Das Urteil des Europäischen Gerichtshofs (EuGH) vom 11. Januar 2024 in der Rechtssache C-231/22 hat wesentliche Implikationen für das Verständnis der Datenschutz-Grundverordnung (DSGVO), insbesondere in Bezug auf die Verantwortlichkeit für die Verarbeitung personenbezogener Daten. Während der Fall sich direkt auf Amtsblätter eines Mitgliedstaats konzentriert, erstrecken sich die Auswirkungen des Urteils auch auf andere Bereiche und bieten wichtige Orientierungspunkte für eine Vielzahl von Organisationen und Einrichtungen.
Kernaspekte des Urteils: Der EuGH legte fest, dass das Amtsblatt eines Mitgliedstaats als „Verantwortlicher“ im Sinne der DSGVO für die Verarbeitung personenbezogener Daten angesehen werden kann, auch wenn es diese Daten lediglich unverändert veröffentlicht und keine Kontrolle über ihren Inhalt hat. Die Entscheidung betont, dass die Verantwortlichkeit für die Datenverarbeitung nicht nur natürliche oder juristische Personen umfasst, sondern auch Einrichtungen oder Stellen, deren Verarbeitungstätigkeiten durch das nationale Recht vorgegeben sind.
Auswirkungen auf andere Bereiche:
- Öffentliche Verwaltung und Behörden: Das Urteil hat direkte Konsequenzen für Behörden und öffentliche Verwaltungen, die regelmäßig personenbezogene Daten im Rahmen ihrer amtlichen Veröffentlichungspflichten verarbeiten. Es unterstreicht die Notwendigkeit einer genauen Prüfung der eigenen Rolle und Verantwortung im Kontext der DSGVO.
- Unternehmen und private Organisationen: Das Urteil verdeutlicht, dass Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, ohne unmittelbar Entscheidungen über den Zweck und die Mittel der Verarbeitung zu treffen, ebenfalls als „Verantwortliche“ angesehen werden können. Dies betrifft insbesondere Organisationen, die Daten im Auftrag oder nach den Vorgaben von Dritten verarbeiten.
- Digitale Plattformen und Online-Dienste: Für Plattformen, die Inhalte von Nutzern oder Dritten veröffentlichen, ergibt sich aus dem Urteil eine klare Verantwortlichkeit im Umgang mit personenbezogenen Daten. Auch wenn sie keinen direkten Einfluss auf die Erstellung der Inhalte haben, tragen sie Verantwortung für die Datenverarbeitung.
- Datenschutz und Compliance: Das Urteil betont die Bedeutung der Datenschutz-Compliance für alle Organisationen, die personenbezogene Daten verarbeiten. Es unterstreicht die Notwendigkeit, Datenschutzpraktiken kontinuierlich zu überprüfen und an die DSGVO anzupassen.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530