DBB AKADEMIE Datenschutz imWandel Warum Unternehmen und Behörden sich kontinuierlich informieren sollten Dr. Martin Eßer Nicht nur Entwicklungen wie künstliche Intelligenz, die der Chatbot ChatGPT einsetzt, oder neue Gesetzgebung auf europäischer Ebene, zum Beispiel der Digital Services Act oder der Digital Markets Act, rücken den Datenschutz immer wieder in den Fokus. Auch der Europäische Gerichtshof (EuGH) hat sich in der letzten Zeit verstärkt mit dem Datenschutz befasst. Inzwischen liegen zu vielen praxisrelevanten Themen der Datenschutz-Grundverordnung (DSGVO) aktuelle Rechtsprechungen vor. Für Behörden und Unternehmen sind Anfang Mai 2023 wieder drei relevante Entscheidungen ergangen, die sich mit dem Schadensersatzanspruch der Betroffenen, dem Recht auf Kopie und der Frage der Rechtmäßigkeit von Datenverarbeitungen befassen: Voraussetzungen für einen Schadensersatzanspruch Ein Betroffener, dessen Rechte durch einen Verstoß gegen die DSGVO verletzt wurden, hat das Recht auf Schadensersatz. Art. 82 DSGVO regelt diesen Schadensersatzanspruch. Ein einfacher Verstoß gegen die Bestimmungen der DSGVO allein reicht jedoch nicht aus, um einen Schadensersatzanspruch geltend zu machen. Für einen Anspruch gemäß Art. 82 Abs. 1 DSGVO müssen drei Voraussetzungen erfüllt sein: Erstens muss ein Verstoß gegen die DSGVO vorliegen, zweitens muss aus diesem Verstoß ein materieller oder immaterieller Schaden resultieren und drittens muss der Verstoß kausal für den Schaden sein. Der EuGH hat nun klargestellt, dass der Anspruch nach Art. 82 Abs. 1 DSGVO nicht nur auf immaterielle Schäden beschränkt ist, sondern auch materielle Schäden umfasst. Die Höhe des Schadensersatzes kann nach nationalem Recht berechnet werden, solange dieser vollständig und wirksam ist. (EuGH, Urteil vom 4. Mai 2023 – C 300/21) Recht auf Kopie vollständiger Dokumente Zu den bekanntesten Betroffenenrechten der DSGVO zählt das Recht auf Auskunft (Art. 15 Abs. 1 DSGVO). Danach kann eine betroffene Person von einer Behörde oder einem Unternehmen ohne weitere Voraussetzung eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und wenn ja, welche Daten verarbeitet werden. Daneben enthält die Vorschrift ein Recht auf Kopie (Art. 15. Abs. 3). Danach muss die Behörde oder das Unternehmen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Allerdings darf dies die Rechte und Freiheiten anderer Personen nicht beeinträchtigen, zum Beipiel weil deren Informationen ebenfalls auf der Kopie zu lesen sind. Der EuGH hat nun entschieden, dass Betroffenen das Recht auf eine Kopie ihrer Daten in einer originalgetreuen und verständlichen Form zusteht. Dieses Recht beinhaltet nicht nur Auszüge aus Dokumenten, sondern auch vollständige Dokumente oder Auszüge aus Datenbanken, sofern dies für die wirksame Ausübung der Betroffenenrechte erforderlich ist. (EuGH, Urteil vom 4. Mai 2023 – C-487/21) Folgen der Verstöße gegen gemeinsame Verantwortlichkeit Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Jeder Verantwortliche ist für die Einhaltung der DSGVO verantwortlich und muss diesbezüglich mit den anderen Verantwortlichen kooperieren. Ein Beispiel für die gemeinsame Verantwortlichkeit im Datenschutzsinne könnte ein Gemeinschaftsprojekt zwischen mehreren öffentlichen Einrichtungen sein, bei dem personenbezogene Daten verarbeitet werden, beispielsweise ein Forschungsprojekt oder eine gemeinsame Datenbank. Es muss dann eine Vereinbarung getroffen werden, die die jeweiligen Verantwortlichkeiten der Kooperationspartner festlegt und die den betroffenen Personen bestimmte Rechte garantiert, insbesondere das Recht auf Auskunft und weiterer Betroffenenrechte. © Blue Planet Studio/stock.adobe.com 38 SERVICE dbb magazin | Juni 2023
RkJQdWJsaXNoZXIy Mjc4MQ==