Der EuGH entscheidet in drei neuen Urteilen über Auskunft, Schadensersatz und Rechtmäßigkeit der Verarbeitung personenbezogener Daten in der Datenschutz-Grundverordnung.
Der Europäische Gerichtshof (EuGH) hat am 4. Mai 2023 gleich drei neue Entscheidungen zu bislang umstrittenen Fragen der Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Dabei ging es um die Konkretisierung des Rechts auf Auskunft (Rs. C-487/21), des Rechts auf Schadensersatz (Rs. C-300/21) und die Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Rs C-60/22).
EuGH konkretisiert Auskunftsrecht, lässt aber auch Fragen offen
Das Auskunftsrecht ist in Artikel 15 der DSGVO geregelt. Die betroffene Person hat nach Absatz 1 einen Anspruch auf Auskunft über die personenbezogenen Daten, die über sie verarbeitet werden sowie nach Absatz 3 einen Anspruch auf Kopie dieser Daten. Umstritten war bislang, ob der Umfang des Rechts auf Auskunft in den Absätzen 1 und 3 unterschiedlich ist und wie das Recht auf Kopie durch den Verantwortlichen erfüllt werden muss.
Geklagt hat ein Verbraucher gegen eine österreichische Kreditauskunftei (CRIF), der erfolglos darum gebeten hatte, dass ihm eine Kopie seiner personenbezogenen Daten, darunter Dokumente, E-Mails und Auszüge aus Datenbanken in einem üblichen technischen Format zur Verfügung gestellt werden. Die Auskunft bestand bloß aus einer Liste der personenbezogenen Daten in aggregierter Form.
Bloß allgemeine Beschreibung der Daten oder Datenkategorien genügt nicht
Der EuGH stellte zunächst fest, dass das Recht auf Kopie in Art. 15 Abs. 3 DSGVO kein anderes Recht als das Auskunftsrecht in Absatz 1 gewährt. Das Recht auf Kopie ist dabei nicht etwa als Recht auf ein Dokument als solches zu verstehen. Der EuGH führt aus, dass das Recht auf Kopie beispielsweise nicht erfüllt wird, wenn bloß eine allgemeine Beschreibung der Daten, die Gegenstand der Verarbeitung sind, erfolgt. Auch eine Aufzählung der Datenkategorien wäre nicht ausreichend.
Der Verantwortliche hat der betroffenen Person eine Kopie zur Verfügung zu stellen, die „alle Merkmale aufweisen muss, die es der betroffenen Person ermöglichen, ihre Rechte aus dieser Verordnung wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben“.
Abwägung zwischen verständlicher, transparenter Reproduktion von Auszügen und dem Schutz von Geschäftsgeheimnissen oder den Rechten Dritter
Der EuGH stellt sodann fest, dass das Recht auf Kopie, um dem Grundsatz der Transparenz zu genügen, auch die originalgetreue und verständliche Reproduktion von Auszügen aus Dokumenten oder Datenbanken oder auch von ganzen Dokumenten erfordern kann. Insofern hängt das Recht auf Kopie bzw. dessen Umfang vom jeweiligen Kontext des Verarbeitungsvorgang ab. Der Verantwortliche darf bei der Gewährung der Auskunft aber die Rechte und Freiheiten Dritter, Geschäftsgeheimnisse oder Rechte des geistigen Eigentums nicht beeinträchtigen.
Durchsetzung von immateriellem Schadensersatz erfordert keine Überschreitung einer Erheblichkeitsschwelle, bleibt aber kompliziert
In einem weiteren Urteil hat der EuGH mit dem Recht auf Schadensersatz nach Art. 82 DSGVO auseinandergesetzt. Die Kläger verlangten einen Ersatz des immateriellen Schadens, der entstanden sein soll, weil die Österreichische Post AG Daten über politische Ansichten der Betroffenen verarbeitet und in aggregierter Form für den zielgerichteten Versand von Werbung durch Dritte verkauft haben soll, obwohl keine Rechtsgrundlage hierfür vorlag.
Die Kläger haben vorgetragen, dass sie durch das Verhalten der Österreichischen Post AG ein großes Ärgernis, einen Vertrauensverlust und Gefühl der Bloßstellung erfahren mussten. Ein Schaden, der über die gefühlsmäßige Beeinträchtigung hinausging, wurde aber nicht festgestellt. Umstritten war bislang, ob ein immaterieller Schadensersatz von dem Verantwortlichen zu bezahlen ist, wenn eine solche gefühlsmäßige Beeinträchtigung vorliegt. Teilweise wurde von nationalen Gerichten vertreten, dass für das Vorliegen eines immateriellen Schadens eine „Erheblichkeitsschwelle“ überschritten werden müsse, was bei bloß negativen Gefühlen nicht der Fall sei.
Keine Erheblichkeitsschwelle, aber Nachweis eines eingetretenen Schadens erforderlich
Der EuGH betont, dass die Begriffe des materiellen und immateriellen Schadensersatzes als autonome Begriffe des Europarechts in allen Mitgliedstaaten einheitlich auszulegen sind. Voraussetzung für einen Schadensersatzanspruch ist, dass ein Schaden eingetreten ist, der kausal auf einem Verstoß gegen die DSGVO beruht. Daraus folgt, dass nicht jeder Verstoß gegen die DSGVO zu einem Schadensersatzanspruch führt.
Eine Erheblichkeitsschwelle, so der EuGH, muss nicht erreicht werden, um Anspruch auf einen immateriellen Schadensersatz zu haben. Die betroffene Person muss aber nachweisen, dass die Folgen des Verstoßes gegen die DSGVO zu einem immateriellen Schaden geführt haben.
Modalitäten der Bemessung des Schadensersatzes unter der der DSGVO sind Sache der Mitgliedstaaten
Hinsichtlich der Höhe oder der Kriterien zur Bemessung des Schadensersatzes, der bezahlt werden muss, wenn ein immaterieller Schaden nachgewiesen wurde, schweigt die DSGVO. Der EuGH stellt daher fest, dass es die Aufgabe des einzelnen Mitgliedstaats ist, diese Modalitäten festzulegen. Hierbei ist jedoch der europäische Äquivalenz- und Effektivitätsgrundsatz zu beachten. Das bedeutet, dass keine strengeren Regelungen bei der Durchführung des europäischen Rechts angewendet werden dürfen, als im nationalen Recht vorgesehen sind. Außerdem darf die Geltendmachung des Rechts auf Schadensersatz nicht praktisch unmöglich gemacht oder übermäßig erschwert werden.
Verstoß gegen Vorschriften der DSGVO führt nicht stets zu einer unrechtmäßigen Verarbeitung
In einem dritten Urteil hatte der EuGH darüber zu entscheiden, ob ein Verstoß gegen die Rechenschaftspflicht, z.B. durch ein fehlendes oder unvollständiges Verarbeitungsverzeichnis nach Art. 30 DSGVO oder ein fehlender Vertrag über die gemeinsame Auftragsverarbeitung nach Art. 26 DSGVO dazu führt, dass die Datenverarbeitung unrechtmäßig ist.
Die Prüfung der Rechtmäßigkeit einer Datenverarbeitung, so der EuGH, richtet sich ausschließlich nach dem Vorliegen einer einschlägigen Rechtsgrundlage aus Art. 6 DSGVO. Werden andere Pflichten aus der DSGVO nicht eingehalten, z. B. die Pflicht zum Abschluss einer Vereinbarung über die gemeinsame Verantwortung oder die Pflicht zum Führen eines Verarbeitungsverzeichnisses, wird die Rechtmäßigkeit der Verarbeitung an sich nicht beeinträchtigt. Auch ergibt sich aus dem bloßen Fehlen solcher Dokumente nicht bereits eine Verletzung von Rechten und Grundfreiheiten der betroffenen Person, die die DSGVO schützt.
Mehr Klarheit, für die Praxis aber auch mehr Fragen
Alle drei Urteile führen zwar in der Theorie zu mehr Klarheit, für die Praxis ist aber zu erwarten, dass sich erst nach und nach herauskristallisiert, wie das Recht auf Kopie, der immaterielle Schadensersatz und andere DSGVO-Verstöße zu handhaben sind. Abzuwarten bleibt auch, wie die jeweiligen nationalen Gerichte die konkreten Fälle, die zu den Vorlagefragen zum EuGH geführt haben, nun entscheiden werden. Unternehmen jedenfalls sollten sich insbesondere mit dem Auskunftsrecht und dem Recht auf Kopie rechtzeitig nach Eingang eines Betroffenenrechtsersuchens auseinandersetzen, um fristgerecht (unverzüglich, aber spätestens binnen Monatsfrist) und im ausreichenden Umfang zu antworten. Machen Betroffene einen immateriellen oder materiellen Schadensersatz geltend, muss der Eintritt eines tatsächlichen Schadens dargelegt werden. Bemessung und Höhe der Schadensersatzansprüche werden auch weiterhin Fragen aufwerfen und sind durch die Rechtsprechung zu konkretisieren.