Urteil: EuGH zur Einstufung als (gemeinsam) Verantwortlicher qua nationalem Recht

Gerichtsurteil

Am 11. Januar 2024 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-231/22 zwei Vorlagefragen des Appellationshofs Brüssel entschieden. Die Fragen betrafen die Voraussetzungen der Einstufung eines Akteurs als Verantwortlicher im Sinne des Art. 4 Nr. 7 der Datenschutz-Grundverordnung (DSGVO).

In der Ausgangssache hatte ein belgisches Gericht zwei Unternehmen aufgefordert, die personenbezogenen Daten eines Kunden zu löschen. Das eine Unternehmen, eine Bank, hatte die Daten des Kunden erhoben und verarbeitet, um ihm ein Konto einzurichten. Das andere Unternehmen, ein Zahlungsdienstleister, hatte die Daten des Kunden erhoben und verarbeitet, um Zahlungen für die Bank abzuwickeln.

Der Appellationshof Brüssel war der Auffassung, dass beide Unternehmen gemeinsam Verantwortliche für die Verarbeitung der personenbezogenen Daten des Kunden seien. Er stellte jedoch fest, dass das nationale Recht keine Regelungen zur Bestimmung der jeweiligen Pflichten der beiden Unternehmen als gemeinsam Verantwortliche enthalte. Daher legte er dem EuGH die folgenden Fragen zur Vorabentscheidung vor:

  • "Sind die Vorschriften der DSGVO dahingehend auszulegen, dass ein gemeinsamer Verantwortlicher auch dann vorliegen kann, wenn das nationale Recht keine Regelungen zur Bestimmung der jeweiligen Pflichten der einzelnen gemeinsam Verantwortlichen enthält?"
  • "Wenn die Antwort auf die erste Frage positiv ausfällt, ergeben sich aus der DSGVO dann Vorgaben für die Bestimmung der jeweiligen Pflichten der einzelnen gemeinsam Verantwortlichen, wenn das nationale Recht keine Regelungen hierzu enthält?"

In seinem Urteil hat der EuGH entschieden, dass die DSGVO auch dann eine gemeinsame Verantwortlichkeit begründen kann, wenn das nationale Recht keine Regelungen zur Bestimmung der jeweiligen Pflichten der einzelnen gemeinsam Verantwortlichen enthält.

Der EuGH führte aus, dass die DSGVO eine gemeinsame Verantwortlichkeit vorsieht, wenn zwei oder mehr Akteure gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen. Diese Bestimmung ist unabhängig davon, ob das nationale Recht Regelungen zur Bestimmung der jeweiligen Pflichten der einzelnen gemeinsam Verantwortlichen enthält.

Der EuGH stellte jedoch auch fest, dass die DSGVO den einzelnen gemeinsam Verantwortlichen bestimmte Pflichten auferlegt, unabhängig davon, ob das nationale Recht hierzu Regelungen enthält. Dazu gehören insbesondere die Pflicht zur Einhaltung der Grundprinzipien der DSGVO, die Pflicht zur Einhaltung der Betroffenenrechte und die Pflicht zur Zusammenarbeit untereinander.

In der Rechtssache C-231/22 hat der EuGH damit klargestellt, dass die DSGVO eine gemeinsame Verantwortlichkeit auch dann begründen kann, wenn das nationale Recht keine Regelungen zur Bestimmung der jeweiligen Pflichten der einzelnen gemeinsam Verantwortlichen enthält. In diesem Fall sind die einzelnen gemeinsam Verantwortlichen verpflichtet, die ihnen von der DSGVO auferlegten Pflichten einzuhalten.

Diese Entscheidung des EuGH hat weitreichende Auswirkungen auf die Praxis des Datenschutzes. Sie bedeutet, dass Unternehmen, die gemeinsam personenbezogene Daten verarbeiten, in jedem Fall die ihnen von der DSGVO auferlegten Pflichten beachten müssen, unabhängig davon, ob das nationale Recht hierzu Regelungen enthält.

In Deutschland ergeben sich aus der Entscheidung des EuGH insbesondere folgende Konsequenzen:

  • Unternehmen, die gemeinsam personenbezogene Daten verarbeiten, müssen sich im Vorfeld der Verarbeitung klar darüber werden, welche jeweiligen Aufgaben sie bei der Verarbeitung übernehmen.
  • Unternehmen, die gemeinsam personenbezogene Daten verarbeiten, müssen die ihnen von der DSGVO auferlegten Pflichten im Rahmen der jeweiligen Aufgabenverteilung erfüllen.
  • Unternehmen, die gemeinsam personenbezogene Daten verarbeiten, müssen bei der Zusammenarbeit untereinander die Grundsätze der Transparenz und der Verantwortlichkeit beachten.

Die Entscheidung des EuGH wird dazu führen, dass Unternehmen bei der gemeinsamen Verarbeitung personenbezogener Daten ihre datenschutzrechtlichen Pflichten noch sorgfältiger als bisher beachten müssen.

Mehr: https://www.dr-datenschutz.de/eugh-zur-einstufung-als-gemeinsam-verantwortlicher-qua-nationalem-recht/

Beliebte Posts aus diesem Blog

Polizei Kreis Mettmann bittet um Hinweise wg. versuchter Raub auf 12-Jährigen in Langenfeld

Bild
Polizei Mettmann bittet um Hinweise wg. versuchter Raub auf 12-Jährigen in Langenfeld Die Polizei Mettmann bittet um Hinweise zu einem versuchten Raub auf einen 12-Jährigen in Langenfeld. Der Vorfall ereignete sich am Samstag, 22. Januar 2024, gegen 17:00 Uhr im Bereich der Straße "Am Langforst". Der 12-Jährige war zu Fuß unterwegs, als er von einem unbekannten Mann angesprochen wurde. Der Mann forderte das Kind auf, ihm sein Handy zu geben. Als der 12-Jährige sich weigerte, schlug der Mann ihn ins Gesicht. Das Kind konnte sich daraufhin losreißen und flüchten. Der Täter ist etwa 1,80 Meter groß und hat eine schlanke Statur. Er war zum Tatzeitpunkt mit einer schwarzen Jacke, einer schwarzen Hose und einer schwarzen Mütze bekleidet. Hinweise zu dem Täter nimmt die Polizei Mettmann unter der Telefonnummer 02104 982-0 entgegen. Beschreibung des Täters: Geschlecht: männlich Alter: etwa 30 Jahre Größe: etwa 1,80 Meter Statur: schlank Kleidung: schwarze Jacke, schwarze Hose, s...
Read more »

Polizei Kreis Herford sucht Zeugen wg. Körperverletzung (Unbekannter versprüht Reizgas)

Bild
Die Polizei des Kreises Herford bittet um Zeugenhinweise zu einer Körperverletzung, die sich am Dienstag, den 23. Januar 2024, gegen 13:05 Uhr in einem Bus im innerstädtischen Bereich von Herford ereignet hat. Zwei 15-jährige Herforderinnen fuhren in einem Bus der Linie 63 in Richtung Bahnhof. Auf Höhe der Bushaltestelle Friedhofstraße bemerkten beide einen stark beißenden Geruch, der Husten bei ihnen auslöste. Als der Busfahrer anhielt, um die Situation zu prüfen, sahen die beiden Mädchen einen unbekannten Mann, der aus dem Bus stieg und flüchtete. Die Mädchen klagten über Atembeschwerden und Kopfschmerzen und wurden vor Ort durch den Rettungsdienst behandelt. Der unbekannte Mann wird wie folgt beschrieben: ca. 1,80 m groß schlank kurze, dunkle Haare trug eine dunkle Jacke und eine schwarze Hose Zeugen, die sachdienliche Hinweise geben können, werden gebeten, sich bei der Polizei Herford unter der Telefonnummer 05221/888-0 zu melden. Die Polizei ermittelt wegen Körperverletzung. ...
Read more »