EuGH-Entscheidung | Inhalt |
NEU EuGH (Große Kammer) Urt. v. 7.5.2024 – C-115/22 – NADA u. a. | Das von der Unabhängigen Schiedskommission Wien (Österreich) mit Entscheidung v. 21.12.2021 eingereichte Vorabentscheidungsersuchen ist unzulässig. Folgende Fragen wurden vorgelegt: 1. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um ein „Gesundheitsdatum“ iSv Art. 9 DS-GVO? 2. Steht die DS-GVO – insb. im Hinblick auf Art. 6 Abs. 3 UAbs. 2 DS-GVO – einer nationalen Regelung entgegen, welche die Veröffentlichung des Namens der von der Entscheidung der USK betroffenen Personen, der Dauer der Sperre und Gründe hierfür vorsieht, ohne dass auf Gesundheitsdaten der betroffenen Person rückgeschlossen werden kann? Spielt es dabei eine Rolle, dass eine Veröffentlichung dieser Informationen gegenüber der Allgemeinheit laut der nationalen Regelung nur dann unterbleiben kann, wenn es sich beim Betroffenen um einen Freizeitsportler, eine minderjährige Person oder eine Person handelt, die durch die Bekanntgabe von Informationen oder sonstigen Hinweisen wesentlich an der Aufdeckung von potenziellen Anti-Doping-Verstößen beigetragen hat? 3. Verlangt die DS-GVO – insb. im Hinblick auf die Grundsätze des Art. 5 Abs. 1 lit. a und c DS-GVO – vor der Veröffentlichung in jedem Fall eine Interessenabwägung der mit einer Veröffentlichung für den Betroffenen berührten Persönlichkeitsinteressen einerseits und dem Interesse der Allgemeinheit an der Information über den von einem Sportler begangenen Anti-Doping-Verstoß andererseits? 4. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um eine Verarbeitung persönlicher Daten über strafrechtliche Verurteilungen und Straftaten iSv Art. 10 DS-GVO? 5. Bei Bejahung der Frage 4: Handelt es sich bei der gem. § 8 ADBG eingerichteten USK um eine Behörde iSv Art. 10 DS-GVO? |
NEU EuGH (3. Kammer) Urt. v. 11.4.2024 – C-741/21 = MMR 2024, 552 mAnm Halim | 1. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen. 2. Art. 82 DS-GVO ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 DS-GVO nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm iSv Art. 29 DS-GVO unterstellten Person verursacht wurde. 3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 DS-GVO vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen. |
NEU EuGH (Große Kammer) Urt. v. 21.3.2024 – C-61/22 = ZD 2024, 443 mAnm Petri – Landeshauptstadt Wiesbaden | Nach alledem vermag der zweite Grund, der auf einen Verstoß gegen Art. 35 Abs. 10 DS-GVO gestützt wird, nicht zur Ungültigkeit der VO (EU) 2019/1157 zu führen. |
NEU EuGH (5. Kammer) Urt. v. 14.3.2024 – C-46/23 = ZD 2024, 386 mAnm Petri – Újpesti Polgármesteri Hivatal | 1. Art. 58 Abs. 2 lit. d und g DS-GVO ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 DS-GVO gestellt hat. 2. Art. 58 Abs. 2 DS-GVO ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann. |
NEU EuGH (6. Kammer) Urt. v. 7.3.2024 – C-740/22 = ZD 2024, 447 – Endemol Shine Finland | 1. Art. 2 Abs. 1 und Art. 4 Ziff. 2 DS-GVO sind dahin auszulegen, dass eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten iSv Art. 4 Ziff. 2 DS-GVO darstellt, die in den sachlichen Anwendungsbereich dieser Verordnung fällt, wenn diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 2. Die Bestimmungen der DS-GVO, insb. ihr Art. 6 Abs. 1 lit. e DS-GVO und ihr Art. 10 DS-GVO, sind dahin auszulegen, dass sie dem entgegenstehen, dass Daten in einem Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person jedem mündlich mitgeteilt werden können, um einen Zugang der Öffentlichkeit zu amtlichen Dokumenten sicherzustellen, ohne dass die Person, die die Mitteilung begehrt, ein besonderes Interesse an diesen Daten geltend machen muss; dabei ist unerheblich, ob diese Person ein Unternehmen oder eine Privatperson ist. |
NEU EuGH (4. Kammer) Urt. v. 7.3.2024 – C-604/22 = ZD 2024, 328 mAnm Halim/Marosi = MMR 2024, 390 mAnm Keppeler/R. Schneider – IAB Europe | 1. Art. 4 Ziff. 1 DS-GVO ist dahin auszulegen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC-String (Transparency and Consent String), die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP-Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern iRd von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt. 2. Art. 4 Ziff. 7 und Art. 26 Abs. 1 DS-GVO sind dahin auszulegen, dass – zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann; – zum anderen sich die gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie zB Anbieter von Webseiten oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft. |
EuGH (3. Kammer) Urt. v. 25.1.2024 – C-687/21 = ZD 2024, 334 – MediaMarktSaturn | 1. Die Art. 5, 24, 32 und 82 DS-GVO sind zusammen betrachtet dahin auszulegen, dass iRe auf Art. 82 DS-GVO gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ iSd Art. 24 und 32 DS-GVO waren. 2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt. 3. Art. 82 DS-GVO ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird. 4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist. 5. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet. |
EuGH (Große Kammer) Urt. v. 16.1.2024 – C-33/22 = ZD 2024, 269 mAnm Schild – Österreichische Datenschutzbehörde | 1. Art. 16 Abs. 2 S. 1 AEUV und Art. 2 Abs. 2 lit. a DS-GVO sind dahin auszulegen, dass nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung dieser Verordnung entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgeübt wird. 2. Art. 2 Abs. 2 lit. a DS-GVO im Licht des Erwägungsgrund 16 DS-GVO ist dahin auszulegen, dass die Tätigkeiten eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, als solche nicht als die nationale Sicherheit betreffende Tätigkeiten im Sinne dieser Bestimmung anzusehen sind, die außerhalb des Anwendungsbereichs des Unionsrechts liegen. 3. Art. 77 Abs. 1 und Art. 55 Abs. 1 DS-GVO sind dahin auszulegen, dass diese Bestimmungen, wenn ein Mitgliedstaat im Einklang mit Art. 51 Abs. 1 DS-GVO bloß eine einzige Aufsichtsbehörde eingerichtet hat, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung dieser Verordnung durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen, über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden. |
EuGH (3. Kammer) Urt. v. 11.1.2024 – C-231/22 = ZD 2024, 274 – Belgischer Staat (Données traitées par un journal officiel) | 1. Art. 4 Ziff. 7 DS-GVO ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die nach den Rechtsvorschriften dieses Staates u. a. verpflichtet ist, Rechtsakte und amtliche Dokumente unverändert zu veröffentlichen, die von Dritten in eigener Verantwortung unter Einhaltung der geltenden Vorschriften erstellt wurden und anschließend bei einer Justizbehörde, die sie der Einrichtung oder Stelle zum Zweck der Veröffentlichung übermittelt, hinterlegt wurden, trotz fehlender Rechtspersönlichkeit als für die Verarbeitung der in diesen Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten „Verantwortlicher“ eingestuft werden kann, wenn die Zwecke und Mittel der durch das Amtsblatt vorgenommenen Verarbeitung personenbezogener Daten durch das betreffende nationale Recht vorgegeben sind. 2. Art. 5 Abs. 2 iVm Art. 4 Ziff. 7 und Art. 26 Abs. 1 DS-GVO ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die als „Verantwortlicher“ iSv Art. 4 Ziff. 7 DS-GVO eingestuft wird, in Bezug auf die von ihr nach nationalem Recht vorzunehmenden Verarbeitungen personenbezogener Daten für die Einhaltung der in Art. 5 Abs. 1 DS-GVO genannten Grundsätze allein verantwortlich ist, es sei denn, aus dem nationalen Recht ergibt sich in Bezug auf diese Verarbeitungen eine gemeinsame Verantwortlichkeit mit anderen Stellen. |