Die Frage, ob datenschutzwidrig erlangte Informationen vor Gericht verwendet werden dürfen, beschäftigt Unternehmen, Arbeitsgerichte und Datenschutzexperten seit Jahren. Insbesondere bei internen Untersuchungen, Compliance-Verstößen oder arbeitsrechtlichen Auseinandersetzungen standen Unternehmen regelmäßig vor einem Dilemma: Kann ein Datenschutzverstoß dazu führen, dass ein entscheidendes Beweismittel im Prozess unbrauchbar wird?

Mit seinem Urteil vom 18. Juni 2026 (C-484/24) hat der Europäische Gerichtshof hierzu eine wegweisende Entscheidung getroffen. Das Gericht stellt klar: Ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) führt nicht automatisch zu einem Beweisverwertungsverbot. Gleichzeitig betont der EuGH jedoch die hohe Verantwortung der Gerichte und bestätigt, dass Datenschutzverstöße weiterhin erhebliche rechtliche Konsequenzen für Unternehmen nach sich ziehen können.

🔍 Der Ausgangsfall

Ausgangspunkt war ein arbeitsgerichtlicher Rechtsstreit zwischen einem Unternehmen und einer ehemaligen Mitarbeiterin. Das Unternehmen machte Schadensersatz geltend, weil die Arbeitnehmerin angeblich Firmeneigentum über ihr privates Online-Konto verkauft hatte.

Die entscheidenden Beweise stammten aus einem privaten Benutzerkonto, auf das ohne Zustimmung der Betroffenen zugegriffen worden war. Damit stellte sich die zentrale Frage:

Darf ein Gericht personenbezogene Daten verwerten, wenn diese möglicherweise unter Verstoß gegen die DSGVO beschafft wurden?

Diese Fragestellung legte das Landesarbeitsgericht Niedersachsen dem Europäischen Gerichtshof zur Entscheidung vor.

💡 Die Kernaussage des EuGH

Der EuGH beantwortet diese Frage eindeutig: Ein Datenschutzverstoß bei der Beschaffung von Informationen führt nicht automatisch dazu, dass diese Beweise im Zivil- oder Arbeitsgerichtsverfahren ausgeschlossen werden müssen.

Vielmehr bleibt es Aufgabe des Gerichts, den Sachverhalt vollständig aufzuklären und sämtliche zulässigen Beweismittel zu würdigen. Datenschutzrecht und effektiver Rechtsschutz stehen dabei gleichrangig nebeneinander und müssen im Einzelfall miteinander in Einklang gebracht werden.

🛤️ Das Zwei-Gleise-Prinzip

Die Entscheidung bedeutet keineswegs, dass Unternehmen Datenschutzvorschriften künftig weniger beachten müssten. Der EuGH trennt vielmehr zwei unterschiedliche Ebenen strikt voneinander. Ein Beweismittel kann prozessual verwertbar sein und gleichzeitig datenschutzrechtlich rechtswidrig erhoben worden sein.

Ebene 1: Zivil- & Arbeitsrecht

Die prozessuale Verwertbarkeit:

  • Der arbeitsrechtliche Prozess kann trotz Fehler bei der Beweisbeschaffung erfolgreich verlaufen.
  • Wichtige Beweise können zur Wahrheitsfindung zugelassen werden.
  • Das Unternehmen kann berechtigte Schadensersatz- oder Kündigungsansprüche durchsetzen.

Ebene 2: Datenschutzrecht

Die datenschutzrechtliche Zulässigkeit:

  • Die unrechtmäßige Beschaffung der Beweise bleibt ein DSGVO-Verstoß.
  • Es drohen Bußgelder durch die Datenschutzaufsicht.
  • Betroffene können Schadensersatzansprüche nach Art. 82 DSGVO geltend machen.
  • In besonders schweren Fällen können strafrechtliche Risiken entstehen.

🏛️ Gerichte unterliegen selbst der DSGVO

Ein weiterer wichtiger Aspekt der Entscheidung betrifft die Rolle der Gerichte. Sobald Gerichte personenbezogene Daten in Gerichtsakten aufnehmen, speichern oder bewerten, verarbeiten sie selbst personenbezogene Daten im Sinne der DSGVO.

Damit gelten auch für Gerichte sämtliche datenschutzrechtlichen Grundsätze. Besonders hervorgehoben wird der Grundsatz der Datenminimierung. Gerichte müssen sicherstellen, dass nur diejenigen Informationen verarbeitet und veröffentlicht werden, die für das Verfahren tatsächlich erforderlich sind. Bei Urteilsveröffentlichungen oder Akteneinsichten können deshalb Schwärzungen, Pseudonymisierungen oder Anonymisierungen zwingend erforderlich sein.

🏢 Was bedeutet das für Unternehmen?

Für Unternehmen bringt das Urteil mehr Rechtssicherheit – jedoch keine Lockerung der Datenschutzanforderungen. Bei Verdacht auf Betrug, Diebstahl oder Compliance-Verstöße müssen häufig digitale Beweise gesichert werden. Das EuGH-Urteil reduziert das Risiko, dass ein Prozess allein wegen eines Datenschutzfehlers verloren geht. Gleichzeitig bleibt eine rechtmäßige Beweiserhebung unverzichtbar.

Datenschutz und Compliance müssen gemeinsam gedacht werden

Gerade im Mittelstand werden interne Untersuchungen häufig unter erheblichem Zeitdruck durchgeführt. Umso wichtiger ist eine datenschutzkonforme Planung. Dazu gehören insbesondere:

Rechtsgrundlagen

Schaffung klarer, vorheriger Rechtsgrundlagen für Datenverarbeitungen im Rahmen von internen Untersuchungen.

Dokumentation

Sauber dokumentierte Entscheidungsprozesse, um die Rechtmäßigkeit der Maßnahmen im Nachhinein belegen zu können.

Transparenz

Die Etablierung transparenter interner Richtlinien für den Umgang mit Mitarbeiterdaten und Compliance-Vorfällen.

Verhältnismäßigkeit

Strikte Beachtung des Verhältnismäßigkeitsgrundsatzes und die Nutzung des jeweils mildesten geeigneten Mittels zur Sachverhaltsaufklärung.

Eine frühzeitige datenschutzrechtliche Bewertung kann spätere Haftungsrisiken erheblich reduzieren.

🎯 Fazit

Mit dem Urteil C-484/24 schafft der Europäische Gerichtshof mehr Klarheit im Spannungsfeld zwischen Datenschutz und gerichtlicher Wahrheitsfindung. Ein Datenschutzverstoß führt nicht automatisch zu einem Beweisverwertungsverbot. Gleichzeitig bestätigt das Urteil die hohe Bedeutung der DSGVO und verdeutlicht, dass datenschutzwidrige Datenerhebungen weiterhin erhebliche rechtliche Folgen haben können.

Für Unternehmen bedeutet dies vor allem eines: Datenschutz bleibt ein wesentlicher Bestandteil einer funktionierenden Compliance-Organisation. Wer interne Ermittlungen professionell vorbereitet, datenschutzrechtliche Vorgaben berücksichtigt und Beweissicherungen sauber dokumentiert, reduziert sowohl Prozess- als auch Haftungsrisiken nachhaltig.

Häufig gestellte Fragen (FAQ)

Bedeutet das Urteil, dass wir bei internen Ermittlungen den Datenschutz vernachlässigen können?

Nein. Das Urteil trennt lediglich die Verwertbarkeit vor Gericht von der Rechtmäßigkeit der Datenerhebung. Wenn Sie Beweise unter Verletzung der DSGVO beschaffen, können diese zwar unter Umständen vor Gericht verwendet werden, Ihr Unternehmen begeht jedoch dennoch einen Datenschutzverstoß. Dies kann zu hohen Bußgeldern und Schadensersatzforderungen der betroffenen Mitarbeiter führen.

Wie sollten wir bei einem akuten Compliance-Verdacht konkret vorgehen?

Handeln Sie nicht überstürzt. Bevor Sie auf private Konten, E-Mails oder Chatverläufe von Mitarbeitern zugreifen, muss geprüft werden, ob das mildeste Mittel angewendet wird. Ziehen Sie idealerweise frühzeitig Ihren Datenschutzbeauftragten hinzu, dokumentieren Sie den Verdacht und stützen Sie die Datenerhebung auf eine solide Rechtsgrundlage.

Was ändert sich für unsere Personalabteilung und Führungskräfte?

Das Urteil schafft Sicherheit, dass rechtmäßige Ansprüche (z.B. bei Diebstahl) nicht allein wegen formaler Datenschutzfehler vor Gericht scheitern. Für die Personalabteilung bedeutet dies aber auch, dass klare, dokumentierte Prozesse für interne Untersuchungen („Internal Investigations“) aufgesetzt werden müssen, um das Risiko von Bußgeldern auf dem „zweiten Gleis“ abzuwenden.