat hat die Revision nicht zugelassen. Dagegen ist eine Nichtzulassungsbe­schwerde möglich, über die das Bundesverwaltungsgericht entscheidet.

Aktenzeichen: 13 A 846/15 u.a. (I. Instanz: VG Düsseldorf 26 K 5722/13 u.a.)
13 A 2059/15 (I. Instanz: VG Minden 9 K 2547/13)



EuGH: Werden personenbezogene Daten zwischen zwei Verwaltungsbehörden übermittelt müssen die Betroffenen zuvor davon unterrichtet werden

EuGH
Urteil vom 01.10.2015
C-201/14


Der EuGH hat entschieden, dass wenn personenbezogene Daten zwischen zwei Verwaltungsbehörden zum Zwecke der Verarbeitung übermittelt werden, die Betroffenen zuvor davon unterrichtet werden müssen.

Die Pressemitteilung des EuGH:

"Werden personenbezogene Daten zwecks Verarbeitung zwischen zwei Verwaltungsbehörden eines Mitgliedstaats übermittelt, müssen die betroffenen Personen zuvor davon unterrichtet werden

Die Datenschutzrichtlinie regelt die Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

Die Kläger des Ausgangsverfahrens, Frau Smaranda Bara und mehrere andere rumänische Staatsangehörige, sind selbständig tätig. Die rumänische Steuerverwaltung übermittelte die von ihnen erklärten Einkünfte der Nationalen Kasse der Krankenversicherungen, die daraufhin die Zahlung rückständiger Krankenversicherungsbeiträge verlangte.

Die Kläger rügen bei der Curtea de Apel Cluj (Berufungsgericht Cluj, Rumänien), dass diese Übermittlung gegen die Richtlinie verstoße. Ihre Daten seien zu anderen Zwecken als denen, zu denen sie ursprünglich der Steuerverwaltung mitgeteilt worden seien, und ohne ihre vorherige Unterrichtung verwendet worden.

Das rumänische Recht gestattet es öffentlichen Einrichtungen, den Krankenkassen personenbezogene Daten zu übermitteln, damit diese die Versicherteneigenschaft der betroffenen Personen feststellen können. Diese Daten betreffen die Personalien (Vor- und Zuname sowie Anschrift), schließen aber keine Informationen über die erzielten Einkünfte ein.

In diesem Kontext möchte die Curtea de Apel Cluj vom Gerichtshof wissen, ob es gegen das Unionsrecht verstößt, wenn eine Verwaltungsbehörde eines Mitgliedstaats personenbezogene Daten zu ihrer anschließenden Verarbeitung an eine andere Verwaltungsbehörde übermittelt, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden. In seinem heutigen Urteil stellt der Gerichtshof fest, dass das Erfordernis, personenbezogene Daten nach Treu und Glauben zu verarbeiten, eine Verwaltungsbehörde verpflichtet, die betroffenen Personen davon zu unterrichten, dass ihre Daten einer anderen Verwaltungsbehörde übermittelt werden, um von dieser in ihrer Eigenschaft als deren Empfänger verarbeitet zu werden. Die Richtlinie verlangt ausdrücklich, dass eventuelle Beschränkungen der Informationspflicht durch Rechtsvorschriften vorgenommen werden.

Das rumänische Gesetz, das vorsieht, dass den Krankenkassen die personenbezogenen Daten kostenfrei übermittelt werden, stellt keine vorherige Unterrichtung dar, die es ermöglichen würde, den für die Verarbeitung Verantwortlichen von seiner Pflicht zu entbinden, die Personen zu unterrichten, bei denen er die Daten erhebt. Dieses Gesetz legt nämlich weder die übermittlungsfähigen Informationen noch die Übermittlungsmodalitäten fest; diese sind lediglich in einem bilateralen Protokoll enthalten, das zwischen der Steuerverwaltung und der Krankenkasse geschlossen wurde.

Hinsichtlich der anschließenden Verarbeitung der übermittelten Daten sieht die Richtlinie vor, dass der für die Verarbeitung Verantwortliche den betroffenen Personen seine eigene Identität, die Zweckbestimmungen der Verarbeitung sowie weitere Informationen mitteilt, die notwendig sind, um eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten. Zu diesen weiteren Informationen gehören die Datenkategorien, die verarbeitet werden, sowie das Bestehen von Auskunfts- und Berichtigungsrechten.

Der Gerichtshof weist darauf hin, dass die Verarbeitung der von der Steuerverwaltung übermittelten Daten durch die Krankenkasse voraussetzte, dass die betroffenen Personen über die Zweckbestimmungen der Verarbeitung sowie über die verarbeiteten Datenkategorien unterrichtet werden. Im vorliegenden Fall ist keine solche Unterrichtung durch die Krankenkasse erfolgt.

Der Gerichtshof gelangt daher zu dem Ergebnis, dass das Unionsrecht einer ohne vorherige Unterrichtung der betroffenen Personen erfolgenden Übermittlung personenbezogener Daten zwischen zwei Verwaltungsbehörden eines Mitgliedstaats zwecks Verarbeitung entgegensteht.


Den Volltext der Entscheidung finden Sie hier: