Arrêt de référence : Cour de justice de l'Union européenne (CJUE), 18 décembre 2025, C-422/24 (Storstockholms Lokaltrafik) — Collecte de données à caractère personnel au moyen d'une caméra-piéton, obligation d'information du responsable du traitement ; art. 13 RGPD

I. Faits et procédure

La société anonyme AB Storstockholms Lokaltrafik (SL), exploitant le réseau de transports publics de Stockholm, a équipé ses contrôleurs de caméras-piétons avec pour but de prévenir et de prouver les menaces et les violences à l'égard des contrôleurs et de s'assurer de l'identité des passagers qui ne disposent pas d'un billet valide lors du contrôle des billets et qui se voient ainsi infliger une amende.

Les caméras fonctionnaient selon un mode de mémoire circulaire, filmant et enregistrant le son en continu, mais effaçant automatiquement les données toutes les minutes. Toutefois, lorsqu'un contrôleur constatait une infraction ou faisait face à une menace, il pouvait presser un bouton. La caméra sauvegardait alors de manière permanente la séquence en cours, y compris la minute de « pré-enregistrement » précédant l'activation.

L'autorité suédoise de protection des données (Integritetsskyddsmyndigheten) a sanctionné SL d'une amende administrative de 16 millions de couronnes suédoises (SEK) (environ 1,42 million d'euros), dont 4 millions de SEK spécifiquement pour violation de l'obligation d'information au sens de l'art. 13 RGPD.

Le tribunal de première instance a confirmé la sanction, mais la cour d'appel l'a annulée au motif que l'article 13 n'était pas applicable. La Cour administrative suprême de Suède a saisi la Cour de justice de l'Union européenne (CJUE) d'une question préjudicielle.

La question de droit posée à la Cour

La juridiction de renvoi a demandé en substance à la CJUE de trancher le conflit de qualification suivant :

Lequel des articles 13 (collecte directe auprès de la personne) et 14 (collecte indirecte via une autre source) du RGPD s'applique lorsque des données à caractère personnel sont captées au moyen d'une caméra-piéton ?

Ces deux articles prévoient des modalités d'exécution différentes du devoir d'information. L'article 13 prévoit que le responsable du traitement doit fournir une liste exhaustive d'informations (identité, finalités, droits, base légale) au moment même où les données sont collectées. Selon l'article 14, le responsable dispose d'un délai d'un mois maximum pour informer la personne concernée, et bénéficie surtout d'exceptions (art. 14 al. 5 RGPD), notamment si la fourniture d'informations s'avère « impossible » ou exige des « efforts disproportionnés ».

La solution retenue par la Cour

La CJUE estime que l'information des personnes concernées par un enregistrement via une caméra-piéton est régie par l'article 13 du RGPD. Ses considérants sont les suivants :

II. Analyse de l'arrêt

Le dogmatisme juridique

L'on pourrait pointer du doigt le dogmatisme de la Cour face aux réalités du terrain. L'arrêt de la Cour a pour conséquence que le responsable du traitement fournisse l'ensemble des informations obligatoires de l'article 13 au moment où le contrôleur d'autobus déclenche sa caméra, nonobstant le contexte de tension ou de flagrant délit. L'on constate ainsi une asymétrie manifeste entre la simplicité technique de la vidéosurveillance (un clic sur un bouton) et la lourdeur juridique de l'obligation d'information immédiate.

Cette situation est cependant un exemple classique de relation dialectique entre le cadre contraignant créé par le droit, qui est par définition dogmatique et statique, et la vie, qui est en perpétuelle évolution. Le droit a pour but d'assurer l'ordre et la stabilité dans une société en mouvement, en protégeant notamment les droits et libertés fondamentaux. L'évolution technologique rapide et son utilisation — en l'occurrence la vidéosurveillance — sont un bon exemple de la relation parfois tendue entre le droit et les réalités du terrain. Cette tension est accentuée notamment par l'exigence d'une densité normative de plus en plus élevée de nos jours. Il appartient toutefois au législateur de veiller à l'équilibre subtil entre le droit et la réalité sociale, dans l'intérêt de la société tout entière et non d'intérêts sectoriels, s'il veut éviter que le droit devienne inopérant. C'est pour cette raison que le droit s'apparente plus à l'art qu'à la science.

En l'espèce, je ne vois pas comment la Cour aurait pu aboutir à une autre conclusion que celle retenue, au vu des règles d'interprétation usuelles propres au droit de l'Union et, surtout, s'agissant de la sauvegarde d'un droit fondamental : la protection de la sphère privée de l'individu.

L'illicéité du pré-enregistrement

Le mécanisme de mémoire circulaire d'une minute pose également un problème sous l'angle de l'article 13.

Lorsque le contrôleur appuie sur le bouton d'enregistrement, l'appareil sauvegarde de manière permanente les données collectées depuis la minute précédente. Pendant cette minute écoulée, les passagers étaient filmés de manière éphémère sans qu'aucune information concomitante n'ait pu leur être donnée individuellement. En qualifiant l'entier du traitement des données de « collecte directe », la Cour rend illicite la pratique courante du pré-enregistrement en continu. Il est intéressant de voir comment ce point sera résolu par les autorités de contrôle ou les tribunaux.

Sur ce point également, l'on peut comprendre le raisonnement de la Cour : Ce n'est pas parce que la surveillance est convenable et facile qu'elle peut empiéter sur un droit fondamental, la protection de la vie privée des personnes concernées.

Une telle considération sous-tend le refus d'appliquer l'article 14, lequel prévoit un délai d'information maximal d'un mois ainsi que des dérogations à l'obligation d'informer (art. 14, par. 5, let. b).

III. Implications pour la Suisse

Bien que rendu par une juridiction de l'Union européenne, cet arrêt résonne avec force en Suisse. En raison du principe de l'équivalence des niveaux de protection et de l'interconnexion économique et culturelle, la jurisprudence de la CJUE dicte en grande partie l'interprétation future des lois suisses sur la protection des données (LPD et lois cantonales) par les autorités et tribunaux suisses.

La nouvelle LPD, en vigueur depuis le 1er septembre 2023, a renforcé le devoir d'informer de manière similaire au RGPD. L'article 19 LPD impose au responsable du traitement de fournir à la personne concernée les informations nécessaires (identité, finalité, destinataires) lors de la collecte de données, qu'elles soient collectées directement auprès d'elle ou non.

Cependant, contrairement au RGPD, la LPD unifie le devoir d'informer au sein d'un seul article (art. 19), tout en maintenant une distinction temporelle cruciale à son alinéa 5. Les exceptions au devoir d'information sont prévues à l'article 20 LPD, notamment lorsque les données n'ont pas été collectées auprès de la personne concernée et que la communication des informations s'avère « impossible » ou requiert des « efforts disproportionnés ».

Le Préposé fédéral (PFPDT) et les tribunaux suisses s'aligneront certainement sur l'interprétation de la CJUE et retiendront que toute vidéosurveillance constitue une collecte directe. Par conséquent, les entreprises et corporations publiques suisses ne pourront pas invoquer l'exception des efforts disproportionnés de l'art. 20, al. 2, LPD pour justifier un manque de transparence lors d'une surveillance par caméra-piéton.

Les conséquences pratiques pour les entreprises de transports et polices communales/cantonales

En Suisse, les caméras-piétons (bodycams) se généralisent (CFF, polices de Lausanne, Zurich, Genève, etc.). Pour que ces traitements soient licites au regard du droit suisse, une information à plusieurs niveaux est requise :

Obligations d'information — information à plusieurs niveaux

  • Information visuelle et immédiate : Le fait pour les contrôleurs ou agents de surveillance d'utiliser les moyens de vidéosurveillance doit être facilement visible et reconnaissable (par ex., porter un badge, un voyant lumineux clignotant, etc.).
  • Information orale : Les directives internes doivent imposer aux agents d'annoncer verbalement l'activation de l'enregistrement.
  • Information détaillée par d'autres moyens : Par ex., un QR code facilement accessible renvoyant instantanément vers la déclaration de protection des données complète.

L'applicabilité de l'arrêt aux entreprises suisses de transport qui opèrent sur des lignes transfrontalières

Les entreprises suisses de transport ou de sécurité qui opèrent sur des lignes transfrontalières (liaisons ferroviaires ou de bus vers la France, l'Allemagne, l'Italie ou l'Autriche) peuvent être soumises de plein droit au RGPD, dans la mesure où elles cibleraient des personnes situées sur le territoire de l'UE (art. 3, par. 2, RGPD), par exemple en leur vendant des titres de transport. Pour ces entités, l'arrêt C-422/24 peut s'appliquer de manière directe et contraignante sous peine de sanctions financières extrêmement lourdes (incomparables avec les amendes LPD) par les autorités européennes (CNIL, Garante, etc.). Toutefois, cette applicabilité ne découle pas automatiquement de la nature transfrontalière de la ligne et doit s'analyser cas par cas.

Reference ruling: Court of Justice of the European Union (CJEU), 18 December 2025, C-422/24 (Storstockholms Lokaltrafik) — Collection of personal data using a body-worn camera, information obligation of the data controller; Art. 13 GDPR

I. Facts and procedure

AB Storstockholms Lokaltrafik (SL), the public transport operator for the Stockholm region, equipped its ticket inspectors with body-worn cameras in order to prevent and document threats and violence against inspectors, and to verify the identity of passengers who did not hold a valid ticket during checks and were consequently fined.

The cameras operated in a continuous loop recording mode, filming and recording sound without interruption, but automatically deleting the data every minute. However, when an inspector identified an offence or faced a threat, they could press a button. The camera would then permanently save the current footage, including the one-minute "pre-recording" prior to activation.

The Swedish data protection authority (Integritetsskyddsmyndigheten) fined SL 16 million Swedish kronor (SEK) (approximately €1.42 million), of which 4 million SEK was specifically for breach of the information obligation under Art. 13 GDPR.

The court of first instance upheld the fine, but the court of appeal quashed it on the grounds that Article 13 was not applicable. The Swedish Supreme Administrative Court referred a preliminary question to the Court of Justice of the European Union (CJEU).

The legal question referred to the Court

In essence, the referring court asked the CJEU to resolve the following classification issue:

Which of Articles 13 (direct collection from the data subject) and 14 (indirect collection from another source) of the GDPR applies when personal data are captured using a body-worn camera?

These two articles provide for different modalities for fulfilling the duty to inform. Article 13 requires the data controller to provide a comprehensive list of information (identity, purposes, rights, legal basis) at the very moment the data are collected. Under Article 14, the controller has a maximum of one month to inform the data subject and, crucially, benefits from exceptions (Art. 14(5) GDPR), notably where the provision of information proves "impossible" or would require "disproportionate effort".

The Court's ruling

The CJEU held that the information of persons recorded by a body-worn camera is governed by Article 13 GDPR. Its reasoning was as follows:

II. Analysis

Legal dogmatism

One might point to the Court's dogmatism in the face of practical realities. The consequence of the ruling is that the data controller must provide all the mandatory information required by Article 13 at the very moment a bus inspector activates their camera, regardless of any context of tension or flagrant offence. There is thus a manifest asymmetry between the technical simplicity of video surveillance (pressing a button) and the legal burden of the immediate information obligation.

This situation is, however, a classic example of the dialectical relationship between the constraining framework created by law — which is by definition dogmatic and static — and life, which is in perpetual evolution. The purpose of law is to ensure order and stability in a changing society, in particular by protecting fundamental rights and freedoms. The rapid pace of technological evolution and its uses — in this case video surveillance — are a good example of the sometimes tense relationship between law and practical realities. This tension is exacerbated by the increasingly high normative density demanded today. It is nonetheless for the legislature to maintain the subtle balance between law and social reality, in the interest of society as a whole rather than sectoral interests, if it wishes to prevent law from becoming inoperative. It is for this reason that law resembles art more than science.

In this case, I do not see how the Court could have reached any conclusion other than the one it did, given the usual rules of interpretation applicable to EU law and, above all, given that what is at stake is the safeguarding of a fundamental right: the protection of individuals' private sphere.

The unlawfulness of pre-recording

The one-minute loop recording mechanism also raises a problem under Article 13.

When the inspector presses the record button, the device permanently saves the data collected during the preceding minute. During that elapsed minute, passengers were being filmed fleetingly without any simultaneous information having been able to be provided to them individually. By characterising the entire data processing as "direct collection", the Court renders the widespread practice of continuous pre-recording unlawful. It will be interesting to see how this point is resolved by supervisory authorities or courts.

On this point too, the Court's reasoning is understandable: the fact that surveillance is convenient and technically easy does not mean it can encroach upon a fundamental right — the protection of the privacy of the persons concerned.

This consideration underlies the refusal to apply Article 14, which provides for a maximum information period of one month as well as derogations from the obligation to inform (Art. 14(5)(b)).

III. Implications for Switzerland

Although delivered by an EU court, this ruling resonates strongly in Switzerland. By virtue of the principle of equivalent levels of protection and economic and cultural interconnection, CJEU case law largely dictates the future interpretation of Swiss data protection laws (FADP and cantonal laws) by Swiss authorities and courts.

The new FADP, in force since 1 September 2023, has strengthened the duty to inform in a manner similar to the GDPR. Article 19 FADP requires the data controller to provide the data subject with the necessary information (identity, purpose, recipients) at the time of data collection, whether the data are collected directly from the data subject or not.

However, unlike the GDPR, the FADP consolidates the duty to inform within a single article (Art. 19), while maintaining a crucial temporal distinction in its paragraph 5. Exceptions to the duty to inform are provided in Article 20 FADP, notably where the data have not been collected from the data subject and where providing the information proves "impossible" or requires "disproportionate effort".

The Federal Data Protection and Information Commissioner (FDPIC) and Swiss courts will almost certainly align with the CJEU's interpretation and hold that all video surveillance constitutes direct collection. Consequently, Swiss companies and public bodies will not be able to invoke the disproportionate effort exception under Art. 20(2) FADP to justify a lack of transparency in body-worn camera surveillance.

Practical consequences for transport companies and municipal/cantonal police forces

In Switzerland, body-worn cameras are becoming widespread (SBB, police forces in Lausanne, Zurich, Geneva, etc.). For such processing to be lawful under Swiss law, a multi-layered information approach is required:

Information obligations — multi-layered approach

  • Immediate visual information: The use of video surveillance equipment by inspectors or security staff must be easily visible and recognisable (e.g. a badge, a flashing indicator light, etc.).
  • Oral information: Internal directives must require staff to verbally announce the activation of the recording.
  • Detailed information by other means: E.g. an easily accessible QR code linking directly to the full privacy statement.

Applicability of the ruling to Swiss transport companies operating cross-border routes

Swiss transport or security companies operating on cross-border routes (rail or bus services to France, Germany, Italy or Austria) may be directly subject to the GDPR, to the extent that they target persons located on EU territory (Art. 3(2) GDPR) — for example by selling them tickets. For such entities, ruling C-422/24 may apply directly and bindingly, with the risk of extremely heavy financial penalties (incomparably higher than FADP fines) imposed by European supervisory authorities (CNIL, Garante, etc.). However, such applicability does not automatically follow from the cross-border nature of the route and must be analysed on a case-by-case basis.

Referenzurteil: Gerichtshof der Europäischen Union (EuGH), 18. Dezember 2025, C-422/24 (Storstockholms Lokaltrafik) — Erhebung personenbezogener Daten mittels Bodycam, Informationspflicht des Verantwortlichen; Art. 13 DSGVO

I. Sachverhalt und Verfahren

Die Aktiengesellschaft AB Storstockholms Lokaltrafik (SL), Betreiberin des öffentlichen Verkehrsnetzes von Stockholm, hat ihre Fahrkartenkontrolleure mit Bodycams ausgestattet, um Bedrohungen und Gewalt gegen Kontrolleure zu verhindern und zu dokumentieren sowie die Identität von Fahrgästen ohne gültige Fahrkarte bei der Kontrolle festzustellen, die daraufhin ein Bussgeld erhalten.

Die Kameras arbeiteten im Kreisspeichermodus und filmten und zeichneten den Ton kontinuierlich auf, löschten die Daten jedoch automatisch jede Minute. Wenn ein Kontrolleur jedoch eine Ordnungswidrigkeit feststellte oder einer Bedrohung ausgesetzt war, konnte er einen Knopf drücken. Die Kamera speicherte dann die laufende Aufnahme dauerhaft, einschliesslich der einminütigen „Voraufnahme" vor der Aktivierung.

Die schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten) verhängte gegen SL ein Bussgeld von 16 Millionen schwedischen Kronen (SEK) (rund 1,42 Millionen Euro), davon 4 Millionen SEK speziell für die Verletzung der Informationspflicht gemäss Art. 13 DSGVO.

Das Gericht erster Instanz bestätigte das Bussgeld, das Berufungsgericht hob es jedoch mit der Begründung auf, Artikel 13 sei nicht anwendbar. Der schwedische Oberste Verwaltungsgerichtshof legte dem Gerichtshof der Europäischen Union (EuGH) eine Vorlagefrage vor.

Die dem Gerichtshof vorgelegte Rechtsfrage

Das vorlegende Gericht bat den EuGH im Wesentlichen, folgende Qualifikationsfrage zu klären:

Welcher der Artikel 13 (direkte Erhebung bei der betroffenen Person) und 14 (indirekte Erhebung aus einer anderen Quelle) der DSGVO findet Anwendung, wenn personenbezogene Daten mittels einer Bodycam erfasst werden?

Diese beiden Artikel sehen unterschiedliche Modalitäten für die Erfüllung der Informationspflicht vor. Artikel 13 verlangt, dass der Verantwortliche zum Zeitpunkt der Datenerhebung eine umfassende Liste von Informationen (Identität, Zwecke, Rechte, Rechtsgrundlage) bereitstellt. Nach Artikel 14 hat der Verantwortliche maximal einen Monat Zeit, die betroffene Person zu informieren, und profitiert vor allem von Ausnahmen (Art. 14 Abs. 5 DSGVO), insbesondere wenn die Bereitstellung von Informationen „unmöglich" ist oder einen „unverhältnismässigen Aufwand" erfordern würde.

Die vom Gerichtshof gewählte Lösung

Der EuGH ist der Ansicht, dass die Information der von einer Bodycam-Aufnahme betroffenen Personen durch Artikel 13 DSGVO geregelt wird. Seine Erwägungen lauten wie folgt:

II. Analyse des Urteils

Rechtlicher Dogmatismus

Man könnte dem Gerichtshof einen gewissen Dogmatismus gegenüber den Realitäten der Praxis vorwerfen. Das Urteil hat zur Folge, dass der Verantwortliche alle gemäss Artikel 13 vorgeschriebenen Informationen in dem Moment bereitstellen muss, in dem der Busfahrkartenkontrolleur seine Kamera aktiviert — ungeachtet des Spannungskontexts oder des Vorliegens einer Ordnungswidrigkeit auf frischer Tat. Es ist eine offensichtliche Asymmetrie zwischen der technischen Einfachheit der Videoüberwachung (ein Knopfdruck) und der rechtlichen Schwere der sofortigen Informationspflicht festzustellen.

Diese Situation ist jedoch ein klassisches Beispiel für die dialektische Beziehung zwischen dem durch das Recht geschaffenen verbindlichen Rahmen — der per definitionem dogmatisch und statisch ist — und dem Leben, das sich in ständigem Wandel befindet. Das Recht soll Ordnung und Stabilität in einer sich verändernden Gesellschaft gewährleisten und dabei insbesondere die Grundrechte und Grundfreiheiten schützen. Die rasante technologische Entwicklung und ihre Anwendung — hier die Videoüberwachung — sind ein gutes Beispiel für die manchmal angespannte Beziehung zwischen Recht und Praxis. Diese Spannung wird durch die heutzutage immer höher geforderte Normdichte noch verschärft. Es obliegt jedoch dem Gesetzgeber, die subtile Balance zwischen Recht und sozialer Realität im Interesse der Gesellschaft als Ganzes und nicht sektoraler Interessen zu wahren, wenn er verhindern will, dass das Recht wirkungslos wird. Aus diesem Grund gleicht das Recht eher einer Kunst als einer Wissenschaft.

Im vorliegenden Fall sehe ich nicht, wie der Gerichtshof zu einem anderen Ergebnis als dem gewählten hätte gelangen können, angesichts der üblichen Auslegungsregeln des Unionsrechts und insbesondere angesichts der Tatsache, dass es um die Wahrung eines Grundrechts geht: den Schutz der Privatsphäre des Einzelnen.

Die Unzulässigkeit der Voraufnahme

Der einminütige Kreisspeichermechanismus wirft ebenfalls ein Problem unter dem Gesichtspunkt von Artikel 13 auf.

Wenn der Kontrolleur den Aufnahmeknopf drückt, speichert das Gerät die in der vorangegangenen Minute erfassten Daten dauerhaft. Während dieser vergangenen Minute wurden die Fahrgäste vorübergehend gefilmt, ohne dass ihnen gleichzeitig individuell Informationen hätten gegeben werden können. Indem der Gerichtshof die gesamte Datenverarbeitung als „direkte Erhebung" qualifiziert, erklärt er die verbreitete Praxis der kontinuierlichen Voraufnahme für rechtswidrig. Es wird interessant sein zu sehen, wie dieser Punkt von den Aufsichtsbehörden oder Gerichten gelöst werden wird.

Auch in diesem Punkt ist die Begründung des Gerichtshofs verständlich: Nur weil Überwachung bequem und technisch einfach ist, bedeutet das nicht, dass sie in ein Grundrecht — den Schutz der Privatsphäre der betroffenen Personen — eingreifen darf.

Eine solche Erwägung liegt der Ablehnung der Anwendung von Artikel 14 zugrunde, der eine maximale Informationsfrist von einem Monat sowie Ausnahmen von der Informationspflicht vorsieht (Art. 14 Abs. 5 lit. b).

III. Implikationen für die Schweiz

Obwohl von einem Gericht der Europäischen Union gefällt, hallt dieses Urteil in der Schweiz stark nach. Aufgrund des Grundsatzes der Gleichwertigkeit des Schutzniveaus und der wirtschaftlichen und kulturellen Verflechtung prägt die Rechtsprechung des EuGH massgeblich die künftige Auslegung der schweizerischen Datenschutzgesetze (DSG und kantonale Gesetze) durch Schweizer Behörden und Gerichte.

Das neue DSG, das seit dem 1. September 2023 in Kraft ist, hat die Informationspflicht ähnlich wie die DSGVO gestärkt. Artikel 19 DSG verpflichtet den Verantwortlichen, der betroffenen Person bei der Datenerhebung die notwendigen Informationen (Identität, Zweck, Empfänger) mitzuteilen, unabhängig davon, ob die Daten direkt bei ihr oder nicht erhoben werden.

Im Gegensatz zur DSGVO fasst das DSG die Informationspflicht jedoch in einem einzigen Artikel (Art. 19) zusammen, behält aber in seinem Absatz 5 eine entscheidende zeitliche Unterscheidung bei. Ausnahmen von der Informationspflicht sind in Artikel 20 DSG vorgesehen, insbesondere wenn die Daten nicht bei der betroffenen Person erhoben wurden und die Informationserteilung „unmöglich" ist oder einen „unverhältnismässigen Aufwand" erfordert.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und die Schweizer Gerichte werden sich zweifellos an der Auslegung des EuGH orientieren und festhalten, dass jede Videoüberwachung eine direkte Erhebung darstellt. Folglich werden Schweizer Unternehmen und öffentliche Körperschaften die Ausnahme des unverhältnismässigen Aufwands gemäss Art. 20 Abs. 2 DSG nicht geltend machen können, um mangelnde Transparenz bei der Bodycam-Überwachung zu rechtfertigen.

Praktische Konsequenzen für Transportunternehmen und Gemeindepolizeien/Kantonspolizeien

In der Schweiz werden Bodycams immer verbreiteter (SBB, Polizeien Lausanne, Zürich, Genf usw.). Damit diese Verarbeitungen nach Schweizer Recht rechtmässig sind, ist eine mehrstufige Information erforderlich:

Informationspflichten — mehrstufiger Ansatz

  • Unmittelbare visuelle Information: Der Einsatz von Videoüberwachungsgeräten durch Kontrolleure oder Sicherheitspersonal muss leicht sichtbar und erkennbar sein (z.B. Abzeichen, blinkende Kontrollleuchte usw.).
  • Mündliche Information: Interne Weisungen müssen die Mitarbeitenden verpflichten, die Aktivierung der Aufnahme mündlich anzukündigen.
  • Detaillierte Information über andere Mittel: Z.B. ein leicht zugänglicher QR-Code, der sofort zur vollständigen Datenschutzerklärung führt.

Anwendbarkeit des Urteils auf Schweizer Transportunternehmen, die grenzüberschreitende Linien betreiben

Schweizer Transport- oder Sicherheitsunternehmen, die grenzüberschreitende Linien betreiben (Bahn- oder Busverbindungen nach Frankreich, Deutschland, Italien oder Österreich), können direkt der DSGVO unterstehen, soweit sie Personen auf EU-Gebiet ansprechen (Art. 3 Abs. 2 DSGVO) — beispielsweise durch den Verkauf von Fahrkarten an diese. Für solche Unternehmen kann das Urteil C-422/24 direkt und verbindlich gelten, unter der Androhung extrem hoher Geldbussen (unvergleichbar mit DSG-Bussen) durch europäische Aufsichtsbehörden (CNIL, Garante usw.). Diese Anwendbarkeit ergibt sich jedoch nicht automatisch aus der grenzüberschreitenden Natur der Linie und muss von Fall zu Fall analysiert werden.