Entscheidungen des Europäischen Gerichtshofs

Von automatisierter Entscheidungsfindung Betroffene haben Anspruch auf verständliche Erläuterung der dabei angewandten Verfahren und Grundsätze; bei Kollision mit Geschäftsgeheimnissen entscheidet die Aufsichtsbehörde bzw. das Gericht über den Umfang des Auskunftsanspruchs (Rechtssache C‑203/22).

Bei Tochterunternehmen bemisst sich die maximale Bußgeldhöhe nach dem Umsatz des gesamten Konzerns – auch im Fall der Verhängung durch Strafgerichte (Rechtssache C‑383/23).

Um Beschwerden als exzessiv einstufen zu können, müssen Aufsichtsbehörden der beschwerdeführenden Person eine Missbrauchsabsicht nachweisen (Rechtssache C‑416/23).

Die Geschlechtsidentität ist keine für den Fahrkartenkauf erforderliche Angabe (Rechtssache C‑394/23).

Ein soziales Netzwerk darf personenbezogene Daten, die es von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb der Plattform erhoben wurden, nicht unterschiedslos und zeitlich unbegrenzt zwecks zielgerichteter Werbung verarbeiten (Rechtssache C-446/21).

Eine Vorratsspeicherung von IP-Adressen zur Bekämpfung von Straftaten im Allgemeinen ist zulässig, sofern die Art der Speicherung keine genauen Schlüsse auf das Privatleben der betroffenen Personen ermöglicht (Rechtssache C-470/21).

Zeichenfolgen, mit denen individuelle Einwilligungspräferenzen im Rahmen des Real Time Biddings gespeichert werden, sind bei Identifizierbarkeit der Person personenbezogene Daten im Sinne der DS-GVO (C-604/22).

Die DS-GVO gilt grundsätzlich auch für parlamentarische Untersuchungsausschüsse; gibt es nur eine Aufsichtsbehörde, ist diese direkt aufgrund der DS-GVO für die Aufsicht über das Parlament zuständig (C-33/22).

Allein die Befürchtung eines möglichen Datenmissbrauchs kann einen immateriellen Schaden darstellen; Verantwortliche sind ggf. auch für Schäden durch Datenschutzverletzungen Dritter haftbar (C-340/21).

Private Auskunfteien dürfen Informationen zu Restschuldbefreiungen nicht länger speichern als öffentliche Insolvenzregister; Beschlüsse der Aufsichtsbehörde unterliegen auch inhaltlich der Überprüfung durch Gerichte (C‑26/22 und C‑64/22).

Eine automatisierte Bonitätsberechnung mit bestimmendem Einfluss auf die Kreditvergabe ist ein Fall der grundsätzlich verbotenen automatisierten Entscheidung im Einzelfall (C‑634/21).

Geldbußen setzen schuldhaftes Verhalten voraus und sind auch direkt gegen juristische Personen möglich – ohne Zurechnung zu einer natürlichen Person; Verantwortliche haften auch für ihnen zurechenbare Verstöße von Auftragsverarbeitern; gemeinsame Verantwortlichkeit bedarf keiner förmlichen Vereinbarung. (C‑807/21 und C‑683/21)

Patientinnen und Patienten haben ein Recht auf unentgeltliche Zurverfügungstellung einer ersten Kopie ihrer durch die Ärztin/den Arzt verarbeiteten personenbezogenen Daten (Rechtssache C‑307/22).

Eine Wettbewerbsbehörde kann im Rahmen ihrer Prüfung, ob eine marktbeherrschende Stellung missbraucht wird, einen Verstoß gegen die DS-GVO feststellen (Rechtssache C‑252/21).

Ein Verstoß gegen Artikel 26 oder 30 DS-GVO (Vereinbarung gemeinsam Verantwortlicher bzw. Verzeichnis von Verarbeitungstätigkeiten) bewirkt keine Unrechtmäßigkeit der Verarbeitung (Rechtssache C‑60/22).

„Kopie“ meint „eine originalgetreue und verständliche Reproduktion“. Eine Kopie von Dokumenten oder Datenbankauszügen in Teilen oder gar im Ganzen kann aus Gründen der Verständlichkeit erforderlich sein (Rechtssache C‑487/21).

Schadenersatz setzt neben dem Verstoß gegen die DS-GVO einen hierdurch verursachten Schaden voraus; immaterielle Schäden sind unabhängig vom Erheblichkeitsgrad ersatzpflichtig; die Schadenersatzhöhe bemisst sich nach nationalen Vorschriften (Rechtssache C‑300/21).

Eine „spezifischere Vorschrift“ im Sinne der Öffnungsklausel des Artikels 88 Absatz 1 DS-GVO können nur solche Vorschriften sein, welche die konkreten Vorgaben von Absatz 2 dieses Artikels erfüllen (Rechtssache C‑34/21).

Die Datenschutz-Grundverordnung steht der Anwendung einer nationalen Regelung nicht entgegen, nach der ein Datenschutzbeauftragter aus wichtigem Grund abberufen werden kann, wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt (Rechtssachen C-453/21 und C-560/21).

Das Recht auf Beschwerde bei einer Aufsichtsbehörde und der gerichtliche Rechtsbehelf sind nebeneinander und unabhängig voneinander auszuüben (Rechtssache C-132/21).

Das Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen (Rechtssache C-154/21).

Entscheidung zur Verpflichtung von Telefonanbietern, Maßnahmen zu treffen, die bewirken, dass ein Widerruf von Teilnehmern zur Veröffentlichung ihrer Daten auch bei anderen Verantwortlichen zur Löschung dieser Daten führen (Rechtssache C-129/21).

Das grundsätzliche Verarbeitungsverbot des Artikels 9 Absatz 1 DS-GVO gilt auch für die Veröffentlichung personenbezogener Daten, mit denen indirekt die sexuelle Orientierung einer natürlichen Person offenbart wird (Rechtssache C-184/20).

Die Zuständigkeit für Verstöße bei der grenzüberschreitenden Datenverarbeitung beschränkt sich nicht auf die federführende Datenschutzaufsichtsbehörde (Rechtssache C-645/19).

Daten von EU Bürgern dürfen an Drittländer außerhalb des Europäischen Wirtschaftsraums nur übermittelt werden, wenn sie dort einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches angemessenes Schutzniveau verneint (Rechtssache C-311/18 - „Schrems II“).

Entscheidung zu den Anforderungen an eine wirksame Einwilligung in die Verarbeitung von Daten, die im Rahmen der Internetnutzung anfallen (Rechtssache C-673/17).

Der Betreiber einer Suchmaschine muss dem Antrag eines Betroffenen auf Löschung personenbezogener Suchergebnisse „in allen mitgliedstaatlichen Versionen seiner Suchmaschine“ nachkommen (Rechtssache C-507/17).

Betreiberinnen und Betreiber von Webseiten mit dem Facebook-Button „Gefällt mir“ sind für die Datenerhebung mitverantwortlich (Rechtssache C-40/17).

Die Mitgliedstaaten müssen die Arbeitgeber verpflichten, ein System einzurichten, mit dem die tägliche Arbeitszeit gemessen werden kann (Rechtssache C-55/18).

Bei den Notizen zu ihren Hausbesuchen, die unter bestimmten Voraussetzungen Dateien darstellen, müssen die Zeugen Jehovas EU-Vorschriften zum Datenschutz beachten (Rechtssache C-25/17).

Datenschutzrechtliche Verantwortung für den Betrieb von Facebook-Fanpages sowie Zuständigkeit für die Datenschutzaufsicht (Rechtssache C-210/16).

Berechtigtes Interesse von Webseitenbetreibern, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen; Personenbezug von IP-Adressen (Rechtssache C-582/14, berichtigt).

Ungültigkeit der Entscheidung der Kommission, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten (Rechtssache C-362/14).

Verantwortung eines Suchmaschinenbetreibers für die von ihm vorgenommene Verarbeitung von personenbezogenen Daten, die auf von Dritten veröffentlichten Internetseiten erscheinen (Rechtssache C-131/12).

Ungültigkeit der Richtlinie über die Vorratsspeicherung von Daten - Richtlinie 2006/24/EG (verbundene Rechtssachen C-293/12 und C-594/12).