Dieses Urteil hat erhebliche praktische Auswirkungen und mahnt Behörden sowie Unternehmen, die Konformität ihrer Datenverarbeitungsprozesse sorgfältig zu prüfen und gegebenenfalls anzupassen, wobei stets eine Abwägung zwischen dem Datenschutz und anderen legitimen Interessen, wie dem öffentlichen Zugang zu Informationen, erfolgen muss.
Mit seinem Urteil vom 3. April 2025 (Rechtssache C-710/23) hat der Europäische Gerichtshof (EuGH) erneut die weitreichende Bedeutung der Datenschutz-Grundverordnung (DSGVO) unterstrichen, insbesondere im beruflichen Umfeld. Der Gerichtshof stellte klar, dass Namen, Unterschriften und berufliche Kontaktdaten von Geschäftsführern, Vorständen und anderen Vertretern juristischer Personen als personenbezogene Daten im Sinne der DSGVO gelten. Folglich unterliegt ihre Verarbeitung, einschließlich der Offenlegung, den strengen Anforderungen der Verordnung und bedarf stets einer gültigen Rechtsgrundlage.
Sachverhalt
Ausgangspunkt des Verfahrens war ein Antrag eines Bürgers in der Tschechischen Republik beim dortigen Gesundheitsministerium. Dieser begehrte Informationen über die natürlichen Personen, die als Vertreter von Unternehmen – welche teilweise in Drittländern (China und Vereinigtes Königreich) ansässig waren – Verträge über den Kauf von COVID-19-Tests unterzeichnet hatten. Konkret ging es um die Offenlegung von Vorname, Nachname, Unterschrift und beruflicher Kontaktdaten dieser Vertreter. Das Gesundheitsministerium lehnte die vollständige Herausgabe ab und schwärzte die entsprechenden Angaben unter Berufung auf den Schutz personenbezogener Daten gemäß der DSGVO.
Der Bürger focht diese Entscheidung gerichtlich an. Das mit der Sache befasste tschechische Oberste Verwaltungsgericht legte dem EuGH daraufhin zwei zentrale Fragen vor: Erstens, ob die genannten Daten von Vertretern juristischer Personen überhaupt als „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO zu qualifizieren sind, insbesondere vor dem Hintergrund des Erwägungsgrundes 14 der DSGVO, der die Verordnung für Daten juristischer Personen für nicht anwendbar erklärt. Zweitens wurde gefragt, ob nationales Recht (einschließlich gerichtlicher Praxis), das Behörden zur vorherigen Unterrichtung und Konsultation der betroffenen Person vor einer Datenweitergabe verpflichtet, mit der DSGVO vereinbar ist, auch wenn die DSGVO selbst eine solche Konsultation nicht explizit für jeden Fall fordert.
Entscheidung des Gerichts
Der EuGH beantwortete die erste Frage klar: Die Offenlegung von Vorname, Nachname, Unterschrift und Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, stellt eine Verarbeitung personenbezogener Daten im Sinne der Art. 4 Nrn. 1 und 2 DSGVO dar. Der Umstand, dass diese Daten im beruflichen Kontext stehen oder ausschließlich dazu dienen, die handlungsbefugte Person im Namen der juristischen Person zu identifizieren, ändert nichts an ihrer Qualifizierung als personenbezogene Daten (Rn. 22, 31). Der EuGH stellte zudem klar, dass Erwägungsgrund 14 der DSGVO dem nicht entgegensteht, da dieser sich auf Name und Kontaktdaten der juristischen Person selbst bezieht, nicht aber auf Daten natürlicher Personen, die für diese handeln (Rn. 23).
Jede Verarbeitung solcher Daten, wie die Offenlegung, bedarf einer Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO. Im Kontext des Zugangs zu amtlichen Dokumenten können dies insbesondere die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 lit. e DSGVO) sein. Der EuGH betonte, dass die Rechtmäßigkeit der Verarbeitung stets individuell geprüft werden muss.
Zur zweiten Frage entschied der EuGH, dass Art. 6 Abs. 1 lit. c und e DSGVO in Verbindung mit Art. 86 DSGVO (Zugang der Öffentlichkeit zu amtlichen Dokumenten) einer nationalen Regelung oder Rechtsprechung nicht grundsätzlich entgegensteht, die eine Behörde verpflichtet, die betroffene natürliche Person vor der Offenlegung ihrer Daten zu unterrichten und zu konsultieren. Eine solche Verpflichtung kann dazu beitragen, eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung sicherzustellen (Art. 5 Abs. 1 lit. a DSGVO) und der Behörde eine fundierte Abwägungsentscheidung im Rahmen von Art. 86 DSGVO zu ermöglichen (Rn. 45). Allerdings darf eine solche nationale Verpflichtung nicht dazu führen, dass die Durchführung unmöglich wird oder einen unverhältnismäßigen Aufwand erfordert, und sie darf das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten nicht unverhältnismäßig einschränken (Rn. 46, 48). Eine pauschale Verweigerung der Offenlegung allein wegen praktischer Schwierigkeiten bei der Unterrichtung, ohne jede Abwägung, ist unzulässig (Rn. 47).
Zum rechtlichen Hintergrund
Die DSGVO zielt darauf ab, ein hohes Schutzniveau für die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten (Art. 1 DSGVO, Erwägungsgrund 10). Der Begriff der „personenbezogenen Daten“ ist gemäß Art. 4 Nr. 1 DSGVO bewusst weit gefasst und umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Rn. 20, 21). Die Rechtmäßigkeit jeder Verarbeitung ist an die Erfüllung einer der Bedingungen des Art. 6 Abs. 1 DSGVO geknüpft.
Speziell für den Zugang zu amtlichen Dokumenten sieht Art. 86 DSGVO vor, dass personenbezogene Daten in solchen Dokumenten offengelegt werden können, um den öffentlichen Zugang mit dem Recht auf Schutz personenbezogener Daten in Einklang zu bringen. Dies erfordert eine sorgfältige Abwägung der beteiligten Interessen. Der EuGH verweist hierzu auf Erwägungsgrund 4 der DSGVO, wonach das Recht auf Datenschutz kein uneingeschränktes Recht ist und im Hinblick auf seine gesellschaftliche Funktion gesehen und gegen andere Grundrechte abgewogen werden muss (Rn. 39). Auch Erwägungsgrund 154 betont, dass der Zugang zu amtlichen Dokumenten als öffentliches Interesse betrachtet werden kann.
Praxishinweis
Das Urteil des EuGH unterstreicht erneut die Notwendigkeit für Unternehmen und Behörden, ihre datenschutzrechtlichen Pflichten auch im Hinblick auf Daten ihrer Führungsorgane und Vertreter ernst zu nehmen.
- Überprüfung der Rechtsgrundlagen: Stellen Sie sicher, dass für jede Verarbeitung personenbezogener Daten von Vertretern (z. B. Veröffentlichung auf Webseiten, Weitergabe an Dritte, Nennung in öffentlichen Dokumenten) eine klare Rechtsgrundlage nach Art. 6 DSGVO vorliegt.
- Sensibilisierung für „berufliche“ Daten: Auch Daten, die primär im beruflichen Kontext anfallen (wie dienstliche E-Mail-Adressen oder Telefonnummern von Ansprechpartnern), können personenbezogene Daten sein, wenn sie einer natürlichen Person zugeordnet werden können.
- Abwägung bei Informationszugang: Behörden müssen bei Anträgen auf Zugang zu amtlichen Dokumenten, die Vertreterdaten enthalten, eine sorgfältige Abwägung zwischen dem Transparenzinteresse der Öffentlichkeit und dem Datenschutzrecht der betroffenen Personen vornehmen. Nationale Vorschriften zur vorherigen Unterrichtung Betroffener sind dabei grundsätzlich zulässig, dürfen aber nicht zu einer unverhältnismäßigen Blockade des Informationszugangs führen.
- Interne Prozesse anpassen: Unternehmen sollten ihre internen Prozesse zur Datenverarbeitung regelmäßig überprüfen und sicherstellen, dass sie DSGVO-konform sind. Dies beinhaltet auch den Umgang mit Daten von eigenen Mitarbeitern in Vertreterfunktionen.
- Risikominimierung: Die Etablierung klarer Zuständigkeiten, die fortlaufende Sensibilisierung der Mitarbeiter für Datenschutzthemen und gegebenenfalls die Einbindung eines Datenschutzbeauftragten helfen, Risiken von Datenschutzverstößen und damit verbundenen Sanktionen (Bußgelder, Schadensersatzansprüche) zu minimieren.
Das Urteil verdeutlicht, dass die DSGVO einen umfassenden Schutzanspruch verfolgt, der nicht an der Bürotür Halt macht.