DER EuGH zur Anwendbarkeit von Art. 6 DS-GVO

DER EuGH zur Anwendbarkeit von Art. 6 DS-GVO


In seinem Urteil vom 18. Juni 2026 (Rs. C-484/24) hat sich der Europäische Gerichtshof (EuGH) zu mehreren zentralen Fragen zur Rechtmäßigkeit der Datenverarbeitung geäußert. Im Blickpunkt steht insbesondere Art. 6 DS-GVO. Das Urteil hält zudem mehr bereit, als es vielleicht beim ersten Lesen vermuten lässt. Daher widmen wir unseren heutigen Blog-Beitrag einigen wichtigen Punkten des Urteils.


Worum geht es in dem Urteil?

Im Ausgangsverfahren vor dem Landesarbeitsgericht Niedersachsen forderte ein Heizungs- und Klimatechnikbetrieb (NTH Haustechnik GmbH) von seiner ehemaligen Arbeitnehmerin, die zugleich mit dem Geschäftsführer der NTH verheiratet war, insgesamt einen Schadenersatz von 46.567,91€. Dies geht auf den Vorwurf zurück, dass die Beklagte, die die Geschäftsräume der NTH weiter betreten durfte, Gegenstände, die NTH als in ihrem Eigentum stehend beansprucht, auf eBay für eigene Rechnung für insgesamt 13.217,09€ veräußert hatte.

„Ermittelt“ wurden diese Verkäufe durch einen Beschäftigten der NTH welcher zudem der gemeinsame Sohn der Beklagten und des Geschäftsführers ist, indem er die Benutzerkennung und das Passwort für den eBay-Account seiner Mutter verwendete. An die Zugangsdaten war die NTH nach eigener Aussage gelangt, indem sie die Browserverläufe der Beklagten durchsucht und Zugriff auf einen auf dem Server der NTH angelegten Ordner mit der Bezeichnung „Family-Ordner“ genommen hatten. Dies wurde von der Beklagten bestritten, denn der Geschäftsführer habe das Mobiltelefon, dass auf den Namen des Unternehmens registriert war, verlustig gemeldet, um bei dem betreffenden Telefonbetreiber eine neue SIM-Karte (Subscriber Identity Module, Teilnehmeridentifikationsmodul) beantragt, was es dem Unternehmen ermöglicht habe, die mit diesem Telefon verbundene Telefonnummer zu nutzen, um auf der Plattform eBay das Passwort ihres privaten Kontos zu ändern und darauf zuzugreifen.

Das LAG Niedersachen schloss in der Folge eine rechtswidrige Datenerhebung seitens der NTH nicht aus. Allerdings setzte das Gericht das Verfahren aus, da es dem EuGH mehrere Fragen zur Auslegung der Normen der Datenschutz-Grundverordnung und insbesondere zu Art. 6 DS-GVO zur Entscheidung vorlegte.


Was hat der EuGH entschieden?

Der EuGH äußerst sich zuallererst zu den Fragen rund um die Herkunft von Beweisen und ob diese und gegebenenfalls in welchem Umfang durch Gerichte verarbeitet werden. Diese Aspekte wollen wir jedoch für unsere heutige Betrachtung aussparen. Nachgelesen werden können die Ausführungen unter den Rn. 47 bis 62 des Urteils.

In der Folge geht der EuGH dann dem Art. 6 DS-GVO nach. Hier richten sich die Ausführungen zunächst zu Art. 6 Abs. 1 UAbs. 1 lit. c) DS-GVO sowie Art. 6 Abs. 3 DS-GVO: „In Bezug auf Verarbeitungen, die auf die in Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO […] gestützt sind, stellt Art. 6 Abs. 3 Unterabs. 1 DSGVO klar, dass die Rechtsgrundlage für diese Verarbeitungen durch Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt werden muss.“ So weit so bekannt.

Weiter heißt es: „In Bezug auf Form und Inhalt dieser Rechtsgrundlage verlangt Art. 6 Abs. 3 DSGVO […], dass der Zweck dieser Verarbeitungen in dieser Rechtsgrundlage festgelegt werden muss, dass diese Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgt und dass sie in einem angemessenen Verhältnis zu diesem Ziel steht […] Dagegen geht weder aus Art. 6 Abs. 3 DSGVO noch aus einer anderen Bestimmung der DGSVO hervor, dass das mit dieser Rechtsgrundlage verfolgte Ziel in der Rechtsgrundlage im nationalen Recht angegeben werden muss, wobei unter „Ziel“ die allgemeinen Zwecke zu verstehen sind, die mit der betreffenden Verarbeitung verfolgt werden, und unter „Zweck“ die spezifischen und konkreten Anliegen dieser Verarbeitung zu verstehen sind“

Weiterhin konkretisiert der Gerichtshof die Anforderungen an die Rechtsgrundlage: „Allerdings hat der Gerichtshof […] abgeleitet […] dass jede Rechtsgrundlage, die einen Eingriff in das Recht auf Schutz personenbezogener Daten erlaubt, den Umfang der Beschränkung der Ausübung dieses Rechts, zu der sie führen kann, selbst festlegen muss […] Darüber hinaus hat der Gerichtshof […] entschieden, dass jeder Eingriff in das Recht auf Schutz personenbezogener Daten unter Wahrung des Grundsatzes der Verhältnismäßigkeit erfolgen muss, was voraussetzt, dass jede Regelung, die einen solchen Eingriff bewirkt, klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsieht und Mindestanforderungen aufstellt, damit die Personen, deren personenbezogene Daten verarbeitet werden, über ausreichende Garantien verfügen, die einen wirksamen Schutz dieser Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unrechtmäßigen Verwendung ermöglichen […] Insbesondere muss die Rechtsgrundlage für eine Datenverarbeitung angeben, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme, die die Verarbeitung solcher Daten vorsieht, getroffen werden darf, damit gewährleistet ist, dass der Eingriff auf das absolut Notwendige beschränkt wird“

Mit Blick auf das Ausgangsverfahren stellt der EuGH klar, dass die in Rede stehenden nationalen Rechtsvorschriften der §§ 138, 286, 355 ff. der Zivilprozessordnung die Anforderungen des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO im Lichte von Art. 8 Abs. 2 und Art. 52 Charta durchaus erfüllen können. Da die Regelungen doch sehr allgemein gefasst sind muss jedoch die gefestigte nationale Rechtsprechung herangezogen werden. Die Allgemeinheit der in Rede stehenden Bestimmungen führt aber eben nicht automatisch zu einer Unvereinbarkeit mit der DSGVO.  Die Normen sind jedoch nicht automatisch unvereinbar. Es wird allerdings Sache des Ausgangsgerichtes zu sein, die konkreten Anforderungen zu prüfen.  

In einer weiteren Vorlagefrage (Rn. 81 ff.) geht der EuGH der Thematik nach, ob Art. 17 Abs. 3 lit. e) DS-GVO dahin auszulegen ist, dass er eine alternative Rechtmäßigkeitsbedingung aufstellt, die bei einer Verarbeitung personenbezogener Daten erfüllt werden kann, damit diese mit Art. 5 Abs. 1 lit. a) DS-GVO in Einklang steht. Rechtmäßig in diesem Sinne bedeutet, dass bei einer Verarbeitung sämtliche in Kapitel II DSGVO festgelegten Grundsätze eingehalten und die in Kapitel III DSGVO festgelegten Rechte der betroffenen Personen beachtet werden.

Zunächst stellt der EuGH heraus, dass Art. 6 Abs. 1 UAbs. 1 DS-GVO eine „erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann“, enthält und dass Art. 17 Abs. 3 lit. e) DS-GVO, der eine Ausnahme vom Recht auf Löschung normiert, keine „eigenständige alternative Rechtmäßigkeitsbedingung aufstellt, auf die eine Verarbeitung personenbezogener Daten, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, gestützt werden könnte“.

Art. 6 Abs. 1 UAbs. 1 DS-GVO enthält – und das ist die für die Praxis relevante Aussage – eine erschöpfende und abschließende Liste der alternativen Bedingungen für die Rechtmäßigkeit.  Die Ausführungen des EuGH sind nach hier vertretener Lesart so zu verstehen, dass die Rechtsgrundlagen des Art. 6 Abs. 1 UAbs. 1 DS-GVO in einem alternativen Verhältnis stehen und keiner Rechtsgrundlage, auch nicht der Einwilligung ein Vorrang einzuräumen ist. Und an dieser Stelle wird noch ein Hinweis aus der ersten Vorlagefrage relevant: „[…] ist darauf hinzuweisen, dass unter bestimmten Umständen für dieselbe Verarbeitung mehrere alternative Zulässigkeitsvoraussetzungen gelten können.“ Es ist also möglich, dass für einen Verarbeitungstatbestand potenziell mehrere Rechtsgrundlagen nach Art. 6 Abs. 1 UAbs. 1 DS-GVO einschlägig sein können.


Welche Auswirkungen hat das Urteil für die Praxis?

Für die Praxis dürfte allen voran der bei uns dargestellte „erste“ Teil für Relevanz sorgen – womöglich abhängig davon, wie das Ausgangsgericht entscheiden wird. Die Frage nach den Anforderungen an die Rechtsgrundlage nach Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO spielt in weitaus mehr Fällen eine Rolle, als dies auf den ersten Blick vermuten lässt. Relevant könnte die Rechtsprechung vor allem mit Blick auf die IT-Sicherheitsgesetzgebung. Wir sind der Thematik u.a. bei der NIS-2-Richtlinie und dem Datenschutz schon einmal nachgegangen.

Die zweite Thematik war in der Praxis bisher weitestgehend schon bekannt. Der EuGH hat bereits in früheren urteilen von einem Alternativverhältnis der Rechtsgrundlagen in Art. 6 Abs. 1 UAbs. 1 DS-GVO gesprochen. Neu und ausdrücklich erwähnt der Gerichtshof nun, dass auch mehrere Rechtsgrundlagen nebeneinander vorliegen können, natürlich soweit die jeweiligen Voraussetzungen vorliegen.

Lesenswert ist in jedem Fall auch der „Rest“ des Urteils zum Punkt Beweisverwertung rechtswidrig erhobener Daten und dem Prüfumfang durch die Gerichte.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

logo, data & more, did, dresdner institut fuer datenschutz