EuGH klärt Ausnahmen von der Informationspflicht nach DSGVO: Urteil mit weitreichenden Folgen für Unternehmen und Betroffene

Am 28. November 2024 hat der Gerichtshof der Europäischen Union (EuGH) ein Urteil in der Rechtssache C‑169/23 [Másdi] gefällt, das Unternehmen, Aufsichtsbehörden und betroffene Personen gleichermaßen betrifft. Im Fokus steht die Auslegung von Art. 14 Abs. 5 Buchst. c der Datenschutz-Grundverordnung (DSGVO). Dabei geht es um die Informationspflicht, wenn personenbezogene Daten nicht direkt bei der betroffenen Person erhoben werden, sondern von anderen Quellen stammen oder sogar vom Verantwortlichen selbst im Rahmen seiner Aufgaben erzeugt wurden.

Der Fall: Datenschutz bei COVID-19-Zertifikaten

Die Klage drehte sich um die Ausstellung von COVID-19-Immunitätszertifikaten in Ungarn. Die zuständige Behörde hatte personenbezogene Daten verarbeitet, die teils aus externen Quellen stammten, teils aber auch selbst generiert wurden, beispielsweise Seriennummern und QR-Codes. Ein Bürger, der ein solches Zertifikat erhalten hatte, beschwerte sich bei der ungarischen Datenschutzbehörde. Er bemängelte, dass keine ausreichenden Informationen zur Verarbeitung seiner Daten bereitgestellt wurden – eine Verletzung der DSGVO, wie er argumentierte.

Die Behörde wies die Beschwerde zurück und berief sich auf eine Ausnahme: Art. 14 Abs. 5 Buchst. c DSGVO entbinde von der Informationspflicht, wenn die Verarbeitung gesetzlich geregelt sei und „geeignete Maßnahmen“ zum Schutz der Betroffenen ergriffen würden.

Das ungarische Oberste Gericht legte den Fall dem EuGH vor, um klären zu lassen, wie weit diese Ausnahme reicht.

Die Kernaussagen des Urteils

  1. Ausnahme umfasst alle nicht direkt erhobenen Daten
    Der EuGH stellte klar: Die Ausnahme von der Informationspflicht nach Art. 14 Abs. 5 Buchst. c DSGVO gilt für alle personenbezogenen Daten, die nicht direkt bei der betroffenen Person erhoben wurden. Das umfasst auch Daten, die der Verantwortliche selbst aus anderen Quellen generiert hat, etwa während eines behördlichen Verfahrens. Entscheidend ist also nicht, woher die Daten ursprünglich stammen, sondern ob sie direkt von der betroffenen Person erhoben wurden.
  2. Prüfpflicht der Aufsichtsbehörden
    Aufsichtsbehörden müssen im Rahmen von Beschwerden nach Art. 77 DSGVO prüfen, ob nationale Gesetze tatsächlich geeignete Maßnahmen zum Schutz der Rechte und Interessen betroffener Personen vorsehen. Die bloße Existenz eines Gesetzes reicht nicht aus; es muss ein Schutzniveau gewährleisten, das mit den Anforderungen der DSGVO vergleichbar ist.
  3. Keine Prüfung der Datensicherheitsmaßnahmen
    Der Gerichtshof stellte zugleich klar, dass diese Prüfung sich nicht auf Maßnahmen zur Datensicherheit nach Art. 32 DSGVO erstreckt. Diese Maßnahmen sind unabhängig von der Informationspflicht immer zu gewährleisten und werden durch die Ausnahme nicht berührt.

Was bedeutet das für Unternehmen und Behörden?

Das Urteil macht deutlich, dass die Ausnahme von der Informationspflicht weitreichender ist, als bislang von vielen angenommen. Gleichzeitig setzt der EuGH hohe Maßstäbe an den Schutz der Betroffenenrechte. Unternehmen und Behörden, die personenbezogene Daten verarbeiten, müssen sicherstellen, dass nationale Vorschriften den Anforderungen der DSGVO entsprechen.

Für Unternehmen bedeutet das:

  • Eine gründliche Prüfung nationaler Regelungen ist unerlässlich, bevor man sich auf eine Ausnahme beruft.
  • Selbst wenn eine Ausnahme von der Informationspflicht gilt, entbindet dies nicht von der Einhaltung anderer DSGVO-Vorschriften, insbesondere zur Datensicherheit.

Für betroffene Personen: Mehr Transparenz gefordert

Das Urteil stärkt auch die Rechte der Betroffenen. Sie können erwarten, dass Aufsichtsbehörden ihre Beschwerden umfassend prüfen und bei Mängeln Abhilfe schaffen. Gleichzeitig zeigt es, wie wichtig ein fundiertes Verständnis der DSGVO ist, um die eigenen Rechte effektiv wahrzunehmen.

Fazit: Präzedenzfall mit Signalwirkung

Dieses Urteil schafft nicht nur Klarheit für die Praxis, sondern setzt auch Maßstäbe für den Umgang mit Ausnahmen im Datenschutzrecht. Es unterstreicht, dass der Schutz der Betroffenenrechte oberste Priorität hat – auch dann, wenn Behörden und Unternehmen von gesetzlichen Ausnahmen Gebrauch machen.

Stefan Lutz, LL.M.

Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.

Telefon: 0751 / 27 088 530

 lutz@datenschutz-rv.de  https://www.datenschutz-rv.de