EuGH: Informationspflichten bei indirekter Datenerhebung

12. Dezember 2024

Am 28.11.2024 hat der Europäische Gerichtshof (EuGH) ein Urteil (C-169/23) zur Anwendung von Art. 14 Abs. 5 lit. c Datenschutzgrundverordnung (DSGVO) gefällt. Im Zentrum stand die Frage, unter welchen Voraussetzungen Datenverantwortliche von der Informationspflicht bei personenbezogenen Daten, die nicht direkt von der betroffenen Person erhoben wurden, befreit sein können.

COVID-19-Fall aus Ungarn

Die Entscheidung des EuGH basierte auf einem Fall in Ungarn, der sich um die Ausstellung eines COVID-19-Immunitätsnachweises drehte. Der Beschwerdeführer bemängelte, dass die ausstellende Behörde keine Datenschutzerklärung zur Verfügung gestellt hatte. Es fehlten Informationen zu Verarbeitungszwecken, Rechtsgrundlagen, Betroffenenrechten und deren Ausübungsmöglichkeiten, womit die Informationspflichten verletzt worden seien. Die ungarische Datenschutzaufsichtsbehörde lehnte die Beschwerde unter Verweis auf Art. 14 Abs. 5 lit. c DSGVO ab. Das zuständige ungarische Gericht entschied zugunsten des Beschwerdeführers, woraufhin die Aufsichtsbehörde vor den EuGH zog, um eine Vorabentscheidung zu erwirken.

Indirekte Datenerhebung

Art. 14 DSGVO legt verschiedene Informationspflichten fest, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden. Dazu gehören etwa Kontaktinformationen des Verantwortlichen und des Datenschutzbeauftragten, die Verarbeitungszwecke und die Kategorien der erhobenen Daten. Abs. 5 schreibt verschiedene Ausnahmefälle vor, in denen Verantwortliche diese Pflichten nicht einhalten müssen. Das ist nach lit. c etwa der Fall, wenn und soweit die Erlangung oder Offenlegung der Daten durch Rechtsvorschriften der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist.

Kernpunkte des EuGH-Urteils

Der EuGH stellt in seinem Urteil klar, dass die Ausnahme für alle personenbezogenen Daten unabhängig davon gilt, ob diese von einer Drittpartei erlangt oder durch den Verantwortlichen selbst erstellt wurden. Die Ausnahme greife jedoch nur, wenn der Schutz der berechtigten Interessen der betroffenen Person durch nationale Regelungen ausreichend gewährleistet ist. Zudem sind Aufsichtsbehörden gemäß Art. 77 Abs. 1 DSGVO dazu befugt, zu prüfen, ob die nationalen Vorschriften, auf die sich ein Verantwortlicher beruft, tatsächlich angemessene Maßnahmen zum Schutz der betroffenen Person vorsehen. Diese Prüfung umfasse jedoch nicht die Angemessenheit technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO, die der Verantwortliche zur Datensicherheit ergreifen muss.

Fazit

Das EuGH-Urteil bietet eine Orientierungshilfe zur Anwendung von Art. 14 Abs. 5 lit. c DSGVO. Insbesondere schützt es Verantwortliche in der Wahl ihrer technischen und organisatorischen Maßnahmen. Damit stärkt die Entscheidung die Legitimität der Ausnahme von der Informationspflicht bei indirekter Datenverarbeitung. Nichtsdestotrotz bleibt eine präzise Auswahl der Rechtsgrundlagen für die jeweiligen Datenverarbeitungen und eine sorgfältige Beachtung der Pflichten von Verantwortlichen unerlässlich. Als Externe Datenschutzbeauftragte helfen wir Ihnen hierbei gerne weiter.