Aus den Entscheidungsgründen: 1. Der Antrag ist zulässig.
a) Der Verfügungskläger ist berechtigt, einen etwaigen Verstoß gegen die DSGVO im Wege der Verbandsklage geltend zu machen (§ 2 Abs. 1 i.V.m. § 2 Abs. 2 Nr. 13 UKlaG).
Ferner ist der Verfügungskläger gemäß § 2 Abs. 2 Nr. 56 UKlaG grundsätzlich berechtigt, einen etwaigen Verstoß gegen Vorschriften der Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte; im Folgenden: DMA) im Wege der Verbandsklage geltend zu machen (vgl. Baetge in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 78; Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 564).
Anhaltspunkte dafür, dass eine private Rechtsdurchsetzung hinter einer Durchsetzung der Kommission zurücktreten müsste, bestehen – anders als die Verfügungsbeklagte anführt – insoweit nicht.
In Art. 42 DMA wird unter der Überschrift „Verbandsklagen“ für Zuwiderhandlungen von Torwächtern ausdrücklich auf Verbandsklagen verwiesen und die Verbandsklagerichtlinie (Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates) für anwendbar erklärt. Ziel war es insoweit, dass Verbraucher ihre Rechte im Zusammenhang mit den gemäß des DMA für Torwächter geltenden Verpflichtungen im Wege von Verbandsklagen nach der Verbandsklagerichtlinie durchsetzen können (Erwägungsgrund 104 des DMA; vgl. auch: Köhler u.a., UWG, 2025, § 2 UKlaG Rn. 13; Baetge in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 78; Brüggemann, WuW 2025, 183, 184 f.; Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 274). Im Anhang der Verbandsklagerichtlinie wurde entsprechend der Anordnung in Art. 52 DMA korrespondierend auf den DMA verwiesen. Mit der Aufzählung in § 2 Abs. 2 UKlaG hat der (deutsche) Gesetzgeber das Ziel verfolgt, zur Umsetzung der Verbandsklagerichtlinie alle in deren Anhang aufgeführten EU-Verordnungen und die Vorschriften zur Umsetzung der dort aufgeführten Richtlinienbestimmungen zu erfassen, soweit nicht § 1 UKlaG oder § 8 Absatz 1 UWG einschlägig sind (BT-Drucks 145/23, S. 125).
Ob die Vorschrift des Art. 5 Abs. 2 DMA jedenfalls im konkreten Fall unmittelbare Rechte für Endnutzer begründen kann, die sich darauf in privater Rechtsdurchsetzung berufen können (vgl. hierzu: Brüggemann, WuW 2025, 183, 186 sowie 187 f.; Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 273), lässt der Senat offen, da die von der Verfügungsbeklagten angekündigte Datenverarbeitung aus den unter Ziffer 2 Buchstabe a genannten Gründen nicht gegen Art. 5 Abs. 2 DMA verstößt.
b) Mit der Bezugnahme des § 5 UKlaG auf § 12 Abs. 1 UWG ist klargestellt, dass einstweiliger Rechtsschutz im Anwendungsbereich des Unterlassungsklagengesetzes möglich ist (vgl. B., in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, Vor § 935 Rn. 57). Damit ist auch vorbeugender Rechtsschutz möglich (vgl. B., in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, Vor § 935 Rn. 32).
c) Das Oberlandesgericht Köln ist als Gericht der Hauptsache auch für den Eilrechtsschutz zuständig (§ 937 ZPO, § 5 UKlaG).
aa) Die internationale Zuständigkeit deutscher Gerichte in der Hauptsache ergibt sich im Hinblick auf einen Verstoß gegen die DSGVO aus Art. 79 Abs. 2 DSGVO. Der Verfügungskläger macht als qualifizierte Einrichtung im Sinne des Art. 80 Abs. 2 DSGVO die Verletzung von Rechten betroffener Personen im Sinne von Art. 4 Nr.1 DSGVO mit gewöhnlichem Aufenthalt in Deutschland geltend (vgl. BGH, Urteil vom 19. November 2024 - VI ZR 10/24 -, juris, Rn. 20).
bb) Im Hinblick auf einen etwaigen Verstoß gegen Art. 5 Abs. 2 DMA ergibt sich die internationale Zuständigkeit deutscher Gerichte in der Hauptsache aus Art. 7 Nr. 2 EUGVO, da die beanstandete Datenverarbeitung bestimmungsgemäß Daten von Nutzern in Deutschland betrifft (vgl. D. Baetge, in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 113; A. Baetge in: Herberger u.a., jurisPK-BGB, 12.09.2023, § 6 UKlaG Rn. 6).
cc) Das Oberlandesgericht Köln ist nach § 6 Abs. 1 S. 2 Nr. 2 UKlaG in der Hauptsache sachlich und örtlich zuständig. Da unbestritten geblieben ist, dass die Verfügungsbeklagte über keine gewerbliche Niederlassung bzw. keinen Gesellschaftssitz in Deutschland verfügt und ein Verstoß durch die beabsichtigte Datenverarbeitung jedenfalls auch im Bezirk des Oberlandesgerichts Köln eintreten würde, ist eine Zuständigkeit des Gerichts gegeben.
2. Der Antrag ist nicht begründet.
Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.
a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.
aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.
bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).
Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.
Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).
Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.
Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:
Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.
Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.
b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.
aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).
Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).
bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).
cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.
aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).
bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.
Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.
Das LG Köln hat entschieden, dass ein Arbeitgeber datenschutzrechtlich verpflichtet sein kann, einem Personalvermittler Auskunft über die Gehaltsbestandteile eines vermittelten Arbeitnehmers zu erteilen. Dies gilt selbst dann, wenn der Arbeitnehmer der Datenweitergabe ausdrücklich widersprochen hat. Das Gericht führt aus, dass das berechtigte Interesse des Vermittlers an der Berechnung seines Honorars das allgemeine Geheimhaltungsinteresse des Arbeitnehmers überwiegt.
Aus den Entscheidungsgründen: I. Die Stufenklage ist zulässig.
Der geltend gemachte Anspruch auf Auskunft über sämtliche Gehaltsbestandteile des Zeugen H. ist zulässiger Gegenstand der ersten Stufe einer Stufenklage nach § 254 ZPO.
Bei einer Stufenklage wird ein der Höhe oder dem Gegenstand nach noch unbekannter und deshalb nicht iSv § 253 II Nr. 2 ZPO bestimmbarer Leistungsanspruch mit den zu seiner Konkretisierung erforderlichen Hilfsansprüchen (auf Auskunft und gegebenenfalls Richtigkeitsversicherung) verbunden. Die Stufenklage ist nicht auf die in § 254 ZPO genannten Gegenstände beschränkt. Sie kann auch dann erhoben werden, wenn eine andere Form der geordneten Auskunft über Tatsachen begehrt wird, die für den Kläger einen gesetzlichen oder vertraglichen Anspruch begründen (NZA 2022, 261 Rn. 24, 25, beck-online).
Die hiesige Klägerin begründet ihren Auskunftsanspruch zulässigerweise damit, dass sich die mit der Beklagten vereinbarte Höhe ihres Honorars für die Vermittlung des Zeugen H. gem. § 3 des zwischen den Parteien geschlossenen Vertrages nach einem Prozentsatz des Bruttojahreseinkommens des Zeugen H. bestimmt. Zur Berechnung ihres Anspruchs ist die Klägerin daher auf die begehrte Auskunft angewiesen, über die sie derzeit noch nicht verfügt.
Der Antrag ist auch hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO, da für die Beklagte ohne Weiteres erkennbar ist, über welche Gehaltsbestandteile sie die begehrte Auskunft erteilen soll.
II. Die Stufenklage ist auf der ersten Stufe begründet.
Die Klägerin hat gegen die Beklagte einen Anspruch auf Erteilung der beantragten Auskunft über das Bruttojahreseinkommen des Zeugen H. einschließlich aller Gehaltsbestandteile aus § 3 i.V.m. § 6 des zwischen den Parteien geschlossenen Vertrages vom 05./08.05.0000 i.V.m. § 242 BGB.
Dass der Vertrag wirksam geschlossen wurde und die Klägerin die Vermittlungstätigkeit erbracht hat, die den Honoraranspruch auslöst, ist zwischen den Parteien unstreitig.
An der Wirksamkeit der in § 6 des Vertrages vereinbarten Auskunftspflicht der Beklagten bestehen ebenfalls keine Zweifel. Eine derartige Vereinbarung ist nicht deshalb gem. §§ 134 bzw. 138 BGB gesetzes- oder sittenwidrig, weil die Beklagte sich als Arbeitgeberin verpflichtet, Gehaltsdaten ihres Arbeitnehmers der Klägerin zu offenbaren. Wie der Fall der Vermittlung einer anderen Arbeitnehmerin an die Beklagte zeigt, haben Arbeitnehmer häufig keine Bedenken gegen die entsprechende Weitergabe ihrer Daten an die Klägerin als Personalvermittlerin. Auch der BGH geht davon aus, dass eine Honorarabrede, die sich am Bruttojahresgehalt des vermittelten Arbeitnehmers orientiert, in der Arbeitsvermittlungsbranche branchenüblich ist. So hat er im Fall eines im Wege der Arbeitnehmerüberlassung vermittelten Mitarbeiters in ein festes Arbeitsverhältnis hinsichtlich des Anspruchs auf Vermittlungshonorar Folgendes ausgeführt: „Für eine Anknüpfung des Vermittlungsentgelts an die Verleihgebühr spricht auch nicht, dass diese den Vertragsparteien geläufig ist, während der Verleiher den Arbeitsvertrag zwischen dem Entleiher und dem (früheren) Leiharbeitnehmer naturgemäß nicht kennt, er mithin auf eine Information des (vormaligen) Entleihers angewiesen ist. Etwaigen damit verbundenen Schwierigkeiten ließe sich jedenfalls durch eine vertraglich vereinbarte Pflicht des Entleihers oder des Arbeitnehmers zur Offenbarung begegnen“ (BGH Urt. v. 10.3.2022 – III ZR 51/21, BeckRS 2022, 8082 Rn. 25, beck-online). Er erachtet somit das Bruttoeinkommen des Arbeitnehmers als adäquate Bemessungsgröße für die Vergütung des Vermittlers. Es ist nicht ersichtlich, warum außerhalb des Bereichs der Arbeitnehmerüberlassung für die Vermittlung von Arbeitnehmern durch Arbeitsvermittler bzw. Headhunter etwas Anderes gelten sollte. Im Hinblick auf den Datenschutz haben Leiharbeitnehmer dieselben Rechte wie jeder andere Arbeitnehmer auch.
Die Erteilung der Auskunft ist der Beklagten auch nicht gem. § 275 Abs. 1 BGB rechtlich unmöglich. Rechtliche Unmöglichkeit liegt vor, wenn der geschuldete Erfolg aus Rechtsgründen nicht herbeigeführt werden kann oder nicht herbeigeführt werden darf.
Eine rechtliche Unmöglichkeit der Auskunftserteilung ergibt sich bei einem Widerspruch des Arbeitnehmers gegen die Datenweitergabe nicht ohne Weiteres aus § 26 BDSG, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Im Zusammenspiel zwischen dem BDSG und der DS-GVO sind auch die in letzterer geregelten Erlaubnistatbestände zu beachten.
Als Erlaubnistatbestände kommen – neben der Einwilligung und der Betriebsvereinbarung – vor allem Art. 6 Abs. 1 lit. b, zur Aufdeckung einer Straftat § 26 Abs. 1 S. 2 sowie, für Zwecke außerhalb des Beschäftigungsverhältnisses, Art. 6 Abs. 1 lit. b, f DS-GVO in Betracht (BeckOK DatenschutzR/Riesenhuber, 53. Ed. 1.8.2025, BDSG § 26 Rn. 179, beck-online).
Die Erlaubnis der Beklagten zur Erteilung der Auskunft trotz der Untersagung durch den Zeugen H. ergibt sich aus Art. 6 Abs. 1 S. 1 lit f DS-GVO. Nach dieser Vorschrift ist die Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Art. 21 DS-GVO sieht ebenfalls vor, dass bei einem Widerspruch der betroffenen Person gegen die Datenverarbeitung eine weitere Verarbeitung zu unterlassen ist, es sei denn, es liegen zwingende schutzwürdige Gründe für die Verarbeitung vor, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Die insoweit vorzunehmende Abwägung führt hier zu dem Ergebnis, dass die Interessen der Klägerin an dem Erhalt der Gehaltsdaten die Interessen des Zeugen H. an deren Geheimhaltung gegenüber der Klägerin überwiegen.
Die Datenverarbeitung in Form der Weitergabe der Daten an die Klägerin dient hier der Klägerin als Drittem zur Wahrung ihrer berechtigten Interessen und zur Geltendmachung von Ansprüchen. Denn die Klägerin hat gegen die Beklagte grundsätzlich einen Anspruch auf Honorar und kann dessen Höhe nur anhand der Gehaltsdaten des Zeugen berechnen. Die Geltendmachung und Beitreibung von Forderungen ist ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit.f DS-GVO.
Da der Klägerin die Gehaltsdaten zur Berechnung ihres Honorars nicht vorliegen, ist die Weitergabe der Daten an sie auch erforderlich. Sofern die Beklagte ausführt, dass die Klägerin auch ein anderes Honorarmodell hätte wählen können, lässt dies die Erforderlichkeit der Datenübermittlung nicht entfallen, da der Vertrag mit eben diesem, auf die Gehaltshöhe bezogenen Honorarmodell geschlossen wurde und die Klägerin sich nicht auf eine Neuverhandlung des bereits abgeschlossenen Vertrags einlassen muss, die für sie einem Teilverzicht auf ihren Anspruch gleichkäme. Hinzu kommt, dass – wie bereits ausgeführt – ein nach dem Gehalt des vermittelten Arbeitnehmers berechnetes Honorar in der Rechtsprechung anerkannt und zudem branchenüblich ist.
Im Rahmen der Interessenabwägung spielen u.a. der mit der Datenverarbeitung verfolgte Zweck und die dahinter stehenden Interessen, Art, Inhalt und Aussagekraft der Daten sowie die Folgen derer Verarbeitung und (potenziellen) Verwendung und die davon betroffenen oder sonst involvierten Interessen eine Rolle. Mit Blick auf die Kriterien für die Abwägung lassen sich der DS-GVO sodann verschiedene Anhaltspunkte entnehmen. Zu berücksichtigen sind demnach insbesondere die vernünftige Erwartungshaltung der betroffenen Person (reasonable expectations) bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung (BeckOK DatenschutzR/Albers/Veit, 53. Ed. 1.8.2025, DS-GVO Art. 6 Rn. 72, beck-online).
Der Zeuge H. hat im Rahmen seiner Vernehmung angegeben, dass er die Weitergabe seiner Gehaltsdaten aus grundsätzlichen Erwägungen nicht wünscht. Ein daneben bestehendes spezielles Geheimhaltungsinteresse wie beispielsweise die Sorge vor behördlichen Maßnahmen oder vor Streitigkeiten mit Arbeitskollegen hat er verneint. Er hat vielmehr angegeben, dass er generell nicht wolle, dass jemand sein Gehalt kenne und dass er dies auch beispielsweise seinen Geschwistern nicht nennen würde, sondern allenfalls seinem engsten Freund. Konkrete Befürchtungen, dass sein Gehalt veröffentlicht werden könnte, hat er ebenfalls verneint.
Dieses allgemeine Geheimhaltungsinteresse des Zeugen H. muss im Rahmen der Abwägung nach Ansicht der Kammer vorliegend gegenüber dem Interesse der Klägerin am Erhalt der Gehaltsdaten zurückstehen.
Dabei ist zu berücksichtigen, dass der Zeuge H. der Klägerin seine konkreten Gehaltsvorstellungen bereits von sich aus mitgeteilt hatte. Dass er ein Gehalt von 110.000 € anstrebte, hatte er der Klägerin ebenso mitgeteilt wie seinen Wunsch nach einem Dienstwagen. Hinzu kommt, dass – auch wenn der Zeuge die konkrete Vereinbarung zwischen der Klägerin und der Beklagten möglicherweise nicht kannte – ihm aufgrund der Branchenüblichkeit der Bemessung eines Vermittlerhonorars nach dem Gehalt des vermittelten Arbeitnehmers bewusst sein musste, dass die Klägerin die konkreten Gehaltsdaten erfragen und benötigen würde. Auch in anderen Bereichen der Vermittlung wie z.B. bei Immobilien, Fahrzeugen, Krediten o.ä. ist eine prozentual an dem vermittelten Gegenstand bemessene Vergütung üblich.
Hinzu kommt, dass die Klägerin auch nicht die derzeit aktuellen Gehaltsdaten benötigt, sondern nur die aus dem ersten Jahr der Beschäftigung, das bereits abgelaufen ist, also nur Daten, die die Vergangenheit betreffen.
Des Weiteren ist die Klägerin vertraglich ebenfalls zur Verschwiegenheit verpflichtet, wie sich aus § 2 des Vermittlungsvertrags sowie aus § 1.4 der AGB der Klägerin ergibt. Diese Verschwiegenheitspflicht geht auch ausdrücklich über die Beendigung des Vermittlungsvertragsverhältnisses hinaus. Eine weitere Verbreitung oder gar deren öffentliche Bekanntgabe ist damit äußerst unwahrscheinlich. Dementsprechend hat der Zeuge H. nach eigenem Bekunden auch keine konkrete Befürchtung in dieser Richtung, sondern allenfalls ein allgemeines Unbehagen derart, dass man ja nie wisse, was mit den eigenen Daten passiere. Eine Veröffentlichung der der Klägerin bereits vorliegenden Daten des zeugen wie z.B. dessen Gehaltsvorstellungen ist auch nicht erfolgt, so dass es auch keine Anhaltspunkte für in der Zukunft liegende Datenverstöße der Klägerin gibt.
Im Übrigen kann dem Datenschutzinteresse des Zeugen auch dadurch Rechnung getragen werden, dass die Klägerin dessen Gehaltsdaten unmittelbar nach Berechnung und gerichtlicher Geltendmachung ihres Honoraranspruchs löscht.
Aus den vorgenannten Gründen kommt auch ein Leistungsverweigerungsrecht gem. § 275 Abs. 2 BGB nicht in Betracht.
Ein Leistungsverweigerungsrecht der Beklagten gem. § 275 Abs. 3 BGB besteht schon deshalb nicht, weil es sich bei der Auskunftserteilung nicht um eine persönlich zu erbringende Leistung handelt.
Weitere Gründe, die der Erteilung der Auskunft entgegenstehen könnten, vermag die Kammer nicht zu erkennen.
Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß vorliegt, wenn ein Reiseveranstalter Videos von Badegästen ohne deren Einwilligung zu Werbezwecken bei Facebook veröffentlicht. Insbesondere kann sich der Reiseveranstalter nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen.
Aus den Entscheidungsgründen: Auch in materieller Hinsicht begegnet der angegriffene Bescheid hinsichtlich Ziffer I. keinen rechtlichen Bedenken. Beurteilungszeitpunkt für die Rechtmäßigkeit der angefochtenen Anordnung ist die Sach- und Rechtslage, die zum Zeitpunkt der letzten Behördenentscheidung am 29. Oktober 2025 galt.
Vgl. BVerwG, Urteil vom 29. Januar 2025 - 6 C 3.23 -, juris Rn. 21.
Dies folgt daraus, dass für die Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht ein Ermessensspielraum für das daran angeknüpfte Vorgehen besteht.
Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung bezieht sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergibt. Die Verwaltungsgerichte prüfen diese Auswahlentscheidungen nach Maßgabe des § 114 Satz 1 VwGO. Insbesondere sind sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließt es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen einbeziehen konnte, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorlagen.
Vgl. BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11.
Nach dem Regelungsgehalt des Art. 58 Abs. 2 lit. d DSGVO ist kein anderer Beurteilungszeitpunkt geboten.
Vgl. VG Bremen, Urteil vom 23. April 2025 - 4 K 2873/23 -, juris Rn. 37 unter Bezugnahme auf BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11 sowie Rn. 38 f. (dort noch zu § 38 Abs. 5 Satz 1 des Bundesdatenschutzgesetzes a.F.).
Durchgreifende Bedenken gegen die Bestimmtheit im Sinne von § 37 Abs. 1 VwVfG NRW der in Ziffer I. des Bescheides enthaltenen Anordnung bestehen nicht.
Danach verlangt eine inhaltliche Bestimmtheit, dass der Inhalt der von der Behörde getroffenen Regelung für die Beteiligten, insbesondere für den oder die Adressaten des Verwaltungsakts, so vollständig, klar und unzweideutig erkennbar ist, dass sie ihr Verhalten danach richten können.
Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 25; Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 16 unter Verweis auf VG Ansbach, Urteil vom 12. August 2014 - AN 4 K 13.01634 -, SVR 2015, 235, 239.
Die Erkennbarkeit des Inhalts der Regelung ist aufgrund einer Auslegung des Verwaltungsakts entsprechend §§ 133, 157 des Bürgerlichen Gesetzbuchs ausgehend vom Wortlaut unter Berücksichtigung der weiteren Umstände des Einzelfalls und nach Treu und Glauben zu ermitteln. Dabei ist nicht erforderlich, dass sich der Inhalt des Verwaltungsakts allein aus dem verfügenden Teil präzise ergibt; vielmehr sind die den Beteiligten bekannten oder ohne Weiteres erkennbaren Umstände sowie vor allem die dem Verwaltungsakt beigefügte Begründung zur Auslegung des Regelungsinhalts heranzuziehen.
Zulässig sind auch Bezugnahmen im Verwaltungsakt auf gegenüber den Beteiligten früher ergangene Verwaltungsakte, ihnen bekannte und ihnen vorliegende oder jederzeit zugänglich Unterlagen, Pläne, technische Regelwerke usw.
Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.
Diesen Anforderungen genügt der angegriffene Bescheid. Dies gilt zunächst hinsichtlich des Einwandes, der Antragstellerin werde durch die Anordnung, sämtliche auf der Facebook-Plattform „E.“ veröffentlichten Filmaufnahmen so zu verändern, „[…] dass eine Identifizierung von Personen […] nicht möglich ist, […]“, unzulässigerweise die Auswahl aufgegeben. Die Antragsgegnerin hat mit Verwendung des Einschubes „[…] unter Berücksichtigung aller Mittel, die von Ihnen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, […]“ das Ziel der geforderten Handlung hinreichend bestimmt angegeben. Mit dieser Konkretisierung kann die Antragstellerin ohne Weiteres beurteilen, in welchen Fällen sie eine Veränderung eines Videos vorzunehmen hat. Die getroffene Regelung berücksichtigt, dass die Frage, wann eine Person identifizierbar ist, stets aus verschiedenen Wahrnehmungsperspektiven erfolgen kann. Damit übereinstimmend stellt Erwägungsgrund 26 Satz 3 zur DSGVO darauf ab, dass zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Nach Erwägungsgrund 26 Satz 4 zur DSGVO sollten bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Soweit die Antragstellerin vorträgt, damit werde ihr in unzulässiger Weise eine Auswahlentscheidung übertragen, betrifft dies nicht die Frage der Bestimmtheit, sondern der Verhältnismäßigkeit (dazu sogleich).
Für die Antragstellerin ist auch ohne weiteres erkennbar, dass sie Adressatin des Bescheides und insbesondere der in Ziffer I. enthaltenen Anweisung ist. Der angegriffene Bescheid ist ausweislich des Adressfeldes an die „L. GmbH, z. Hd. des Geschäftsführers, H.-straße 0, N01 P.“ gerichtet. Daraus ergibt sich als Inhaltsadressatin die Antragstellerin als juristische Person des Privatrechts. Damit übereinstimmend heißt es in der Einleitung des Schreibens „Sehr geehrter Herr Z., gegenüber der L. GmbH […] ergeht folgende Anweisung […]“. Die Formulierung „von Ihnen oder einer anderen Person“ bezieht sich allein auf die Mittel, die von dem Verantwortlichen oder einer anderen Person wahrscheinlich zur Identifizierung genutzt werden und nimmt damit auf Erwägungsgrund 26 Satz 3 zur DSGVO Bezug. Die Antragsgegnerin hat in diesem Zusammenhang dargelegt, dass im vorliegenden Fall einer weltweiten Veröffentlichung hinsichtlich der Möglichkeiten zur Identifizierung etwaiges Zusatzwissen dritter Personen zu berücksichtigen sei. Es ist auch nicht Aufgabe der Antragsgegnerin, die Mittel zur Identifizierung abschließend zu eruieren und sodann gegenüber der Antragstellerin zu benennen. Vielmehr ist die Antragstellerin als Verantwortliche nach Art. 5 Abs. 2 DSGVO für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss dies auch nachweisen können. Hat die Antragstellerin über die Veröffentlichung der Videos einem weltweit bestehenden und damit potentiell unbegrenzten Personenkreis die Möglichkeit der Identifizierung von betroffenen Personen eröffnet, ist es auch ihre Aufgabe festzustellen, ob eine natürliche Person identifizierbar ist.
Schließlich steht der Bestimmtheit der Anordnung in Ziffer I. nicht entgegen, dass sich die Regelung auf sämtliche veröffentlichte Videos auf der Facebook-Internetseite der Antragstellerin bezieht, wobei das streitgegenständliche Video nicht mehr vorhanden ist und auch alle weiteren Live-Videos infolge einer geänderten Facebook-Policy nach 30 Tagen gelöscht bzw. heruntergeladen werden. Denn die Formulierung „sämtliche“ in Ziffer I. bezieht sich auf eine genau bestimmbare Gruppe von Videos, nämlich die bis zum Zeitpunkt des Bescheiderlasses veröffentlichten Aufnahmen und nicht etwa die noch zu veröffentlichenden bzw. von der Antragstellerin beabsichtigten Videos. Letztere wären von der Antragsgegnerin ggf. in einer gesonderten Anweisung zu erfassen. Auch die in Ziffer I. des Bescheides enthaltene Frist ändert nichts an der Bestimmtheit der Regelung, da es sich hierbei lediglich um die Umsetzungsfrist für die von der Antragsgegnerin angeordnete Maßnahme handelt.
Auch im Übrigen begegnet Ziffer I. des angegriffenen Bescheids keinen materiellen Bedenken. Die Anordnung lässt sich auf Art. 58 Abs. 2 lit. d DSGVO stützen, wonach jede Aufsichtsbehörde - und damit auch die Antragsgegnerin - den Verantwortlichen oder den Auftragsverarbeiter anweisen kann, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen. Voraussetzung für die Ausübung von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO ist, dass ein Datenschutzverstoß vorliegt oder unmittelbar bevorsteht.
Dies ist hier der Fall. Dadurch, dass die Antragstellerin auf ihrer Facebook-Internetseite „E.“ Filmaufnahmen wie das Video „N.“ veröffentlicht hat, hat sie gegen Art. 5 Abs. 1 lit. a DSGVO verstoßen. Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Diesen Anforderungen wird die Tätigkeit der Antragstellerin auf ihrer Facebook-Seite nicht gerecht.
Die Antragstellerin kann sich nicht auf eine Datenverarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO berufen. Eine Einwilligung der betroffenen Personen im Sinne von Art. 6 Abs. 1 lit. a DSGVO liegt nicht vor. Die Antragstellerin kann sich auch nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Diese Voraussetzungen sind nicht erfüllt. Ob eine Verarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 lit. f DSGVO vorliegt, erfolgt anhand einer dreistufigen Prüfung.
Vgl. Datenschutzkonferenz, Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021, Stand: 20. Dezember 2021, S. 31; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146, m.w.N.
Auf der ersten Stufe ist zu klären, ob zum Zeitpunkt der Verarbeitung überhaupt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Auf einer zweiten Stufe geht es sodann um die Frage der Erforderlichkeit der Datenverarbeitung zur Verwirklichung dieses berechtigten Interesses und auf einer dritten Stufe dürfen die Grundrechte und Grundfreiheiten der von der Datenverarbeitung betroffenen Person nicht das wahrgenommene berechtigte Interesse überwiegen.
Die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO verlangt eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten und muss auf den konkreten Einzelfall bezogen sein.
Als Vermittlerin von Kreuzfahrten verschiedener Reedereien und damit verbundener Reiseleistungen kann sich die Antragstellerin auf ein wirtschaftliches Interesse berufen.
Die Veröffentlichung eines Videos, auf dem viele der anwesenden Personen ohne weiteres erkennbar sind, ist zur Wahrung der wirtschaftlichen Interessen der Antragstellerin aber nicht erforderlich. Voraussetzung einer Erforderlichkeit ist, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen.
Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 40; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.
h der Rechtsprechung des EuGH muss eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO innerhalb der Grenzen dessen erfolgen, was zur Verwirklichung der berechtigten Interessen „unbedingt notwendig“ ist.
Entsprechend kann die Erforderlichkeit nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt.
Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 41; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.
Danach hat die Antragstellerin nicht dargelegt, warum in den von ihr veröffentlichten Filmaufnahmen unbeteiligte Personen zur Verfolgung des genannten Werbezwecks identifizierbar bleiben müssen. Sie schildern weder ihre Reiseeindrücke noch tragen sie in sonstiger Weise zum Inhalt des Videos bei.
Darüber hinaus ergibt eine Abwägung der betroffenen Interessen auf der dritten Stufe, dass die von der Antragstellerin verfolgten Zwecke hinter die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten gewährleisten, zurücktreten. Dabei ist zu berücksichtigen, dass im Rahmen der abschließenden Interessenabwägung grundsätzlich von einer Schutzwürdigkeit der Betroffeneninteressen auszugehen ist. Sinn und Zweck des Rechts auf informationelle Selbstbestimmung ist es gerade, den Einzelnen vor den Registrierungs- und Verfügungsmöglichkeiten automatisierter Datenverarbeitung zu schützen.
Vgl. bereits BGH, Urteil vom 17. Dezember 1985 - VI ZR 244/84 -, NJW 1986, 2505, 2506; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 148.
Dabei folgt aus der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass der Verantwortliche - hier die Antragstellerin - die Darlegungslast dafür trägt, dass die Interessen der betroffenen Person nicht überwiegen.
Vorliegend überwiegen die Betroffeneninteressen. Die aufgezeichneten Personen befinden sich im Urlaub und damit in ihrer Freizeit. Dieser Umstand ist besonders schutzbedürftig, da Menschen nicht davon ausgehen müssen, dass sie ohne ihre Kenntnis und Einwilligung zu Werbezwecken aufgenommen werden. Insoweit folgt aus Erwägungsgrund 47 Satz 4 zur DSGVO, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen können.
Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 152.
Ebenso überwiegen die Interessen der betroffenen Person auch dann, wenn zwischen dieser und dem Verantwortlichen keine vertraglichen oder geschäftlichen Verbindungen bestehen, die die konkrete Datenverarbeitung vernünftigerweise absehbar machen.
Besonderes Gewicht kommt hier dem Umstand zu, dass ein auf Facebook veröffentlichtes Video weltweit potentiell Millionen Inhabern eines Accounts zugänglich ist. Auch die von der Antragstellerin dargelegte Lösch-Policy von Facebook ändert daran nichts, da auf Facebook veröffentlichte Filmaufnahmen jedenfalls für eine gewisse Zeit einsehbar sind und in dieser Zeit auch Inhalte extrahiert bzw. heruntergeladen werden können. Dass die Aufnahmen auch von solchen Örtlichkeiten stammen, an denen sich sogenannte Influencer aufhalten und Filmaufnahmen produzieren, führt ebenfalls zu keinem anderen Ergebnis. Allein mit dem Besuch einer solchen Örtlichkeit liegt noch kein Einverständnis in die Datenverarbeitung der jeweils aufgezeichneten Person vor. Auch begeben sich Personen nicht des durch die DSGVO gewährleisteten Schutzes, sobald sie solche Örtlichkeiten aufsuchen. Hinzu kommt, dass diese Personen in keiner geschäftlichen oder sonstigen Beziehung zur Antragstellerin stehen.
Ohne Bedeutung ist auch, dass sich die Antragstellerin auf § 23 Abs. 1 Nr. 2 KUG bzw. eine Wertung im Sinne dieser Vorschrift beruft, wonach ohne die nach § 22 KUG erforderliche Einwilligung Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, verbreitet und zur Schau gestellt werden dürfen. Denn das Kunsturhebergesetz findet in der vorliegenden Konstellation bereits keine Anwendung.
Nach Art. 85 Abs. 2 DSGVO sehen die Mitgliedstaaten für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen oder Ausnahmen unter anderem von Kapitel II (Grundsätze) vor, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DSGVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DSGVO durch nationale Regelungen wie etwa das Kunsturhebergesetz ausgenommen worden.
Vgl. BGH, Urteil vom 27. Mai 2025 - VI ZR 337/22 -, juris Rn. 12, m.w.N.
Eine Zweckbestimmung im vorgenannten Sinne ist nach der Rechtsprechung des EuGH nicht allein deshalb ausgeschlossen, weil damit zugleich auch eine Gewinnerzielungsabsicht verfolgt wird.
Allerdings liegen journalistische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO nur dann vor, wenn die Verarbeitung im Zusammenhang mit der journalistisch-redaktionellen und damit meinungsrelevanten Tätigkeit eines Medienredakteurs steht.
Demgegenüber enthält Art. 85 Abs. 2 DSGVO kein allgemeines Meinungsprivileg und findet somit nicht auf alle Meinungsäußerungen im Internet Anwendung. Auch ist Journalismus nicht stets allein schon deshalb anzunehmen, weil sich jemand mit Informationen an die Öffentlichkeit wendet.
Danach handelt es sich bei den von der Antragstellerin auf ihrer Facebook-Internetseite veröffentlichten Filmaufnahmen nicht um Journalismus im Sinne von Art. 85 Abs. 2 DSGVO. Das zwischenzeitlich von ihr entfernte Video „N.“ diente ausschließlich Werbezwecken. Die Antragstellerin vermittelt nach eigenen Angaben Kreuzfahrten verschiedener Reedereien und damit verbundene Reiseleistungen. Auf ihrer Facebook-Internetseite „E.“ heißt es in der Rubrik „Beiträge“ unter der Überschrift „Intro“ etwa: „[…] Entdecke die ganze Welt des Reisens mit E.. Wir sind 365 Tage im Jahr persönlich für dich da […]“.
Vgl. https://www.facebook..[..........]_DE (zuletzt aufgerufen am 5. März 2026).
Unter der Rubrik „Info“ und „Seitentransparenz“ lässt sich über die Schaltfläche „Zur Werbebibliothek“ eine Aufstellung diverser aktiver Werbeanzeigen der Antragstellerin abrufen.
Vgl. https://www.facebook....[.........] (zuletzt aufgerufen am 2. März 2026).
Dass die Antragsgegnerin von ihrer Abhilfebefugnis nach Art. 58 Abs. 2 lit. d DSGVO Gebrauch gemacht hat, begegnet keinen rechtlichen Bedenken. Die Entscheidung für die geeignete Maßnahme im Sinne von Art. 58 Abs. 2 DSGVO liegt im pflichtgemäßen Ermessen der Behörde, wobei die Sachlage im Einzelfall zu berücksichtigen ist.
Die in Ziffer I. des Bescheides enthaltene Anordnung ist ermessensgerecht und verhältnismäßig. Ermessensfehler der Antragsgegnerin liegen nicht vor. Anhaltspunkte dafür, dass sich die Antragsgegnerin durch die Petentin des Beschwerdeverfahrens hat instrumentalisieren lassen, sind nicht ansatzweise ersichtlich. Es gehört im Gegenteil zu den Aufgaben der Aufsichtsbehörde, sich mit Beschwerden einer betroffenen Person zu befassen (Art. 58 Abs. 1 lit. f DSGVO).
Die von der Antragsgegnerin gewählte Abhilfemaßnahme nach Art 58 Abs. 2 lit. d DSGVO ist geeignet, erforderlich und angemessen. Es ist insbesondere nicht unverhältnismäßig, dass sich die Anweisung auf sämtliche veröffentlichte Filmaufnahmen auf der Facebook-Internetseite bezieht, auch wenn die Antragsgegnerin nur einen Datenschutzverstoß bei einem Verarbeitungsvorgang festgestellt hat.
Die in Art. 58 Abs. 2 lit. d DSGVO enthaltene grundlegende Anweisungsbefugnis der Aufsichtsbehörde, die alle Verarbeitungsvorgänge und deren Vereinbarkeit mit den Vorgaben der DSGVO betrifft, umfasst die Behebung materiellrechtlicher, aber auch technischer oder organisatorischer Mängel.
Gemessen daran konnte die Antragsgegnerin ausgehend von dem festgestellten Datenschutzverstoß und dem Geschäftsgebaren der Antragstellerin - Hochladen selbsterstellter Videos aus dem öffentlichen Raum zum Zwecke der Bewerbung der von ihr vermittelten Reisen - davon ausgehen, dass auch bei anderen Videos entsprechende Datenschutzverstöße anzunehmen sind. Die Antragstellerin bestärkte diesen Eindruck, indem sie im Verwaltungsverfahren - etwa mit Schreiben vom 24. Juli 2024 und 6. November 2024 - auch auf Hinweise der Antragsgegnerin weiterhin die Auffassung vertrat, es bestehe keine Veranlassung, das Video „N.“ oder andere Videoaufnahmen zu löschen oder durch Verwischen/Verschwimmen oder den Einsatz eines anderen Filters zu bearbeiten.
Auch im Übrigen bestehen keine Bedenken an der Verhältnismäßigkeit der Anordnung. Es ist nicht Aufgabe der Antragsgegnerin, den Bestand der auf der Facebook-Internetseite der Antragstellerin veröffentlichten Videos, der sich nach ihren Angaben über einen Zeitraum von etwa vier Jahren erstreckt, durchzuarbeiten und hinsichtlich jedes einzelnen Videos Bearbeitungsanweisungen gegenüber der Antragstellerin zu erlassen, denen diese unter Umständen entgegentreten würde. Vielmehr folgt aus der Rechenschaftspflicht der Antragstellerin nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass sie bereits mit Veröffentlichung der Filmaufnahmen auf ihrem Facebook-Account die Einhaltung der Vorgaben der DSGVO hätte sicherstellen müssen. Dies nachträglich zur Aufgabe der Antragsgegnerin zu machen, würde die in der DSGVO geregelte Verantwortung des für die Verarbeitung Verantwortlichen in ihr Gegenteil verkehren. Dass infolge der Entfernung eines Videos die damit verbundenen „Likes“ und Kommentare entfallen, führt in Anbetracht der überwiegenden Betroffeneninteressen zu keinem anderen Ergebnis. Im Übrigen hat die Antragstellerin vorgetragen, dass infolge der geänderten Lösch-Policy von Facebook, die sich auch auf Altvideos erstrecke, jedenfalls sogenannte Facebook-Live-Videos ohnehin nur für eine Zeit von 30 Tagen gespeichert würden.
Das LG Berlin II hat entschieden, dass die Weitergabe personenbezogener Daten von WhatsApp-Nutzern sowie Daten Dritter die WhatsApp nicht nutzen an Facebook mit unzureichender Einwilligung unzulässig ist.
Die Pressemitteilung des Gerichts: In einem Verfahren des Verbraucherzentrale Bundesverbands (vzbv) gegen die in den USA ansässige WhatsApp Inc. hat die Zivilkammer 52 des Landgerichts Berlin II gestern Nachmittag über Ansprüche auf Unterlassung und Beseitigung im Zusammenhang mit einer im Jahr 2016 angekündigten Aktualisierung der Nutzungsbedingungen und der Datenschutzrichtlinie des Messengerdienstes „WhatsApp“ entschieden.
Entscheidung
Die Kammer hat WhatsApp verurteilt, es zu unterlassen, im Geschäftsverkehr mit Verbrauchern mit gewöhnlichem Aufenthalt in Deutschland personenbezogene Daten von WhatsApp-Nutzern sowie Daten Dritter, die „WhatsApp“ nicht nutzen, an Dritte (hier: Facebook) weiterzugeben, wenn die hierzu eingeholte Einwilligung in der im Verfahren angegriffenen Weise gestaltet ist.
Ferner hat die Kammer WhatsApp verurteilt, es zu unterlassen, einzelne Bestimmungen der damaligen WhatsApp-Datenschutzrichtlinie in Verträge über die Nutzung des Dienstes „WhatsApp“ mit Verbrauchern mit gewöhnlichem Aufenthalt in Deutschland einzubeziehen und sich bei der Abwicklung der Verträge hierauf zu berufen.
Den Antrag des vzbv, WhatsApp zu verpflichten, Facebook zur Löschung bereits übermittelter Daten zu veranlassen und dies nachzuweisen, hat das Gericht hingegen abgewiesen.
Die schriftlichen Entscheidungsgründe liegen noch nicht vor.
Hintergrund
Der Messengerdienst „WhatsApp“ wurde im Jahr 2014 von der Facebook-Unternehmensgruppe übernommen. Im August 2016 informierte WhatsApp seine Nutzer auf seiner Webseite und über eine Push-Nachricht auf ihren Mobiltelefonen über eine Änderung der Nutzungsbedingungen und der Datenschutzrichtlinie und bat hierzu um deren Zustimmung. Danach sollten die Nutzer WhatsApp und Facebook standardmäßig den Zugriff auf alle im Adressbuch ihres Mobiltelefons gespeicherten Account-Daten gewähren, einschließlich der eigenen Telefonnummer und der in den Kontakten gespeicherten Telefonnummern anderer Personen. Zugleich sollten die Nutzer bestätigen, dass sie befugt seien, die fremden Telefonnummern zur Verfügung zu stellen.
Am 23. September 2016 untersagte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Facebook, personenbezogene Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern. Vor diesem Hintergrund hat WhatsApp unter anderem geltend gemacht, dass tatsächlich keine personenbezogenen Daten von WhatsApp an Facebook übermittelt worden seien.
Soweit die geänderten Nutzungsbedingungen ursprünglich auch Gegenstand des Verfahrens waren, haben die Parteien den Rechtsstreit übereinstimmend für erledigt erklärt, nachdem WhatsApp insoweit Unterlassungserklärungen abgegeben hatte.
Rechtsmittel
Das Urteil ist noch nicht rechtskräftig. Gegen dieses Urteil können beide Seiten nach Maßgabe der gesetzlichen Bestimmungen Berufung einlegen.
Landgericht Berlin II, Urteil vom 23. Februar 2026, Aktenzeichen 52 O 22/17
Das LG Berlin II hat entschieden, dass dei Freunde-Finden-Funktion von Facebook / Meta rechtswidrig ist. Die Verarbeitung personenbezoger Daten Dritter ohne Account verstöß gegen die DSGVO.
Das AG München hat entschieden, dass kein DSGVO-Verstoß und keine rechtswidrige Verletzung des allgemeinen Persönlichkeitsrechts durch Drohnenaufnahmen zur Feststellung des Dachaufmaßes vorliegt.
Aus den Entscheidungsgründen: Ein solcher Anspruch ergibt sich nicht aus §§ 823 Abs. 1, 1004 BGB analog, da die Erstellung der Aufnahmen keinen rechtswidrigen Eingriff in das Allgemeine Persönlichkeitsrecht darstellt.
Das Allgemeine Persönlichkeitsrecht stellt ein Rahmenrecht dar. Die Rechtswidrigkeit des Verhaltens wird dabei durch die Beeinträchtigung von Persönlichkeitsinteressen nicht indiziert, sondern der Schutzbereich ist durch eine Interessenabwägung zu konturieren und für den Einzelfall zu konkretisieren. Rechtswidrig ist der Eingriff nur, wenn das Schutzinteresse des Geschädigten die schutzwürdigen Belange des Schädigers überwiegt. Dies ist vorliegend nicht der Fall.
Bei dieser Interessenabwägung ist auf Seiten des Antragsgegners einzustellen, dass durch die Erstellung der Aufnahmen mittels Drohnenflugs das Dachaufmaß ohne risikoreiche Dachbegehungen ermöglicht wird. Dem gegenüber steht die Befürchtung des Antragstellers auf Verletzung der Integrität seiner Wohnung.
Bei der Abwägung ist zu berücksichtigen, dass der Drohnenflug nur wenige Minuten dauern wird und vorher angekündigt wurde, an welchem Tag er erfolgen wird, sodass von Seiten der betroffenen Bewohner*innen des Anwesens Maßnahmen ergriffen werden können, um Aufnahmen vom Inneren der Wohnungen von vornherein auszuschließen. Auch wenn an den Fenstern keine Rollos vorhanden sind, wie vom Antragsteller vorgetragen, so können die betroffenen Fenster auch anderweitig für einen Tag blickdicht verhängt werden, beispielsweise durch das Einklemmen von Handtüchern oder Decken in die Fenster.
Überdies wäre es laut Aushang des Antragstellers erforderlich, das Gebäude einzurüsten und das Dach zu begehen, wäre eine Erstellung von Aufnahmen mittels Drohnenflug nicht möglich. Dies würde einen deutlich intensiveren Eingriff darstellen, da die Beeinträchtigung dann deutlich länger als für einige Minuten an einem Tag bestehen würde. Demnach stellt die Erstellung der Aufnahmen mittels Drohnenflug das mildere Mittel dar.
II. Es besteht auch kein Verfügungsanspruch aus Art. 17, 21 DSGVO.
Die Verarbeitung der Daten ist rechtmäßig gem. Art. 6 Abs. 1 lit. f DSGVO. Demnach ist die Verarbeitung der Daten zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordert, überwiegen. Es ist also auch hier eine Interessenabwägung erforderlich, um die Rechtmäßigkeit der Datenverarbeitung zu beurteilen. Diese Abwägung führt auch hier zu dem Ergebnis, dass die Verarbeitung rechtmäßig ist (s.o. unter I.).
BGH
Urteil vom 10.12.2025 II ZR 132/24
DSGVO Art. 6 Abs. 1 Unterabs. 1 lit. b
Der BGH hat entschieden, dass die Vorgaben der DSGVO der Mitteilung der E-Mail-Adressen der anderen Vereinsmitglieder an ein Vereinsmitglied im Vorfeld einer Mitgliederversammlung nicht entgegenstehen.
Leitsatz des BGH:
Ein Vereinsmitglied hat ein berechtigtes Interesse an der Mitteilung der E-MailAdressen der anderen Vereinsmitglieder, wenn es mit diesen im Vorfeld einer Mitgliederversammlung Kontakt aufnehmen will, um auf deren Abstimmungsverhalten Einfluss zu nehmen. Einem solchen Auskunftsbegehren stehen auch nicht die Regelungen der Datenschutz-Grundverordnung entgegen.
BGH, Urteil vom 10. Dezember 2025 - II ZR 132/24 - OLG München - LG München I
Der BGH hat entschieden, dass die Übermittlung von Positivdaten an die SCHUFA durch Mobilfunkanbieter für den Identitätsabgleich zur Betrugsprävention zulässig und von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gedeckt ist.
Die Pressemitteilung des BGH: Bundesgerichtshof entscheidet über Zulässigkeit der Übermittlung sogenannter Positivdaten an SCHUFA
Der unter anderem für Rechtsstreitigkeiten aus dem Datenschutzrecht zuständige VI. Zivilsenat hat die Abweisung einer Unterlassungsklage bestätigt, mit der sich ein Verbraucherverband gegen die Übermittlung sogenannter Positivdaten an die SCHUFA gewandt hat.
Sachverhalt und Prozessgeschichte:
Die Beklagte ist ein Telekommunikationsunternehmen, das Mobilfunkdienste erbringt. Bis Oktober 2023 übermittelte sie nach dem Abschluss von Postpaid-Mobilfunkverträgen zumindest die zum Identitätsabgleich notwendigen Stammdaten ihrer Kunden (Name etc.) sowie die Information, dass ein Vertrag mit diesen geschlossen oder beendet wurde, an die SCHUFA Holding AG. Die Übermittlung dieser Positivdaten geschah unter anderem zum Zwecke der Betrugsprävention. Mit seiner Klage hat der Verbraucherverband beantragt, die Beklagte zur Unterlassung der Übermittlung von Positivdaten (also personenbezogenen Daten, die keine negativen Zahlungserfahrungen oder sonstiges, nicht vertragsgemäßes Verhalten zum Inhalt haben) an die SCHUFA zu verurteilen. Das Landgericht hat die Klage abgewiesen. Die Berufung des Klägers hat das Oberlandesgericht zurückgewiesen.
Entscheidung des Senats:
Der Senat hat die Revision des Verbraucherverbands zurückgewiesen, die Klageabweisung also bestätigt.
Der Unterlassungsantrag ist unbegründet, weil er auch Verhaltensweisen, die datenschutzrechtlich nicht zu beanstanden sind, erfasst und damit zu weit gefasst ist. Der Antrag ist darauf gerichtet, der Beklagten jede Übermittlung der Positivdaten von verbrauchern an die SCHUFA nach Abschluss eines Telekommunikationsvertrages zu verbieten. Allerdings lässt sich die Übermittlung der zum Identitätsabgleich erforderlichen Stammdaten der Verbraucher sowie der Information, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde, an die SCHUFA gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f Datenschutz-Grundverordnung (DSGVO) durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention rechtfertigen. Dabei geht es nach den Feststellungen des Berufungsgerichts um Fälle, in denen Kunden über ihre Identität täuschen und/oder binnen kurzer Zeit bei verschiedenen Anbietern unerklärlich viele Mobilfunkverträge abschließen, insbesondere, um an die mit Abschluss der Verträge überlassenen teuren Smartphones zu gelangen. Im Hinblick auf den hohen Schaden, den solche Betrugsstraftaten bei Postpaid-Mobilfunkverträgen anrichten können, überwiegt das Interesse der Verbraucher daran, dass die genannten Daten nicht an die SCHUFA übermittelt werden, das Interesse der Beklagten an einer hinreichenden Betrugsprävention nicht.
Darüber, wie die SCHUFA die zur Betrugsprävention übermittelten Positivdaten verarbeitet, etwa, ob und wie diese in das Bonitätsscoring einfließen, hatte der Senat aus prozessualen Gründen nicht zu entscheiden.
Vorinstanzen:
Landgericht Düsseldorf - Urteil vom 6. März 2024 - 12 O 128/22
Oberlandesgericht Düsseldorf - Urteil vom 31. Oktober 2024 - 20 U 51/24
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
…
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Das LG Lübeck hat dem EuGH Fragen zur datenschutzrechtlichen Zuslässigkeit der Übermittlung von Positivdaten von Kunden durch Mobilfunkanbieter an die Schufa zur Vorabentscheidung vorgelegt.
Die Pressemitteilung des Gerichts: Datenübermittlung an die Schufa:
Landgericht Lübeck ruft Europäischen Gerichtshof an Bundesweit verzeichnen die Gerichte eine Vielzahl von Klagen gegen Mobilfunkunternehmen, die ohne Zustimmung ihrer Kunden deren Vertragsdaten an die Schufa übermittelt hatten. Das Landgericht Lübeck hat jetzt ein derartiges Verfahren ausgesetzt und dem Europäischen Gerichtshof mehrere Fragen vorgelegt, um ein Urteil sprechen zu können.
Was ist passiert?
Das Mobilfunkunternehmen hatte ohne Einwilligung des Kunden Name, Geburtsdatum, Anschrift, Datum des Vertragsschlusses und Vertragsnummer an die Schufa weitergegeben. Die Schufa hatte ca. 2 Jahre später mitgeteilt, dass die Daten in den von der Schufa berechneten „Bonitätsscore“ eingeflossen waren. Der Betroffene verlangt nun von dem Mobilfunkunternehmen, künftig derartige Datenübermittlungen an Auskunfteien wie die Schufa zu unterlassen. Zudem begehrt er Schadensersatz. Das Mobilfunkunternehmen hingegen argumentiert, die Datenschutzgrundverordnung erlaube die Datenübermittlung an die Schufa.
Wie hat das Gericht entschieden?
Das Gericht hat das Verfahren ausgesetzt und dem Europäischen Gerichtshof mehrere Fragen vorgelegt. Hierzu sind alle europäischen Gerichte berechtigt, wenn sie Zweifel über die Auslegung von europäischem Recht haben.
Konkret möchte das Gericht vom Europäischen Gerichtshof wissen,
1. ob die Bestimmung, auf die sich das Mobilfunkunternehmen beruft, nämlich Art. 6 f.) der Datenschutzgrundverordnung, auf derartige Fälle überhaupt Anwendung findet. Das Gericht hat daran Zweifel, da die massenhafte Übermittlung derartiger Daten an die Schufa die Grundrechte sehr vieler Bürger berühre. Es sei deshalb Aufgabe der Europäischen Union, genau zu regeln, wer was zu welchem Zweck an die Schufa übermitteln dürfe. Das sei bislang nicht geschehen;
2. ob die Übermittlung von Daten an die Schufa jedenfalls dann rechtswidrig sei, wenn die Schufa die Daten zur Profilbildung (sogenanntes Scoring) verwendet;
3. und ob die betroffenen Verbraucher auch dann Schadensersatz verlangen können, wenn sie vor Vertragsschluss zwar nicht nach ihrer Zustimmung gefragt wurden, aber immerhin auf die Datenübermittlung hingewiesen wurden.
Was steht dazu im Gesetz? Wie ist die Rechtslage?
Ob die Datenübermittlung an die Schufa rechtmäßig ist, entscheidet sich anhand von Art. 6 f) DSGVO:
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: (...)
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Die Fragen des Gerichts zielen darauf ab, zu klären, ob diese Bestimmung hier anwendbar ist und falls ja, wie sie zu verstehen ist.
OLG Schleswig-Holstein
Urteil vom 12.08.202 6 UKI 3/25
Das OLG Schleswig-Holstein hat den Antrag auf Erlass einer einstweiligen Verfügung gegen Meta wegen der Verwendung von Nutzerdaten als KI-Trainingsdaten mangels Dringlichkeit abgelehnt.
Die Pressemitteilung des Gerichts: Eilantrag einer niederländischen Verbraucherschutzstiftung gegen Meta auf Untersagung der Nutzung bestimmter Kundendaten scheitert an fehlender Dringlichkeit
Der 6. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts hat mit Urteil vom heutigen Tag den Antrag einer niederländischen Verbraucherschutzstiftung gegen Meta Platforms Ireland Limited (Meta) auf Untersagung der Nutzung bestimmter Kundendaten von Facebook und Instagram für KI-Lernzwecke wegen fehlender Dringlichkeit zurückgewiesen.
Meta hatte am 27.05.2025 nach Vorankündigung begonnen, bestimmte Nutzerdaten der Dienste Facebook und Instagram für KI-Trainingszwecke ohne Einverständnis der Profilinhaber zu nutzen. Meta berief sich dafür auf ein berechtigtes Interesse an der Entwicklung und Verbesserung ihrer KI-Technologien für die Plattformen und den KI-Dienst Llama. Der Datenschutz sei gewährleistet. Es würden nur bestimmte Daten von öffentlichen Profilen volljähriger Kunden genutzt und die Daten würden für das KI-Training de-identifiziert und tokenisiert. Ein Antrag der Verbraucherzentrale Nordrhein-Westfalen auf einstweilige Untersagung dieser Nutzung war vor dem Oberlandesgericht Köln (Urteil vom 23.05.2025; Az. I-15 UKl 2/25) gescheitert.
Die niederländische Verbraucherschutzstiftung Stichtung Onderzoek Marktinformatie (SOMI) hatte am 27.06.2025 vor dem Schleswig-Holsteinischen Oberlandesgericht einen Antrag auf einstweilige Untersagung der Nutzung gegen Meta eingereicht. Die tatsächliche Nutzung der Daten ohne Einverständnis der Nutzer habe nun begonnen, und die Interessen und Grundrechte der Verbraucher seien höher zu bewerten als das Interesse von Meta.
Der Senat hat den Antrag nach mündlicher Verhandlung und Anhörung des Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit zurückgewiesen. Die Angelegenheit sei nicht eilbedürftig und rechtfertige daher nicht den Erlass eines einstweiligen Nutzungsverbotes. SOMI muss etwaige Ansprüche mit einer Hauptsacheklage verfolgen. Der Senat weist in seiner Entscheidung darauf hin, dass Meta bereits im Jahr 2024 gegenüber der Öffentlichkeit und dann insbesondere per E-Mails im April 2025 konkret gegenüber den Nutzern - und damit auch der SOMI - bekannt gegeben habe, die Daten entsprechend nutzen zu wollen. Während es der Verbraucherzentrale Nordrhein-Westfalen (in dem Verfahren vor dem OLG Köln) möglich gewesen sei, aufgrund der Ankündigungen zügig im Mai 2025 noch vor Beginn der Datennutzung gegen Meta vorzugehen, habe SOMI mit der Beantragung bis zum 27.06.2025 gewartet. Zu diesem Zeitpunkt habe Meta die Kundendaten bereits einen Monat lang genutzt.
Durch das lange Abwarten vor der Inanspruchnahme gerichtlichen Rechtsschutzes stehe fest, dass die Angelegenheit aus Sicht von SOMI nicht derart eilbedürftig sei, dass es der Regelung durch eine einstweilige Verfügung bedürfe. Die behaupteten Datenschutzverstöße durch das Verhalten von Meta seien spätestens seit April 2025 erkennbar gewesen. Meta habe auch nicht etwa Dinge angekündigt, die sich dann bei Beginn der Datenverarbeitung anders dargestellt hätten. So sei bereits seit einer Pressemitteilung vom 14.04.2025 erkennbar gewesen, dass die Datensätze aus Beiträgen, Kommentaren und Bildern von öffentlichen Profilen volljähriger Nutzer auch personenbezogene Daten von Kindern und nichtregistrierten Dritten enthalten könnten. Diese wüssten im Zweifel nichts von der Nutzung und könnten demnach auch nicht widersprechen. Zudem könnten sie ihre Daten nicht im Trainingsdatensatz oder innerhalb der Daten des KI-Modells selbst identifizieren, um eine unzulässige Datenverarbeitung zu beanstanden. Gleiches gelte für besonders geschützte personenbezogene Daten im Sinne von Art. 9 Datenschutzgrundverordnung (DSGVO). Solche Daten können etwa Angaben zur ethnischen oder rassischen Herkunft, sexuellen Orientierung oder politischen Meinungen enthalten. Sofern die Betroffenen ihre Daten nicht selbst öffentlich gemacht haben, ist eine Verarbeitung dieser Daten in der Regel untersagt. Nach eigener Aussage von Meta sei - so der Senat - nicht ausgeschlossen, dass solche Daten ohne Einverständnis der Betroffenen verarbeitet und von KI-Modellen ausgegeben würden. Die Möglichkeit der unzulässigen Nutzung von Verbraucherdaten sei SOMI spätestens durch eine E-Mail von Meta vom 19.04.2025 bekannt gewesen. Ein einstweiliges Verbot habe also zügig vor Beginn der Datenverarbeitung beantragt werden können.
