Urteil : Anwendbarkeit der DS GVO auf die Daten eines Geschäftsführers : aus der RDV 5/2025, Seite 263 bis 264
(EuGH, Urteil vom 3. April 2025 – C-710/23 –)
Relevanz für die Praxis
Im vorliegenden Urteil konkretisiert der EuGH ein weiteres Mal den Begriff der personenbezogenen Daten im Sinne der DS‑GVO, der nach ständiger Rechtsprechung weit auszulegen ist. Personenbezug ist nach den Vorgaben der DS‑GVO nur bei natürlichen Personen möglich, Daten einer juristischen Person unterfallen dem Anwendungsbereich der Verordnung dagegen nicht. Das wirft die Frage auf, ob Informationen, die sich sowohl auf eine juristische als auch auf ihre natürliche Vertreterperson beziehen, einen Personenbezug im Sinne von Art. 4 Nr. 1 DS‑GVO aufweisen. Entscheidend für den Bezug zur natürlichen Vertreterperson ist nach der Rechtsprechung des EuGH, ob die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit der identifizierbaren (natürlichen) Person verknüpft ist. Dass die Informationen über das Gesellschaftsorgan im Kontext einer beruflichen Tätigkeit stehen, soll dagegen nicht von Bedeutung sein.
- Art. 4 Nrn. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten darstellt. Der Umstand, dass die Offenlegung allein zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln, ist insoweit ohne Belang. […]
Zu den Vorlagefragen:
Zur ersten Frage
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nrn. 1 und 2 DS‑GVO dahin auszulegen ist, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, auch dann eine Verarbeitung personenbezogener Daten darstellt, wenn sie ausschließlich zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln. […]
Nach ständiger Rechtsprechung kommt in der Verwendung der Formulierung „alle Informationen“ bei der Bestimmung des Begriffs „personenbezogene Daten“ in dieser Vorschrift das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist (Urt. v. 07.03.2024, IAB Europe, C‑604/22, EU:C:2024:214, Rn. 36 und 37, sowie v. 04.10.2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 130 und 131 sowie die dort angeführte Rechtsprechung).
Damit stellen Informationen über identifizierte oder identifizierbare natürliche Personen, die als gesetzlich vorgesehenes Gesellschaftsorgan oder als Mitglieder eines solchen Organs befugt sind, die Gesellschaft außergerichtlich zu vertreten, „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DS‑GVO dar. Dass diese Informationen im Kontext einer beruflichen Tätigkeit stehen, bedeutet nicht, dass sie keine personenbezogenen Daten sind (vgl. entsprechend Urt. v. 09.03.2017, Manni, C‑398/15, EU:C:2017:197, Rn. 32 und 34 sowie die dort angeführte Rechtsprechung).
Eine solche Auslegung lässt sich, wie die Kommission ausgeführt hat, nicht mit dem 14. ErwG entkräften. Der zweite Satz dieses Erwägungsgrundes verweist nämlich u.a. auf „Name“ und „Kontaktdaten“ der juristischen Person, nicht aber der natürlichen Personen, die im Namen oder für Rechnung einer juristischen Person tätig sind.
Im vorliegenden Fall ist festzustellen, dass der Vorname und der Nachname einer identifizierten oder identifizierbaren natürlichen Person personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS‑GVO sind. Gleiches gilt für die Unterschrift einer solchen natürlichen Person (vgl. i.d.S. Urt. v. 04.10.2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 136).
Hinsichtlich der übrigen im Ausgangsverfahren in Rede stehenden Kontaktdaten obliegt dem vorlegenden Gericht die Prüfung, ob diese Kontaktdaten unter Berücksichtigung der in Rn. 21 des vorliegenden Urteils angeführten Rechtsprechung mit einer identifizierten oder identifizierbaren natürlichen Person verknüpft sind. […]
Aus dem Ausdruck „jeder Vorgang“ ergibt sich somit, dass der Gesetzgeber den Begriff „Verarbeitung“ weit fassen wollte; dies wird dadurch bestätigt, dass die Vorgänge – die die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung einschließen, wobei diese Vorgänge automatisiert oder nicht automatisiert erfolgen können – in der genannten Bestimmung nicht abschließend aufgezählt werden, was durch die Wendung „wie“ zum Ausdruck kommt (vgl. in diesem Sinne Urt. v. 07.03.2024, Endemol Shine Finland, C‑740/22, EU:C:2024:216, Rn. 29 und 30 sowie die dort angeführte Rechtsprechung).
In jedem Fall bietet der Wortlaut von Art. 4 Nr. 2 DS‑GVO keinerlei Anhaltspunkt dafür, dass der Unionsgesetzgeber die Absicht gehabt hätte, die Einstufung dieser Vorgänge als „Verarbeitung“ von ihrer Zweckbestimmung abhängig zu machen.
Eine solche Auslegung steht mit dem Ziel der DS‑GVO in Einklang, das, wie aus ihrem Art. 1 und aus ihren Erwägungsgründen 1 und 10 hervorgeht, insbesondere darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres in Art. 8 Abs. 1 der Charta und in Art. 16 Abs. 1 AEUV verankerten Rechts auf Privatleben bei der Verarbeitung personenbezogener Daten – zu gewährleisten (vgl. i.d.S. Urt. v. 09.01.2025, Mousse, C‑394/23, EU:C:2025:2, Rn. 21 und die dort angeführte Rechtsprechung).
Im vorliegenden Fall fällt die Übermittlung von Daten wie Vorname, Nachname, Unterschrift und Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, unter den Begriff „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DS‑GVO. Wie sich aus den Rn. 27 bis 29 des vorliegenden Urteils ergibt, ist es für die Einstufung als „Verarbeitung“ im Sinne dieser Bestimmung ohne Belang, dass die Offenlegung dieser Daten allein zu dem Zweck erfolgt, die Identifizierung einer natürlichen Person zu ermöglichen, die befugt ist, im Namen einer juristischen Person zu handeln.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 4 Nr. 1 und 2 DS‑GVO dahin auszulegen ist, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten darstellt. Der Umstand, dass die Offenlegung allein zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln, ist insoweit ohne Belang.
Zur Vertiefung
[Urteil] Anspruch eines früheren Vereinsvorstandsmitglieds auf Löschung seiner im Vereinsregister eingetragenen personenbezogenen Daten = RDV 6/2024
[Urteil] DS‑GVO-Konformität des IAB Frameworks = RDV 3/2024