EuGH: Löschanordnung einer Aufsichtsbehörde setzt keinen Antrag auf Löschung der betroffenen Person im Sinne von Art. 17 DSGVO voraus
Mit vom Urteil vom 14. März 2024 hat der EuGH (Az. C-46/23) entschieden, dass eine Datenschutzaufsichtsbehörde unabhängig davon, ob die von der Datenverarbeitung betroffene Person einen Löschantrag gestellt hat, die Löschung rechtswidrig erhobener Daten anordnen kann.
Im Jahr 2020 erließ die Verwaltung Újpest (Ungarn) eine Verordnung, um bestimmten Einwohnern, die zu einer Covid-19-Pandemie gefährdeten Gruppe gehörten, finanzielle Unterstützung zukommen zu lassen. Sie erhielt die notwendigen Identifizierungsdaten und Sozialversicherungsnummern von der ungarischen Staatskasse und der Regierungsbehörde und verarbeitete die Daten u.a. in einer Datenbank. Die ungarische Aufsichtsbehörde stellte nach einem Hinweis im Rahmen einer Untersuchung einige Datenschutzverstöße fest und ordnete die Löschung der Daten von Personen an, die die finanzielle Unterstützung trotz Berechtigung nicht beantragt hatten. Die Verwaltung Újpest vertrat insoweit die Auffassung das in Art. 17 DSGVO verankerte Löschrecht stünde allein der betroffenen Person zu. Im Übrigen sei zu differenzieren, bei wem die Daten erhobenen worden seien.
Der EuGH erteilte dieser Rechtsauffassung eine klare Absage. Er vertritt die Auffassung, dass eine Aufsichtsbehörde unabhängig vom Löschantrag der betroffenen Person die Löschung von personenbezogenen Daten gegenüber Verantwortlichen und Auftragsverarbeitern anordnen darf. Weiter wies der EuGH darauf hin, dass sich die Löschanordnung sowohl auf bei der betroffenen Person unmittelbar erhobene als auch auf Daten beziehen kann, die aus einer anderen Quelle stammen.
Quelle: InfoCuria Rechtsprechung