Personenbezogene Daten auch im beruflichen Kontext geschützt – EuGH C-710/23
Mit Urteil vom 3. April 2025 hat der Europäische Gerichtshof den Datenschutz auch im beruflichen Kontext gestärkt (Az. C-710/23). Der EuGH erklärte, dass auch die personenbezogenen Daten von Vertretern des Unternehmens, die im Rahmen der Geschäftstätigkeit erscheinen, vollen Datenschutz genießen.
Grundsätzlich gilt das Recht auf informationelle Selbstbestimmung. Das gilt nicht nur für den privaten, sondern auch für den beruflichen Bereich. Der EuGH machte deutlich, dass auch die personenbezogenen Daten von Geschäftsführern und anderen Vertretern eines Unternehmens unter die Datenschutz-Grundverordnung (DSGVO) fallen. Für Unternehmen und Behörden bedeutet dies erhöhte Anforderungen an den Datenschutz, so die Wirtschaftskanzlei MTR Legal Rechtsanwälte , die auch im Datenschutzrecht berät.
Persönliche Daten anonymisiert
In dem zugrunde liegenden Verfahren vor dem EuGH ging es um einen Rechtsstreit aus Tschechien. Hier verlangte ein Bürger Einsicht in Verträge über den Ankauf von COVID-19-Tests samt zugehörigen Zertifikaten. In den Dokumenten waren u.a. Namen, Unterschriften und berufliche Kontaktdaten der Personen enthalten, die die Behörde vertraten. Diese verweigerte die Herausgabe und schwärzte die Namen, Unterschriften und Funktionen in den Dokumenten mit dem Hinweis, dass es sich hierbei um personenbezogene Daten handele, deren Schutz Vorrang genieße.
Der Fall landete schließlich vor dem EuGH, der klären sollte, ob solche „beruflichen“ Angaben tatsächlich personenbezogene Daten sind und ob Behörden nach einer nationalen Regelung verpflichtet werden dürfen, die betroffenen Personen vor einer Offenlegung anzuhören, obwohl die Datenschutz-Grundverordnung (DSGVO) dies nicht ausdrücklich vorschreibt.
Umfassender Schutzbereich der Datenschutz-Grundverordnung (DSGVO)
Der EuGH stellte zunächst klar, dass Namen, Unterschriften und berufliche Kontaktdaten von natürlichen Personen, die für juristische Personen handeln, zweifellos personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO darstellen. Der Schutzbereich der DSGVO sei bewusst weit gefasst und umfasse alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dass die Daten im beruflichen Kontext auftreten, ändere daran nichts, so die Richter in Luxemburg.
Wer in Verträgen oder amtlichen Dokumenten als vertretungsbefugt bezeichnet wird, ist identifizierbar und damit geschützt, führte der EuGH weiter aus. Die Offenlegung solcher Daten an Dritte stelle eine Form der Verarbeitung der Daten im Sinne des Art. 4 Nr. 2 DSGVO dar, genauer gesagt eine „Offenlegung durch Übermittlung“. Folglich bedürfe jede Weitergabe einer Rechtsgrundlage nach Art. 6 DSGVO.
Datensicherheit und Schutz
In einer zunehmend digitalisierten Arbeitswelt gewinnt die Datensicherheit im beruflichen Umfeld immer mehr an Bedeutung. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und das Bundesdatenschutzgesetzes (BDSG) bilden die zentrale Grundlage für den Schutz personenbezogener Daten in Deutschland und allen Mitgliedstaaten der EU. Unternehmen und Institutionen sind verpflichtet, bei der Verarbeitung personenbezogener Daten höchste Sorgfalt walten zu lassen und geeignete technische sowie organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten.
Zu den wichtigsten Schutzmaßnahmen zählen etwa die Verschlüsselung von E-Mails, der kontrollierte Einsatz von Cookies auf Websites sowie der Schutz vor unbefugtem Zugriff durch moderne IT-Sicherheitslösungen. Die Einhaltung dieser Vorgaben ist nicht nur eine rechtliche Pflicht, sondern auch ein entscheidender Faktor für das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitenden. Die Privatsphäre und die Informationsfreiheit der Betroffenen stehen dabei stets im Mittelpunkt des Datenschutzes.
Die Überwachung der Einhaltung der Datenschutzgesetze obliegt in Deutschland dem Bundesbeauftragten für den Datenschutz sowie den Landesdatenschutzbeauftragten. Sie beraten Unternehmen und öffentliche Stellen, kontrollieren die Anwendung der Vorschriften und können bei Verstößen Bußgelder verhängen. Auf europäischer Ebene wacht die Europäische Kommission über die einheitliche Anwendung der Datenschutz-Grundverordnung in allen Mitgliedstaaten. Der Gerichtshof der Europäischen Union ist für die Auslegung des Datenschutzrechts zuständig und sorgt mit seinen Entscheidungen für Rechtssicherheit und einheitliche Standards in der gesamten EU.
Betroffene Personen haben nach der DSGVO umfassende Rechte: Sie können Auskunft über die Verarbeitung ihrer personenbezogenen Daten verlangen, deren Berichtigung oder Löschung fordern und sich bei Datenschutzverstößen an die zuständigen Aufsichtsbehörden wenden. Die Gerichte und der Gerichtshof der Europäischen Union gewährleisten, dass diese Rechte durchgesetzt werden und die Grundsätze des Datenschutzes in der Praxis Anwendung finden.
Die konsequente Umsetzung von Datensicherheit und Datenschutz ist für Unternehmen und Institutionen nicht nur eine gesetzliche Verpflichtung, sondern auch ein wichtiger Beitrag zum Schutz der Privatsphäre und zur Stärkung des Vertrauens in die digitale Wirtschaft der Europäischen Union. Die Einhaltung der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes ist daher für alle Akteure im beruflichen Umfeld unerlässlich.
Informationsrecht und Datenschutz
Im zweiten Schritt befasste sich der EuGH mit der Frage, wie dieser Datenschutz mit dem Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten in Einklang zu bringen ist. Art. 86 DSGVO eröffnet den Mitgliedstaaten ausdrücklich Gestaltungsspielräume, um das Grundrecht auf Informationszugang mit dem Schutz personenbezogener Daten zu verbinden. Vor diesem Hintergrund stellte der EuGH klar: Nationale Gesetzgeber oder Gerichte dürfen vorsehen, dass Behörden die betroffenen Personen informieren und konsultieren müssen, bevor sie deren Daten offenlegen. Solche zusätzlichen Verfahrenspflichten seien mit der DSGVO vereinbar, solange sie verhältnismäßig ausgestaltet sind und das Recht auf Dokumentenzugang nicht übermäßig erschweren.
Das Urteil hat weitreichende Konsequenzen für die Praxis des Datenschutzes auch in anderen EU-Mitgliedsstaaten. Zunächst macht es deutlich, dass auch berufliche Angaben wie Namen, Unterschriften und geschäftliche Kontaktdaten vollumfänglich dem Datenschutz unterliegen und dementsprechend geschützt werden müssen. Unternehmen oder Behörden können sich nicht darauf berufen, solche Daten seien „neutrale Unternehmensangaben“. Jede Verarbeitung, sei es Speicherung, Veröffentlichung oder Weitergabe, muss auf einer tragfähigen Rechtsgrundlage beruhen. So kann es bspw. eine gesetzliche Pflicht zur Veröffentlichung geben, z.B. im Impressum oder im Handelsregister. Besteht keine gesetzliche Pflicht, muss im Rahmen einer sorgfältigen Interessensabwägung geprüft werden, ob ein berechtigtes Interesse an einer Veröffentlichung besteht.
Vereinbarkeit von Transparenz und Datenschutz
Behörden und Unternehmen sollten prüfen, ob eine Veröffentlichung der Daten erforderlich ist oder ob eine anonymisierte Version, z.B. durch Schwärzen der Daten ausreichend ist, um den Zweck des Informationszugangs zu erfüllen.
Das Urteil stärkt den Datenschutz auch im beruflichen Umfeld, ohne die Informationsfreiheit übermäßig einzuschränken. Behörden oder Unternehmen stehen vor der Aufgabe, jede Offenlegung personenbezogener Daten zu begründen, die Interessen sorgfältig abzuwägen und dies dokumentierbar zu machen. Transparenz und Datenschutz müssen durch strukturierte Verfahren miteinander vereinbart werden.
MTR Legal Rechtsanwälte berät umfassend im Datenschutz.
Nehmen Sie gerne Kontakt zu uns auf!
