Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 03.04.2025 (C-710/23) klargestellt: Auch die Daten von Geschäftsführern, Vorständen und anderen natürlichen Personen, die Unternehmen nach außen vertreten, fallen unter den Schutz der Datenschutzgrundverordnung (DSGVO).
Zugrundeliegender Fall:
Das Urteil basiert auf einem Fall aus Tschechien. Dort hatte ein Bürger vom Gesundheitsministerium Auskunft darüber verlangt, welche Personen Verträge über die Beschaffung von COVID-19-Tests unterzeichnet hatten. Das Ministerium schwärzte Namen sowie Unterschriften und rechtfertigte dies mit einem Verweis auf die datenschutzrechtlichen Vorgaben. Der Antragsteller wehrte sich gegen diese Schwärzungen, woraufhin das tschechische Gericht die Frage dem EuGH vorlegte. Es wollte insbesondere wissen, ob diese Daten tatsächlich der DSGVO unterliegen, obwohl sie in beruflicher Funktion und im Namen juristischer Personen erhoben wurden.
Urteil des EuGH:
Der Europäische Gerichtshof (EuGH) hat nun bestätigt, dass solche Angaben tatsächlich vom Schutz der DSGVO erfasst sind. Nach seiner Auffassung gelten Informationen wie Name, Unterschrift oder berufliche Position als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Ihre Weitergabe stellt eine Form der Datenverarbeitung dar und bedarf daher einer datenschutzrechtlichen Rechtfertigung – unabhängig davon, ob die betreffende Person im privaten oder beruflichen Kontext handelt.
Auch wenn Transparenzpflichten bestehen – zum Beispiel bei öffentlichen Ausschreibungen – dürfen personenbezogene Daten nicht einfach ohne Weiteres veröffentlicht werden. Eine solche Veröffentlichung muss stets den Grundsätzen des Datenschutzes entsprechen und auf einer passenden rechtlichen Grundlage beruhen.
Rechtsfolgen des Urteils:
Unternehmen müssen sich jetzt darauf einstellen, dass die DSGVO auch im rein geschäftlichen Kontext greift. Das führt zu zusätzlichen Pflichten im Umgang mit personenbezogenen Daten. Bisher wurde teils angenommen, dass die Weitergabe von Geschäftsführer- oder Vorstandsdaten an Dritte keiner konkreten Rechtfertigung bedarf. Jetzt steht jedoch fest, dass auch diese Verarbeitungstätigkeiten den Anforderungen der DSGVO unterliegen und somit eine Rechtsgrundlage erforderlich ist.
Eine Zulässigkeit der Datenverarbeitung kann sich aus der Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 lit. b) DSGVO), einer gesetzlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO) oder einem berechtigten Interesse (Art. 6 Abs. 1 lit. f) DSGVO) ergeben. Bei einer Berufung auf ein berechtigtes Interesse ist jedoch eine sorgfältige Interessenabwägung erforderlich, bei der die Rechte und Freiheiten der betroffenen Person angemessen berücksichtigt werden müssen.
Fazit:
Das Urteil unterstreicht, dass der Schutz personenbezogener Daten auch für Personen in leitender Position uneingeschränkt gilt. Auch im beruflichen Kontext behalten Geschäftsführer, Vorstände und andere Führungskräfte ihr Recht auf informationelle Selbstbestimmung. Unternehmen sollten daher ihre datenschutzrechtlichen Maßnahmen entsprechend anpassen und diese Daten wie alle anderen personenbezogenen Daten behandeln.
