EuGH, Urt. v. 04.05.2023, C-60/22, Bundesrepublik Deutschland (BAMF)
Verstöße gegen Art. 26 DSGVO (gemeinsame Verantwortlichkeit) und Art. 30 DSGVO (Verarbeitungsverzeichnis) machen die Verarbeitung selbst nicht rechtswidrig; keine Löschung oder Einschränkung der Verarbeitung wegen reiner Dokumentationsverstöße.
1 Kurzübersicht
Ein Asylbewerber wandte sich vor dem Verwaltungsgericht Wiesbaden gegen die Bundesrepublik Deutschland, weil das Bundesamt für Migration und Flüchtlinge (BAMF) seine Asyl-Akte elektronisch geführt und auszugsweise an das Gericht übermittelt hatte, ohne hierfür ein vollständiges Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO und ohne eine Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorhalten zu können. Das VG Wiesbaden legte dem EuGH vor, ob solche Verstöße zur Rechtswidrigkeit der Verarbeitung führen und der betroffenen Person ein Anspruch auf Löschung (Art. 17 DSGVO) oder Einschränkung (Art. 18 DSGVO) zusteht.
2 Leitsätze
Eine Verletzung der Pflicht zur Vereinbarung gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO und der Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist kein Fall einer rechtswidrigen Verarbeitung im Sinne von Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO (Rn. 60-62, Tenor).
Maßgeblich für die Rechtmäßigkeit der Verarbeitung sind allein die Grundsätze des Art. 5 DSGVO und das Vorliegen einer Rechtsgrundlage nach Art. 6 DSGVO. Die Dokumentations- und Organisationspflichten der Art. 26 und 30 DSGVO bilden demgegenüber eigenständige Pflichten, deren Verletzung über die ordnungs- und bußgeldrechtlichen Sanktionen der DSGVO geahndet wird, ohne die zugrundeliegende Verarbeitung selbst zu „infizieren".
3 Bedeutung
Die Entscheidung trennt formelle Dokumentationspflichten und materielle Rechtmäßigkeit sauber voneinander. Sie nimmt der Praxis das Argument, ein fehlendes oder unvollständiges Verarbeitungsverzeichnis (oder eine fehlende Vereinbarung gemeinsamer Verantwortlichkeit) sei automatisch ein Hebel für Löschungs- oder Einschränkungsansprüche. Umgekehrt bleibt die Pflicht zur ordnungsgemäßen Dokumentation nach Art. 30 DSGVO eigenständig bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO), sie ist nur eben kein Maßstab des Art. 6 DSGVO.
Der Befund lässt sich auf andere Begleitpflichten übertragen: Auch das Fehlen einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) oder einer ordnungsgemäßen Information der Betroffenen (Art. 13, 14 DSGVO) macht eine im Übrigen rechtmäßige Verarbeitung nicht rückwirkend rechtswidrig, wohl aber bußgeldwürdig.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération de reliquat de dette)
Dreistufige Prüfung nach Art. 6 Abs. 1 lit. f DSGVO bei Speicherung von Informationen aus öffentlichen Insolvenzregistern durch Wirtschaftsauskunfteien; Erforderlichkeit, Verhältnismäßigkeit und Verhältnis zu Widerspruchs- und Löschungsrecht.
EuGH, Urt. v. 12.01.2023, C-154/21, RW/Österreichische Post
Auskunft über Empfänger personenbezogener Daten nach Art. 15 Abs. 1 lit. c DSGVO: grundsätzlich Pflicht zur Nennung der konkreten Empfänger; Beschränkung auf Kategorien nur ausnahmsweise.