EuGH: DSGVO schützt auch Geschäftsführer-Daten

16. April 2025

Mit Urteil vom 03.04.2025 (C-710/23) hat der Europäische Gerichtshof (EuGH) klargestellt, dass die Datenschutzgrundverordnung (DSGVO) auch Geschäftsführer-Daten schützt. Gleiches gelte für Vorstände und andere natürliche Personen, die juristische Personen vertreten. Was dies für Unternehmen bedeutet, haben wir im Folgenden zusammengefasst.

Zugrundeliegender Fall

Dem Urteil lag ein Fall aus Tschechien zugrunde. Ein Bürger hatte vom tschechischen Gesundheitsministerium Auskunft darüber verlangt, wer Verträge über die Beschaffung von COVID-19-Tests unterzeichnet hatte. Das Ministerium übermittelte zwar die angeforderten Dokumente, schwärzte jedoch die Namen, Unterschriften und Funktionsbezeichnungen der unterzeichnenden Personen. Dies rechtfertigte sie mit dem Verweis auf datenschutzrechtliche Vorgaben. Der Antragsteller wehrte sich gegen diese Schwärzungen. Das tschechische Gericht legten die Frage dem EuGH vor. Es wollte insbesondere wissen, ob diese Daten tatsächlich der DSGVO unterliegen, obwohl sie in beruflicher Funktion und im Namen juristischer Personen erhoben wurden.

Urteil des EuGH

Der EuGH stellt in seinem Urteil klar, dass die DSGVO auch Geschäftsführer-Daten schützt. Die Weitergabe von Informationen wie Vor- und Nachname, Unterschrift und Adressdaten von natürlichen Personen, die juristische Personen vertreten, stelle insofern eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. In diesem Zusammenhang käme es nicht darauf an, dass die Weitergabe allein zum Zwecke der Identifizierung des Vertreters erfolge.

Daneben war streitig, ob eine vorherige Konsultationspflicht der betroffenen Person, zulässig war. Laut EuGH können Gerichte und Gesetzgeber über die DSGVO hinausgehende Schutzpflichten festlegen, solange sie nicht gegen die DSGVO-Zielsetzung verstoßen. Hier könne insbesondere ein Kollidieren mit dem auf Zugang der Öffentlichkeit zu amtlichen Dokumenten nach Art. 86 DSGVO im Rahmen des Transparenzgebots bestehen. Entsprechende Vorgaben müssten insofern verhältnismäßig bleiben. Jedenfalls dürfe eine solche Schutzpflicht den Zugang zu Dokumenten etwa aufgrund von unverhältnismäßigem Aufwand nicht vollständig blockieren oder übermäßig erschweren.

Rechtsfolgen für Unternehmen

Für Unternehmen bedeutet dies, dass die DSGVO auch im geschäftlichen Kontext gelten kann. Insofern entsteht eine Erweiterung ihrer datenschutzrechtlichen Pflichten. Während teilweise bislang davon ausgegangen wurde, dass insbesondere die Weitergabe von Geschäftsführer- oder Vorstandsdaten an Geschäftspartner, Behörden oder Dritte nicht zwangsläufig einer besonderen Rechtfertigung bedarf, ist nun klar, dass auch diese Datenverarbeitung den Anforderungen der DSGVO genügen muss.

Das bedeutet, dass zunächst eine valide Rechtsgrundlage erforderlich ist. Diese kann sich etwa aus der Notwendigkeit zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), einer rechtlichen Verpflichtung (lit. c) oder einem berechtigten Interesse (lit. f) ergeben. Letzteres setzt jedoch stets eine Interessenabwägung voraus und erfordert, dass die Rechte und Freiheiten der betroffenen Person nicht überwiegen – was auch im beruflichen Kontext nicht automatisch ausgeschlossen ist.

Im Kontext der Datenminimierung ist zudem relevant, dass nur solche Daten verarbeitet werden dürfen, die für den jeweiligen Zweck erforderlich sind. Liegt die Verarbeitung in der Weitergabe der Daten, sollte kritisch hinterfragt werden, ob die namentliche Nennung oder gar Abbildung der Unterschrift notwendig ist oder ob anonymisierte Varianten ausreichen.

Grenzen der Transparenzpflicht

Bemerkenswert ist das Urteil auch im Hinblick auf den Konflikt zwischen Datenschutz und Informationsfreiheit. Im zugrunde liegenden Fall kollidierten zwei legitime Interessen: Das öffentliche Interesse an Transparenz über staatliche Vergabeverfahren und das Persönlichkeitsrecht der beteiligten natürlichen Personen. Der EuGH erkennt diesen Konflikt durchaus an, verweist aber darauf, dass ein Ausgleich nicht durch pauschale Offenlegung, sondern nur unter Beachtung der Datenschutzgrundsätze erfolgen darf. Dies bedeutet nicht, dass Informationen über geschäftliche Verantwortungsträger nie veröffentlicht werden dürften – wohl aber, dass jede solche Veröffentlichung datenschutzrechtlich gerechtfertigt sein muss.

Fazit

Das Urteil des EuGH macht deutlich, dass der Schutz personenbezogener Daten nicht an der Tür des Vorstandsbüros endet. Auch wer in beruflicher Funktion handelt, verliert nicht sein Recht auf informationelle Selbstbestimmung. Für Unternehmen bedeutet das, dass sie auch die Daten von Geschäftsführern, Vorstandsmitgliedern, Prokuristen und anderen Vertretungsorganen wie alle anderen personenbezogenen Daten behandeln müssen. Hierbei müssen sie aber auch darauf achten alle sonstigen gesetzlichen Vorgaben zu beachten, die sich gegebenenfalls aus der besonderen Stellung als Leitungsperson ergeben.

Kategorien: Anonymisierung & Pseudonymisierung · Auskunft · Datenminimierung · DSGVO · EuGH-Urteil · Rechtsprechung