In Art. 14 Abs. 5 definiert die DSGVO (Datenschutz-Grundverordnung) Ausnahmen, wann keine Information Betroffener erfolgen muss, wenn ein Verantwortlicher von Dritten bezogene Daten verarbeitet. Der Europäische Gerichtshof (EuGH) musste nun klären, ob die Ausnahme Art. 14 Abs. 5 lit. c) auch Daten umfasst, die vom Verantwortlichen selbst erstellt wurden (Urteil vom 28. November 2024, Az.: C- 169/23).
Sachverhalt
Im gegenständlichen Fall erhielt der Kläger ein COVID-19-Immunitätszertifikat, das von der zuständigen Behörde ausgestellt wurde. Dieses Zertifikat enthielt neben Informationen zur Impfung gegen COVID-19 unter anderem eine spezifische Identifikationsnummer sowie einen QR-Code. Damit wurden personenbezogene Daten genannt, die nicht vom Betroffenen selbst, sondern durch die behördliche Tätigkeit generiert wurden.
Der Betroffene bemängelte, dass ihm die dafür erforderlichen Informationen gemäß Art. 14 DSGVO nicht in angemessener Weise mitgeteilt worden seien. Er legte bei der ungarischen Datenschutzbehörde Beschwerde ein, weil ihm zufolge eine ausreichende datenschutzrechtliche Information zur Ausstellung der Impfzertifikate fehlte.
Die Verantwortliche, eine ungarische Behörde, berief sich darauf, dass die Verarbeitung auf der Grundlage von Art. 6 Abs. 1 lit. e) und Art. 9 Abs. 2 lit. i) DSGVO erfolge und dass die Daten – gestützt auf nationale Regelungen (Regierungsverordnung Nr. 60/2021 über das Coronavirus‑Immunitätszertifikat) – von einer anderen Stelle bezogen wurden. Aufgrund dieser Argumentation machte die Behörde von der Ausnahmeregelung in Art. 14 Abs. 5 lit. c) DSGVO Gebrauch, die sie von der Pflicht zur umfassenden Information entbinden sollte.
Das zuständige Gericht widersprach dieser Auslegung, indem es anführte, dass die Ausnahme nicht gelte, wenn Daten im Rahmen behördlicher Tätigkeiten selbst generiert werden. Der im Berufungsverfahren angerufene EuGH entschied in seinem Urteil jedoch anders.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das EuGH-Urteil
Übersetzungen der DSGVO dürfen Schutzzweck nicht unterlaufen
In seinem Urteil stellt der EuGH fest, dass die Ausnahmevorschrift in Art. 14 Abs. 5 lit. c) DSGVO alle personenbezogenen Daten umfasst, die nicht direkt von der betroffenen Person erhoben werden – unabhängig davon, ob sie von Dritten bezogen oder im Rahmen behördlicher Aufgaben selbst erzeugt wurden. Das schließt damit ausdrücklich auch die Daten ein, die der Verantwortliche im Rahmen eigener Prozesse erzeugt hat.
Dabei betont der EuGH, dass sprachliche Unterschiede in den verschiedenen DSGVO-Übersetzungen der EU-Mitgliedstaaten, in denen teils von „Informationen“ und teils von „Daten“ die Rede ist, den eigentlichen Schutzzweck der DSGVO nicht verändern dürfen. Entscheidend sei, dass der Schutz personenbezogener Daten im Mittelpunkt steht. Die Ausnahme greift demnach nur dann, wenn das nationale Recht ein Informations- und Schutzniveau bietet, das mindestens dem in Art. 14 Abs. 1 bis 4 DSGVO festgelegten Schutz entspricht.
Gleichzeitig bestätigt der EuGH, dass nationale Datenschutzbehörden befugt sind, zu überprüfen, ob die entsprechenden Regelungen tatsächlich angemessene Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Personen vorsehen.
Wann greifen Art. 13 und Art. 14 DSGVO?
Wegen der Differenzierung zwischen Art. 13 und Art. 14 DSGVO fallen grundsätzlich alle Daten, die nicht direkt vom Betroffenen erhoben und damit unter Art. 13 DSGVO subsumiert werden können, in den Geltungsbereich von Art. 14 DSGVO.
Es muss also im jeweils konkreten Fall unterschieden werden, ob Art. 13 oder Art. 14 DSGVO zu Anwendung kommt.
Art. 13 DSGVO
Dieser Artikel kommt zur Anwendung, wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden. Hier ist der Verantwortliche verpflichtet, dem Betroffenen zum Zeitpunkt der Datenerhebung umfassende Informationen über die Verarbeitung bereitzustellen.
Art. 14 DSGVO
Dieser Artikel greift, wenn personenbezogene Daten nicht direkt von der betroffenen Person erhoben, sondern beispielsweise von Dritten bezogen oder im Rahmen (behördlicher) Tätigkeiten generiert werden. Der Informationsanspruch besteht auch hier, jedoch kann – wie im vorliegenden Fall – eine Ausnahme gemäß Art. 14 Abs. 5 lit. c) DSGVO geltend gemacht werden, sofern das nationale Recht ein adäquates Schutzniveau garantiert.
Datenschutzrechtliche Einschätzung
Aus datenschutzrechtlicher Sicht unterstreicht das Urteil, dass der Schutz personenbezogener Daten nicht von der Herkunft der Daten abhängt. Selbst wenn die Daten nicht direkt von der betroffenen Person erhoben werden, muss ein hoher Schutzstandard gewährleistet sein.
Das Urteil schafft durch die Annahme eines weit auszulegenden Art. 14 Abs. 5 lit. c) DSGVO nicht nur neue Maßstäbe für den Umgang mit diesen Ausnahmetatbestand, sondern verhindert daneben, dass sich Unternehmen oder Behörden ohne ausreichende Schutzmaßnahmen von ihrer Informationspflicht befreien können. Es erstaunt, da begrifflich die „Erlangung“ von Daten („obtaining“ im englischen Original) auch die eigenständige Neuschöpfung von Daten durch den Verantwortlichen erfassen soll. Hierunter könnte man dann gleichsam eine Weiterverarbeitung von Daten nach Art. 6 Abs. 4 DSGVO begreifen, die aber ihrerseits wiederum rechtmäßig erfolgen muss. Eine Informationspflicht kann in solchen Fällen zumindest ebenfalls hinterfragt werden.
Das Urteil stärkt zudem die Rolle der Datenschutzbehörden, die sicherstellen müssen, dass die Ausnahmeregelungen der DSGVO nicht zu einer Schwächung der Betroffenenrechte führen.
Die Umsetzung und Auslegung der DSGVO in den einzelnen Mitgliedsstaaten ist ein entscheidender Faktor. Der EuGH hebt hervor, dass nationale Regelungen, die sich auf Art. 14 Abs. 5 DSGVO stützen, die Informationspflicht nur dann aussetzen können, wenn sie einen gleichwertigen Schutz bieten. Damit wird verhindert, dass Ausnahmen von der Informationspflicht als Freibrief zur Verschleierung interner Verarbeitungsvorgänge genutzt werden.
Handlungsempfehlungen für Verantwortliche
Aus dem Urteil folgt, dass Verantwortliche, die personenbezogene Daten verarbeiten, sicherstellen müssen, dass nationale Regelungen, von denen sie Gebrauch machen wollen, den Vorgaben der DSGVO entsprechen. Unternehmen sind daher ebenso dazu angehalten, die einschlägigen nationalen Vorschriften sorgfältig zu überprüfen, bevor sie sich auf eine Ausnahme zur Befreiung der Informationspflicht berufen. Zudem lässt die Inanspruchnahme einer solchen Ausnahme keinesfalls die Pflicht zur Einhaltung der übrigen DSGVO-Anforderungen entfallen.
Verantwortliche sind darüber hinaus gut beraten, ihre internen Prozesse so zu gestalten, dass klar dokumentiert wird, welche Daten direkt von den betroffenen Personen erhoben und welche im Rahmen eigener Prozesse erzeugt werden.
