EuGH: Datenschutzbehörde kann auch ohne Antrag betroffener Personen die Löschung unrechtmäßig verarbeiteter Daten anordnen.

von | Mrz 15, 2024 | Datenschutzrecht, EU-Rechtsprechung | 0 Kommentare

EuGH-Entscheidung vom 14.3.2024, Rechtssache C‑46/23

 

Sachverhalt:

Die Verwaltung von Újpest (Ungarn) beschloss im Februar 2020, finanzielle Unterstützung für Einwohner bereitzustellen, die aufgrund der Covid-19-Pandemie gefährdet waren und bestimmte Kriterien erfüllten. Um die Anspruchsvoraussetzungen zu überprüfen, ersuchte sie die ungarische Staatskasse und die Regierungsbehörde des IV. Bezirks der Hauptstadt Budapest, ihr die zur Prüfung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu übermitteln.

Eine Untersuchung der ungarische Datenschutzbehörde ergab, dass die Verwaltung von Újpest gegen Bestimmungen der DSGVO verstoßen hatte, indem sie betroffene Personen nicht rechtzeitig über die Verarbeitung ihrer Daten informierte. Die Datenschutzbehörde ordnete zudem die Löschung der Daten derjenigen Personen an, die anspruchsberechtigt waren, aber keine Unterstützung beantragt hatten. Die Verwaltung von Újpest argumentierte, dass die Löschung ohne Antrag der betroffenen Person nicht zulässig sei.

Das Hauptstädtische Stuhlgericht Ungarns legte das Verfahren dem EuGH zur Vorabentscheidung vor.

 

Entscheidung:

Der EuGH entschied, dass die Aufsichtsbehörde (Datenschutzbehörde) eines Mitgliedstaats auch ohne einen entsprechenden Antrag der betroffenen Person die Löschung unrechtmäßig verarbeiteter Daten von Amts wegen anordnen darf, wenn dies erforderlich ist, um ihre Aufgabe zu erfüllen, die darin besteht, die Einhaltung der DSGVO sicherzustellen.

Wenn die Aufsichtsbehörde feststellt, dass eine Datenverarbeitung nicht den Anforderungen der DSGVO entspricht, muss sie Maßnahmen ergreifen, um den festgestellten Verstoß zu beenden, selbst wenn die betroffene Person keinen Antrag gestellt hat.

Denn das Erfordernis eines solchen Antrags würde bedeuten, dass der Verantwortliche bei fehlendem Antrag die betreffenden personenbezogenen Daten weiterhin speichern und unrechtmäßig verarbeiten dürfte. Zusätzlich kann die Aufsichtsbehörde eines Mitgliedstaats die Löschung unrechtmäßig verarbeiteter Daten anordnen, unabhängig davon, ob sie direkt bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.

 

 

Link zur Entscheidung

Link zur Pressemitteilung

 

Weitere Blog-Beiträge zum Thema Datenschutzrecht:

EuGH zu „Real Time Bidding“: In Zeichenketten gespeicherte Nutzerpräferenzen sind personenbezogene Daten iSd DSGVO.

EuGH: Keine Bagatellgrenze für immateriellen Schaden infolge DSGVO-Verstoß. Jedoch Nachweis erforderlich, dass immaterieller Schaden tatsächlich entstanden ist.

EuGH: Datenschutzverletzung allein begründet nicht Unangemessenheit von Sicherheitsmaßnahmen. Befürchtung eines Datenmissbrauchs kann immateriellen Schaden darstellen.

EuGH zu den Praktiken der deutschen Wirtschaftsauskunftei SCHUFA („Scoring“ sowie mehrjährige Datenspeicherung).

EuGH zu DSGVO-Geldbußen: Verstoß muss schuldhaft begangen worden sein. Höhe richtet sich nach weltweitem Jahresumsatz.

EuGH: DSGVO gewährt Recht auf Auskunft über Zeitpunkt und Grund für Abfrage personenbezogener Daten. Jedoch zumeist keine Auskunft über konkreten Arbeitnehmer, der die Abfrage vornimmt.

Immaterieller Schadenersatz bei Verstößen gegen die DSGVO? Verstoß allein genügt nicht. Schaden erforderlich. Aber: Keine „Erheblichkeitsschwelle“.

EuGH: Recht auf „Kopie“ von verarbeiteten personenbezogenen Daten = Ausfolgung originalgetreuer und verständlicher Reproduktion aller dieser Daten.

EuGH: Verschärfte Auskunftspflicht bei Weitergabe personenbezogener Daten. Identität der Empfänger mitzuteilen.

EuGH zu privaten Daten in Telefonverzeichnissen: Verantwortliche müssen auch andere Anbieter von Löschungsbegehren informieren