EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung

Ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) vom 04.05.2023, C‑60/22, wirft Licht auf die rechtliche Bedeutung von Art. 26 und Art. 30 der Datenschutz-Grundverordnung (DSGVO). In seiner Entscheidung präzisiert der EuGH, dass ein fehlender Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Datenverarbeitung sowie das Fehlen eines Verarbeitungsverzeichnisses nicht zwangsläufig zu einer unrechtmäßigen Verarbeitung personenbezogener Daten führen. Lesen Sie mehr zur Entscheidung des EuGH in unserem Beitrag.

1. Was war geschehen?

In dem dem Urteil zugrundeliegenden Sachverhalt ging es um die Frage, ob wenn ein Unternehmen, das kein ausreichendes Verarbeitungsverzeichnis erstellt hat oder keinen Vertrag über eine gemeinsame Verantwortlichkeit abgeschlossen hat, dies automatisch zu einer unzulässigen Verarbeitung der Daten führt und der Betroffene dadurch einen Anspruch auf Löschung dieser Daten hat.

Grundsätzlich ist nämlich jeder Verantwortliche, der personenbezogene Daten verarbeitet, nach der europäischen Datenschutzverordnung verpflichtet, die Datenvorgänge in einem ausführlichen Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.

Die inhaltlichen Anforderungen an ein Verarbeitungsverzeichnis in Hinblick auf auf alle Verarbeitungstätigkeiten innerhalb des Unternehmens ergeben sich aus Art. 30 Abs. 1 S. 2 a) bis g) DSGVO.

Danach müssen alle automatisierten sowie nichtautomatisierten Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, aufgelistet werden. Vereinfacht gesagt muss Inder Regel jede Tätigkeit, die im Zusammenhang mit einer Datenverarbeitung steht, in einem Verarbeitungsverzeichnis dokumentiert werden.

2. Zweck, Form und Inhalt des Verarbeitungsverzeichnisses

Der Zweck ergibt sich aus dem Erwägungsgrund (ErwGr.) 82 zu Art. 30 DSGVO. Hiernach soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen.

Das Verarbeitungsverzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DSGVO) nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht). Das Verarbeitungsverzeichnis ist ein internes Dokument, das nur der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden muss. Es ist schriftlich zu führen.

Dies kann aber auch in einem elektronischen Format erfolgen. Die Aufsichtsbehörde kann das Format der Vorlage (schriftlich in Papierform oder elektronisch in Textform) eigenständig festlegen und daher auch bei einem im elektronischen Format geführten Verzeichnis den Ausdruck verlangen. Das Verarbeitungsverzeichnis muss auf dem jeweils aktuellen Stand sein. Es ist durch den sogenannten Verantwortlichen zu führen. Der Verantwortliche ist daher der zentrale Ansprechpartner der Aufsichtsbehörden.

Im Wesentlichen sollte ein solches Verzeichnis folgende Inhalte aufweisen:

• Die Verantwortlichen der Datenverarbeitung und deren Kontaktdaten bzw. die Kontaktdaten des Datenschutzbeauftragten
• Angaben über den Zweck der Verarbeitung wie z.B. Personalakte, Urlaubsplanung oder Vertragsabwicklung
• Beschreibung der Kategorie des Betroffenen und der personenbezogenen Daten (z.B. Angestellter oder Kunde)
• Angabe der Empfängerkategorie gegenüber denen eine Offenlegung der Daten erfolgt wie z.B. Versandunternehmen, Ämter oder Banken
• Wenn zutreffend, Angaben zur Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation einschließlich der Angabe des betreffenden Drittlands bzw. der betreffenden internationalen Organisation
• Angaben über die vorgesehenen Löschfristen der unterschiedlichen Datenkategorien.
• Soweit möglich eine allgemeine Beschreibung der technisch-organisatorischen Maßnahmen und Sicherheitsvorkehrungen wie beispielsweise die Pseudonymisierung oder Verschlüsselung der Daten
• Änderungshistorie (wenn sich z.B. die Person des Verantwortlichen oder Datenschutzbeauftragten) ändert

Wie detailliert diese Dokumentation erfolgen muss, ist gesetzlich nicht geregelt und einzelfallabhängig.

Die Entscheidung des EuGH

In seinem Urteil vom 04.05.2023 (Az.: C-60/22) hat der EuGH nun entscheiden, dass das Fehlen eines Verarbeitunsgverzeichnisses bzw. das Fehlen eines Vertrags über die gemeinsame Verantwortlichkeit nicht automatisch zu einer unzulässigen Datenverarbeitung führt und folglich auch keinen Löschungsanspruch des Betroffenen begründet.

Im Urteil führte er aus, Art. 17 Abs. 1 d) und Art. 18 Abs. 1 b) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sei dahin auszulegen, dass der Verstoß eines Verantwortlichen gegen die Pflichten aus den Art. 26 und 30 dieser Verordnung über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten keine unrechtmäßige Verarbeitung darstelle, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleihe.

Dieser Verstoß als solcher bedeute nicht, dass der Verantwortliche gegen den Grundsatz des Art. 5 Abs. 1a) und Art. 6 Abs. 1 Unterabs. 1 dieser Verordnung verstoße.

Des Weiteren sei das Unionsrecht dahin auszulegen, dass die Einwilligung der betroffenen Person keine Voraussetzung dafür darstelle, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig sei, wenn ein für die Verarbeitung personenbezogener Daten Verantwortlicher gegen seine Pflichten aus den Art. 26 oder Art. 30 der Verordnung 2016/679 verstoße.

Fazit

Grundsätzlich ist im Umgang mit Daten und im Rahmen der Verarbeitung personenbezogener Daten Vorsicht geboten. Um etwaige Inanspruchnahmen der Betroffenen zu vermeiden, sollte man stets die gesetzlichen Anforderungen an den Datenschutz und die Datenverarbeitung einhalten.

Dabei ist ein ausführliches Verarbeitungsverzeichnis in der Regel von großer Bedeutung und sollte von den Unternehmen stets als Pflicht wahrgenommen werden. Es ist zudem sehr sinnvoll, um einen Überblick über die Prozesse innerhalb des eigenen Unternehmens zu behalten.

Das Fehlen eines Verarbeitungsverzeichnis oder eines Vertrags über die gemeinsame Verantwortlichkeit allein führt jedoch nicht automatisch zur Unzulässigkeit der verarbeiteten Daten. Der betroffenen Person steht in einem solchen Fall kein Anspruch auf Löschung bzw. Einschränkung dieser Daten zu.

Mithilfe eines elektronischen Textkonfigurators, den wir über unser Mandantenportal bereitstellen, können Mandnanten der IT-Recht Kanzlei ein datenschutzrechtliches Verarbeitungsverzeichnis erstellen.

Sie interessieren sich für die Schutzpakete der IT-Recht Kanzlei? Sichern Sie sich Ihr Schutzpaket und agieren Sie rechtssicher im Online-Hanldel!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.