Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 03.04.2025 in der Rechtssache C-710/23 eine wichtige Klärung im Datenschutzrecht geschaffen: Auch berufliche Kontaktdaten von Vertretern juristischer Personen sind personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO). Diese Entscheidung stärkt die Datenschutzpflichten im beruflichen Umfeld und hat weitreichende Folgen für Unternehmen und Behörden in der gesamten EU.
Auch im beruflichen Kontext bleibt das Recht auf informationelle Selbstbestimmung bestehen. Für Unternehmen und Behörden bedeutet das eine Erweiterung und Präzisierung ihrer datenschutzrechtlichen Pflichten – insbesondere hinsichtlich der Notwendigkeit einer klaren Rechtsgrundlage für jede Datenverarbeitung sowie der Einhaltung von Informations- und Transparenzpflichten. Interne Prozesse müssen angepasst und Datenschutzmaßnahmen regelmäßig überprüft werden, um den gestiegenen Anforderungen der DSGVO gerecht zu werden und rechtliche Risiken zu vermeiden. Das Urteil ist ein klares Signal für eine datenschutzkonforme Handhabung beruflicher Kontaktdaten in der gesamten EU.
Hintergrund: Der tschechische Fall zur Offenlegung von Vertragsdaten
Dem Urteil lag ein Fall aus Tschechien zugrunde: Ein Bürger verlangte vom Gesundheitsministerium Auskunft über die Vertreter von Unternehmen, die Verträge über die Beschaffung von COVID-19-Tests unterzeichnet hatten – auch von Unternehmen aus Drittstaaten. Das Ministerium verweigerte die vollständige Auskunft unter Verweis auf den Datenschutz und schwärzte Namen, Unterschriften und Funktionsbezeichnungen der unterzeichnenden Personen. Der Fall wurde dem EuGH vorgelegt, um zu klären, ob diese Daten personenbezogene Daten im Sinne der DSGVO sind und ob nationale Regelungen, die eine vorherige Unterrichtung der Betroffenen vor der Datenübermittlung vorschreiben, mit dem Unionsrecht vereinbar sind.
Name, Unterschrift und dienstliche Kontaktdaten sind personenbezogen
Der EuGH stellt klar, dass der Begriff der personenbezogenen Daten weit auszulegen ist. Erfasst werden alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – ausdrücklich auch beruflich genutzte Daten wie Name, Unterschrift und dienstliche Kontaktdaten von Vertretern juristischer Personen. Der berufliche Kontext begründet keine Ausnahme vom Datenschutz. Erwägungsgrund 14 der DSGVO schließt nur juristische Personen aus, nicht aber deren menschliche Vertreter. Die Offenlegung dieser Daten, selbst wenn sie allein der Identifizierung dient, ist eine Verarbeitung personenbezogener Daten im Sinne der DSGVO.
Rechtsgrundlagen und Anforderungen
Jede Verarbeitung personenbezogener Daten, auch die Offenlegung in amtlichen Dokumenten, erfordert eine gültige Rechtsgrundlage nach Art. 6 DSGVO. Dies kann etwa die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) oder ein im öffentlichen Interesse liegendes Ziel (Art. 6 Abs. 1 lit. e DSGVO) sein. Nationale Regelungen können zusätzliche Anforderungen stellen, dürfen aber nicht zu unverhältnismäßigen Einschränkungen des Zugangsrechts führen. Behörden müssen den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Datenschutz in Einklang bringen und dürfen sich nicht pauschal auf die Unmöglichkeit der Informationserteilung berufen.
Praktische Auswirkungen für Unternehmen und Behörden
- Berufliche Daten von Vertretern juristischer Personen sind wie andere personenbezogene Daten zu schützen. Die DSGVO gilt auch im beruflichen Kontext vollumfänglich.
- Für jede Verarbeitung, Weitergabe oder Veröffentlichung dieser Daten ist eine klare und valide Rechtsgrundlage erforderlich. Mögliche Grundlagen sind Vertragserfüllung, rechtliche Verpflichtung oder berechtigtes Interesse. Bei letzterem ist eine sorgfältige Interessenabwägung notwendig.
- Unternehmen sollten kritisch prüfen, ob die namentliche Nennung oder die Abbildung einer Unterschrift wirklich erforderlich ist oder ob anonymisierte Varianten ausreichen. Es dürfen nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden.
- Bei Anträgen auf Informationszugang oder geplanter Offenlegung kann eine vorherige Information der betroffenen Person erforderlich sein, sofern dies verhältnismäßig ist.
- Interne Prozesse und Datenschutzmaßnahmen sind anzupassen und regelmäßig zu überprüfen. Dazu gehört die Sensibilisierung der Mitarbeitenden und die Implementierung geeigneter technischer und organisatorischer Maßnahmen.
Transparenz und Datenschutz im Ausgleich
Das Urteil beleuchtet den Konflikt zwischen dem öffentlichen Interesse an Transparenz und dem Schutz der informationellen Selbstbestimmung. Der Zugang der Öffentlichkeit zu amtlichen Dokumenten ist ein legitimes Ziel, das jedoch stets mit den Datenschutzgrundsätzen in Einklang gebracht werden muss. Informationen über geschäftliche Verantwortungsträger dürfen veröffentlicht werden, aber jede Veröffentlichung muss datenschutzrechtlich gerechtfertigt sein. Die Verpflichtung zur Konsultation der Betroffenen darf das Zugangsrecht nicht unverhältnismäßig einschränken.
Kontaktieren Sie uns gerne, um Ihre Datenschutzstrategie optimal anzupassen und rechtssicher zu gestalten.
Weiterlesen:
Arbeitnehmerdatenschutz rechtssicher umsetzen
Datenschutz-Compliance in drei Schritten
