EuGH entscheidet zu datenschutzrechtlichen Grundsätzen - NEWS & UPDATES

Der Europäische Gerichtshof hat am 9. Januar 2025 in seinem Urteil (C‑394/23) zur Erhebung personenbezogener Daten zentrale Grundsätze des Datenschutzes klargestellt:

Im zugrunde liegenden Fall ging es um die Erhebung personenbezogener Daten, insbesondere der Anrede und des Geschlechts, beim Ticketkauf.

Zur Rechtsgrundlage der Vertragserfüllung entschied der EuGH, dass die Erhebung von Anrede oder Geschlecht beim Kauf eines Tickets nicht erforderlich ist, um in diesem Fall den Vertrag zu erfüllen. Diese Daten dürfen daher nicht allein auf Basis dieser Rechtsgrundlage verarbeitet werden.

Zum berechtigten Interesse betonte der EuGH, dass das berechtigte Interesse eines Unternehmens an der Verarbeitung personenbezogener Daten stets sorgfältig gegen die Grundrechte der betroffenen Person abgewogen werden muss. Das bloße Interesse des Unternehmens reicht nicht aus – der Schutz der informationellen Selbstbestimmung der betroffenen Personen hat oberste Priorität.

Informationspflichten gemäß Art. 13 DSGVO: Der EuGH stellt klar, dass die Transparenzpflichten von Unternehmen eine zentrale Rolle spielen. Insbesondere müssen betroffene Personen über die berechtigten Interessen umfassend informiert werden. Fehlen diese Informationen, ist eine Verarbeitung auf Grundlage des berechtigten Interesses unzulässig.

Das Urteil des EuGH bekräftigt nicht nur etablierte Grundsätze der DSGVO, sondern verdeutlicht auch, wie entscheidend eine sorgfältige und konsequente Umsetzung der Datenschutzanforderungen für Unternehmen ist:

➡️ Datenschutzhinweise prüfen und aktualisieren:
Die Datenschutzerklärung sollte vollständig und aktuell sein. Es sollte deutlich kommuniziert werden, welche Daten zu welchem Zweck erhoben werden. Erfolgt eine Verarbeitung von Daten auf Grundlage des berechtigten Interesses, sollte dies klar und verständlich formuliert werden.

➡️ Rechtsgrundlagen genau prüfen:
Bei jeder Verarbeitung personenbezogener Daten muss die Rechtsgrundlage genau geprüft werden. Daten wie Anrede oder Geschlecht sollten ausschließlich dann verarbeitet werden, wenn sie für die Vertragserfüllung zwingend erforderlich sind.

➡️ Datenschutzprozesse konsequent dokumentieren:
Ein Verarbeitungsverzeichnis hilft dabei, die Datenverarbeitung transparent und nachvollziehbar zu dokumentieren. Es bietet einen klaren Überblick über alle Verarbeitungstätigkeiten und sorgt so für eine fundierte Grundlage zur Einhaltung der DSGVO-Vorgaben.

➡️ Mitarbeitende gezielt schulen:
Alle Mitarbeitenden sollten die aktuellen datenschutzrechtlichen Anforderungen kennen und verstehen, welche Daten verarbeitet werden dürfen und welche rechtlichen Grundlagen dafür erforderlich sind.