EuGH-Entscheidung vom 14.3.2024, Rechtssache C‑46/23
Sachverhalt:
Die Verwaltung von Újpest (Ungarn) beschloss im Februar 2020, finanzielle Unterstützung für Einwohner bereitzustellen, die aufgrund der Covid-19-Pandemie gefährdet waren und bestimmte Kriterien erfüllten. Um die Anspruchsvoraussetzungen zu überprüfen, ersuchte sie die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.
Eine Untersuchung der ungarische Datenschutzbehörde ergab, dass die Verwaltung von Újpest gegen Bestimmungen der DSGVO verstoßen hatte, indem sie betroffene Personen nicht rechtzeitig über die Verarbeitung ihrer Daten informierte. Die Datenschutzbehörde ordnete zudem die Löschung der Daten derjenigen Personen an, die anspruchsberechtigt waren, aber keine Unterstützung beantragt hatten. Die Verwaltung von Újpest argumentierte, dass die Löschung ohne Antrag der betroffenen Person nicht zulässig sei.
Das Hauptstädtische Stuhlgericht Ungarns legte das Verfahren dem EuGH zur Vorabentscheidung vor.
Entscheidung:
Der EuGH entschied, dass die Aufsichtsbehörde (Datenschutzbehörde) eines Mitgliedstaats auch ohne einen entsprechenden Antrag der betroffenen Person die Löschung unrechtmäßig verarbeiteter Daten von Amts wegen anordnen darf, wenn dies erforderlich ist, um ihre Aufgabe zu erfüllen, die darin besteht, die Einhaltung der DSGVO sicherzustellen.
Wenn die Aufsichtsbehörde feststellt, dass eine Datenverarbeitung nicht den Anforderungen der DSGVO entspricht, muss sie Maßnahmen ergreifen, um den festgestellten Verstoß zu beenden, selbst wenn die betroffene Person keinen Antrag gestellt hat.
Denn das Erfordernis eines solchen Antrags würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte. Zusätzlich kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten anordnen, unabhängig davon, ob sie direkt bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.
Weitere Blog-Beiträge zum Thema Datenschutzrecht: