Ein fehlendes Verarbeitungsverzeichnis oder ein fehlender Vertrag über eine gemeinsame Verantwortlichkeit führt nicht automatisch zur unzulässigen Datenverarbeitung (EuGH, Urt. v. 04.05.2023 - Az.: C-60/22).
Im vorliegenden Verfahren ging es um die Frage, ob ein Unternehmen, das ausreichendes Verarbeitungsverzeichnis erstellt hat oder keinen Vertrag über eine gemeinsame Verantwortlichkeit abgeschlossen hat, automatisch die Daten unzulässig verarbeitet und der einzelne Betroffene einen Löschungsanspruch hat.
Der EuGH hat diese Frage verneint:
"1. Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass der Verstoß eines Verantwortlichen gegen die Pflichten aus den Art. 26 und 30 dieser Verordnung über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten keine unrechtmäßige Verarbeitung darstellt, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht, weil dieser Verstoß als solcher nicht bedeutet, dass der Verantwortliche gegen den Grundsatz der „Rechenschaftspflicht“ im Sinne von Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 Unterabs. 1 dieser Verordnung verstößt.
2. Das Unionsrecht ist dahin auszulegen, dass dann, wenn ein für die Verarbeitung personenbezogener Daten Verantwortlicher gegen seine Pflichten aus den Art. 26 oder 30 der Verordnung 2016/679 verstoßen hat, die Einwilligung der betroffenen Person keine Voraussetzung dafür darstellt, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig ist."