Sind Datenverarbeitungen nur rechtmäßig, wenn eine vorherige Information über das berechtigte Interesse erfolgt ist?
In CHG News, data & technology, Datenschutz, Kanzlei4. August 20254. August 2025

Sind Datenverarbeitungen nur rechtmäßig, wenn eine vorherige Information über das berechtigte Interesse erfolgt ist?

von RA Clemens Handl

Der Europäische Gerichtshof (EuGH) hat am 9. Januar 2025 in der Rechtssache C‑394/23 („Mousse“) entschieden, dass sich ein Verantwortlicher nur dann auf berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen darf, wenn er der betroffenen Person dieses Interesse bereits zum Zeitpunkt der Datenerhebung mitgeteilt hat. Fehlt diese Information, ist die Datenverarbeitung nicht rechtmäßig.

Diese Entscheidung verschärft die Transparenzpflichten für Unternehmen und hat weitreichende praktische Konsequenzen. Im Folgenden analysieren wir das Urteil und beleuchten, was es für Unternehmen bedeutet.

Hintergrund der Entscheidung und ihre Kernaussage

  • Die Entscheidung C‑394/23 geht auf einen Fall in Frankreich zurück. Das Transportunternehmen SNCF verlangte bei der Online-Buchung von Bahntickets die Anrede „Herr“ oder „Frau“ als Pflichtangabe.
  • Der Verband Mousse klagte, da die Abfrage dieser Angabe weder auf eine gültige Rechtsgrundlage gestützt sei noch dem Grundsatz der Datenminimierung entspreche. Außerdem sah Mousse einen Verstoß gegen die Transparenz- und Informationspflichten (Art. 13 DSGVO). Das vorlegende Gericht fragte den EuGH, ob die Datenerhebung durch Anrede/Geschlechtsidentität zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) zulässig sein könnte.
  • Der EuGH stellte zunächst klar, dass die geschlechtsspezifische Personalisierung der Kommunikation weder objektiv erforderlich noch wesentlich für die Vertragserfüllung ist – sie kann daher nicht auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden. Entscheidender für die Praxis ist jedoch die zweite Feststellung: Auch Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) ist nicht anwendbar:
    • Den Kunden wurde bei der Datenerhebung das verfolgte berechtigte Interesse nicht mitgeteilt. Genau dieser Aspekt – die unterlassene vorherige Information – würde bereits genügen, um die Rechtmäßigkeit auf Grundlage von Art. 6 Abs. 1 lit. f auszuschließen.
    • Die Personalisierung hätte auch ohne Abfrage von „Herr/Frau“ erfolgen können (Vorname und Name reichen aus); die Verarbeitung war also nicht unbedingt notwendig, um das Interesse zu erreichen.
    • Mögliche Diskriminierungsgefahr aufgrund der Geschlechtsidentität bedeutet, dass die Grundrechte der Betroffenen in diesem Fall das Interesse des Unternehmens überwiegen könnten.
  • Insbesondere der erste Punkt zur Transparenz ist neu: Art. 13 Abs. 1 lit. d DSGVO verpflichtet den Verantwortlichen, einer betroffenen Person „zum Zeitpunkt der Erhebung“ das verfolgte berechtigte Interesse mitzuteilen, falls er sich auf Art. 6 Abs. 1 lit. f stützt. Laut dem Urteil ist eine Datenverarbeitung nicht aufgrund berechtigter Interessen gerechtfertigt, wenn diese Mitteilung unterbleibt. Ohne vorherige Information sollen sich Verantwortliche daher nicht auf ein berechtigtes Interesse als Rechtsgrundlage stützen können. Diese Kernaussage des Urteils hat ein deutliches Signal gesendet und die Anforderungen an Unternehmen erhöht.
  • Bislang – so noch der EuGH in dieser Entscheidung – sei es ständige Rechtsprechung, dass ein berechtigtes Interesse gem Art 6 Abs 1 lit f DSGVO vorliege, wenn drei kumulative Voraussetzungen erfüllt sind: (1) Der Verantwortliche nimmt ein berechtigtes Interesse wahr, (2) die Verarbeitung ist erforderlich und (3) die Grundrechte der betroffenen Person dürfen nicht überwiegen. Die Entscheidung C-394/23 könnte so verstanden werden, dass mit der Mitteilung der berechtigten Interessen eine vierte Voraussetzung eingeführt wird.

Transparenzpflichten– verschärft durch EuGH C‑394/23

  • Bereits die DSGVO selbst verlangt umfassende Informationspflichten. Nach 13 Abs. 1 lit. d DSGVO muss ein Verantwortlicher bei der Datenerhebung offenlegen, zu welchem Zweck und auf welcher Rechtsgrundlage Daten verarbeitet werden – und wenn dies auf berechtigtes Interesse gestützt wird, ist das konkrete berechtigte Interesse mitzuteilen. Durch das EuGH-Urteil wird dieser Pflicht nun größeres Gewicht beigemessen.
  • Unternehmen, die personenbezogene Daten auf Basis von Art. 6 Abs. 1 lit. f verarbeiten wollen, müssen den Betroffenen bereits bei der Datenerhebung klar sagen, welches berechtigte Interesse sie verfolgen. Geschieht dies nicht, ist die Verarbeitung unrechtmäßig – eine nachträgliche Rechtfertigung durch ein „stillschweigend angenommenes“ Interesse ist ausgeschlossen. Werden Betroffene nicht über die Interessenabwägung informiert, fällt die gesamte Rechtsgrundlage weg.

Was ändert sich durch das Urteil?

  • Die EuGH-Entscheidung C‑394/23 erhöht den Druck auf Unternehmen, Datentransparenz und Datenschutz-Compliance als festen Bestandteil aller Datenverarbeitungsprozesse zu verankern. Insbesondere ergeben sich Auswirkungen in folgenden Bereichen:
    • Erfüllung der Informationspflichten (Art. 13 DSGVO): Unternehmen müssen ihre Informationsprozesse überprüfen und gegebenenfalls anpassen. Jede Erhebung personenbezogener Daten – ob bei Kunden, Nutzern oder Mitarbeitern – erfordert eine klare Information der Betroffenen zum Zeitpunkt der Erhebung. Das umfasst: Zweck der Verarbeitung, Rechtsgrundlage und bei lit. f das konkrete berechtigte Interesse.
    • Rechtskonforme Gestaltung der Datenschutzerklärungen: Unternehmen sollten ihre Datenschutzerklärungen kritisch überprüfen. Pauschalangaben zum berechtigten Interesse genügen nicht. Es empfiehlt sich, für jede Verarbeitung auf Lit. f eine konkrete Beschreibung des verfolgten Interesses aufzunehmen.

Fazit

  • Das EuGH-Urteil C‑394/23 macht deutlich: Berechtigtes Interesse als Rechtsgrundlage erfordert zwingende Transparenz. Ohne vorab erfolgte Information ist die Verarbeitung unrechtmäßig. Unternehmen müssen daher ihre Datenschutzerklärungen und Prozesse anpassen, um DSGVO-konform zu bleiben und Vertrauen zu stärken.
  • Infolge des Urteils empfehlen wir die folgenden Maßnahmen:

 

Bereich Empfohlene Maßnahme
Informationspflichten Datenschutzerklärung aktualisieren: Lit. f-Verarbeitungen konkret benennen; Information bei Datenerhebung sicherstellen.
Dokumentation & Abwägung Schriftliche Interessenabwägungen erstellen; Nachweis der Information dokumentieren.
Tracking & Analyse Rechtsgrundlage prüfen; Einwilligung vorziehen; bei Lit. f besonders transparent informieren.
Prozesse & Schulung Mitarbeiter (Marketing, IT, Datenschutz) schulen; Privacy-by-Design in Projekte integrieren; Checklisten und Freigabeprozesse etablieren.
Monitoring & Prüfung Regelmäßige Compliance-Checks; stichprobenartige Tests der Informationspflichten.