Sascha Kremer
EuGH x Transparenzgrundsatz: Ein BĂĽrokratiemonster?
Datenschutzhinweise, Datenschutzerklärung, Privacy Policy oder wie auch immer die Dokumente zur Umsetzung der Informationspflichten aus Art. 13, 14 DSGVO genannt werden: Ungeachtet der Pflicht des Verantwortlichen zu deren Übermittlung (Art. 12 Abs. 1 Satz 1 DSGVO), Mitteilung (Art. 13 Abs. 1, 14. Abs. 1 DSGVO) oder Bereitstellung (Art. 13 Abs. 2, Art. 14 Abs. 2 DSGVO) „in einer klaren und einfachen Sprache“ toben sich seit beinahe einem Jahrzehnt Jurist:innen, Vertriebs- und Marketingmitarbeitende an ausufernden Textwüsten aus, in denen – gerne auch über die gesetzlichen Vorgaben hinaus – liebevoll und detailliert die Datenverarbeitungen beschrieben werden. Doch sind es wirklich diese Inhalte, die der EuGH meint, wenn er die Erfüllung der Informationspflichten zur Voraussetzung für die Rechtmäßigkeit diverser Datenverarbeitungen macht?
Grundsatz der Transparenz …
Gemäß Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten „in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („[…] Transparenz“). Der Transparenzgrundsatz wird u.a. durch Art. 12 Abs. 1 DSGVO und Art. 13, 14 DSGVO konkretisiert. Dem Verantwortlichen obliegt es gemäß Art. 5 Abs. 2 DSGVO, die Einhaltung dieses Grundsatzes in Erfüllung seiner Rechenschaftspflicht „nachweisen“ zu können. Diese Rechenschaftspflicht wiederum ist nach dem EuGH eine materielle Beweislastregel zu Gunsten der betroffenen Person – oder der Aufsichtsbehörde, je nachdem (statt vieler EuGH, Urt. v. 14.12.23 – C-340/21, Rn. 34 und 49–52, dazu auch Kremer, DSB 2024, 226).
„klare und einfache Sprache“ …
Die betroffene Person soll durch die Konkretisierungen in Art. 12 Abs. 1 DSGVO in die Lage versetzt werden, die an sie gerichteten Informationen „in vollem Umfang zu verstehen“ (EuGH, Urt. v. 11.7.24 – C-757/22, Rn. 55). Dazu müssen die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ der betroffenen Person übermittelt werden, so der Wortlaut von Art. 12 Abs. 1 Satz 1 DSGVO.
Bedeutet: Der Empfängerhorizont der von der jeweiligen Datenverarbeitung betroffenen Personen entscheidet darüber, wie die Informationen zu formulieren sind; Art. 12 Abs. 1 Satz 1 DSGVO benennt exemplarisch „speziell an Kinder“ gerichtete Informationen. „Legalese“ dürfte nur in seltensten Ausnahmefällen – etwa bei auf Jurist:innen bezogenen Verarbeitungen personenbezogener Daten – den Anforderungen aus Art. 12 Abs. 1 DSGVO entsprechen.
Schlussfolgerung: „one size fits all“ gilt nicht für Datenschutzinformationen. Damit kann aber schon die Bezeichnung als „Datenschutzhinweis“ oder „Datenschutzerklärung“ zur Herausforderung werden, wenn Art. 12, 13, 14 DSGVO ausdrücklich von „Informationen“ und „Informationspflicht“ sprechen, das Dokument (oder die Website) mit den erforderlichen Pflichtangaben aber anders heißt.
Missachtung …
Fehlen Informationen i. S. d. Art. 13 Abs. 1, Abs. 2, Art. 14 Abs. 1, Abs. 2 DSGVO, werden diese verspätet i. S. d. Art. 13 Abs. 1, Abs. 2 oder Art. 14 Abs. 3 DSGVO „übermittelt“, „mitgeteilt“ oder „bereitgestellt“, und greift keine der Ausnahmen aus Art. 13 Abs. 4, Art. 14 Abs. 5 DSGVO oder dem nationalen Recht, liegt eine DSGVO-widrige Datenverarbeitung vor.
Bei dieser Gelegenheit zur Vermeidung von Missverständnissen: Die unterschiedlichen Begriffe für die Art und Weise der Bereitstellung, Übermittlung oder Mitteilung der Informationen gibt es in der englischen Sprachfassung der DSGVO nicht: dort wird ausschließlich das Verb „to provide“ genutzt. Der EuGH spricht insoweit von der „Handlung“ des Verantwortlichen, als deren Folge die betroffene Person die Möglichkeit hat, die Informationen wahrzunehmen – ob sie dies tut oder nicht ist für die Erfüllung der Informationspflichten bedeutungslos (EuGH, Urt. v. 18.12.25 – C-422/24, Rn. 33).
Verstöße gegen die Informationspflichten ordnet Art. 83 Abs. 5 lit. a, b DSGVO in die schwerwiegendere Kategorie 2 ein mit der Folge, dass Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden könnten – wenn es denn ein ernsthaftes Sanktionsrisiko in Deutschland gäbe (zum bis heute fortbestehenden Vollzugsdefizit im Datenschutz ausführlich Kremer, DSB 2023, 282).
Neben den weiteren Abhilfebefugnissen der Aufsichtsbehörden aus Art. 58 Abs. 2 lit. a bis h und j DSGVO stehen Beschwerden oder Klagen der betroffenen Personen i. S. d. Art. 77 Abs. 1, Art. 79 Abs. 1 DSGVO im Raum, ebenso Schadensersatzansprüche gemäß Art. 82 Abs. 1 DSGVO. Hierfür verlangt der EuGH den Eintritt eines Schadens, der über einen Verstoß gegen die Bestimmungen der DSGVO hinausgehen muss (EuGH, Urt. v. 20.6.2024 – C-590/22, Rn. 25). Der in anderen Konstellationen als Schaden sehr beliebte Kontrollverlust (etwa durch eine Offenlegung personenbezogener Daten an einen Angreifer nach einem „personal data breach“ i. S. d. Art. 4 Nr. 12 DSGVO, siehe exemplarisch EuGH, Urt. v. 4.10.24 – C-200/23, Rn. 156; BGH, Urt. v. 18.11.24 – VI ZR 10/24) dürfte hier zwar ausscheiden – aber wer kennt nicht selbst das unwohle Gefühl nicht richtig informiert zu sein? Lässt sich dies nachweisen, läge ein ersatzfähiger Schaden vor.
Und schließlich hat der EuGH – neben wettbewerbsrechtlichen Abmahnungen – die Tür aufgemacht für Verbandsklagen i. S. d. Art. 80 Abs. 2 DSGVO: Ohne die Möglichkeit zur Verbandsklage könnten die mit der DSGVO verfolgten Ziele, nämlich der wirksame Schutz der Grundfreiheiten und Grundrechte natürlicher Personen sowie insbesondere eines hohen Schutzniveaus für deren Recht auf Privatleben bei der Verarbeitung ihrer personenbezogenen Daten, beeinträchtigt werden (EuGH, Urt. v. 11.7.24 – C-757/22, Rn. 62 ff.).
Wichtigkeit der Informationen …
Wenn die Erfüllung der Informationspflichten als Konkretisierung des Transparenzgrundsatzes ein derart wesentliches Instrument im Datenschutz ist, stellt sich die Frage, wie Verantwortliche dem auch in herausfordernden, weil zur Bereitstellung der Informationen schwierigen Sachverhalten nachkommen können, auch angesichts des Umfangs der bereitzustellenden Informationen.
Herausfordernde Sachverhalte …
Was sind herausfordernde Sachverhalte? Etwa die Erfüllung der Informationspflichten auf Smart Devices mit kleinen Displays (wie bei einer spontanen Bestellung auf der Smart Watch), in einer Live-Situation von Mensch zu Mensch (etwa beim Check-in im Hotel oder einem Erstkontakt auf der Messe) oder in Stresssituationen (z.B. beim Anfertigen von Unfallbildern durch Polizei oder Rettungsdienst in Anwesenheit der Unfallopfer oder Zeugen). In all diesen Beispielen ist es praktisch unmöglich, bei der Erhebung alle Informationen gemäß Art. 13 DSGVO (oder Art. 14 DSGVO) bereitzustellen. Hierfür genügen weder die verfügbare Zeit noch die Aufnahmefähigkeit der betroffenen Person in der jeweiligen Situation.
Abschichten nach Wichtigkeit …
Ein Lösungselement ist bereits in der DSGVO angelegt. Aus ErwGr. 39, Sätze 3 und 4, ergibt sich, dass von besonderer Bedeutung jedenfalls die dort hervorgehobenen „Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung“ sind. Die DSGVO selbst geht also von einer unterschiedlichen Wichtigkeit der in Art. 13, 14 DSGVO genannten Informationen für die betroffene Person aus, was sich auch in Art. 26 Abs. 2 Satz 2 DSGVO widerspiegelt: Gemeinsam Verantwortliche müssen nicht den gesamten Inhalt ihrer gemäß Art. 26 Abs. 1 Satz 2 DSGVO zu treffenden Vereinbarung offenlegen, sondern nur „das wesentliche der Vereinbarung“ den betroffenen Personen zur Verfügung stellen.
Diesen Multi-Layer-Approach haben die Aufsichtsbehörden schon frühzeitig aufgegriffen und für zulässig erachtet, so ausdrücklich auch der Europäische Datenschutzausschuss, z.B. bei einer Videoüberwachung (siehe Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0 vom 29. 01. 2020). Der EuGH ist dem zwischenzeitlich – im konkreten Fall für Videoaufnahmen durch Ordnungskräfte mittels Bodycams – gefolgt und hat festgehalten, dass dem Zweck der Informationspflichten (dazu oben) nicht entgegensteht, wenn diese „im Rahmen eines gestuften Verfahrens erfüllt werden“. Konkret: „auf einer ersten Ebene [können] die für die betroffene Person wichtigsten Informationen auf einem Hinweisschild angezeigt werden, und auf einer zweiten Ebene können die weiteren obligatorischen Informationen dieser Person in geeigneter und vollständiger Weise an einem leicht zugänglichen Ort zur Verfügung gestellt werden.“ (EuGH, Urt. v. 18. 12. 2025 – C-422/24, Rn. 42)
Direkterhebung oder Fremderhebung …
Geklärt hat der EuGH erfreulicherweise auch, welchen Unterschied es im Anwendungsbereich von Art. 13 DSGVO und Art. 14 DSGVO gibt: Unter Rückgriff auf ErwGr. 61, Satz 1, ist das „einzig relevante Kriterium für die Abgrenzung des jeweiligen Anwendungsbereichs von Art. 13 und Art. 14 DSGVO [… die …] Quelle der erhobenen personenbezogenen Daten“ (EuGH, Urt. v. 18.12.25 – C-422/24, Rn. 35). Ist die betroffene Person bei Erhebung der personenbezogenen Daten (real oder virtuell) anwesend, gilt Art. 13 DSGVO, ist sie dies nicht, gilt Art. 14 DSGVO. Damit will der EuGH vermeiden, dass die anwesende Person erst nachträglich von einer sie betreffenden, „heimlichen“ Verarbeitung personenbezogener Daten erfährt (EuGH, Urt. v. 18.12.25 – C-422/24, Rn. 41).
Wie das freilich in Stresssituationen funktionieren soll, in denen die betroffene Person ihre Aufmerksamkeit vollständig auf etwas anderes gerichtet hat und ggf. gar nicht aufnahmefähig ist, lässt der EuGH dahingestellt. Nähme man den EuGH ernst, könnten Informationspflichten in solchen Situationen verpuffen, weil während der Stresssituation informiert wird, die betroffene Person das aber gar nicht aufnehmen kann. Wer schon mal Unfallbeteiligter war oder anderweitig der Staatsgewalt gegenübergestanden hat, dürfte wissen, dass das eigene Denken in diesen Momenten – anders als vom EuGH unterstellt – nicht auf die mögliche Datenverarbeitung und das Entgegennehmen von Informationen hierzu gerichtet ist, sondern auf die Selbsterhaltung, die Ausübung des Demonstrationsrechts, der Meinungsäußerungsfreiheit oder etwas anderem. Hier bedarf es ergänzend noch eines Korrektivs, was die Aufnahmefähigkeit der betroffenen Person im Moment der Datenerhebung bei der Abgrenzung zwischen Art. 13, Art. 14 DSGVO einbezieht.
Keine Rechtmäßigkeit ohne Transparenz …
Als ob das alles noch nicht anspruchsvoll genug sei, verknüpft der EuGH die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 Satz 1 DSGVO mit der Erfüllung der Informationspflichten, konkret bei der Einwilligung i. S. d. Art. 6 Abs. 1 Satz 1 lit. a DSGVO und der Interessenabwägung i. S. d. Art. 6 Abs. 1 Satz 1 lit. f DSGVO.
Einwilligung und Informationspflichten …
Schon zweimal hat der EuGH eine unmittelbare Verbindung zwischen der Einwilligung als Bedingung für eine rechtmäßige Verarbeitung und der Erfüllung der Informationspflichten hergestellt: „Die Gültigkeit der von der betroffenen Person erteilten Einwilligung hängt nämlich u.a. davon ab, ob diese Person zuvor die Informationen über alle Umstände im Zusammenhang mit der Verarbeitung der fraglichen Daten erhalten hat, auf die sie nach den Art. 12 und 13 DSGVO Anspruch hat und die ihr ermöglichen, die Einwilligung in voller Kenntnis der Sachlage zu geben.“ Es fehlt sonst an der Einwilligung in informierter Weise i. S. d. Art 4 Nr. 11 DSGVO (EuGH, Urt. v. 11.7.24 – C-757/22, Rn. 59; inhaltsgleich EuGH, Urt. v. 4.9.25 – C-413/23 P, Rn. 106).
Wohlgemerkt: Es geht dem EuGH nicht allein um die vollständige Erfüllung der Informationspflicht aus Art. 13 DSGVO (nicht Art. 14 DSGVO, da die Einwilligung immer von der betroffenen Person direkt erhoben wird), sondern auch um die korrekte Art und Weise der Pflichtenerfüllung – also verständlich und in einer klaren und einfachen Sprache (siehe ausführlich oben). Fehlt eine dieser Voraussetzungen, ist die Einwilligung unwirksam und die Rechtmäßigkeit der Verarbeitung dahin mit der Folge, dass die gleichwohl verarbeiteten Daten wegen Art. 17 Abs. 1 lit. d DSGVO unverzüglich zu löschen sind, jedenfalls wenn keine andere Bedingung aus Art. 6 Abs. 1 Satz 1 DSGVO die Verarbeitung trägt.
Und bei der Interessenabwägung …
Für die Interessenabwägung hat der EuGH die Verknüpfung zur Erfüllung der Informationspflichten zunächst sehr grobschlächtig hergestellt: „Sollte ein solches Interesse als berechtigt angesehen werden, müsste der Verantwortliche zudem allen anderen ihm obliegenden Pflichten aus der DSGVO nachkommen, damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten […] rechtfertigen kann.“ (EuGH, Urt. v. 4.10.24 – C-621/22, Rn. 50). Warum aber das Nichtvorhandensein eines Eintrags im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO die Rechtmäßigkeit der Verarbeitung entfallen lassen soll oder das Fehlen der Erforderlichkeitsprüfung für eine Datenschutz-Folgenabschätzung i. S. d. Art. 35 Abs. 1 DSGVO, behält der EuGH für sich und erschließt sich auch nicht.
Möglicherweise ist dem EuGH, der im Übrigen sauber zwischen der Rechtmäßigkeit der Verarbeitung und formalen Pflichten des Verantwortlichen differenziert (exemplarisch EuGH, Urt. v. 4.5.23 – C-60/22, Rn. 59 ff.), aber auch aufgefallen, dass seine vorstehend zitierte Aussage zu pauschal ist und hat dies deshalb später – ausgehend von dem zur Entscheidung gestellten Sachverhalt – sehr konkret formuliert: „Wie der Generalanwalt […] ausgeführt hat, verlangt diese Bestimmung, dass den betroffenen Personen zum Zeitpunkt der Erhebung der Daten unmittelbar das verfolgte berechtigte Interesse mitgeteilt wird, da andernfalls diese Erhebung nicht auf der Grundlage von Art. 6 Abs. 1 lit. f dieser Verordnung gerechtfertigt werden kann.“ (EuGH, Urt. v. 9.1.25 – C-394/23, Rn. 52).
Am Ergebnis ändert das nichts: Werden die Informationspflichten vom Verantwortlichen im Fall einer Direkterhebung nicht im Zeitpunkt der Erhebung erfüllt, ist die Verarbeitung rechtswidrig. Wie sich das in einem Sachverhalt einer Fremderhebung darstellt, bei der gemäß Art. 14 Abs. 4 DSGVO ohnehin nachgelagert informiert werden darf, ist offen. Zu vermuten ist, dass auch hier der EuGH einen Brücke von der Rechtsgrundlage zu den Informationspflichten bauen wird.
BĂĽrokratiemonster?
Zu klären bleibt abschließend, wieso die Erfüllung der Informationspflichten ein Bürokratiemonster sein soll, wie es in der Überschrift als Frage formuliert ist. Bis hierhin geht es auf den ersten Blick um nicht mehr als um die Erfüllung des Transparenzgrundsatzes (dazu oben) und des Grundsatzes der Rechtmäßigkeit, ebenfalls in Art. 5 Abs. 1 Buchst. a DSGVO festgeschrieben, also zwei Selbstverständlichkeiten.
Erwähnt wurde oben aber auch schon die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO, die für die Einwilligung durch Art. 7 Abs. 1 DSGVO konkretisiert wird. Will sich der Verantwortliche auf eine Einwilligung oder eine Interessenabwägung berufen, muss er – Beweislastregel (!) – darlegen und beweisen, dass die Informationspflichten vollständig nach Inhalt, Form und Darstellung wegen aller Voraussetzungen aus Art. 12 Abs. 1 Satz 1 DSGVO und Art. 13, Art. 14 DSGVO erfüllt wurden.
Hierfür braucht der Verantwortliche (1) einen Nachweis darüber, mit welchem Dokument auf welchem Kanal die erforderlichen Informationen der betroffenen Person im Zeitpunkt der Erhebung durch eine Handlung des Verantwortlichen bereitgestellt wurden. Sodann benötigt der Verantwortliche (2) einen Nachweis darüber, welchen Inhalt dieses Dokument hatte, also ob alle Informationen gemäß Art. 13, Art. 14 DSGVO enthalten waren. Waren die Informationen über mehrere Ebenen verteilt (etwa in der Einwilligung auf der ersten Ebene und einer Datenschutzinformation auf der zweiten Ebene), muss sich der Nachweis auf alle Ebenen erstrecken. Schließlich bedarf es beim Verantwortlichen (3) eines Nachweises darüber, dass die Informationen verständlich und in einer klaren und einfachen Sprache bereitgestellt wurden. Fehlt einer der vorgenannten Nachweise, entfällt die Rechtsgrundlage Einwilligung oder Interessenabwägung.
Geht es um eine Datenschutzinformation für eine Einwilligung oder eine Interessenabwägung, ist der Nachweis einfach: Dokument in einer Datenbank speichern oder auf dem Fileshare ablegen, fertig. Was aber ist, wenn mehr oder weniger regelmäßig Änderungen an Datenschutzinformation, Einwilligung oder Interessenabwägung (wegen der vom Verantwortlichen verfolgten berechtigten Interessen) vorgenommen worden – was gängige Praxis ist? Der Nachweis kann dann nur noch geführt werden über eine eindeutige Beziehung zwischen der Version der Datenschutzinformation zur jeweiligen Einwilligung oder Interessenabwägung.
Damit wird es anspruchsvoller: Schon die Versionierung von Datenschutzinformationen und deren geordnete Ablage dürfte für viele Verantwortliche bislang unbekannt sein. Hinzu tritt dann aber noch die Verknüpfung der Versionierung der Datenschutzinformationen mit der Versionierung der Einwilligung oder der Interessenabwägung. Komplex wird es, wenn sich die Nachweise auf verschiedene Medien beziehen, etwa die Einwilligung in der App oder in Print mit der Datenschutzinformation auf der Website. Hier dürfte für den vom EuGH erwarteten Nachweis zur Erfüllung der Rechenschaftspflicht auch noch eine Dokumentation über das medienübergreifende Zusammenspiel von Einwilligung und Datenschutzinformation anfallen.
Und hier ist es, das Bürokratiemonster. Nicht wegen der Transparenzpflicht, sondern wegen dem, was der EuGH daraus gemacht hat – und vielleicht sogar genauso vom europäischen Gesetzgeber beabsichtigt war. Statt die beabsichtigte Abschaffung der Benennungspflicht für Datenschutzbeauftragte aus § 38 Abs. 1 BDSG in Deutschland als Mittel der Entbürokratisierung zu feiern (Beschluss der MPK vom 4. Dezember 2025, Seite 31, Punkt 160), sollte sich die Bundesregierung für eine echte Entbürokratisierung des Datenschutzes einsetzen – etwa bei der Erfüllung der Transparenzpflichten und dem hierüber erforderlichen Nachweis durch den Verantwortlichen.
| Autor: | Sascha Kremer, Gründer von KREMER LEGAL (Köln/Mönchengladbach) und Geschäftsführer der KREMER LEGAL TECH & OPERATIONS GmbH (ebenda), Fachanwalt für IT-Recht, Daten- und KI-Rechtler, Mitglied im DSB-Beirat, berät Mandanten hochspezialisiert an der Schnittstelle zwischen Technik und Recht. |  |