Das Ende des Schlupflochs für beobachtete Daten: Das wegweisende Urteil des EuGH verstehen

Jahrelang schwelte in den Hinterzimmern von Rechtsabteilungen und Privacy-Tech-Startups eine subtile, aber bedeutende Debatte: Wenn ein Unternehmen Ihre Mausbewegungen verfolgt, Ihre IP-Adresse protokolliert oder Ihre Herzfrequenz über ein Wearable überwacht, haben Sie ihnen diese Daten gegeben oder haben sie diese einfach gefunden?

Im Dezember 2025 gab der Gerichtshof der Europäischen Union (EuGH) eine definitive Antwort, die Wellen durch die globale Tech-Industrie geschlagen hat. Das Gericht entschied, dass beobachtete personenbezogene Daten – Informationen, die durch die Interaktion eines Nutzers mit einem Dienst entstehen – als direkt von der betroffenen Person erhobene Daten zu behandeln sind. Diese Entscheidung schließt effektiv ein langjähriges Schlupfloch, das einige Organisationen nutzten, um ihre Transparenzpflichten zu verzögern oder zu verwässern.

Der Kern der Sache: Artikel 13 vs. Artikel 14

Um zu verstehen, warum dieses Urteil wichtig ist, müssen wir uns den Mechanismus der Datenschutz-Grundverordnung (DSGVO) ansehen. Die Verordnung unterteilt Transparenz in zwei Kategorien: Artikel 13 (direkt bei der Person erhobene Daten) und Artikel 14 (aus anderen Quellen bezogene Daten, wie etwa von einem Drittanbieter).

Die Unterscheidung ist mehr als nur akademisch. Nach Artikel 13 muss ein Unternehmen Datenschutzinformationen genau in dem Moment bereitstellen, in dem die Daten erhoben werden. Nach Artikel 14 haben sie oft eine Schonfrist von bis zu einem Monat. Mit dem Argument, dass beobachtete Daten – wie der Browserverlauf oder Standort-Pings – nicht vom Nutzer „bereitgestellt“, sondern von den Sensoren des Unternehmens „erzeugt“ wurden, versuchten einige Firmen, die sofortigen Offenlegungspflichten von Artikel 13 zu umgehen.

Der EuGH hat dieses Argument nun entkräftet. Das Gericht begründete dies damit, dass die Erfassungsmethode – ob über ein Formular oder ein stilles Tracking-Pixel – irrelevant ist, wenn die Daten aus den Handlungen oder Merkmalen der Person stammen. Sie werden direkt von ihr erhoben.

Warum beobachtete Daten nicht länger ‚sekundär‘ sind

In den Anfängen des Webs bedeuteten „erhobene Daten“ meist das, was man in ein Feld eintippte: Name, E-Mail und Lieferadresse. Doch in der modernen Wirtschaft sind die wertvollsten Daten oft jene, von denen man gar nicht merkt, dass man sie teilt. Dies beinhaltet:

• Verhaltens-Metadaten: Wie lange Sie über einem Bild verweilen, Ihre Scrollgeschwindigkeit und Ihre Klickmuster.
• IoT- und Sensordaten: Herzfrequenzwerte einer Smartwatch oder die Umgebungstemperatur eines intelligenten Thermostats.
• Technische Identifikatoren: MAC-Adressen, Browser-Fingerprints und präzise Geolokalisierung.

Indem der EuGH dies als „direkt erhoben“ einstuft, signalisiert er, dass die Ära von „erst tracken, später erklären“ vorbei ist. Wenn ein vernetztes Auto Ihren Fahrstil beobachtet, um ein Versicherungsrisiko zu berechnen, erhebt es diese Daten in Echtzeit von Ihnen. Folglich müssen die Transparenzanforderungen genau in diesem Moment erfüllt werden.

Die Wellenwirkung auf andere EU-Verordnungen

Obwohl das Urteil in der DSGVO begründet ist, reicht sein Schatten viel weiter. Die Digitalstrategie der EU stützt sich auf ein Geflecht miteinander verbundener Gesetze, darunter der Data Act, der AI Act und der Digital Markets Act (DMA). Viele dieser Verordnungen nutzen das Konzept der „vom Nutzer bereitgestellten Daten“, um Rechte wie Datenübertragbarkeit oder Zugang zu definieren.

Durch die Ausweitung der Definition der direkten Erhebung hat der EuGH unbeabsichtigt den Anwendungsbereich dieser anderen Gesetze erweitert. Zum Beispiel haben Nutzer nach dem Data Act das Recht auf Zugang zu Daten, zu denen sie beigetragen haben. Wenn „Beitrag“ nun rechtlich auch passive Beobachtung umfasst, müssen Hersteller vernetzter Geräte viel robustere Schnittstellen für den Datenaustausch bauen, als sie ursprünglich geplant hatten.

Praktische Auswirkungen für Tech-Teams

Für CTOs und Datenschutzbeauftragte (DSBs) erfordert dieses Urteil ein Umdenken bei der Prüfung von Daten-Pipelines. Es reicht nicht mehr aus, eine allgemeine Datenschutzerklärung im Footer zu verstecken.

Betrachten Sie den „Just-in-Time“-Hinweis. Wenn Ihre mobile App in dem Moment, in dem ein Nutzer eine bestimmte Kartenfunktion öffnet, mit der Erfassung präziser Standortdaten beginnt, legt die Logik des EuGH nahe, dass der Transparenzhinweis genau dann präsentiert werden muss. Sie können sich nicht darauf verlassen, dass der Nutzer vor drei Monaten bei der Anmeldung einem 40-seitigen Dokument zugestimmt hat.

Eine Checkliste für die Compliance

Wenn Ihre Organisation Verhaltens- oder Sensordaten verarbeitet, sollten Sie als Nächstes Folgendes tun:

1. Erfassen Sie Ihre „stille“ Datenerhebung: Identifizieren Sie jeden Punkt, an dem Ihr System das Nutzerverhalten ohne direktes Eingabefeld beobachtet. Dies umfasst Telemetrie, Analysen und Hintergrundsynchronisierung.
2. Prüfen Sie den Zeitpunkt Ihrer Transparenz: Stellen Sie sicher, dass für jeden oben identifizierten Punkt dem Nutzer die erforderlichen Informationen gemäß Artikel 13 bereitgestellt wurden, bevor oder zu dem Zeitpunkt, an dem die Beobachtung beginnt.
3. Aktualisieren Sie Consent Management Platforms (CMPs): Stellen Sie sicher, dass Ihre CMPs nicht nur um Erlaubnis bitten, sondern tatsächlich die spezifischen Offenlegungen bereitstellen, die durch die strengere Auslegung der direkten Erhebung durch das Gericht gefordert werden.
4. Überprüfen Sie SDKs von Drittanbietern: Viele Apps nutzen Drittanbieter-Tools für Analysen. Da Sie der Verantwortliche sind, müssen Sie sicherstellen, dass diese „Beobachtungen“ der Regel zur sofortigen Offenlegung entsprechen.

Der menschliche Faktor: Vertrauen wiederherstellen

Im Kern geht es bei der Entscheidung des EuGH darum, die Informationsasymmetrie zwischen riesigen Tech-Plattformen und einzelnen Nutzern zu schließen. Wenn ein System uns beobachtet, weiß es oft mehr über unsere Vorlieben und unsere Gesundheit, als uns bewusst ist. Indem das Gericht Unternehmen zwingt, diese Beobachtung als direkte Erhebung unserer Persona anzuerkennen, drängt es auf einen ehrlicheren digitalen Vertrag.

Für die Tech-Industrie mag sich dies wie eine weitere regulatorische Hürde anfühlen. Unternehmen, die diese Transparenz jedoch annehmen – weg vom Schatten der „beobachteten Daten“ hin zu klarer Echtzeit-Kommunikation –, werden langfristig wahrscheinlich ein tieferes und widerstandsfähigeres Vertrauen zu ihren Nutzern aufbauen.