Angabe der berechtigten Interessen in Datenschutzerklärung erforderlich (Anmerkung zu EuGH C-934/23)

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 09.01.2025 (C-394/23) entschieden, dass der Verantwortliche das verfolgte berechtigte Interesse im Rahmen seiner Informationspflichten aus Art. 13(1)(d) DSGVO mitteilen muss, wenn die Verarbeitung von personenbezogenen Daten auf Art. 6(1)(1)(f) DSGVO beruht.

Wie erfolgt die Mitteilung der „berechtigten Interessen“?

In der Regel erfolgt die Mitteilung in den Datenschutzhinweisen, welche untechnisch in der Praxis auch „Datenschutzerklärung“ genannt wird.

Im Rahmen der Datenschutzerklärung, egal ob online oder analog, muss der Verantwortliche explizit die berechtigten Interessen mitteilen.

Dies ergibt sich aus dem Wortlaut des Art. 13(1)(d) DSGVO:

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: […]

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden“

(Hervorherbungen durch den Verfasser)

Für den Fall, dass die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, gilt grundsätzlich dasselbe nach Art. 14 (2)(b) DSGVO.

Wann muss die Mitteilung über die verfolgten „berechtigten Interessen“ erfolgen?

Es stellt sich die Frage, wann die Information über die berechtigten Interessen erfolgen muss.

Grundsätzlich ist stets die Frage zu stellen, ob die personenbezogenen Daten bei der betroffenen Person erhoben wurden (dann Art. 13 DSGVO) oder nicht, d.h. die Erhebung bei anderen Quellen erfolgt ist(dann Art. 14 DSGVO).

Für den vom EuGH entschiedenen Fall ging es um die Informationspflicht aus Art. 13 (1)(d) DSGVO. Nach dem Wortlaut des Art. 13 DSGVO muss die Information zum Zeitpunkt der Erhebung dieser Daten erfolgen:

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: […]

(Hervorhebung durch den Verfasser)

Kann die Mitteilung der „berechtigten Interessen“ noch nachgeholt und dadurch geheilt werden?

Aus meiner Sicht kann die Mitteilung nicht nachgeholt werden und eine Heilung ist nicht möglich.

Der Wortlaut des Art. 13(1) DSGVO ist hier eindeutig.

Auch der Vergleich mit Art. 14 (3)(a) DSGVO, der eine „angemessene Frist nach Erlangung der personenbezogenen Daten, längestens jedoch innerhalb eines Monats“ vorsieht spricht dafür, dass eine Heilung nicht möglich ist.

Was ist die Rechtsfolge, wenn die verfolgten berechtigten Interessen nicht mitgeteilt werden?

Artikel 13 und 14 DSGVO sind Ausprägungen des Transparenzgrundsatzes, welcher in Art. 5 (1)(a) DSGVO geregelt ist, so dass das Unterlassen der Mitteilung der berechtigten Interessen unstreitig einen Verstoß dagegen darstellt.

Der EuGH geht aber noch weiter. Er sieht die Mitteilung der berechtigten Interessen als Grundlage für die Rechtsgrundlage des Art. 6(1)(1)(f)DSGVO (:

„Was erstens die Voraussetzung der Wahrnehmung eines berechtigten Interesses betrifft, ist darauf hinzuweisen, dass es nach Art. 13 Abs. 1 Buchst. d DSGVO dem Verantwortlichen obliegt, einer betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO beruht.“ (Randnummer 46)

(Hervorhebungen durch den Verfasser)

Damit führt das Unterlassen der Mitteilung nicht nur zu einem Verstoß gegen den Transparenzgrundsatz sondern zudem zu einem Verstoß gegen den Rechtmäßigkeitsgrundsatz, welcher ebenfalls in Art. 5 (1)(a) DSGVO geregelt ist.

Was müssen Verantwortliche tun, um diese Anforderungen einzuhalten?

Entscheidend ist die Datenschutzorganisation und die Implementierung der entsprechenden Prozesse zur Umsetzung des Datenschutzes.

Im Datenschutzsystem unserer Mandanten wird dieser Punkt im datenschutzrechtlichen Kernprozess „Datenschutzkonforme Verarbeitung“ abgebildet und umgesetzt.

Da die Rechtsgrundlage der berechtigten Interessen in der Praxis die größte Relevanz hat, muss an dieser Stelle sehr sauber gearbeitet werden. Andernfalls können Fehler hier nicht mehr geheilt werden.