EuGH: Nationale Aufsichtsbehörde für Datenschutz kann Löschung von unrechtmäßigen verarbeiteten personenbezogenen Daten anordnen, auch ohne Antrag der betroffenen Person.
Der Schutz personenbezogener Daten ist ein grundlegendes Anliegen in der digitalen Ära. Ein Urteil des Europäischen Gerichtshofs (EuGH) vom 14.03.2024 (AZ: C-46/23) hat die Befugnisse einer Aufsichtsbehörde zur Anordnung der Löschung von unrechtmäßig verarbeiteten Daten erweitert.
Dieses Recht steht der Aufsichtsbehörde auch dann zu, wenn die betroffene Person selbst keinen Antrag hierfür gestellt hat.
Sachverhalt
Die Kommunalverwaltung Újpest in Ungarn erhob im Jahr 2020 im Zusammenhang mit der Covid-19 Pandemie personenbezogene Daten. Die Verwaltungsbehörde Újpest hatte dabei aber nicht innerhalb der Monatsfrist über die Datenverwendung, deren Zweck und die Betroffenenrechte ordnungsgemäß informiert. Für diesen Verstoß verhängte die Behörde ein Bußgeld. Zudem ordnete sie die Löschung von personenbezogenen Daten an.
Die Verwaltungsbehörde war hingegen der Meinung, dass die Datenschutzbehörde die Löschung nicht fordern könne, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt habe. Gegen den Bescheid legt die Verwaltungsbehörde Újpest Rechtsmittel ein. Das zuständige ungarische Gericht wandte sich mit einem Vorabentscheidungsverfahren an den EuGH.
EuGH-Urteil: Löschung auch ohne Antrag
In seinem Urteil entschied der EuGH nun, dass die Löschung von unrechtmäßig verarbeiteter Daten durch die Aufsichtsbehörde angeordnet werden darf, auch ohne einen zuvor gestellten entsprechenden Antrag der betroffenen Person, wenn dies zur Erfüllung ihrer Aufgabe erforderlich ist, die darin besteht, über die umfassende Einhaltung der DS-GVO zu wachen. Eine entsprechende Befugnis ergibt sich aus Art. 58 Abs. 2 lit. d und g DS-GVO (§ 47 Abs. 5 lit. a und d KDG). Anderenfalls könnte der Verantwortliche die Daten unbegrenzt lange weiterverarbeiten, obwohl dies rechtswidrig ist und die Aufsichtsbehörde davon Kenntnis hat. Im Übrigen kommt es auch nicht darauf an, ob die Daten unmittelbar bei der betroffenen Person erhoben wurden oder aus einer anderen Quelle stammen.
Der EuGH führt aus:
„…Insoweit ist klarzustellen, dass es zwar Sache der Aufsichtsbehörde ist, das geeignete und erforderliche Mittel zu wählen und dabei alle Umstände des Einzelfalls zu berücksichtigen, dass diese Behörde aber gleichwohl verpflichtet ist, mit aller gebotenen Sorgfalt ihre Aufga-be zu erfüllen, die darin besteht, über die umfassende Einhaltung der DSGVO zu wachen (vgl. in diesem Sinne Urteil vom 16. Juli 2020, Facebook Ireland und Schrems, C 311/18, EU:C:2020:559, Rn.112).“
Zur Gewährleistung einer wirksamen Anwendung der DS-GVO ist es daher von besonderer Bedeutung, dass die Aufsichtsbehörde über wirksame Befugnisse verfügt, um wirksam gegen Verletzungen dieser Verordnung vorzugehen und insbesondere, um solche Verletzungen zu beenden, und zwar auch in den Fällen, in denen die betroffenen Personen nicht über die Verarbeitung ihrer personenbezogenen Daten informiert wurden, ihnen diese nicht bekannt ist oder sie jedenfalls die Löschung dieser Daten nicht beantragt haben, so der EuGH.
Fazit:
EuGH stärkt mit diesem Urteil die Befugnisse der Datenschutzbehörden und erhöht damit effektiv auch den Schutz der Bürger. Insbesondere unterstreicht das Urteil auch die Verantwortung der Aufsichtsbehörden, die Einhaltung der DS-GVO zu überwachen und bei Verstößen entsprechend zu handeln.
Link zur EuGH Pressemitteilung