Von:Mario Shai Aguado González | Datenschutz & Künstliche Intelligenz
In Unternehmen herrscht die weit verbreitete Ansicht, dass die Verpflichtungen zum Schutz personenbezogener Daten dann beginnen, wenn sich die Daten von Kunden, Mitarbeitern, Lieferanten oder anderen betroffenen Personen in ihren Systemen befinden.
Diese Annahme ist jedoch falsch, was ein Urteil des spanischen Obersten Gerichtshofs bestätigt.
Die Entscheidung stammt zwar nicht aus dem mexikanischen Recht, doch ist ihre Begründung für jedes Unternehmen, das in Mexiko tätig ist und den Verpflichtungen des Bundesgesetzes zum Schutz personenbezogener Daten im Besitz von Privatpersonen (LFPDPPP) unterliegt, durchaus relevant. Dies liegt daran, dass beide Rechtssysteme dieselbe Grundlogik teilen: Die Einhaltung der Vorschriften ist keine Reaktion auf die erhobenen personenbezogenen Daten, sondern auf eine Verpflichtung, die mit deren Anforderung entsteht.
Was ist passiert?
Der Oberste Gerichtshof Spaniens (TSE) entschied im März 2026 über eine Kassationsbeschwerde (STS 1590/2026), deren Ausgangspunkt auf den ersten Blick eine Nebensache zu sein scheint: Eine Justizvollzugsanstalt forderte einen ihrer Beamten auf, ein ärztliches Attest sowie die von seinem Arzt verordnete Behandlung vorzulegen, um eine dreitägige Abwesenheit vom Dienst zu rechtfertigen.
Der Beamte weigerte sich unter Berufung auf sein Recht auf Privatsphäre, und die Justizvollzugsanstalt erhielt diese Informationen nie. Die Folge für den Beamten? Die Anstalt zog ihm drei Tage Gehalt ab.
Angesichts dieser Situation reichte der Beamte eine Beschwerde bei der spanischen Datenschutzbehörde (AEPD) ein, die daraufhin ein Untersuchungsverfahren einleitete, das mit einer Verwarnung gegen das Generalsekretariat für Strafvollzugsanstalten wegen Verstoßes gegen den Grundsatz der Datenminimierung endete. Der Nationale Gerichtshof hob die Sanktion mit der Begründung auf, dass ohne den tatsächlichen Erhalt der personenbezogenen Daten keine Verarbeitung vorliegen könne. Die AEPD legte Kassationsbeschwerde ein, und der Oberste Gerichtshof gab ihr Recht.
Was ist die zentrale rechtliche Frage?
Die vom TSE entschiedene Frage ist in fachlicher Hinsicht von Interesse:
Kann eine Verarbeitung personenbezogener Daten stattfinden, auch wenn die Daten nie beim Verantwortlichen eingegangen sind (weil der Betroffene sich geweigert hat, sie zu übermitteln)?
Der Nationale Gerichtshof bestätigte, dass dies nicht der Fall ist. Seine Begründung lautete, dass die Datenschutz-Grundverordnung (DSGVO) die Datenverarbeitung als jeden Vorgang im Zusammenhang mit personenbezogenen Daten definiert, wobei an erster Stelle die „Erhebung“ genannt wird. Ohne Datenerhebung gibt es keine Datenverarbeitung, folglich liegt auch kein Verstoß vor.
Der TSE weist diese Argumentation als unzureichend zurück. Der TSE geht davon aus, dass die Definition des Begriffs „Verarbeitung“ in Artikel 4 Absatz 2 der DSGVO bewusst weit gefasst ist. Der europäische Gesetzgeber verwendete den Ausdruck „jeder Vorgang“, begleitet von einer nicht erschöpfenden Liste von Beispielen. Diese Weite ist kein Zufall, sondern spiegelt den Willen wider, dem Begriff eine weitreichende Tragweite zu verleihen, die die Grundrechte der Menschen wirksam schützt. Nicht nur das: Neben der Berücksichtigung der Weite der Definition berücksichtigte der TSE zwei Artikel der DSGVO.
Einerseits legt Artikel 5 der DSGVO die Grundsätze für die Datenverarbeitung fest, wie etwa Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Sicherheit. Diese Grundsätze gelten nicht erst für bereits erhobene Daten; es handelt sich vielmehr um Verpflichtungen, die bereits bei der Konzeption jeder Maßnahme zur Erhebung und Verarbeitung personenbezogener Daten zu beachten sind.
Andererseits regelt Artikel 25 der DSGVO den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, insbesondere die Schutzmaßnahmen „sowohl bei der Festlegung der Verarbeitungsmittel als auch bei der Verarbeitung selbst“. Das heißt, bevor die ersten Daten erhoben werden.
Demnach kommt das TSE zu dem Schluss, dass die Anforderung personenbezogener Daten bereits Teil einer Tätigkeit ist, die auf die Erhebung personenbezogener Daten ausgerichtet ist. Diese Tätigkeit stellt an sich bereits eine Verarbeitung personenbezogener Daten dar und unterliegt folglich der Einhaltung aller Grundsätze der DSGVO, darunter auch dem Grundsatz der Datenminimierung.
Warum verstößt die Justizvollzugsanstalt gegen die DSGVO?
Nach dieser Auslegung wendet das TSE den Grundsatz der Datenminimierung auf den konkreten Sachverhalt an.
Der Beamte hatte ärztliche Atteste vorgelegt, die seine Abwesenheit belegten. Diese Unterlagen erfüllten den Zweck: die Kontrolle von Fehlzeiten am Arbeitsplatz. Die zusätzliche Anforderung der ärztlichen Diagnose und der Behandlung trägt nichts Notwendiges zu diesem Zweck bei. Im Gegenteil, der TSE wies darauf hin, dass selbst in Fällen von Arbeitsunfähigkeit aufgrund vorübergehender Arbeitsunfähigkeit der Arbeitgeber die ärztliche Diagnose nicht erhält und die Gesundheitsbehörden dem Arbeitgeber nichts mitteilen, gerade weil diese Information für die Verwaltung der Abwesenheit seiner Arbeitnehmer nicht erforderlich ist.
Die Aufforderung war unnötig, unverhältnismäßig und betraf Gesundheitsdaten, eine Kategorie, die in der DSGVO als besonders schutzbedürftig eingestuft wird. Die Sanktion war gerechtfertigt, auch wenn die Daten nicht übermittelt wurden.
Gilt das auch für uns in Mexiko?
Das LFPDPPP 2025 übernimmt sowohl die Terminologie als auch die strukturelle Logik der DSGVO. In Artikel 2 Absatz XIX wird die Verarbeitung definiert als „jeder Vorgang oder jede Reihe von Vorgängen … im Zusammenhang mit der Erhebung, Nutzung, Speicherung, Organisation, Aufbewahrung …“, wobei die Erhebung an erster Stelle steht, genau wie die „Erhebung“ in der DSGVO. Diese Übereinstimmung spiegelt wider, dass beide Systeme die Verarbeitung als einen Prozess betrachten, der in dem Moment beginnt, in dem auf die Daten zugegriffen werden soll, und nicht erst, wenn diese bereits im Besitz des Verantwortlichen sind.
Artikel 5 des LFPDPPP verankert den Grundsatz der Verhältnismäßigkeit als einen der Leitgrundsätze der Datenverarbeitung, und Artikel 12 bekräftigt dies: Die Datenverarbeitung „muss im Hinblick auf die in der Datenschutzerklärung genannten Zwecke notwendig, angemessen und relevant sein“. Dieser Standard entspricht funktional dem Grundsatz der Datenminimierung gemäß Artikel 5 Absatz 1 Buchstabe c der DSGVO, dessen Verletzung im Mittelpunkt des spanischen Urteils steht.
Artikel 13 untermauert diese Auslegung, indem er die Verantwortung des Verantwortlichen festlegt, der die erforderlichen Maßnahmen ergreifen muss, um sicherzustellen, dass die Datenschutzerklärung „jederzeit“ eingehalten wird. Und Artikel 16 verlangt, dass die Datenschutzerklärung ab dem Zeitpunkt der Datenerhebung verfügbar ist, was voraussetzt, dass der Verantwortliche bereits vor jeder Erhebung festgelegt hat, welche Daten er zu welchem Zweck erhebt und welche Art von Einwilligung erforderlich ist.
Was das Urteil STS 1590/2026 im europäischen Kontext rechtswissenschaftlich festlegt, verlangt das LFPDPPP bereits ausdrücklich in seinem Wortlaut. Der Unterschied besteht darin, dass diese Logik in Mexiko selten so klar zum Ausdruck kommt wie in dieser Entscheidung des TSE:Der Verantwortliche, der übermäßige Daten anfordert, verstößt bereits gegen den Grundsatz der Verhältnismäßigkeit, unabhängig davon, ob der Betroffene diese Informationen bereitstellt oder nicht.
Die Schlussfolgerungen?
Das Urteil STS 1590/2026 schafft keine neue Verpflichtung. Es legt fest, wann die bereits im Rechtsrahmen vorgesehenen Verpflichtungen beginnen, und zwar, wie wir bereits angedeutet haben, früher als von den meisten Unternehmen angenommen.
Genau diese juristisch fundierte Ausgestaltung ist es, die ein vorbildliches Unternehmen von einem Unternehmen unterscheidet, das erst reagiert, wenn bereits ein Problem vorliegt.
