Monthly Archives: Oktober 2025

„Zu viel Aufwand“ zählt nicht – EDSA lehnt Verhältnismäßigkeitsprüfung bei Auskunftsanfragen ab

Posted on by

Wenn Unternehmen oder öffentliche Stellen mit Auskunftsanträgen nach Art. 15 DSGVO konfrontiert sind, kann sich deren Erfüllung in der Praxis manchmal als extrem aufwendig herausstellen. Schließlich müssen in diesem Fall intern alle personenbezogenen Daten zu der betroffenen Person herausgesucht werden. Gerade im Verhältnis zwischen Arbeitgeber und Arbeitnehmern kann dies, bei langjährigen Arbeitsverhältnissen, zu nicht zu unterschätzenden Aufwänden führen.

Im Rahmen einer Stellungnahme zum Entwurf des Durchführungsbeschlusses der Kommission über den angemessenen Schutz personenbezogener Daten im Vereinigten Königreich befasste sich der EDSA – kurz, aber eindeutig – mit der Frage, ob bei der Erfüllung von Auskunftsanfragen ein Verhältnismäßigkeitskriterium angewendet werden darf. Konkret also, ob ein Verantwortlicher berechtigt sein kann, eine Anfrage nicht vollständig zu erfüllen, weil die Suche nach den Daten in internen Systemen zu aufwendig wäre.

Art. 15 Abs. 1A UK GDPR führt eine Verhältnismäßigkeitsprüfung ein, wie es in der britischen Rechtsprechung entwickelt wurde. Nach Absatz 1A

„hat die betroffene Person nur Anspruch auf eine solche Bestätigung, personenbezogene Daten und sonstige Informationen, die der Verantwortliche auf Grundlage einer angemessenen und verhältnismäßigen Suche nach den in diesem Absatz beschriebenen personenbezogenen Daten und sonstigen Informationen bereitstellen kann.“

Verantwortliche müssen daher nur „angemessene und verhältnismäßige Suchvorgänge“ durchführen, um Auskunftsanfragen zu erfüllen.

Der EDSA hebt hervor, dass eine solche Verhältnismäßigkeitsprüfung im EU-Datenschutzrahmen nicht vorgesehen ist:

„Das Unionsrecht sieht keinen allgemeinen Vorbehalt der Verhältnismäßigkeit in Bezug auf den Aufwand vor, den der Verantwortliche zur Erfüllung von Betroffenenanfragen nach Art. 12 DSGVO zu leisten hat, sondern enthält nur die in Absatz 5 genannten Ablehnungsgründe.“

Ist der Versuch einer Datenverarbeitung bereits eine „Verarbeitung“ im Sinne der DSGVO?

Posted on by

In seinem Urteil vom 4.10.2024 (Rs. C‑548/21) hatte der EuGH u.a. die Frage zu beantworten, ob der Anwendungsbereich der Richtlinie (EU) 2016/680 eröffnet ist und eine „Verarbeitung“ nach Art. 3 Nr. 2 der Richtlinie vorliegt, wenn Polizeibehörden versuchen, Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen – auch wenn dieser Versuch scheitert und Daten faktisch nicht verarbeitet werden.

Zwar erging die Entscheidung zu Art. 3 Nr. 2 der Richtlinie 2016/680 (der Schwesterrichtlinie der DSGVO für den polizeilichen Bereich). Die Definition der „Verarbeitung“ ist jedoch deckungsgleich mit jener Definition in Art. 4 Nr. 2 DSGVO. Daher sind die Erwägungen des EuGH auch auf die DSGVO übertragbar.

„Verarbeitung“ bezeichnet nach Art. 3 Nr. 2 der Richtlinie und auch Art. 4 Nr. 2 der DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Wortlaut

Der EuGH betrachtet zunächst den Wortlaut der Norm. Insbesondere aus der Verwendung der Begriffe „jeder … Vorgang“, „jede … Vorgangsreihe“ und „eine andere Form der Bereitstellung“, ergebe sich, dass der Unionsgesetzgeber den Ausdruck „Verarbeitung“ und damit den sachlichen Anwendungsbereich der Richtlinie weit fassen wollte.

Zudem fügt der EuGH hinzu, dass die Aufzählung an Verarbeitungsformen in der Definition bewusst nicht abschließend sei.

Bereits diese, den Wortlaut betreffenden Gesichtspunkte sprechen nach Auffassung des EuGH somit für eine Auslegung,

wonach Polizeibehörden, wenn sie ein Telefon sicherstellen und versuchen, auf diesem Telefon gespeicherte personenbezogene Daten auszulesen oder abzufragen, eine Verarbeitung im Sinne von Art. 3 Nr. 2 der Richtlinie 2016/680 vornehmen, auch wenn es ihnen aus technischen Gründen nicht gelingen sollte, auf diese Daten zuzugreifen“.

Allein der Versuch einer Verarbeitung stellt also bereits die Verarbeitung dar, auch wenn es faktisch gerade nicht zu der beabsichtigten Verarbeitung kommt.

Grundsatz der Zweckbindung

Zudem betrachtet der EuGH auch den Kontext, in dem Art. 3 Nr. 2 der Richtlinie steht.

Nach Art. 4 Abs. 1 b) sehen die Mitgliedstaaten vor, dass personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden. In der DSGVO entspricht dies dem Grundsatz der Zweckbindung nach Art. 5 Abs. 1 b) DSGVO.

Die Wirksamkeit dieses Grundsatzes setzt nach Ansicht des EuGH aber zwingend voraus, dass der Zweck der Datenerhebung

„schon dann ermittelt wird, wenn die zuständigen Behörden versuchen, auf personenbezogene Daten zuzugreifen, da ein solcher Versuch, wenn er erfolgreich ist, es ihnen u. a. ermöglichen kann, die fraglichen Daten unverzüglich zu erheben, auszulesen oder abzufragen“.

Der EuGH betrachtet hier also nicht isoliert den Versuch, sondern bezieht auch die Folge des erfolgreichen Versuchs (= Zugriff auf Daten) mit ein. Bei erfolgreichem Versuch kommt es zur Verarbeitung. Da dazwischen keine weiteren Schritte liegen, können die datenschutzrechtlichen nur bereits vorab erfüllt werden. Nach erfolgreichem Versuch wäre es etwa für eine Information des Betroffenen zu spät.

Im Ergebnis stellt der EuGH fest, dass ein Versuch von Polizeibehörden, für die Zwecke strafrechtlicher Ermittlungen, Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen, in den Anwendungsbereich der Richtlinie 2016/680 fällt. Auch der Generalanwalt hatte in seinen Schlussanträgen diese Ansicht vertreten. Seines Erachtens führt eine Polizeibehörde, die ein Telefon sicherstellt, auf dem solche Daten gespeichert sind, und daran hantiert, um auf die Daten zuzugreifen, einen „Verarbeitungsvorgang“ durch, auch wenn dieser aus technischen Gründen infolge der Verschlüsselung erfolglos bleibt.

Fazit

Ich denke, dass für den EuGH bei seiner Auslegung ein wichtiger Aspekt war, dass der erfolgreiche Versuch direkt zur Verarbeitung geführt hätte. Datenschutzrechtliche Pflichten konnten dann nur bereits vor dem Versuch ordentlich beachtet und erfüllt werden.

Vorbeugende Beschwerde bei der Datenschutzbehörde zulässig?

Posted on by

In seinen Schlussanträgen vom 25.9.2025 (Rs. C‑474/24) befasst sich Generalanwalt Spielmann u.a. auch mit der interessanten Frage, ob Betroffene nach Art. 77 eine Beschwerde bei einer Datenschutzbehörde gegen eine Verarbeitung einlegen können, die noch nicht stattfindet – also eine Art vorbeugende Beschwerde.

Wortlaut sieht diesen Fall nicht explizit vor

Nach Art. 77 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, „wenn [sie] der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt“.

Der Wortlaut der Norm sieht zumindest nicht ausdrücklich den Fall vor, in dem die Verarbeitung noch nicht stattgefunden hat. Es wird der Ausdruck „verstößt“ im Präsens verwendet, was nach Ansicht des Generalanwalt zu bedeuten scheint, dass die Verarbeitung bereits stattgefunden haben muss. Jedoch schließt er die Möglichkeit, dass auch eine künftige Verarbeitung umfasst sein kann, als solche nicht aus).

Zweck der Beschwerde

Danach widmet sich der Generalanwalt im Rahmen der Auslegung dem Sinne und Zweck des Art. 77 DSGVO.

Eine Beschwerde durch Betroffene soll dazu führen, dass Datenschutzbehörden tätig werden, um ihre Aufgaben zu erfüllen und ihre Befugnisse wahrzunehmen.

Der Generalanwalt verweist auf Art. 58 Abs. 1 DSGVO, wonach jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse zur Bearbeitung eingereichter Beschwerden zur Verfügung stehen. Zu den Befugnissen der Aufsichtsbehörde nach Art. 58 Abs. 2 a) DSGVO gehört es, einen Verantwortlichen zu „warnen“, dass „beabsichtigte“ Verarbeitungsvorgänge „voraussichtlich“ gegen die DSGVO verstoßen.

Dass die DSGVO hier vorsieht, dass eine Aufsichtsbehörde auch eine zukünftige Verarbeitung prüfen kann, sieht der Generalanwalt als Teil eines Ansatzes,

den man als „vorbeugenden Schutz“ der Rechte der betroffenen Person bezeichnen kann“.

Vorbeugende Pflichten der DSGVO

Zudem stellt der Generalanwalt heraus, dass der Verantwortliche, bestimmte Verpflichtungen erfüllen und insbesondere die betroffene Person vor der Verarbeitung informieren muss.

Aus diesen kontextbezogenen Gesichtspunkten leitet der Generalanwalt ab, ein vorsorglicher oder präventiver Ansatz der Aufsichtsbehörden bei der Bearbeitung von Beschwerden im Kontext der DSGVO nicht von vornherein ausgeschlossen werden kann.

Ziele der DSGVO

Zuletzt betrachtet der Generalanwalt bei seiner Auslegung des Art. 77 DSGVO auch die generellen Ziele der DSGVO. Aus ErwG 10 geht hervor, dass sie darauf abzielt, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union zu gewährleisten.

Würde man die den Aufsichtsbehörden in Art. 57 Abs. 1 f) DSGVO auferlegte Verpflichtung, sich mit Beschwerden zu befassen, durch eine Auslegung von Art. 77 Abs. 1 DSGVO einschränken, nach der jede Möglichkeit ausgeschlossen wäre, eine Beschwerde bei einer Aufsichtsbehörde „im Vorfeld einer Verarbeitung“ einzureichen, könnte dies den Zielen dieser Verordnung zuwiderlaufen.

Zulässigkeit der vorbeugenden Beschwerde – aber …

Insgesamt geht der Generalanwalt daher davon aus, dass eine gemäß Art. 77 DSGVO eingelegte Beschwerde zulässig sein kann, obwohl die Verarbeitung personenbezogener Daten der betroffenen Person zum Zeitpunkt der Einreichung ihrer Beschwerde bei der Aufsichtsbehörde noch nicht stattgefunden hat.

Rein praktisch stellt sich dann natürlich die Frage, „wie früh“ die Beschwerde eingelegt werden kann? Wie konkret muss also die geplante Verarbeitung feststehen?

Einschränkend zur generellen Zulässigkeit der vorbeugenden Beschwerde geht der Generalanwalt davon aus, dass der geltend gemachte Verstoß gegen die DSGVO dafür geeignet sein muss und dass die betreffende Verarbeitung

nicht rein hypothetischer Natur sein darf“.

So wäre seiner Ansicht nach etwa eine Beschwerde, die sich auf die in Art. 12 DSGVO vorgesehene Informationspflicht oder auf das in Art. 15 DSGVO vorgesehene Auskunftsrecht bezieht, beispielsweise vor Beginn einer Datenverarbeitung zulässig.

Der Generalanwalt fügt danach ein Beispiel an, wann eine vorbeugende Beschwerde jedoch unzulässig ist. Hierbei stellt er auf den konkret geltend gemachten Verstoß und auch die Möglichkeit des Verantwortlichen ab, diesen Verstoß zu beseitigen.

Im vorliegenden Fall legte die Betroffene eine Beschwerde zur Löschung von Daten nach Art. 17 DSGVO sein, wobei die Daten noch nicht veröffentlicht waren. Die Betroffene hat angegeben, dass die Veröffentlichung ihrer Daten „mit ziemlicher Sicherheit unmittelbar bevorstehe“.

Konkret zu dieser Beschwerde geht der Generalanwalt davon aus, dass die auf das Recht auf Löschung gemäß Art. 17 DSGVO gestützte Beschwerde unzulässig war, weil sie eine Verarbeitung (hier die Veröffentlichung der personenbezogenen Daten der betroffenen Person) betrifft, die, auch wenn sie unmittelbar bevorsteht, weder zum Zeitpunkt der Einreichung der Beschwerde bei der Aufsichtsbehörde noch zum Zeitpunkt des Erlasses der Entscheidung dieser Aufsichtsbehörde vorlag.

Eine auf Löschung der Daten gerichtete Beschwerde setze naturgemäß voraus, dass die betreffende Verarbeitung, in diesem Fall die Veröffentlichung der Daten, tatsächlich stattgefunden hat. Dem Verantwortlichen dürfte es nämlich unmöglich sein, aufgrund einer solchen Beschwerde tätig zu werden und Daten zu löschen, wenn diese noch nicht veröffentlicht wurden.