# EuGH, Urt. v. 04.05.2023, C-60/22, Bundesrepublik Deutschland (BAMF)

Verstöße gegen Art. 26 DSGVO (gemeinsame Verantwortlichkeit) und Art. 30 DSGVO (Verarbeitungsverzeichnis) machen die Verarbeitung selbst nicht rechtswidrig; keine Löschung oder Einschränkung der Verarbeitung wegen reiner Dokumentationsverstöße.

> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/rechtsprechung/1.4.39-eugh-c-60-22-bamf
> Sprache: de



## 1 Kurzübersicht [#1-kurzübersicht]

Ein Asylbewerber wandte sich vor dem Verwaltungsgericht Wiesbaden gegen die Bundesrepublik Deutschland, weil das Bundesamt für Migration und Flüchtlinge (BAMF) seine Asyl-Akte elektronisch geführt und auszugsweise an das Gericht übermittelt hatte, ohne hierfür ein vollständiges Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO und ohne eine Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorhalten zu können. Das VG Wiesbaden legte dem EuGH vor, ob solche Verstöße zur Rechtswidrigkeit der Verarbeitung führen und der betroffenen Person ein Anspruch auf Löschung (Art. 17 DSGVO) oder Einschränkung (Art. 18 DSGVO) zusteht.

## 2 Leitsätze [#2-leitsätze]

Eine Verletzung der Pflicht zur Vereinbarung gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO und der Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist **kein Fall einer rechtswidrigen Verarbeitung** im Sinne von Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO ([Rn. 60-62, Tenor](https://curia.europa.eu/juris/document/document.jsf?docid=273289\&doclang=DE)).

Maßgeblich für die Rechtmäßigkeit der Verarbeitung sind allein die Grundsätze des Art. 5 DSGVO und das Vorliegen einer Rechtsgrundlage nach Art. 6 DSGVO. Die Dokumentations- und Organisationspflichten der Art. 26 und 30 DSGVO bilden demgegenüber **eigenständige Pflichten**, deren Verletzung über die ordnungs- und bußgeldrechtlichen Sanktionen der DSGVO geahndet wird, ohne die zugrundeliegende Verarbeitung selbst zu „infizieren".

## 3 Bedeutung [#3-bedeutung]

Die Entscheidung trennt **formelle Dokumentationspflichten** und **materielle Rechtmäßigkeit** sauber voneinander. Sie nimmt der Praxis das Argument, ein fehlendes oder unvollständiges Verarbeitungsverzeichnis (oder eine fehlende Vereinbarung gemeinsamer Verantwortlichkeit) sei automatisch ein Hebel für Löschungs- oder Einschränkungsansprüche. Umgekehrt bleibt die Pflicht zur ordnungsgemäßen Dokumentation nach Art. 30 DSGVO eigenständig bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO), sie ist nur eben kein Maßstab des Art. 6 DSGVO.

Der Befund lässt sich auf andere Begleitpflichten übertragen: Auch das Fehlen einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) oder einer ordnungsgemäßen Information der Betroffenen (Art. 13, 14 DSGVO) macht eine im Übrigen rechtmäßige Verarbeitung nicht rückwirkend rechtswidrig, wohl aber bußgeldwürdig.

<Cards>
  <Card title="Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)" href="/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten" description="Pflichtinhalte und Reichweite der Dokumentationspflicht." />

  <Card title="Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht" description="Trennung zwischen Einhaltung und Nachweis der Grundsätze." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.