Der Kläger in dem zu entscheidenden Fall warf einem Bundesamt der Bundesrepublik Deutschland einen Datenschutzverstoß vor. Er stellte vor vier Jahren einen Antrag auf internationalen Schutz, der von dem Bundesamt abgelehnt wurde. Dieses stützte die Begründung des ablehnenden Bescheides auf eine durch das Bundesamt erstellte elektronische Akte über den Kläger. Diese Akte enthält dessen personenbezogene Daten. Dagegen ging der Kläger vor dem Verwaltungsgericht Wiesbaden vor. Das Gericht zweifelte an der Datenschutzrechtskonformität des Führens der vom Bundesamt erstellten Akte sowie deren, im Rahmen des Rechtsstreits erforderlichen, Übermittlung an das Gericht über das Elektronische Gerichts- und Verwaltungspostfach. Konkret wurde an der Vereinbarkeit dieses Vorgehens mit Rechtsnormen aus der Datenschutzgrundverordnung (DSGVO) gezweifelt. Im Vordergrund steht die Annahme, das Bundesamt verstoße gegen Artikel 26 und 30 der Datenschutzgrundverordnung. Nach Artikel 30 DSGVO wird vorgeschrieben, dass jeder für die Datenverarbeitung Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen hat. Dies müssen auch dessen Vertreter tun, die seiner Zuständigkeit unterliegen. In dem Artikel sind auch die zu verzeichnenden Daten konkret beschrieben. Dem Bundesamt wird vorgeworfen gerade kein vollständiges Verzeichnis in Bezug auf die Verarbeitungstätigkeiten geführt zu haben. Ein solches hätte zu dem Zeitpunkt, zu dem der Kläger internationalen Schutz beantragte, wohl erstellt werden müssen. Nach Artikel 26 der DSGVO wird bestimmt, wann Verantwortliche gemeinsam als solche agieren, wenn mehrere beteiligt sind sowie deren Pflicht zu einer gemeinsamen Verarbeitungsverarbeitung. Diese Vorschrift geriet daher ins Augenmerk des Gerichts, da die besagte Übermittlung an das Gericht ein Übermittlungsverfahren zwischen der Verwaltungsbehörde und dem Gericht darstellt. Bei dieser Übermittlung werden personenbezogene Daten von beiden Parteien verarbeitet. Die Beteiligten können keine solche Vereinbarung über die gemeinsame Verantwortlichkeit nachweisen. So steht außerdem die Frage im Raum, ob das Gericht die elektronische Akte überhaupt bei der Entscheidung berücksichtigen dürfe, da das Führen und Übermitteln rechtswidrig sei nach Ansicht des Verwaltungsgerichts Wiesbaden. Bei Verstößen gegen die besagten Artikel gelte der Verarbeitungsvorgang als rechtswidrig. Die Folge wäre ein Löschanspruch oder Einschränkungsanspruch des Klägers in Bezug auf die verarbeiteten Daten.
Der EuGH stellte in seiner Entscheidung nun fest, dass ein bloßer Verstoß eines Verantwortlichen gegen Artikel 26 und 30 DSGVO über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung beziehungsweise das Führen eines Verzeichnisses über die Verarbeitungstätigkeiten keine unrechtmäßige Verarbeitung ist. Diese begründet damit gerade kein Recht auf Löschung oder auf Einschränkung der Verarbeitung. Denn die Rechtmäßigkeit einer Verarbeitung hängt zum einen von der Einhaltung gewisser datenschutzrechtlicher Grundsätze ab, die in Artikel 5 der DSGVO aufgelistet sind. Zum anderen hängt die Rechtmäßigkeit davon ab, ob bestimmte Merkmale, die in Artikel 6 der DSGVO abschließend aufgelistet sind, bei der Verarbeitung erfüllt sind. Die Pflichten aus den Artikeln 26 und 30 zählen gerade nicht zu den in Artikel 6 der DSGVO genannten Gründen für die Rechtmäßigkeit der Verarbeitung. Das heißt ein Verstoß gegen die Pflichten aus Artikel 26 und Artikel 30 der DSGVO kann umgekehrt auch keine unrechtmäßige Verarbeitung darstellen, die zu Rechten des Betroffenen führt, so der EuGH. Insbesondere würden durch das Fehlen einer entsprechenden Vereinbarung oder des Verzeichnisses keine Rechte und Grundfreiheiten der Betroffenen verletzt. Das Nichteinhalten dieser Pflichten kann mittels anderer Rechte, die ebenfalls aus der DSGVO resultieren, gerügt werden. Allerdings nicht durch den besagten Löschungs- oder Einschränkungsanspruch.
Hätte der Verantwortliche gegen Artikel 26 oder 30 der DSGVO verstoßen, ist die Einwilligung der betroffenen Person allerdings keine Voraussetzung dafür, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig ist, entschied der EuGH.