Übersicht zur datenschutzrechtlichen Rechtsprechung

Am 28.04.2025 hat der Gerichtshof der Europäischen Union (EuGH) ein Faktenblatt zum Schutz personenbezogener Daten veröffentlicht. Hierin fasst der EuGH zentrale Entscheidungen zur Auslegung des Datenschutzrechts sowohl aus der Zeit vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) als auch danach zusammen. Für Unternehmen bietet das Dokument eine Übersicht zur datenschutzrechtlichen Rechtsprechung und eine Grundlage, um die bestehenden Anforderungen an die Verarbeitung personenbezogener Daten besser zu verstehen.

Überblick über den Inhalt des Faktenblatts

Das Faktenblatt orientiert sich systematisch an verschiedenen Aspekten des Datenschutzrechts. Es beginnt mit dem Grundrecht auf Schutz personenbezogener Daten aus Art. 8 der EU-Grundrechtecharta als verfassungsrechtlichen Fundament. Anschließend behandelt es die Verarbeitung personenbezogener Daten nach der allgemeinen Datenschutzregelung. Hierauf folgt die Verarbeitung von Daten nach sektorbezogenen Regelungen, wie etwa im Bereich der elektronischen Kommunikation. Besondere Aufmerksamkeit widmet das Dokument auch den Anforderungen an die Datenübermittlung in Drittstaaten. Ein weiterer Themenkomplex betrifft die Aufsicht über die Datenverarbeitung.

Grundrecht auf Datenschutz

Die Auswahl der Entscheidungen ist nicht nur historisch bedeutsam, sondern hat weiterhin praktische Relevanz. So legte der EuGH etwa mit seinem Urteil aus 2014 (C-293/12) das Grundverständnis für die Zulässigkeit von Vorratsdatenspeicherung. Mit seiner Entscheidung in der Rechtssache C-293/12 urteilte der EuGH 2022 zudem, dass Flugunternehmen die personenbezogenen Daten ihrer Reisegäste nicht mehr anlasslos und so umfangreich wie bisher verarbeiten dürfen.

Schutz nach allgemeinen Datenschutzregeln

Hinsichtlich allgemeiner Datenschutzregeln markierte das Urteil in der Rechtssache Lindqvist (C-101/01) aus dem Jahr 2003 einen frühen Meilenstein in der Abgrenzung zwischen privater und öffentlicher Datenverarbeitung. Im Mai 2014 stärkte der EuGH dann das Recht auf Vergessenwerden gegenüber Suchmaschinenbetreibern.

Auch legte er fest, dass die DSGVO für eine große Palette an Organisationen gilt, wie etwa die Zeugen Jehovas oder ein parlamentarischer Untersuchungsausschuss. In der Entscheidung Latvijas Republikas Saeima (Penalty points) (C-439/19) präzisierte er die Anforderungen an die Datenminimierung und Transparenz bei staatlichen Punktesystemen. Im Übrigen stellte der EuGH Ende 2023 klar, dass Behörden Geldbußen nur bei Verschulden erlassen dürfen.

Nach Rechtssache C-210/16 sind Betreiber von Facebook-Fanpages zudem gemeinsam mit Facebook für die Datenverarbeitung auf der Seite verantwortlich. Mit Rechtssache C-40/17 urteilte der EuGH, dass auch wer auf seiner Website Plugins wie den Facebook-Like-Button einbindet, zusammen mit dem Anbieter für die Datenverarbeitung verantwortlich ist. Weiterhin stellte der EuGH etwa in Orange Romania klar, dass eine vorangekreuzte Checkbox keine wirksame Einwilligung darstellt.

Übermittlung personenbezogener Daten in Drittländer

Im Rahmen der internationalen Datenübermittlung sorgten insbesondere die späteren Schrems-Urteile (2015 (C-362/14) und 2020 (C-311/18)) für Aufsehen. Mit der Ungültigerklärung des Safe-Harbor- und Privacy-Shield-Abkommens erschwerte sich der Datentransfer mit den USA erheblich.

Fazit

Mit der Übersicht zur datenschutzrechtlichen Rechtsprechung und den damit einhergehenden Fakten liefert der EuGH eine wertvolle Grundlage. Die Zusammenstellung bringt Struktur in eine zunehmend komplexe Rechtslage und kann dabei helfen, zentrale Rechtsprechungen besser nachzuvollziehen.