Gilt die DSGVO für Daten von Vertretern juristischer Personen?

Die DSGVO bezweckt den Datenschutz natürlicher Personen und gilt für Informationen von juristischer Personen ausdrücklich nicht. Wie es sich aber mit Daten der Vertreter juristischer Personen verhält, klärte nun der EuGH.

Der Sachverhalt

Ein Unternehmen hatte beim tschechischen Gesundheitsministerium Informationen über Parteien von Versorgungsverträgen über COVID-19-Diagnostik angefragt und als Reaktion Listen erhalten, in denen nur die juristischen Personen als Lieferanten benannt, die Daten der Geschäftsführer (Namen, Mailadressen, Telefonnummern) aber geschwärzt waren.

Nach erstinstanzlicher Verurteilung zur Übermittlung unzensierter Listen legte das Ministerium Beschwerde zum obersten tschechischen Verwaltungsgericht ein, welches das Verfahren unter Anrufung des EuGH aussetzte.

Es legte dem EU-Gericht die Frage vor, ob es sich bei der Offenlegung des Vor- und Nachnamens und der Kontaktdaten einer natürlichen Person als Vertreter einer juristischen Person, die nur deren unmittelbarer Identifizierung dient, um die „Verarbeitung personenbezogener Daten“ im Sinne der DSGVO handle und ob diese Offenlegung mithin dem Anwendungsbereich der DSGVO unterfalle.

Die Entscheidung

Mit Urteil vom 03.04.2025 (Az: C-710/23) stellte der EuGH klar, dass auch bei eine juristische Person vertretenden Einzelpersonen die DSGVO zur Anwendung komme, da es sich bei diesen um natürliche Personen handle.

Im vorliegenden Fall falle die Übermittlung von Daten wie Vorname, Nachname, Unterschrift und Kontaktdaten einer natürlichen Person, die eine juristische Person vertrete, unter den Begriff „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO.

Für die Einstufung als „Verarbeitung“ im Sinne dieser Bestimmung sei es ohne Belang, dass die Offenlegung dieser Daten allein zu dem Zweck erfolge, die Identifizierung einer natürlichen Person zu ermöglichen, die befugt sei, im Namen einer juristischen Person zu handeln.

Aus dem Begriff „jeder Vorgang“ ergebe sich, dass der Gesetzgeber den Ausdruck „Verarbeitung“ bewusst weit gefasst habe.

Dies werde dadurch bestätigt, dass die in Art. 4 Nr. 2 DSGVO genannten Verarbeitungsvorgänge – wie etwa die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung – nicht abschließend aufgezählt seien.

In jedem Fall lasse der Wortlaut der Vorschrift keinen Hinweis darauf erkennen, dass der Unionsgesetzgeber die Qualifikation eines Vorgangs als „Verarbeitung“ vom konkreten Zweck der Datenverwendung abhängig machen wolle.

Folglich lasse sich die Frage des tschechischen Gerichts damit beantworten, dass Art. 4 Nr. 1 und 2 DSGVO dahin auszulegen sei, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertrete, eine Verarbeitung personenbezogener Daten darstelle.

Der Umstand, dass die Offenlegung allein zu dem Zweck erfolge, die Identifizierung der natürlichen Person zu ermöglichen, die befugt sei, im Namen der juristischen Person zu handeln, sei insoweit ohne Belang.

Fazit

Zwar klammert die DSGVO Daten von juristischen Personen aus ihrem Anwendungsbereich aus, dies bedeutet jedoch nicht, dass die personenbezogenen Daten von deren natürlichen Vertretern aus dem Anwendungsbereich fallen. Vielmehr genießen diese Daten grundsätzlich Schutz nach der DSGVO.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .