Art. 5 – Grundsätze für die Verarbeitung personenbezogener Daten

Zitierende Gerichtsentscheidungen

• C-769/22 – Europäische Kommission gegen UngarnECLI:EU:C:2026:326

  Vertragsverletzung eines Mitgliedstaats – Art. 258 AEUV – Nationale Rechtsvorschriften, die zum Schutz von Kindern Beschränkungen im Zusammenhang mit Abweichungen von der dem Geschlecht bei der Geburt entsprechenden persönlichen Identität, Geschlechtsumwandlungen oder Homosexualität einführen – Richtlinien 2000/31/EG, 2006/123/EG, 2010/13/EU – Verordnung (EU) 2016/679 – Beschränkungen der Sexualerziehung – Diskriminierungsverbot – In Art. 2 EUV verankerte Werte der Europäischen Union – In einer Vertragsverletzungsklage geltend gemachte Verletzung dieser Werte – Art. 1, 7, 11 und 21 der Charta der Grundrechte der Europäischen Union – Schutz personenbezogener Daten

• BVerwG, Urt. v. 06.03.2026 – 6 C 7.24ECLI:DE:BVerwG:2026:060326U6C7.24.0

  1. Von einer privaten Krankenversicherung angebotene Vorsorge- und Präventivprogramme wie etwa Coaching-Angebote bei Diabetes, Asthma oder Rückenleiden sind von dem Begriff der Gesundheitsvorsorge im Sinne der in Art. 9 Abs. 2 Buchst. h DSGVO geregelten Ausnahme von dem Verbot der Verarbeitung von Gesundheitsdaten (Art. 9 Abs. 1 DSGVO) umfasst. 2. Als durch Art. 9 Abs. 2 Buchst. h DSGVO geforderte Rechtsgrundlage für die Datenverarbeitung verstößt § 22 Abs. 1 Nr. 1 Buchst. b BDSG weder gegen das unionsrechtliche Normwiederholungsverbot noch gegen Bestimmtheitsanforderungen. 3. § 22 Abs. 1 Nr. 1 Buchst. b BDSG fordert nicht, dass die mit der Verarbeitung der besonders sensiblen Daten befassten Mitarbeiter einer privaten Krankenversicherung neben § 203 Abs. 1 Nr. 7 StGB zusätzlich einer spezifisch berufsrechtlich geregelten Geheimhaltungspflicht unterliegen.

• C-97/23 – WhatsApp Ireland Ltd gegen Europäischer DatenschutzausschussECLI:EU:C:2026:81

  Rechtsmittel – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 63 – Kohärenzverfahren – Art. 65 – Beilegung der Streitigkeiten durch den Europäischen Datenschutzausschuss – Verbindlicher Beschluss – Nichtigkeitsklage – Art. 263 Abs. 1 AEUV – Anfechtbare Handlung – Art. 263 Abs. 4 AEUV – Voraussetzung, wonach der Kläger von der Maßnahme, die Gegenstand seiner Klage ist, unmittelbar betroffen sein muss

• C-422/24 – Integritetsskyddsmyndigheten gegen AB Storstockholms LokaltrafikECLI:EU:C:2025:980

  Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 13 und 14 – Anwendungsbereich – Personenbezogene Daten, die durch eine von Fahrkartenkontrolleuren im öffentlichen Personenverkehr getragene Körperkamera erhoben werden – Rechtsgrundlage für die dem Verantwortlichen obliegende Pflicht, die betroffene Person zu informieren

• C-492/23 – X gegen Russmedia Digital SRL und Inform Media Press SRLECLI:EU:C:2025:935

  Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Verantwortlichkeit des Betreibers eines Online-Marktplatzes für die Veröffentlichung personenbezogener Daten in Anzeigen, die von inserierenden Nutzern auf seinem Online-Marktplatz platziert werden – Art. 5 Abs. 2 – Grundsatz der Rechenschaftspflicht – Art. 26 – Gemeinsame Verantwortlichkeit mit diesen inserierenden Nutzern – Art. 9 Abs. 1 und Abs. 2 Buchst. a – Anzeigen, die sensible Daten enthalten – Rechtmäßigkeit der Verarbeitung – Einwilligung – Art. 24, 25 und 32 – Pflichten des Verantwortlichen – Vorherige Identifizierung von Anzeigen, die solche Daten enthalten – Vorabprüfung der Identität des inserierenden Nutzers – Verweigerung der Veröffentlichung unrechtmäßiger Anzeigen – Schutzmaßnahmen, die geeignet sind, das Kopieren der Anzeigen und ihre Veröffentlichung auf anderen Websites zu verhindern – Elektronischer Geschäftsverkehr – Richtlinie 2000/31/EG – Art. 12 bis 15 – Möglichkeit für einen solchen Betreiber, sich im Hinblick auf eine Verletzung dieser Verpflichtungen auf die Haftungsbefreiung eines Vermittlers von Diensten der Informationsgesellschaft zu berufen

• BGH, Urt. v. 11.11.2025 – VI ZR 396/24ECLI:DE:BGH:2025:111125UVIZR396.24.0

  1. Der Verantwortliche hat auch im Zusammenhang mit der Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Er hat sicherzustellen, dass - vorbehaltlich etwaiger gesetzlicher Speicherpflichten - keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt. 2. Verbleiben personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter, werden sie dort abgegriffen und im Darknet zum Verkauf angeboten, stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Ein solcher ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden sind.

• C-655/23 – IP gegen Quirin Privatbank AGECLI:EU:C:2025:655

  Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Rechte der betroffenen Person – Art. 17 – Recht auf Löschung von Daten – Art. 18 – Recht auf Einschränkung der Verarbeitung – Art. 79 – Recht auf einen wirksamen gerichtlichen Rechtsbehelf – Unrechtmäßige Verarbeitung personenbezogener Daten – Rechtsbehelf mit dem Ziel, dem Verantwortlichen aufzuerlegen, künftig jede weitere unrechtmäßige Verarbeitung zu unterlassen – Grundlage – Voraussetzungen – Art. 82 Abs. 1 – Schadensersatzanspruch – Begriff ‚immaterieller Schaden‘ – Bemessung des Schadensersatzes – Mögliche Berücksichtigung des Grades des Verschuldens des Verantwortlichen – Mögliche Auswirkungen einer erwirkten ‚Unterlassungsanordnung‘

• C-710/23 – L. H. gegen Ministerstvo zdravotnictvíECLI:EU:C:2025:231

  Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 – Begriffsbestimmungen – Art. 6 – Rechtmäßigkeit der Verarbeitung – Art. 86 – Zugang der Öffentlichkeit zu amtlichen Dokumenten – Daten über den Vertreter einer juristischen Person – Rechtsprechung eines nationalen Gerichts, wonach die Verpflichtung besteht, vor der Offenlegung amtlicher Dokumente, die solche Daten enthalten, die betroffene Person zu unterrichten und zu konsultieren

• C-247/23 – VP gegen Országos Idegenrendészeti FőigazgatóságECLI:EU:C:2025:172

  Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 5 Abs. 1 Buchst. d – Grundsatz der Richtigkeit – Art. 16 – Recht auf Berichtigung – Art. 23 – Beschränkungen – Daten betreffend die Geschlechtsidentität – Daten, die bereits zum Zeitpunkt ihrer Eintragung in ein öffentliches Register unrichtig waren – Beweismittel – Verwaltungspraxis, nach der der Nachweis einer geschlechtsangleichenden Operation verlangt wird

• C-638/23 – Amt der Tiroler Landesregierung gegen DatenschutzbehördeECLI:EU:C:2025:127

  Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Unmittelbare Benennung des Verantwortlichen durch das nationale Recht – Hilfsapparat einer Landesregierung – Keine Rechtspersönlichkeit – Keine eigene Rechtsfähigkeit – Entscheidung über die Zwecke und Mittel der Verarbeitung