Löschung von Daten – auf wessen Veranlassung?

➧  Der Ausgangsfall betrifft eine ungarische Behörde

Direkt nach dem Beginn der Corona-Pandemie beschloss eine ungarische Lokalbehörde im Februar 2020, Einwohnern ihres Zuständigkeitsbereichs unter bestimmten Voraussetzungen eine finanzielle Unterstützung zu gewähren. Die Behörde nahm wohl an, dass alle Anspruchsberechtigten die Unterstützung in Anspruch nehmen würden. Nur so lässt sich erklären, wie sie vorging:

• Sie wandte sich an die ungarische Staatskasse und an eine weitere Regierungsbehörde, um personenbezogene Daten von Einwohnern aus ihrem Bezirk zu erhalten. Dazu gehörten unter anderem die „grundlegenden Identifizierungsdaten“ (also wohl Name, Vorname und weitere Angaben zur Person) und die Sozialversicherungsnummer.
• Diese Daten fasste sie in einer Datenbank zusammen. Dabei erstellte sie für jeden Datensatz eine individuelle Kennung und einen Strichcode.
• Sobald eine Person einen Antrag stellte, prüfte die Lokalbehörde mithilfe der Daten in der Datenbank, ob diese Person einen Anspruch auf Unterstützung hatte.

➧  Datenschutz war wohl nur ein Randthema

Der Datenschutz scheint bei den Überlegungen der Behörde insgesamt keine allzu große Rolle gespielt zu haben. Dies zeigt sich etwa daran, dass sie die betroffenen Personen entgegen Art. 14 Datenschutz-Grundverordnung (DSGVO) nicht über die Erhebung der Daten bei der ungarischen Staatskasse und der Regierungsbehörde informierte.

➧  Die Datenschutzaufsicht schaltet sich ein

Manche Anspruchsberechtigten stellten einen Antrag auf Unterstützung, andere taten dies nicht. Dies rief schließlich Anfang September 2020 die ungarische Datenschutzaufsicht auf den Plan. Anlass dafür war ein Hinweis, den sie erhielt. Die Datenschutzaufsicht beanstandete einiges. Unter anderem rügte sie die fehlende Unterrichtung der betroffenen Personen. Im Ergebnis verhängte die Datenschutzaufsicht wegen mehrerer Datenschutzverstöße eine Geldbuße gegen die Lokalbehörde, aber auch gegen die Staatskasse.

➧  Die Datenschutzaufsicht ordnet die Löschung an

Mit der Geldbuße hätte die Lokalbehörde offensichtlich noch irgendwie leben können. Völlig gegen den Strich ging ihr jedoch eine zusätzliche Anordnung der Datenschutzaufsicht. Die Datenschutzaufsicht wies die Lokalbehörde an, die Daten aller Personen zu löschen, die keine finanzielle Unterstützung beantragt hatten. Ihre Begründung: Die Speicherung dieser Daten ist nicht erforderlich.

➧  Die Datenschutzaufsicht beruft sich auf ihre Befugnisse

Als Rechtsgrundlage für ihre Anordnung berief sich die Datenschutzaufsicht auf Art. 58 Abs. 2 Buchstabe d DSGVO. Diese Vorschrift lautet wie folgt: „Jede Aufsichtsbehörde verfügt über sämtliche … Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen … anzuweisen, Verarbeitungsvorgänge … in Einklang mit dieser Verordnung zu bringen.“ Konkret hieß das: Die Aufsichtsbehörde wies die Lokalbehörde zur Löschung aller Daten an, die nach Auffassung der Aufsichtsbehörde nicht (oder auch nicht mehr) hätten gespeichert werden dürfen.

➧  Die Lokalbehörde legt sich quer

Dieser Anweisung wollte die Lokalbehörde nicht folgen. Sie wehrte sich gegen die Anordnung der Datenschutzaufsicht vor Gericht. Ihre Argumentationskette lautete dabei so: Keine der betroffenen Personen habe eine Löschung ihrer Daten verlangt. Das Recht auf Löschung sei gemäß Art. 17 Abs. 1 DSGVO jedoch ein Recht der jeweils betroffenen Person. Es liege an ihr, ob sie dieses Recht geltend mache oder nicht. Solange eine betroffene Person keine Löschung fordere, dürfe die Datenschutzaufsicht eine solche Löschung auch nicht anordnen.

➧  Die ungarischen Gerichte sind sich uneins

Das ungarische Oberste Gericht hatte in einem anderen Fall die Argumentationskette der Lokalbehörde akzeptiert. Sie verwehrte der Datenschutzaufsicht das Recht, eine Löschung von Daten anzuordnen, obwohl die betroffene Person die Löschung gar nicht verlangt hatte. Die Entscheidung des Obersten Gerichts hatte allerdings beim ungarischen Verfassungsgericht keinen Bestand. Das ungarische Verfassungsgericht sah die Rechtslage so: Auch wenn die betroffene Person selbst keine Löschung gefordert hat, kann die Datenschutzaufsicht eine Löschung anordnen.

➧  Das jetzt zuständige Gericht schaltet den EuGH ein

Das Gericht, das über die Klage der Lokalbehörde im aktuellen Fall zu entscheiden hat, war sich unsicher. Sollte es die Meinung des Verfassungsgerichts seines Landes akzeptieren? Oder würde der Europäische Gerichtshof (EuGH) die Angelegenheit anders sehen? Immerhin läuft die Meinung des Verfassungsgerichts darauf hinaus, dass die Datenschutzaufsicht die Löschung von Daten sogar gegen den ausdrücklichen Willen einer betroffenen Person anordnen könnte. Das Gericht entschied sich dafür, den EuGH zu fragen.

➧  Der EuGH sieht sich Art. 17 DSGVO näher an

Art. 17 Abs. 1 DSGVO beginnt mit folgendem Satz: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft …“. Daraus zieht der EuGH folgende Schlussfolgerungen:

• Das Wort „und“ zeigt, dass zwei Dingen auseinander gehalten werden müssen, nämlich zum einen das Recht der betroffenen Person, die Löschung zu verlangen und zum anderen die Verpflichtung des Verantwortlichen zu einer solchen Löschung.
• Dies zeigt nach Auffassung des EuGH, dass die Vorschrift zwei völlig unterschiedliche Fälle regelt. Der erste Fall ist die Löschung von Daten auf Antrag der betroffenen Person. Der andere Fall betrifft die Löschung aufgrund einer Verpflichtung, die dem Verantwortlichen „einfach so obliegt, also auch ohne Antrag einer betroffenen Person. Beides steht nebeneinander.
• Nur diese Auslegung stellt sicher, dass Verstöße gegen die DSGVO auf jeden Fall abgestellt werden müssen.
• Im Ergebnis muss ein Verantwortlicher unrechtmäßig gespeicherte Daten somit auf jeden Fall löschen, ob nun ein Antrag der betroffenen Person auf Löschung vorliegt oder nicht.

➧  Dann geht es um die Befugnisse der Aufsichtsbehörde

Aus der Sicht des EuGH ist folgende Unterscheidung der DSGVO sehr aufschlussreich:

• Eine betroffene Person kann beim Verantwortlichen einen Antrag auf Löschung seiner Daten stellen, wenn die Verarbeitung dieser Daten gegen die DSGVO verstößt. Sollte der Verantwortliche diesem Antrag nicht entsprechen, kann ihn die Aufsichtsbehörde anweisen, gemäß diesem Antrag zu verfahren. So regelt es Art. 58 Abs. 2 Buchstabe c DSGVO.
• Manchmal stellt eine betroffene Person keinen Antrag auf Löschung beim Verantwortlichen, obwohl die Verarbeitung rechtswidrig ist. In diesem Fall kann die Aufsichtsbehörde eine andere Befugnis nutzen, nämlich die des Art. 58 Absatz 2 Buchstabe d DSGVO. Danach kann die Aufsichtsbehörde den Verantwortlichen anweisen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen. Sollten Daten unrechtmäßig gespeichert sein, kann die Aufsichtsbehörde den Verantwortlichen auf dieser Rechtsgrundlage anweisen, sie zu löschen.

Die DSGVO gibt der Aufsichtsbehörde also zwei Befugnisse, die auf dasselbe Ergebnis hinauslaufen, nämlich auf die Anordnung der Löschung von rechtswidrig gespeicherten Daten. In einem Fall macht die DSGVO die Befugnis davon abhängig, dass die betroffene Person einen entsprechenden Antrag beim Verantwortlichen gestellt hat. Im anderen Fall sieht sie eine solche Voraussetzung nicht vor.

➧  Im Ergebnis passen die Regelungen der DSGVO zusammen

Damit spiegeln die Befugnisse der Aufsichtsbehörde genau das wider, was schon in Art. 17 DSGVO angelegt ist: Zwar kann eine betroffene Person die Löschung von rechtswidrig gespeicherten Daten ausdrücklich verlangen. Der Verantwortliche muss rechtswidrig gespeicherte Daten jedoch auch dann löschen, wenn die betroffene Person das (noch?) gar nicht gefordert hat.

➧  Das Ergebnis lag eigentlich nahe

Wie so oft folgt der EuGH auch in diesem Fall einer Meinung, die der Europäische Datenschutzausschuss (EDSA) geäußert hat. Bereits am 14. Dezember 2021 hat der EDSA eine öffentliche Stellungnahme dazu abgegeben, unter welchen Voraussetzungen eine Aufsichtsbehörde für den Datenschutz die Löschung von Daten anordnen kann.

Darin begründet der EDSA ausführlich, warum eine solche Anordnung auch möglich sein muss, wenn die betroffene Person keinen Antrag auf Löschung gestellt hat. Dabei führte er bereits fast alle Argumente an, auf die der EuGH jetzt zurückgegriffen hat. Siehe hierzu EDSA, Opinion 39/2021, Randnummern 19-24; der Text ist abrufbar unter https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-392021-whether-article-582g-gdpr-could_en. Er steht nur auf Englisch und Ungarisch zur Verfügung.

➧  Das Ergebnis ist wichtig für die Praxis

Auch in Deutschland sind immer wieder Stimmen zu hören, wonach die Löschung von Daten angeblich einen Antrag der betroffenen Person voraussetzt. Dieser Auffassung hat der EuGH eine klare Absage erteilt. Dies bedeutet: Ein Verantwortlicher muss von sich aus rechtswidrig gespeicherte Daten auch dann löschen, wenn die betroffene Person das nicht beantragt hat.

Irgendwo erscheint das auch logisch. Denn ein Verantwortlicher muss stets nachweisen können, dass er die DSGVO einhält (Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO). Dazu würde es nicht passen, wenn er Daten weiterhin speichern kann, obwohl er genau weiß, dass die Speicherung rechtswidrig ist.

➧  Bei Verstößen drohen Geldbußen

Weil dazu für ihn kein Anlass bestand, spricht der EuGH die Frage von Geldbußen nicht an. Umso wichtiger erscheint der Hinweis auf Art. 83 Abs. 5 Buchstabe b DSGVO: Ein Verantwortlicher, der gegen das Recht auf Löschung eines Betroffenen verstößt, riskiert eine Geldbuße von bis zu 20 Millionen €. Es geht also im Ernstfall um einiges.

➧  Das Urteil des EuGH ist leicht zu finden

Dieser Newsletter beruft auf dem Urteil des EuGH vom 14. März 2024mit dem Aktenzeichen C-46/23.es ist bei Eingabe des Aktenzeichens im Internet leicht zu finden. Wer wenig Zeit hat, kann sich auf die Lektüre der Rn. 25–46 des Urteils beschränken.

Dr. Eugen Ehmann