Datenschutz HubRechtsprechung

EuGH, Urt. v. 10.07.2018, C-25/17, Zeugen Jehovas

Der EuGH definiert den Dateisystembegriff weit: Auch handschriftliche Aufzeichnungen bei Haustürbesuchen fallen unter Art. 2 lit. c DSRL, wenn die Daten anhand bestimmter Kriterien wiederauffindbar sind. Zugleich zur gemeinsamen Verantwortlichkeit einer Religionsgemeinschaft.

Der EuGH (Große Kammer) hat in diesem Urteil den Begriff der „Datei" im Sinne der früheren Datenschutz-Richtlinie 95/46/EG weit ausgelegt und dabei zugleich zur gemeinsamen Verantwortlichkeit bei religiöser Verkündungstätigkeit Stellung genommen. Die Grundsätze zur Reichweite des Dateisystembegriffs sind auf Art. 4 Nr. 6 DSGVO übertragbar.

1. Sachverhalt

Mitglieder der Religionsgemeinschaft der Zeugen Jehovas führten in Finnland Haustürbesuche durch und fertigten dabei handschriftliche Notizen über die besuchten Personen an, unter anderem zu Namen, Adressen, religiösen Überzeugungen und Familienverhältnissen. Diese Notizen wurden nicht zentral gespeichert, sondern von den einzelnen Mitgliedern aufbewahrt. Die finnische Datenschutzbehörde untersagte die Erhebung und Verarbeitung dieser Daten ohne angemessene Rechtsgrundlage. Strittig war unter anderem, ob die Aufzeichnungen überhaupt eine „Datei" im Sinne der Datenschutz-Richtlinie darstellten und ob die Religionsgemeinschaft als Verantwortliche anzusehen war.

2. Entscheidung

2.1 Weiter Dateibegriff

Der Gerichtshof hat den Dateibegriff weit ausgelegt. Es ist nicht erforderlich, dass die Daten in einem formalisierten Registersystem oder einer zentralen Kartei abgelegt sind. Ausreichend ist, dass die Daten nach Kriterien geordnet sind, die eine leichte Wiederauffindbarkeit gewährleisten. Ein besonderes Ordnungssystem oder eine einheitliche Ablageform ist nicht notwendig.

Handschriftliche Aufzeichnungen der Mitglieder erfüllten diese Anforderungen, weil die Daten in einem realen Verkündigungsdienst nach bestimmten Personen oder Haushalten auffindbar waren. Der Umstand, dass die Daten dezentral bei einzelnen Mitgliedern lagen und nicht automatisiert verarbeitet wurden, änderte daran nichts.

2.2 Gemeinsame Verantwortlichkeit

Der EuGH hat die Religionsgemeinschaft als gemeinsam Verantwortliche eingestuft, obwohl sie keinen unmittelbaren Zugriff auf die Notizen ihrer Mitglieder hatte und ihnen keine schriftlichen Anweisungen zur Datenerhebung erteilt hatte. Die Organisation und Koordination der Verkündungstätigkeit durch die Gemeinschaft reichte aus, um eine gemeinsame Verantwortlichkeit zu begründen.

3. Bedeutung für die Praxis

Das Urteil setzt einen klaren Maßstab für den Begriff des Dateisystems im Sinne des Art. 4 Nr. 6 DSGVO:

  • Ein formalisiertes Ablagesystem ist nicht erforderlich.
  • Entscheidend ist die strukturelle Zugänglichkeit der Daten nach bestimmten Kriterien.
  • Auch dezentral geführte, handschriftliche Sammlungen können ein Dateisystem bilden.
  • Die Schwelle ist damit bewusst niedrig angesetzt, um technologieneutral zu wirken.

Dateisystem (Art. 4 Nr. 6 DSGVO)

Definition und Abgrenzung des Dateisystems; Bedeutung für den Anwendungsbereich der DSGVO.

Verarbeitung (Art. 4 Nr. 2 DSGVO)

Bei manueller Verarbeitung ist das Dateisystem Voraussetzung für die Anwendbarkeit der DSGVO.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

EuGH, Urt. v. 12.01.2023, C-154/21, RW/Österreichische Post

Auskunft über Empfänger personenbezogener Daten nach Art. 15 Abs. 1 lit. c DSGVO: grundsätzlich Pflicht zur Nennung der konkreten Empfänger; Beschränkung auf Kategorien nur ausnahmsweise.

Auf dieser Seite

1. Sachverhalt2. Entscheidung2.1 Weiter Dateibegriff2.2 Gemeinsame Verantwortlichkeit3. Bedeutung für die Praxis