Auslegungssache 86: Wie der EuGH die DSGVO präzisiert
Mit gleich drei Urteilen hat der EuGH einige Klarheit in die DSGVO-Auslegung gebracht. Im c't-Datenschutz-Podcast erfahren Sie, was die Entscheidungen bedeuten.
- Holger Bleich
- Joerg Heidrich
Seit nunmehr fünf Jahren entfaltet die Europäische Datenschutz-Grundverordnung (DSGVO) ihre Wirkung. Wie damals von Experten prognostiziert, bedarf sie an vielen Stellen der Auslegung von Gerichten, weil Begriffe unklar sind oder Sachverhalte nicht eindeutig ins DSGVO-Schema passen. Sind sich Gerichte unsicher, befragen sie den Europäischen Gerichtshof (EuGH), der dann in Urteilen abwägend die DSGVO interpretiert. Dutzende solcher Verfahren liegen derzeit am höchsten EU-Gericht zur Entscheidung vor.
Anfang Mai hat der EuGH gleich drei bedeutsame Fälle entschieden. Im c't-Datenschutz-Podcast erläutern und diskutieren Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich die Sacherverhalte und Urteile. Kompetent zur Seite steht ihnen dabei diesmal Alexander Golland, Professor für Wirtschaftsrecht an der Aachen University of Applied Sciences. Golland lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht.
Relevanter Schadensersatz
Im Urteil "Österreichische Post AG" (Az. C-300/21) geht es um die Frage, ob und ab wann ein Verstoß gegen Vorschriften aus der DSGVO auch einen Schaden darstellen und somit Ansprüche auf Schadensersatz begründen könnte. Sie ist sehr relevant, da der Schadensersatz nach Art. 82 DSGVO für Unternehmen ein großes finanzielles Risiko darstellt, etwa, wenn sie durch ein Leak Daten vieler Kunden fahrlässig preisgeben.
In der Rechtssache C-487/21 hat sich der EuGH mit dem Recht Betroffener befasst, eine Kopie der personenbezogenen Daten zu erhalten: Wie weit geht der DSGVO-Begriff der "Kopie"? Genügt es für Unternehmen, Datenbankauszüge zu schicken, oder müssen tatsächlich exakte Faksimile der gespeicherten Daten herausgerückt werden? Der EuGH wollte sich nicht ganz festlegen und stellte auf die Umstände ab, wie im Podcast ausführlich erläutert wird.
Schließlich hatte auch das Verwaltungsgericht Wiesbaden den EuGH beschäftigt (Az. C-60/22): Es stellte die Frage, ob eine unvollständige Rechenschaftspflicht eines Verantwortlichen zum Beispiel durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten dazu führt, dass die Daten insgesamt unrechtmäßig verarbeitet wurden – mit allen Konsequenzen. Dies verneinte der EuGH und brachte damit ein wenig Entschärfung in die Sanktionierung von fehlender Datenschutz-Bürokratie nach DSGVO.
Episode 86:
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Hier geht es zu allen bisherigen Folgen:
(hob)
