EuGH-Urteile zu Artikel 6 DSGVO: Neue Maßstäbe für die Verarbeitung personenbezogener Daten
Der Europäische Gerichtshof (EuGH) hat mit den Entscheidungen in den Rechtssachen C-17/22, C-18/22 und C-621/22 zentrale Fragen zur Verarbeitung personenbezogener Daten geklärt. Die Urteile präzisieren, wann Datenverarbeitung als erforderlich gilt, wie sich nationale Rechtsprechung auf die Rechtsgrundlage stützen kann und unter welchen Bedingungen ein berechtigtes Interesse im Sinne der DSGVO anerkannt wird.
Kernaussagen der Urteile
Erforderlichkeit nach Artikel 6 (1)(b) DSGVO
Datenverarbeitung ist nur dann erforderlich für die Vertragserfüllung, wenn sie objektiv unverzichtbar für einen wesentlichen Vertragsbestandteil ist. Ist im Vertrag ausdrücklich festgelegt, dass bestimmte Daten nicht weitergegeben werden dürfen, kann eine Offenlegung nicht als erforderlich gelten. Berufung auf Artikel 6 (1)(c) DSGVO durch nationale Rechtsprechung Eine Datenverarbeitung kann auch dann auf eine rechtliche Verpflichtung gestützt werden, wenn diese aus der Rechtsprechung nationaler Gerichte resultiert. Voraussetzungen:Die Rechtsprechung muss klar und präzise sein. Ihre Anwendung muss für Betroffene vorhersehbar sein. Sie muss ein Ziel im öffentlichen Interesse verfolgen und verhältnismäßig sein.
Berechtigtes Interesse nach Artikel 6 (1)(f) DSGVO
Auch rein kommerzielle Interessen können ein berechtigtes Interesse im Sinne der DSGVO sein.
Voraussetzung: Das Interesse muss rechtmäßig sein, und der Verantwortliche muss alle anderen DSGVO-Pflichten einhalten (z. B. Transparenz, Datenminimierung).
Unternehmen sollten auf Basis der Urteile folgende Maßnahmen ergreifen:
✅ Vertragliche Prüfung der Datenverarbeitung
Sicherstellen, dass nur notwendige Daten verarbeitet werden, die objektiv für die Vertragserfüllung erforderlich sind.
Vertragsklauseln, die Datenweitergaben verbieten, müssen beachtet werden.
✅ Rechtliche Grundlage genau dokumentieren
Wenn die Verarbeitung auf eine rechtliche Verpflichtung gestützt wird, muss geprüft werden, ob diese auf einer klaren, vorhersehbaren und verhältnismäßigen Rechtsprechung basiert.
✅ Interessenabwägung sauber durchführen
Kommerzielle Interessen als berechtigtes Interesse müssen dokumentiert und mit den Rechten der betroffenen Personen abgewogen werden.
Transparenz- und Informationspflichten müssen eingehalten werden. Die Betroffenen müssen vor Beginn der Verarbeitung informiert werden!
✅ Datenschutz-Folgenabschätzung prüfen
Bei Unsicherheiten über die Erforderlichkeit oder Verhältnismäßigkeit der Verarbeitung sollte eine Datenschutz-Folgenabschätzung durchgeführt werden. Die Urteile des EuGH schärfen die Anforderungen an die Datenverarbeitung und setzen klare Maßstäbe für Unternehmen. Besonders die Kriterien für die Erforderlichkeit und die Legitimation durch nationale Rechtsprechung verlangen eine präzisere Dokumentation und Abwägung. Wer diese Vorgaben missachtet, riskiert Verstöße gegen die DSGVO und mögliche Sanktionen.
Fragen Sie sich, ob Sie als Unternehmen oder Behörde bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliate-Links/Werbelinks