25.06.2026
Gernot Fritz, Tanja Pfleger, Sabine Prossinger
Mit Urteil vom 18. Juni 2026 in der Rechtssache C-484/24 (NTH Haustechnik) hat der EuGH eine für die Prozesspraxis äußerst relevante Entscheidung zur Schnittstelle zwischen Datenschutzrecht und Beweisverwertung getroffen. Im Kern geht es um eine Frage, die in arbeitsrechtlichen und zivilrechtlichen Streitigkeiten immer wieder auftaucht: Darf ein Gericht personenbezogene Daten als Beweismittel verwenden, wenn diese Daten von einer Partei möglicherweise rechtswidrig erlangt wurden?
Der Gerichtshof stellt klar: Die DSGVO führt nicht automatisch dazu, dass solche personenbezogenen Daten im Gerichtsverfahren unverwertbar sind. Zugleich bleibt die gerichtliche Verarbeitung der Daten aber an die Grundsätze der DSGVO gebunden, insbesondere an den Grundsatz der Datenminimierung.
Die DSGVO schützt zwar grundsätzlich vor rechtswidriger Verarbeitung personenbezogener Daten. Sie enthält aber kein generelles Beweisverwertungsverbot für auf diesem Wege erlangte Daten. Wer Daten rechtswidrig erhebt, kann sich dadurch weiterhin erheblichen datenschutzrechtlichen Risiken aussetzen. Das bedeutet jedoch nicht automatisch, dass ein Gericht die betreffenden Informationen im Zivilverfahren nicht berücksichtigen darf.
Ausgangspunkt des Verfahrens war ein arbeitsrechtlicher Streit zwischen einem Heizungs- und Klimatechnikbetrieb und einer ehemaligen Arbeitnehmerin. Das Unternehmen warf der Arbeitnehmerin vor, über ihr privates eBay-Konto Gegenstände verkauft zu haben, die nach Ansicht des Unternehmens in dessen Eigentum standen. Der geltend gemachte Schaden belief sich auf rund EUR 46.500. Kenntnis von den Verkäufen hatte das Unternehmen dadurch erlangt, dass ein Mitarbeiter mit Benutzerkennung und Passwort auf das private eBay-Konto der Arbeitnehmerin zugegriffen hat.
Gerade dieser Zugriff war datenschutzrechtlich heikel. Nach den Feststellungen des vorlegenden Gerichts war nicht ausgeschlossen, dass die Datenerhebung rechtswidrig erfolgt war. Das Landesarbeitsgericht Niedersachsen wollte daher vom EuGH wissen, ob und unter welchen Voraussetzungen personenbezogene Daten, die möglicherweise rechtswidrig beschafft wurden, in einem Gerichtsverfahren verwendet werden dürfen.
Die DSGVO endet nicht an der Gerichtstür
Der EuGH stellt zunächst klar, dass auch Gerichte personenbezogene Daten im Sinn der DSGVO verarbeiten können. Wenn ein Gericht Dokumente mit personenbezogenen Daten in eine Verfahrensakte aufnimmt, digitale Beweismittel abruft, speichert, verwendet oder daraus personenbezogene Daten extrahiert, liegt grundsätzlich auch eine Verarbeitung personenbezogener Daten vor.
Damit ist die DSGVO auch im gerichtlichen Verfahren grundsätzlich relevant. Der Umstand, dass Gerichte in Ausübung ihrer justiziellen Tätigkeit handeln, nimmt ihre Verarbeitung personenbezogener Daten nicht generell aus dem Anwendungsbereich der DSGVO heraus. Sie trägt der justiziellen Tätigkeit zwar durch besondere Regeln Rechnung, etwa bei der aufsichtsbehördlichen Kontrolle. Daraus folgt aber nicht, dass gerichtliche Aktenführung, Beweisaufnahme und Urteilsveröffentlichung datenschutzrechtlich irrelevant wären.
Der Zivilprozess ist also kein datenschutzfreier Raum. Personenbezogene Daten verlieren ihren Schutz nicht dadurch, dass sie in ein Gerichtsverfahren eingebracht werden. Allerdings folgt daraus noch nicht, dass die DSGVO die Regeln über die Zulässigkeit und Würdigung von Beweisen vollständig harmonisiert.
Rechtsgrundlage der gerichtlichen Verarbeitung: Art 6 Abs 1 lit c DSGVO
Besonders interessant ist, dass der EuGH die gerichtliche Verarbeitung nicht primär auf Art 6 Abs 1 lit e DSGVO stützt, also auf die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt. Vielmehr stellt der Gerichtshof auf Art 6 Abs 1 lit c DSGVO ab: Die Verarbeitung durch das Gericht ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen. Es muss über das Vorbringen und die Beweisanträge der Parteien entscheiden und die zulässigen Beweismittel bei seiner Entscheidung berücksichtigen.
Diese rechtliche Verpflichtung besteht darin, über die Zulässigkeit von Beweisangeboten zu entscheiden und zulässige Beweismittel bei der Entscheidung zu berücksichtigen. Das Gericht verarbeitet die Daten also nicht deshalb, weil es sich gleichsam frei für eine Datenverarbeitung entscheidet, sondern weil es im Rahmen des Prozessrechts über den von den Parteien vorgetragenen Sachverhalt und die angebotenen Beweise entscheiden muss.
Art 6 Abs 1 lit c DSGVO verlangt eine Rechtsgrundlage im Unionsrecht oder im Recht des jeweiligen Mitgliedstaats. Diese Rechtsgrundlage muss ein im öffentlichen Interesse liegendes Ziel verfolgen und verhältnismäßig sein. Der EuGH verlangt aber nicht, dass jede Einzelheit der Beweisverwertung ausdrücklich im Gesetz geregelt ist. Es kann genügen, wenn nationale Verfahrensregeln durch eine klare, präzise und vorhersehbare Rechtsprechung konkretisiert werden.
Fragen der Beweisregeln bleiben Sache der Mitgliedstaaten
Der EuGH betont zugleich, dass das Unionsrecht nach derzeitigem Stand nicht selbst festlegt, unter welchen Voraussetzungen Tatsachen und Beweise in nationalen Gerichtsverfahren zulässig sind oder wie sie zu würdigen sind. Diese Fragen bleiben grundsätzlich dem nationalen Recht überlassen.
Das bedeutet aber nicht, dass nationale Regelungen völlig frei wären. Wenn personenbezogene Daten im Rahmen des gerichtlichen Verfahrens verarbeitet werden, muss die nationale Rechtsgrundlage den Anforderungen der DSGVO und der Grundrechtecharta entsprechen. Sie muss ein im öffentlichen Interesse liegendes Ziel verfolgen, verhältnismäßig sein und ausreichend klar, präzise und vorhersehbar sein.
Interessant ist dabei, dass der EuGH keinen detaillierten gesetzlichen Katalog verlangt, der für jede denkbare Konstellation regelt, wann personenbezogene Daten als Beweismittel verwendet werden dürfen. Es kann ausreichen, wenn sich die maßgeblichen Kriterien aus einer klaren, präzisen und vorhersehbaren nationalen Rechtsprechung ergeben. Der Begriff „Recht der Mitgliedstaaten“ im Sinn der DSGVO ist also nicht zwingend auf formelle Gesetze beschränkt.
Für Mitgliedstaaten wie Österreich ist das durchaus relevant. Auch hier wird die Frage der Verwertbarkeit rechtswidrig erlangter Beweise in Zivilverfahren wesentlich durch Rechtsprechung und Interessenabwägungen geprägt. Der EuGH verlangt dafür keine vollständige Kodifikation. Er verlangt aber, dass die Kriterien vorhersehbar sind und die betroffenen Grundrechte angemessen berücksichtigen.
Kein automatisches Beweisverwertungsverbot
Der praktisch wichtigste Teil der Entscheidung betrifft die Frage, ob ein Gericht personenbezogene Daten verarbeiten darf, die von einer Partei unter Verletzung des Rechts auf Privatleben oder des Datenschutzrechts erlangt wurden. Der EuGH verneint ein automatisches Verwertungsverbot.
Nach Ansicht des Gerichtshofs verwehren Art 7 und 8 der Grundrechtecharta, Art 5 und 6 DSGVO sowie der Grundsatz der Datenminimierung einem nationalen Gericht nicht schon deshalb die Verwendung solcher Beweismittel, weil die vorlegende Partei kein berechtigtes Interesse an der Verarbeitung hatte, das über das bloße Nachweisen der behaupteten Tatsachen hinausgeht.
Das ist eine deutliche Aussage. Das bloße Beweisinteresse einer Partei wird vom EuGH nicht als unionsrechtlich unzureichend qualifiziert. Damit gibt der EuGH dem nationalen Prozessrecht erheblichen Spielraum. Ob und unter welchen Voraussetzungen ein Verwertungsverbot im Einzelfall besteht, bleibt grundsätzlich eine Frage der nationalen Rechtsordnung. Die DSGVO enthält kein eigenständiges, generelles Beweisverwertungsverbot für datenschutzwidrig erlangte Beweise.
Das ist eine deutliche Absage an die Vorstellung, die DSGVO führe automatisch zu einem prozessualen Beweisverwertungsverbot. Die Rechtswidrigkeit der ursprünglichen Datenerhebung und die spätere Verwendung durch das Gericht sind zwei unterschiedliche Ebenen. Die erste kann rechtswidrig sein und Sanktionen, Schadenersatzansprüche oder aufsichtsbehördliche Maßnahmen nach sich ziehen. Daraus folgt aber nicht zwingend, dass das Gericht die betreffenden Daten im Verfahren nicht verwenden darf.
Kein Freibrief für digitale Selbsthilfe
Gleichzeitig wäre es falsch, das Urteil als Einladung zu verstehen, Beweise notfalls auch durch rechtswidrige Zugriffe zu beschaffen. Genau das sagt der EuGH nicht.
Die ursprüngliche Erhebung der Daten durch eine Partei bleibt eigenständig an der DSGVO und an den einschlägigen Grundrechten zu messen. Wenn ein Arbeitgeber etwa auf private Accounts zugreift, Kommunikationsinhalte auswertet oder Passwörter verwendet, kann das weiterhin datenschutzrechtlich rechtswidrig sein. Daraus können aufsichtsrechtliche Maßnahmen, Schadenersatzansprüche nach Art 82 DSGVO, arbeitsrechtliche Folgen und unter Umständen auch strafrechtliche Risiken entstehen.
Die Entscheidung betrifft primär die Frage, ob das Gericht solche Daten später im Verfahren verwenden darf. Sie legitimiert nicht die vorangehende Beschaffung. Das ist die entscheidende Unterscheidung: Datenschutzwidrige Beweiserhebung kann rechtswidrig bleiben, auch wenn die Beweise im Verfahren nicht automatisch unverwertbar sind.
Für Unternehmen heißt das: Wer interne Untersuchungen führt, Compliance-Verstöße aufklärt oder Ansprüche gegen Arbeitnehmer, Organmitglieder oder Vertragspartner vorbereitet, sollte weiterhin strikt auf eine sorgfältig geprüfte datenschutzrechtliche Grundlage achten. Das Urteil reduziert nicht das Risiko der Datenerhebung. Es nimmt nur dem Argument die Schärfe, dass jeder Datenschutzverstoß zwingend zur prozessualen Unverwertbarkeit führt.
Datenminimierung bleibt auch für das Gericht relevant
Der EuGH betont die Bedeutung des Grundsatzes der Datenminimierung. Allerdings verlangt er nicht, dass ein Gericht bei jeder einzelnen Verarbeitung personenbezogener Daten eine zusätzliche umfassende Verhältnismäßigkeitsprüfung und Interessenabwägung vornimmt, sofern die Anforderungen des Art 5 Abs 1 lit c DSGVO eingehalten werden.
Bei Beweismitteln, die zulässig in die Akte aufgenommen wurden, geht der EuGH davon aus, dass die darin enthaltenen Daten grundsätzlich angemessen, erheblich und auf das für die gerichtliche Entscheidungsfindung notwendige Maß beschränkt sein können. Das Gericht muss die Beweise würdigen können, um seiner Aufgabe nachzukommen und das Recht auf ein faires Verfahren zu gewährleisten.
Besonders relevant wird die Datenminimierung aber bei der Offenlegung personenbezogener Daten. Bevor ein Gericht Daten gegenüber Parteien oder Dritten offenlegt, etwa im Rahmen der Zustellung oder Veröffentlichung einer Entscheidung, muss es prüfen, ob diese Daten auf das notwendige Maß beschränkt sind. Gegebenenfalls sind Maßnahmen wie Anonymisierung oder Pseudonymisierung zu ergreifen.
Art 13 DSGVO: Informationspflichtverletzung führt nicht zwingend zur Unverwertbarkeit
Auch ein möglicher Verstoß gegen Informationspflichten nach Art 13 DSGVO führt nach der Logik der Entscheidung nicht automatisch dazu, dass ein Gericht die betreffenden Daten nicht verwenden darf.
Art 13 DSGVO bleibt selbstverständlich relevant. Wer personenbezogene Daten erhebt, muss die betroffene Person grundsätzlich transparent informieren. Für die gerichtliche Verwertung ist das aber nicht zwingend entscheidend. Der EuGH behandelt auch hier die ursprüngliche Datenerhebung und die spätere gerichtliche Verarbeitung als getrennte Vorgänge. Ein Transparenzverstoß der Partei kann daher datenschutzrechtliche Folgen haben, führt aber nicht schon für sich genommen zu einem unionsrechtlich zwingenden Beweisverwertungsverbot.
Was bedeutet das für Arbeitgeber?
Die Entscheidung ist besonders relevant für arbeitsrechtliche Auseinandersetzungen. In der Praxis geht es häufig um E-Mails, Logfiles, Chatverläufe, Browserdaten, Zugangsdaten, Videoaufzeichnungen oder sonstige digitale Spuren, mit denen Pflichtverletzungen nachgewiesen werden sollen. Gerade in solchen Konstellationen ist die Versuchung groß, vorhandene Daten möglichst umfassend auszuwerten und im Verfahren vorzulegen.
Das Urteil ist aber keine Einladung zu investigativen Abkürzungen. Arbeitgeber müssen weiterhin prüfen, ob die Erhebung und Auswertung personenbezogener Daten rechtmäßig ist. Je nach Konstellation können insbesondere Transparenzpflichten, Zweckbindung, Datenminimierung, Speicherbegrenzung, arbeitsrechtliche Mitbestimmungsrechte und spezielle Vorgaben für Beschäftigtendaten relevant sein. Wer diese Anforderungen ignoriert, riskiert Schadenersatzansprüche, aufsichtsbehördliche Verfahren und gegebenenfalls auch arbeitsrechtliche Folgeprobleme.
Die Entscheidung hilft Arbeitgebern aber in einem Punkt: Datenschutzrechtliche Fehler bei der ursprünglichen Datenerhebung führen nicht automatisch dazu, dass ein späterer Prozess verloren ist, weil das Beweismittel unionsrechtlich unverwertbar wäre. Ob ein nationales Gericht ein Beweismittel im konkreten Fall verwertet, bleibt eine Frage des nationalen Prozessrechts und der jeweiligen Umstände. Die DSGVO verlangt aber keinen automatischen Ausschluss.
Was bedeutet das für Unternehmen insgesamt?
Über das Arbeitsrecht hinaus ist die Entscheidung für alle Unternehmen relevant, die in zivilrechtlichen Streitigkeiten personenbezogene Daten als Beweismittel verwenden. Das betrifft etwa interne Untersuchungen, Compliance-Sachverhalte, Streitigkeiten mit Kunden oder Lieferanten, IP-/IT-nahe Verfahren, gesellschaftsrechtliche Konflikte oder Schadenersatzprozesse.
In all diesen Fällen sollte zwischen drei Ebenen unterschieden werden.
Erstens: Darf das Unternehmen die Daten erheben, auswerten und für Zwecke der Rechtsdurchsetzung verwenden? Diese Frage ist nach den allgemeinen Regeln der DSGVO und gegebenenfalls nach Spezialvorschriften zu beurteilen.
Zweitens: Darf das Unternehmen die Daten dem Gericht vorlegen? Auch hier ist eine eigene datenschutzrechtliche Bewertung erforderlich, insbesondere im Hinblick auf Zweckbindung, Erforderlichkeit und Umfang der übermittelten Daten.
Drittens: Darf das Gericht die Daten im Verfahren verwenden, gegenüber anderen offenlegen oder in einer Entscheidung wiedergeben? Hier gelten die justiziellen Verarbeitungsvorgänge des Gerichts und der Grundsatz der Datenminimierung.
Fazit
Die Entscheidung in der Rechtssache NTH Haustechnik schafft mehr Klarheit darüber, wie Datenschutzrecht und Beweisrecht ineinandergreifen. Die Botschaft ist klar: Die DSGVO ist kein automatisches Beweisverwertungsverbot. Auch personenbezogene Daten, die eine Partei möglicherweise rechtswidrig erlangt hat, können von einem nationalen Gericht im Verfahren verwendet werden.
Dennoch sollten Unternehmen ihre internen Untersuchungsprozesse überprüfen. Gerade bei Verdachtsfällen gegen Arbeitnehmer oder Organmitglieder ist es entscheidend, frühzeitig die datenschutzrechtliche Grundlage, den Umfang der Datenauswertung, die Dokumentation der Erforderlichkeit und die Einhaltung von Informationspflichten zu prüfen. Das Urteil macht die Beweisverwertung nicht unmöglich, aber es ersetzt keine sorgfältige Compliance. Rechtswidrige Zugriffe auf private Accounts, private Kommunikation oder unverhältnismäßige IT-Auswertungen können weiterhin erhebliche (datenschutz-)rechtliche Folgen auslösen.
Für Unternehmen ist das Urteil daher weder Freibrief noch Schreckgespenst. Es ist eine praxisnahe Klarstellung: Datenschutzverstöße können erhebliche Folgen haben, aber sie vernichten nicht automatisch den Beweiswert von Informationen im Prozess.
Gerne unterstützen wir Sie bei der datenschutzrechtlichen Einordnung interner Untersuchungen sowie bei der prozessualen Aufbereitung datenschutzsensibler Beweismittel.
