Der EuGH und das EuG haben 2023 eine Reihe relevanter Entscheidungen für den Umgang mit dem Datenschutzrecht und die Interpretation der DS-GVO getroffen. Diese Urteile haben Auswirkung auf die deutsche Praxis im Datenschutzrecht und sind in Zukunft bei der Verarbeitung personenbezogener Daten zu berücksichtigen. Wir haben die wichtigsten Entscheidungen für Sie aufbereitet: 

Reichweite des Auskunftsrechts nach Art. 15 Abs. 1 DS-GVO – EuGH, Urt. v. 12.01.2023 – C‑154/21

Im Rahmen des Auskunftsrechts nach Art. 15 Abs. 1 lit. c DS-GVO sind dem Betroffenen die Namen der Empfänger, soweit der Verantwortliche personenbezogene Daten an diese als Dritte weitergegeben hat, mitzuteilen. Die Informationen müssen dabei möglichst genau sein. 

• Eine Auskunft, die allein Kategorien von Empfängern enthält, genügt nur dann den rechtlichen Anforderungen, wenn der Verantwortliche die Empfänger nicht identifizieren kann oder der Auskunftsantrag offensichtlich rechtsmissbräuchlich ist. 
• Die in Art. 15 Abs. 1 lit. c DS-GVO formulierte Alternative bedeutet kein Wahlrecht des Verantwortlichen. Vielmehr hat der Betroffene die Wahl, ob er Informationen über bestimmte Empfänger oder allein die Kategorie von Empfängern erfahren will.
• Unklar bleibt, wie mit Anträgen von Betroffenen umgegangen werden soll, die nicht eindeutig eine der beiden Alternativen auswählen und unter welchen Umständen ein Verantwortlicher sich darauf berufen kann, Empfänger nicht identifizieren zu können.

Europarechtswidrigkeit von § 26 BDSG – EuGH, Urt. v. 30.03.2023 – C‑34/21

Aufgrund des EuGH-Urteils aus März 2023 steht die Europarechtskonformität des § 26 Abs. 1 BDSG und damit dessen Wirksamkeit als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten in Frage. Arbeitgeber sollten die Verarbeitung von Beschäftigtendaten fortan auf eine Rechtsgrundlage der DS-GVO stützen.

• § 26 Abs. 1 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten, sofern dies der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses dient. 
• Das EuGH-Urteil bezog sich zwar nicht direkt auf § 26 BDSG, wohl aber auf die mit § 26 Abs. 1 BDSG wortgleichen landesrechtlichen Vorschriften § 23 Abs. 1 S. 1 HDSIG und § 86 HBG. Diese sind laut EuGH europarechtswidrig, da sie die Anforderungen nicht erfüllen, die die DS-GVO in Art. 88 Abs. 2 an die Schaffung einer nationalen Rechtsgrundlage zur Verarbeitung von Mitarbeiterdaten stellt. Darüber hinaus fehlt es den Vorschriften an einem eigenen Regelungsgehalt, der über die bereits bestehenden Rechtsgrundlagen in Art. 6 Abs. 1 lit. b und c DS-GVO hinausgeht. 
• Wenngleich § 26 Abs. 1 BDSG nicht unmittelbar Gegenstand des EuGH-Urteils gewesen ist, liegt es nahe, dass die Erkenntnisse des EuGH wegen der Wortgleichheit auch auf § 26 Abs. 1 BDSG zu übertragen sind. Im Ergebnis ist daher davon auszugehen, dass auch § 26 Abs. 1 BDSG europarechtswidrig und damit als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten unwirksam ist. 
• Die Auswirkungen der Entscheidung auf die Praxis halten sich bisher allerdings stark in Grenzen. Auch weiterhin können sich Arbeitgeber bei der Verarbeitung von Arbeitnehmerdaten auf die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses berufen, nur eben über die Art. 6 Abs. 1 lit. b und c DS-GVO, welche nach Auffassung des EuGH dem Regelungsgehalt des § 26 Abs. 1 BDSG vollumfänglich entsprechen. Der übrige § 26 BDSG ist hingegen von der Entscheidung unberührt geblieben.

Relativer Ansatz zum Personenbezug von Daten i. S. v. Art. 4 Nr. 1 DS-GVO - die mögliche Anonymität pseudonymisierter Daten – EuG, Urt. v. 26.04.2023 – T‑557/20

Das EuG hat mit Bezug auf die Breyer-Entscheidung des EuGH¹ die Position bestätigt, dass hinsichtlich der indirekten Identifizierbarkeit der betroffenen Person i. S. v Art. 4 Nr. 1 DS-GVO das Verständnis einer relativen Identifizierbarkeit zu Grunde zu legen ist.

• Pseudonymisierte Daten, bei denen der Personenbezug iSv Art. 4 Nr. 1 DS-GVO noch gegeben ist, können diesen bei der Weitergabe an Dritte verlieren. Denn der Identifizierungsschlüssel ist dem Dritten im Rahmen eines risikobasierten Ansatzes nur bei einem praktisch durchführbaren und rechtskonformen Zugriff auf diesen zuzurechnen. Dem Dritten muss folglich ein vertraglicher oder gesetzlicher Anspruch darauf zustehen.²
• Für die Frage, ob es sich um personenbezogene Daten handelt, kommt es somit nicht auf einen absoluten Standpunkt an. Vielmehr richtet sich der Personenbezug von Daten danach, ob diese aus der Perspektive des konkreten Empfängers der Daten noch als personenbezogen anzusehen sind. 
• Aufsichtsbehörden müssen das Vorliegen des Personenbezugs differenziert anhand des Einzelfalls prüfen. Zudem lässt sich der EuG-Entscheidung entnehmen, dass es den Aufsichtsbehörden obliegt, den Personenbezug zu begründen und wohl auch nachzuweisen.³
• Die Entscheidung wurde nun dem EuGH vorgelegt (Az. C-413/23 P). Ob sich dieser dem EuG anschließt, ist unklar. In seiner Entscheidung vom 09.11.2023 – C-319/22 zur Frage der relativen Personenbeziehbarkeit positionierte sich der EuGH nicht eindeutig (dazu unten mehr).

Keine Erheblichkeitsschwelle für den Schadensersatz nach Art. 82 Abs. 1 DS-GVO – EuGH, Urt. v. 04.05.2023 – C‑300/21 

Für den Schadensersatzanspruch des Betroffenen nach Art. 82 Abs. 1 DS-GVO gilt keine Erheblichkeitsschwelle. Allerdings genügen bloße „negative Folgen“ für einen – auch immateriellen – Schaden nicht. Ausführungen dazu, wo die Grenze zwischen einer nicht ersatzfähigen „negativen Folge“ und einem unerheblichen, aber ersatzfähigen Schaden verläuft, hat der EuGH in dieser Entscheidung nicht getroffen. 

• Der Schaden selbst stellt eine zusätzliche Voraussetzung neben dem erforderlichen Verstoß gegen eine Vorschrift der DS-GVO. Eine Gleichsetzung von Schaden und Verstoß verbietet sich daher aufgrund des Schutzzwecks der DS-GVO. 
• Eine Erheblichkeitsschwelle für den Schaden des Betroffenen ist nicht europarechtskonform. Dieses Verständnis von Art. 82 Abs. 1 DS-GVO hat der EuGH zuletzt auch in einer Entscheidung vom 14.12.2023 bestätigt.⁴
• Darüber hinaus betont der EuGH, dass der Schadensersatz iRv Art. 82 Abs. 1 DS-GVO keine Abschreckungs-, sondern primär eine Ausgleichsfunktion verfolgt. Die Höhe des Anspruchs ist anhand dieser Zwecksetzung zu bestimmen. 
• Trotz der klaren Absage an eine Bagatellgrenze waren die nationalen Gerichte nach dem Urteil bei der Gewährung des Schadensersatzes nach Art. 82 Abs. 1 DS-GVO weiterhin zurückhaltend und setzten erhöhte Anforderungen an das Vorliegen eines immateriellen Schadens.⁵ So entschied das OLG Stuttgart in seinem Urteil vom 22.11.2023 – 4 U 20/23, dass der Kontrollverlust allein noch keine spürbare Beeinträchtigung und somit auch keinen immateriellen Schaden darstelle. Dem folgte auch das OLG Hamm in seinem Urteil vom 21.12.2023 – 7 U 137/23. Aber auch hier scheint der EuGH einen anderen Weg vorgeben zu wollen: in seinem Urteil vom 14.12.2023 – C-340/21 hat der Gerichtshof die Befürchtung eines zukünftigen Missbrauchs von Daten bereits für das Vorliegen eines immateriellen Schadens genügen lassen (dazu unten mehr). Insoweit bleibt es abzuwarten, ob die restriktive Haltung der nationalen Gerichte weiter standhalten wird.

Anforderungen an eine im Rahmen des Auskunftsrechts erteilte Kopie nach Art. 15 Abs. 3 DS-GVO – EuGH, Urt. v. 04.05.2023 – C‑487/21

Die Mitteilung einer bloß allgemeinen Beschreibung der verarbeiteten Daten genügt nicht den Anforderungen des Art. 15 Abs. 3 DS-GVO, wonach der Verantwortliche dem Betroffenen eine Kopie der personenbezogenen Daten zur Verfügung zu stellen hat. 

• Eine Kopie ist in der Regel eine „originalgetreue Reproduktion oder Abschrift“ der verarbeiteten personenbezogenen Daten, nicht aber der Dokumente und Datenbanken, welche diese enthalten. Dennoch kann sich die Auskunft auch auf Auszüge von Dokumenten oder Datenbanken erstrecken, soweit diese für ein Verständnis der zur Verfügung gestellten Informationen über die Verarbeitung personenbezogener Daten des Betroffenen unerlässlich sind. 
• Der EuGH hat zudem das Verhältnis von Art. 15 Abs. 1 und Art. 15 Abs. 3 DS-GVO klargestellt. Danach präzisiert das Recht auf eine Kopie nach Art. 15 Abs. 3 lediglich die Art und Weise, in der dem Auskunftsrecht aus Art. 15 Abs. 1 DS-GVO zu entsprechen ist. Es stellt aber kein eigenständiges Recht neben dem Auskunftsrecht dar. Vielmehr ist die Kopie nach Art. 15 Abs. 3 DS-GVO ständiger Bestandteil einer jeden Auskunft nach Art. 15 DS-GVO.
• Die erste Kopie ist dabei nach Art. 12 Abs. 5 DS-GVO kostenlos zur Verfügung zu stellen, wie der EuGH in einem Urteil vom 26.10.2023 feststellte.⁶ Konkrete Folge dieser Entscheidung ist die Unionsrechtswidrigkeit von § 630 g Abs. 2 S. 2 BGB, nach welchem ein Patient dem Behandelnden die Kosten für elektronische Abschriften der Patientenakte zu erstatten hat. 

Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO bezüglich Zweck, Zeitpunkt der Datenverarbeitung sowie Identität der Dritten – EuGH, Urt. v. 22.06.2023 – C‑579/21

Mitarbeiter des Verantwortlichen sind – es sei denn, sie handeln im Exzess⁷ - keine Empfänger von personenbezogenen Daten iSv Art. 15 Abs. 1 lit. c DS-GVO. 

• Die Identität von Mitarbeitern ist im Rahmen eines Auskunftsersuchens, auch nach den Vorgaben des EuGH Urteils C-154/21⁸ zur Beauskunftung von Empfängern, nicht mitzuteilen. 
• Der EuGH bestätigt in dieser Entscheidung die im Urteil vom 04.05.2023 – C-487/21 gestellten Anforderungen an die Art der Kopie iSv Art. 15 DS-GVO.

Personenbezug der Fahrzeugidentifikationsnummer iSv Art. 4 Nr. 1 DS-GVO – EuGH, Urt. v. 09.11.2023 – C‑319/22

Eine Fahrzeugidentifikationsnummer (FIN) kann ein personenbezogenes Datum iSv Art. 4 Nr. 1 DS-GVO darstellen. 

• Die FIN ist für sich genommen nur ein vom Hersteller zur eindeutigen Identifizierung des Fahrzeuges zugewiesener alphanumerischer Code ohne Personenbezug. Allerdings ist die FIN in der Zulassungsbescheinigung für das Fahrzeug zusammen mit dem Namen und der Anschrift des Halters, der eine natürliche Person sein kann, enthalten. 
• Wenn der Fahrzeughalter eine natürliche Person ist, ist die FIN für denjenigen, der bei vernünftiger Betrachtung über Mittel zur Identifizierung des Fahrzeughalters verfügt, ein personenbezogenes Datum iSv Art. 4 Nr. 1 DS-GVO.
• Dabei kann die FIN aber auch für den Fahrzeughersteller selbst „mittelbar“⁹ ein personenbezogenes Datum darstellen, wenn dem Empfänger der FIN Mittel zur Identifizierung der natürlichen Person zur Verfügung stehen. 
• Der EuGH bleibt mit der Entscheidung seinem grundsätzlichen Ansatz der relativen Personenbeziehbarkeit zwar treu. Allerdings weicht er die relative Betrachtung dadurch auf, dass er eine mögliche mittelbare Personenbeziehbarkeit annimmt. Mutmaßlich war es das Motiv des EuGH, das Datenschutzrecht auch dann zur Anwendung zu bringen, wenn ein Unternehmen Sachdaten an eine andere Stelle weitergibt, dies aber in dem Wissen geschieht, dass diese Sachdaten bei der anderen Stelle (dank vorhandener Zusatzinformationen) zu personenbezogenen Daten werden. Damit trägt der Gerichtshof nicht gerade zur Rechtssicherheit bei. Datenverarbeitende müssten dann nicht nur ihre eigene Fähigkeit zur Herstellung eines Personenbezugs prüfen, sondern auch die etwaiger Datenempfänger. 

Präzisierung des immateriellen Schadens nach Art. 82 Abs. 1 DS-GVO – EuGH, Urt. v. 14.12.2023 – C‑340/21

Für den Fall, dass Daten infolge eines Angriffs von Cyberkriminellen veröffentlicht wurden, stellte der EuGH in dieser Entscheidung klar, dass der Verantwortliche die Beweislast für die Geeignetheit der nach Art. 32 DS-GVO getroffenen Schutzmaßnahmen trägt.

• Wenn der Verantwortliche sich auf eine Haftungsbefreiung nach Art. 82 Abs. 3 DS-GVO berufen möchte, trifft ihn auch die Nachweispflicht dafür, „in keinerlei Hinsicht“ für den Umstand, durch den der Schaden eingetreten ist, verantwortlich zu sein. 
• In Fortführung des Urteils vom 04.05.2023 – C-300/21 öffnet der EuGH den Begriff des immateriellen Schadens für die Befürchtung eines zukünftigen Missbrauchs von Daten. Dass der Missbrauch zum Zeitpunkt des Schadensersatzantrags bereits stattgefunden hat, ist keine notwendige Voraussetzung für den Anspruch.

Der Beitrag ist durch die wertvolle Mitarbeit von Amina Saitova und Julia Engelbert entstanden.

1. EuGH, Urt. v. 19.10.2016 – C-582/14.↩
2. EuG, Urt. v. 26.04.2023 – T-557/20, Rn. 105. ↩
3. EuG, Urt. v. 26.04.2023 – T-557/20, Rn. 104.↩
4. EuGH, Urt. v. 14.12.2023 – C-456/22.↩
5. OLG Karlsruhe, Urt. v. 07.11.2023 – 19 U 23/23. – Danach reicht ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten für das Vorliegen eines immateriellen Schadens iSv Art. 82 Abs. 1 DS-GVO nicht aus.↩
6. EuGH, Urt. v. 26.10.2023 – C-307/22.↩
7. EuGH, Urt. v. 22.06.2023 – C-579/21, Rn. 81.↩
8. EuGH, Urt. v. 12.01.2023 – C-154/21.↩
9. EuGH, Urt. v. 09.11.2023 – C-319/22, Rn. 49.↩