Das Urteil des Europäischen Gerichtshofs (EuGH) vom 9. Januar 2025 (C‑394/23) beschäftigt sich mit der Verarbeitung personenbezogener Daten durch ein Transportunternehmen. Es geht dabei um die Frage, ob das sogenannte „berechtigte Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO eine rechtmäßige Grundlage darstellen kann, wenn den betroffenen Personen die erforderlichen Informationen gemäß Art. 13 DSGVO nicht mitgeteilt wurden.
Das Gericht hat klargestellt: Ohne Transparenz gegenüber den Betroffenen – und dazu gehört auch die klare Information über die verfolgten berechtigten Interessen – kann sich ein Unternehmen nicht auf diese Rechtsgrundlage stützen. Dies hat erhebliche praktische Konsequenzen für datenverarbeitende Unternehmen.
Berechtigtes Interesse: Klare Anforderungen
Der EuGH führt aus, dass eine Datenverarbeitung nur dann auf das berechtigte Interesse gestützt werden kann, wenn die folgenden Voraussetzungen kumulativ erfüllt sind:
- Es liegt ein berechtigtes Interesse vor: Dieses muss objektiv nachvollziehbar und klar definiert sein.
- Die Verarbeitung ist erforderlich: Es darf keine weniger eingreifenden Alternativen geben, um das berechtigte Interesse zu erreichen.
- Abwägung mit den Betroffenenrechten: Die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person dürfen nicht überwiegen.
Besonders relevant ist jedoch die Informationspflicht gemäß Art. 13 Abs. 1 lit. d DSGVO. Unternehmen müssen betroffene Personen explizit darüber informieren, welches berechtigte Interesse mit der Verarbeitung verfolgt wird. Diese Information muss unmittelbar bei der Datenerhebung erfolgen. Andernfalls scheitert die Rechtmäßigkeit der Verarbeitung bereits an der fehlenden Transparenz.
Praktische Hinweise für Unternehmen
- Informationspflichten erfüllen:
Bei der Erhebung personenbezogener Daten müssen Verantwortliche den Betroffenen klar mitteilen:- Für welche Zwecke die Daten verarbeitet werden.
- Auf welcher Rechtsgrundlage dies geschieht.
- Welches berechtigte Interesse verfolgt wird (falls Art. 6 Abs. 1 lit. f DSGVO herangezogen wird).
Diese Informationen sollten in leicht verständlicher Form bereitgestellt werden – etwa durch Datenschutzerklärungen oder interaktive Hinweise in Onlineformularen.
- Erforderlichkeit prüfen:
Unternehmen sollten genau prüfen, ob eine Verarbeitung tatsächlich erforderlich ist, um das berechtigte Interesse zu verwirklichen. Alternative, weniger eingreifende Maßnahmen müssen vorrangig berücksichtigt werden. - Dokumentation und Abwägung:
Es empfiehlt sich, die Interessenabwägung sorgfältig zu dokumentieren. Dies kann im Falle von Datenschutzbeschwerden oder Prüfungen durch Aufsichtsbehörden die Rechtmäßigkeit der Verarbeitung untermauern. - Keine nachträgliche Rechtfertigung:
Wenn die Informationspflichten nicht erfüllt wurden, kann ein berechtigtes Interesse nicht nachträglich herangezogen werden. Die Datenverarbeitung wäre dann unrechtmäßig, was Bußgelder und Schadensersatzforderungen nach sich ziehen kann.
Bedeutung für Betroffene
Für Betroffene stärkt das Urteil die Durchsetzung ihrer Rechte. Wer sich nicht ausreichend über die Zwecke der Datenverarbeitung informiert fühlt, kann Widerspruch einlegen und die Löschung seiner Daten verlangen. Auch der Weg zu den Datenschutzaufsichtsbehörden oder der Klageweg steht offen, wenn Informationspflichten verletzt wurden.
Fazit
Das Urteil verdeutlicht die hohen Anforderungen, die an das berechtigte Interesse als Rechtsgrundlage gestellt werden. Transparenz ist nicht nur ein formaler Aspekt, sondern eine essenzielle Voraussetzung, ohne die Unternehmen keine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO rechtfertigen können. Um rechtliche Risiken zu vermeiden, sollten Verantwortliche ihre Datenschutzprozesse kritisch überprüfen und sicherstellen, dass alle Informationspflichten lückenlos eingehalten werden.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530