Nicht neu ist der Gedanke, dass eine Verletzung der datenschutzrechtlichen Informationspflichten Auswirkungen auf die Beurteilung der Rechtmäßigkeit der Datenverarbeitung haben kann: Informationsdefizite müssen bei einer Interessenabwägung berücksichtigt werden. Der EuGH hat jedoch in einer aktuellen Entscheidung (EuGH, Urteil vom 09.01.2025, Az. C-394/23) unmittelbar aus einer unzureichenden Datenschutzinformation hergeleitet, dass eine Datenverarbeitung rechtswidrig ist. Die Verletzung einer Informationspflicht stellt nicht nur eine eigenständige Datenschutzrechtsverletzung dar, sondern hat unerwartete Fernwirkungen auf die Rechtmäßigkeit der gesamten Datenverarbeitung.

Die Entscheidung
Der Europäische Gerichtshof hatte über ein Vorabentscheidungsersuchen eines französischen Gerichts zu entscheiden. Dem lokalen Gericht lag eine Klage eines Verbandes, der sich gegen sexuelle Diskriminierung einsetzt (Association Mousse) vor. Der Verband wandte sich gegen eine Entscheidung der französischen Datenschutzaufsichtsbehörde (Commission Nationale de l’Informatique et des Libertés - CNIL). Die Datenschutzaufsicht hatte ein Verfahren, das durch eine Beschwerde des Verbandes eingeleitet worden war, eingestellt. Der Verband hatte sich darüber beschwert, dass ein Unternehmen des französischen Bahnkonzerns (SNCF Connect), welches u.a. Bahnfahrkarten in einem Onlineshop verkauft, die Wahl einer Anrede („Herr“ oder „Frau“) als Pflichtfeld für die Anmeldung bzw. Registrierung auf der Website des Onlineshops vorgesehen hatte. 

Der Verband war der Ansicht, dass die Erhebung der Anredeform rechtswidrig sei, weil sie weder dem Grundsatz der Datenminimierung gerecht werde, noch die Verarbeitung dieses Datums zur Erfüllung eines Vertrages erforderlich sei. Auch könne die Datenverarbeitung nicht auf überwiegende berechtigte Interessen gestützt werden. Die CNIL sah in der Erhebung und weiteren Verarbeitung keine Verstöße gegen die DS-GVO. Zur Begründung stellte die CNIL fest, dass die Verarbeitung der Anredeform nach Art. 6 Abs. 1 unter Abs. 1 Buchstabe b DS-GVO rechtmäßig sei, da sie für die Erfüllung des betreffenden Vertrages über die Erbringung von Beförderungsdienstleistungen erforderlich sei. Diese Verarbeitung stehe ferner im Hinblick auf ihre Zwecke mit dem Grundsatz der Datenminimierung im Einklang, da die Ansprache der Kunden auf personalisierte Weise unter Verwendung ihrer Anrede der allgemeinen Verkehrssitte in der geschäftlichen, privaten und behördlichen Kommunikation entspreche.

Der EuGH entschied im ersten Schritt, dass die Erhebung der Anrede in der vorliegenden Form nicht zur Vertragserfüllung erforderlich sei und daher nicht auf Art. 6 Abs. 1 Unterabsatz 1 Buchstabe b DS-GVO gestützt werden könne.

In Bezug auf die Frage, ob sich die Datenverarbeitung der SNCF Connect auf überwiegende berechtigte Interessen und damit auf Art. 6 Abs. 1 Unterabsatz 1 Buchstabe f DS-GVO als Rechtsgrundlage stützen könne, stellte der EuGH heraus, dass das vorlegende Gericht unter anderem zu prüfen habe, ob die SNCF Connect ihren Kunden in der Phase der Erhebung der Anrededaten gem. Art. 13 Abs. 1 Buchstabe d DS-GVO ein berechtigtes Interesse mitgeteilt habe. Diese Bestimmung verlange, dass betroffenen Personen das verfolgte berechtigte Interesse bereits zum Zeitpunkt der Datenerhebung mitgeteilt werde. Andernfalls könne die Erhebung nicht durch Art. 6 Abs. 1 Unterabsatz 1 Buchstabe f DS-GVO gerechtfertigt werden.

Der EuGH kommt somit im Rahmen der Beantwortung der Vorlagenfrage eindeutig zu dem Ergebnis, dass allein schon für den Fall, dass den Kunden bei der Erhebung der Daten nicht das verfolgte berechtigte Interesse mitgeteilt wurde, die Datenverarbeitung nicht als erforderlich zur Wahrung der berechtigen Interessen des Verantwortlichen angesehen werden könne und schon deshalb rechtswidrig sei. 

Auswirkungen auf die Praxis 
Art. 6 Abs. 1 Unterabsatz 1 Buchstabe f DS-GVO gilt so manchem Datenverarbeiter als „Allheilmittel“ für die Rechtfertigung einer Datenverarbeitung. Da jegliches rechtmäßig verfolgbare Interesse den Einstieg in eine wertende Interessenabwägung ermöglicht, ist Art. 6 Abs. 1 Unterabsatz 1 Buchstabe f DS-GVO in vielen Fällen geeignet, eine Argumentation für eine rechtmäßige Datenverarbeitung aufzubauen. Deshalb wird Art. 6 Abs. 1 Unterabsatz 1 Buchstabe f DS-GVO häufig als Rechtsgrundlage für die Verarbeitung personenbezogener Daten angeführt.

Aus dem Urteil des EuGH ergibt sich, dass künftig jeder Verantwortliche im Sinne der DS-GVO, also jede Stelle, die Daten verarbeitet, sich nicht mehr erfolgreich auf ein überwiegendes berechtigtes Interesse berufen kann, wenn die damit verbundenen Informationspflichten - insbesondere die Pflicht die berechtigten Interessen anzugeben - nicht oder unzureichend erfüllt wurden.
 
Dieser Gedanke lässt sich grundsätzlich auf die Bedeutung anderer datenschutzrechtlicher Informationspflichten übertragen. Künftig wird man – je nach Lage des Einzelfalls – eine mangelhafte Information – z.B. eine mangelnde Information über die Rechte der betroffenen Person – nicht mehr nur als Argument für ein überwiegendes Interesse der betroffenen Person werten müssen, sondern unter Umständen – ohne überhaupt in eine Interessenabwägung einzusteigen – die Rechtmäßigkeit einer Datenverarbeitung allein schon mangels ausreichender Information verneinen können.

Das Risiko einer unzureichenden Datenschutzinformation beschränkt sich damit nicht auf Bußgelder und mögliche Schadensersatzforderungen, die unmittelbar aus der Verletzung der Informationspflicht folgen. Vielmehr beeinflussen Informationsdefizite auch die grundlegende Frage der Rechtmäßigkeit der Datenverarbeitung. Ist aufgrund mangelnder Information die Datenverarbeitung rechtswidrig, ergeben sich weitere und noch umfangreichere Risiken für den Verantwortlichen in Bezug auf Bußgelder, Schadensersatzansprüche und die Verwertbarkeit der Daten.

Praxistipp
Es ist vor dem Hintergrund dieser richtungsweisenden EuGH-Entscheidung dringend anzuraten, jegliche Informationspflichten, die einem Verantwortlichen obliegen, zu erfüllen und die bisherige Informationspraxis zu überprüfen. Informationspflichten bestehen bei jeglicher Art der Datenverarbeitung, und zwar schon im Zeitpunkt der ersten Erhebung personenbezogener Daten. Dies betrifft nicht nur z.B. die Kundendatenverarbeitung, sondern auch die Verarbeitung von Beschäftigtendaten. Die Entscheidung betrifft demnach jeden Verantwortlichen – gleich ob es sich um ein Unternehmen, um eine andere private Stelle oder eine öffentlich-rechtliche Stelle handelt. 
 

Weiterführende Links : EuGH, Urteil vom 09.01.2025, Az. C-394/23