DA+

Kurzbeitrag : Die Folgen formeller DS‑GVO-Verstöße für die Rechtmäßigkeit der Datenverarbeitung : aus der RDV 6/2023, Seite 367-369

Anmerkung von Prof. Dr. Felix Neumann, M.A.*

Lesezeit 8 Min.

Das Vorliegen einer Vereinbarung über eine gemeinsame Verantwortlichkeit (Art. 26 DS-GVO) sowie das Führen eines Verzeichnisses über die Verarbeitungstätigkeiten (Art.  30 DS-GVO) stellen zentrale datenschutzrechtliche Rechenschaftspflichten dar. In der Rechtssache C-60/22 hat der EuGH entschieden, dass sich Verstöße gegen diese formellen Pflichten (Art.  26, 30 DS-GVO) nicht auf die Rechtmäßigkeit der Datenverarbeitung auswirken, wenn eine der Bedingungen nach Art. 6 Abs. 1 S. 1 DS-GVO vorliegt.

Siehe EuGH, Urt. v. 4. Mai 2023, C-60/22, UZ/Bundesrepublik Deutschland, ECLI:EU:C:2023:373, abgedruckt in RDV 2023, S. 252-254.

I. Hintergründe

Das vorliegende Urteil des EuGH berührt den Umfang der datenschutzrechtlichen Rechenschaftspflicht aus Art.  5 Abs.  2 DS-GVO und die Folgen einer Verletzung dieses Grundsatzes für die Rechtmäßigkeit der Datenverarbeitung nach Art.  5 Abs.  1 lit.  a) Var. 1 DS-GVO. Ausweislich des Wortlautes des Art. 5 Abs. 1 lit. a) Var. 1 DS-GVO muss jede Verarbeitung personenbezogener Daten rechtmäßig sein, was der Verantwortliche (Art. 4 Nr. 7 DS-GVO) nachzuweisen hat. Somit ist er in Streitfällen hinsichtlich der Rechenschaftspflicht darlegungs-und beweisbelastet (EuGH, Urt. v. 24. Februar 2022, C-175/20, Valsts ieņēmumu dienests, ECLI:EU:C:2022:124, Rn. 81; Roßnagel/Rost, ZD 2023, 502, 504; a.A. Hoeren, MMR 2018, 637, 638).

Allerdings war bisher in der rechtswissenschaftlichen Forschung umstritten, ob dem Art. 5 Abs. 1 lit. a) Var. 1 DS-GVO ein enger Rechtsmäßigkeitsbegriff zugrunde liegt, mithin nur eine Rechtsgrundlage nach Art. 6 Abs. 1 S. 1 DS-GVO bestehen muss (so Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO/ BDSG, 3. Aufl., Art. 5 DS-GVO, Rn. 14-17 und Pötters, in: Gola/ Heckmann (Hrsg.), DS-GVO/BDSG, 3. Aufl., Art. 5 DS-GVO, Rn. 7). Oder ob zusätzliche Anforderungen des europäischen und nationalen Datenschutzrechtes, wie bspw. die Einhaltung formeller Verpflichtungen, zu beachten sind und der DS-GVO ein weiterer Rechtmäßigkeitsbegriff zugrunde liegt (zust. Herbst, in: Kühling/Buchner (Hrsg.), DS-GVO/BDSG, 3. Aufl., Art. 5 DS-GVO, Rn. 8 ff.). Genau diese strittige Frage musste der Gerichtshof im Rahmen des vorliegenden Vorabentscheidungsersuchens (Art.  267 Abs.  2 AEUV) des Verwaltungsgerichts Wiesbaden nun beurteilen.

Im zugrunde liegenden Ausgangsverfahren hatte das nationale Gericht über einen abgelehnten Antrag des Klägers auf internationalen Schutz beim Bundesamt für Migration und Flüchtlinge (BAMF) zu richten (zum Verfahrensgang: Rn. 27-38). Der abgelehnte Bescheid basierte auf einer elektronischen Akte (MARIS), die das BAMF über den Kläger führt und dem Verwaltungsgericht Wiesbaden im Rahmen des gemeinsamen Verfahrens über das Elektronische Gerichtsund Verwaltungspostfach (EGVP) übermittelt hatte. Jedoch bezweifelte das Verwaltungsgericht, ob die Verarbeitung der personenbezogenen Daten des Klägers mit der DS-GVO im Einklang standen. Das BAMF konnte nämlich weder ein vollständiges Verzeichnis der Verarbeitungstätigkeiten (VVT) gem. Art. 30 DS-GVO hinsichtlich der MARIS-Akte noch eine Vereinbarung für die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO für die EGVP-Übermittlung der elektronischen Akte vorlegen. Daraufhin setze das Verwaltungsgericht Wiesbaden das Verfahren aus und legte dem Gerichtshof u.a. die Frage zur Vorabentscheidung vor, ob ein fehlendes oder unvollständiges VVT oder eine fehlende Vereinbarung über die gemeinsame Verantwortlichkeit zu einem Löschungs- oder Beschränkungsanspruch (Art.  17 Abs.  1 lit.  d), 18 Abs.  1 lit.  b) DS-GVO) des Betroffen führt. Zudem wollte das hessische Gericht wissen, ob ein Verstoß des Verantwortlichen gegen Art. 5, 30 oder 26 DS-GVO zur Folge hat, dass das nationale Gericht die Daten nur berücksichtigen darf, wenn der Betroffene der Verwertung ausdrücklich zustimmt.

Auf die erste Frage des Gerichts antwortete der EuGH, dass vorliegend kein Löschungs- oder Beschränkungsanspruch bei einer Verletzung der formellen Pflichten der Art. 26, 30 DS-GVO besteht sowie keine unrechtmäßige Datenverarbeitung vorliegt und bestätigte damit den engen Rechtsmäßigkeitsbegriff (Ls. 1). Auf die weitere Frage des Vorabentscheidungsersuchens erwiderten die Richter aus Luxemburg, dass die Einwilligung der betroffenen Person keine Voraussetzung für die rechtmäßige Datenverarbeitung darstellt, soweit eine andere Rechtsgrundlage des Art. 6 Abs. 1 S. 1 DS-GVO gegeben ist (Ls. 2).

II. Bewertung

Im Ergebnis ist dieses Urteil des Gerichtshofes zu begrüßen. So werden die formellen DS-GVO-Verpflichtungen nicht ausgeweitet und die Reichweite der datenschutzrechtlichen Rechenschaftspflicht weiter präzisiert, ohne die Anwendungsbereiche der weiteren Grundsätze in Art. 5 Abs. 1 DS-GVO über Gebühr hinaus zu beschränken. Jedoch hätte der Gerichtshof noch klarer zwischen den Anforderungen an die rechtmäßige Verarbeitung und den Vorgaben für die Dokumentation der Rechenschaftspflicht unterscheiden können (ebenso Stief, ZD 2023, 606, 610).

Zur Begründung seiner Antwort auf die erste Frage des Vorabentscheidungsersuchens wendet der Gerichtshof die juristischen Auslegungsmethoden an. Zunächst betrachten die Richter den Wortlaut des Art. 5 Abs. 1 lit. a) Var. 1 DS-GVO, der erfordert, dass personenbezogene Daten auf eine ,,rechtmäßige Weise“ verarbeitet werden müssen (Rn. 54). Diese Rechtmäßigkeit wird allerdings nicht durch die Art.  26, 30 DS-GVO, sondern wie der EuGH der Systematik der DS-GVO entnimmt, durch den Art. 6 DS-GVO näher präzisiert (Rn. 55, 58-60, 62 f.). Dabei stützen sich die Richter überzeugend darauf, dass schon die Überschrift des Art.  6 DS-GVO von der Rechtmäßigkeit der Verarbeitung spricht und die Art. 26, 30 DS-GVO sich nur im Abschnitt 1 des Kapitels IV über die allgemeinen Pflichten und eben nicht wie die Art. 5, 6 DS-GVO im Kapitel II über die Grundsätze befinden (Rn. 55, 58). Als weiteres Argument führt der EuGH an, dass die unterschiedlichen Bußgeldvorschriften (Art. 83 Abs. 4 f. DS-GVO) höhere Beträge bei Verstößen gegen die Rechtmäßigkeit der Datenverarbeitung als bei Fehlern gegen die formellen Pflichten der Art. 26, 30 DS-GVO vorsehen (Rn. 63). Vom Sinn und Zweck des Art 5 Abs. 1 lit. a) Var. 1 i.V.m. Art. 6 Abs. 1 S. 1 DS-GVO fügt der Gerichtshof noch hinzu, dass Verstöße gegen die Art. 26, 30 DS-GVO gerade keine Verletzungen des Art. 8 Abs. 1 GRCh und des Art. 16 Abs. 1 AEUV darstellen (Rn. 64 f.). Als weiteres Argument zur Stützung ihrer Argumentationslinie hätte die 5. Kammer noch darauf abstellen können, dass die Angabe einer Rechtsgrundlage gerade nicht zu den Pflichtangaben in Art. 30 Abs. 1 S. 2 DS-GVO gehört. Grundsätzlich ist dem EuGH auch dahingehend zuzustimmen, dass ein Verstoß gegen eine formelle DS-GVO-Vorschrift noch nichts darüber aussagt, dass auch gegen die Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO verstoßen wurde (Rn. 69). So bleibt es dem Verantwortlichen unbenommen, durch andere Nachweise darzulegen, dass er die Rechenschaftspflichten eingehalten hat (Rn. 69; Schantz, in: Wolff/Brink/v. Ungern-Sternberg (Hrsg.), BeckOK Datenschutzrecht, 45. Ed., Art. 5 DS-GVO, Rn. 39).

Mit einem Verweis auf den Wortlaut des Art. 6 Abs. 1 S. 1 DS-GVO (,,mindestens eine der nachstehenden Bedingungen“) kommt der Gerichtshof klar zum Schluss, dass das nationale Gericht die personenbezogenen Daten auch ohne eine Einwilligung berücksichtigen darf, wenn wie hier in Form des Art. 6 Abs. 1 S. 1 lit. e) DS-GVO eine weitere Rechtsgrundlage vorhanden ist (Rn. 55). Vor solchen Vorabentscheidungsersuchen, die sich ohne jeden vernünftigen Zweifel aus der DS-GVO selbst ergeben, kann sich der Gerichtshof zukünftig nur durch eine konsequentere Anwendung seiner eigenen Acte-clairDoktrin schützen (st. Rspr.: EuGH, Urt. v. 6. Oktober 1982, Rs. 283/81, C.I.L.F.I.T., ECLI:EU:C:1982:335, Rn. 16; krit. zur praktischen Umsetzung der strengen Voraussetzungen der Acte-clair-Doktrin: Karpenstein, in: Grabitz/Nettesheim (Hrsg.), Das Recht der Europäischen Union, Bd. I, 79. EL, Art. 267 AEUV, Rn. 57 f.). Auch den Ängsten des Verwaltungsgerichts Wiesbaden, dass die Einhaltung der DS-GVO-Vorschriften wegen der Nichtanwendbarkeit der Bußgeldvorschriften gegen Behörden und sonstige öffentliche Stellen (s. Art. 83 Abs. 7 DS-GVO, § 43 Abs. 3 BDSG) gefährdet ist, erteilt der EuGH richtigerweise eine klare Absage (Rn. 34, 67). Denn neben den Bußgeldern sieht die DS-GVO zur Einhaltung ihrer Vorschriften die Maßnahmen nach Art. 58 Abs. 2, 77 Abs. 1, 82 DS-GVO vor.

Schließlich sind der Gerichtshof und das Verwaltungsgericht Wiesbaden, ohne dies näher zu würdigen oder eine Begründung anzugeben, von einer gemeinsamen Verantwortlichkeit (Art.  26 DS-GVO) zwischen dem Gericht und der Behörde wegen der Übermittelung der MARIS-Akte auf das EGVP ausgegangen (Rn. 33, 65 f.). Schon der Wortlaut des Art. 26 Abs. 1 S. 1 DS-GVO lässt daran zweifeln, dass lediglich das Nutzen einer gemeinsamen Schnittstelle für die Kommunikation zu einer gemeinsamen Verantwortlichkeit führt. Nach dieser Norm ist gerade erforderlich, dass mindestens zwei Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Zwar müssen die Beteiligtenbeiträge für die Verarbeitung nicht gleichwertig sein und auch sind die Unterschiede zwischen einer bloßen Mitursächlichkeit sowie einer gemeinsamen Verarbeitung im Einzelfall durchaus gering (EuGH, Urt. v. 5. Juni 2018, C-210/16, Facebook-Fanpage, ECLI:EU:C:2018:388, Rn. 43). Wenn jedoch einer der Beteiligten lediglich mitursächlich für einen Datenstrom ist, so liegt gerade keine gemeinsame Verantwortlichkeit vor (EuGH, Urt. v. 29. Juli 2019, C-40/17, Fashion ID, ECLI:EU:C:2019:629, Rn. 76; Martini, in: Paal/Pauly (Hrsg.), DS-GVO/BDSG, 3. Aufl., Art. 26 DS-GVO, Rn. 19 f.; Golland, DSB 2023, 178, 178). Vielmehr stellen die vorgelagerten Tätigkeiten des BAMF sowie die nachgelagerten Schritte des Verwaltungsgerichts Wiesbaden separate Verarbeitungsvorgänge in alleiniger Verantwortung dar (EuGH, Urt. v. 29. Juli 2019, C-40/17, Fashion ID, ECLI:EU:C:2019:629, Rn. 101).

III. Praxisfolgen

In der datenschutzrechtlichen Compliance der Unternehmen und Behörden nimmt die Rechenschaftspflicht und ihre formellen Ausprägungen eine zentrale Bedeutung ein. Die vorliegende Entscheidung ist nicht nur auf den behördlichen Bereich begrenzt, sondern betrifft die in der Privatwirtschaft tätigen Unternehmen noch viel stärker, da gegen sie die Verhängung von Bußgeldern (Art. 83 Abs. 4 lit. a) DS-GVO) möglich ist. Auch gibt diese EuGH-Entscheidung keinen Anlass dazu, die formellen DS-GVO-Pflichten – wie vorliegend aus Art. 26, 30 DS-GVO – in der praktischen Datenschutztätigkeit zu vernachlässigen (ebenso Roßnagel/Rost, ZD 2023, 502, 504 f.). So bestätigt der Gerichtshof in seiner Entscheidung die zentrale Rolle der datenschutzrechtlichen Rechenschaftspflicht und zeigt eine Vielzahl von empfindlichen Mitteln zur Durchsetzung von formellen Pflichten auf (Rn. 67 f.). Die Verantwortlichen der Datenverarbeitung sollten dieses Urteil zum Anlass nehmen, um ggf. bestehende Vereinbarungen für die gemeinsame Verarbeitung respektive das VVT zu aktualisieren.

Leider liefert das Urteil keine direkten Aussagen darüber, ob der hier entschiedene Bereich, dass sich die formellen Verstöße gegen Art.  26, 30 DS-GVO nicht auf die Rechtmäßigkeit der Datenverarbeitung auswirken, auf andere formelle DS-GVO-Verpflichtungen übertragen werden kann. Eine generelle Unbeachtlichkeit von formellen DS-GVO-Verstößen für die rechtmäßige Datenverarbeitung ist abzulehnen, denn die Relevanz muss im jeweiligen Einzelfall ermittelt werden (ebenso Stief, ZD 2023, 606, 610; a.A. Golland, DSB 2023, 178, 179). Im Sinne des vorliegenden Urteils dürfte für diese Beurteilung zum einen ausschlaggebend sein, ob eine formelle DS-GVO-Verpflichtung den Rechtmäßigkeitsgrundsatz des Art. 5 Abs. 1 lit. a) Var. 1 DS-GVO präzisiert (Stief, ZD 2023, 606, 610). Zum anderen stellt der EuGH entscheidend darauf ab, ob eine grundrechtsbezogene Gefahr besteht (Rn. 65).

Nun ist das Verwaltungsgericht Wiesbaden berufen, die Antworten des Gerichtshofes im Ausgangsverfahren umzusetzen. Für die Gerichtspraxis der Mitgliedstaaten sollte dieses Verfahren Anlass bieten, die Vorabentscheidungsfragen stärker mit Bedacht zu wählen, denn auch die Ressourcen des Gerichtshofes der Europäischen Union sind begrenzt.

 

* Der Autor ist Professor an der Hessischen Hochschule für öffentliches Management und Sicherheit. Der Beitrag gibt ausschließlich die persönliche Auffassung des Autors wieder.