Die wichtigsten Entscheidungen des EuGH zum Datenschutz im Jahr 2024

Auch sechs Jahre nach Inkrafttreten der DSGVO prägt die Rechtsprechung des Europäischen Gerichtshofs (EuGH) die Auslegung wesentlicher Konzepte der DSGVO wie Verantwortlichkeit, besondere Kategorien personenbezogener Daten, Rechtsgrundlagen für die Verarbeitung personenbezogener Daten oder Schadensersatzansprüche betroffener Personen.

Die wichtigsten Entscheidungen des EuGH im Jahr 2024 fassen wir nachfolgend für Sie zusammen (die Links im Text führen jeweils zum Volltext der besprochenen Urteile):

1. Zur Definition von personenbezogenen Daten

Mit der Rechtssache C-604/22 konkretisiert der EuGH den Begriff der personenbezogenen Daten insbesondere im Zusammenhang mit dem vom IAB Europe (Branchenverband für Digitalmarketing) ins Leben gerufenen Transparency & Consent Framework (TCF).

Das TCF bildet den Rahmen für bestimmte einwilligungsbasierte digitale Marketingaktivitäten, indem es die Nutzerpräferenzen eines Website-Nutzers für personalisierte Werbung in einer Zeichenfolge aus Buchstaben und Zeichen, d.h. einem alphanumerischen Code (dem TC-String), speichert. Die Nutzerpräferenzen werden über eine Einwilligungsmanagement-Plattform (CMP) erfasst. Der TC-String wird dann mit anderen Akteuren im digitalen Marketing-Ökosystem, wie Data Brokern und Werbeplattformen, geteilt, damit diese wissen, welchen Verarbeitungstätigkeiten der Nutzer zugestimmt oder widersprochen hat. In Kombination mit einem von der CMP gesetzten Cookie könnte der TC-String grundsätzlich mit der IP-Adresse eines Website-Nutzers verknüpft werden.

Nach Auffassung des EuGH handelt es sich beim TC-String um personenbezogene Daten, soweit er mit angemessenen Mitteln mit einem Identifikator, wie der IP-Adresse eines Website-Nutzers, in Verbindung gebracht werden kann. Die Tatsache, dass IAB Europe selbst keinen Zugang zu den unter den Regeln des TCF verarbeiteten Daten hat und diese auch nicht mit anderen Identifikatoren wie einer IP-Adresse kombinieren kann, schließt nicht aus, dass der TC-String für IAB als personenbezogene Daten zu qualifizieren ist.

Warum ist das Urteil relevant? 

Der EuGH stellt erneut klar, dass er den Begriff der personenbezogenen Daten sehr weit versteht.

2. Besondere Kategorien personenbezogener Daten

In der Rechtssache C-21/23 bekräftigt der EuGH seine Auslegung des Begriffs „besondere Kategorien personenbezogener Daten“ im Sinne des Artikel 9 DS-GVO. Dabei greift er auf seine umfangreiche Rechtsprechung zu solchen besonderen Kategorien personenbezogener Daten aus den Rechtssachen C-184/20 und  C-252/21 zurück.

Ein Unternehmen, das unter dem Handelsnamen „Lindenapotheke“ eine Online-Apotheke betrieb, verkaufte apothekenpflichtige, aber nicht verschreibungspflichtige Arzneimittel. Ein Wettbewerber reichte vor einem deutschen Gericht eine Klage auf Unterlassung des Verkaufs solcher Produkte ein. Der Wettbewerber argumentierte, dass die Lindenapotheke Gesundheitsdaten im Zusammenhang mit Online-Bestellungen ohne die hierfür erforderliche Einwilligung verarbeite und damit Artikel 9 DS-GVO verletze. Seinen Unterlassungsanspruch stützte der Wettbewerber auf das deutsche Wettbewerbsrecht. Danach können Wettbewerber eine einstweilige Verfügung gegen Marktteilnehmer beantragen, die gegen Marktverhaltensregeln verstoßen.

Der EuGH stellt in seinem Urteil nicht nur klar, dass Wettbewerber Unterlassungsklagen gegen andere Marktteilnehmer wegen angeblicher DS-GVO-Verstöße erheben können. Der EuGH stellt insbesondere auch klar, dass die Definition der dafür relevanten „besonderen Kategorien personenbezogener Daten“ sehr weit zu verstehen ist. Wie bereits in der Rechtssache C-184/20 festgestellt, umfassen besondere Kategorien personenbezogener Daten nicht nur Daten, die per se schon als sensibel zu qualifizieren sind, sondern auch Daten, die zur Ableitung sensibler Informationen verwendet werden können. So kann beispielsweise die Information, dass eine Person bestimmte Arzneimittel gekauft hat, Rückschlüsse auf den Gesundheitszustand dieser Person zulassen. Laut EuGH ist es insoweit unerheblich, ob es dem Verantwortlichen darauf ankommt, solche Informationen abzuleiten (siehe Argumente in der Rechtssache C-252/21), und es ist auch unerheblich, ob solche Informationen korrekt sind. Dies bedeutet, dass selbst in Fällen, in denen Arzneimittel für eine dritte Person erworben werden, z. B. für ein Kind oder pflegebedürftige Elternteile, die aus der Bestellung abgeleiteten Informationen dennoch als besondere Kategorien personenbezogener Daten gelten. Der Verantwortliche muss sich also gar nicht absolut sicher sein, dass die Informationen den jeweiligen Käufer des Arzneimittels betreffen.

Warum ist das Urteil relevant? 

Der EuGH bestätigt seine weite Definition von besonderen Kategorien personenbezogener Daten. Verantwortliche sollten ggf. erneut analysieren, ob ihre Datenklassifikationen im Zusammenhang mit Gesundheitsdienstleistungen im Einklang mit der Auslegung des EuGH stehen. Sollten sie besondere Kategorien personenbezogener Daten verarbeiten, müssen sie sicherstellen, dass diese Verarbeitung nach Maßgabe des Artikel 9 DS-GVO erfolgt und hierbei berücksichtigen, dass Artikel 9 DS-GVO keine Rechtsgrundlage für die Datenverarbeitung zum Zwecke der Vertragserfüllung bietet.

3. Zweckbindung und Datenminimierung

Mit seiner Entscheidung in der Rechtssache C-446/21 konkretisiert der EuGH Bedingungen für die Verarbeitung (besonderer Kategorien) personenbezogener Daten zum Zwecke der personalisierten Werbung.

Der Kläger, Maximilian Schrems, stellte die Legitimität der Verarbeitung bestimmter personenbezogener Daten zu seiner sexuellen Orientierung in Frage und behauptete, dass Meta Platforms Ireland Ltd solche Daten verwendet habe, um ihm personalisierte Werbung zu präsentieren.

Der EuGH stellt klar, dass das Prinzip der Datenminimierung (Artikel 5 (1)(c) DS-GVO) den Verantwortlichen verpflichtet, Aufbewahrungsfristen festzulegen, die für die im Einzelnen relevanten Daten angemessen sind. Darüber hinaus gibt der EuGH weitere Hinweise zur Auslegung von Artikel 9 (2)(e) DS-GVO in Bezug auf sensible Daten, die offensichtlich öffentlich gemacht wurden.

Warum ist das Urteil relevant? 

Das Urteil des EuGH stärkt die Rechte betroffener Personen im Zusammenhang mit personalisierter Werbung. Der EuGH unterstreicht dabei erneut, dass die in Artikel 5 (1) DS-GVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten nicht nur als programmatische Auslegungsrichtlinien zu verstehen sind, sondern vielmehr als zwingende Anforderungen für die Einhaltung der DS-GVO.

4. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

In verschiedenen Urteilen aus dem Jahr 2024 hat der EuGH Vorgaben zur Auslegung bestimmter Rechtsgrundlagen der DS-GVO für die Verarbeitung personenbezogener Daten gemacht. Insbesondere entschied der EuGH zu Artikel 6 (1)(b), (c) und (f) DS-GVO und zur Frage von Betriebsvereinbarungen als datenschutzrechtliche Rechtsgrundlage (in den miteinander verbundenen Rechtssachen C-17/22 und C-18/22, in C-621/22 und in C-65/23).

Die Rechtssachen C-17/22 und C-18/22 betreffen die Frage, wann die Verarbeitung personenbezogener Daten als erforderlich für die Erfüllung eines Vertrags gemäß Artikel 6 (1)(b) DS-GVO angesehen werden kann. Nach Auffassung des EuGH ist dies dann der Fall, wenn eine solche Verarbeitung objektiv unverzichtbar für einen Zweck ist, der integraler Bestandteil einer vertraglichen Verpflichtung gegenüber der betroffenen Person ist. Verbietet ein Vertrag aber ausdrücklich die Offenlegung bestimmter Daten an andere Parteien, kann eine solche Offenlegung nicht als erforderlich für die Erfüllung dieses Vertrags angesehen werden. Darüber hinaus stellt der EuGH fest, dass sich ein Verantwortlicher auch dann auf Artikel 6 (1)(c) DS-GVO berufen kann, wenn die rechtliche Verpflichtung sich lediglich aus der Rechtsprechung nationaler Gerichte und nicht auch aus einem nationalen Gesetz ergibt. Voraussetzung hierfür ist aber, dass (i) die Rechtsprechung klar und präzise ist, (ii) ihre Anwendung für die betroffenen Personen vorhersehbar ist und (iii) die Rechtsprechung ein Ziel im öffentlichen Interesse verfolgt und verhältnismäßig ist.

In Rechtssachen C-17/22 und C-18/22 sowie in Rechtssache C-621/22 stellt der EuGH klar, dass auch ein rein kommerzielles Interesse als berechtigtes Interesse im Sinne von Artikel 6 (1)(f) DS-GVO angesehen werden kann, sofern das Interesse selbst rechtmäßig ist. Die Urteile enthalten jeweils auch weitere Ausführungen zu den Aspekten, die für eine positive Interessenabwägung zu berücksichtigen sind. Der EuGH unterstreicht dabei, dass eine Berufung auf Artikel 6 (1)(f) DS-GVO jeweils voraussetzt, dass der Verantwortliche auch alle anderen relevanten Verpflichtungen der DS-GVO einhält.

Mit der Entscheidung in Rechtssache C-65/23 schafft der EuGH ein Stück weit Klarheit über einen langjährigen Streit in der deutschen Rechtsliteratur. Dieser Streit betrifft die Frage, inwieweit Betriebsvereinbarungen bestimmte Datenverarbeitungsaktivitäten legitimieren können, auch wenn diese nach der DS-GVO unzulässig wären, weil sie sich nicht als erforderlich darstellen. Die dem Rechtsstreit zugrundeliegende Betriebsvereinbarung regelte die Nutzung einer HR-Software durch den Verantwortlichen. Die Parteien vereinbarten insoweit, dass bestimmte Mitarbeiterdaten auf einen Server des Mutterunternehmens in den USA übertragen werden dürften. Nach einer Schadensersatzklage eines Mitarbeiters des Verantwortlichen, einem deutschen Tochterunternehmen des US-Unternehmens, wurde die Gültigkeit der Betriebsvereinbarung als Rechtsgrundlage für bestimmte Datenverarbeitungsaktivitäten in Frage gestellt. In seinem Urteil stellt der EuGH fest, dass Artikel 88 DS-GVO es den Mitgliedstaaten zwar erlaubt, spezifischere Vorschriften zur Verarbeitung personenbezogener Daten im Beschäftigungskontext zu erlassen. Artikel 88 DS-GVO könne jedoch nicht so ausgelegt werden, dass solche spezifischeren Vorschriften die Verpflichtungen des Verantwortlichen oder Auftragsverarbeiters aus anderen Bestimmungen der DS-GVO unterlaufen könnten. Daher kann eine Betriebsvereinbarung nicht solche Verarbeitungsaktivitäten rechtfertigen, die über das hinaus gehen, was die DS-GVO erlaubt. Die darin geregelten Verarbeitungsaktivitäten müssen vielmehr mit den allgemeinen Grundsätzen der DS-GVO in Einklang stehen und durch eine Rechtsgrundlage in der DS-GVO erlaubt sein.

Warum sind diese Urteile relevant? 

Die oben genannten Urteile des EuGH betreffen wesentliche, für die Praxis relevante Rechtsgrundlagen. Der EuGH betont insbesondere, dass die Erforderlichkeit ein wesentliches Element jeder Interessenabwägung ist und in jedem Einzelfall durchgeführt und dokumentiert werden muss, um sicherzustellen, dass es keine gleichwertige, aber weniger invasive Alternative gibt. Der EuGH betont weiter, dass ein berechtigtes Interesse nur dann bestehen kann, wenn der Verantwortliche alle anderen für ihn relevanten Verpflichtungen gemäß der DS-GVO einhält, wie z.B. Transparenz, Zweckbindung, Datenminimierung, Richtigkeit der Daten, Speicherbegrenzung sowie Integrität und Vertraulichkeit (Art. 5(1) DS-GVO). Darüber hinaus stellt der EuGH schließlich klar, dass die Verarbeitung in einer Betriebsvereinbarung nicht über den Umfang der DS-GVO hinaus erlaubt werden kann.

5. Befugnisse der Aufsichtsbehörden

Zwei weitere Urteile des EuGH aus dem Jahr 2024 betreffen Fragen zu den Befugnissen der Aufsichtsbehörden gemäß der DS-GVO.

Rechtssache C-46/23 betrifft eine Anordnung der ungarischen Aufsichtsbehörde, die einen Verantwortlichen verpflichtete, personenbezogene Daten von betroffenen Personen zu löschen, die zwar grundsätzlich zur Ausübung ihres Rechts auf Löschung gemäß Artikel 17 DS-GVO berechtigt gewesen wäre, dies aber noch nicht getan hatten.

Nach Auffassung des EuGH enthält Artikel 17 (1) DS-GVO zwei getrennte Verpflichtungen für den Verantwortlichen. Während der erste Teil von Artikel 17 (1) DS-GVO den betroffenen Personen ein Recht einräumt, die Löschung ihrer Daten zu verlangen, verpflichtet der zweite Teil von Artikel 17 (1) DS-GVO den Verantwortlichen, diese personenbezogenen Daten unverzüglich zu löschen. Für das Bestehen der Löschpflicht des Verantwortlichen kommt es aus Sicht des EuGH daher grundsätzlich nicht darauf an, dass eine betroffene Person einen Antrag auf Löschung ihrer Daten gestellt hat. Dementsprechend können Aufsichtsbehörden im Rahmen der ihnen zustehenden Abhilfebefugnisse daher auch dann die Löschung personenbezogener Daten anordnen, wenn betroffenen Personen noch keinen solchen Antrag gegenüber dem Verantwortlichen gestellt haben.

Rechtssache C-768/21 betrifft eine Klage einer betroffenen Person gegen die hessische Aufsichtsbehörde. Nach Auffassung des Klägers hatte es die Behörde zu Unrecht unterlassen, Sanktionen gegen einen Verantwortlichen zu verhängen. Der Kläger war der Ansicht, dass der Verantwortliche bestimmte DS-GVO-Pflichten im Zusammenhang mit einer Datenschutzverletzung verletzt habe und die Aufsichtsbehörde daher verpflichtet sei, Sanktionen gegen den Verantwortlichen zu verhängen. Nach Auffassung des EuGH ist eine Aufsichtsbehörde jedoch nicht verpflichtet, von ihren Abhilfebefugnissen Gebrauch zu machen, wenn dies nicht geeignet, erforderlich oder verhältnismäßig ist, um einen festgestellten Verstoß zu beheben und die umfassende Einhaltung der DS-GVO zu gewährleisten. Ebenso steht einem Beschwerdeführer, dessen Rechte verletzt wurden, kein subjektives Recht gegenüber einer Aufsichtsbehörde zu, die Verhängung einer Geldbuße gegen einen Verantwortlichen zu verlangen.

Warum sind diese Urteile relevant? 

Obwohl die Ansichten der Aufsichtsbehörden zur Auslegung der DS-GVO rechtlich nicht bindend sind, ist ihr Vorgehen bei der Durchsetzung der DS-GVO von entscheidender Bedeutung für Verantwortliche. Ein klares Verständnis der Reichweite der Befugnisse der Aufsichtsbehörden hilft Verantwortlichen, besser einzuschätzen, welche Maßnahmen sie im Einzelnen von den Aufsichtsbehörden erwarten können.

6. Schadensersatz für die Verletzung von Betroffenenrechten

Das Jahr 2024 brachte schließlich auch weitere Entscheidungen im Zusammenhang mit Schadensersatzforderungen von betroffenen Personen. Sowohl der EuGH als auch das Europäische Gericht und der Bundesgerichtshof äußerten sich jeweils zu diesem Themenkomplex.

Mit seiner Entscheidung in der Rechtssache C-687/21 bestätigt der EuGH seine bisherige Rechtsprechung zum Schadensersatz nach Artikel 82 DS-GVO, insbesondere aus den Rechtssachen C-667/21 und C-300/21. Erneut bekräftigt der EuGH, dass Artikel 82 DS-GVO eine Ausgleichs- und gerade keine Straffunktion erfüllt, d.h. der Schadensersatz für immaterielle Schäden muss den erlittenen Schaden ausgleichen, den die betroffene Person erlitten hat. Auf die in diesem Zusammenhang von einem Verantwortlichen begangenen DS-GVO-Verstöße kommt es daher nicht an. Nach dem EuGH reicht ein bloßer Verstoß gegen die DS-GVO-Bestimmungen auch nicht aus, um erfolgreich Schadensersatz zu fordern. Es muss vielmehr ein Kausalzusammenhang zwischen dem erlittenen Schaden und dem Verstoß gegen Bestimmungen der DS-GVO bestehen. Machen betroffene Personen für sie nachteilige Folgen infolge eines angeblichen DS-GVO-Verstoßes des Verantwortlichen geltend, müssen sie auch nachweisen, dass diese nachteiligen Folgen einen materiellen oder immateriellen Schaden darstellen; insbesondere ein nur hypothetisches, unbegründetes Risiko der missbräuchlichen Verwendung ihrer personenbezogenen Daten durch einen unbefugten Dritten reicht nicht aus, um einen solchen Schaden zu begründen.

In der Rechtssache C-741/21 stellt der EuGH weiter klar, dass die Behauptung, ein Schaden sei durch das Fehlverhalten einer auf Weisung des Verantwortlichen handelnden Person entstanden (z.B. eines Mitarbeiters), nicht für eine Exkulpation nach 82 (3) DS-GVO ausreicht. Der Verantwortliche muss vielmehr nachweisen, dass kein Kausalzusammenhang zwischen dem Verstoß gegen seine Verpflichtungen aus den Artikeln 5, 24 und 32 DS-GVO und dem Schaden besteht, den die betroffene Person erlitten hat.

In der Rechtssache C-590/22 bestätigt der EuGH, dass eine betroffene Person auch dann Schadensersatz für immaterielle Schäden verlangen kann, wenn es ihr nicht möglich ist nachzuweisen, dass ihre personenbezogenen Daten tatsächlich an einen Dritten weitergegeben wurden, solange sie zumindest nachweisen kann, dass sie einen Schaden aufgrund einer solchen, nur befürchteten Weitergabe an einen Dritten erlitten hat und diese Befürchtung begründet ist. Die bloße Behauptung eines solchen Schadens ohne nachgewiesene negative Folgen kann jedoch keinen Anspruch auf Schadensersatz begründen (siehe Rechtssache C-687/21).

Die Entscheidung des Europäischen Gerichts in der Rechtssache T-354/22 betrifft die hochrelevante Frage des Schadensersatzes infolge von Übermittlungen personenbezogener Daten in Länder, die kein angemessenes Datenschutzniveau bieten (Drittstaaten). Der Kläger verlangte Schadensersatz in Höhe von EUR 400 für immaterielle Schäden, die ihm durch die Übermittlung seiner personenbezogenen Daten in die USA entstanden seien (zum Zeitpunkt des behaupteten Verstoßes war das EU-US Data Privacy Framework noch nicht in Kraft). Das Gericht erkennt insoweit an, dass die Übermittlung der personenbezogenen Daten des Klägers, insbesondere seiner IP-Adresse, in die USA dazu führt, dass er nicht sicher weiß, wie seine personenbezogenen Daten verarbeitet werden. Der damit verbundene Kontrollverlust und die Beeinträchtigung seiner Rechte und Freiheiten durch einen möglichen Zugriff von US-Sicherheits- und Nachrichtendiensten auf seine personenbezogenen Daten rechtfertigt nach Auffassung des Gerichts eine finanzielle Entschädigung in Höhe von EUR 400.

Mit seinem Urteil im Verfahren VI ZR 10/24 macht der Bundesgerichtshof (BGH) erstmals von dem neuen Institut des Leitentscheidungsverfahrens Gebrauch, das im Wesentlichen darauf abzielt, Verfahren zu beschleunigen und die Arbeitsbelastung für andere Gerichte zu verringern, die über Rechtsstreitigkeiten zu entscheiden haben, denen derselbe Sachverhalt zugrunde liegt. Das Urteil des BGH betrifft einen Fall des Scrapings personenbezogener Daten, in dessen Folge die personenbezogenen Daten von etwa 533 Millionen Facebook-Nutzer weltweit öffentlich im Internet zugänglich gemacht wurden. In Anlehnung an die Rechtsprechung des EuGH zu immateriellen Schäden kommt der BGH zu dem Ergebnis, dass bereits ein vorübergehender Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann, sofern dieser entsprechend nachgewiesen wird. Offen lässt der BGH jedoch die genauen Kriterien, die erfüllt sein müssen, um einen solchen Kontrollverlust nachzuweisen und es muss von Fall zu Fall geprüft werden, ob ein entsprechender Kontrollverlust tatsächlich vorliegt. Wenngleich der BGH nicht alle relevanten Fragen beantwortet hat und bestimmte Sachverhaltsdetails wie etwa die konkrete Schwere des erlittenen Schadens in späteren Urteilen durch nationale Gerichte zu klären sind, so hat der BGH jedenfalls keine Bedenken dagegen, dass ein Schadensersatz in Höhe von EUR 100 für den in dem konkret von ihm entschiedenen Fall eingetretenen Kontrollverlust ausreicht, um die betroffene Person für den von ihr erlittenen Schaden zu entschädigen.

Warum sind die Urteile relevant? 

Das Recht betroffener Personen, aufgrund von Verstößen gegen die DS-GVO Schadensersatz für immaterielle Schäden zu verlangen, stellt sich für Unternehmen zunehmend als Risiko dar. Angesichts dessen, dass gerade in verbraucherschutzrechtlichen oder arbeitsrechtlichen Sachverhalten eine Vielzahl betroffener Personen von Datenschutzverletzungen betroffen sein können, sind die finanziellen Folgen für Unternehmen in solchen Fällen unberechenbar. Mit seinen Urteilen zum immateriellen Schaden gibt der EuGH eine Orientierung, um potenzielle finanziellen Risiken infolge von Verstößen gegen die DS-GVO besser einschätzen zu können.