Der Fall
Die Verwaltung des IV. Bezirks der ungarischen Hauptstadt Budapest (im Folgenden: Verwaltung Újpest) beschloss, Einwohnern, die einer von der Covid-19-Pandemie bedrohten Gruppe angehörten, eine finanzielle Unterstützung zu gewähren. Um die zur Feststellung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten zu erhalten, wandte sich die Verwaltung Újpest an die ungarische Staatskasse und an die Regierungsbehörde des IV. Bezirkes Budapest. Die erhaltenen Daten fasste die Verwaltung Újpest in einer dafür eingerichteten Datenbank zusammen und erstellte für jeden Datensatz eine individuelle Kennung und einen Strichcode. Im Rahmen einer aufgrund eines Hinweises eingeleiteten Untersuchung stellte die ungarische Datenschutzaufsichtsbehörde am 2. September 2020 fest, dass die Verwaltung Újpest bei ihrem Vorgehen gegen Grundsätze der Verarbeitung personenbezogener Daten, gegen ihre entsprechende Rechenschaftspflicht (Art. 5 DS-GVO) und gegen Informationspflichten (Art. 12 Abs. 1 und Art. 14 DS-GVO) verstoßen habe. Die ungarische Aufsichtsbehörde wies die Verwaltung Újpest im Folgenden gemäß Art. 58 Abs. 2 Buchst. d DS-GVO an, die personenbezogenen Daten derjenigen betroffenen Personen zu löschen, die nach den Informationen der Regierungsbehörde und der ungarischen Staatskasse zwar Anspruch auf die Unterstützung gehabt hätten, diese aber nicht beantragt hatten.
Die Verwaltung Újpest ging gegen die Anordnung der Aufsichtsbehörde gerichtlich vor. Sie war der Ansicht, dass das in Art. 17 DS-GVO normierte Recht zur Löschung personenbezogener Daten ausschließlich als Recht der betroffenen Person konzipiert sei. Das Hauptstädtische Stuhlgericht legte daraufhin dem EuGH die folgenden zwei Fragen zur Vorabentscheidung vor:
- Ist Art. 58 Abs. 2, insbesondere Buchst. c, d und g DS-GVO dahin auszulegen, dass die Aufsichtsbehörde eines Mitgliedstaats in Ausübung ihrer Abhilfebefugnisse auch ohne ausdrücklichen Antrag der betroffenen Person gemäß Art. 17 Abs. 1 DS-GVO einen Verantwortlichen oder einen Auftragsverarbeiter anweisen kann, unrechtmäßig verarbeitete personenbezogene Daten zu löschen?
- Wenn die Antwort auf die erste Frage lautet, dass die Aufsichtsbehörde einen Verantwortlichen oder einen Auftragsverarbeiter anweisen kann, unrechtmäßig verarbeitete personenbezogene Daten auch ohne Antrag der betroffenen Person zu löschen, ist dies dann unabhängig davon, ob die personenbezogenen Daten bei der betroffenen Person erhoben wurden oder nicht?
Die Entscheidung
Der EuGH entschied, dass Art. 58 Abs. 2 Buchst. d und g DS-GVO dahin auszulegen ist, dass die Aufsichtsbehörde eines Mitgliedstaats den Verantwortlichen oder Auftragsverarbeiter in Ausübung ihrer in diesen Bestimmungen vorgesehenen Abhilfebefugnisse selbst dann zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten anweisen darf, wenn die betroffene Person keinen entsprechenden Antrag auf Ausübung ihrer Rechte nach Art. 17 Abs. 1 DS-GVO gestellt hat.
Zur Begründung führte der EuGH aus, dass es gem. Art 57 Abs. 1 Buchst. a DS-GVO Aufgabe der Datenschutzaufsichtsbehörden sei, die Anwendung der DS-GVO zu überwachen und durchzusetzen. Die nationalen Aufsichtsbehörden sind demnach zur Abhilfe unter Anwendung der hierfür in Art. 58 Abs. 2 DS-GVO normierten Befugnisse verpflichtet, wenn sie am Ende ihrer Untersuchungen feststellen, dass die betroffene Person kein angemessenes Schutzniveau genießt. Dabei stellte der EuGH fest, dass Art. 58 Abs. 2 DS-GVO dem Wortlaut nach zwischen Abhilfebefugnissen unterscheidet, die einen vorherigen Antrag der betroffenen Person voraussetzen und solchen, die von Amts wegen wahrgenommen werden könnten. Zu Letzteren gehört auch Art. 58 Abs. 2 Buchst. d und g DS-GVO.
Auch aus dem Wortlaut des Art. 17 DS-GVO („und“) folge, dass dieser zwei verschiedene Fälle erfasst: Zum einen die Löschung auf Antrag der betroffenen Person und zum anderen die Löschung aufgrund des Bestehens einer dem Verantwortlichen obliegenden eigenständigen Verpflichtung. Dass Art. 17 DS-GVO zwei verschieden Löschungsfälle erfasst, sei insbesondere deshalb erforderlich, weil Art 17 Abs. 1 DS-GVO auch Fallkonstellationen enthalte, in denen die betroffene Person womöglich nicht über die Verarbeitung ihrer personenbezogenen Daten informiert worden sei und in denen daher nur der Verantwortliche selbst beurteilen könne, ob einer der Fälle des Art. 17 Abs. 1 DSGVO vorliege.
In Beantwortung einer zweiten Vorlagefrage stellte der EuGH klar, dass die Ausführungen zur ersten Vorlagefrage unabhängig davon gelten, ob die betreffenden personenbezogenen Daten im Rahmen einer Dritt- oder Direkterhebung erhoben worden seien.
Fazit
Die Beantwortung der Vorlagefragen dürfte in Deutschland kaum für Überraschung gesorgt haben, da das hier in Rede stehende Urteil des EuGH bereits seit 2018 auch von der Datenschutzkonferenz (DSK) vertreten wird. Mit diesem Urteil stärkt der EuGH die Befugnisse der Datenschutzbehörden und erhöht damit effektiv auch den Schutz der Bürger. Das Urteil unterstreicht insbesondere die Verantwortung der Aufsichtsbehörden, die Einhaltung der DS-GVO zu überwachen und bei Verstößen entsprechend zu handeln.