Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 04.05.2023 - C-60/22
EuGH 04.05.2023 - C-60/22 - URTEIL DES GERICHTSHOFS (Fünfte Kammer) - 4. Mai 2023 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 5 – Grundsätze für die Verarbeitung – Rechenschaftspflicht im Hinblick auf die Verarbeitung – Art. 6 – Rechtmäßigkeit der Verarbeitung – Von einer Verwaltungsbehörde erstellte elektronische Akte über einen Asylantrag – Übermittlung an das zuständige nationale Gericht über ein elektronisches Postfach – Verstoß gegen Art. 26 und 30 – Keine Vereinbarung zur Festlegung der gemeinsamen Verantwortlichkeit und kein Führen eines Verzeichnisses von Verarbeitungstätigkeiten – Folgen – Art. 17 Abs. 1 – Recht auf Löschung (Recht auf ‚Vergessenwerden‘) – Art. 18 Abs. 1 – Recht auf Einschränkung der Verarbeitung – Begriff ‚unrechtmäßige Verarbeitung‘ – Berücksichtigung der elektronischen Akte durch ein nationales Gericht – Keine Einwilligung der betroffenen Person“
Leitsatz
In der Rechtssache C-60/22
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Verwaltungsgericht Wiesbaden (Deutschland) mit Beschluss vom 27. Januar 2022, beim Gerichtshof eingegangen am 1. Februar 2022, in dem Verfahren
UZ
gegen
Bundesrepublik Deutschland
erlässt
DER GERICHTSHOF (Fünfte Kammer)
unter Mitwirkung des Kammerpräsidenten E. Regan (Berichterstatter) sowie der Richter D. Gratsias, M. Ilešič, I. Jarukaitis und Z. Csehi,
Generalanwältin: T. Ćapeta,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
von UZ, vertreten durch Rechtsanwalt J. Leuschner,
der deutschen Regierung, vertreten durch J. Möller und P.-L. Krüger als Bevollmächtigte,
der tschechischen Regierung, vertreten durch O. Serdula, M. Smolek und J. Vláčil als Bevollmächtigte,
der französischen Regierung, vertreten durch A.-L. Desjonquères und J. Illouz als Bevollmächtigte,
der österreichischen Regierung, vertreten durch A. Posch, M.-T. Rappersberger und J. Schmoll als Bevollmächtigte,
der polnischen Regierung, vertreten durch B. Majczyna als Bevollmächtigten,
der Europäischen Kommission, vertreten durch A. Bouchagiar, F. Erlbacher und H. Kranenborg als Bevollmächtigte,
aufgrund des nach Anhörung der Generalanwältin ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 5, Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b sowie der Art. 26 und 30 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DS-GVO).
Es ergeht im Rahmen eines Rechtsstreits zwischen UZ, einem Drittstaatsangehörigen, und der Bundesrepublik Deutschland, vertreten durch das Bundesamt für Migration und Flüchtlinge (Deutschland) (im Folgenden: Bundesamt), wegen der Verarbeitung des von diesem Drittstaatsangehörigen gestellten Antrags auf internationalen Schutz.
Rechtlicher Rahmen
Unionsrecht
Richtlinie 2013/32/EU
Der 52. Erwägungsgrund der Richtlinie 2013/32/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 zu gemeinsamen Verfahren für die Zuerkennung und Aberkennung des internationalen Schutzes (Neufassung) (ABl. 2013, L 180, S. 60) lautet:
„Die Verarbeitung personenbezogener Daten in den Mitgliedstaaten gemäß dieser Richtlinie erfolgt nach Maßgabe der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [(ABl. 1995, L 281, S. 31)].“
DS-GVO
In den Erwägungsgründen 1, 10, 40, 74, 79 und 82 der DS-GVO heißt es:
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union … sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
…
Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
…
Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.
…
Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.
…
Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird.
…
Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.“
Kapitel I der DS-GVO („Allgemeine Bestimmungen“) enthält die Art. 1 bis 4.
Art. 1 („Gegenstand und Ziele“) der Verordnung sieht vor:
„(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
…“
Art. 4 („Begriffsbestimmungen“) der Verordnung bestimmt in den Nrn. 2, 7 und 21:
‚Verarbeitung‘ [bezeichnet] jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
‚Verantwortlicher‘ [bezeichnet] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
…
‚Aufsichtsbehörde‘ [bezeichnet] eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
…“
Kapitel II („Grundsätze“) der DS-GVO umfasst deren Art. 5 bis 11.
Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) der DS-GVO sieht vor:
„(1) Personenbezogene Daten müssen
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken (‚Zweckbindung‘);
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);
sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘);
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (‚Speicherbegrenzung‘);
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 der DS-GVO lautet:
„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“
Art. 7 der DS-GVO betrifft die Bedingungen für die Einwilligung, Art. 8 der DS-GVO bestimmt die Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft.
Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) der DS-GVO untersagt die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Art. 10 („Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten“) der DS-GVO betrifft die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Art. 6 Abs. 1 ebendieser Verordnung.
Kapitel III („Rechte der betroffenen Person“) der DS-GVO umfasst deren Art. 12 bis 23.
In Art. 17 („Recht auf Löschung [‚Recht auf Vergessenwerden‘]“) der DS-GVO heißt es:
„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
…
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
…
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
…
zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
…
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“
Art. 18 („Recht auf Einschränkung der Verarbeitung“) der DS-GVO sieht vor:
„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
…
die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
…
(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
…“
Kapitel IV („Verantwortlicher und Auftragsverarbeiter“) der DS-GVO umfasst die Art. 24 bis 43.
Der sich in Abschnitt 1 („Allgemeine Pflichten“) dieses Kapitels befindende Art. 26 („Gemeinsam Verantwortliche“) der DS-GVO hat folgenden Wortlaut:
„(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
(2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.“
Art. 30 („Verzeichnis von Verarbeitungstätigkeiten“) der DS-GVO sieht vor:
„(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
die Zwecke der Verarbeitung;
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
…
(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
…“
Der in Kapitel VI („Unabhängige Aufsichtsbehörden“) der DS-GVO stehende Art. 58 („Befugnisse“) dieser Verordnung bestimmt in Abs. 2:
„Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.“
Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) der DS-GVO umfasst deren Art. 77 bis 84.
Art. 77 („Recht auf Beschwerde bei einer Aufsichtsbehörde“) Abs. 1 der DS-GVO lautet:
„Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“
Art. 82 („Haftung und Recht auf Schadenersatz“) der DS-GVO bestimmt in Abs. 1 und 2:
„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.“
Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) der DS-GVO sieht in den Abs. 4, 5 und 7 vor:
„(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10000000 [Euro] oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
…
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20000000 [Euro] oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
…
(7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.“
Der sich in Kapitel XI („Schlussbestimmungen“) der DS-GVO befindliche Art. 94 („Aufhebung der Richtlinie 95/46/EG“) dieser Verordnung bestimmt:
„(1) Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.
(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss.“
Deutsches Recht
§ 43 („Bußgeldvorschriften“) Abs. 3 des Bundesdatenschutzgesetzes vom 20. Dezember 1990 (BGBl. 1990 I, S. 2954) in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: BDSG) lautet:
„Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 [BDSG] werden keine Geldbußen verhängt.“
Ausgangsverfahren und Vorlagefragen
Am 7. Mai 2019 stellte der Kläger des Ausgangsverfahrens beim Bundesamt einen Antrag auf internationalen Schutz, den dieses ablehnte.
Zum Erlass seines ablehnenden Bescheids (im Folgenden: streitiger Bescheid) stützte sich das Bundesamt auf die von ihm erstellte elektronische Akte „MARIS“, die personenbezogene Daten des Klägers des Ausgangsverfahrens enthält.
Dieser erhob gegen den streitigen Bescheid Klage beim Verwaltungsgericht Wiesbaden (Deutschland), dem vorlegenden Gericht in dieser Rechtssache. Die elektronische Akte „MARIS“ wurde diesem Gericht im Rahmen eines gemeinsamen Verfahrens nach Art. 26 der DS-GVO über das Elektronische Gerichts- und Verwaltungspostfach übermittelt, das von einer öffentlichen Stelle verwaltet wird, die der Exekutive angehört.
Das vorlegende Gericht weist darauf hin, dass nach dem 52. Erwägungsgrund der Richtlinie 2013/32 die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten bei Verfahren für die Zuerkennung des internationalen Schutzes nach Maßgabe der DS-GVO erfolgt.
Das Gericht hegt jedoch Zweifel daran, dass das Führen der vom Bundesamt erstellten elektronischen Akte und deren Übermittlung an das Gericht über das Elektronische Gerichts- und Verwaltungspostfach mit dieser Verordnung im Einklang stehen.
Im Hinblick auf das Führen der elektronischen Akte sei nicht nachgewiesen worden, dass das Bundesamt Art. 5 Abs. 1 in Verbindung mit Art. 30 der DS-GVO einhalte. Trotz einer entsprechenden Anfrage des vorlegenden Gerichts habe das Bundesamt nämlich kein vollständiges Verzeichnis der Verarbeitungstätigkeiten bezüglich dieser Akte vorgelegt. Ein solches Verzeichnis hätte aber zum Zeitpunkt der Verarbeitung der personenbezogenen Daten des Klägers des Ausgangsverfahrens, also zu dem Zeitpunkt, zu dem er internationalen Schutz beantragt hatte, erstellt werden müssen. Nach der Entscheidung des Gerichtshofs über das vorliegende Vorabentscheidungsersuchen solle das Bundesamt im Hinblick auf seine Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO angehört werden.
Die Übermittlung der elektronischen Akte über das Elektronische Gerichts- und Verwaltungspostfach stelle eine „Verarbeitung“ der Daten im Sinne von Art. 4 Nr. 2 der DS-GVO dar, bei der die in Art. 5 dieser Verordnung genannten Grundsätze zu beachten seien. Unter Verstoß gegen Art. 26 der DS-GVO regle keine nationale Vorschrift dieses Übertragungsverfahren zwischen den Verwaltungsbehörden und Gerichten, indem sie die jeweiligen Verantwortlichkeiten der gemeinsam Verantwortlichen festlege; trotz einer entsprechenden Anfrage des vorlegenden Gerichts habe das Bundesamt keine dahin gehende Vereinbarung vorgelegt. Daher stellt sich das Gericht die Frage, ob die Übertragung der Daten über das Elektronische Gerichts- und Verwaltungspostfach rechtmäßig ist.
Nach Ansicht des vorlegenden Gerichts ist insbesondere zu bestimmen, ob der Verstoß gegen die Pflichten aus den Art. 5, 26 und 30 der DS-GVO und die damit einhergehende Rechtswidrigkeit der Verarbeitung der personenbezogenen Daten mit der Löschung dieser Daten gemäß Art. 17 Abs. 1 Buchst. d der DS-GVO oder mit einer Einschränkung der Verarbeitung gemäß Art. 18 Abs. 1 Buchst. b der DS-GVO zu sanktionieren ist. Diese Sanktionen seien zumindest dann in Betracht zu ziehen, wenn dies von der betroffenen Person verlangt werde. Anderenfalls wäre das Gericht gezwungen, sich im Rahmen des gerichtlichen Verfahrens an einer rechtswidrigen Verarbeitung dieser Daten zu beteiligen. In einem solchen Fall könne nur die Aufsichtsbehörde nach Art. 58 der DS-GVO einschreiten und gegen die betroffenen Behörden gemäß Art. 83 Abs. 5 Buchst. a dieser Verordnung eine Geldbuße verhängen. Jedoch könnten nach § 43 Abs. 3 BDSG, mit dem Art. 83 Abs. 7 der DS-GVO umgesetzt werde, auf nationaler Ebene gegen Behörden und sonstige öffentliche Stellen keine Geldbußen verhängt werden. Dies führe dazu, dass weder die Richtlinie 2013/32 noch die DS-GVO eingehalten würden.
Die im Ausgangsverfahren in Rede stehende Verarbeitung falle nicht unter Art. 17 Abs. 3 Buchst. e der DS-GVO, der die Verwendung personenbezogener Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch die Beklagte erlaube. Zwar dienten im vorliegenden Fall die Daten dem Bundesamt gemäß Art. 17 Abs. 3 Buchst. b der DS-GVO zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliege, erfordere, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liege, oder in Ausübung öffentlicher Gewalt erfolge, die dem Verantwortlichen übertragen worden sei. Durch die Anwendung dieser Bestimmung wäre aber ein datenschutzrechtswidriges Tun auf Dauer legalisiert.
Daher fragt sich das Gericht, inwieweit es im Rahmen seiner justiziellen Tätigkeit personenbezogene Daten berücksichtigten darf, die ihm im Rahmen eines solchen zur Exekutive gehörenden Verfahrens übermittelt wurden. Sollte das Führen der elektronischen Akte oder ihre Übermittlung über das Elektronische Gerichts- und Verwaltungspostfach im Hinblick auf die DS-GVO als rechtswidrige Verarbeitung einzustufen sein, wäre das Gericht durch eine solche Berücksichtigung an der in Rede stehenden rechtswidrigen Datenverarbeitung beteiligt; dies verstoße gegen das Ziel dieser Verordnung, das darin bestehe, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zu schützen.
In diesem Zusammenhang stellt sich das vorlegende Gericht noch die Frage, ob es einen Einfluss auf die Möglichkeit der Berücksichtigung dieser Daten hat, ob die betroffene Person ausdrücklich einwilligt oder der Verwendung ihrer personenbezogenen Daten im Rahmen eines gerichtlichen Verfahrens widerspricht. Sollte das Gericht die in der elektronischen „MARIS“-Akte enthaltenen Daten nicht berücksichtigen dürfen, weil das Führen und Übermitteln der Akte unrechtmäßig sei, gäbe es bis zu einer etwaigen Behebung dieser Unrechtmäßigkeit keine Rechtsgrundlage, um über den Antrag des Klägers des Ausgangsverfahrens auf Zuerkennung der Flüchtlingseigenschaft zu entscheiden. Als Folge müsste das vorlegende Gericht den streitigen Bescheid aufheben.
Unter diesen Umständen hat das Verwaltungsgericht Wiesbaden beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Führt eine fehlende bzw. unterlassene oder unvollständige Rechenschaftspflicht eines Verantwortlichen nach Art. 5 der DS-GVO, z. B. durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO oder eine fehlende Vereinbarung über ein gemeinsames Verfahren nach Art. 26 DS-GVO dazu, dass die Datenverarbeitung unrechtmäßig im Sinne der Art. 17 Abs. 1 Buchst. d DS-GVO und Art. 18 Abs. 1 Buchst. b DS-GVO ist, so dass ein Löschungs- bzw. Beschränkungsanspruch des Betroffenen besteht?
Falls Frage 1 zu bejahen ist: Führt das Bestehen eines Löschungs- oder Beschränkungsanspruchs dazu, dass die verarbeiteten Daten in einem Gerichtsverfahren nicht zu berücksichtigen sind? Dies jedenfalls dann, wenn die betroffene Person der Verwertung im gerichtlichen Verfahren widerspricht?
Falls Frage 1 zu verneinen ist: Führt ein Verstoß eines Verantwortlichen gegen Art. 5, 30 oder 26 DS-GVO dazu, dass ein nationales Gericht bei der Frage der gerichtlichen Verwertung der Datenverarbeitung die Daten nur berücksichtigen darf, wenn der Betroffene der Verwertung ausdrücklich zustimmt?
Zu den Vorlagefragen
Zur Zulässigkeit
Ohne förmlich eine Einrede der Unzulässigkeit zu erheben, äußert die deutsche Regierung Zweifel daran, dass die Vorlagefragen für den Ausgangsrechtsstreit entscheidungserheblich sind. Zunächst ergebe sich aus dem Vorlagebeschluss, dass nicht abschließend feststehe, ob ein Verstoß des Bundesamts gegen Art. 5 Abs. 2 der DS-GVO gegeben sei. Ein solcher werde vom vorlegenden Gericht lediglich vermutet. Sodann habe dieses Gericht nicht dargelegt, dass die Akten des Bundesamts – unterstellt, es dürfte diese nicht verwenden – für den vorliegenden Fall allein entscheidungserheblich seien. Denn es habe auch andere Erkenntnisquellen, die auf Grund des Amtsermittlungsgrundsatzes auszuschöpfen seien, wenn Akten von einer Behörde nicht oder unvollständig vorgelegt würden. Die dritte Frage sei schließlich offenkundig hypothetisch, da sich dem Vorlagebeschluss in keiner Weise entnehmen lasse, dass der Kläger des Ausgangsverfahrens der Verwertung der Verarbeitung seiner personenbezogenen Daten durch das vorlegende Gericht zugestimmt habe oder zustimmen würde.
Es ist darauf hinzuweisen, dass nach ständiger Rechtsprechung des Gerichtshofs eine Vermutung für die Entscheidungserheblichkeit von Fragen zum Unionsrecht spricht. Der Gerichtshof kann die Beantwortung einer Vorlagefrage eines nationalen Gerichts nur ablehnen, wenn die erbetene Auslegung des Unionsrechts offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn der Gerichtshof nicht über die rechtlichen und tatsächlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind, oder wenn das Problem hypothetischer Natur ist. Zudem ist in einem Verfahren nach Art. 267 AEUV, das auf einer klaren Aufgabentrennung zwischen den nationalen Gerichten und dem Gerichtshof beruht, allein das nationale Gericht für die Feststellung und Beurteilung des Sachverhalts des Ausgangsrechtsstreits zuständig (vgl. u. a. Urteil vom 24. März 2022, Autoriteit Persoonsgegevens, C-245/20, EU:C:2022:216, Rn. 20 und 21 und die dort angeführte Rechtsprechung).
Wie aus Art. 267 Abs. 2 AEUV klar hervorgeht, ist es im Rahmen der engen Zusammenarbeit zwischen den nationalen Gerichten und dem Gerichtshof, die auf einer Verteilung der Aufgaben zwischen ihnen beruht, Sache des nationalen Gerichts, darüber zu entscheiden, in welchem Verfahrensstadium es ein Vorabentscheidungsersuchen an den Gerichtshof richten soll (Urteil vom 17. Juli 2008, Coleman, C-303/06, EU:C:2008:415, Rn. 29 und die dort angeführte Rechtsprechung).
Insbesondere hat der Gerichtshof insoweit bereits entschieden, dass der Umstand, dass Sachfragen noch nicht Gegenstand eines kontradiktorischen Beweisverfahrens waren, als solcher eine Vorlagefrage nicht unzulässig machen kann (vgl. in diesem Sinne Urteil vom 11. September 2014, Österreichischer Gewerkschaftsbund, C-328/13, EU:C:2014:2197, Rn. 19 und die dort angeführte Rechtsprechung).
Im vorliegenden Fall geht zwar aus dem Vorabentscheidungsersuchen hervor, dass das vorlegende Gericht nicht abschließend darüber entschieden hat, ob das Bundesamt gegen seine Pflichten aus Art. 5 Abs. 2 in Verbindung mit den Art. 26 und 30 der DS-GVO verstoßen hat, und dieser Gesichtspunkt nach den Angaben in diesem Ersuchen noch kontradiktorisch zu erörtern ist. Gleichwohl hat das Gericht festgestellt, dass weder eine Vereinbarung über die gemeinsame Datenverarbeitung noch ein Verzeichnis von Verarbeitungstätigkeiten, die in Art. 26 bzw. 30 der DS-GVO genannt werden, vom Bundesamt als Verantwortlichem vorgelegt worden seien, obwohl eine entsprechende Anfrage an das Amt gestellt worden sei.
Darüber hinaus geht aus dem Vorlagebeschluss hervor, dass der streitige Bescheid nach Ansicht des vorlegenden Gerichts, dem die Feststellung und Beurteilung des Sachverhalts allein obliegt, allein auf der Grundlage der vom Bundesamt erstellten elektronischen Akte erlassen wurde, deren Führen und Übertragung möglicherweise gegen die Vorschriften der DS-GVO verstoßen, so dass der Bescheid aus diesem Grund aufzuheben sein könnte.
Hinsichtlich der Einwilligung des Klägers des Ausgangsverfahrens in die Verwendung seiner personenbezogenen Daten im Rahmen des Gerichtsverfahrens genügt schließlich der Hinweis, dass mit der dritten Vorlagefrage gerade geklärt werden soll, ob es im vorliegenden Fall erforderlich ist, dass eine solche Einwilligung zum Ausdruck gebracht wird, damit das vorlegende Gericht diese Daten berücksichtigen darf.
Unter diesen Umständen muss der Gerichtshof, wenn er, wie hier, mit einem Ersuchen um Auslegung des Unionsrechts befasst ist, das nicht offensichtlich ohne Bezug zu den Gegebenheiten oder zum Gegenstand des Ausgangsrechtsstreits ist, und über die erforderlichen Angaben verfügt, um eine sachdienliche Antwort auf die ihm gestellten Fragen zur Auswirkung der DS-GVO auf den Rechtsstreit des Ausgangsverfahrens zu geben, darauf antworten; er braucht den angenommenen Sachverhalt, auf den sich das vorlegende Gericht gestützt hat, nicht selbst zu prüfen; die Annahme wird vom vorlegenden Gerichts später nachzuprüfen sein, falls sich dies als erforderlich erweisen sollte (vgl. entsprechend Urteil vom 17. Juli 2008, Coleman, C-303/06, EU:C:2008:415, Rn. 31 und die dort angeführte Rechtsprechung).
Folglich ist das vorliegende Vorabentscheidungsersuchen zulässig; die Fragen des vorlegenden Gerichts sind zu beantworten, wobei es jedoch Sache dieses Gerichts ist, zu prüfen, ob das Bundesamt gegen die Pflichten aus den Art. 26 und 30 der DS-GVO verstoßen hat.
Zur Beantwortung der Vorlagefragen
Zur ersten Frage
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der DS-GVO dahin auszulegen sind, dass der Verstoß eines Verantwortlichen gegen die Pflichten aus den Art. 26 und 30 dieser Verordnung über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten eine unrechtmäßige Verarbeitung darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht, weil ein solcher Verstoß bedeutet, dass der Verantwortliche gegen den Grundsatz der „Rechenschaftspflicht“ des Art. 5 Abs. 2 der DS-GVO verstößt.
Nach ständiger Rechtsprechung des Gerichtshofs sind bei der Auslegung einer unionsrechtlichen Vorschrift nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehört, verfolgt werden (vgl. in diesem Sinne u. a. Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 32 und die dort angeführte Rechtsprechung).
Was erstens den Wortlaut der einschlägigen Bestimmungen des Unionsrechts anbelangt, ist daran zu erinnern, dass die betroffene Person nach Art. 17 Abs. 1 Buchst. d der DS-GVO das Recht hat, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche verpflichtet ist, personenbezogene Daten unverzüglich zu löschen, sofern diese „unrechtmäßig verarbeitet“ wurden.
Des Weiteren hat die betroffene Person nach Art. 18 Abs. 1 Buchst. b der DS-GVO das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die „Verarbeitung unrechtmäßig ist“ und sie die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung dieser Daten verlangt.
Die in den beiden vorstehenden Randnummern genannten Bestimmungen sind in Verbindung mit Art. 5 Abs. 1 der DS-GVO zu lesen, wonach die Verarbeitung personenbezogener Daten eine Reihe von Grundsätzen einhalten muss, die in dieser Bestimmung genannt werden. Dazu zählt gemäß Art. 5 Abs. 1 Buchst. a der DS-GVO, dass personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden [müssen]“.
Nach dem Wortlaut von Abs. 2 des Art. 5 der DS-GVO ist der Verantwortliche nach dem in dieser Bestimmung verankerten Grundsatz der „Rechenschaftspflicht“ für die Einhaltung des Abs. 1 dieses Artikels verantwortlich und muss nachweisen können, dass jeder der dort genannten Grundsätze eingehalten worden ist; mithin obliegt ihm hierfür die Beweislast (vgl. in diesem Sinne Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C-175/20, EU:C:2022:124, Rn. 77, 78 und 81).
Hieraus folgt, dass der Verantwortliche nach Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 Buchst. a der DS-GVO sicherstellen muss, dass die von ihm durchgeführte Datenverarbeitung „rechtmäßig“ ist.
Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt. Dieser sieht vor, dass die Verarbeitung nur rechtmäßig ist, wenn mindestens eine der in seinem Abs. 1 Unterabs. 1 Buchst. a bis f aufgeführten Bedingungen erfüllt ist, d. h., wie sich auch aus dem 40. Erwägungsgrund dieser Verordnung ergibt, wenn entweder die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat oder die Verarbeitung für einen der genannten Zwecke erforderlich ist; diese Zwecke betreffen die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, den Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person, die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, bzw. die berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Diese Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend, so dass eine Verarbeitung unter einen der in Art. 6 Abs. 1 Unterabs. 1 der DS-GVO vorgesehenen Fälle subsumierbar sein muss, um als rechtmäßig angesehen werden zu können (vgl. in diesem Sinne Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 99 und die dort angeführte Rechtsprechung, sowie vom 8. Dezember 2022, Inspektor v Inspektorata kam Visshia sadeben savet [Zwecke der Verarbeitung personenbezogener Daten – Strafrechtliche Ermittlungen], C-180/21, EU:C:2022:967, Rn. 83).
Nach der Rechtsprechung des Gerichtshofs muss somit jede Verarbeitung personenbezogener Daten mit den in Art. 5 Abs. 1 der DS-GVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 dieser Verordnung aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen (vgl. u. a. Urteile vom 6. Oktober 2020, La Quadrature du Net u. a., C-511/18, C-512/18 und C-520/18, EU:C:2020:791, Rn. 208, vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 96, sowie vom 20. Oktober 2022, Digi, C-77/21, EU:C:2022:805, Rn. 49 und 56).
Da die Art. 7 bis 11 der DS-GVO, die genau wie die Art. 5 und 6 dieser Verordnung in deren Kapitel II stehen, das die Grundsätze betrifft, zum Ziel haben, den Umfang der dem Verarbeiter nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegenden Pflichten näher zu bestimmen, ist die Verarbeitung personenbezogener Daten, wie sich aus der Rechtsprechung des Gerichtshofs ergibt, zudem nur rechtmäßig, wenn sie diese anderen Bestimmungen des genannten Kapitels einhält, die im Wesentlichen die Einwilligung, die Verarbeitung besonderer Kategorien sensibler personenbezogener Daten und die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten betreffen (vgl. in diesem Sinne Urteile vom 24. September 2019, GC u. a. [Auslistung sensibler Daten], C-136/17, EU:C:2019:773, Rn. 72 bis 75, sowie vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 100, 102 und 106).
In Übereinstimmung mit allen Regierungen, die schriftliche Erklärungen abgegeben haben, sowie mit der Europäischen Kommission ist jedoch festzustellen, dass die Einhaltung der in Art. 26 der DS-GVO vorgesehenen Pflicht zum Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung und der in Art. 30 dieser Verordnung verankerten Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung zählen.
Darüber hinaus besteht das Ziel der Art. 26 und 30 der DS-GVO im Unterschied zu den Art. 7 bis 11 dieser Verordnung nicht darin, den Umfang der in Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 der Verordnung genannten Anforderungen näher zu bestimmen.
Daher lässt sich aus dem Wortlaut von Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 Unterabs. 1 der DS-GVO ableiten, dass ein Verstoß des Verarbeiters gegen die in den Art. 26 und 30 dieser Verordnung vorgesehenen Pflichten keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung darstellt, die sich aus einem Verstoß des Verarbeiters gegen den in Art. 5 Abs. 2 der DS-GVO genannten Grundsatz der „Rechenschaftspflicht“ ergeben würde.
Diese Auslegung wird zweitens durch den Kontext dieser verschiedenen Bestimmungen untermauert. Aus der Struktur der DS-GVO und mithin aus ihrer Systematik geht nämlich eindeutig hervor, dass sie zum einen zwischen den „Grundsätzen“, die in ihrem Kapitel II, das u. a. die Art. 5 und 6 dieser Verordnung umfasst, geregelt werden, und zum anderen den „allgemeinen Pflichten“ unterscheidet, die zu Abschnitt 1 des Kapitels IV der Verordnung gehören, das die Verantwortlichen betrifft; zu diesen Pflichten zählen die Pflichten nach den Art. 26 und 30 ebendieser Verordnung.
Diese Unterscheidung spiegelt sich im Übrigen in Kapitel VIII der DS-GVO wider, in dem die Sanktionen geregelt werden. Denn Verstöße gegen die Art. 26 und 30 dieser Verordnung auf der einen und Verstöße gegen deren Art. 5 und 6 auf der anderen Seite fallen unter Art. 83 Abs. 4 bzw. 5 der DS-GVO; demnach können Geldbußen bis zu einem bestimmten Betrag anfallen, der entsprechend dem Schweregrad der jeweiligen Verstöße, dem vom Unionsgesetzgeber Rechnung getragen wird, unterschiedlich ist, je nachdem, welcher Absatz betroffen ist.
Drittens wird schließlich die in Rn. 61 des vorliegenden Urteils dargelegte wörtliche Auslegung der DS-GVO durch das mit dieser Verordnung verfolgte Ziel bestätigt, das sich aus ihrem Art. 1 sowie ihren Erwägungsgründen 1 und 10 ergibt. Es besteht insbesondere darin, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres in Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union und in Art. 16 Abs. 1 AEUV verankerten Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten zu gewährleisten (vgl. in diesem Sinne Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, Rn. 125 und die dort angeführte Rechtsprechung).
Das Fehlen einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung nach Art. 26 der DS-GVO oder eines Verzeichnisses von Verarbeitungstätigkeiten im Sinne von Art. 30 dieser Verordnung reicht nämlich für sich genommen nicht aus, um nachzuweisen, dass ein Verstoß gegen das Grundrecht auf den Schutz personenbezogener Daten vorliegt. Insbesondere stellen zwar, wie aus den Erwägungsgründen 79 und 82 der DS-GVO hervorgeht, die klare Aufteilung der Verantwortlichkeiten zwischen den gemeinsam Verantwortlichen und das Verzeichnis von Verarbeitungstätigkeiten Mittel dar, um sicherzustellen, dass die Verantwortlichen die von dieser Verordnung vorgesehenen Garantien für den Schutz der Rechte und Grundfreiheiten der betroffenen Personen wahren. Gleichwohl belegt das Fehlen eines solchen Verzeichnisses oder einer solchen Vereinbarung für sich genommen nicht, dass diese Rechte und Grundfreiheiten verletzt wurden.
Hieraus ergibt sich, dass ein Verstoß gegen die Art. 26 und 30 der DS-GVO durch den Verantwortlichen keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 Buchst. d oder Art. 18 Abs. 1 Buchst. b dieser Verordnung in Verbindung mit ihren Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 Unterabs. 1 darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung gewährt.
Wie alle Regierungen, die schriftliche Erklärungen eingereicht haben, und die Kommission geltend gemacht haben, ist ein solcher Verstoß mithin unter Rückgriff auf andere von der DS-GVO vorgesehene Maßnahmen zu heilen, wie etwa durch die Ausübung von „Abhilfebefugnissen“ durch die Aufsichtsbehörde im Sinne von Art. 58 Abs. 2 der DS-GVO, insbesondere die Anordnung, Verarbeitungsvorgänge in Einklang mit dieser Verordnung zu bringen, gemäß Buchst. d dieser Bestimmung, die Einlegung einer Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 Abs. 1 der DS-GVO oder den Ersatz des vom Verantwortlichen etwaig verursachten Schadens nach Art. 82 dieser Verordnung.
In Anbetracht der vom vorlegenden Gericht zum Ausdruck gebrachten Bedenken ist schließlich noch darauf hinzuweisen, dass der Umstand, dass im vorliegenden Fall keine Geldbuße nach Art. 58 Abs. 2 Buchst. i und Art. 83 der DS-GVO verhängt werden kann, weil das nationale Recht eine solche Sanktion gegenüber dem Bundesamt verbietet, einer wirksamen Anwendung dieser Verordnung nicht im Wege steht. Insoweit genügt nämlich der Hinweis, dass den Mitgliedstaaten in Art. 83 Abs. 7 der DS-GVO ausdrücklich die Befugnis eingeräumt wird, zu regeln, ob und in welchem Umfang gegen Behörden und öffentliche Stellen solche Geldbußen verhängt werden können. Daher können die verschiedenen alternativen Maßnahmen, die in der DS-GVO vorgesehen sind und in der vorstehenden Randnummer aufgeführt werden, eine solche wirksame Anwendung sicherstellen.
Folglich ist auf die erste Frage zu antworten, dass Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der DS-GVO dahin auszulegen sind, dass der Verstoß eines Verantwortlichen gegen die Pflichten aus den Art. 26 und 30 dieser Verordnung über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten keine unrechtmäßige Verarbeitung darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht, weil dieser Verstoß als solcher nicht bedeutet, dass der Verantwortliche gegen den Grundsatz der „Rechenschaftspflicht“ im Sinne von Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 Unterabs. 1 der DS-GVO verstößt.
Zur zweiten Frage
Angesichts der Antwort auf die erste Frage ist die zweite Frage nicht zu beantworten.
Zur dritten Frage
Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob das Unionsrecht dahin auszulegen ist, dass dann, wenn ein für die Verarbeitung personenbezogener Daten Verantwortlicher gegen seine Pflichten aus den Art. 26 oder 30 der DS-GVO verstoßen hat, die Einwilligung der betroffenen Person die Voraussetzung dafür darstellt, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig ist.
Insoweit ist festzustellen, dass aus dem Wortlaut von Art. 6 Abs. 1 Unterabs. 1 der DS-GVO klar hervorgeht, dass die in Buchst. a dieses Unterabsatzes genannte Einwilligung der betroffenen Person nur einen der Gründe für die Rechtmäßigkeit der Verarbeitung darstellt; eine solche Einwilligung wird dagegen in den anderen Gründen für die Rechtmäßigkeit, die in den Buchst. b bis f dieses Unterabsatzes aufgeführt sind und sich im Wesentlichen darauf beziehen, dass die Verarbeitung für bestimmte Zwecke erforderlich ist, nicht verlangt (vgl. entsprechend Urteil vom 11. Dezember 2019, Asociația de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, Rn. 41).
Wenn ein Gericht die ihm durch das nationale Recht übertragenen gerichtlichen Befugnisse ausübt, ist davon auszugehen, dass die von diesem Gericht durchzuführende Verarbeitung personenbezogener Daten für den in Art. 6 Abs. 1 Unterabs. 1 Buchst. e der DS-GVO genannten Zweck – Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde – erforderlich ist.
Da es zum einen ausreicht, dass eine der in Art. 6 Abs. 1 der DS-GVO aufgestellten Voraussetzungen erfüllt ist, damit eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann und zum anderen, wie in Rn. 61 des vorliegenden Urteils festgestellt worden ist, ein Verstoß gegen die Art. 26 und 30 der DS-GVO keine unrechtmäßige Verarbeitung darstellt, ist die Einwilligung der betroffenen Person nicht Voraussetzung dafür, dass die Berücksichtigung personenbezogener Daten, die vom Bundesamt unter Verstoß gegen die in den letztgenannten Bestimmungen vorgesehenen Pflichten verarbeitet worden sein sollen, durch das vorlegende Gericht rechtmäßig ist.
Folglich ist auf die dritte Frage zu antworten, dass das Unionsrecht dahin auszulegen ist, dass dann, wenn ein für die Verarbeitung personenbezogener Daten Verantwortlicher gegen seine Pflichten aus den Art. 26 oder 30 der DS-GVO verstoßen hat, die Einwilligung der betroffenen Person keine Voraussetzung dafür darstellt, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig ist.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Fünfte Kammer) für Recht erkannt:
Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
der Verstoß eines Verantwortlichen gegen die Pflichten aus den Art. 26 und 30 dieser Verordnung über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten keine unrechtmäßige Verarbeitung darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht, weil dieser Verstoß als solcher nicht bedeutet, dass der Verantwortliche gegen den Grundsatz der „Rechenschaftspflicht“ im Sinne von Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 Unterabs. 1 dieser Verordnung verstößt.
Das Unionsrecht ist dahin auszulegen, dass dann, wenn ein für die Verarbeitung personenbezogener Daten Verantwortlicher gegen seine Pflichten aus den Art. 26 oder 30 der Verordnung 2016/679 verstoßen hat, die Einwilligung der betroffenen Person keine Voraussetzung dafür darstellt, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig ist.
Unterschriften
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Bayern
Persönlicher Ansprechpartner
E-Mail-Service
Bankdaten