BGH
Urteil vom 13.05.2025 VI ZR 186/22
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass kein Schadensersatzanspruch aus Art. 82 DSGVO bei einem rein hypothetischen Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten besteht.
Leitsatz des BGH:
Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung gemäß Art. 82 Abs. 1 DSGVO führen.
BGH, Urteil vom 13. Mai 2025 - VI ZR 186/22 - OLG Oldenburg - LG Osnabrück
Aus den Entscheidungsgründen: bb) Jedenfalls hat der Kläger nicht dargelegt, einen immateriellen Schaden erlitten zu haben.
(1) Der bloße Verstoß gegen die Datenschutzgrundverordnung reicht nicht aus, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen "Schadens" stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die Datenschutzgrundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Insbesondere muss eine Person, die von einem Verstoß gegen die Datenschutzgrundverordnung betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 140 ff.; Senat, Urteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 28 f.; jeweils mwN).
Aus der im ersten Satz des 85. Erwägungsgrundes der Datenschutzgrundverordnung enthaltenen beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen "Verlust der Kontrolle" über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutzgrundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 145 mwN).
Nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff "immaterieller Schaden" im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der Datenschutzgrundverordnung verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt sich, dass die durch einen Verstoß gegen die Datenschutzgrundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen "immateriellen Schaden" im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 144 mwN).
Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 143 mwN).
Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht nicht aus (vgl. EuGH, Urteil vom 20. Juni 2024 - C590/22, DB 2024, 1676 Rn. 35). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519 Rn. 68).
Aus den Entscheidungsgründen: 1. Der Senat ist für die auf § 2 UKlaG gestützte Klage zuständig, da die ausschließliche (Eingangs-)Zuständigkeit des Oberlandesgerichts Frankfurt gemäß § 6 Abs. 1 Satz 1 UKlaG in der seit 13. Oktober 2023 geltenden Fassung (Art. 10 Nr. 17 Buchst. d Doppelbuchst. aa VRUG) eröffnet ist.
a) Das Oberlandesgericht Frankfurt ist gemäß § 6 Abs. 1 S. 1 UKlaG örtlich zuständig. Die Beklagte hat ihren Sitz im Bezirk des angerufenen Gerichts.
b) Darüber hinaus ist das Oberlandesgericht auch sachlich zuständig für Ansprüche aus § 2 UKlaG i.V.m. der DSGVO.
(1) Der Kläger stützt den mit der Klage geltend gemachten Unterlassungsanspruch ausweislich der Angaben in der Klagschrift (unter anderem) darauf, dass die Beklagte einer verbraucherschützenden Norm im Sinne von § 2 UKlaG zuwidergehandelt habe. Nach § 2 Abs. 1 Satz 1 UKlaG kann, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. Nach § 2 Abs. 2 Satz 2 UKlaG sind Verbraucherschutzgesetze insbesondere die dort im Einzelnen aufgeführten Normen.
(2) Bei Art. 5 Abs. 1 lit. a, lit. c, Art. 6 Abs. 1 S. 1 DSGVO handelt es sich um ein Verbraucherschutzgesetz im Sinne des § 2 UKlaG. Gemäß § 2 Abs. 2 Nr. 13 UKlaG sind Verbraucherschutzgesetze auch die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2; L 074 vom 4.3.2021, S. 35) in der jeweils geltenden Fassung, die für die Verarbeitung von Daten von Verbrauchern durch Unternehmer gelten.
(3) Die sachliche Zuständigkeit gilt nicht nur für den auf § 1 UKlaG gestützten Unterlassungsanspruch, sondern erfasst auch den weitergehend geltend gemachten Antrag auf Ersatz der Abmahnkosten. Dies folgt nicht aus § 35 ZPO bzw. dem Rechtsgedanken des § 17 Abs. 2 S. 1 GVG. Denn bei den betreffenden Anträgen handelt es sich bezogen auf den Unterlassungsanspruch um prozessual unterschiedliche Streitgegenstände (vgl. BGH, Urteil vom 14. Dezember 2017 - I ZR 184/15 -, juris Rn. 19; s. auch zur Frage der Zuständigkeit kraft Sachzusammenhangs Stein/Roth, Kommentar zur Zivilprozessordnung, 24. Auflage 2024, § 1 Rn. 10; Heinrich in: Musielak/Voit, ZPO, 21. Auflage 2024, § 1 Rn. 14). Eine Klagehäufung setzt indes gemäß § 260 ZPO voraus, dass das Prozessgericht für sämtliche Ansprüche zuständig ist (vgl. Lückemann in: Zöller, ZPO, 35. Auflage 2024, § 17 GVG Rn. 6).
Die Zuständigkeit folgt jedoch aus einer am Normzweck ausgerichteten Auslegung des § 6 Abs. 1 S.1 UKlaG. Danach erfassen „Klagen nach diesem Gesetz“ auch den Unterlassungsanspruch flankierende Annexanträge zumindest dann, wenn diese gemeinsam mit dem Unterlassungsanspruch in einer Klage geltend gemacht werden. Andernfalls würde der mit der Novellierung des Gesetzes verfolgte Zweck unterlaufen. Nach dem Willen des Gesetzgebers sollen die Oberlandesgerichte für die Klagen in erster Instanz ausschließlich zuständig sein, um die Verfahren zu beschleunigen (Köhler/Alexander in: Köhler/Bornkamm/Feddersen, 42. Aufl. 2024, UKlaG § 6 Rn. 2). Bei den Verfahren über Ansprüche nach dem UKlaG sind überwiegend Rechtsfragen zu klären, so dass eine Tatsacheninstanz ausreichend ist. Da Unterlassungsklagen nun verjährungshemmende Wirkung haben (§ 204a Abs. 1 Nr. 2 BGB), ist zu erwarten, dass sie künftig noch häufiger, insbesondere auch vor Abhilfeklagen, erhoben werden, um bestimmte Rechtsfragen vorab höchstrichterlich zu klären und das Kostenrisiko für eine Abhilfeklage zu begrenzen (BT-Drs 20/6520 S. 118). Zudem wird der bereits zuvor mit der Verortung bei den Landgerichten verfolgte Zweck der Konzentration von Sachverstand und Erfahrungswissen weiterverfolgt (§ 6 Abs. 2 UKlaG a.F.). Diese Aspekte greifen bei Annexfragen, gerichtet auf Auskunft und Folgenbeseitigung, gleichermaßen. Das Ziel der Verfahrensbeschleunigung würde konterkariert, würde man die (aus verbraucherschutzgesetzwidrigen Praktiken i.S.d. § 2 UKlaG folgenden) weiteren Ansprüche je nach Streitwert zunächst in die erstinstanzliche Zuständigkeit der Amts- bzw. Landgerichte verweisen; eine Konzentration bei den Landgerichten besteht nach geltender Rechtslage nicht mehr (Köhler/Alexander a.a.O., § 6 UKlaG Rn. 12). Zudem muss der Gefahr einander widersprechender Entscheidungen begegnet werden. Da die Zuständigkeit nach überwiegender Meinung selbst in den Fällen bejaht wird, in welchen Ansprüche auf Grund von Vertragsstrafeversprechen und Unterlassungsverträgen geltend gemacht werden (BGH, Beschluss vom 19.10.2016 - I ZR 93/15, BeckRS 2016, 20396, Rn. 22 bis 26 zu § 13 UWG; MüKoZPO/Micklitz/Rott, 6. Aufl. 2022, § 6 UKlaG, Rn. 4 m.w.N.), muss dies für Annexforderungen erst recht gelten. Zutreffenderweise ist die Zuständigkeitsregelung daher entsprechend auf Rechtsstreitigkeiten über die Erstattung von vorprozessualen Abmahnkosten anzuwenden (OLG Koblenz Urt. v. 5.12.2024 - 2 UKl 1/23, 34027 Rn. 12-16).
2. Die Klage hat in der Sache Erfolg.
Dem Kläger steht der geltend gemachte Unterlassungsanspruch aus § 2 Abs. 1, Abs. 2 Nr. 13 UKlaG i.V.m. 5 I a DSGVO zu. Die Beklagte hat beim Verkauf der Online-Tickets „Super-Sparpreis“ und „Sparpreis“ zwingend die Angabe von E-Mail-Adresse oder Telefonnummer verlangt und damit eine Datenverarbeitung verlangt, die nicht rechtmäßig ist.
a) Der Genehmigungsbescheid des BMDV vom 29.08.2023 (Anlage B1), mit dem die allgemeinen Beförderungsbedingungen genehmigt worden sind, entfaltet keine Tatbestandswirkung.
Wird ein bestimmtes Marktverhalten von der zuständigen Verwaltungs- bzw. Aufsichtsbehörde genehmigt, kommt zwar eine Einstufung als unlauter jedenfalls solange nicht in Betracht, solange die Genehmigung nicht als nichtig anzusehen ist oder in dem dafür vorgesehenen Verwaltungsrechtsverfahren aufgehoben wird (BGH GRUR 2005, 778 - Atemtest I; BGH GRUR 2008, 1014 - Amlodipin). Diese Grundsätze werden auf die Bewertung eines durch eine Verwaltungsbehörde erlaubten Handelns übertragen (OLG Hamburg GRUR-RR 2014, 218 (nachgehend BGH GRUR 2015, 1244 - Äquipotenzangabe in Fachinformation; OLG Hamburg Magazindienst 2015, 42) und finden auch im Rahmen von § 2 UKlaG Anwendung. Wird nämlich eine geschäftliche Handlung von den zuständigen Behörden als rechtlich zulässig bewertet, kann der Werbende auch auf diese Bewertung vertrauen und muss sich nicht vorsichtshalber nach der strengsten Gesetzesauslegung und Einzelfallbeurteilung erkundigen. Grundsätzlich ist zwar von einem Gewerbetreibenden zu verlangen, dass er sich Kenntnis von den für seinen Tätigkeitsbereich einschlägigen gesetzlichen Bestimmungen verschafft und in Zweifelsfällen mit zumutbaren Anstrengungen besonders sachkundigen Rechtsrat einholt. Das findet aber in der behördlichen Einstufung als zulässig seine Grenze, solange der Gewerbetreibende nicht die Rechtswidrigkeit seines Verhaltens kennt (oder sich dieser Einsicht bewusst verschließt) oder auf die Haltung der Verwaltungsbehörden in unlauterer Weise eingewirkt hat (BGH GRUR 2002, 269 - Sportwetten-Genehmigung). Sofern die zuständige Verwaltungsbehörde daher einen wirksamen Verwaltungsakt erlassen hat, der das beanstandete Marktverhalten ausdrücklich erlaubt und der weder durch die zuständige Behörde oder durch ein Verwaltungsgericht aufgehoben worden, noch als nichtig anzusehen ist, ist die Zulässigkeit des beanstandeten Verhaltens wegen der sog. Tatbestandswirkung des Verwaltungsakts einer Nachprüfung durch die Zivilgerichte nicht nur für den Rechtsbruchtatbestand des § 3a entzogen (BGH GRUR 2015, 1228 - Tagesschau-App),
Die Reichweite der Tatbestandswirkung eines Verwaltungsakts wird durch seinen Regelungsgehalt (Tenor) bestimmt (vgl. Stelkens in Stelkens/Bonk/Sachs, VwVfG, 8. Aufl., § 35 Rn. 142; BeckOK VwVfG/Schemmer, Std.: 1.4.2025, § 43 Rn. 28; Peuker in Knack/Henneke, VwVfG, 10. Aufl., § 43 Rn. 22). Der Regelungsgehalt eines Verwaltungsakts ist in entsprechender Anwendung der §§ 133, 157 BGB nach den Grundsätzen zu bestimmen, die auch für die Auslegung von Willenserklärungen gelten. Danach ist der erklärte Wille der erlassenden Behörde maßgebend, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte (BGH, WRP 2007, 1359; BVerwG NVwZ 2005, 1070; BVerwG, NJW 2013, 1832 Rn. 10). Bei der Ermittlung dieses objektiven Erklärungswerts ist in erster Linie auf den Entscheidungssatz und die Begründung des Verwaltungsakts abzustellen; darüber hinaus ist das materielle Recht, auf dem der Verwaltungsakt beruht, heranzuziehen (BGH GRUR 2015, 1228 Rn. 35; BVerwGE 126, 254 Rn. 78; Kopp/Ramsauer, VwVfG, 15. Aufl., § 43 Rn. 15).
Das Schreiben des Bundesministeriums für Digitales und Verkehr vom 29.08.2023 enthält weder einen Entscheidungssatz im eigentlichen Sinne noch eine Begründung. Seine Kernaussage beschränkt sich auf die Mitteilung, dass der Tarifantrag Nr. 23/2023 vom 10.08.2023 nach § 12 II AEG genehmigt werde. Dem Tenor ist nicht zu entnehmen, in welcher Hinsicht eine rechtliche Prüfung und Genehmigung erfolgt ist; da keine Begründung vorhanden ist, kann auch hieraus kein Rückschluss im Hinblick auf den Umfang der Bindungswirkung gezogen werden. Da der Behörde nach § 12 III AEG ein (Aufgreif- und Entscheidungs-) Ermessen zusteht, ist auch nicht davon auszugehen, dass die Tarife umfassend im Hinblick auf alle rechtlichen Fragestellungen - und damit auch bezüglich der DSGVO - Gegenstand der Prüfung und Genehmigung waren.
b) Die Speicherung von Telefonnummer und/oder E-Mail-Adresse stellt eine rechtwidrige Datenverarbeitung nach der DSGVO dar, da eine Rechtsgrundlage nicht ersichtlich ist.
(1) Diese Verarbeitung der Daten ist nicht nach Art. 6 Abs. 1 S. 1 a DSGVO durch eine Einwilligung gerechtfertigt.
aa) Der Rechtsgrund der Einwilligung der betroffenen Person für die Verarbeitung ihrer personenbezogenen Daten setzt voraus, dass eine wirksame Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO vorliegt, nämlich eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Vor allem die Freiwilligkeit ist „prägende Voraussetzung“ für die Wirksamkeit der Einwilligung. Freiwillig ist die Willensbekundung, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung ohne Nachteile zu verweigern oder zurückzuziehen (Erwägungsgrund 42 S. 5)
Wie sich aus Art. 7 Abs. 4 DSGVO ergibt, kann eine Einwilligung unfreiwillig erteilt sein, wenn die Erfüllung eines Vertrags, z.B. die Erbringung einer Dienstleistung, abhängig gemacht wird von der Einwilligung in eine Datenverarbeitung, die für die Vertragserfüllung nicht erforderlich ist. Im Ergebnis formuliert die Vorschrift ein allgemeines Koppelungsverbot. Eine Einwilligung soll nicht freiwillig erteilt sein, wenn der Betroffene faktisch keine andere Wahl hat als der Datenverarbeitung zuzustimmen, um in den Genuss einer Dienstleistung oder einer anderen vertraglichen Leistung zu kommen (BeckOK DatenschutzR/Stemmer, 52. Ed. 1.5.2025, DS-GVO Art. 7 Rn. 42; Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 73, 74).
Die Einwilligung ist daher nur dann wirksam, wenn der Verantwortliche nachweisen kann, dass die betroffene Person eine echte Wahl hatte, d.h. durch das Verweigern der Datenangaben keinen Nachteilen ausgesetzt war. Dies setzt voraus, dass ihr eine gleichwertige Alternative ohne Zwang zur Datenpreisgabe angeboten wurde. Ohne eine solche Alternative kann die digitale Zugangshürde nicht auf eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO gestützt werden.
In den Worten des EuGH: sie muss „objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der […] Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte. Der etwaige Umstand, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist insoweit für sich genommen unerheblich. Entscheidend für die Anwendung des in Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO genannten Rechtfertigungsgrundes ist nämlich, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen“.
Nach der Rechtsprechung des EuGH ist zudem eine marktbeherrschende Stellung des Verantwortlichen ein Anhaltspunkt für möglicherweise fehlende Freiwilligkeit, sofern die Einwilligung in eine Datenverarbeitung erteilt werden muss, um einen Dienst nutzen zu können. Die Nutzer seien in diesem Fall nicht in der Lage, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden. Dabei könne eine marktbeherrschende Stellung zu einem klaren Machtungleichgewicht führen, was im Rahmen des Koppelungsverbots zu berücksichtigen sei. Umgekehrt schließe eine marktbeherrschende Stellung eine wirksame Einwilligung aber auch nicht per se aus (EuGH NJW 2023, 2997 Rn. 147 ff. - Meta; Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 76).
bb) Danach kann in der Gesamtschau hier eine Freiwilligkeit der Einwilligung nicht bejaht werden.
Die Beklagte hat die Vertragserfüllung von einer Einwilligung in die Datenverarbeitung abhängig gemacht, die für die Erfüllung des Vertrages nicht erforderlich ist. Diese Erhebung der Daten war für die Erbringung der von der Beklagten geschuldeten Leistung nicht in tatsächlicher Hinsicht zwingend erforderlich. Die Beklagte konnte nicht nachweisen, inwiefern der Hauptgegenstand des Vertrags (Erbringung der Beförderungsdienstleistung) ohne die betreffende Verarbeitung nicht erfüllt werden könnte. Sie hat schon selbst nicht behauptet, dass die Beförderungsleistung ohne die Erhebung der Daten nicht erbracht werden könne. Soweit sie als Grund für die Datenverarbeitung den Einnahme-, Vervielfältigungs-, Missbrauchs- und Übertragungsschutz angibt, rechtfertigt der Schutz vor Vervielfältigung und vor Übertragung die Identifizierung der Person, wozu allerdings nur die Erhebung der Identitätsdaten des Kunden, nicht jedoch die Erhebung von E-Mail-Adresse oder Mobilfunknummer erforderlich ist. Einer potentiellen Missbrauchsgefahr kann auch dadurch begegnet werden, dass neben der Ticketnummer der Name der Kundin bzw. des Kunden (und bei Verwechslungsgefahr auch seine Adresse) angegeben wird. Bei der Ticketkontrolle kann dann durch Überprüfung der Ticketnummer und das Vorzeigen eines Ausweises festgestellt werden, ob das Ticket vervielfältigt oder an eine unberechtigte Person übertragen worden ist. Sofern ein Ticket am Schalter bezahlt und ausgedruckt worden ist und der befürchtete Missbrauch ausgeschlossen ist, besteht bei diesem Verfahren auch Einnahmeschutz.
Zwar lässt nicht jede Koppelung automatisch die Freiwilligkeit entfallen. Stattdessen muss der Koppelungssituation lediglich „in größtmöglichem Umfang Rechnung getragen werden“. Das bringt zum Ausdruck, dass es noch andere Faktoren gibt, die bei der Subsumtion unter den Begriff „freiwillig“ zu berücksichtigen sind. Der Verantwortliche muss also im Einzelfall prüfen, ob eine Drucksituation entsteht, die die Freiheit zur Willensentschließung aufhebt (zum Streitstand Kollmann ZD 2025, 73 (75 ff.); relatives Koppelungsverbot: BeckOK DatenschutzR/Stemmer, 52. Ed. 1.5.2025, DS-GVO Art. 7 Rn. 45; Paal/Pauly/Frenzel Rn. 18; Ehmann/Selmayr/Heckmann/Paschke Rn. 100, 103; aA Dammann ZD 2016, 307, 311; Golland MMR 2018, 130, 132: striktes Koppelungsverbot). Das ermöglicht eine differenzierte Bewertung, in die sämtliche Umstände einfließen müssen, die geeignet sein können, die Entschließungsfreiheit der betroffenen Person zu beeinträchtigen.
Der Senat hält hier jedoch in der Gesamtschau jedenfalls aufgrund der hinzutretenden marktbeherrschenden Stellung der Beklagten dafür, dass ein Verstoß gegen das Koppelungsverbot zu bejahen ist. Nach der Rechtsprechung des EuGH ist eine marktbeherrschende Stellung des Verantwortlichen ein Anhaltspunkt für möglicherweise fehlende Freiwilligkeit, sofern die Einwilligung in eine Datenverarbeitung erteilt werden muss, um einen Dienst nutzen zu können. Die Nutzer seien in diesem Fall nicht in der Lage, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden. Dabei könne eine marktbeherrschende Stellung zu einem klaren Machtungleichgewicht führen, was im Rahmen des Koppelungsverbots zu berücksichtigen sei (EuGH NJW 2023, 2997 Rn. 147 ff. - Meta; vgl. auch BGH WRP 2025, 72, Rnr. 44 - Scraping). Hier hat die Beklagte gerichtsbekannt eine überragende marktbeherrschende Stellung auf dem Markt des Eisenbahnfernverkehrs. Für die Betroffenen fehlt es an einem anderweitigen, zumutbaren Zugang zu gleichwertigen Leistungen am Markt. Dies gilt zum einen für Fernverkehrsangebote anderer Anbieter, die nicht in einem so signifikanten Maße vorhanden sind, dass sie in der Fläche eine adäquate Alternative darstellen könnten. Dies gilt aber auch für „interne“ Ausweichmöglichkeiten, auf die die Beklagte verweist (reguläre Tickets), da diese signifikant teurer sind.
(2) Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 S. 1 b DSGVO (Verarbeitung von Vertragsdaten) gerechtfertigt.
Dieser Rechtsgrund setzt wie Art. 7 b DS-RL (RL 95/46/EG) voraus, dass die Verarbeitung erforderlich ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Dieser Rechtsgrund erfasst die Datenverarbeitung, die in Zusammenhang mit einem Vertrag erforderlich ist. Der Begriff der „Erfüllung“ ist weit auszulegen und umfasst über die Anbahnung und Durchführung des Vertragszwecks auch die Abwicklung des Vertragsverhältnisses (Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6 Rn. 24).
Für die Erfüllung eines Vertrags ist eine Verarbeitung indes nur dann erforderlich, wenn sie für die Erfüllung der konkreten Vertragszwecke notwendig und nicht nur nützlich ist. Das setzt voraus, dass ohne die betreffenden Verarbeitungsvorgänge die zwischen den Vertragsparteien vereinbarten Vertragszwecke nicht erreicht werden können und deshalb diese Verarbeitungsvorgänge für die Erfüllung der Vertragszwecke objektiv unerlässlich sind (Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6 Rn. 25,).
Dies ist hier nicht der Fall. Die Beklagte schließt mit dem Kunden einen Beförderungsvertrag ab. Die Kundinnen und Kunden möchten zu einem günstigen Preis mit einer Bahn an einem bestimmten Tag von A nach B fahren. Hierfür zahlen sie der Beklagten den Fahrpreis. Der Hauptgegenstand des Vertrags ist jedoch nicht im Generieren eines validen und zugleich digitalen Sparpreistickets zu sehen. Das Ticket dient nur dem Nachweis des Vertragsabschlusses über die Beförderung und der Bezahlung des Fahrpreises. Mit dem Ticket allein kommt der Kunde nicht von A nach B, denn die geschuldete Hauptleistung wird erst durch die Beförderung erbracht. Aus dem Vortrag der Beklagte ergibt sich, dass die Ausstellung des digitalen Tickets und die Verarbeitung der genannten personenbezogenen Daten ein Mittel zur leichteren Abwicklung der Hauptleistung darstellt, nicht die Hauptleistung selbst. Auch wenn eine solche Verarbeitung personenbezogener Daten im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist dies nach dem „Meta“-Urteil des EuGH unerheblich.
Die Verarbeitung der oben genannten Informationen ist also nicht notwendig für die eigentliche Leistung (Beförderung), sondern dient vornehmlich unternehmensinternen Zwecken - etwa der Kundenbindung, Werbung oder der Kontrolle des Nutzungsverhaltens.
(3) Schließlich ist die Verarbeitung der personenbezogenen Daten auch nicht zur Verwirklichung überwiegender berechtigter Interessen nach Art. 6 Abs. 1 S. 1 f DSGVO unbedingt erforderlich. Dabei kann dahinstehen, ob von der Beklagten ein berechtigtes Interesse wahrgenommen wird, da die Verarbeitung zur Verwirklichung des berechtigten Interesses jedenfalls nicht erforderlich wäre.
Eine Erforderlichkeit liegt nicht vor. Auf die obigen Ausführungen kann insoweit Bezug genommen werden. Es genügt nicht, dass die Verarbeitung für den Verantwortlichen nützlich ist. Ebenso macht die Zielsetzung einer „bestmöglichen Effizienz“ die Datenverarbeitung nicht für die Verwirklichung berechtigter Interessen erforderlich. Auch wird sie nicht dadurch erforderlich, dass der Verantwortliche sie als „wirtschaftlich sinnvollste Alternative“ ansieht. Sie ist nur dann unbedingt erforderlich, wenn das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen. Der Verantwortliche muss also den Prozess für den Zugang zu seinen Leistungen wählen, der mit dem geringsten Maß an personenbezogenen Daten auskommt. Hieran fehlt es. Zwar kann über die DSGVO die Eröffnung besonderer Vertriebskanäle - wie die Bereitstellung von Tickets über Automaten - nicht erreicht werden; die Beklagte kann also nicht gezwungen werden, anstelle des oder neben dem Online-Fahrkartenverkauf einen Verkauf am Automaten zu eröffnen. Diese Frage stellt sich hier jedoch nicht, weil die Beklagte nicht gezwungen wird, einen neuen Vertriebskanal zu eröffnen, sondern nur verlangt wird, dass sie die vorhandenen Vertriebskanäle - hier den Schalterverkauf - datensparend ausgestaltet.
OLG Frankfurt am Main
Urteil vom 11.07.2025 6 UKl 14/24
Das OLG Frankfurt hat entschieden, dass die zwingende Angabe von E-Mail-Adresse oder Handynummer bei Kauf eines Tickets der Deutschen Bahn gegen die Vorgaben der DSGVO verstößt und wettbewerbswidrig ist.
Die Pressemitteilung des Gerichts: Bahnticket - nur digital
Zwingende Angabe der E-Mail-Adresse oder Handynummer für den Bahnfahrkartenerwerb rechtswidrig
Der Erwerb einer Bahnfahrkarte darf nicht die Angabe der E-Mail-Adresse bzw. der Handynummer voraussetzen. Diese Datenverarbeitung ist für die Vertragserfüllung nicht erforderlich. Das Oberlandesgericht Frankfurt am Main (OLG) verurteilte mit heute verkündeter Entscheidung die Deutsche Bahn Fernverkehr AG, es zu unterlassen, den Erwerb von „Spar“- und „Super-Sparpreistickets“ von der Angabe der E-Mail-Adresse bzw. der Handynummer abhängig zu machen.
Die Beklagte bietet Eisenbahndienstleistungen an. Ihre Bahntickets können über das Internet, die Bahn-App, am Schalter, über Fahrkartenautomaten oder telefonisch über den Reiseservice gekauft werden. Der Vertrieb von „Spar-“ bzw. „Super-Sparpreistickets erfolgte bis zum Fahrplanwechsel 15.12.2024 nur digital. Verbraucher mussten - auch beim Kauf am Schalter - ihre E-Mail oder eine Handynummer angeben, um das digitale Ticket bzw. die Auftragsnummer zu empfangen. Am Automaten konnten diese Tickets nicht erworben werden. Der Kläger nimmt Verbraucherinteressen wahr. Mit seiner erstinstanzlich vor dem OLG geführten Klage verlangt er, dass die Beklagte es unterlässt, E-Mail-Adressen und/oder Handynummer von Verbrauchern zu verarbeiten, ohne dass dies für die Vertragsdurchführung erforderlich ist.
Der zuständige 6. Zivilsenat des OLG hat der Klage stattgegeben. Die zwingende Forderung nach der Angabe einer E-Mail-Adresse oder Telefonnummer beim Verkauf der streitigen Online-Tickets „Sparpreis“ und „Super-Sparpreis“ sei rechtwidrig, begründete er die Entscheidung. Es liege eine Datenverarbeitung entgegen den Vorgaben der Datenschutzgrundverordnung vor (i.F. DSGVO).
Die Datenverarbeitung sei nicht durch eine Einwilligung der Verbraucher gerechtfertigt gewesen. Es fehle an einer freiwillig abgegebenen Einwilligung. Die Verbraucher hätten hier keine „echte oder freie Wahl“ gehabt. Vielmehr habe die Beklagte die Vertragserfüllung von der Einwilligung abhängig gemacht. Gegen die Freiwilligkeit spreche auch die gerichtsbekannte marktbeherrschende Stellung der Beklagten auf dem Markt des Eisenbahnfernverkehrs.
Die Datenverarbeitung sei auch nicht im Übrigen gerechtfertigt gewesen. Sie sei für die Vertragserfüllung selbst nicht erforderlich. „Kundinnen und Kunden möchten zu einem günstigen Preis mit der Bahn an einem bestimmten Tag von A nach B fahren“. Dafür werde der Fahrpreis gezahlt. Der Hauptgegenstand liege dagegen nicht im Generieren eines validen und zugleich digitalen Sparpreis-Tickets. Das Ticket diene dem Nachweis des Vertragsschlusses über die Beförderung und Bezahlung. Die digitale Form des Tickets erleichtere allein der Beklagten die Abwicklung der Hauptleistung und diene „vornehmlich unternehmensinternen Zwecken - etwa der Kundenbindung, Werbung oder der Kontrolle des Nutzerverhaltens“, untermauerte der Senat weiter.
Die Verarbeitung der personenbezogenen Daten sei auch nicht zur Verwirklichung überwiegender berechtigter Interessen unbedingt erforderlich. Bloße Nützlichkeit oder bestmögliche Effizienz genügten dafür nicht. Nur wenn das Interesse an der Datenverarbeitung nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden könne, die weniger stark in die Grundrechte eingriffen, sei von dieser Erforderlichkeit auszugehen. Daran fehle es hier. „Der Verantwortliche muss also den Prozess für den Zugang zu seinen Leistungen wählen, der mit dem geringsten Maß an personenbezogenen Daten auskommt. Daran fehlt es hier“, resümierte der Senat.
Die Entscheidung ist nicht anfechtbar.
Oberlandesgericht Frankfurt am Main, Urteil vom 10.7.2025, Az. 6 UKl 14/24
Das OLG Hamburg hat entschieden, dass ein Online-Shop nicht zwingend eine Bestellung als Gast per Gastzugang ohne Kundenaccount anbieten muss.
Aus den Entscheidungsgründen: a. Dem Kläger steht gegen die Beklagte der mit dem Antrag zu 1.a) im Berufungsrechtszug geltend gemachte Unterlassungsanspruch aus §§ 3 Abs. 1 S. 1 Nr. 1, 2 Abs. 1, Abs. 2 Nr. 13 UKlaG i.V.m. Art. 5 Abs. 1 lit. c) DSGVO nicht feststellbar zu. Denn der Kläger kann von der Beklagten nicht mit Erfolg verlangen, es gemäß dem gestellten Antrag im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern zu unterlassen, Waren oder Dienstleistungen im Onlinehandel auf ihrer Website www.......de anzubieten, ohne Verbrauchern einen Gastzugang, also einen Zugang, der auf eine dauerhafte Registrierung unter Angabe von Registrierungsdaten verzichtet und über den nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten der Verbraucher erfasst werden, für die Bestellung bereitzustellen, wenn dies erfolgt wie im Antrag zu 1.a) nachfolgend dargestellt.
aa. Der Antrag des Klägers muss bereits deshalb erfolglos bleiben, weil von der Beklagten nicht mit Erfolg - wie allerdings mit dem Antrag zu 1.a) geschehen - verlangt werden kann, einen Zugang einzurichten, über den nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten der Verbraucher erfasst werden, nicht aber personenbezogene Daten, deren Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Die Verarbeitung ist gemäß Art. 6 DSGVO nicht nur in den vom Kläger zugestandenen Fällen des Art. 6 Abs. 1 UAbs. 1 lit. b) und c) DSGVO rechtmäßig, sondern insbesondere auch im Falle des Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO zur Wahrung berechtigter Interessen des Verantwortlichen. Dies kann der Kläger der Beklagten mit dem Antrag zu 1.a) nicht erfolgreich absprechen.
Eine entsprechende Einschränkung des begehrten Verbots kann vorliegend nicht tenoriert werden. Denn, wie ausgeführt, hat der Kläger hier gerade bestimmt, wie ein Zugang genau einzurichten ist. Eine abweichende Gestaltung hält sich nicht mehr im Rahmen dieses Antrags. Dementsprechend kommt es hier auch auf den Streit der Parteien, ob die Beklagte im Rahmen des Bestellvorgangs hinreichend deutlich über Zweck und Inhalt des Kundenkontos aufkläre, nicht entscheidend an. Auch diesen Vorwurf hat der Antrag zu 1.a) nicht zum Gegenstand.
bb. Unabhängig davon ist, wie bereits vom Landgericht Hamburg in der angefochtenen Entscheidung im Einzelnen ausgeführt worden ist, ein der Beklagten anzulastender Verstoß gegen den Grundsatz der Datenminimierung nicht zu erkennen. Insoweit wird zur Vermeidung von Wiederholungen vollen Umfangs auf die Ausführungen des Landgerichts im Urteil vom 22.02.2024 Bezug genommen. Ergänzend ist insoweit im Hinblick auf das Berufungsvorbringen Folgendes auszuführen:
aaa. Der Kläger zählt als Verbraucherverband allerdings zu den anspruchsberechtigten Stellen gemäß § 3 Abs. 1 S. 1 Nr. 1 UKlaG. Er ist in die Liste qualifizierter Einrichtungen im Sinne von § 4 UKlaG beim Bundesamt für Justiz eingetragen (vgl. Anlage K 1, dort Nr. 63).
bbb. Nach § 2 Abs. 1 S. 1 UKlaG kann im Interesse des Verbraucherschutzes auf Unterlassung in Anspruch genommen werden, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze). Nach § 2 Abs. 2 Nr. 13 DSGVO sind Verbraucherschutzgesetze im Sinne dieser Vorschrift insbesondere die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in der jeweils geltenden Fassung, die für die Verarbeitung von Daten von Verbrauchern durch Unternehmer gelten.
ccc. Art. 5 Abs. 1 lit. c) DSGVO bestimmt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen („Datenminimierung“). Der Grundsatz der Datenminimierung setzt eine Zweckbestimmung voraus und knüpft seine Erfordernisse hieran an, nicht umgekehrt (vgl. BVerwG NJW 2024, 2479, 2485 Rn. 49). Im vorliegenden Fall verstößt die Beklagte durch die Verpflichtung von Bestellinteressenten auf ihrem Online-Marktplatz unter der URL www.......de, auf dem sowohl die Beklagte als auch andere Händler Waren zum Kauf anbieten, zur Anlegung eines Kundenkontos nicht gegen diesen Grundsatz der Datenminimierung.
(1) Der Grundsatz der Datenminimierung ist, wie vom Landgericht in der angefochtenen Entscheidung angenommen, nicht verletzt, wenn die erhobenen und verarbeiteten Daten für den verfolgten Zweck erheblich sind, deren Erhebung also der Erreichung eines legitimen Zieles dient, und die Verarbeitung der personenbezogenen Daten auf das für die verfolgten Zwecke notwendige Maß begrenzt wird. Art. 5 Abs. 1 lit. c) DSGVO stellt sicher, dass die Verarbeitung personenbezogener Daten durch den festgelegten Zweck begrenzt wird. Der Grundsatz der Datenminimierung verlangt nicht nach einer absoluten Reduzierung oder Beschränkung der Datenmenge; wenn der Zweck der Verarbeitung nur durch die Verarbeitung großer Datenmengen erreicht werden kann, verstößt eine solche Verarbeitung nicht gegen diesen Grundsatz (Herbst in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 5 DS-GVO Rn. 56). Wie das Landgericht in der angefochtenen Entscheidung zutreffend ausgeführt hat, ist eine Datenverarbeitung dann nicht erforderlich, wenn ihr Ziel sich mit einem geringeren Eingriff in die Rechte der betroffenen Person ebenso effektiv erreichen ließe, die personenbezogenen Daten, die verarbeitet werden, also dem Zweck der Datenverarbeitung nicht angemessen sind, sondern eine exzessive Datenverarbeitung oder eine solche für rein hypothetische Zwecke, für die es im Zeitpunkt der Erhebung noch keinen absehbaren Anlass gibt, darstellen.
(a) Insoweit hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (im Folgenden: DSK), wie vom Landgericht im angefochtenen Urteil im Einzelnen ausgeführt, mit Beschluss vom 24.03.2022 (Anlage K 7) Hinweise zum datenschutzkonformen Online-Handel mittels eines Gastzugangs erteilt. Auch im Online-Handel gelte, so die DSK, der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO). Danach seien nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich seien. Die zulässige Verarbeitung der personenbezogenen Daten hänge im Einzelfall insbesondere davon ab, ob Kundinnen und Kunden einmalig einen Vertrag abschließen wollten oder eine dauerhafte Geschäftsbeziehung anstrebten. Dazu müssten sie jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder bereit seien, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden sei. Daraus ergebe sich, dass Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anböten, ihren Kundinnen und Kunden unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kundenkonto) zur Verfügung stellten, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für die Bestellung bereitstellen müssten. Soweit im Einzelfall besondere Umstände vorlägen, bei denen ein fortlaufendes Kundenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden könne (Art. 6 Abs. 1 lit. b) DSGVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich sei, sei dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kundenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht werde.
(b) Auf der Grundlage dieses Beschlusses der DSK hat der HmbBfDI der Beklagten mit Schreiben vom 14.11.2022 (Anlage B 14) mitgeteilt, dass für die Beklagte unter den aktuellen Gegebenheiten die Möglichkeit bestehe, aufgrund besonderer Umstände von dem Grundsatz des Angebots eines Gastzugangs im Online-Handel abweichen zu können. Die Ermöglichung von Gastbestellungen sei, da dem Grundsatz der Datenminimierung anderweitig Rechnung getragen werde, unter den derzeitigen Gegebenheiten nicht zwingend notwendig. Dieser Sichtweise hat sich das Landgericht im angefochtenen Urteil unter Bezugnahme auf die eingeholte amtliche Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 14.11.2013 angeschlossen.
Auch der Senat teilt im Ergebnis diese Auffassung. Der Grundsatz der Datenminimierung wird durch die Beklagte, anders als es der Kläger mit dem Antrag zu 1.a) geltend macht, nicht verletzt. Entscheidend ist insoweit nicht die Begrifflichkeit, sondern die Einhaltung der Vorgaben insbesondere des Art. 5 Abs. 1 lit. c) DSGVO. Zusammengefasst stellt die Beklagte auf www.......de einen Online-Handelsmarktplatz mit einer Vielzahl angeschlossener Händler bereit, über den eine hohe Zahl an Bestellungen getätigt wird. Für die den Bestellungen nachgelagerte Kommunikation und Rechteausübung fällt ein erheblicher Zeit- und Ressourcenaufwand an. Dieser Aufwand kann für sämtliche Beteiligte mittels der im Kundenkonto zur Verfügung gestellten Kommunikationsmöglichkeiten und Funktionen sowie einer standardmäßig erfolgenden Kontoerstellung deutlich verringert werden. Zwischen einer Bestellung mit und einer Bestellung ohne Kundenkonto bestehen hinsichtlich der Verarbeitung personenbezogener Daten praktisch keine Unterschiede. In beiden Fällen ist die Erhebung und Speicherung einer Vielzahl von Daten zulässig. Hinsichtlich dieser Daten bestehen unternehmensseitig in beiden Fällen identische gesetzliche Rechte bzw. Pflichten zur Aufbewahrung, die je nach Art der Daten einen Zeitraum von 3 bis 10 Jahren umfassen. Der wesentliche Unterschied ist die Möglichkeit eines passwortgeschützten Zugangs zu diesen Daten. Bestehen im Einzelfall Bedenken hiergegen, so kann dieser Zugang mit einem entsprechenden Löschungsantrag beseitigt werden; eine regelhafte Löschung erfolgt automatisch nach Ablauf der zivilrechtlichen Verjährungsfrist.
(c) Das Berufungsvorbringen des Klägers begründet keine abweichende Bewertung. Insbesondere ergibt sich aus dem Recht der Verbraucher auf den Schutz personenbezogener Daten und ihrem Recht auf informationelle Selbstbestimmung kein abweichendes Ergebnis. Zwingende Rechtsprechung des Europäischen Gerichtshofs hat das Landgericht nicht außer Acht gelassen. Insbesondere hat das Landgericht in der angefochtenen Entscheidung nicht verkannt, dass die Voraussetzung der Erforderlichkeit der Datenverarbeitung gemeinsam mit dem Grundsatz der Datenminimierung zu prüfen ist, der in Art. 5 Abs. 1 lit. c) DSGVO verankert ist und verlangt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen (vgl. EuGH GRUR 2023, 1131, 11 Rn. 109 – Meta Platforms Inc. ua/Bundeskartellamt). Genau dies hat das Landgericht letztlich umfänglich geprüft. Der Kläger setzt im Wesentlichen eigene Wertungen an die Stelle derjenigen des Landgerichts. Daraus ergibt sich kein Fehler des Landgerichts. Der Umfang der zur Anlage eines Kundenkontos bei der Beklagten derzeit unbestritten erhobenen Daten – Form der Anrede, Vorname, Nachname, Straße, Hausnummer, Postleitzahl und Wohnort, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Passwort – ist auch im Ergebnis der vom Senat angestellten Verhältnismäßigkeitsprüfung nicht zu beanstanden.
Das LG Berlin II hat entschieden, dass die datenschutzrechtliche Einwilligung bei Anmeldung eines Google-Kontos nicht DSGVO-konform ist.
Aus den Entscheidungsgründen: l. Der Kläger kann von der Beklagten gem. 88 8 Abs. 1, 3 Nr. 3, 3 Abs. 1, 3a UWG 1.V.m. Art. 5 Abs. 1 lit. a, 6 Abs. 1 S. 1 lit. a DS-GVO sowie gem. 8 2 Abs. 1, 2 Nr. 13 UKlaG 1.V.m. Art. 6 Abs. 1 DS-GVO verlangen, dass diese es unterlässt, ım Rahmen der Registrierung für ein Google-Konto keine freiwillige und in informierter Weise abgegebene Einwilligung in die Verarbeitung personenbezogener Daten in Bezug auf Web- & App-Aktivitäten, YouTube-Verlauf und personalisierte Werbung einzuholen, wenn dies geschieht wıe in Anlage K 3 abgebildet.
1. Die Klagebefugnis ergibt sich aus 8 8 Abs. 3 Nr. 3 UWG sowie 8 3 Abs. 1 S. 1 Nr. 1 UKlaG. Art. 80 Abs. 2 DS-GVO steht dem nicht entgegen, insoweit wird auf die Ausführungen unter A. II. verwiesen. Der Kläger ist als qualifizierte Einrichtung im Sinne von $ 4 UKlaG in der Liste des Bundesamtes für Justiz eingetragen.
2. Bei Art. 5 Abs. 1 Ilit. a und Art. 6 Abs. 1 S. 1lit. a DS-GVO handelt es sich um Marktverhaltensregelungen 1.S.d. $ 3a UWG.
Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt. Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urt. v. 27.4.2017 - | ZR 215/15, GRUR 2017, 819 Rn. 20, beck-online).
Datenschutzrechtliche Bestimmungen weisen einen wettbewerbsrechtlichen Bezug auf, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (OLG Stuttgart, Urteil vom 27.02.2020 - 2 U 257/19 - Reifensofortverkauf, Rn. 79 m.w.N.).
Nach diesen Maßstäben handelt es sich bei Art 5 Abs. 1 Iıt. a und Art. 6 Abs. 1 S. 1]lıt. a DS-GVO um Marktverhaltensregelungen. Denn diese Regelungen betreffen die Zulässigkeit der Erhebung von Daten u.a. auch bei der unmittelbaren Teilnahme am Markt, im vorliegenden Fall durch Eröffnung eines Google-Kontos, also bei Eingehung eines Vertrages mit der Beklagten oder der Nutzung des Kontos. Diese wiederum nutzt die Daten u.a. für die Schaltung von Werbung, was die DS-GVO zu regeln sucht (so auch LG Leipzig, Urteil vom 31.5.2023 — 05 O 666/22, MMR 2024, 277 Rn. 87, beck-online; KG, Urteil vom 20.12.2019 - 5 U 9/18 —, Rn. 174, Juris zu Art. 6 Abs. 1 5. 1 lit. a DS-GVO; MüKoUWG/Schaffert, 3. Aufl. 2020, UWG 8 3a Rn. 81, beck-online).
3. Gemäß 8 2 Abs. 1 Satz 1 UKlaG kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze). Eine Norm dient dem Schutz der Verbraucher, wenn der Verbraucherschutz Ihr eigentlicher Zweck ist. Sie kann auch anderen Zwecken dienen; es genügt aber nicht, wenn der Verbraucherschutz in der Norm nur untergeordnete Bedeutung hat oder eine nur zufällige Nebenwirkung iIst. Die Norm muss Verhaltenspflichten des Unternehmers gegenüber dem Verbraucher begründen (vgl. zum Ganzen BGH, Urteil vom 6. Februar 2020 - | ZR 93/18, NJW 2020, 1737 Juris Rn. 15] - SEPA-Lastschrift, mwN).
Die für den Streitfall maßgeblichen Vorschriften der DSGVO fallen unter den Beispielskatalog des 8 2 Abs. 2 Nr. 13 UKlaG.
4. Die Beklagte hat auch gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 S. 1]lit. a DS-GVO verstoßen.
Gemäß Art 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten u.a. auf rechtmäßige Weise und nachvollziehbar (transparent) verarbeitet werden. Art. 6 Abs. 1 DS-GVO nimmt diesen Grundsatz durch die Anforderung auf, dass eine der dort geregelten Bedingungen erfüllt sein muss. Nach Art 6 Abs. 1 S. 1lıt. a DS-GVO ist die Verarbeitung rechtmäßig, wenn die betroffene Person Ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat.
Eine „Einwilligung“ der betroffenen Person ist nach Art. 4 Nr. 11 DS-GVO Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
a) Es fehlt an einer freiwilligen Einwilligung.
Das Tatbestandsmerkmal „frei“” bzw. „freiwillig“ setzt ganz generell voraus, dass die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“ (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 34, beck-online). Die Einwilligung muss daher aufgeklärt erfolgen. Der Betroffene ist darauf hinzuweisen, dass er seine Einwilligung verweigern kann (BeckOK DatenschutzR/Schild, 50. Ed. 1.11.2024, DS-GVO Art. 4 Rn. 128, beck-online).
Inwiefern diejenigen Einwendungen der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, welche über die Einwendungen des Klägers hinausgehen, überhaupt zu prüfen sind, kann dahinstehen. An der Freiwilligkeit fehlt es jedenfalls aufgrund der vom Kläger bemängelten fehlenden Möglichkeit der vollständigen Ablehnung der Einwilligung in die Datenverarbeitung.
aa) Eine unwirksame Einwilligung liegt deshalb vor, da die „Express-Personalisierung“ lediglich die Möglichkeiten „Bestätigen“ und „Zurück“ vorsieht und nicht unmittelbar eine Ablehnung der Einwilligung möglich ist.
Grundsätzlich ist für eine freiwillige Entscheidung eines Nutzer seine Kenntnis von den Alternativen erforderlich. Hierfür muss die Beklagte die entsprechenden Möglichkeiten eröffnen und/oder eindeutig aufklären. Der Kläger und die Datenschutzbeauftragte lassen bei ihren Bewertungen wie die Beklagte zu Recht bemängelt - den ersten Schritt, die Auswahlmöglichkeit über den Personalisierungsweg, unberücksichtigt. Denn wenn dort eindeutig aufgeführt wird, dass der Weg über die „Express Personalisierung“” die unbedingte Einwilligung bedeutet, während diese bei der „Manuellen Personalisierung“ abgelehnt werden kann, so würde dies für eine aufgeklärte Einwilligung ausreichen. Dies ist allerdings nicht der Fall. Denn unter „Express-Personalisierung“ heißt es: „Nutzen Sie diese Personalisierungseinstellungen, um Inhalte und Werbung zu erhalten, die auf Ihre Interessen abgestimmt sind.“ Dieser Beschreibung lässt sich schon nicht eindeutig entnehmen, dass es überhaupt um eine Einwilligung in eine Datenverarbeitung geht. Aber selbst wenn man dies zugunsten der Beklagten annähme, ist aus dem Text nicht ersichtlich, dass der Nutzer bei Wahl der „Express-Personalisierung“ keine Möglichkeit hat, seine Einwilligung nicht zu erteilen. Aus diesem Grund müssen die beiden Personalisierungsschritte doch jeweils einzeln betrachtet werden. Dann reicht aber allein die tatsächliche Möglichkeit, die Einwilligung, nachdem der Vorgang über die „Express-Personalisierung“ abgebrochen wurde und über „Manuelle Personalisierung“ neu begonnen wurde, ım Rahmen der „Manuellen Personalisierung“ verweigern zu können, nicht aus, um den Nutzer ausreichend über die Möglichkeit der Ablehnung seiner Einwilligung zu Informieren. Vielmehr hätte der Nutzer auch im Rahmen der „Express-Personalisierung“ eindeutig darüber aufgeklärt werden müssen, dass er seine Einwilligung insgesamt verweigern kann, beispielsweise über einen weiteren Button „Ablehnen“. Dies wollte die Beklagte aber offenbar nicht, da der Expressweg dergestalt attraktiver für sie ist.
bb) Aber auch der erteilten Einwilligung über die „Manuelle Personalisierung“ fehlt es an einer Freiwilligkeit. Denn die Beklagte nutzt unstreitig trotz einer fehlenden Einwilligung in „personalisierte Werbung“ über die „allgemeine Werbung“ den Standort des Nutzers in Deutschland. Auch dabei handelt es sich um ein personenbezogenes Datum (vgl. Art. 4 Nr. 1 DS-GVO). Soweit die Beklagte sich hinsichtlich der Zulässigkeit auf die Empfehlungen der EDSA stützt, welche eine kontextbezogene oder allgemeine Werbung als „datenschutzfreundliche Alternative zur personalisierten Werbung“ anerkennt, so verkennt sie, dass die EDSA dabei auf den Bereich der Datenminimierung Bezug nimmt, nicht aber auf die Frage, ob eine wirksame freiwillige Einwilligung vorliegt. Um diese annehmen zu können, muss die Beklagte eine Alternative anbieten, mit der sämtliche Datennutzung verweigert werden kann. Soweit die Beklagte für die Nutzung des Standorts ein sonstiges berechtigtes Interesse behauptet, trägt sie noch nicht einmal vor, welches dieses sein soll.
Aufgrund der prinzipiellen Nutzung des von der Beklagten bezeichneten „allgemeinen Standorts“ besteht für den Nutzer tatsächlich keine Möglichkeit, die Nutzung sämtlicher personenbezogener Daten abzulehnen, weshalb es an der Freiwilligkeit der Einwilligung fehlt.
b) Es fehlt an auch an einer informierten Einwilligung zu einem bestimmten Zweck.
aa) Das Erfordernis der Einwilligung In „informierter Weise“ ist als Ausprägung des in Art. 5 Abs. 1 lit. a DS-GVO niedergelegten Transparenzgrundsatzes zu verstehen (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online). Die Informationspflicht bzgl. der Einwillilgung bezieht sich auf bestimmte Elemente, die für die Entscheidungsfindung wesentlich sind, mindestens umfasst sie aber: die Identität des Verantwortlichen, den Zweck Jjedes Verarbeitungsvorgangs, für den die Einwilligung eingeholt wird, die (Art der) Daten, die erhoben und verwendet werden sowie das Bestehen eines Widerrufsrechts (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online). Hinsichtlich der formalen Gestaltung muss eine einfache, klare und allgemeinverständliche Sprache verwendet werden und zudem muss die Einwilligung leicht zugänglich und deutlich von anderen Sachverhalten klar zu unterscheiden sein (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online).
bb) Vorliegend fehlt es an der Transparenz schon deshalb, da die Beklagte weder über die einzelnen Google-Dienste noch Google-Apps, Google-Websites oder Google-Partner aufklärt, für welche die Daten verwendet werden sollen. Die Reichweite der Einwilligung Ist dem Nutzer schon aus diesem Grund völlig unbekannt. Ob darüber hinaus auch die konkrete Art und Weise der Darstellung, einschließlich der verwendeten Sprache, eine informierte Entscheidung entfallen lassen, kann daher dahinstehen.
Soweilt die Beklagte auf den Inhalt ihrer Datenschutzerklärung verweist, welche weitere Informationen über die „Partner“ und „Dienste“ enthielt und dabei u.a. von zwei Millionen Partnerwebsites die Rede ist, reicht auch diese Aufklärung nicht aus. Denn insoweit bleibt die Information viel zu vage, als dass der Nutzer den Umfang der Nutzung seiner Daten erfassen kann und insbesondere wofür sie bei den „Diensten“ und „Partnern“ genutzt werden. Soweit die Beklagte zu der fehlenden Angabe der Google-Dienste anführt, dass diese zu einem übermäßig langen Informationstext für die Nutzer geführt, was der Transparenz nicht genutzt hätte, kann dem nicht gefolgt werden. Zwar soll nach den „Leitlinien des Europäischen Datenschutzausschusses ("EDSA") zur Einwilligung“ keine „lange“ Datenschutzbestimmung verwendet werden, allerdings gehört die Information über sämtliche Google-Dienste (Anlage K1), für welche der Nutzer seine Einwilligung erteilt, schon nach dem Erwägungsgrund 42 der DS-GVO zu den Minimalangaben, die für eine informierte Einwilligung erforderlich sind. Demnach soll die betroffene Person nämlich wissen, in welchem Umfang sie ihre Einwilligung erteilt hat, dazu gehört insbesondere die Kenntnis für welche Zwecke ihre personenbezogenen Daten verarbeitet werden. Die Tatsache, dass die Beklagte über die von ihr zur Verfügung gestellte Einwilligung die Erlaubnis zur Nutzung von Daten für über 70 Google-Dienste einholen will, kann nicht dazu führen, dass es ihr erlaubt sein soll, die Dienste nicht wenigstens über die von Ihr genutzte Form des „layered approach” aufzuführen. Dass die Fülle an Diensten zu einer Unübersichtlichkeit deren Angabe führen würde, deutet vielmehr eindrücklich darauf hin, dass die Beklagte den Umfang der Einwilligung in erheblichem Maße überspannt hat. Sofern die Beklagte weiter ausführt, Nutzer könnten durch die Anzeige ihres „Google-Konto-Avatars“ erkennen, wenn es sich bei dem Jeweils genutzten Dienst um einen Google-Dienst handelt, und im Übrigen das Google-Konto bei den Nutzern unterschiedlich genutzt würde, so dass es zu unterschiedlich umfangreicher Nutzung der Daten kommt, so verhilft auch dieser Vortrag zu keiner abweichenden Beurteilung. Die Tatsache, dass die Nutzer nach der Einwilligung durch einen Avatar erkennen können, wann eine Google-Dienst vorliegt, ist zu spät und für die Frage der wirksamen Einwilligung unbeachtlich. Der Umfang muss den Nutzern bei Erteilung der Einwilligung bekannt sein. Auch die Tatsache, dass Nutzer Dienste in unterschiedlichen Umfang nutzen und damit unterschiedlich viele Daten preisgeben, Ist keine Besonderheit bei den Diensten der Beklagten, sondern die Regel. Dass hieraus hergeleitet werden kann, dass eine Information über den Umfang der Einwilligung nur eingeschränkt erfolgen muss, ist nicht nachvollziehbar.
c) Aus den Erwägungen unter b) fehlt es auch an der Einwilligung in einen bestimmten Zweck.
5. Angesichts der ausdrücklichen Bestimmung des 8 12a UKlaG, dass die zuständige inländische Datenschutzbehörde anzuhö6ren ist, führt die Tatasche, dass es sich bei dieser nicht um die federführende Aufsichtsbehörde 1.S.d. DS-GVO handelt, nicht zu einem Ausschluss des Anspruchs. Die DS-GVO selbst macht in Bezug zu den Rechtsbehelfen nach Art. 77 ff. DS-GVO für natürliche Personen, aber auch für den Kläger keine Vorgaben, dass eine Datenschutzbehörde überhaupt einzubinden wäre. 6. Die Wiederholungsgefahr ist gegeben. Neben der bereits durch den Verstoß indizierten Wiederholungsgefahr setzt ein Unterlassungsanspruch auf Grundlage des $ 2 Abs. 1 Satz 1 UKlaG voraus, dass er Im Interesse des Verbraucherschutzes geltend gemacht wird. Hierfür Ist erforderlich, dass der dem Anspruch zugrundeliegende Verstoß die Kollektivinteressen der Verbraucher berührt. Das ist der Fall, wenn der Verstoß in seinem Gewicht und In seiner Bedeutung über den Einzelfall hinausreicht und eine generelle Klärung geboten erscheinen lässt (vgl. BGH, Urteil vom 6. Februar 2020 - | ZR 93/18, NJW 2020, 1737 Juris Rn. 36] - SEPA-Lastschrift, mwN).
Il. Der Kläger kann von der Beklagten gem. $8 8 Abs. 1, 3 Nr. 2, 3 Abs. 1, 3a UWG. 1I.V.m. Art. 25 Abs. 2 S. 1 DS-GVO sowie gem. 8 2 Abs. 1, 2 Nr. 13 UKlaG 1.V.m. 25 Abs. 2 S. 1 DS-GVO verlangen, dass diese es unterlässt, ım Rahmen der Registrierung die verfügbare Option der Speicherfrist für personenbezogene Daten von 3 Monaten nicht in den vorgegebenen Auswahlmöglichkeiten anzubieten, wenn dies geschieht wie in Anlage K 4 abgebildet.
1. Die Klagebefugnis ergibt sich aus $ 8 Abs. 3 Nr. 3 UWG sowl'!e 8 3 Abs. 1 S. 1 Nr. 1 UKlaG. Art. 80 Abs. 2 DS-GVO steht dem nicht entgegen, insoweit wird auf die Ausführungen unter A. II. Verwiesen.
2. Auch bei Art. 25 Abs. 2 S. 1 DS-GVO handelt es sich um eine Marktverhaltensregelung (Köhler/Feddersen/Köhler/Odörfer, 43. Aufl. 2025, UWG 8 3a Rn. 1./4a, beck-online mit Verweis auf LG Hamburg, Urteil vom 22. Februar 2024 — 327 O 250/22, dort Rn. 62) sowie ein Verbraucherschutzgesetz 1.5.d. $ 2 UklaG.
3. Die Beklagte hat auch gegen Art. 25 Abs. 2 S. 1 DS-GVO verstoßen.
a) Nach Art. 25 Abs. 1 S. 1 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
„Erforderlich“ sind Daten dann, wenn der Verarbeitungszweck sich ohne sie nicht erreichen lässt (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 45b, beck-online). Nach Erwägungsgrund 39 der DS-GVO soll die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Für solche Daten, die der Verantwortliche nicht notwendig verarbeiten muss, um die legitimen Zwecke der Verarbeitungserlaubnis erfüllen zu können, ist ihm der Weg der Voreinstellung demgegenüber verschlossen (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 45b, beck-online).
b) Nach diesen Maßstäben liegt in Bezug auf die „Express-Personalisierung“ eine Verletzung des Art. 25 Abs. 2 S. 1 DSGVO vor, da dort eine Speicherung von mehr als drei Monaten standardmäßig eingestellt ist. Dadurch, dass durch den Nutzer nachträglich unstreitig auch ein Löschen der Daten nach drei Monaten eingestellt werden kann, gibt die Beklagte zu verstehen, dass eine solche Speicherdauer für die von der Beklagten vorgenommene Verarbeitung grundsätzlich ausreicht. Alles, was über eine Speicherung von mehr als drei Monaten hinausgeht, war mithin nicht erforderlich. Gegenteiliges behauptet auch die Beklagte nicht. So führt sie selber aus, dass eine Speicherung von 18 bzw. 36 Monaten eine „optimale Nutzererfahrung“ ermögliche und damit den Zweck der Personalisierung „bestmöglich“ erreichen würde. Bei der Frage der Erforderlichkeit der Datennutzung geht es aber nicht um die bestmögliche Nutzung, sondern um das mindestens Notwendige.
Dass die Speicherdauer im Nachgang der Einwilligung verkürzt werden können, ist hingegen irrelevant. Dass der Anbieter den Nutzern die Möglichkeit eröffnet, Datenschutzeinstellungen des Dienstes jJederzeit selbst zu ändern, genügt nach der Idee des Gesetzgebers dem normativen Auftrag des Art. 25 Abs. 2 DS-GVO nicht (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46, beck-online).
c) Schwieriger zu beurteilen ist hingegen die Frage in Bezug auf die „Manuelle Personalisierung“, da dort zwischen drei Varianten der Speicherung gewählt werden konnte und damit eine formelle Voreinstellung nicht gegeben ist. „Voreinstellung“ könnte aber auch derart verstanden werden, dass sie Jede Entscheidungsgestaltung umfasst, die durch Vorgaben des Anbieters eine Verhaltenssteuerung (zulasten Betroffener) erzielt. Darunter könnten auch solche Designmuster fallen, die dem Nutzer zwar kein „angeklicktes Kästchen“ vorgeben, ihn aber dazu nötigen, sich zwischen zwel Alternativen zu entscheiden, die zur Auswahl stehen (s. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46a, beck-online). Martini Ist - ohne Verweis auf eine Fundstelle - der Auffassung, dass solche Formen der Verhaltenssteuerung der Gesetzgeber nicht vor Augen hatte, als er Abs. 2 S. 1 erließ. Die Vorschrift beruhe vielmehr auf dem verhaltensökonomischen Default-Gedanken, der an automatisch gesetzte, aber abänderbare Programmvorgaben des Verantwortlichen anknüpft. „Voreinstellung“ setze daher eine vorbereitete Konfiguration voraus (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46b, beck-online).
Hintergrund des Art. 25 Abs. 2 S. 1 DS-GVO ist allerdings die Erkenntnis, dass werksseitig vorgegebene Voreinstellungen durch die Nutzer nur selten verändert werden (Baumgartner, ZD 2017, 308, beck-online). Diese Erkenntnis greift Art. 25 Abs. 2 S. 1 DS-GVO auf und verlangt, dass Nutzer keine Änderungen an den Einstellungen vornehmen müssen, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Vielmehr soll umgekehrt jede Abweichung von den datenminimierenden Voreinstellungen erst durch ein aktives „Eingreifen“ der Nutzer möglich werden (Baumgartner, ZD 2017, 308, beck-online).
Im vorliegenden Fall kann der Nutzer die Länge der Speicherung aktiv auswählen. Dabei wird ihm der Zeitraum von drei Monaten allerdings nicht angeboten, vielmehr wird der Zeitraum von 18 bzw. 36 Monaten voreingestellt. Zwar kann der Nutzer die Speicherung seiner Daten auch gänzlich ablehnen. Allerdings war der Verantwortliche zu dieser Auswahlmöglichkeit schon aufgrund der Freiwilligkeit der Einwilligung (s.o.) verpflichtet, so dass man bei der Beurteilung der Frage der Rechtsmäßigkeit diese Variante unberücksichtigt lassen muss, um die Frage allein bei Betrachtung der beiden verbleibenden Auswahlmöglichkeiten zu beantworten. Soweit die Beklagte anmahnt, dass die Verantwortlichen einen Gestaltungsspielraum hinsichtlich der Ausgestaltung Ihrer Einwilligungserklärung und so auch hinsichtlich der Auswahl der Monate hätten, so trifft dies gerade aufgrund des Grundsatzes der Datenminimierung in dieser Allgemeinheit eben nicht zu. Unter Berücksichtigung des Sinns und Zwecks der Vorschrift ist die angebotene Auswahl der Beklagten nicht zulässig, da eine echte Wahl für eine Datenminimierung, wie sie auch Art. / Abs. 4 DS-GVO vorsieht, nicht besteht. Das Ziel der DS-GVO, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten, fordert nach Dafürhalten der Kammer eine strenge Betrachtungsweise.
Das LG Erfurt hat dem EuGH Fragen zum Schadensersatz aus Art. 82 DSGVO bei Kontrollverlust im Zusammenhang mit Facebook-Scraping zur Vorabentscheidung vorgelegt.
Tenor:
Das Ausgangsverfahren wird ausgesetzt. Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV die folgenden Fragen zur Auslegung von Art. 56 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) und der Datenschutz-Grundverordnung (DSGVO) vorgelegt:
Frage 1
Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass ein nationales Gericht bei einem Verstoß gegen die DSGVO einer betroffenen Person Schadensersatz zusprechen muss, die lediglich nachgewiesen hat, dass ein Dritter (und nicht der beklagte datenschutzrechtlich Verantwortliche) ihre personenbezogenen Daten im Internet veröffentlicht hat? Mit anderen Worten: Stellt der bloße und ggf. nur kurzzeitige Verlust der Kontrolle über eigene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO dar?
Frage 2
Falls Frage 1 bejaht wird: Inwieweit unterscheidet sich die Antwort oder macht es einen Unterschied, wenn die veröffentlichten Daten nur aus bestimmten personenbezogenen Daten bestehen (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), welche die betroffene Person bereits selbst im Internet veröffentlicht hatte, in Verbindung mit der Telefonnummer der betroffenen Person, die ein Dritter (bei dem es sich nicht um den beklagten datenschutzrechtlich Verantwortlichen handelt) mit diesen personenbezogenen Daten verknüpft hat?
Aus den Entscheidungsgründen: I. Gegenstand des Ausgangsverfahrens und zugrundeliegender Sachverhalt
Mit ihrer beim Landgericht Erfurt eingereichten Klage - einem Scraping-Fall - macht die Klägerin immateriellen Schadensersatz und eine Reihe weiterer Ansprüche aufgrund von Verstößen der Beklagten gegen die Datenschutz-Grundverordnung („DSGVO“) geltend. Die Beklagte, deren Sitz in Irland ist, betreibt die Social-Media-Plattform Facebook in Europa („Plattform der Beklagten”).
Die Klägerin unterhält ein Nutzerkonto auf der Plattform der Beklagten. Im Rahmen der Registrierung auf der Plattform der Beklagten müssen Nutzer bestimmte Informationen wie Name und Geschlecht angeben. Diese Informationen (zusammen mit der von der Beklagten generierten Nutzer-ID) sind im Rahmen des Nutzerprofils stets öffentlich einsehbar, worüber Nutzer in Kenntnis gesetzt werden. Diese öffentlichen Nutzerinformationen erleichtern die Kontaktaufnahme mit anderen Menschen. Dies entspricht dem Unternehmenszweck der Plattform der Beklagten, nämlich Menschen die Möglichkeit zu geben, Gemeinschaften zu bilden und die Welt näher zusammenzubringen.
Neben den immer öffentlichen Nutzerinformationen können Nutzer in ihrem Profil nach ihrer individuellen Präferenz weitere Informationen angeben. In diesem Zusammenhang können sie festlegen, welche anderen Gruppen von Nutzern diese Informationen sehen können („Freunde“, [auch] „Freunde von Freunden“, „Öffentlich“). Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, durch die Nutzer bestimmen können, inwieweit von ihnen bereitgestellte Informationen öffentlich einsehbar sein sollen (sog. „Zielgruppenauswahl“). Über die Funktion und Bedeutung dieser Privatsphäre-Einstellungen informierte die Beklagte ihre Nutzer in ihrem Hilfebereich.
Entschied sich ein Nutzer - wie die Klägerin - dafür, seine Telefonnummer anzugeben, war die Standard-Zielgruppenauswahl während des relevanten Zeitraums „Freunde“. Die Telefonnummer war demnach nicht öffentlich einsehbar. Im Hinblick auf die Sichtbarkeit ihrer Handynummer hatte die Klägerin es bei der Standardeinstellung der Beklagten belassen, sodass diese nicht öffentlich sichtbar war.
Die Privatsphäre-Einstellungen auf der Plattform der Beklagten ermöglichten es den Nutzern auch, festzulegen, wer ihre Profile anhand ihrer Telefonnummern suchen kann (sog. „Suchbarkeits-Einstellungen“). Entschied sich ein Nutzer dafür, seine Telefonnummer anzugeben, war die Standard-Suchbarkeitseinstellung während des relevanten Zeitraums „Alle“. Nutzer konnten jedoch ihre Suchbarkeitseinstellungen jederzeit auf „Freunde“, „Freunde von Freunden“ oder (ab Mai 2019) auf „Nur ich“ festlegen. Die letztgenannte Einstellung verhinderte, dass andere Nutzer das betreffende Profil über die Telefonnummer finden konnten.
Die Möglichkeit, das Profil eines Nutzers anhand einer Telefonnummer zu finden, sollte ebenfalls dem Ziel dienen, Menschen miteinander zu verbinden. Die Plattform der Beklagten hat weltweit Milliarden von Nutzern. Die Suche nach einem Nutzerprofil allein anhand des Namens mag daher nicht ausreichen, um einen anderen Nutzer sicher zu identifizieren.
Die Klägerin entschloss sich dazu, ihre Telefonnummer auf der Plattform der Beklagten anzugeben, wobei sie die Standard-Suchbarkeitseinstellung „Alle“ nicht änderte.
Bis September 2019 ermöglichte die sog. Kontakt-Importer-Funktion Nutzern, Kontakte von ihren Mobilgeräten auf der Plattform der Beklagten hochzuladen. Hierdurch konnten die Nutzer diese Kontakte auf der Plattform der Beklagten finden und mit ihnen in Kontakt treten, sofern die Suchbarkeitseinstellungen des gesuchten Nutzers auf „Alle“ eingestellt waren (so wie dies bei der Klagepartei der Fall war).
Über einen bestimmten Zeitraum hinweg haben unbekannte Dritte (sog. „Scraper“), die in keiner Verbindung zur Beklagten standen, über die Kontakt-Importer-Funktion Mobiltelefonnummern hochgeladen. Die Mobiltelefonnummern hatten die Scraper bereits vorher anderweitig (d. h. nicht auf der Plattform der Beklagten) erlangt oder generiert. Wurden beim Hochladen der Telefonnummern Nutzerprofile gefunden, sammelten die unbekannten Dritten die Daten, die in den Profilen der Nutzer öffentlich einsehbar waren, und machten sich diese nutzbar.
Bei der Kontakt-Importer-Funktion handelte es sich um eine regulär vorgesehene Funktion der Plattform der Beklagten. Die Scraper wandten automatisierte Tools an, um diese Funktion auszunutzen und um auf Daten zuzugreifen, die in diesem Fall öffentlich einsehbar waren. Diese ohne Erlaubnis erfolgte Datenerhebung mit automatisierten Tools und Methoden fand während des relevanten Zeitraums statt und war (und ist immer noch) durch die Nutzungsbedingungen der Beklagten untersagt.
Die Scraper sammelten unzulässigerweise öffentlich einsehbare Daten zahlreicher Nutzer, fügten diese den Telefonnummern dieser Nutzer hinzu und veröffentlichten diese Daten in einer Datenbank im Internet bzw. Darknet. Dieses Vorgehen umfasste auch personenbezogene Daten der Klägerin, nämlich deren Telefonnummer in Verbindung mit den aus ihrem öffentlich einsehbaren Profil abgegriffenen Informationen (Nutzer-ID, Vorname, Nachname und Geschlecht).
Die Klägerin fordert unter anderem immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO. Sie bringt vor, sie habe allein aufgrund der Tatsache, dass ihre Daten abgegriffen und in einer Datenbank veröffentlicht wurden, die Kontrolle über diese Daten verloren. Nach Ansicht der Klägerin stellt dieser Kontrollverlust schon als solcher einen immateriellen Schaden dar.
Die Beklagte macht demgegenüber geltend, dass Art. 82 DSGVO nicht dazu diene, vom Scraping betroffenen Personen Schadensersatz zu gewähren, die zwar von Datenschutzverletzungen betroffen sind, aber keinen konkreten, über den bloßen Kontrollverlust hinausgehenden Schaden erlitten haben. Dabei ist die Beklagte der Auffassung, dass der Scraping-Sachverhalt bereits keinen „Datenschutzverstoß“ darstelle. Die Beklagte macht ferner geltend, dass die bloße erneute Veröffentlichung der Daten der Klagepartei – die gemäß ihren individuellen Privatsphäre-Einstellungen bereits vorher öffentlich einsehbar waren – keinen immateriellen Schadensersatz begründen könne.
II. Einschlägige unionsrechtliche Bestimmungen
Art. 82 DSGVO (Haftung und Recht auf Schadensersatz)
Erwägungsgrund 75 DSGVO (Risiken für die Rechte und Freiheiten natürlicher Personen)
Erwägungsgrund 83 S. 3 DSGVO (Sicherheit der Verarbeitung)
Erwägungsgrund 85 S. 1 DSGVO (Pflicht zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde)
III. Relevante nationale Rechtsprechung
Die deutsche Rechtsprechung divergiert zu der Frage, ob der bloße Kontrollverlust einen immateriellen Schaden darstellt. Die bereits vorliegenden Entscheidungen des Gerichtshofes der Europäischen Union werden unterschiedlich interpretiert.
In nahezu identischen Verfahren haben mehrere deutsche Oberlandesgerichte Klagen auf immateriellen Schadensersatz abgewiesen. Sie haben dabei festgestellt, dass die auf Scraping beruhende erneute oder erstmalige Veröffentlichung von Daten und der damit einhergehende Kontrollverlust allein nicht ausreichen, um einen immateriellen Schaden zu begründen.
Der Bundesgerichtshof hat allerdings kürzlich in einem Verfahren wegen des unzulässigen Datenscrapings judiziert, dass ein bloßer und selbst kurzzeitiger Verlust der Kontrolle über eigene personenbezogene Daten schon an sich als immaterieller Schaden im Sinne von Art. 82 DSGVO einzuordnen ist und zu einem, wenn auch überschaubaren, Geldanspruch führt (BGH, Urteil vom 18.11.2024 - VI ZR 10/24). Dies soll somit unabhängig davon gelten, ob die Klagepartei individuelle immaterielle Beeinträchtigungen und Nachteile aufgrund des Kontrollverlusts darlegt und nachweist. Weder muss eine konkrete missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen erfolgt sein, wie ein Identitätsdiebstahl, noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
Zu dem jedenfalls erforderlichen „Kontrollverlust“ fehlt es allerdings an einer Definition oder näheren Maßgaben.
IV. Entscheidungserheblichkeit und Erläuterung der Vorlagefragen
Die Antworten des Gerichtshofes der Europäischen Union zu den Vorlagefragen sind entscheidungserheblich. Das vorlegende Gericht geht von einem Datenschutzverstoß der Beklagten mit negativen Folgen aus. Es ist jedoch zweifelhaft, ob ein immaterieller Schaden zu bejahen ist. Abhängig davon, ob die bloße - erneute oder erstmalige - Veröffentlichung von personenbezogenen Daten im Internet als immaterieller Schaden eingestuft wird oder nicht, kann das Gericht dem Klageantrag auf immateriellen Schadenersatz entweder (zumindest teilweise) stattgeben oder ihn abweisen.
Insbesondere hält das Gericht eine Klarstellung des Gerichtshofs für erforderlich, ob Art. 82 Abs. 1 DSGVO es einem nationalen Gericht ermöglicht, einer betroffenen Person Schadensersatz zuzusprechen, obwohl diese keinen konkreten und individuellen materiellen oder immateriellen Schaden nachgewiesen hat, wie begründete Befürchtungen eines Missbrauchs oder andere psychische Beeinträchtigungen, sondern sich lediglich darauf beruft, dass ihre Daten im Internet veröffentlicht wurden und sie somit die Kontrolle hierüber verloren habe. Dieser Klarstellung dient die Vorlagefrage zu 1.
Für den Fall, dass die Vorlagefrage zu 1 bejaht wird, ersucht das Gericht mit der Vorlagefrage zu 2. den Gerichtshof um Klärung, ob der Gerichtshof zu einer anderen Einschätzung gelangt, wenn die (erneut) veröffentlichten Daten lediglich aus solchen personenbezogenen Daten bestehen, deren Veröffentlichung im Internet die betroffene Person vorher selbst veranlasst hatte (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), sowie der Telefonnummer der betroffenen Person.
Bei dieser Bewertung könnte zu berücksichtigen sein, dass die unzulässiger Weise abgegriffenen Daten der Klägerin auf deren Nutzerprofil öffentlich einsehbar waren, während die Mobiltelefonnummer der Klägerin weder abgegriffen noch anderweitig aus dem Nutzerprofil der Klagepartei abgerufen wurde. Damit unterscheidet sich dieser Sachverhalt wohl von den Fällen, die bisher Gegenstand von Vorabentscheidungsverfahren zu Art. 82 DSGVO waren. Es stellt sich die Frage, ob die Klägerin nicht bereits vor dem Datenschutzverstoß die Kontrolle über ihre vom Scraping betroffenen personenbezogenen Daten verloren hatte, was zu einem Ausschluss von Ersatzansprüchen führen könnte.
Nach alledem bestehen Zweifel, ob es sich bei der Problematik des „bloßen Kontrollverlustes“ bereits um einen „acte éclairé“ handelt. Die bisherigen Urteile des Gerichtshofes könnten jedenfalls so verstanden werden, dass ein bloßer Kontrollverlust als solcher noch keinen Schaden darstellt, vielmehr - mit höherem Begründungs- und Beweisaufwand - weitere Voraussetzungen und Umstände hinzutreten müssen, wie etwa psychische Beeinträchtigungen oder ein tatsächlicher Missbrauch von Daten (s. nur EuGH, Urteil vom 25.01.2024, C-687/21, Rn. 67, EuGH, Urteil vom 14.12.2023, C-340/21, Rn. 84, und EuGH, Urteil vom 14.12.2023, C-456/22, Rn. 22).
Den Parteien des Ausgangsverfahrens wurde ausgiebig rechtliches Gehör gewährt. Die Befugnis des Einzelrichters, unionsrechtliche Fragestellungen zu würdigen und vor den Gerichtshof zu bringen, beruht auf Art. 267 AEUV (eingehend LG Erfurt, Hinweisbeschluss vom 4. Februar 2025 - 8 O 211/24, juris). Ein Einzelrichter ist nicht gehalten, gemäß § 348 Abs. 3 ZPO seine Kammer zur Entscheidung über eine Übernahme anzurufen. Dies hat Generalanwalt Rantos in einem Dieselfall herausgestellt (EuGH, Schlussanträge des Generalanwalts vom 2. Juni 2022, C-100/21, Rn. 75 ff.):
„Daher bin ich der Ansicht, dass Art. 267 AEUV einer nationalen Regelung entgegensteht, die, wenn ein Einzelrichter meint, dass sich im Rahmen einer bei ihm anhängigen Rechtssache eine Frage nach der Auslegung oder der Gültigkeit des Unionsrechts stellt, die eine Entscheidung des Gerichtshofs erfordert, diesem vorschreibt, diese Frage einer Zivilkammer vorzulegen, und er folglich daran gehindert ist, den Gerichtshof um Vorabentscheidung zu ersuchen.“
Der BGH hat sich in diesem Beschluss zur Bemessung des Streitwerts in Facebook-Scraping-Fällen für Ansprüche auf Unterlassung, Zahlung, Auskunft und Feststellung geäußert.
Aus den Entscheidungsgründen: Der Senat hat den Streitwert für das Revisionsverfahren auf die Gebührenstufe bis 4.000 € festgesetzt und die Klageanträge dabei - wie zuvor das Berufungsgericht - wie folgt bemessen: 1.000 € (Zahlungsantrag) + 500 € (Feststellungsantrag) + 1.500 € (Unterlassungsanträge) + 500 € (Auskunftsantrag) = 3.500 €. Der Prozessbevollmächtigte des Klägers wendet sich allein gegen die Wertfestsetzung für die Unterlassungsanträge, die er - wie zuvor das Landgericht - mit insgesamt 5.000 € (2 x 2.500 €) bemessen haben möchte.
Eine Höherfestsetzung des Streitwerts für die Unterlassungsanträge ist nicht veranlasst. Der Streitwert ist nach allgemeinen Regeln unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen zu bestimmen (§ 48 Abs. 2 Satz 1, Abs. 1 GKG, § 3 ZPO). Maßgeblich bei einem Unterlassungsantrag nach - wie im Streitfall geltend gemacht - bereits erfolgter Verletzungshandlung ist das Interesse des Anspruchstellers an der Unterbindung weiterer gleichartiger Verstöße, welches maßgeblich durch die Art des Verstoßes, insbesondere seine Gefährlichkeit und Schädlichkeit für den Inhaber des verletzten Rechts bestimmt wird. Allerdings kann auch anderen, von der bereits erfolgten Verletzungshandlung unabhängigen Faktoren - etwa dem Grad der Wahrscheinlichkeit künftiger Zuwiderhandlungen - Rechnung zu tragen sein (vgl. BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 33 ff. mwN). Das Gefährdungspotential ist dabei allein mit Blick auf das konkrete Streitverhältnis zu bestimmen. Für generalpräventive Erwägungen ist bei der Bewertung eines zivilrechtlichen Unterlassungsanspruchs ebenso wenig Raum (BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 42 mwN) wie für eine Orientierung an einem etwaigen (Gesamt-)Schaden unter Einbeziehung anderer Betroffener (vgl. Senat, Beschluss vom 30. November 2004 - VI ZR 65/04, juris Rn. 2; OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 277; OLG Frankfurt/M., K&R 2024, 673). Schließlich darf das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (BGH, Beschluss vom 26. November 2020 - III ZR 124/20, K&R 2021, 127 Rn. 11).
Nach diesen Grundsätzen ist die erfolgte Festsetzung des Wertes der Unterlassungsanträge auf insgesamt 1.500 € (2 x 750 €) sachgerecht (vgl. zu Parallelfällen auch OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 279 ff.; OLG Frankfurt/M., K&R 2024, 673: jeweils insgesamt 1.000 €). Der Kläger selbst hat seinen Zahlungsanspruch auf Ersatz des bereits eingetretenen Schadens auf 1.000 € beziffert. Der Senat hat hierzu in einem weiteren Parallelverfahren näher ausgeführt, dass er auch eine Bemessung in der Größenordnung von 100 € für den bloßen Kontrollverlust von Rechts wegen nicht beanstanden würde (Urteil vom 18. November 2024 - VI ZR 10/24, juris Rn. 100). Seinen Antrag auf Feststellung hinsichtlich etwaiger zukünftiger Schäden hat auch der Kläger mit 500 € bewertet; dies erscheint angesichts der absehbaren Schwierigkeiten beim Nachweis der Ursächlichkeit künftiger Schäden auch sachgerecht. Die Verletzungshandlung liegt bereits fünf Jahre zurück, ohne dass es bislang jenseits des bloßen Kontrollverlustes zum Eintritt nachweisbarer Schäden oder einer weiteren Verletzungshandlung gekommen wäre; die Beklagte hat die Suchbarkeitsfunktion in der dem Streitfall inmitten stehenden Ausgestaltung vielmehr zwischenzeitlich deaktiviert. Beide Unterlassungsanträge nehmen ihren Ausgangspunkt in derselben Verletzungshandlung und hängen in der Sache eng zusammen.
Der EuGH hat entschieden, dass die Erhebung des Geschlechts bei Verkauf eines Bahn-Tickts nicht für die Erfüllung des Vertrages erforderlich im Sinne von Art. 6 I lit.b) DSGVO ist.
Die Pressemitteilungd es EuGH: DSGVO und Schienentransport: Die Geschlechtsidentität des Kunden ist keine für den Erwerb eines Fahrscheins erforderliche Angabe
Die Erhebung von Daten hinsichtlich der Anrede der Kunden ist nicht objektiv unerlässlich, insbesondere wenn sie darauf abzielt, die geschäftliche Kommunikation zu personalisieren.
Der Verband Mousse beanstandete bei der französischen Behörde für den Schutz personenbezogener Daten (CNIL)1 die Praxis des französischen Eisenbahnunternehmens SNCF Connect, seine Kunden beim Onlineerwerb von Fahrscheinen systematisch zu verpflichten, ihre Anrede („Herr“ oder „Frau“) anzugeben. Seiner Ansicht nach verstößt diese Verpflichtung gegen die Datenschutz-Grundverordnung (DSGVO) , insbesondere im Hinblick auf den Grundsatz der Datenminimierung, da die Anrede, die einer Geschlechtsidentität entspreche, keine für den Erwerb eines Fahrscheins erforderliche Angabe sein dürfte. 2021 wies die CNIL diese Beschwerde mit der Begründung zurück, dass diese Praxis keinen Verstoß gegen die DSGVO darstelle.
Mousse war mit diesem Bescheid nicht einverstanden und wandte sich an den französischen Staatsrat, um ihn für nichtig erklären zu lassen. Der Staatsrat fragt den Gerichtshof insbesondere, ob die Erhebung von Daten hinsichtlich der Anrede der Kunden, die auf die Angaben „Herr“ oder „Frau“ beschränkt ist, als rechtmäßig und insbesondere mit dem Grundsatz der Datenminimierung vereinbar eingestuft werden kann, wenn diese Erhebung darauf abzielt, eine personalisierte geschäftliche Kommunikation mit diesen Kunden in Übereinstimmung mit der allgemeinen Verkehrssitte in diesem Bereich zu ermöglichen.
Der Gerichtshof weist darauf hin, dass nach dem Grundsatz der Datenminimierung, mit dem der Grundsatz der Verhältnismäßigkeit zum Ausdruck gebracht wird, die erhobenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
Die DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann: Dies ist insbesondere dann der Fall, wenn die Verarbeitung (1.) für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder (2.) zur Wahrung der berechtigten Interessen des Verantwortlichen dieser Verarbeitung oder eines Dritten erforderlich ist.
Was den ersten dieser beiden Rechtfertigungsgründe anbelangt, muss die Verarbeitung von Daten für die ordnungsgemäße Erfüllung des Vertrags objektiv unerlässlich sein, damit sie für die Erfüllung eines Vertrags als erforderlich angesehen werden kann. In diesem Zusammenhang erscheint eine Personalisierung der geschäftlichen Kommunikation, die auf einer anhand der Anrede des Kunden angenommenen Geschlechtsidentität beruht, nicht objektiv unerlässlich, um die ordnungsgemäße Erfüllung eines Schienentransportvertrags zu ermöglichen. Das Eisenbahnunternehmen könnte sich nämlich für eine Kommunikation entscheiden, die auf allgemeinen und inklusiven Höflichkeitsformeln beruht, die in keinem Zusammenhang mit der angenommenen Geschlechtsidentität der Kunden stehen, was eine praktikable und weniger einschneidende Lösung wäre.
In Bezug auf den zweiten Rechtfertigungsgrund stellt der Gerichtshof unter Hinweis auf seine einschlägige ständige Rechtsprechung klar, dass die Verarbeitung von Daten hinsichtlich der Anrede der Kunden eines Transportunternehmens, die darauf abzielt, die geschäftliche Kommunikation aufgrund ihrer Geschlechtsidentität zu personalisieren, nicht als erforderlich angesehen werden kann, wenn (1.) diesen Kunden bei der Erhebung dieser Daten nicht das verfolgte berechtigte Interesse mitgeteilt wurde, oder (2.) die Verarbeitung nicht innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist, oder (3.) in Anbetracht aller relevanten Umstände die Grundrechte und Grundfreiheiten dieser Kunden gegenüber diesem berechtigten Interesse überwiegen können, insbesondere wegen der Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität.
Leitsatz des BGH:
Immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
BGH, Urteil vom 18. November 2024 - VI ZR 10/24 - OLG Köln - LG Bonn
Der BGH hat im Leitentscheidungsverfahren nach § 552b ZPO entschieden, dass in Facebook-Scraping-Fällen ein Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO wegen Kontrollverlustes in Höhe von 100 EURO angemessen sein dürfte, sofern keine wirksame Einwilligung in die Datenverarbeitung vorlag. Dies hat die Vorinstanz nunmehr zu prüfen. Der BGH hat zudem entschieden, dass dann auch Unterlassungsanspruch und ein Feststellungsinteresse für einen Schadensersatzfeststellungsanspruch besteht.
Die Pressmeiteilung des BGH: Bundesgerichtshof entscheidet über Ansprüche im Zusammenhang mit einem Datenschutzvorfall beim
sozialen Netzwerk Facebook (sog. Scraping)
Sachverhalt:
Die Beklagte betreibt das soziale Netzwerk Facebook. Anfang April 2021 wurden Daten von ca. 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet öffentlich verbreitet. Unbekannte Dritte hatten sich zuvor den Umstand zu Nutze gemacht, dass die Beklagte es in Abhängigkeit von den Suchbarkeits-Einstellungen des jeweiligen Nutzers ermöglicht, dass dessen Facebook-Profil mithilfe seiner Telefonnummer gefunden werden kann. Die unbekannten Dritten ordneten durch die in großem Umfang erfolgte Eingabe randomisierter Ziffernfolgen über die Kontakt-Import-Funktion Telefonnummern den zugehörigen Nutzerkonten zu und griffen die zu diesen Nutzerkonten vorhandenen öffentlichen Daten ab (sog. Scraping).
Von diesem Scraping-Vorfall waren auch Daten des Klägers (Nutzer-ID, Vor- und Nachname, Arbeitsstätte und Geschlecht) betroffen, die auf diese Weise mit dessen Telefonnummer verknüpft wurden. Der Kläger macht geltend, die Beklagte habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um eine Ausnutzung des Kontakt-Tools zu verhindern. Ihm stehe wegen des erlittenen Ärgers und des Kontrollverlusts über seine Daten Ersatz für immaterielle Schäden zu. Darüber hinaus begehrt der Kläger die Feststellung, dass die Beklagte verpflichtet sei, ihm in diesem Zusammenhang auch alle künftigen materiellen und immateriellen Schäden zu ersetzen, und nimmt die Beklagte auf Unterlassung und Auskunft in Anspruch.
Bisheriger Prozessverlauf:
Das Landgericht hat der Klage teilweise stattgegeben und dem Kläger aus Art. 82 Abs. 1 DSGVO Schadensersatz in Höhe von 250 € zugesprochen; im Übrigen hat es die Klage abgewiesen. Auf die Berufung der Beklagten hat das Oberlandesgericht die Klage unter Zurückweisung der Anschlussberufung des Klägers insgesamt abgewiesen. Weder reiche der bloße Kontrollverlust zur Annahme eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO aus noch habe der Kläger hinreichend substantiiert dargelegt, über den Kontrollverlust als solchen hinaus psychisch beeinträchtigt worden zu sein.
Mit Beschluss vom 31. Oktober hat der Bundesgerichtshof das Revisionsverfahren zum Leitentscheidungsverfahren gemäß § 552b ZPO n.F. bestimmt (Pressemitteilung 206/24). Nachdem die Revision nicht zurückgenommen wurde oder sich anderweitig erledigt hat, hat der Bundesgerichtshof jedoch am 11. November 2024 mündlich zur Sache verhandelt und nach allgemeinen Regeln durch Urteil über die Revision des Klägers entschieden.
Entscheidung des Bundesgerichtshofs:
Die Revision des Klägers war teilweise erfolgreich.
Der Anspruch des Klägers auf Ersatz immateriellen Schadens lässt sich mit der Begründung des Berufungsgerichts nicht verneinen. Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden im Sinne der Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
Erfolg hatte die Revision auch, soweit das Berufungsgericht die Anträge des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten abgewiesen hat. Entgegen der Auffassung des Berufungsgerichts fehlt es nicht an dem notwendigen Feststellungsinteresse des Klägers, da die Möglichkeit des Eintritts künftiger Schäden unter den Umständen des Streitfalles ohne Weiteres besteht. Der genannte Unterlassungsanspruch ist hinreichend bestimmt und dem Kläger fehlt insoweit auch nicht das Rechtsschutzbedürfnis. Im Übrigen (weiterer Unterlassungsantrag und Auskunftsantrag) blieb die Revision hingegen ohne Erfolg.
Im Umfang des Erfolges der Revision hat der Bundesgerichtshof die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Für die weitere Prüfung hat der Bundesgerichtshof das Berufungsgericht zum einen darauf hingewiesen, dass die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellung auf "alle" nicht dem Grundsatz der Datenminimierung entsprochen haben dürfte, wobei das Berufungsgericht ergänzend die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte zu prüfen haben wird. Zum anderen hat der Bundesgerichtshof Hinweise zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO erteilt und ausgeführt, warum unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen bestünden, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von 100 € zu bemessen.
OLG Köln - Urteil vom 7. Dezember 2023 - 15 U 67/23
Die maßgebliche Vorschrift lautet:
Artikel 82 Datenschutz-Grundverordnung (DSGVO) - Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
