Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Übersicht über die Rechtsprechung des EuGH zur DS-GVO und DS-RL ab dem Jahr 2025

Dr. Kevin Leibold, LL. M., ist Rechtsanwalt.

ZD-Aktuell 2026, 01226   Hier findet sich eine von Dr. Kevin Leibold, LL. M., erstellte Übersicht über die Rspr. des EuGH zur DS-GVO ab dem Jahr 2025 mit Stand vom 1.2.2026.

Zur Übersicht über die Rechtsprechung des EuGH zur DS-GVO und DS-RL ab dem Jahr 2024 vgl. ZD-Aktuell 2026, 01227 und im Zeitraum 2018-2023 vgl. ZD-Aktuell 2026, 01228.

EuGH-Entscheidung

Inhalt

NEU EuGH (1. Kammer) Urt. v. 18.12.2025 – C-422/24 = ZD 2026, 207

Die Art. 13 und 14 DS-GVO sind dahin auszulegen, dass in einer Situation, in der personenbezogene Daten mittels von Fahrkartenkontrolleuren im öffentlichen Personenverkehr getragenen Körperkameras erhoben werden, die Unterrichtung der betroffenen Personen durch Art. 13 der genannten VO geregelt wird und nicht durch Art. 14 DS-GVO.

NEU EuGH (Große Kammer) Urt. v. 2.12.2025 – C-492/23 = ZD 2026, 150 mAnm Hense

1. Art. 5 Abs. 2 DS-GVO und die Art. 24 bis 26 DS-GVO sind dahin auszulegen, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher iSv Art. 4 Nr. 7 dieser VO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden, vor der Veröffentlichung der Anzeigen und mittels geeigneter technischer und organisatorischer Maßnahmen verpflichtet ist,

– Anzeigen, die sensible Daten iSv Art. 9 Abs. 1 dieser VO enthalten, zu identifizieren,

– zu prüfen, ob es sich bei dem inserierenden Nutzer, der im Begriff ist, eine solche Anzeige zu platzieren, um diejenige Person handelt, deren sensible Daten in dieser Anzeige enthalten sind, und, wenn dies nicht der Fall ist,

– deren Veröffentlichung zu verweigern, es sei denn, der inserierende Nutzer kann nachweisen, dass die betroffene Person iSv Art. 9 Abs. 2 lit. a der RL ausdrücklich in die Veröffentlichung der fraglichen Daten auf diesem Online-Marktplatz eingewilligt hat oder dass eine der anderen in Art. 9 Abs. 2 lit. b bis lit. j vorgesehenen Ausnahmen erfüllt ist.

2. Art. 32 DS-GVO ist dahin auszulegen, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher iSv Art. 4 Nr. 7 DS-GVO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden, verpflichtet ist, geeignete technische und organisatorische Schutzmaßnahmen zu treffen, um zu verhindern, dass dort veröffentlichte Anzeigen, die sensible Daten iSv Art. 9 Abs. 1 DS-GVO enthalten, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden.

3. Art. 1 Abs. 5 lit. b RL 2000/31/EG des Europäischen Parlaments und des Rates v. 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insb. des elektronischen Geschäftsverkehrs, im Binnenmarkt („RL über den elektronischen Geschäftsverkehr“) und Art. 2 Abs. 4 DS-GVO sind dahin auszulegen, dass sich der Betreiber eines Online-Marktplatzes als Verantwortlicher iSv Art. 4 Nr. 7 VO 2016/679 für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht wurden, in Bezug auf einen Verstoß gegen die Verpflichtungen aus Art. 5 Abs. 2 sowie den Art. 24 bis 26 und 32 dieser VO, nicht auf die Art. 12 bis 15 RL 2000/31 über die Verantwortlichkeit der Vermittler berufen kann.

NEU EuGH (1. Kammer) Urt. v. 13.11.2025 – C-654/23 = ZD 2026,161 mAnm Eckhardt

1. Art. 13 Abs. 1 und 2 RL 2002/58/EG des Europäischen Parlaments und des Rates v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die RL 2009/136/EG des Europäischen Parlaments und des Rates v. 25.11.2009 geänderten Fassung ist dahin auszulegen, dass die E-­Mail-Adresse eines Nutzers vom Herausgeber eines Onlinemediums „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“ iSv Art. 13 Abs. 2 erhalten worden ist, wenn dieser Nutzer ein kostenloses Konto auf seiner Online-Plattform einrichtet, das ihm das Recht gibt, kostenlos auf eine bestimmte Anzahl von Artikeln dieses Mediums zuzugreifen, kostenlos per E-­Mail einen täglichen Newsletter zu erhalten, der eine Zusammenfassung der in Artikeln dieses Mediums behandelten gesetzgeberischen Neuerungen einschließlich Hyperlinks zu diesen Artikeln enthält, und gegen Bezahlung auf zusätzliche Art. und Analysen dieses Mediums zuzugreifen. Die Übermittlung eines solchen Newsletters stellt eine Verwendung elektronischer Post „zur Direktwerbung“ für „ähnliche Produkte oder Dienstleistungen“ iSv Art. 13 Abs. 2 dar.

2. Art. 13 Abs. 2 RL 2002/58 in der durch die RL 2009/136 geänderten Fassung iVm Art. 95 DS-GVO ist dahin auszulegen, dass die in Art. 6 Abs. 1 dieser VO vorgesehenen Voraussetzungen für die Rechtmäßigkeit der Verarbeitung nicht gelten, wenn der Verantwortliche die E-­Mail-Adresse eines Nutzers verwendet, um ihm eine unerbetene Nachricht gem. diesem Art. 13 Abs. 2 zu senden.

3. Die dritte von der Curtea de Apel Bucureşti (Berufungsgericht Bukarest, Rumänien) gestellte Frage ist unzulässig.

NEU EuGH (4. Kammer) Urt. v. 4.9.2025 – C-655/23 = ZD 2025, 640 mAnm Mekat/Wellmann = MMR 2025, 950 mAnm Mekat/Ligocki

1. Die Bestimmungen der DS-GVO sind dahin auszulegen, dass sie zugunsten der von der unrechtmäßigen Verarbeitung personenbezogener Daten betroffenen Person für den Fall, dass diese Person nicht die Löschung ihrer Daten beantragt, keinen gerichtlichen Rechtsbehelf vorsehen, der es ihr ermöglicht, präventiv zu erwirken, dass dem Verantwortlichen auferlegt wird, künftig eine erneute unrechtmäßige Verarbeitung zu unterlassen. Allerdings hindern sie die Mitgliedstaaten nicht daran, einen solchen Rechtsbehelf in ihren jeweiligen Rechtsordnungen vorzusehen.

2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der Begriff „immaterieller Schaden“ in dieser Bestimmung negative Gefühle umfasst, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie zB Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen diese VO empfindet.

3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er dem entgegensteht, dass der Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des nach dieser Bestimmung geschuldeten Ersatzes eines immateriellen Schadens berücksichtigt wird.

4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er dem entgegensteht, dass der Umstand, dass die betroffene Person nach dem anwendbaren nationalen Recht eine Anordnung – die dem Verantwortlichen entgegengehalten werden kann – erwirkt hat, die Wiederholung eines Verstoßes gegen diese VO zu unterlassen, in der Form berücksichtigt wird, dass dadurch der Umfang der nach dieser Bestimmung geschuldeten finanziellen Entschädigung für einen immateriellen Schaden gemindert wird oder diese Entschädigung sogar ersetzt wird.

EuGH (1. Kammer) Urt. v. 30.4.2025 – C-313/23C-316/23 und C-332/23

2. Art. 2 DS-GVO ist wie folgt auszulegen: Die Offenlegung von personenbezogenen Daten ggü. einem Justizorgan fällt in den sachlichen Anwendungsbereich der VO 2016/679, wenn diese Daten dem Bankgeheimnis unterliegen und Richter, Staatsanwälte, Strafrechtspfleger sowie ihre Familienangehörige betreffen, und die Offenlegung der Überprüfung der Erklärungen der Richter, Staatsanwälte und Strafrechtspfleger über ihre Vermögensverhältnisse und die ihrer Familienangehörigen, die veröffentlicht werden, dient.

3. Art. 4 Nr. 7 DS-GVO ist wie folgt auszulegen: Ein Gericht, das dafür zuständig ist, auf Antrag eines anderen Justizorgans die Offenlegung von Daten über die Bankkonten der Richter, Staatsanwälte und Strafrechtspfleger und ihrer Familienangehörigen durch eine Bank ggü. diesem Justizorgan zu genehmigen, kann nicht als Verantwortlicher iSv Art. 4 Nr. 7 DS-GVO eingestuft werden.

4. Art. 51 DS-GVO ist wie folgt auszulegen: Ein Gericht, das dafür zuständig ist, die Offenlegung personenbezogener Daten ggü. einem anderen Justizorgan zu genehmigen, ist keine Aufsichtsbehörde iSv Art. 51 DS-GVO, wenn es von dem Mitgliedstaat, zu dem es gehört, nicht mit der Aufgabe betraut ist, die Anwendung der VO zu überwachen, damit insb. die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung der sie betreffenden personenbezogenen Daten geschützt werden.

5. Art. 79 Abs. 1 DS-GVO ist iVm Art. 47 der Charta der Grundrechte wie folgt auszulegen: Ein Gericht, das dafür zuständig ist, die Offenlegung personenbezogener Daten ggü. einem anderen Justizorgan zu genehmigen, hat, wenn bei ihm kein Rechtsbehelf gem. Art. 79 Abs. 1 DS-GVO eingelegt worden ist, nicht von Amts wegen den Schutz der Personen, deren Daten betroffen sind, hinsichtlich der Beachtung der Bestimmungen der VO 2016/679 über die Sicherheit der personenbezogenen Daten zu gewährleisten, und zwar auch dann nicht, wenn allgemein bekannt ist, dass das betreffende Justizorgan in der Vergangenheit gegen diese Bestimmungen verstoßen hat.

EuGH (1. Kammer) Urt. v. 3.4.2025 – C-710/23 – L. H.

1. Art. 4 Nrn. 1 und 2 DS-GVO ist dahin auszulegen, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten darstellt. Der Umstand, dass die Offenlegung allein zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln, ist insoweit ohne Belang.

2. Art. 6 Abs. 1 lit. c und e iVm Art. 86 DS-GVO ist dahin auszulegen, dass er einer nationalen Rspr. nicht entgegensteht, die einen Verantwortlichen, bei dem es sich um eine Behörde handelt, die das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten und das Recht auf den Schutz personenbezogener Daten in Einklang zu bringen hat, dazu verpflichtet, die betroffene natürliche Person vor der Offenlegung amtlicher Dokumente, die solche Daten enthalten, zu unterrichten und zu konsultieren, soweit eine solche Verpflichtung nicht unmöglich durchzuführen ist oder einen unverhältnismäßigen Aufwand erfordert und daher nicht zu einer unverhältnismäßigen Einschränkung des Rechts der Öffentlichkeit auf Zugang zu diesen Dokumenten führt.

EuGH (1. Kammer) Urt. v. 13.3.2025 – C-247/23 – VP

1. Art. 16 DS-GVO ist dahin auszulegen, dass danach eine mit der Führung eines öffentlichen Registers betraute nationale Behörde verpflichtet ist, personenbezogene Daten betreffend die Geschlechtsidentität einer natürlichen Person zu berichtigen, wenn diese Daten nicht richtig iSv Art. 5 Abs. 1 lit. d dieser VO sind.

2. Art. 16 DS-GVO ist dahin auszulegen, dass eine natürliche Person für die Zwecke der Ausübung ihres Rechts auf Berichtigung von in einem öffentlichen Register enthaltenen personenbezogenen Daten betreffend ihre Geschlechtsidentität verpflichtet sein kann, relevante und hinreichende Nachweise vorzulegen, die von ihr vernünftigerweise verlangt werden können, um die Unrichtigkeit dieser Daten festzustellen. Ein Mitgliedstaat darf die Ausübung dieses Rechts jedoch keinesfalls mittels Verwaltungspraxis davon abhängig machen, dass eine geschlechtsangleichende Operation nachgewiesen wird.

EuGH (1. Kammer) Urt. v. 27.2.2025 – C-203/22 – Dun & Bradstreet Austria

1. Art. 15 Abs. 1 lit. h DS-GVO ist dahin auszulegen, dass bei automatisierten Entscheidungsfindungen (einschließlich Profilings) iSv Art. 22 Abs. 1 DS-GVO die betroffene Person vom Verantwortlichen iRd Anspruchs auf Erteilung „aussagekräftiger Informationen über die involvierte Logik“ verlangen kann, ihr anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form die Verfahren und Grundsätze zu erläutern, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – zB eines Bonitätsprofils – konkret angewandt wurden.

2. Art. 15 Abs. 1 lit. h DS-GVO ist dahin auszulegen, dass in Fällen, in denen nach Ansicht des Verantwortlichen die Informationen, die der betroffenen Person gem. dieser Bestimmung zu übermitteln sind, von der DS-GVO geschützte Daten Dritter oder Geschäftsgeheimnisse iSv Art. 2 Nr. 1 der RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8.6.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung umfassen, der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DS-GVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln.

EuGH (8. Kammer) Urt. v. 27.2.2025 – C-638/23 – Amt der Tiroler Landesregierung

Art. 4 Nr. 7 DS-GVO ist dahin auszulegen, dass er einer nationalen Regelung, in der als Verantwortlicher ein Hilfsapparat der Verwaltung, der keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit hat, benannt ist, aber nicht konkret angegeben ist, für welche speziellen Vorgänge der Verarbeitung personenbezogener Daten dieser Hilfsapparat verantwortlich ist und worin der Zweck dieser Vorgänge besteht, nicht entgegensteht, sofern zum einen eine solche Stelle gem. dieser nationalen Regelung die Pflichten zu erfüllen vermag, die ein Verantwortlicher ggü. den betroffenen Personen im Bereich des Schutzes personenbezogener Daten hat, und zum anderen diese nationale Regelung explizit oder zumindest implizit den Umfang der Verarbeitung personenbezogener Daten vorgibt, für die diese Stelle verantwortlich ist.

EuGH (5. Kammer) Urt. v. 13.2.2025 – C-383/23 – ILVA A/S

Art. 83 Abs. 4 bis 6 DS-GVO iVm dem 150. Erwägungsgrund dieser VO ist dahin auszulegen, dass der Begriff „Unternehmen“ im Sinne dieser Vorschriften dem Begriff „Unternehmen“ iSd Art. 101 und 102 AEUV entspricht, sodass der Höchstbetrag einer Geldbuße, die gegen einen Verantwortlichen für personenbezogene Daten, der ein Unternehmen ist oder einem Unternehmen angehört, wegen eines Verstoßes gegen die DS-GVO verhängt wird, auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens bestimmt wird. Der Begriff „Unternehmen“ ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen und so zu überprüfen, ob die Geldbuße sowohl wirksam und verhältnismäßig als auch abschreckend ist.

EuGH (1. Kammer) Urt. v 9.1.2025 – C-394/23 – Mousse

1. Art. 6 Abs. 1 UAbs. 1 lit. b und f. iVm Art. 5 Abs. 1 lit. c DS-GVO ist dahin auszulegen, dass

– die Verarbeitung personenbezogener Daten hinsichtlich der Anrede der Kunden eines Transportunternehmens, die darauf abzielt, die geschäftliche Kommunikation aufgrund ihrer Geschlechtsidentität zu personalisieren, weder objektiv unerlässlich noch wesentlich für die ordnungsgemäße Erfüllung eines Vertrags erscheint und daher nicht als für die Erfüllung dieses Vertrags erforderlich angesehen werden kann

– die Verarbeitung personenbezogener Daten hinsichtlich der Anrede der Kunden eines Transportunternehmens, die darauf abzielt, die geschäftliche Kommunikation aufgrund ihrer Geschlechtsidentität zu personalisieren, nicht als zur Wahrung der berechtigten Interessen des Verantwortlichen dieser Verarbeitung oder eines Dritten erforderlich angesehen werden kann, wenn

– diesen Kunden bei der Erhebung dieser Daten nicht das verfolgte berechtigte Interesse mitgeteilt wurde; oder

– diese Verarbeitung nicht innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist; oder

– in Anbetracht aller relevanten Umstände die Grundrechte und Grundfreiheiten dieser Kunden ggü. diesem berechtigten Interesse überwiegen können, insb. wegen der Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität.

2. Art. 6 Abs. 1 UAbs. 1 lit. f. DS-GVO ist dahin auszulegen, dass bei der Beurteilung der Erforderlichkeit einer Verarbeitung personenbezogener Daten im Sinne dieser Bestimmung nicht zu berücksichtigen ist, dass die betroffene Person möglicherweise nach Art. 21 DS-GVO ein Widerspruchsrecht hat.

EuGH (1. Kammer) Urt. v. 9.1.2025 – C-416/23 – Österreichische Datenschutzbehörde (Demandes excessives)

1. Art. 57 Abs. 4 DS-GVO ist dahin auszulegen, dass der darin enthaltene Begriff „Anfrage“ Beschwerden nach Art. 57 Abs. 1 lit. f. und Art. 77 Abs. 1 der VO 2016/679 umfasst.

2. Art. 57 Abs. 4 DS-GVO ist dahin auszulegen, dass Anfragen nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung eingestuft werden können, da die Ausübung der in dieser Bestimmung vorgesehenen Befugnis voraussetzt, dass die Aufsichtsbehörde das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweist.

3. Art. 57 Abs. 4 DS-GVO ist dahin auszulegen, dass eine Aufsichtsbehörde bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen kann, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern muss, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist.


 

 

Anzeigen:

 

beck-online DatenschutzR

Teilen:

Menü