Die allgemeine Datenschutz-Grundverordnung (GDPR) ist ein häufiges Thema auf der Tagesordnung des Gerichtshofs der Europäischen Union (EuGH). Im Urteil vom 14. März 2024 war als Gegenstand die Befugnis der Aufsichtsbehörden einzelner Mitgliedsstaaten, die Löschung personenbezogener Daten ohne Antrag der betroffenen Person anzuordnen.

Im vorliegenden Rechtsstreit ordnete die ungarische Aufsichtsbehörde der Stadtbehörde in Újpest an, personenbezogene Daten im Umfang der Basisidentitätsdaten und Sozialversicherungsnummern natürlicher Personen, die zum Zweck der Unterstützung im Zusammenhang mit der Covid-19-Situation auf der Grundlage einer kommunalen Verordnung verarbeitet wurden, zu löschen. Die ungarische Aufsichtsbehörde erklärte unter anderem, dass die Stadtverwaltung in Újpest die betroffenen Personen nicht innerhalb einer Frist von einem Monat über die im Zusammenhang mit diesem Programm verarbeiteten Kategorien personenbezogener Daten, über den Zweck der betreffenden Verarbeitung und die Verfahren zur Ausübung der diesbezüglichen Rechte der betroffenen Personen informiert habe. Auch die ungarische Staatskasse, die der Stadtverwaltung die Daten zur Verfügung gestellt hatte, wurde mit einer Geldstrafe bestraft.

Im Rahmen des anschließenden Rechtsstreits wandte sich das ungarische Gericht an den EuGH mit der Frage, ob der Artikel 58 Absatz 2 Buchstabe c), d) und g) der GDPR-Verordnung so auszulegen ist, dass die Aufsichtsbehörde des Mitgliedstaats bei der Ausübung ihrer in diesen Bestimmungen vorgesehenen Befugnisse berechtigt ist, den Verantwortlichen oder Verarbeitern Korrekturmaßnahmen gemäß diesen Bestimmungen anzuweisen, die unrechtmäßig verarbeiteten personenbezogenen Daten zu löschen, obwohl die betroffene Person zu diesem Zweck keinen Antrag auf Ausübung ihrer Rechte gemäß Artikel 17 Absatz 1 dieser Verordnung gestellt hat.

Der EuGH hat den Wortlaut des Artikels 17 im Sinne präzisiert, dass er beide Regelungen enthält, d.h. sowohl die Löschung auf Antrag der betroffenen Person als auch auf Anweisung des Verantwortlichen. Die zweite Variante ist notwendig, da es Situationen gibt, in denen die betroffene Person nicht unbedingt darüber informiert wurde, dass ihre Person betreffende personenbezogene Daten verarbeitet werden. Um einen hohen Schutzstandard und damit eine wirksame Anwendung von GDPR zu gewährleisten, muss die Aufsichtsbehörde über die Befugnis verfügen, bei Verstößen gegen diese Verordnung einzuschreiten. Dabei spielt es laut EuGH keine Rolle, ob die eingeholten Daten von der betroffenen Person selbst oder aus einer anderen Quelle stammen.

Die innerstaatliche Aufsichtsbehörde kann daher die Löschung der verarbeiteten Daten auch aus eigener Initiative anordnen, ohne dass eine Einwilligung des Betroffenen der verwalteten Daten erforderlich ist.