Personenbezogene Daten sind dann zu löschen, wenn für die Verarbeitung kein Rechtsgrund (mehr) besteht. Die Regelung in Art 17 Abs 1 DSGVO gibt der betroffenen Person das Recht, vom Verantwortlichen die Löschung zu verlangen. Der EuGH hatte nun einen spannenden Fall zu entscheiden, bei dem das Löschbegehren jedoch nicht von der betroffenen Person ausging. Hier kam die Anordnung zur Datenlöschung von der Behörde selbst. Es war zu klären, ob dies überhaupt möglich ist und ob es dabei darauf ankommt, dass die Daten bei dem Betroffenen direkt erhoben wurden.
Behörde wollte Daten löschen lassen
Die Verwaltung Újpest (Ungarn) beschloss im Feber 2020, finanzielle Unterstützung für Einwohner, die zu einer von der Covid-19-Pandemie gefährdeten Gruppe gehörten, zu gewähren. Zur Feststellung der Anspruchsvoraussetzungen wurden personenbezogene Daten von der ungarischen Staatskasse und der Regierungsbehörde angefordert. Diese Daten wurden für ein Unterstützungsprogramm verwendet, das von der Verwaltung Újpest eingeführt wurde. Nach einer Untersuchung durch die ungarische Aufsichtsbehörde wurde festgestellt, dass die Verwaltung gegen verschiedene Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verstoßen hatte, einschließlich des Mangels an Information und des Verstoßes gegen das Recht auf Löschung personenbezogener Daten.
Die Aufsichtsbehörde ordnete die Löschung der Daten an, auch wenn die betroffenen Personen keinen Antrag gestellt hatten. Dies führte zu einer gerichtlichen Klage der Verwaltung Újpest, die argumentierte, dass die Aufsichtsbehörde ohne Antrag der betroffenen Person keine Löschung anordnen dürfe. Das ungarische Verfassungsgericht hob ein Urteil auf, das diese Position unterstützte, und stellte fest, dass die Behörde berechtigt sei, die Löschung von Amts wegen anzuordnen. Das vorlegende Gericht hatte Zweifel bezüglich der Auslegung von Art 17 und Art 58 Abs. 2 DSGVO und fragte den EuGH nach der Befugnis der Aufsichtsbehörde, Daten ohne ausdrücklichen Antrag der betroffenen Person zu löschen, und ob dies unabhängig davon gilt, ob die Daten bei der betroffenen Person erhoben wurden oder nicht.
EuGH: Datenschutzbehörden dürfen Datenlöschungen ohne Antrag anordnen
Der EuGH stellte fest, dass gemäß dem klaren Wortlaut von Art 58 Abs 2 lit c DSGVO die Befugnis der Aufsichtsbehörde, Anweisungen zur Abhilfe zu geben, voraussetzt, dass die betroffene Person zuvor einen entsprechenden Antrag gestellt hat. Im Gegensatz dazu erfordern die Buchstaben d und g keine solche Antragstellung, da der Wortlaut darauf nicht hinweist.
Der EuGH betonte weiterhin, dass Art 17 Abs 1 DSGVO zwei getrennte Szenarien regelt: die Löschung auf Antrag der betroffenen Person und die Löschung aufgrund einer eigenständigen Verpflichtung des Verantwortlichen. Diese Unterscheidung ist notwendig, da einige Situationen, wie unrechtmäßige Verarbeitung von Daten, möglicherweise nicht von der betroffenen Person erkannt wurden.
Die Auslegung dieser Bestimmungen wird auch durch das Ziel der DSGVO unterstützt, einen hohen Schutz für personenbezogene Daten zu gewährleisten. Eine Interpretation, die eine vorherige Antragstellung verlangt, würde die Wirksamkeit des Schutzes mindern und untätigen Personen den Schutz ihrer Daten entziehen.
Folglich kann die Aufsichtsbehörde eines Mitgliedstaats gemäß Art 58 Abs 2 lit d und g DSGVO den Verantwortlichen oder Auftragsverarbeiter zur Löschung unrechtmäßig verarbeiteter personenbezogener Daten auch dann anweisen, wenn die betroffene Person keinen entsprechenden Antrag gestellt hat.
EuGH: Es spielt keine Rolle, wo die Daten erhoben wurden
Der EuGH betonte, dass weder der Wortlaut von Art 58 Abs 2 lit d und g DSGVO noch Art 17 Abs 1 DSGVO eine Abhängigkeit der Abhilfebefugnisse der Aufsichtsbehörde von der Herkunft der betreffenden Daten vorsehen. Daher können die Befugnisse der Aufsichtsbehörde nicht davon abhängen, ob die Daten direkt von der betroffenen Person stammen oder nicht.
Die Gewährleistung wirksamer Befugnisse der Aufsichtsbehörde zur Einhaltung der DSGVO ist entscheidend für eine wirksame Anwendung der Verordnung. Daher darf die Ausübung dieser Befugnisse nicht von der Herkunft der Daten abhängen.
In Übereinstimmung mit den Regierungen und der Kommission ist davon auszugehen, dass die Aufsichtsbehörde die Befugnis hat, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, unabhängig davon, ob die Daten direkt von der betroffenen Person erhoben wurden oder nicht.
Daher kann die Befugnis der Aufsichtsbehörde, die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anzuordnen, sowohl auf bei der betroffenen Person erhobene als auch auf aus anderen Quellen stammende Daten angewendet werden.
Fazit: Mitwirkung des Betroffenen bei Löschungen nicht erforderlich
Sofern Daten ohne Rechtsgrund verarbeitet werden, kann die zuständige Behörde die Datenlöschung beim Verantwortlichen anordnen. Hierbei spielt es keine Rolle, ob die Daten direkt beim Betroffenen oder bei einem Dritten erhoben wurden.
Sie haben weitere Fragen im Datenschutzrecht?
Sie benötigen Hilfe bei einer Datenschutzverletzung oder möchten sich in anderen Bereichen des Datenschutzrechts durch einen Rechtsanwalt beraten lassen? Als Rechtsanwälte sind wir auf dieses und weitere Rechtsgebiete spezialisiert. Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.