Die Datenschutzstelle (DSS) publiziert regelmässig kurze Zusammenfassungen datenschutzrechtlich relevanter Gerichtsurteile im Rahmen ihres Newsletters. Anbei finden sich drei Entscheidungen des Europäischen Gerichtshofs (EuGH) sowie eine des deutschen Bundesfinanzhofs (BFH), welche jüngst für eine weitere Konkretisierung der Auslegung der europäischen Datenschutz-Grundverordnung (DSGVO) und des liechtensteinischen Datenschutzgesetzes (DSG) sorgten.
- EuGH-Urteil vom 9. Januar 2025 – C-416/23: Kriterien zur Beurteilung von «exzessiven» Anfragen
Der EuGH hat entschieden, dass Anfragen nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als «exzessiv» im Sinne von Art. 57 Abs. 4 DSGVO eingestuft werden können, da die Bestimmung voraussetzt, dass die Aufsichtsbehörde das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweist. Die betroffene Person hatte bei der Datenschutzaufsichtsbehörde innerhalb eines Zeitraums von ca. 20 Monaten 77 ähnliche Beschwerden gegen verschiedene Verantwortliche eingebracht.
Eine Aufsichtsbehörde kann bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern muss, dass die gewählte Option geeignet, erforderlich und verhältnismässig ist.
Zudem hat der EuGH klargestellt, dass der in Art. 57 Abs. 4 DSGVO enthaltene Begriff «Anfrage» Beschwerden nach Art. 57 Abs. 1 Bst. f und Art. 77 Abs. 1 DSGVO umfasst.
- BFH-Urteil vom 14. Januar 2025 – IX R 25/22: Auskunftspflicht nach Art. 15 DSGVO auch bei grossem Aufwand
Der deutsche Bundesfinanzhof entschied am 14.01.2025, dass eine Behörde die Auskunft nach Art. 15 DSGVO nicht mit Verweis auf einen zu hohen Aufwand verweigern darf. Das Finanzamt stellte dem Kläger zunächst eine Übersicht zur Verfügung und bot Akteneinsicht an, verweigerte aber die Herausgabe vollständiger Kopien mit der Begründung, der Aufwand sei unverhältnismässig. Der BFH entschied, dass die DSGVO einen solchen Verweigerungsgrund nicht kennt. Das Angebot zur Akteneinsicht ist nicht gleichzusetzen mit der Erstellung einer Kopie der Daten. Denn wie Art. 15 Abs. 3 DSGVO bestimmt, hat der Verantwortliche auf Anfrage des Betroffenen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Das blosse Angebot zur Einsichtnahme ist daher nicht ausreichend und kann dem Auskunftsanspruch aus Art. 15 DSGVO nicht gleichgesetzt werden.
Ein Auskunftsverlangen kann insbesondere nicht als «exzessiv» abgelehnt werden, nur weil es umfassend ist. Ein Auskunftsbegehren gilt nicht bereits als exzessiv, wenn die betroffene Person Auskunft zu ihren personenbezogenen Daten begehrt, ohne dieses Begehren in sachlicher bzw. zeitlicher Hinsicht zu beschränken.
- EuGH-Urteil vom 13. Februar 2025 – C-383/23: Geldbussen; Begriff «Unternehmen»
Gemäss EuGH entspricht der Begriff «Unternehmen» aus Art. 83 Abs. 4 bis 6 DSGVO dem Begriff «Unternehmen» im Sinne der Art. 101 und 102 AEUV. Unter einem Unternehmen im Sinne des Art. 83 Abs. 4 bis 6 DSGVO ist demnach eine wirtschaftliche Einheit zu verstehen, auch wenn diese in rechtlicher Hinsicht aus mehreren natürlichen oder juristischen Personen besteht. Das bedeutet, dass der Höchstbetrag einer Geldbusse, die gegen einen Verantwortlichen wegen eines Verstosses gegen die DSGVO verhängt wird, auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres des Unternehmens bestimmt wird.
Der Begriff «Unternehmen» ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbusse zu beurteilen und so zu überprüfen, ob die Geldbusse sowohl wirksam und verhältnismässig als auch abschreckend ist. Diverse Unternehmen hatten in der Vergangenheit mit getrennten Einheiten (Töchterunternehmen etc.) argumentiert, um die Geldbusse niedrig zu halten.
Diese Entscheidung wirkt weit über den Anwendungsbereich der DSGVO hinaus. Auch die KI-Verordnung, der Digital Markets Act und der Digital Services Act enthalten ähnliche Bussgeldbestimmungen, für die dieses Urteil massgebend sein wird.
- EuGH-Urteil vom 27. Februar 2025 – C-203/22: Auskunftsrecht bei automatisierten Entscheidungen; Geschäftsgeheimnisse
Der EuGH entschied, dass Art. 15 Abs. 1 Bst. h DSGVO dahingehend auszulegen ist, dass Unternehmen bei automatisierten Entscheidungsfindungen (einschliesslich Profiling) im Sinne von Art. 22 Abs. 1 DSGVO der betroffenen Person detailliert über die eingesetzten Verfahren Auskunft geben müssen.
Eine Wirtschafts-Auskunftei hatte die Offenlegung ihrer Scoring-Logik unter Berufung auf das Geschäftsgeheimnis verweigert. Der EuGH hat jedoch entschieden, dass Unternehmen verpflichtet sind, den Betroffenen die Verfahren und Grundsätze bei automatisierten Entscheidungen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erläutern. Betroffene müssen die Informationen somit in vollem Umfang verstehen können, weshalb die mitgeteilten Informationen allenfalls zu kontextualisieren sind. Darüber hinaus sind Unternehmen verpflichtet, Geschäftsgeheimnisse im Sinne von Art. 2 Nr. 1 der Richtlinie (EU) 2016/943 gegenüber der zuständigen Datenschutzaufsichtsbehörde oder einem zuständigen Gericht offenzulegen. Die Datenschutzaufsichtsbehörde bzw. das Gericht hat in der Folge abzuwägen, ob und inwieweit Geschäftsgeheimnisse für die betroffene Person relevant sind und offengelegt werden müssen.
Im konkreten Fall ging es darum, dass der betroffenen Person aufgrund eines KI-gestützten Bonitäts-Scorings mangels Kreditwürdigkeit ein Vertragsabschluss verweigert worden war.
Hinweis zum Begriff «Geschäftsgeheimnis»:
Die Definition des Geschäftsgeheimnisses richtet sich nach der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung. Um unter den Begriff «Geschäftsgeheimnis» zu fallen, müssen die fraglichen Informationen gemäss Art. 2 Nr. 1 der Richtlinie kumulativ nachstehende Kriterien erfüllen:
a) Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
→ Bevor man sich auf das Geschäftsgeheimnis beruft, um eine Auskunft zu verweigern, sollte somit immer geprüft werden, ob wirklich alle drei Kriterien erfüllt sind und insbesondere ob die geheime Information nicht nur geheim ist, sondern auch kommerziellen Wert hat.
b) sie sind von kommerziellem Wert, weil sie geheim sind;
c) sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmassnahmen durch die Person, die die rechtmässige Kontrolle über die Informationen besitzt.
- EuGH-Urteil vom 3. April 2025 – C-710/23: Daten von Vertretern juristischer Personen
Der EuGH hat entschieden, dass die Offenlegung von Namen und Kontaktdaten von Vertretern juristischer Personen in amtlichen Dokumenten eine Verarbeitung personenbezogener Daten im Sinne der DSGVO darstellt. Die Tätigkeit für eine juristische Person ändert somit nichts daran, dass es letztlich die Daten der natürlichen Person sind, die verarbeitet werden. Diese Verarbeitung steht folglich unter dem Schutz der DSGVO.
Zudem steht die DSGVO einer strengeren nationalen Regelung betreffend die Offenlegung amtlicher Dokumente nicht entgegen. Konkret ging es darum, dass das nationale Recht vorsah, dass die betroffene natürliche Person vor der Offenlegung amtlicher Dokumente, die ihre Daten enthalten, zu unterrichten und zu konsultieren ist. Solange diese Verpflichtung nicht unmöglich durchzuführen ist oder einen unverhältnismässigen Aufwand erfordert und daher nicht zu einer unverhältnismässigen Einschränkung des Rechts der Öffentlichkeit auf Zugang zu diesen Dokumenten führt, verstösst sie nicht gegen die DSGVO.
Hinweis: Eine umfassendere Zusammenstellung relevanter Rechtsprechung im Datenschutzbereich finden Sie im Judikaturspiegel der Datenschutzstelle.