Seit nunmehr fünf Jahren entfaltet die Europäische Datenschutz-Grundverordnung (DSGVO) ihre Wirkung. Wie damals von Experten prognostiziert, bedarf sie an vielen Stellen der Auslegung von Gerichten, weil Begriffe unklar sind oder Sachverhalte nicht eindeutig ins DSGVO-Schema passen. Sind sich Gerichte unsicher, befragen sie den Europäischen Gerichtshof (EuGH), der dann in Urteilen abwägend die DSGVO interpretiert. Dutzende solcher Verfahren liegen derzeit am höchsten EU-Gericht zur Entscheidung vor.

Anfang Mai hat der EuGH gleich drei bedeutsame Fälle entschieden. Im c't-Datenschutz-Podcast erläutern und diskutieren Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich die Sacherverhalte und Urteile. Kompetent zur Seite steht ihnen dabei diesmal Alexander Golland, Professor für Wirtschaftsrecht an der Aachen University of Applied Sciences. Golland lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht.

Relevanter Schadensersatz

Im Urteil "Österreichische Post AG" (Az. C-300/21) geht es um die Frage, ob und ab wann ein Verstoß gegen Vorschriften aus der DSGVO auch einen Schaden darstellen und somit Ansprüche auf Schadensersatz begründen könnte. Sie ist sehr relevant, da der Schadensersatz nach Art. 82 DSGVO für Unternehmen ein großes finanzielles Risiko darstellt, etwa, wenn sie durch ein Leak Daten vieler Kunden fahrlässig preisgeben.

In der Rechtssache C-487/21 hat sich der EuGH mit dem Recht Betroffener befasst, eine Kopie der personenbezogenen Daten zu erhalten: Wie weit geht der DSGVO-Begriff der "Kopie"? Genügt es für Unternehmen, Datenbankauszüge zu schicken, oder müssen tatsächlich exakte Faksimile der gespeicherten Daten herausgerückt werden? Der EuGH wollte sich nicht ganz festlegen und stellte auf die Umstände ab, wie im Podcast ausführlich erläutert wird.

Schließlich hatte auch das Verwaltungsgericht Wiesbaden den EuGH beschäftigt (Az. C-60/22): Es stellte die Frage, ob eine unvollständige Rechenschaftspflicht eines Verantwortlichen zum Beispiel durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten dazu führt, dass die Daten insgesamt unrechtmäßig verarbeitet wurden – mit allen Konsequenzen. Dies verneinte der EuGH und brachte damit ein wenig Entschärfung in die Sanktionierung von fehlender Datenschutz-Bürokratie nach DSGVO.

