Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
02. April 2024

Löschung von Daten – auf wessen Veranlassung?

Die DSGVO ist nur anwendbar, wenn die Daten, die Gegenstand der mündlichen Auskunft sind, in einem „Dateisystem gespeichert sind“ oder „in einem Dateisystem gespeichert werden sollen“.
Bild: iStock.com / bymuratdeniz
4,50 (2)
drucken
Inhalte in diesem Beitrag
Der EuGH setzt einige klare Maßstäbe
Wer kann die Löschung von Daten erzwingen, wenn sie rechtswidrig unterbleibt? Nur der Betroffene selbst oder auch die Aufsichtsbehörde? Der EuGH stellt einiges klar, das für alle Unternehmen und Behörden wichtig ist. Bei Verstößen drohen erhebliche Geldbußen.

➧  Der Ausgangsfall betrifft eine ungarische Behörde

Direkt nach dem Beginn der Corona-Pandemie beschloss eine ungarische Lokalbehörde im Februar 2020, Einwohnern ihres Zuständigkeitsbereichs unter bestimmten Voraussetzungen eine finanzielle Unterstützung zu gewähren. Die Behörde nahm wohl an, dass alle Anspruchsberechtigten die Unterstützung in Anspruch nehmen würden. Nur so lässt sich erklären, wie sie vorging:

  • Sie wandte sich an die ungarische Staatskasse und an eine weitere Regierungsbehörde, um personenbezogene Daten von Einwohnern aus ihrem Bezirk zu erhalten. Dazu gehörten unter anderem die „grundlegenden Identifizierungsdaten“ (also wohl Name, Vorname und weitere Angaben zur Person) und die Sozialversicherungsnummer.
  • Diese Daten fasste sie in einer Datenbank zusammen. Dabei erstellte sie für jeden Datensatz eine individuelle Kennung und einen Strichcode.
  • Sobald eine Person einen Antrag stellte, prüfte die Lokalbehörde mithilfe der Daten in der Datenbank, ob diese Person einen Anspruch auf Unterstützung hatte.

➧  Datenschutz war wohl nur ein Randthema

Der Datenschutz scheint bei den Überlegungen der Behörde insgesamt keine allzu große Rolle gespielt zu haben. Dies zeigt sich etwa daran, dass sie die betroffenen Personen entgegen Art. 14 Datenschutz-Grundverordnung (DSGVO) nicht über die Erhebung der Daten bei der ungarischen Staatskasse und der Regierungsbehörde informierte.

➧  Die Datenschutzaufsicht schaltet sich ein

Manche Anspruchsberechtigten stellten einen Antrag auf Unterstützung, andere taten dies nicht. Dies rief schließlich Anfang September 2020 die ungarische Datenschutzaufsicht auf den Plan. Anlass dafür war ein Hinweis, den sie erhielt. Die Datenschutzaufsicht beanstandete einiges. Unter anderem rügte sie die fehlende Unterrichtung der betroffenen Personen. Im Ergebnis verhängte die Datenschutzaufsicht wegen mehrerer Datenschutzverstöße eine Geldbuße gegen die Lokalbehörde, aber auch gegen die Staatskasse.

➧  Die Datenschutzaufsicht ordnet die Löschung an

Mit der Geldbuße hätte die Lokalbehörde offensichtlich noch irgendwie leben können. Völlig gegen den Strich ging ihr jedoch eine zusätzliche Anordnung der Datenschutzaufsicht. Die Datenschutzaufsicht wies die Lokalbehörde an, die Daten aller Personen zu löschen, die keine finanzielle Unterstützung beantragt hatten. Ihre Begründung: Die Speicherung dieser Daten ist nicht erforderlich.

➧  Die Datenschutzaufsicht beruft sich auf ihre Befugnisse

Als Rechtsgrundlage für ihre Anordnung berief sich die Datenschutzaufsicht auf Art. 58 Abs. 2 Buchstabe d DSGVO. Diese Vorschrift lautet wie folgt: „Jede Aufsichtsbehörde verfügt über sämtliche … Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen … anzuweisen, Verarbeitungsvorgänge … in Einklang mit dieser Verordnung zu bringen.“ Konkret hieß das: Die Aufsichtsbehörde wies die Lokalbehörde zur Löschung aller Daten an, die nach Auffassung der Aufsichtsbehörde nicht (oder auch nicht mehr) hätten gespeichert werden dürfen.

➧  Die Lokalbehörde legt sich quer

Dieser Anweisung wollte die Lokalbehörde nicht folgen. Sie wehrte sich gegen die Anordnung der Datenschutzaufsicht vor Gericht. Ihre Argumentationskette lautete dabei so: Keine der betroffenen Personen habe eine Löschung ihrer Daten verlangt. Das Recht auf Löschung sei gemäß Art. 17 Abs. 1 DSGVO jedoch ein Recht der jeweils betroffenen Person. Es liege an ihr, ob sie dieses Recht geltend mache oder nicht. Solange eine betroffene Person keine Löschung fordere, dürfe die Datenschutzaufsicht eine solche Löschung auch nicht anordnen.

WebTrainer KI-Anwendungen sicher einsetzen

E-Learning KI-Anwendungen sicher einsetzen

Sensibilisieren Sie die Beschäftigten in Unternehmen und Behörden mit diesem E-Learning dafür, was KI kann – und was nicht. Wo liegen ganz konkret die Chancen im Arbeitsalltag, wo die Gefahren?

Minimieren Sie auf diese Weise Fallstricke im KI-Arbeitsumfeld.

 

➜ Jetzt zu KI schulen

➧  Die ungarischen Gerichte sind sich uneins

Das ungarische Oberste Gericht hatte in einem anderen Fall die Argumentationskette der Lokalbehörde akzeptiert. Sie verwehrte der Datenschutzaufsicht das Recht, eine Löschung von Daten anzuordnen, obwohl die betroffene Person die Löschung gar nicht verlangt hatte. Die Entscheidung des Obersten Gerichts hatte allerdings beim ungarischen Verfassungsgericht keinen Bestand. Das ungarische Verfassungsgericht sah die Rechtslage so: Auch wenn die betroffene Person selbst keine Löschung gefordert hat, kann die Datenschutzaufsicht eine Löschung anordnen.

➧  Das jetzt zuständige Gericht schaltet den EuGH ein

Das Gericht, das über die Klage der Lokalbehörde im aktuellen Fall zu entscheiden hat, war sich unsicher. Sollte es die Meinung des Verfassungsgerichts seines Landes akzeptieren? Oder würde der Europäische Gerichtshof (EuGH) die Angelegenheit anders sehen? Immerhin läuft die Meinung des Verfassungsgerichts darauf hinaus, dass die Datenschutzaufsicht die Löschung von Daten sogar gegen den ausdrücklichen Willen einer betroffenen Person anordnen könnte. Das Gericht entschied sich dafür, den EuGH zu fragen.

➧  Der EuGH sieht sich Art. 17 DSGVO näher an

Art. 17 Abs. 1 DSGVO beginnt mit folgendem Satz: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft …“. Daraus zieht der EuGH folgende Schlussfolgerungen:

  • Das Wort „und“ zeigt, dass zwei Dingen auseinander gehalten werden müssen, nämlich zum einen das Recht der betroffenen Person, die Löschung zu verlangen und zum anderen die Verpflichtung des Verantwortlichen zu einer solchen Löschung.
  • Dies zeigt nach Auffassung des EuGH, dass die Vorschrift zwei völlig unterschiedliche Fälle regelt. Der erste Fall ist die Löschung von Daten auf Antrag der betroffenen Person. Der andere Fall betrifft die Löschung aufgrund einer Verpflichtung, die dem Verantwortlichen „einfach so obliegt, also auch ohne Antrag einer betroffenen Person. Beides steht nebeneinander.
  • Nur diese Auslegung stellt sicher, dass Verstöße gegen die DSGVO auf jeden Fall abgestellt werden müssen.
  • Im Ergebnis muss ein Verantwortlicher unrechtmäßig gespeicherte Daten somit auf jeden Fall löschen, ob nun ein Antrag der betroffenen Person auf Löschung vorliegt oder nicht.

➧  Dann geht es um die Befugnisse der Aufsichtsbehörde

Aus der Sicht des EuGH ist folgende Unterscheidung der DSGVO sehr aufschlussreich:

  • Eine betroffene Person kann beim Verantwortlichen einen Antrag auf Löschung seiner Daten stellen, wenn die Verarbeitung dieser Daten gegen die DSGVO verstößt. Sollte der Verantwortliche diesem Antrag nicht entsprechen, kann ihn die Aufsichtsbehörde anweisen, gemäß diesem Antrag zu verfahren. So regelt es Art. 58 Abs. 2 Buchstabe c DSGVO.
  • Manchmal stellt eine betroffene Person keinen Antrag auf Löschung beim Verantwortlichen, obwohl die Verarbeitung rechtswidrig ist. In diesem Fall kann die Aufsichtsbehörde eine andere Befugnis nutzen, nämlich die des Art. 58 Absatz 2 Buchstabe d DSGVO. Danach kann die Aufsichtsbehörde den Verantwortlichen anweisen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen. Sollten Daten unrechtmäßig gespeichert sein, kann die Aufsichtsbehörde den Verantwortlichen auf dieser Rechtsgrundlage anweisen, sie zu löschen.

Die DSGVO gibt der Aufsichtsbehörde also zwei Befugnisse, die auf dasselbe Ergebnis hinauslaufen, nämlich auf die Anordnung der Löschung von rechtswidrig gespeicherten Daten. In einem Fall macht die DSGVO die Befugnis davon abhängig, dass die betroffene Person einen entsprechenden Antrag beim Verantwortlichen gestellt hat. Im anderen Fall sieht sie eine solche Voraussetzung nicht vor.

➧  Im Ergebnis passen die Regelungen der DSGVO zusammen

Damit spiegeln die Befugnisse der Aufsichtsbehörde genau das wider, was schon in Art. 17 DSGVO angelegt ist: Zwar kann eine betroffene Person die Löschung von rechtswidrig gespeicherten Daten ausdrücklich verlangen. Der Verantwortliche muss rechtswidrig gespeicherte Daten jedoch auch dann löschen, wenn die betroffene Person das (noch?) gar nicht gefordert hat.

➧  Das Ergebnis lag eigentlich nahe

Wie so oft folgt der EuGH auch in diesem Fall einer Meinung, die der Europäische Datenschutzausschuss (EDSA) geäußert hat. Bereits am 14. Dezember 2021 hat der EDSA eine öffentliche Stellungnahme dazu abgegeben, unter welchen Voraussetzungen eine Aufsichtsbehörde für den Datenschutz die Löschung von Daten anordnen kann.

Darin begründet der EDSA ausführlich, warum eine solche Anordnung auch möglich sein muss, wenn die betroffene Person keinen Antrag auf Löschung gestellt hat. Dabei führte er bereits fast alle Argumente an, auf die der EuGH jetzt zurückgegriffen hat. Siehe hierzu EDSA, Opinion 39/2021, Randnummern 19-24; der Text ist abrufbar unter https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-392021-whether-article-582g-gdpr-could_en. Er steht nur auf Englisch und Ungarisch zur Verfügung.

➧  Das Ergebnis ist wichtig für die Praxis

Auch in Deutschland sind immer wieder Stimmen zu hören, wonach die Löschung von Daten angeblich einen Antrag der betroffenen Person voraussetzt. Dieser Auffassung hat der EuGH eine klare Absage erteilt. Dies bedeutet: Ein Verantwortlicher muss von sich aus rechtswidrig gespeicherte Daten auch dann löschen, wenn die betroffene Person das nicht beantragt hat.

Irgendwo erscheint das auch logisch. Denn ein Verantwortlicher muss stets nachweisen können, dass er die DSGVO einhält (Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO). Dazu würde es nicht passen, wenn er Daten weiterhin speichern kann, obwohl er genau weiß, dass die Speicherung rechtswidrig ist.

➧  Bei Verstößen drohen Geldbußen

Weil dazu für ihn kein Anlass bestand, spricht der EuGH die Frage von Geldbußen nicht an. Umso wichtiger erscheint der Hinweis auf Art. 83 Abs. 5 Buchstabe b DSGVO: Ein Verantwortlicher, der gegen das Recht auf Löschung eines Betroffenen verstößt, riskiert eine Geldbuße von bis zu 20 Millionen €. Es geht also im Ernstfall um einiges.

➧  Das Urteil des EuGH ist leicht zu finden

Dieser Newsletter beruft auf dem Urteil des EuGH vom 14. März 2024mit dem Aktenzeichen C-46/23.es ist bei Eingabe des Aktenzeichens im Internet leicht zu finden. Wer wenig Zeit hat, kann sich auf die Lektüre der Rn. 25–46 des Urteils beschränken.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
EuGH Urteil
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
20. November 2024
DP+
Ziel der KI-Verordnung ist es, Risiken der Künstlichen Intelligenz mit einem sektorübergreifenden, risikobasierten und menschzentrierten Ansatz zu reduzieren
Bild: iStock.com/style-photography

KI-VO: Das müssen Datenschutzbeauftragte wissen

Ratgeber
EuGH KI
11. November 2024
DP+
Der Europäische Gerichtshof (EuGH) hat zwei wichtige Entscheidungen getroffen. Ein Fall beschreibt das Versagen von technischen, der andere das Versagen von organisatorischen Maßnahmen.
Bild: iStock.com/Flashvector

EuGH: Risikomanagement ja, Risikofreiheit nein

Urteil
EuGH Urteil
08. November 2024
Kontaktdaten eines Datenschutzbeauftragten - hier symbolisiert durch ein @-Zeichen, einen Briefumschlag und ein Telefonhörer
Bild: peterschreiber.media/iStock/Getty Images Plus

„Kontaktdaten“ eines DSB

Urteil
Urteil
07. November 2024
DP+
Daten aus Visitenkarten für die Direktwerbung? Die Rechtsgrundsätze, um die es in diesem Urteil geht, gelten im Kern auch in Deutschland.
Bild: iStock.com/shapecharge

Daten aus Visitenkarten für die Direktwerbung

Urteil
Urteil
05. November 2024
DP+
Die DSGVO definiert den Begriff des Schadens weit und macht den Anspruch auf Schadensersatz von keiner bestimmten Schwelle abhängig. Sie beschränkt den Anspruch nicht auf Schäden von einer gewissen Erheblichkeit.
Bild: iStock.com/bymuratdeniz

Massenklagen auf Schadensersatz nach DSGVO

Urteil
EuGH Urteil
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.