EuGH-Urteil vom 4.10.2024, Rechtssache C‑200/23
Sachverhalt:
Die Klägerin ist Gesellschafterin einer bulgarischen Gesellschaft mit beschränkter Haftung, die am 14. Januar 2021 im Handelsregister eingetragen wurde. Dieser Vertrag, der den Namen, den Vornamen, die Identifikationsnummer, die Nummer des Personalausweises, das Datum und den Ort der Ausstellung dieses Ausweises sowie die Anschrift der Klägerin und ihre Unterschrift enthielt, wurde der Öffentlichkeit von einer staatlichen Agentur in der Form zugänglich gemacht, in der er eingereicht worden war. Die Klägerin beantragte die Löschung ihrer personenbezogenen Daten in diesem Gesellschaftsvertrag und erklärte, dass sie, soweit die Verarbeitung dieser Daten auf ihrer Einwilligung beruhe, diese widerrufe.
Die Agentur legte Kassationsbeschwerde beim Obersten Verwaltungsgericht Bulgariens ein und argumentierte, dass sie nicht allein für die Datenverarbeitung verantwortlich sei und die Offenlegung gesetzlich geregelt sei.
Das bulgarische Oberste Verwaltungsgericht legte den Fall dem EuGH zur Vorabentscheidung vor.
Entscheidung:
Der Entscheidung des EuGH ist u.a. zu entnehmen:
- Die eigenhändige Unterschrift einer natürlichen Person fällt unter den Begriff „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO.
- Ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten aufgrund der durch Online-Bereitstellung im Handelsregister eines Mitgliedstaats bewirkten öffentlichen Zugänglichmachung dieser Daten kann ausreichen, um einen „immateriellen Schaden“ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert.
- Die DSGVO, insbesondere deren Art. 4 Nrn. 7 und 9, ist dahin auszulegen, dass die mit der Führung des Handelsregisters eines Mitgliedstaats betraute Stelle, die in diesem Register die personenbezogenen Daten veröffentlicht, sowohl „Empfänger“ dieser personenbezogener Daten als auch – insbesondere indem sie diese der Öffentlichkeit zugänglich macht – für die Verarbeitung dieser Daten „Verantwortlicher“ ist, selbst wenn dieser Vertrag personenbezogene Daten enthält, die nach dieser Richtlinie oder dem Recht dieses Mitgliedstaats nicht vorgeschrieben sind.
- Eine auf der Grundlage von Art. 58 Abs. 3 Buchst. b DSGVO abgegebene Stellungnahme der Aufsichtsbehörde eines Mitgliedstaats reicht nicht aus, um die mit der Führung des Handelsregisters dieses Mitgliedstaats betraute Stelle, die „Verantwortlicher“ ist, von der Haftung nach Art. 82 Abs. 2 zu befreien.
Weitere Blog-Beiträge zur DSGVO: