NEU EuGH (8. Kammer) Urt. v 19.12.2024 – C-65/23 - K GmbH | 1. Art. 88 Abs. 1 und 2 DS-GVO ist dahin auszulegen, dass eine nach Art. 88 Abs. 1 DS-GVO erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen bewirken muss, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art. 88 Abs. 2 DS-GVO ergeben, sondern auch diejenigen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DS-GVO ergeben. 2. Art. 88 Abs. 1 DS-GVO ist dahin auszulegen, dass im Fall einer in den Anwendungsbereich dieser Bestimmung fallenden Kollektivvereinbarung der Spielraum der Parteien dieser Kollektivvereinbarung bei der Bestimmung der „Erforderlichkeit“ einer Verarbeitung personenbezogener Daten iSv Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und Abs. 2 DS-GVO das nationale Gericht nicht daran hindert, insoweit eine umfassende gerichtliche Kontrolle auszuüben. |
NEU EuGH (3. Kammer) Urt. v. 28.11.2024 – C-169/23 – Másdi | 1. Art. 14 Abs. 5 lit. c DS-GVO ist dahin auszulegen, dass die in dieser Bestimmung vorgesehene Ausnahme von der Pflicht des Verantwortlichen zur Information der betroffenen Person unterschiedslos alle personenbezogenen Daten betrifft, die der Verantwortliche nicht unmittelbar bei der betroffenen Person erhoben hat, unabhängig davon, ob der Verantwortliche diese Daten von einer anderen Person als der betroffenen Person erlangt hat oder er selbst sie iRd Erfüllung seiner Aufgaben erzeugt hat. 2. Art. 14 Abs. 5 lit. c und Art. 77 Abs. 1 DS-GVO sind dahin auszulegen, dass die Aufsichtsbehörde iRe Beschwerdeverfahrens prüfen darf, ob das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, für die Zwecke der Anwendung der in Art. 14 Abs. 5 lit. c DS-GVO vorgesehenen Ausnahme geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht. Diese Prüfung betrifft jedoch nicht die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortliche nach Art. 32 der genannten Verordnung verpflichtet ist, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. |
NEU EuGH (8. Kammer) Urt. v. 4.10.2024 – C-507/23 - Pateretaju tiesibu aizsardzibas centrs = ZD 2025, 22 mAnm R. Schneider | 1. Art. 82 Abs. 1 DS-GVO ist iVm Art. 8 Abs. 1 GRCh dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen nicht ausreicht, um einen „Schaden“ iSv Art. 82 Abs. 1 DS-GVO darzustellen. 2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadenersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen. 3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadenersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist. |
NEU EuGH (9. Kammer) Urt. v. 4.10.2024 – C-621/22 - Koninklijke Nederlandse Lawn Tennisbond = ZD 2025, 95 | Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO ist dahin auszulegen, dass eine Verarbeitung personenbezogener Daten, die darin besteht, personenbezogene Daten der Mitglieder eines Sportverbands in Verfolgung des wirtschaftlichen Interesses des Verantwortlichen gegen Entgelt offenzulegen, nur dann als im Sinne dieser Vorschrift zur Wahrung der berechtigten Interessen dieses Verantwortlichen erforderlich angesehen werden kann, wenn die Verarbeitung zur Verwirklichung des in Rede stehenden berechtigten Interesses absolut notwendig ist und sofern in Anbetracht aller relevanten Umstände die Interessen oder Grundrechte und Grundfreiheiten dieser Mitglieder ggü. dem berechtigten Interesse nicht überwiegen. Diese Vorschrift verlangt zwar nicht, dass ein solches Interesse gesetzlich bestimmt wird, sie erfordert jedoch, dass das geltend gemachte berechtigte Interesse rechtmäßig ist. |
NEU EuGH (1. Kammer) Urt. v. 4.10.2024 – C-200/23 - Agentsia po vpisvaniyata = ZD 2025, 87 | 2. Die DS-GVO, insbesondere deren Art. 4 Nrn. 7 und 9, ist dahin auszulegen, dass die für die Führung des Handelsregisters eines Mitgliedstaats zuständige Stelle, die in diesem Register die personenbezogenen Daten veröffentlicht, die in einem Gesellschaftsvertrag enthalten sind, der der Offenlegungspflicht nach der Richtlinie 2017/1132 unterliegt und der ihr im Rahmen eines Antrags auf Eintragung der betreffenden Gesellschaft in das Register übermittelt wurde, sowohl „Empfänger“ dieser Daten als auch – insbesondere indem sie diese der Öffentlichkeit zugänglich macht – für die Verarbeitung dieser Daten „Verantwortlicher“ im Sinne dieser Bestimmung ist, selbst wenn dieser Vertrag personenbezogene Daten enthält, die nach dieser Richtlinie oder dem Recht dieses Mitgliedstaats nicht vorgeschrieben sind. 3. Die Richtlinie 2017/1132, insbesondere deren Art. 16, sowie Art. 17 DS-GVO sind dahin auszulegen, dass sie einer Regelung oder Praxis eines Mitgliedstaats entgegenstehen, die dazu führt, dass die mit der Führung des Handelsregisters dieses Mitgliedstaats betraute Stelle jeden Antrag auf Löschung von nach dieser Richtlinie oder dem Recht dieses Mitgliedstaats nicht erforderlichen personenbezogenen Daten ablehnt, die in einem in diesem Register offengelegten Gesellschaftsvertrag enthalten sind, wenn dieser Stelle entgegen den in dieser Regelung vorgesehenen Verfahrensmodalitäten keine Kopie des Vertrags vorgelegt wurde, in der diese Daten unkenntlich gemacht wurden. 4. Art. 4 Abs. 1 DS-GVO ist dahin auszulegen, dass die eigenhändige Unterschrift einer natürlichen Person unter den Begriff „personenbezogene Daten“ im Sinne dieser Bestimmung fällt. 5. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten aufgrund der durch Online-Bereitstellung im Handelsregister eines Mitgliedstaats bewirkten öffentlichen Zugänglichmachung dieser Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. 6. Art. 82 Abs. 3 DS-GVO ist dahin auszulegen, dass eine auf der Grundlage von Art. 58 Abs. 3 lit. b DS-GVO abgegebene Stellungnahme der Aufsichtsbehörde eines Mitgliedstaats nicht ausreicht, um die mit der Führung des Handelsregisters dieses Mitgliedstaats betraute Stelle, die „Verantwortlicher“ iSv Art. 4 Nr. 7 DS-GVO ist, von der Haftung nach Art. 82 Abs. 2 DS-GVO zu befreien. |
NEU EuGH (4. Kammer) Urt. v. 4.10.2024 – C-446/21 – Schrems = ZD 2025, 26 | 1. Art. 5 Abs. 1 lit. c DS-GVO ist dahin auszulegen, dass der darin festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Onlineplattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden. 2. Art. 9 Abs. 2 lit. e DS-GVO ist dahin auszulegen, dass der Umstand, dass sich eine Person bei einer öffentlich zugänglichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Onlineplattform für ein soziales Netzwerk nicht gestattet, andere Daten über die sexuelle Orientierung dieser Person zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites dritter Partner im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten. |
NEU EuGH (Große Kammer) Urt. v. 4.10.2024 – C-21/23 – Lindenapotheke = ZD 2024, 678 mAnm Golland | 1. Die Bestimmungen des Kapitels VIII DS-GVO sind dahin auszulegen, dass sie einer nationalen Regelung nicht entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DS-GVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen. 2. Art. 8 Abs. 1 RL 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie Art. 9 Abs. 1 DS-GVO sind dahin auszulegen, dass in einem Fall, in dem der Betreiber einer Apotheke über eine Onlineplattform apothekenpflichtige Arzneimittel vertreibt, Daten, die seine Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen (wie zB Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen), Gesundheitsdaten im Sinne dieser Bestimmungen darstellen, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf. |
NEU EuGH (1. Kammer) Urt. v. 26.9.2024 – C-768/21 - Land Hessen = ZD 2025, 29 mAnm Schnabel | Art. 57 Abs. 1 lit. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 DS-GVO sind dahin auszulegen, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach diesem Art. 58 Abs. 2 eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten. |
NEU EuGH (4. Kammer) Urt. v. 12.9.2024 – C-17/22 u. C-18/22 - HTB Neunte Immobilien Portfolio = ZD 2024, 684 mAnm Fleck | 1. Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO ist dahin auszulegen, dass eine Verarbeitung personenbezogener Daten, die darin besteht, auf Anfrage eines Gesellschafters eines als Publikumspersonengesellschaft organisierten Investmentfonds Informationen über alle Gesellschafter, die durch Treuhandgesellschaften an diesem Investmentfonds mittelbar beteiligt sind, unabhängig vom Umfang ihrer Beteiligung am Kapital dieses Fonds weiterzugeben, damit mit ihnen Kontakt aufgenommen werden kann, um mit ihnen über den Abkauf ihrer Gesellschaftsanteile zu verhandeln oder um sich mit ihnen zur gemeinsamen Willensbildung im Rahmen von Gesellschafterbeschlüssen abzustimmen, nur dann im Sinne dieser Bestimmung als für die Erfüllung des Vertrags, auf dessen Grundlage diese Gesellschafter solche Beteiligungen erworben haben, erforderlich angesehen werden kann, wenn diese Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für dieselben Gesellschafter bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden könnte. Dies ist nicht der Fall, wenn dieser Vertrag die Weitergabe dieser personenbezogenen Daten an andere Anteilseigner ausdrücklich ausschließt. 2. Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO ist dahin auszulegen, dass eine solche Verarbeitung nur dann als zur Wahrung der berechtigten Interessen eines Dritten erforderlich im Sinne dieser Bestimmung angesehen werden kann, wenn sie zur Verwirklichung eines solchen berechtigten Interesses absolut notwendig ist und unter Würdigung aller relevanten Umstände die Interessen oder Grundrechte und Grundfreiheiten der betreffenden Gesellschafter ggü. diesem berechtigten Interesse nicht überwiegen. 3. Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO ist dahin auszulegen, dass die betreffende Verarbeitung personenbezogener Daten nach dieser Bestimmung gerechtfertigt ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche gemäß dem Recht des betreffenden Mitgliedstaats unterliegt, wie es durch die Rechtsprechung dieses Mitgliedstaats präzisiert wurde, sofern diese Rechtsprechung klar und präzise ist, ihre Anwendung für die Rechtsunterworfenen vorhersehbar ist und sie ein im öffentlichen Interesse liegendes Ziel verfolgt, zu dem sie in einem angemessenen Verhältnis steht. |
NEU EuGH (9. Kammer) Urt. v. 11.7.2024 – C-461/22 – MK = ZD 2024, 689 | Art. 4 Nr. 7 DS-GVO ist dahin auszulegen, dass ein ehemaliger Betreuer, der seine Aufgaben in Bezug auf eine unter seine Betreuung gestellte Person berufsmäßig wahrgenommen hat, als im Sinne dieser Bestimmung „Verantwortlicher“ für die Verarbeitung der diese Person betreffenden personenbezogenen Daten, die sich in seinem Besitz befinden, einzustufen ist, sowie dahin, dass eine solche Verarbeitung alle Bestimmungen dieser Verordnung, insbesondere Art. 15 DS-GVO, beachten muss. |
NEU EuGH (4. Kammer) Urt. v. 11.7.2024 – C-757/22 - Meta Platforms Ireland Ltd = ZD 2024, 510 mAnm Hense | Art. 80 Abs. 2 DS-GVO ist dahin auszulegen, dass die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 S. 1 und Art. 13 Abs. 1 lit. c und e der Verordnung obliegt, der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. |
NEU EuGH (3. Kammer) Urt. v. 20.6.2024 – C-590/22 - PS (Adresse erronée) = ZD 2024, 519 mAnm Pauly/Kienle | 1. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein Verstoß gegen diese Verordnung für sich genommen nicht ausreicht, um einen Anspruch auf Schadenersatz nach dieser Bestimmung zu begründen. Die betroffene Person muss auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste. 2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadenersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist. 3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 DS-GVO vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadenersatz keine Abschreckungsfunktion beizumessen ist. 4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen dieser Verordnung zu präzisieren, nicht zu berücksichtigen sind. |
NEU EuGH (3. Kammer) Urt. v. 20.6.2024 – C-182/22 u. C-189/22 - Scalable Capital GmbH = ZD 2024, 515 mAnm Pauly/Kienle | 1. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen. 2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er nicht verlangt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen diese Verordnung für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt werden. 3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass iRd Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. 4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass wenn ein Schaden gegeben ist, ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen. 5. Art. 82 Abs. 1 DS-GVO ist im Licht der Erwägungsgründe 75 und 85 DS-GVO dahin auszulegen, dass der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat. Jedoch kann der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach der genannten Vorschrift nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder -betrug geführt hat. |
NEU EuGH (6. Kammer) Beschl. v. 27.5.2024 – C-312/23 - Addiko Bank d.d. | Art. 15 Abs. 3 DS-GVO ist dahin auszulegen, dass das Recht der betroffenen Person auf Erhalt einer Kopie der sie betreffenden personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, bedeutet, dass dieser Person eine originalgetreue und verständliche Reproduktion aller dieser Daten überlassen wird. Dieses Recht setzt den Erhalt einer vollständigen Kopie der Dokumente voraus, die u. a. diese Daten enthalten, wenn die Zurverfügungstellung einer solchen Kopie erforderlich ist, um der betroffenen Person die Überprüfung der Korrektheit und Vollständigkeit der Daten zu ermöglichen und deren Verständlichkeit zu gewährleisten. Art. 15 Abs. 1 und 3 DS-GVO ist dahin auszulegen, dass die Verpflichtung, der betroffenen Person, die dies beantragt, eine Kopie der sie betreffenden personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zur Verfügung zu stellen, den Verantwortlichen selbst dann trifft, wenn dieser Antrag einen anderen Zweck als einen iSd ersten Satzes des 63. Erwägungsgrundes verfolgt. |
EuGH (Große Kammer) Urt. v. 7.5.2024 – C-115/22 - NADA u.a. = ZD 2024, 625 | Das von der Unabhängigen Schiedskommission Wien (Österreich) mit Entscheidung v. 21.12.2021 eingereichte Vorabentscheidungsersuchen ist unzulässig. Folgende Fragen wurden vorgelegt: 1. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um ein „Gesundheitsdatum“ iSv Art. 9 DS-GVO? 2. Steht die DS-GVO – insb. im Hinblick auf Art. 6 Abs. 3 UAbs. 2 DS-GVO – einer nationalen Regelung entgegen, welche die Veröffentlichung des Namens der von der Entscheidung der USK betroffenen Personen, der Dauer der Sperre und Gründe hierfür vorsieht, ohne dass auf Gesundheitsdaten der betroffenen Person rückgeschlossen werden kann? Spielt es dabei eine Rolle, dass eine Veröffentlichung dieser Informationen ggü. der Allgemeinheit laut der nationalen Regelung nur dann unterbleiben kann, wenn es sich beim Betroffenen um einen Freizeitsportler, eine minderjährige Person oder eine Person handelt, die durch die Bekanntgabe von Informationen oder sonstigen Hinweisen wesentlich an der Aufdeckung von potenziellen Anti-Doping-Verstößen beigetragen hat? 3. Verlangt die DS-GVO – insb. im Hinblick auf die Grundsätze des Art. 5 Abs. 1 lit. a und c DS-GVO – vor der Veröffentlichung in jedem Fall eine Interessenabwägung der mit einer Veröffentlichung für den Betroffenen berührten Persönlichkeitsinteressen einerseits und dem Interesse der Allgemeinheit an der Information über den von einem Sportler begangenen Anti-Doping-Verstoß andererseits? 4. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um eine Verarbeitung persönlicher Daten über strafrechtliche Verurteilungen und Straftaten iSv Art. 10 DS-GVO? 5. Bei Bejahung der Frage 4: Handelt es sich bei der gem. § 8 ADBG eingerichteten USK um eine Behörde iSv Art. 10 DS-GVO? |
EuGH (3. Kammer) Urt. v. 11.4.2024 – C-741/21 = MMR 2024, 552 mAnm Halim | 1. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen. 2. Art. 82 DS-GVO ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 DS-GVO nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm iSv Art. 29 DS-GVO unterstellten Person verursacht wurde. 3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 DS-GVO vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen. |
EuGH (Große Kammer) Urt. v. 21.3.2024 – C-61/22 = ZD 2024, 443 mAnm Petri - Landeshauptstadt Wiesbaden | Nach alledem vermag der zweite Grund, der auf einen Verstoß gegen Art. 35 Abs. 10 DS-GVO gestützt wird, nicht zur Ungültigkeit der VO (EU) 2019/1157 zu führen. |
EuGH (5. Kammer) Urt. v. 14.3.2024 – C-46/23 = ZD 2024, 386 mAnm Petri - Újpesti Polgármesteri Hivatal | 1. Art. 58 Abs. 2 lit. d und g DS-GVO ist dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 DS-GVO gestellt hat. 2. Art. 58 Abs. 2 DS-GVO ist dahin auszulegen, dass sich die Befugnis der Aufsichtsbehörde eines Mitgliedstaats, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen kann. |
EuGH (6. Kammer) Urt. v. 7.3.2024 – C-740/22 = ZD 2024, 447 - Endemol Shine Finland | 1. Art. 2 Abs. 1 und Art. 4 Nr. 2 DS-GVO sind dahin auszulegen, dass eine mündliche Auskunft über möglicherweise verhängte oder bereits verbüßte Strafen in Bezug auf eine natürliche Person eine Verarbeitung personenbezogener Daten iSv Art. 4 Nr. 2 DS-GVO darstellt, die in den sachlichen Anwendungsbereich dieser Verordnung fällt, wenn diese Informationen in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 2. Die Bestimmungen der DS-GVO, insb. ihr Art. 6 Abs. 1 lit. e DS-GVO und ihr Art. 10 DS-GVO, sind dahin auszulegen, dass sie dem entgegenstehen, dass Daten in einem Personenregister eines Gerichts über strafrechtliche Verurteilungen einer natürlichen Person jedem mündlich mitgeteilt werden können, um einen Zugang der Öffentlichkeit zu amtlichen Dokumenten sicherzustellen, ohne dass die Person, die die Mitteilung begehrt, ein besonderes Interesse an diesen Daten geltend machen muss; dabei ist unerheblich, ob diese Person ein Unternehmen oder eine Privatperson ist. |
EuGH (4. Kammer) Urt. v. 7.3.2024 – C-604/22 = ZD 2024, 328 mAnm Halim/Marosi = MMR 2024, 390 mAnm Keppeler/R. Schneider – IAB Europe | 1. Art. 4 Nr. 1 DS-GVO ist dahin auszulegen, dass eine aus einer Kombination von Buchstaben und Zeichen bestehende Zeichenfolge wie der TC-String (Transparency and Consent String), die die Präferenzen eines Internetnutzers oder Nutzers einer Anwendung in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen enthält, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt, soweit sie, wenn sie mit vertretbarem Aufwand einer Kennung wie insbesondere der IP-Adresse des Geräts dieses Nutzers zugeordnet werden kann, es erlaubt, die betreffende Person zu identifizieren. Unter diesen Umständen schließt der Umstand, dass eine Branchenorganisation, die im Besitz dieser Zeichenfolge ist, ohne einen Beitrag von außen weder Zugang zu den Daten hat, die von ihren Mitgliedern iRd von ihr aufgestellten Regeln verarbeitet werden, noch diese Zeichenfolge mit anderen Elementen kombinieren kann, nicht aus, dass diese Zeichenfolge ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt. 2. Art. 4 Nr. 7 und Art. 26 Abs. 1 DS-GVO sind dahin auszulegen, dass – zum einen eine Branchenorganisation, soweit sie ihren Mitgliedern einen von ihr aufgestellten Regelungsrahmen in Bezug auf die Einwilligung im Bereich der Verarbeitung personenbezogener Daten anbietet, der nicht nur verbindliche technische Vorschriften enthält, sondern auch Vorschriften, die detailliert festlegen, wie personenbezogene Daten, die diese Einwilligung betreffen, gespeichert und verbreitet werden müssen, als „gemeinsam Verantwortlicher“ im Sinne dieser Bestimmungen einzustufen ist, wenn sie unter Berücksichtigung der besonderen Umstände des vorliegenden Falles aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt. Der Umstand, dass eine solche Branchenorganisation selbst keinen unmittelbaren Zugang zu den von ihren Mitgliedern innerhalb dieses Regelungsrahmens verarbeiteten personenbezogenen Daten hat, schließt nicht aus, dass sie ein gemeinsam Verantwortlicher im Sinne dieser Bestimmungen sein kann; – zum anderen sich die gemeinsame Verantwortlichkeit dieser Branchenorganisation nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie zB Anbieter von Webseiten oder Anwendungen, erstreckt, was die Nutzerpräferenzen für gezielte Online-Werbung betrifft. |
EuGH (3. Kammer) Urt. v. 25.1.2024 – C-687/21 = ZD 2024, 334 – MediaMarktSaturn | 1. Die Art. 5, 24, 32 und 82 DS-GVO sind zusammen betrachtet dahin auszulegen, dass iRe auf Art. 82 DS-GVO gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ iSd Art. 24 und 32 DS-GVO waren. 2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt. 3. Art. 82 DS-GVO ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird. 4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist. 5. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet. |
EuGH (Große Kammer) Urt. v. 16.1.2024 – C-33/22 = ZD 2024, 269 mAnm Schild - Österreichische Datenschutzbehörde | 1. Art. 16 Abs. 2 S. 1 AEUV und Art. 2 Abs. 2 lit. a DS-GVO sind dahin auszulegen, dass nicht angenommen werden kann, dass eine Tätigkeit allein deshalb außerhalb des Anwendungsbereichs des Unionsrechts liegt und damit der Anwendung dieser Verordnung entzogen ist, weil sie von einem vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgeübt wird. 2. Art. 2 Abs. 2 lit. a DS-GVO im Licht des Erwägungsgrund 16 DS-GVO ist dahin auszulegen, dass die Tätigkeiten eines vom Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses, die der Untersuchung der Tätigkeiten einer polizeilichen Staatsschutzbehörde aufgrund des Verdachts politischer Einflussnahme auf diese Behörde dienen, als solche nicht als die nationale Sicherheit betreffende Tätigkeiten im Sinne dieser Bestimmung anzusehen sind, die außerhalb des Anwendungsbereichs des Unionsrechts liegen. 3. Art. 77 Abs. 1 und Art. 55 Abs. 1 DS-GVO sind dahin auszulegen, dass diese Bestimmungen, wenn ein Mitgliedstaat im Einklang mit Art. 51 Abs. 1 DS-GVO bloß eine einzige Aufsichtsbehörde eingerichtet hat, sie aber nicht mit der Zuständigkeit für die Überwachung der Anwendung dieser Verordnung durch einen vom Parlament dieses Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschuss ausgestattet hat, dieser Behörde unmittelbar die Zuständigkeit übertragen, über Beschwerden betreffend von diesem Untersuchungsausschuss durchgeführte Verarbeitungen personenbezogener Daten zu befinden. |
EuGH (3. Kammer) Urt. v. 11.1.2024 – C-231/22 = ZD 2024, 274 - Belgischer Staat (Données traitées par un journal officiel) | 1. Art. 4 Nr. 7 DS-GVO ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die nach den Rechtsvorschriften dieses Staates u.a. verpflichtet ist, Rechtsakte und amtliche Dokumente unverändert zu veröffentlichen, die von Dritten in eigener Verantwortung unter Einhaltung der geltenden Vorschriften erstellt wurden und anschließend bei einer Justizbehörde, die sie der Einrichtung oder Stelle zum Zweck der Veröffentlichung übermittelt, hinterlegt wurden, trotz fehlender Rechtspersönlichkeit als für die Verarbeitung der in diesen Rechtsakten und Dokumenten enthaltenen personenbezogenen Daten „Verantwortlicher“ eingestuft werden kann, wenn die Zwecke und Mittel der durch das Amtsblatt vorgenommenen Verarbeitung personenbezogener Daten durch das betreffende nationale Recht vorgegeben sind. 2. Art. 5 Abs. 2 iVm Art. 4 Nr. 7 und Art. 26 Abs. 1 DS-GVO ist dahin auszulegen, dass die für das Amtsblatt eines Mitgliedstaats zuständige Einrichtung oder Stelle, die als „Verantwortlicher“ iSv Art. 4 Nr. 7 DS-GVO eingestuft wird, in Bezug auf die von ihr nach nationalem Recht vorzunehmenden Verarbeitungen personenbezogener Daten für die Einhaltung der in Art. 5 Abs. 1 DS-GVO genannten Grundsätze allein verantwortlich ist, es sei denn, aus dem nationalen Recht ergibt sich in Bezug auf diese Verarbeitungen eine gemeinsame Verantwortlichkeit mit anderen Stellen. |