EuGH zur DSGVO im Gerichtsverfahren: Kein automatisches Beweisverwertungsverbot bei Datenschutzverstößen
Update Datenschutz Nr. 255
Der Europäische Gerichtshof hat mit Urteil vom 18. Juni 2026 in der Rechtssache C-484/24 – NTH Haustechnik GmbH gegen EM eine praxisrelevante Entscheidung zur Verwendung personenbezogener Daten als Beweismittel in gerichtlichen Verfahren getroffen. Die Entscheidung ist insbesondere für Arbeitgeber, Compliance-Abteilungen und Unternehmen relevant, die interne Ermittlungen durchführen und dabei auf Mitarbeiterdaten, E-Mail-Konten, Logfiles oder sonstige digitale Daten zugreifen müssen.
1. Sachverhalt
Dem Verfahren liegt ein Rechtsstreit vor dem Landesarbeitsgericht Niedersachsen zugrunde. Ein Arbeitgeber machte gegen eine ehemalige Arbeitnehmerin Schadensersatzansprüche geltend, da diese Unternehmensgegenstände unbefugt online verkauft haben soll. Die im Verfahren vom Arbeitgeber als Beweise vorgelegten Daten waren möglicherweise unter Verstoß gegen datenschutzrechtliche Vorgaben erhoben worden.
Das vorlegende Gericht wollte vom EuGH insbesondere wissen, ob die DSGVO der gerichtlichen Verwendung solcher Daten entgegensteht, welche Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen von Gerichtsverfahren einschlägig ist und ob Art. 17 Abs. 3 lit. e DSGVO insofern als eigenständige Erlaubnisnorm herangezogen werden kann.
2. Kernaussagen des EuGH
Der EuGH stellt klar, dass sich aus der DSGVO kein automatisches Beweisverwertungsverbot für personenbezogene Daten ergibt, die zuvor unter Verstoß gegen die DSGVO erhoben oder anderweitig verarbeitet wurden.
Die datenschutzrechtlich fragwürdige Erhebung personenbezogener Daten durch eine Partei oder einen Dritten hindert ein nationales Gericht als solches (noch) nicht daran, das betreffende Beweismittel zu verwerten. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Gerichte kommt insbesondere Art. 6 Abs. 1 lit. c DSGVO, Art. 6 Abs. 3 DSGVO i. V. m. einer nationalen Rechtsgrundlage in Betracht, soweit das Gericht nach nationalem Recht zur Sachverhaltsaufklärung und Beweiswürdigung verpflichtet ist.
Für das deutsche Zivil- und Arbeitsgerichtsverfahren sind insbesondere Art. 92 GG, §§ 138, 286, 355 ff. ZPO sowie die arbeitsgerichtlichen Verfahrensvorschriften relevant. Diese Normen verpflichten die Parteien zum substantiierten Tatsachenvortrag und das Gericht zur umfassenden Würdigung des Prozessstoffs.
Zugleich betont der EuGH, dass Art. 17 Abs. 3 lit. e DSGVO keine eigenständige Rechtsgrundlage für eine Datenverarbeitung darstellt. Die Vorschrift beschränkt lediglich den Löschungsanspruch, soweit die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Die Rechtmäßigkeit der Verarbeitung muss weiterhin anhand von Art. 6 DSGVO und gegebenenfalls weiteren Vorschriften geprüft werden.
3. Kein Freibrief für rechtswidrige Datenerhebung
Die Entscheidung wirkt sich im Verfahren zugunsten der beweisbelasteten Partei aus, ist aber kein Freibrief für rechtswidrige Datenerhebungen. Datenschutzverstöße bei der ursprünglichen Erhebung oder Sicherung von personenbezogenen Daten können weiterhin erhebliche Folgen haben, insbesondere:
- Schadensersatzansprüche nach Art. 82 DSGVO,
- aufsichtsbehördliche Maßnahmen und Geldbußen nach Art. 58, 83 DSGVO,
- Löschungsansprüche nach Art. 17 DSGVO,
- Reputationsschäden,
- und im Einzelfall nationale Beweisverwertungsverbote bei besonders schwerwiegenden Grundrechtsverstößen.
Für Unternehmen bedeutet dies: Ein Datenschutzverstoß zerstört nicht zwingend den prozessualen Wert eines Beweismittels. Jeder Datenschutzverstoß bleibt aber ein eigenständiges Compliance- und Haftungsrisiko.
4. Bedeutung für interne Ermittlungen
Besonders relevant ist die Entscheidung für interne Untersuchungen, etwa bei Verdacht auf Betrug, Untreue, Geheimnisverrat, Korruption, Kartellrechtsverstöße, Datenschutzverstöße, oder andere Pflichtverletzungen.
In der Praxis werden im Rahmen interner Ermittlungen häufig personenbezogene Daten von Beschäftigten verarbeitet, betroffen sind insbesondere:
- dienstlichen E-Mail-Konten,
- Chat- und Kollaborationstools,
- Logfiles und Zugriffsdaten,
- Cloud-Speicher,
- CRM- und ERP-Systeme,
- Zutrittsdaten,
- anderweitige Geräte- und Nutzungsdaten.
Der Zugriff auf und die Auswertung personenbezogener Daten müssen stets auf einer tauglichen Rechtsgrundlage beruhen. In Betracht kommen insbesondere Art. 6 Abs. 1 lit. f DSGVO zur Wahrung berechtigter Interessen, Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung gesetzlicher Pflichten, § 26 Abs. 1 S. 1 BDSG für Zwecke des Beschäftigungsverhältnisses sowie bei Ermittlungen zur Aufdeckung von Straftaten § 26 Abs. 1 S. 2 BDSG. Handelt es sich um besondere Kategorien personenbezogener Daten, wie z. B. Gesundheitsdaten, Gewerkschaftszugehörigkeit oder die Religionszugehörigkeit sind zusätzlich Art. 9 DSGVO, § 26 Abs. 3 BDSG und gegebenenfalls § 22 BDSG zu beachten. Betreffen die Daten Straftaten oder strafrechtliche Verurteilungen gilt Art. 10 DSGVO.
5. Zugriff auf E-Mail-Konten von Mitarbeitern
Die private Nutzung betrieblicher Kommunikationsmittel sollte klar geregelt sein. Dies schafft Rechtssicherheit und erleichtert die rechtlich zulässige Ausgestaltung des Zugriffs im Bedarfsfall.
Aus Arbeitgebersicht ist die sicherste Gestaltung regelmäßig die private Nutzung dienstlicher E-Mail-Konten und IT-Systeme ausdrücklich zu verbieten. Das Nutzungsverbot für private Zwecke sollte im Arbeitsvertrag, einer IT-Richtlinie oder einer Betriebsvereinbarung geregelt und in der Praxis auch durchgesetzt werden. Wird eine private Nutzung trotz Verbots über längere Zeit geduldet, kann dies die Zulässigkeit späterer Zugriffe beeinträchtigen, da die rechtlichen Anforderungen deutlich höher sind.
Zwar wird zunehmend vertreten, dass Arbeitgeber auch bei erlaubter oder geduldeter Privatnutzung nicht dem Fernmeldegeheimnis nach § 3 TDDDG unterliegen. Eine höchstrichterliche Klärung steht jedoch bisher aus. Unternehmen sollten die private Nutzung daher entweder untersagen oder zumindest klar regeln und zusätzlich technische und organisatorische Schutzmechanismen einsetzen.
Eine IT- oder E-Mail-Richtlinie sollte den Informationspflichten nach Art. 13, 14 DSGVO genügen und ferner insbesondere regeln:
- ob die private Nutzung erlaubt, verboten oder nur ausnahmsweise gestattet ist,
- ob private Inhalte besonders zu kennzeichnen oder in privaten Ordnern abzulegen sind,
- unter welchen Voraussetzungen dienstliche Postfächer eingesehen werden dürfen,
- welche Stellen über einen Zugriff entscheiden,
- wie private oder offensichtlich irrelevante Inhalte ausgesondert werden,
- welche Protokollierungs- und Dokumentationspflichten gelten,
- wie lange Daten gespeichert werden.
6. Anforderungen an interne Ermittlungen
Interne Ermittlungen müssen anlassbezogen, zweckgebunden und verhältnismäßig erfolgen. Maßgeblich sind insbesondere die Grundsätze aus Art. 5 Abs. 1 DSGVO: Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Besteht der Verdacht, dass Straftaten im Beschäftigungsverhältnis begangen wurden, müssen gemäß § 26 Abs. 1 S. 2 BDSG dokumentierte tatsächliche Anhaltspunkte diesen Verdacht begründen. Zudem muss die Verarbeitung personenbezogener Daten zur Aufdeckung erforderlich sein und das schutzwürdige Interesse des betroffenen Arbeitnehmers darf nicht überwiegen. Art und Ausmaß der Datenverarbeitung müssen im Hinblick auf den Anlass verhältnismäßig sein.
Vor einem Zugriff auf (private) Kommunikationsdaten sollte daher geprüft werden, ob mildere Mittel zur Verfügung stehen, wie z. B. die Auswertung von Vertragsunterlagen, Rechnungen, Systemprotokollen, Metadaten oder auch die Befragung anderer Beteiligter. E-Mail-Postfächer sollten erst ausgewertet werden, wenn dies zur (weiteren) Aufklärung erforderlich ist.
7. Betriebsrat und Kollektivvereinbarungen
Besteht ein Betriebsrat, sind die Mitbestimmungsrechte gemäß § 87 Abs. 1 Nr. 6 BetrVG zu beachten, sofern technische Einrichtungen eingesetzt werden, die geeignet sind, Verhalten oder Leistung der Arbeitnehmer zu überwachen. Dies betrifft u. a. Logfile-Auswertungen, Monitoring-Tools, DLP-Systeme, SIEM-Systeme und Kollaborationstools.
Eine Betriebsvereinbarung kann auch eine wichtige datenschutzrechtliche Grundlage für die Verarbeitung personenbezogener Daten sein. Gemäß § 26 Abs. 4 BDSG können personenbezogene Beschäftigtendaten auf Grundlage von Kollektivvereinbarungen verarbeitet werden; diese müssen jedoch die Anforderungen des Art. 88 Abs. 2 DSGVO erfüllen und angemessene Schutzmaßnahmen für die Rechte und Freiheiten der Beschäftigten vorsehen.
8. Dokumentation und Schutzmaßnahmen
Interne Ermittlungen sollten stets auf Grundlage eines dokumentierten Freigabeprozesses erfolgen. Vor Beginn der Maßnahme sollte insbesondere Folgendes dokumentiert werden:
- der konkrete Untersuchungsanlass,
- die Rechtsgrundlage gemäß Art. 6 DSGVO und gegebenenfalls § 26 BDSG,
- der Untersuchungszweck,
- die betroffenen Datenquellen,
- die geprüften milderen Mittel,
- der Kreis der zugriffsberechtigten Personen,
- die Suchkriterien und Auswertungsmethode,
- der Umgang mit privaten oder nicht relevanten Inhalten,
- Lösch- und Aufbewahrungsfristen,
- sowie die Einbindung von Legal, Compliance, HR, IT und des Datenschutzbeauftragten.
Organisatorisch sollten insbesondere das Need-to-know-Prinzip, das Vier-Augen-Prinzip, Zugriffsbeschränkungen, die Protokollierung, Maßnahmen zur Wahrung der Vertraulichkeit und Datensicherheit gemäß Art. 32 DSGVO beachtet und umgesetzt werden. Bei umfangreichen oder systematischen Überwachungsmaßnahmen ist zudem regelmäßig eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich. Die Verarbeitung ist in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO aufzunehmen.
9. Prozessuale Konsequenz
Soll ein Untersuchungsergebnis später in einem gerichtlichen Verfahren verwendet werden, sollten Unternehmen die Daten bereits im Rahmen der Ermittlungen prozessfest aufbereiten. Nicht erforderliche personenbezogene Daten, private Inhalte und Daten unbeteiligter Dritter sollten ausgesondert, geschwärzt oder pseudonymisiert werden.
Die EuGH-Entscheidung stärkt zwar die Möglichkeit, personenbezogene Daten als Beweismittel im Rahmen von Gerichtsverfahren zu verwenden. Zugleich bestätigt sie jedoch auch, dass für jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage erforderlich ist und dass bei der Offenlegung gegenüber Prozessparteien oder Dritten stets der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO zu beachten ist.
10. Handlungsempfehlungen
Unternehmen sollten nicht erst im Krisenfall im Rahmen von internen Ermittlungen tätig werden, sondern bereits vorher proaktiv und transparent Richtlinien etc. bereitstellen.
Empfehlenswert ist insbesondere:
a. Einführung und/oder regelmäßige Aktualisierung einer internen IT- und E-Mail-Richtlinie.
b. Klare Regelung der privaten Nutzung dienstlicher Kommunikationsmittel.
c. Transparente Zugriffsvorbehalte für Compliance- und Ermittlungsfälle.
d. Betriebsvereinbarung bei mitbestimmungspflichtigen technischen Systemen.
e. Untersuchungs- und Freigabeprozesse regeln und dokumentieren.
f. Einbindung von Datenschutzbeauftragtem, Legal, Compliance, HR und IT.
g. Protokollierung der jeweiligen Maßnahmen und der Interessenabwägung.
h. Klare Lösch- und Aufbewahrungskonzepte.
i. Datenschutzkonforme Aufbereitung von Beweismitteln für gerichtliche Verfahren.
11. Fazit
Der EuGH stellt klar: Die DSGVO begründet kein automatisches Beweisverwertungsverbot für personenbezogene Daten, die möglicherweise unter Verstoß gegen die DSGVO erlangt wurden.
Dennoch muss auch die datenschutzrechtliche Zulässigkeit interner Ermittlungen weiterhin überprüft werden. Arbeitgeber sollten daher frühzeitig die rechtlichen Grundlagen für den Zugriff auf Mitarbeiterdaten schaffen. Entscheidend sind klare Regelungen und Konzepte sowie im Ermittlungsfall die Dokumentation der Verdachtsanhaltspunkte sowie der Maßnahmen zur Wahrung der Rechte betroffener Mitarbeiter.