NEU EuGH (Große Kammer) Urt. v. 4.7.2023 – C-252/21 = ZD 2023, 664 mAnm Moos/Rothkegel (ZD 11/2023) = MMR 2023, 669 mAnm Golland – Meta Platforms u. a. | 1. Die Art. 51 ff. DS-GVO sowie Art. 4 Abs. 3 EUV sind dahin auszulegen, dass eine mitgliedstaatliche Wettbewerbsbehörde im Rahmen der Prüfung, ob ein Missbrauch einer beherrschenden Stellung durch ein Unternehmen iSv Art. 102 AEUV vorliegt, vorbehaltlich der Erfüllung ihrer Pflicht zur loyalen Zusammenarbeit mit den Aufsichtsbehörden feststellen kann, dass die Allgemeinen Nutzungsbedingungen dieses Unternehmens, soweit sie sich auf die Verarbeitung personenbezogener Daten beziehen, und die Durchführung dieser Nutzungsbedingungen nicht mit der DS-GVO vereinbar sind, wenn diese Feststellung erforderlich ist, um das Vorliegen eines solchen Missbrauchs zu belegen. Angesichts dieser Pflicht zur loyalen Zusammenarbeit darf die nationale Wettbewerbsbehörde von einer Entscheidung der zuständigen nationalen Aufsichtsbehörde oder der zuständigen federführenden Aufsichtsbehörde in Bezug auf diese Allgemeinen Nutzungsbedingungen oder ähnliche allgemeine Bedingungen nicht abweichen. Wenn sie Zweifel hinsichtlich der Tragweite einer solchen Entscheidung hat, wenn die fraglichen Bedingungen oder ähnliche Bedingungen gleichzeitig Gegenstand einer Prüfung durch diese Behörden sind oder wenn sie bei Nichtvorliegen einer Untersuchung oder Entscheidung dieser Behörden der Auffassung ist, dass die fraglichen Bedingungen nicht mit der DS-GVO vereinbar sind, muss die Wettbewerbsbehörde diese Aufsichtsbehörden konsultieren und um deren Mitarbeit bitten, um ihre Zweifel auszuräumen oder zu klären, ob sie eine Entscheidung der Aufsichtsbehörden abwarten muss, bevor sie mit ihrer eigenen Beurteilung beginnt. Wird von den Aufsichtsbehörden innerhalb einer angemessenen Frist kein Einwand erhoben oder keine Antwort erteilt, so kann die nationale Wettbewerbsbehörde ihre eigene Untersuchung fortsetzen. 2. Art. 9 Abs. 1 DS-GVO ist dahin auszulegen, dass in dem Fall, dass ein Nutzer eines sozialen Online-Netzwerks Websites oder Apps mit Bezug zu einer oder mehreren der in dieser Bestimmung genannten Kategorien aufruft und dort gegebenenfalls Daten eingibt, indem er sich registriert oder Online-Bestellungen aufgibt, die Verarbeitung personenbezogener Daten durch den Betreiber dieses sozialen Online-Netzwerks, die darin besteht, dass dieser Betreiber die aus dem Aufruf dieser Websites und Apps stammenden Daten sowie die vom Nutzer eingegebenen Daten über integrierte Schnittstellen, Cookies oder ähnliche Speichertechnologien erhebt, die Gesamtheit dieser Daten mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und diese Daten verwendet, als eine „Verarbeitung besonderer Kategorien personenbezogener Daten“ im Sinne dieser Bestimmung anzusehen ist, die vorbehaltlich der in Art. 9 Abs. 2 DS-GVO vorgesehenen Ausnahmen grundsätzlich untersagt ist, wenn diese Datenverarbeitung die Offenlegung von Informationen ermöglicht, die in eine dieser Kategorien fallen, unabhängig davon, ob diese Informationen einen Nutzer dieses Netzwerks oder eine andere natürliche Person betreffen. 3. Art. 9 Abs. 2 lit. e DS-GVO ist dahin auszulegen, dass ein Nutzer eines sozialen Online-Netzwerks, wenn er Websites oder Apps mit Bezug zu einer oder mehreren der in Art. 9 Abs. 1 DS-GVO genannten Kategorien aufruft, die diesen Aufruf betreffenden Daten, die der Betreiber dieses sozialen Online-Netzwerks über Cookies oder ähnliche Speichertechnologien erhebt, nicht im Sinne der erstgenannten Bestimmung offensichtlich öffentlich macht. Gibt ein solcher Nutzer Daten auf solchen Websites oder in solchen Apps ein oder betätigt er darin eingebundene Schaltflächen – wie etwa „Gefällt mir“ oder „Teilen“ oder Schaltflächen, die es dem Nutzer ermöglichen, sich auf diesen Websites oder in diesen Apps unter Verwendung der Anmeldedaten, die mit seinem Konto als Nutzer des sozialen Netzwerks, seiner Telefonnummer oder seiner E-Mail-Adresse verknüpft sind, zu identifizieren –, so macht er die eingegebenen oder sich aus der Betätigung dieser Schaltflächen ergebenden Daten nur dann iSv Art. 9 Abs. 2 lit. e DS-GVO offensichtlich öffentlich, wenn er zuvor, gegebenenfalls durch in voller Kenntnis der Sachlage vorgenommene individuelle Einstellungen, explizit seine Entscheidung zum Ausdruck gebracht hat, die ihn betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen. 4. Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO ist dahin auszulegen, dass die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nur dann als im Sinne dieser Vorschrift für die Erfüllung eines Vertrags, dessen Vertragsparteien die betroffenen Personen sind, erforderlich angesehen werden kann, wenn diese Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für diese Nutzer bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden könnte. 5. Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO ist dahin auszulegen, dass die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich im Sinne dieser Vorschrift angesehen werden kann, wenn der fragliche Betreiber den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses absolut notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten dieser Nutzer gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen. 6. Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO ist dahin auszulegen, dass die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nach dieser Vorschrift gerechtfertigt ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche gemäß einer Vorschrift des Unionsrechts oder des Rechts des betreffenden Mitgliedstaats unterliegt, tatsächlich erforderlich ist, diese Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgt und in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel steht und diese Verarbeitung in den Grenzen des absolut Notwendigen erfolgt. 7. Art. 6 Abs. 1 UAbs. 1 lit. d und e DS-GVO ist dahin auszulegen, dass die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, grundsätzlich – vorbehaltlich einer Überprüfung durch das vorlegende Gericht – nicht als iSv lit. d erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder als iSv lit. e für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, angesehen werden kann. 8. Art. 6 Abs. 1 UAbs. 1 lit. a und Art. 9 Abs. 2 lit. a DS-GVO sind dahin auszulegen, dass der Umstand, dass der Betreiber eines sozialen Online-Netzwerks eine beherrschende Stellung auf dem Markt für soziale Online-Netzwerke einnimmt, für sich genommen nicht ausschließt, dass die Nutzer eines solchen Netzwerks iSv Art. 4 Nr. 11 DS-GVO wirksam in die Verarbeitung ihrer personenbezogenen Daten durch diesen Betreiber einwilligen können. Gleichwohl ist dieser Umstand ein wichtiger Aspekt für die Prüfung, ob die Einwilligung tatsächlich wirksam, insbesondere freiwillig, erteilt wurde, wofür der betreffende Betreiber die Beweislast trägt. |
NEU EuGH (1. Kammer) Urt. v. 22.6.2023 – C-579/21 = ZD 2023, 601 – Pankki S | 1. Art. 15 DS-GVO im Licht von Art. 99 Abs. 2 DS-GVO ist dahin auszulegen, dass er auf ein Auskunftsersuchen hinsichtlich der in Art. 15 DSGVO genannten Informationen anwendbar ist, wenn die Verarbeitungsvorgänge, auf die sich dieses Ersuchen bezieht, vor dem Anwendungsdatum der Verordnung ausgeführt wurden, das Ersuchen indessen nach diesem Datum vorgebracht wurde. 2. Art. 15 Abs. 1 DS-GVO ist dahin auszulegen, dass Informationen, die Abfragen personenbezogener Daten einer Person betreffen und die sich auf den Zeitpunkt und die Zwecke dieser Vorgänge beziehen, Informationen darstellen, die die genannte Person nach dieser Bestimmung von dem Verantwortlichen verlangen darf. Dagegen sieht diese Bestimmung kein solches Recht in Bezug auf Informationen über die Identität der Arbeitnehmer dieses Verantwortlichen vor, die diese Vorgänge unter seiner Aufsicht und im Einklang mit seinen Weisungen ausgeführt haben, außer wenn diese Informationen unerlässlich sind, um der betroffenen Person es zu ermöglichen, die ihr durch diese Verordnung verliehenen Rechte wirksam wahrzunehmen, und vorausgesetzt, dass die Rechte und Freiheiten dieser Arbeitnehmer berücksichtigt werden. 3. Art. 15 Abs. 1 DS-GVO ist dahin auszulegen, dass der Umstand, dass der Verantwortliche das Bankgeschäft im Rahmen einer reglementierten Tätigkeit ausübt und dass die Person, deren personenbezogene Daten in ihrer Eigenschaft als Kunde des Verantwortlichen verarbeitet wurden, bei diesem Verantwortlichen auch beschäftigt war, sich grundsätzlich nicht auf die Reichweite des Rechts auswirkt, das dieser Person nach dieser Bestimmung gewährt wird. |
NEU EuGH (3. Kammer) Urt. v. 4.5.2023 – C-300/21 = ZD 2023, 446 mAnm Mekat/Ligocki – UI/Österreichische Post AG | 1. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen DS-GVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen. 2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. 3. Art. 82 DS-GVO ist dahin auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der auf Grund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. |
NEU EuGH (1. Kammer) Urt. v. 4.5.2023 – C-487/21 = ZD 2023, 539 – F. F./Österreichische Datenschutzbehörde | 1. Art. 15 Abs. 3 S. 1 DS-GVO ist dahin auszulegen ist, dass das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgefolgt wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind. 2. Art. 15 Abs. 3 S. 3 DS-GVO ist dahin auszulegen ist, dass sich der im Sinne dieser Bestimmung verwendete Begriff „Informationen“ ausschließlich auf personenbezogene Daten bezieht, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss. |
NEU EuGH (5. Kammer) Urt. v. 4.5.2023 – C-60/22 = ZD 2023, 606 mAnm Stief – UZ/Bundesrepublik Deutschland | 1. Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DS-GVO sind dahin auszulegen, dass der Verstoß eines Verantwortlichen gegen die Pflichten aus den Art. 26 und 30 DS-GVO über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten keine unrechtmäßige Verarbeitung darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht, weil dieser Verstoß als solcher nicht bedeutet, dass der Verantwortliche gegen den Grundsatz der „Rechenschaftspflicht“ iSv Art. 5 Abs. 2 iVm Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 UAbs. 1 DS-GVO verstößt. 2. Das Unionsrecht ist dahin auszulegen, dass dann, wenn ein für die Verarbeitung personenbezogener Daten Verantwortlicher gegen seine Pflichten aus den Art. 26 oder 30 der Verordnung 2016/679 verstoßen hat, die Einwilligung der betroffenen Person keine Voraussetzung dafür darstellt, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig ist. |
EuGH (1. Kammer) Urt. v. 30.3.2023 – C-34/21 = ZD 2023, 391 mAnm Schild – Hauptpersonalrat der Lehrerinnen und Lehrer | 1. Art. 88 DS-GVO ist dahin auszulegen, dass eine nationale Rechtsvorschrift keine „spezifischere Vorschrift“ iSv Abs. 1 dieses Artikels sein kann, wenn sie nicht die Vorgaben von Abs. 2 dieses Artikels erfüllt. 2. Art. 88 Abs. 1 und 2 DS-GVO ist dahin auszulegen, dass nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die in ebendiesem Art. 88 Abs. 1 und 2 vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage iSv Art. 6 Abs. 3 DSGVO dar, die den Anforderungen DS-GVO genügt. |
EuGH (3. Kammer) Urt. v. 2.3.2023 – C-268/21 = ZD 2023, 396 – Norra Stockholm Bygg | 1. Art. 6 Abs. 3 und 4 DS-GVO ist dahin auszulegen, dass diese Vorschrift im Rahmen eines Zivilgerichtsverfahrens auf die Vorlegung eines Personalverzeichnisses als Beweismittel anwendbar ist, das personenbezogene Daten Dritter enthält, die hauptsächlich zum Zwecke der Steuerprüfung erhoben wurden. 2. Die Art. 5 und 6 DS-GVO sind dahin auszulegen, dass das nationale Gericht bei der Beurteilung der Frage, ob die Vorlegung eines Dokuments mit personenbezogenen Daten anzuordnen ist, verpflichtet ist, die Interessen der betroffenen Personen zu berücksichtigen und sie je nach den Umständen des Einzelfalls, der Art des betreffenden Verfahrens und unter gebührender Berücksichtigung der Anforderungen, die sich aus dem Grundsatz der Verhältnismäßigkeit ergeben, sowie insb. derjenigen Anforderungen abzuwägen, die sich aus dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO ergeben. |
EuGH (6. Kammer) Urt. v. 9.2.2023 – C-453/21 = ZD 2023, 334 mAnm Moos/Dirkers – X-FAB Dresden | 1. Art. 38 Abs. 3 S. 2 DS-GVO ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DS-GVO nicht beeinträchtigt. 2. Art. 38 Abs. 6 DS-GVO ist dahin auszulegen, dass ein „Interessenkonflikt“ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Ob dies der Fall ist, muss das nationale Gericht im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insb. der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, feststellen. |
EuGH (6. Kammer) Urt. v. 9.2.2023 – C-560/21 – KISA | Art. 38 Abs. 3 S. 2 DS-GVO ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt. |
EuGH (5. Kammer) Urt. v. 26.1.2023 – C-205/21= ZD 2023, 266 – Ministerstvo na vatreshnite raboti und génétiques par la police | Art. 10 lit. a der RL (EU) 2016/680 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist im Licht von Art. 52 GRCh der Europäischen Union dahin auszulegen, dass die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach dem Recht eines Mitgliedstaats iSv Art. 10 lit. a dieser RL zulässig ist, wenn das Recht dieses Mitgliedstaats eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthält. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthält, iÜ auf die VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) und nicht auf die RL 2016/680 Bezug nimmt, ist für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergibt, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den dieser Verordnung fällt. |
EuGH (1. Kammer) Urt. v. 12.1.2023 – C-154/21 = ZD 2023, 271 – Österreichische Post | Art. 15 Abs. 1 lit. c DS-GVO ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv iSv Art. 12 Abs. 5 DS-GVO sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen. |
EuGH (1. Kammer) Urt. v. 12.1.2023 – C-132/21 = ZD 2023, 209 mAnm Schwamberger – Budapesti Elektromos Művek | Art. 77 Abs. 1, Art. 78 Abs. 1 und Art. 79 Abs. 1 DS-GVO iVm Art. 47 GRCh der Europäischen Union sind dahin auszulegen, dass sie es erlauben, die in Art. 77 Abs. 1 und Art. 78 Abs. 1 einerseits und in Art. 79 Abs. 1 andererseits vorgesehenen Rechtsbehelfe nebeneinander und unabhängig voneinander auszuüben. Es obliegt den Mitgliedstaaten, im Einklang mit dem Grundsatz der Verfahrensautonomie die Modalitäten des Zusammenspiels dieser Rechtsbehelfe zu regeln, um die Wirksamkeit des Schutzes der durch diese Verordnung garantierten Rechte, die gleichmäßige und einheitliche Anwendung ihrer Bestimmungen sowie das in Art. 47 GRCh niedergelegte Recht auf einen wirksamen Rechtsbehelf bei einem Gericht zu gewährleisten. |
EuGH (Große Kammer) Urt. v. 8.12.2022 – C-460/20 = MMR 2023, 105 – Google | 1. Art. 17 Abs. 3 lit. a DS-GVO ist dahin auszulegen, dass iRd Abwägung, die zwischen den Rechten aus den Art. 7 und 8 GRCh der Europäischen Union und den Rechten aus Art. 11 GRCh vorzunehmen ist, um einen an den Betreiber einer Suchmaschine gerichteten Auslistungsantrag zu prüfen, der darauf abzielt, dass in der Übersicht der Ergebnisse einer Suche der Link zu einem Inhalt, der Behauptungen enthält, die von der die Auslistung begehrenden Person für unrichtig gehalten werden, gelöscht wird, diese Auslistung nicht davon abhängt, dass die Frage der Richtigkeit des aufgelisteten Inhalts im Rahmen eines von dieser Person gegen den Inhalteanbieter eingelegten Rechtsbehelfs einer zumindest vorläufigen Klärung zugeführt worden ist. 2. Art. 12 lit. b und Art. 14 Abs. 1 lit. a der RL 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und Art. 17 Abs. 3 lit. a DS-GVO sind dahin auszulegen, dass iRd Abwägung, die zwischen den Rechten aus den Art. 7 und 8 GRCh und den Rechten aus Art. 11 GRCh vorzunehmen ist, um einen an den Betreiber einer Suchmaschine gerichteten Auslistungsantrag zu prüfen, der darauf abzielt, dass in den Ergebnissen einer anhand des Namens einer natürlichen Person durchgeführten Bildersuche Fotos, die in Gestalt von Vorschaubildern angezeigt werden und diese Person darstellen, gelöscht werden, dem Informationswert dieser Fotos – unabhängig vom Kontext ihrer Veröffentlichung auf der Internetseite, der sie entnommen sind, aber unter Berücksichtigung jedes Textelements, das mit der Anzeige dieser Fotos in den Suchergebnissen unmittelbar einhergeht und Aufschluss über den Informationswert dieser Fotos geben kann – Rechnung zu tragen ist. |
EuGH (5. Kammer) Urt. v. 8.12.2022 – C-180/21 = ZD 2023, 147 – Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données – Enquête pénale) | 2. Art. 3 Nr. 8 und Art. 9 Abs. 1 und 2 der RL 2016/680 sowie Art. 2 Abs. 1 und 2 DS-GVO sind dahin auszulegen, dass diese Verordnung für Verarbeitungen personenbezogener Daten durch die Staatsanwaltschaft eines Mitgliedstaats zum Zweck der Wahrnehmung ihrer Verteidigungsrechte im Rahmen eines Verfahrens über eine Staatshaftungsklage gilt, wenn die Staatsanwaltschaft zum einen das zuständige Gericht darüber informiert, dass Akten über eine an diesem Verfahren beteiligte Person existieren, die zu den in Art. 1 Abs. 1 der RL 2016/680 genannten Zwecken angelegt wurden, und zum anderen diese Akten dem Gericht übermittelt. 3. Art. 6 Abs. 1 DS-GVO ist dahin auszulegen, dass in dem Fall, dass eine Staatshaftungsklage auf Verstöße gestützt wird, die die Staatsanwaltschaft im Rahmen der Wahrnehmung ihrer Aufgaben im Bereich des Strafrechts begangen haben soll, solche Verarbeitungen personenbezogener Daten als rechtmäßig angesehen werden können, wenn sie iSv Art. 6 Abs. 1 UAbs. 1 lit. e dieser VO für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe des Schutzes der rechtlichen und finanziellen Interessen des Staates, mit der die Staatsanwaltschaft im Rahmen dieses Verfahrens nach nationalem Recht betraut ist, erforderlich sind, sofern diese Verarbeitungen personenbezogener Daten alle einschlägigen Anforderungen der DS-GVO erfüllen. |
EuGH (Große Kammer) Urt. v. 22.11.2022 – C-37/20 u. C-601/20 = ZD 2023, 150 – Sovim SA/Luxembourg Business Registers | Der EuGH hat die nachfolgenden Fragen nicht beantwortet, da die Fragen unter der Prämisse der Gültigkeit von Art. 30 Abs. 5 der geänderten RL 2015/849 standen: 1. Ist Art. 5 Abs. 1 lit. a der VO (EU) 2016/679 (3) des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO), der zu einer Verarbeitung der Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verpflichtet, dahin auszulegen, dass er weder dem entgegensteht, a) dass die personenbezogenen Daten eines wirtschaftlichen Eigentümers, die in einem gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL 2018/843 geänderten Fassung eingerichteten Register der wirtschaftlichen Eigentümer eingetragen sind, jedermann ohne Kontrolle und ohne Rechtfertigung öffentlich zugänglich sind und ohne dass die betroffene Person (wirtschaftlicher Eigentümer) Kenntnis davon haben kann, wer zu diesen personenbezogenen Daten, die sie betreffen, Zugang hatte; noch dem entgegensteht, b) dass der Verantwortliche eines solchen Registers der wirtschaftlichen Eigentümer einem unbeschränkten und nicht bestimmbaren Personenkreis Zugang zu den personenbezogenen Daten der wirtschaftlichen Eigentümer gibt? 2. Ist Art. 5 Abs. 1 lit. b DS-GVO, der zur Zweckbindung verpflichtet, dahin auszulegen, dass er nicht daran hindert, dass die personenbezogenen Daten eines wirtschaftlichen Eigentümers, die in einem gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL 2018/843 geänderten Fassung eingerichteten Register der wirtschaftlichen Eigentümer eingetragen sind, öffentlich zugänglich sind, ohne dass der für die Verarbeitung dieser Daten Verantwortliche gewährleisten kann, dass diese Daten ausschließlich zu dem Zweck, zu dem sie erhoben wurden, nämlich im Wesentlichen zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung, einem Zweck, für dessen Einhaltung die Öffentlichkeit nicht zuständig ist, verwendet werden? 3. Ist Art. 5 Abs. 1 lit. c DS-GVO, der zur Datenminimierung verpflichtet, dahin auszulegen, dass er nicht daran hindert, dass die Öffentlichkeit über ein gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL 2018/843 geänderten Fassung eingerichtetes Register der wirtschaftlichen Eigentümer nicht nur zum Namen, dem Geburtsmonat und -jahr, der Staatsangehörigkeit und dem Wohnsitzstaat eines wirtschaftlichen Eigentümers sowie zu Art und Umfang seines wirtschaftlichen Interesses, sondern auch zu seinem Geburtstag und -ort Zugang hat? 4. Steht Art. 5 Abs. 1 lit. f DS-GVO, der dazu verpflichtet, Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, wodurch die Integrität und die Vertraulichkeit dieser Daten gewährleistet wird, dem unbeschränkten und unbedingten Zugang ohne Vertraulichkeitsverpflichtung zu den personenbezogenen Daten von wirtschaftlichen Eigentümern, die in dem gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL [2018/843] geänderten Fassung eingerichteten Register der wirtschaftlichen Eigentümer verfügbar sind, nicht entgegen? 5. Ist Art. 25 Abs. 2 DS-GVO, der den Datenschutz durch Voreinstellung gewährleistet und nach dem insb. personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden dürfen, dahin auszulegen, dass er weder dem entgegensteht, a) dass ein gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL 2018/843 geänderten Fassung eingerichtetes Register der wirtschaftlichen Eigentümer keine Anmeldung auf der Webseite dieses Registers seitens der öffentlichen Nutzer, die die personenbezogenen Daten eines wirtschaftlichen Eigentümers abfragen, verlangt; noch dem entgegensteht, b) dass keinerlei Informationen über die Abfrage der in einem solchen Register eingetragenen personenbezogenen Daten eines wirtschaftlichen Eigentümers an diesen übermittelt werden; und auch nicht dem entgegensteht, c) dass keinerlei Einschränkung des Umfangs und der Zugänglichkeit der betreffenden personenbezogenen Daten im Hinblick auf den Zweck ihrer Verarbeitung zur Anwendung kommt? 6. Sind die Art. 44 bis 50 DS-GVO, die die Übermittlung personenbezogener Daten an ein Drittland an strenge Voraussetzungen knüpfen, dahin auszulegen, dass sie nicht daran hindern, dass solche Daten eines wirtschaftlichen Eigentümers, die in einem gem. Art. 30 RL 2015/849 in der durch Art. 1 [Nr.] 15 RL [2018/843] geänderten Fassung eingerichteten Register der wirtschaftlichen Eigentümer eingetragen sind, in allen Fällen allen Mitgliedern der Öffentlichkeit ohne Nachweis eines berechtigten Interesses und ohne Beschränkungen hinsichtlich der Lokalisierung dieser Öffentlichkeit zugänglich sind? |
EuGH (4. Kammer) Urt. v. 27.10.2022 – C-129/21 = ZD 2023, 28 – Proximus (Öffentliche elektronische Teilnehmerverzeichnisse) | Der für die Verarbeitung personenbezogener Daten Verantwortliche muss geeignete technische und organisatorische Maßnahmen treffen, um die anderen Verantwortlichen, die ihm diese Daten übermittelt haben bzw. denen er die Daten weitergeleitet hat, über den Widerruf der Einwilligung der betroffenen Person zu informieren. Stützen sich verschiedene Verantwortliche auf ein und dieselbe Einwilligung der betroffenen Person, genügt es, wenn sich diese Person an irgendeinen der Verantwortlichen wendet, um ihre Einwilligung zu widerrufen. Art. 12 Abs. 2 der RL 2002/58/EG des Europäischen Parlaments und des Rates v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation in der durch die RL 2009/136/EG des Europäischen Parlaments und des Rates v. 25.11.2009 geänderten Fassung iVm Art. 2 Abs. 2 lit. f dieser RL und Art. 95 der DS-GVO ist dahin auszulegen, dass die „Einwilligung“ – iSv Art. 4 Nr. 11 der VO 2016/679 – des Teilnehmers eines Telefondienstanbieters erforderlich ist, damit die personenbezogenen Daten dieses Teilnehmers in öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten aufgeführt werden können, die von anderen Anbietern veröffentlicht werden, wobei diese Einwilligung entweder ggü. dem betreffenden Telefondienstanbieter oder gegenüber einem dieser anderen Anbieter erteilt werden kann. Art. 17 DS-GVO ist dahin auszulegen, dass der Antrag eines Teilnehmers, seine personenbezogenen Daten aus öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten zu entfernen, eine Ausübung des „Rechts auf Löschung“ im Sinne dieses Artikels darstellt. Art. 5 Abs. 2 und Art. 24 DS-GVO sind dahin auszulegen, dass eine nationale Aufsichtsbehörde verlangen kann, dass ein Anbieter von öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten als Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreift, um weitere Verantwortliche, nämlich den Telefondienstanbieter, der ihm die personenbezogenen Daten seines Teilnehmers übermittelt hat, sowie die anderen Anbieter von öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten, denen er selbst solche Daten geliefert hat, über den Widerruf der Einwilligung dieses Teilnehmers zu informieren. Art. 17 Abs. 2 DS-GVO ist dahin auszulegen, dass er es einer nationalen Aufsichtsbehörde nicht verwehrt, einen Anbieter von öffentlich zugänglichen Teilnehmerverzeichnissen und Telefonauskunftsdiensten, von dem der Teilnehmer eines Telefondienstanbieters verlangt hat, die ihn betreffenden personenbezogenen Daten nicht mehr zu veröffentlichen, zu verpflichten, „angemessene Maßnahmen“ im Sinne dieser Bestimmung zu ergreifen, um Suchmaschinenanbieter über diesen Antrag auf Löschung von Daten zu informieren. |
EuGH (8. Kammer) Urt. v. 20.10.2022 – C-306/21 = ZD 2023, 610 – Koalitsia „Demokratichna Bulgaria – Obedinenie“ | Art. 2 Abs. 2 lit. a DS-GVO ist dahin auszulegen, dass die Verarbeitung personenbezogener Daten im Zusammenhang mit der Durchführung von Wahlen in einem Mitgliedstaat nicht vom Anwendungsbereich dieser Verordnung ausgenommen ist. Art. 6 Abs. 1 lit. e und Art. 58 DS-GVO sind dahin auszulegen, dass diese Bestimmungen dem Erlass eines allgemeingültigen Verwaltungsakts durch die zuständigen Behörden eines Mitgliedstaats, der die Beschränkung oder gegebenenfalls das Verbot der Videoaufzeichnung der Stimmenauszählung in Wahllokalen bei Wahlen in diesem Mitgliedstaat vorsieht, nicht entgegenstehen. |
EuGH (1. Kammer) Urt. v. 20.10.2022 – C-77/21 = ZD 2023, 31 – Digi | Art. 5 Abs. 1 lit. b DS-GVO ist dahin auszulegen, dass der darin vorgesehene Grundsatz der „Zweckbindung“ es dem Verantwortlichen nicht verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten zu erfassen und zu speichern, die zuvor erhoben und in einer anderen Datenbank gespeichert wurden, wenn diese Weiterverarbeitung mit den konkreten Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden, was anhand der in Art. 6 Abs. 4 DS-GVO genannten Kriterien und sämtlicher Umstände des Einzelfalls zu beurteilen ist. Art. 5 Abs. 1 lit. e DS-GVO ist dahin auszulegen, dass der darin vorgesehene Grundsatz der „Speicherbegrenzung“ es dem Verantwortlichen verwehrt, in einer zu Testzwecken und zur Behebung von Fehlern eingerichteten Datenbank personenbezogene Daten, die zuvor für andere Zwecke erhoben worden waren, länger zu speichern als für die Durchführung dieser Tests und die Behebung dieser Fehler erforderlich ist. |
EuGH (Große Kammer) Urt. v. 1.8.2022 – C-184/20 = ZD 2022, 611 – Vyriausioji tarnybinės etikos komisija | Art. 7 lit. c DS-RL sowie Art. 6 Abs. 1 UAbs. 1 lit. c und Abs. 3 DS-GVO sind im Licht der Art. 7, 8 und 52 Abs. 1 GRCh dahin auszulegen, dass sie nationalen Rechtsvorschriften, nach denen die Erklärung über private Interessen, die jeder Leiter einer öffentliche Mittel erhaltenden Einrichtung abgeben muss, im Internet zu veröffentlichen ist, insb. insoweit entgegenstehen, als diese Veröffentlichung namensbezogene Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, oder Daten über jede in den letzten zwölf Kalendermonaten abgeschlossene Transaktion mit einem Wert von über 3.000 EUR betrifft. Art. 8 Abs. 1 DS-RL und Art. 9 Abs. 1 DS-GVO sind dahin auszulegen, dass die Veröffentlichung personenbezogener Daten, die geeignet sind, die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren, auf der Website der Behörde, die für die Entgegennahme und die inhaltliche Kontrolle von Erklärungen über private Interessen zuständig ist, eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen darstellt. |
EuGH (1. Kammer) Urt. v. 22.6.2022 – C-534/20 = ZD 2022, 552 – Leistritz | Art. 38 Abs. 3 S. 2 DS-GVO ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der einem bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigten Datenschutzbeauftragten nur aus wichtigem Grund gekündigt werden kann, auch wenn die Kündigung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele der DS-GVO nicht beeinträchtigt. |
EuGH (Große Kammer) Urt. v. 21.6.2022 – C-817/19 = ZD 2023, 553 mAnm Schild – Menschenrechtsliga | Art. 2 Abs. 2 lit. d und Art. 23 DS-GVO sind dahin auszulegen, dass diese Verordnung auf die Verarbeitung personenbezogener Daten anwendbar ist, die in einer nationalen Regelung vorgesehen ist, mit der sowohl die Bestimmungen der API-RL, der RL 2010/65 als auch der PNR-RL betreffen zum einen die von privaten Wirtschaftsteilnehmern durchgeführte Datenverarbeitung einerseits und die Datenverarbeitung durch Behörden, die in den alleinigen oder gleichen Anwendungsbereich der API-RL oder der RL 2010/65 fallen. Dagegen ist diese Verordnung nicht anwendbar auf die Verarbeitung von Daten, die in solchen Rechtsvorschriften vorgesehen sind, die ausschließlich in den Anwendungsbereich der PNR-RL fallen und von der PNR-RL oder von den zuständigen Behörden zu den in Art. 1 Abs. 2 dieser RL genannten Zwecken vorgenommen werden. |
EuGH (3. Kammer) Urt. v. 28.4.2022 – C-319/20 = ZD 2022, 384 mAnm Hense – Meta Platforms Ireland | Art. 80 Abs. 2 DS-GVO ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann. |
EuGH (1. Kammer) Urt. v. 24.3.2022 – C-245/20 = ZD 2022, 490 mAnm. Benamor – X, Z/Autoriteit Persoonsgegevens | Art. 55 Abs. 3 DS-GVO ist dahin auszulegen, dass ein Gericht, das Journalisten vorübergehend Unterlagen aus einem Gerichtsverfahren bereitstellt, die personenbezogene Daten enthalten, um sie in die Lage zu versetzen, besser über den Ablauf des Gerichtsverfahrens zu berichten, seine „justizielle Tätigkeit“ im Sinne dieser Bestimmung ausübt. |
EuGH (5. Kammer) Urt. v. 24.2.2022 – C-175/20 = ZD 2022, 271 – „SS“ SIA | Die Bestimmungen der DS-GVO sind dahin auszulegen, dass die Erhebung von Informationen, die große Mengen personenbezogener Daten enthalten, durch die Steuerverwaltung eines Mitgliedstaats bei einem Wirtschaftsteilnehmer den Anforderungen dieser Verordnung, insb. deren Art. 5 Abs. 1, genügen muss. Die Bestimmungen der VO 2016/679 sind dahin auszulegen, dass die Steuerverwaltung eines Mitgliedstaats von Art. 5 Abs. 1 DS-GVO nicht abweichen darf, wenn ihr ein solches Recht nicht durch eine iSv Art. 23 Abs. 1 DS-GVO eingeräumt worden ist. Die Bestimmungen der VO 2016/679 sind dahin auszulegen, dass sie es der Steuerverwaltung eines Mitgliedstaats nicht verwehren, einen Anbieter eines Internet-Inserate-Dienstes zu verpflichten, ihr Informationen über die Steuerpflichtigen, die in einer der Rubriken seiner Webseite Inserate aufgegeben haben, offenzulegen, soweit insb. diese Daten für die spezifischen Zwecke, für die sie erhoben werden, notwendig sind und der Zeitraum, auf den sich die Datenerhebung bezieht, nicht länger ist, als dies zur Erreichung des angestrebten Ziels von allgemeinem Interesse unbedingt notwendig ist. |
EuGH (Große Kammer) Urt. v. 22.6.2021 – C-439/19 = ZD 2021, 625 – Latvijas Republikas Saeima (Points de pénalité) | Das Recht der Union über den Datenschutz steht der lettischen Regelung entgegen, die die Behörde für Straßenverkehrssicherheit verpflichtet, die Daten über Strafpunkte, die gegen Fahrzeugführer wegen Verkehrsverstößen verhängt wurden, für die Öffentlichkeit zugänglich zu machen. Die Erforderlichkeit dieser Regelung zur Gewährleistung des verfolgten Ziels, der Verbesserung der Straßenverkehrssicherheit, ist nicht nachgewiesen. Die fraglichen Verkehrsverstöße fallen unter den Begriff „Straftaten“ iSd Art. 10 DS-GVO. Das Ziel der Verbesserung der Straßenverkehrssicherheit stellt ein von der Union anerkanntes Ziel im allgemeinen Interesse dar und die Mitgliedstaaten können die Straßenverkehrssicherheit als „Aufgabe …, die im öffentlichen Interesse liegt“, einstufen. |
EuGH (5. Kammer) Urt. v. 17.6.2021 – C-597/19 = MMR 2022, 30 – Mircom International Content Management & Consulting (MICM) Limited/Telenet BVBA | Die systematische Speicherung von IP-Adressen von Nutzern und die Übermittlung ihrer Namen und Anschriften an den Inhaber geistiger Rechte oder an einen Dritten, um die Erhebung einer Schadensersatzklage zu ermöglichen, ist unter bestimmten Voraussetzungen zulässig. |
EuGH (Große Kammer) Urt. v. 15.6.2021 – C-645/19 ZD 2021, 570 mAnm Blasek – Facebook Ireland u. a. | Unter bestimmten Voraussetzungen kann eine nationale Aufsichtsbehörde ihre Befugnis, vermeintliche Verstöße gegen die DS-GVO vor einem Gericht eines Mitgliedstaats geltend zu machen, ausüben, auch wenn sie in Bezug auf diese Verarbeitung nicht die federführende Behörde ist. |
EuGH (Große Kammer) Urt. v. 2.3.2021 – C-746/18 = ZD 2021, 517 – H K/Prokuratuur | Mobilfunküberwachung (Vorratsdatenspeicherung) zur Bekämpfung schwerer Kriminalität ist zulässig. |
EuGH (1. Kammer) Urt. v. 10.12.2020 – C-620/19 = ZD 2021, 319 – J & S Service | Eine Auslegung von Bestimmungen der DS-GVO (hier: Art. 23 Abs. 1 DS-GVO) kann hinsichtlich natürlicher Personen und hinsichtlich juristischer Personen, deren Recht auf Datenschutz durch die DS-GVO nicht definiert wurde, nicht in gleicher Weise erfolgen. |
EuGH (2. Kammer) Urt. v. 11.11.2020 – C-61/19= ZD 2021, 89 – Orange România SA/ANSPDCP | Mit einem Vertrag über TK-Dienste, der die Klausel enthält, dass der Kunde in die Sammlung und Aufbewahrung einer Kopie seines Ausweisdokuments eingewilligt hat, kann nicht nachgewiesen werden, dass dieser seine Einwilligung gültig erteilt hat, wenn das betreffende Kästchen von dem für die Verarbeitung Verantwortlichen vor Unterzeichnung des Vertrags angekreuzt wurde. |
EuGH (Große Kammer) Urt. v. 6.10.2020 – C-511/18, C-512/18, C-520/18 = ZD 2021, 520 – La Quadrature du Net ua | Anlassbezogene Vorratsdatenspeicherung nur bei erheblicher Gefahrenlage. |
EuGH (Große Kammer) Urt. v. 16.7.2020 – C-311/18 = ZD 2020, 511 mAnm Moos, Rothkegel = MMR 2020, 597 mAnm Hoeren – Schrems II | Übermittlung personenbezogener Daten von Facebook Ireland in die USA auf Grund des Privacy Shields ist unzulässig. Der Einsatz von Standardvertragsklauseln ist grundsätzlich zulässig. Erforderlich sind im Einzelfall jedoch zusätzliche Maßnahmen, um ein angemessenes Datenschutzniveau zu gewährleisten. |
EuGH (3. Kammer) Urt. v. 9.7.2020 – C-272/19 = ZD 2020, 577 mAnm Engelbrecht – VQ/Land Hessen | Art. 4 Nr. 7 DS-GVO ist dahin auszulegen, dass der Petitionsausschuss eines Gliedstaats eines Mitgliedstaats insoweit, als dieser Ausschuss allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, sodass die von einem solchen Ausschuss vorgenommene Verarbeitung personenbezogener Daten in den Anwendungsbereich dieser Verordnung, u. a. unter deren Art. 15, fällt. |
EuGH (3. Kammer) Urt. v. 11.12.2019 – C-708/18 = ZD 2020, 148 mAnm Lachenmann – Asociaţia de Proprietari bloc M5A-ScaraA | Videoüberwachung durch eine Wohneigentümergemeinschaft kann zum Schutz und zur Sicherheit von Personen sowie Eigentum zulässig sein. |
EuGH (Große Kammer) Urt. v. 1.10.2019 – C-673/17 = ZD 2019, 556 mAnm Hanloser = MMR 2019, 732 mAnm Moos, Rothkegel – Verbraucherzentrale Bundesverband eV/Planet49 | Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers. Ein voreingestelltes Ankreuzkästchen genügt daher nicht. |
EuGH (Große Kammer) Urt. v. 24.9.2019 – C-507/17 = ZD 2020, 31 mAnm Ukrow – Google LLC/CNIL | Der Betreiber einer Suchmaschine ist nicht verpflichtet, eine Auslistung in allen Versionen seiner Suchmaschine vorzunehmen. Er ist jedoch verpflichtet, sie in allen mitgliedstaatlichen Versionen vorzunehmen und Maßnahmen zu ergreifen, um die Internetnutzer davon abzuhalten, von einem Mitgliedstaat aus auf die entsprechenden Links in Nicht-EU-Versionen der Suchmaschine zuzugreifen. |
EuGH (2. Kammer) Urt. v. 29.7.2019 – C-40/17 = ZD 2019, 455 mAnm Hanloser = MMR 2019, 579 mAnm Moos/Rothkegel – Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, Facebook Ireland Ltd | Der Betreiber einer Webseite, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Webseite gemeinsam mit Facebook verantwortlich sein. Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich. |
EuGH (2. Kammer) Urt. v. 14.2.2019 – C-345/17 = ZD 2019, 262 – Buivids/Datu valsts inspekcija | Veröffentlichung von Videoaufnahmen auf YouTube unterfällt dem Datenschutzrecht. |
EuGH (3. Kammer) Urt. v. 16.1.2019 – C-496/17 – Deutsche Post AG/Hauptzollamt Köln | Abfrage der Steuer-ID durch die Zollverwaltung. |
EuGH (Große Kammer) Urt. v. 2.10.2018 – C-207/16 – Ministerio Fiscal | Straftaten, die nicht von besonderer Schwere sind, können den Zugang zu von den Betreibern elektronischer Kommunikationsdienste gespeicherten personenbezogenen Daten rechtfertigen, sofern dieser Zugang nicht zu einer schweren Beeinträchtigung des Privatlebens führt. |
EuGH (Große Kammer) Urt. v. 10.7.2018 – C-25/17 = ZD 2018, 469 mAnm Hoeren – Jehovan todistajat/Datenschutzkommission | Eine Religionsgemeinschaft wie die der Zeugen Jehovas ist gemeinsam mit ihren als Verkündiger tätigen Mitgliedern für die Verarbeitung der personenbezogenen Daten verantwortlich, die im Rahmen einer von Tür zu Tür durchgeführten Verkündigungstätigkeit erhoben werden. Die im Rahmen einer solchen Tätigkeit erfolgenden Verarbeitungen personenbezogener Daten müssen mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten im Einklang stehen. |
EuGH (Große Kammer) Urt. v. 5.6.2018 – C-210/16 = ZD 2018, 357 mAnm Marosi/Schulz = MMR 2018, 591 mAnm Moos/Rothkegel – ULD Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein | Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich. Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der RL 95/461 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen. |
EuGH (2. Kammer) Urt. v. 20.12.2017 – C-434/16 = ZD 2018, 113 – Nowak/Data Protection Commissioner | Die in einer berufsbezogenen Prüfung gegebenen schriftlichen Antworten und etwaige Anmerkungen des Prüfers zu diesen Antworten stellen personenbezogene Daten des Prüflings dar, hinsichtlich deren er grundsätzlich ein Auskunftsrecht hat. Es dient nämlich dem mit dem Unionsrecht verfolgten Ziel, den Schutz des Rechts auf Privatsphäre natürlicher Personen in Bezug auf die Verarbeitung von sie betreffenden Daten sicherzustellen, dem Prüfling ein solches Recht zu gewähren. |
EuGH (2. Kammer) Urt. v. 27.9.2017 – C-73/16 = ZD 2018, 420 – Puškár | Rechtsbehelfe iRd Verarbeitung personenbezogener Daten. |
EuGH (2. Kammer) Urt. v. 4.5.2017 – C-13/16 = ZD 2017, 324 – Rīgas satiksme | Art. 7 lit. f der RL 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass er nicht dazu verpflichtet, einem Dritten personenbezogene Daten zu übermitteln, damit er vor einem Zivilgericht Klage auf Ersatz eines durch die betreffende Person verursachten Schadens erheben kann. Jedoch steht er der Übermittlung solcher Daten auf der Grundlage des nationalen Rechts nicht entgegen. |
EuGH (2. Kammer) Urt. v. 9.3.2017 – C-398/15 = ZD 2017, 325 – Manni | Nach Ansicht des Gerichtshofs gibt es kein Recht auf Vergessenwerden für die im Gesellschaftsregister eingetragenen personenbezogenen Daten. Die Mitgliedstaaten können jedoch nach Ablauf einer hinreichend langen Frist nach der Auflösung der betreffenden Gesellschaft in Ausnahmefällen einen beschränkten Zugang Dritter zu diesen Daten vorsehen. |
EuGH (Große Kammer) Urt. v. 21.12.2016 – C-203/15, C-698/15 = ZD 2017, 124 mAnm Kipker/Stelter – Tele2 Sverige ua/Post- och telestyrelsen u. a. | Die Mitgliedstaaten dürfen den Betreibern elektronischer Kommunikationsdienste keine allgemeine Verpflichtung zur Vorratsdatenspeicherung auferlegen. Das Unionsrecht untersagt eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten. Es steht den Mitgliedstaaten aber frei, vorbeugend eine gezielte Vorratsspeicherung dieser Daten zum alleinigen Zweck der Bekämpfung schwerer Straftaten vorzusehen, sofern eine solche Speicherung hinsichtlich der Kategorien von zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Speicherung auf das absolut Notwendige beschränkt ist. Der Zugang der nationalen Behörden zu den auf Vorrat gespeicherten Daten muss von Voraussetzungen abhängig gemacht werden, zu denen insb. eine vorherige Kontrolle durch eine unabhängige Stelle und die Vorratsspeicherung der Daten im Gebiet der Union gehören. |
EuGH (2. Kammer) Urt. v. 19.10.2016 – C-582/14 = ZD 2017, 24 mAnm Klar/Kühling = MMR 2016, 842 mAnm Moos/Rothkegel – Breyer/Deutschland | Der Betreiber einer Webseite kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen. Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Webseite ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. |
EuGH (Große Kammer) Urt. v. 6.10.2015 – C-362/14 = ZD 2015, 549 mAnm Spies = MMR 2015, 753 mAnm Bergt – Schrems/Data Protection Commissioner | Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig. Während allein der Gerichtshof dafür zuständig ist, einen Rechtsakt der Union für ungültig zu erklären, können die mit einer Beschwerde befassten nationalen Datenschutzbehörden, auch wenn es eine Entscheidung der Kommission gibt, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, prüfen, ob bei der Übermittlung der Daten einer Person in dieses Land die Anforderungen des Unionsrechts an den Schutz dieser Daten eingehalten werden, und sie können, ebenso wie die betroffene Person, die nationalen Gerichte anrufen, damit diese ein Ersuchen um Vorabentscheidung zur Prüfung der Gültigkeit der genannten Entscheidung stellen. |
EuGH (3. Kammer) Urt. v. 1.10.2015 – C-230/14 = ZD 2015, 580 mAnm Karg – Weltimmo/Nemzeti Adatvédelmi és Információszabadság Hatóság | Das Datenschutzrecht eines Mitgliedstaats kann auf eine ausländische Gesellschaft angewendet werden, die in diesem Staat mittels einer festen Einrichtung eine tatsächliche und effektive Tätigkeit ausübt. |
EuGH (3. Kammer) Urt. v. 1.10.2015 – C-201/14 – Bara ua/Presedintele Casei Nationale de Asigurri de Sntate u. a. | Werden personenbezogene Daten zwecks Verarbeitung zwischen zwei Verwaltungsbehörden eines Mitgliedstaats übermittelt, müssen die betroffenen Personen zuvor davon unterrichtet werden. |
EuGH (4. Kammer) Urt. v. 11.12.2014 – C-212/13 = ZD 2015, 77 mAnm Lachenmann – Rynea/ÚYad pro ochranu osobních údajo | Die Richtlinie zum Schutz personenbezogener Daten ist auf die Videoaufzeichnung mit einer Überwachungskamera anwendbar, die von einer Person an ihrem Einfamilienhaus angebracht wurde und auf den öffentlichen Straßenraum gerichtet ist. Die Richtlinie ermöglicht jedoch die Würdigung des berechtigten Interesses dieser Person, das Eigentum, die Gesundheit und das Leben seiner selbst und seiner Familie zu schützen. |
EuGH (Große Kammer) Urt. v. 13.5.2014 – C-131/12 = ZD 2014, 350 mAnm Karg = MMR 2014, 455 mAnm Sörup – Recht auf Vergessenwerden | Der Betreiber einer Internetsuchmaschine ist bei personenbezogenen Daten, die auf von Dritten veröffentlichten Internetseiten erscheinen, für die von ihm vorgenommene Verarbeitung verantwortlich. Eine Person kann sich daher, wenn bei einer anhand ihres Namens durchgeführten Suche in der Ergebnisliste ein Link zu einer Internetseite mit Informationen über sie angezeigt wird, unmittelbar an den Suchmaschinenbetreiber wenden, um unter bestimmten Voraussetzungen die Entfernung des Links aus der Ergebnisliste zu erwirken, oder, wenn dieser ihrem Antrag nicht entspricht, an die zuständigen Stellen. |
EuGH (Große Kammer) Urt. v. 8.4.2014 – C-288/12 = ZD 2014, 301 – Kommission/Ungarn | Durch die vorzeitige Beendigung der Amtszeit des Datenschutzbeauftragten hat Ungarn gegen das Unionsrecht verstoßen. Die Unabhängigkeit der Datenschutzbehörden verlangt von den Mitgliedstaaten, dass sie die Dauer des diesen Behörden übertragenen Mandats beachten. |
EuGH (Große Kammer) Urt. v. 8.4.2014 – C-293/12, C-594/12 = MMR 2014, 412 – Digital Rights Ireland Ldt/Minister for Communications, Marine and Naturale Recourses u. a. | Der EuGH erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig. Sie beinhaltet einen Eingriff von großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten, der sich nicht auf das absolut Notwendige beschränkt. |
EuGH (3. Kammer) Urt. v. 7.11.2013 – C-473/12 = ZD 2014, 137 – IPI | Ausnahmen von der Informationspflicht bei Verarbeitung personenbezogener Daten. |
EuGH (Große Kammer) Urt. v. 16.10.2012 – C-614/10 = ZD 2012, 563 – Kommission/Österreich | Unabhängigkeit der österreichischen Datenschutzkommission. |
EuGH (3. Kammer) Urt. v. 19.4.2012 – C-461/10 = MMR 2012, 471 – Bonnier Audio u. a. | Vorratsdatenspeicherung und Filesharing. |
EuGH (Große Kammer) Urt. v. 9.11.2010 – C-92/09 u. C-93/09 = MMR 2011, 122 mAnm Hornung – Volker und Markus Schecke und Eifert | Die Verpflichtung zur Veröffentlichung der Namen natürlicher Personen, die Empfänger einer solchen Beihilfe sind, und der genauen Beträge, die sie erhalten haben, ist im Hinblick auf das Ziel der Transparenz eine unverhältnismäßige Maßnahme. |
EuGH (Große Kammer) Urt. v. 9.3.2010 – C-518/07 = MMR 2010, 352 mAnm Petri, Tinnefeld – Kommission/Deutschland | Unabhängigkeit der Datenschutzaufsichtsbehörden. |
EuGH (3. Kammer) Urt. v. 7.5.2009 – C-553/07 – College van burgemeester en wethouders van Rotterdam/M. E. E. Rijkeboer | Datenschutzrechtliche Aufbewahrungsfristen und Auskunftsrechte für EU-Bürger. |
EuGH (Große Kammer) Urt. v. 16.12.2008 – C-73/07 = MMR 2009, 175 – Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy u. a. | Für die Verarbeitung von bei den Steuerbehörden erhältlichen personenbezogenen Daten mit dem Ziel, einen Kurzmitteilungsdienst einzurichten, der es Nutzern von Mobiltelefonen ermöglicht, sich Steuerdaten anderer natürlicher Personen senden zu lassen, kann eine Ausnahme vom Datenschutz gelten, wenn die Datenverarbeitung allein zu journalistischen Zwecken erfolgt. |
EuGH (Große Kammer) Urt. v. 29.1.2008 – C-275/06 = MMR 2008, 227 – Productores de Música de España (Promusicae)/Telefónica de España SAU | Das Gemeinschaftsrecht gebietet es den Mitgliedstaaten nicht, im Hinblick auf den effektiven Schutz des Urheberrechts die Pflicht zur Mitteilung personenbezogener Daten iRe zivilrechtlichen Verfahrens vorzusehen. |
EuGH Urt. v. 6.11.2003 – C-101/01 = MMR 2004, 95 mAnm Roßnagel – Lindqvist | Die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise erkennbar zu machen, stellt nach dem Gemeinschaftsrecht eine automatisierte Verarbeitung personenbezogener Daten dar. Die Angabe, dass sich eine Person den Fuß verletzt hat und partiell krankgeschrieben ist, gehört zu den personenbezogenen Daten über die Gesundheit. Es liegt keine Übermittlung von Daten in ein Drittland vor, wenn eine sich in einem Mitgliedstaat aufhaltende Person in eine Internetseite, die bei einer in demselben oder einem anderen Mitgliedstaat ansässigen natürlichen oder juristischen Person gespeichert ist, die die Webseite unterhält, auf der diese Seite abgerufen werden kann, personenbezogene Daten aufnimmt und diese damit jeder Person, die eine Verbindung zum Internet herstellt, einschließlich Personen in Drittländern, zugänglich macht. |
EuGH Urt. v. 20.5.2003 – C-138/01, C-139/01, C-465/00 – Neukomm | Die Weitergabe von Einkommensdaten von Arbeitnehmern öffentlicher Einrichtungen zum Zweck der Veröffentlichung in einem Jahresbericht kann mit dem Gemeinschaftsrecht vereinbar sein. Voraussetzung dafür ist, dass die Weitergabe im Hinblick auf das Ziel der ordnungsgemäßen Verwaltung öffentlicher Mittel notwendig und angemessen ist. Es ist Sache der nationalen Gerichte, zu prüfen, ob hierfür die Offenlegung der Namen erforderlich ist oder ob eine anonymisierte Weitergabe der Daten ausreicht. |