BECKMANN UND NORDA - Rechtsanwälte Bielefeld

LG Hamburg
Urteil vom 01.07.2025
301 O 20/24

Das LG Hamburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools auf Drittseiten und -Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen und einen Unterlassungsanspruch gegen Meta bejaht.

Aus den Entscheidungsgründen:
Der Antrag zu Ziff. 1) ist auch begründet. Die Beklagte verarbeitet personenbezogene Daten des Klägers. Nach Art. 4 Nr. 2 DSGVO fallen darunter das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.

Die Beklagte empfängt über die M. Business Tools personenbezogene Daten mit denen sie den Nutzer identifizieren kann. Diese Daten gleicht sie mit den bei ihr gespeicherten Benutzerkonten ab. Wenn die Einstellungen es zulassen, werden die Daten für personalisierte Werbung verwendet. Auch wenn dies nicht erfolgt, bleiben die Daten gespeichert und sind weiter mit dem Nutzerkonto verknüpft und gespeichert.

Die auf den Drittseiten eingesetzten M. Business Tools prüfen nicht, wer die Seiten aufruft, sondern schicken sämtliche mittels der M. Business Tools erhobenen Daten an die Server der Beklagten. Dort wird geprüft, ob diese Daten Nutzer der Beklagten betreffen und darüber entschieden, wie sie weiterverarbeitet werden.

Wenn ein Nutzer des Netzwerks Instagram oder Facebook eine Drittseite welche M. Business Tools einsetzt, besucht, übermitteln die Drittfirmen über die derart eingebundenen M. Business Tools personenbezogene Daten an die Beklagte. Dies erfolgt unabhängig davon, ob der Nutzer zu diesem Zeitpunkt die Apps der Beklagten aktiviert hat bzw. dort eingeloggt ist (vgl. LG Lübeck GRUR-RS 2025, 81 Rn. 3, beck-online). Es findet auch statt, wenn die Drittseiten direkt und nicht aus den Programmen der Beklagten aus aufgerufen werden. Dies kann auch stattfinden, wenn die betroffene Person einer Datenübertragung an die Beklagte gegenüber dem Drittanbieter nicht zugestimmt und in die Datenverarbeitung auch gegenüber der Beklagten nicht eingewilligt hat (vgl. LG Lübeck ZD 2025, 228, beck-online). Für den durchschnittlichen Internetnutzer ist nicht erkennbar, ob die jeweilige Webseite mit einem M. Business Tool ausgestattet worden ist (so LG Braunschweig, a.a.O., juris Rn. 101 ff.). Jedenfalls die Erfassung und der Abgleich der Daten findet im jeden Fall statt – auch wenn der Nutzer keine Einwilligung zur Verwendung der Daten für personalisierte Werbung abgegeben hat. Soweit die Beklagte pauschal vorträgt, dass dann keine Datenverarbeitung stattfindet, ist dies nicht nachvollziehbar. Eine anschließende Löschung der übermittelten Daten erfolgt erst nach dem Abgleichprozess, d.h. nachdem sie die mit den Kontaktinformationen übermittelten Event-Daten mit einer Facebook-Nutzer-ID verknüpft hat, so dass eine Zuordnung zum Kläger möglich bleibt.

Die streitgegenständliche Datenverarbeitung ist folglich nicht durch eine etwaig vorhandene Einwilligung zur Bereitstellung personalisierter Werbung gerechtfertigt. Zum einen findet diese Datenverarbeitung unabhängig von einer Einwilligung statt und beschränkt sich zum anderen nicht auf dem in der Einwilligungserklärung genannten Zweck. Sie kann auch nicht durch eine Veränderung der Einstellung durch den Nutzer beeinflusst werden (LG Braunschweig, a.a.O., juris Rn. 112).

Die Beklagte räumt selbst ein, dass sie die von ihr als Off-Site-Daten bezeichnete Daten für Sicherheits- und Integritätszwecke speichere und verwende. Ungeachtet dessen, dass aus den Erläuterungen der Beklagten nicht hervorgeht, welche Maßnahmen damit bezeichnet sind und weshalb und in welchem Umfang dafür eine Verwendung der Daten des Klägers erforderlich ist, gibt es nach den Ausführungen der Beklagten offenbar auch noch weitere Verwendungen. Denn die Formulierung, dass sie die erhobenen Daten „für begrenzte Zwecke wie Sicherheits- und Integritätszwecke verwende“ (Hervorhebung hier) zeigt, dass die genannten Zwecke nur beispielhaft aufgezählt sind (LG Hamburg, a.a.O.).

Auch andere Rechtfertigungsgründe des Art. 6 DSGVO greifen nicht. Die Datenverarbeitung ist insbesondere nicht zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 Unterabsatz 1 b) DSGVO erforderlich. Das Geschäftsmodell der Beklagten zwingt diese nicht, die angebotenen Inhalte zu personalisieren (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 102 nach juris). Erst recht gilt dies für eine Personalisierung anhand der hier allein streitgegenständlichen Off-Site-Daten, denn der Kläger beanstandet ja nicht, dass ihm Inhalte und ggf. auch Werbung auf der Grundlage der von ihm besuchten M.-Seiten vorgeschlagen werden.

Schließlich liegt die Verantwortlichkeit der Datennutzung ab Übermittlung der Daten allein bei der Beklagten. Nach der Übermittlung der Daten liegt die weitere Verwendung der Daten in der Hand der Beklagten. Die Betreiber der Drittwebseiten, die über die M. Business Tools die Nutzungsdaten an die Beklagte weitergeben, sind dann nicht mehr eingebunden.

Soweit die Anträge zu Ziff. 1 b) und c) zusammen mit den in Ziff. 1 a) genannten personenbezogenen Daten erfasst, in Zusammenhang gebracht und gespeichert werden, erfasst der Feststellungsbegehren rechtmäßig auch diese Datenerhebung. Dass dies der Fall sein soll, ergibt sich aus der Zusammenschau und der Formulierung der Anträge, die wiederholt in Zusammenhang mit dem konkreten Nutzungsverhalten des Benutzers/Klägers gebracht werden.

4. Der Antrag zu Ziff. 2 ) ist zulässig und begründet.

Auch ohne ausdrückliche Regelung folgt ein Unterlassungsanspruch aus der DSGVO.

Hierzu werden auf die Ausführung des LG Braunschweig a.a.O. (juris Rn. 81 ff.) Bezug genommen.

„Aus Art. 17 DSGVO kann ein Anspruch auf Unterlassung der Speicherung von Daten folgen (OLG Frankfurt a. M. GRUR 2023,904, Rn. 44 ff.). Aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese künftig nicht (wieder) zu verarbeiten. Auch aus Art. 82 DSGVO kann ein Unterlassungsanspruch erwachsen, soweit ein konkreter Schaden vorliegt (OLG Frankfurt a.a.O. Rn. 47 ff.).

Aus dem generellen Regelungsziel der DSGVO folgt, dass die Rechtsordnung grundsätzlich eine Möglichkeit für von rechtswidrigen Datenverarbeitungsvorgängen betroffenen Personen gegeben sein muss, gegen diese per Unterlassungsklage vorzugehen. Insoweit führt der EuGH (MMR 2024, 1022 – Lindenapotheke) aus, dass generelles Regelungsziel der DSGVO ist, den Betroffenen im europäischen Rechtsraum ein hohes Schutzniveau zu gewährleisten und die praktische Wirksamkeit der DSGVO sicherzustellen (vgl. LG Lübeck ZD 2025, 228 Rn. 50, beck-online).

Deshalb garantiert Art. 79 Absatz 1 DSGVO dem Betroffenen einen "wirksamen gerichtlichen Rechtsbehelf " und unterstützt damit ein maßgebliches Ziel der DSGVO, das – wie nicht zuletzt Satz 1 des 10. Erwägungsgrunds der DSGVO zeigt – in der Etablierung eines hohen Datenschutzniveaus liegt. Das Ziel, einen umfassenden Schutz bei der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten würde unterlaufen und damit zugleich der Grundrechtsschutz beeinträchtigt, wenn dem Betroffenen die Möglichkeit genommen würde, dem Verantwortlichen eine unrechtmäßige Datenverarbeitung für die Zukunft zu verbieten und ihn auf Löschungsansprüche nach Art. 17 DSGVO und Schadensersatzansprüche nach Art. 82 DSGVO zu verweisen (vgl. OLG Dresden ZD 2022, 235 [237, Rn. 29]).

Auch der BGH hat bereits entschieden, dass das in Art. 17 Abs. 1 DSGVO niedergelegte "Recht auf Löschung" schon aufgrund der für den Betroffenen letztlich unwägbaren und zudem stetem Entwicklungsfortschritt unterworfenen technischen Voraussetzungen der beanstandeten Datenverarbeitung nicht auf das schlichte Löschen von Daten zu verengen ist, sondern unabhängig von der technischen Umsetzung auch das Begehren umfasst, eine erneute Erfassung zu unterlassen (BGH GRUR 2022, 258 Rn. 10, 11, beck-online; BGH GRUR 2023, 1724 Rn. 20, beck-online). Daher kann jedenfalls Unterlassung zusammen mit der Löschung verlangt werden. Die Vorlage des BGH an den EuGH (GRUR 2023, 1724) bezieht sich nur auf den, hier nicht gegebenen Fall, dass keine Löschung beantragt ist.

Im Übrigen muss auch Konsequenz des Vorranges der Leistungsklage und der Verneinung des Feststellungsinteresses die Möglichkeit sein, Ansprüche im Wege einer Unterlassungsklage durchzusetzen.

Es kann offenbleiben, ob ein Unterlassungsanspruch sich auch auf nationales Recht (§ 823 BGB, Art 2 GG, § 1004 BGB) stützen lässt (vgl. OLG Nürnberg GRUR-RS 2024, 18386, Rn. 13; OLG Dresden ZD 2022, 235 [237, Rn. 29]; OLG Stuttgart, ZD 2022, 105, Rn. 2; OLG Köln MMR 2020, 186 [187, Rn. 28]; LG Augsburg 082 O 262/24 Anl. 2 zum SS v. 09.04.2025 in 9 O 2615/23).“

Der Antrag ist hinreichend bestimmt. Der Kläger kann, wie hier geschehen, sich allgemein gegen die Verarbeitung seiner Daten wenden.

Wie bereits dargelegt, ist die streitgegenständliche Datenverarbeitung rechtswidrig und verstößt gegen die Regelungen der Datenschutzgrundverordnung. Insbesondere kann sich die Beklagte auf keinen Rechtfertigungsgrund stützen. Da hier die Unterlassung direkt aus der Datenschutzgrundverordnung hergeleitet wird, kommt es auf eine Verletzung des Allgemeinen Persönlichkeitsrechts in Form des Rechts auf Informationelle Selbstbestimmung nicht an. Wenn der Unterlassungsanspruch allein auf nationales Recht (§§ 1004, 823 Abs. 1 BGB) gestützt werden müsste, wäre ein konkrete Rechtsgutsverletzung Voraussetzung für die Unterlassung.

5. Der Antrag zu Ziff. 3) ist teilweise begründet. Dem Kläger steht eine Geldentschädigung in Höhe von 3.000,00 € gemäß Art. 82 Abs. 1 DSGVO zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Zu den Voraussetzungen des Anspruchs hat das LG Braunschweig ausgeführt:

„Der Kläger hat auch einen immateriellen Schaden erlitten. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DSGVO reicht nach der Rechtsprechung des EUGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich.

Weiter hat der EUGH ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.

Schließlich hat der EUGH in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass "[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen Verlust der Kontrolle über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 28 ff. m. w. N. zur Rechtsprechung des EuGH).

Die betroffene Person muss den Nachweis erbringen, dass sie einen solchen – das heißt in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH ECLI:EU:C:2024:536 Rn. 33 = DB 2024, 1676 = GRUR-RS 2024, 13978 – PS GbR; Senat NJW 2025, 298 Rn. 31 mwN = DB 2024, 3091). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH NJW 2025, 298 Rn. 31 = DB 2024, 3091; BGH NJW 2025, 1060 Rn. 16, 17, beck-online).

Nach diesen Maßstäben liegt es in diesem Fall auf der Hand, dass der Kläger einen solchen Kontrollverlust erlitten hat. Die Beklagte hat personenbezogene Daten des Klägers über die streitgegenständlichen MBT ohne eine Einwilligung verarbeitet und bei sich gespeichert. Damit geht denknotwendigerweise einher, dass der Kläger nicht weiß, welche Daten dies sind und er daher einen Kontrollverlust über ihn betreffende personenbezogene Daten erlitten hat.

Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kläger unbekannten Datenspeicherung bei der Beklagten und somit zu dem immateriellen Schaden in Form des Kontrollverlusts.“

(LG Braunschweig, a.a.O., juris Rn. 193 ff.)

Bei der Bemessung der Höhe der Entschädigung ist zu berücksichtigen, dass die streitgegenständliche Datenverarbeitung angesichts der Vielzahl der Webseiten, die M. Business Tools verwenden, einen erheblichen Umfang einnimmt und diese Tools seit Jahren verwendet werden. Anders als bei den sog. „Hacking-Fällen“ handelt es sich gerade nicht um ein einmaliges Ereignis. Ferner dienen die M. Business Tools allein dem Zweck der Zuordnung der Internetnutzung auf einen bestimmten Nutzer und werden hierfür von der Beklagten zielgerichtet angeboten. Auch hier unterscheidet sich die Verletzungshandlung von den sog. „Hacking-Fällen“, bei denen den Webseitenbetreibern in der Regel lediglich ein Fahrlässigkeitsvorwurf zu machen ist. Vor dem Hintergrund erscheint der tenorierte Schadensersatzanspruch angemessen aber auch ausreichend, um der Genugtuungsfunktion des immateriellen Schadensersatzanspruchs Rechnung zu tragen.

Da der Schadensersatzanspruch sich bereits aus Art. 82 Abs. 1 DSGVO ergibt, kann hier offenbleiben, ob darüber hinaus der Kläger seinen Anspruch auch auf § 823 Abs. 1 BGB hätte stützen können.

II.
I. Die Nebenforderungen sind teilweise begründet.

1. Verzugszinsen stehen dem Kläger erst ab Rechtshängigkeit gemäß §§ 291, 288 Abs. 1 BGB zu. Da die Beklagte, die den Zugang des als Anlage K3 eingereichten Schreibens bestreitet, zuvor in Schuldnerverzug geraten ist, ist nicht nachgewiesen.

2. Der Freistellungsanspruch ist teilweise begründet. Rechtsgrundlage für die Erstattung der Rechtsanwaltskosten ist Art. 82 DSGVO, da es sich um Kosten handelt, die der Kläger aufgrund der rechtswidrigen Datenverarbeitung eingegangen ist. Ob die Beklagte das Schreiben der klägerischen Anwälte erhalten hat, kann für diesen Anspruch dahinstehen. Denn die vorgerichtliche Tätigkeit ist auch dann zu vergüten, wenn das Schreiben die Beklagte nicht erreicht haben sollte. Es ist auch nicht davon auszugehen, dass der Kläger seinen späteren Prozessbevollmächtigten einen unbedingten Klagauftrag erteilt hat. Das vorgerichtliche Schreiben diente nicht der Schaffung einer Klagvoraussetzung, sondern war darauf ausgerichtet, mit einer beigefügten Verpflichtungserklärung eine gerichtliche Auseinandersetzung zu vermeiden. Es gibt keinen Grund zu der Annahme, dass der Kläger seine Anwälte auch für den Fall, dass die Beklagte diese Erklärung unterzeichnet hätte, mit einer Klage beauftragt hat; insbesondere lässt der Umstand, dass die Klägervertreter in mehreren tausend Fällen ähnliche Schreiben verschickt haben, nicht den Schluss zu, dass ein außergerichtlicher Abschluss der einzelnen Verfahren nicht in Betracht gekommen wäre. Sofern die Klägervertreter hingegen nur bedingt, also für den Fall, dass eine vorgerichtliche Einigung nicht zustande kommt, mit einer Klage beauftragt worden waren, hinderte sie dies nicht, eine Gebühr nach Nr. 2300 VV RVG in Rechnung zu stellen (BGH, Urt. v. 26.2.2013 – XI ZR 345/10, BKR 2013, 283, Rn. 37 nach juris).

Das Bestreiten der Beklagten, dass die mit dem Klagantrag geltend gemachten Kosten entstanden seien, steht dem Anspruch ebenfalls nicht entgegen. Dass die Gebühr angefallen ist, ergibt sich aus dem RVG. Soweit das Bestreiten darauf zielt, dass die Kosten bislang nicht bezahlt wurden, ist dies für den hier geltend gemachten Freistellungsanspruch keine Voraussetzung.

Der Höhe nach ist eine 1,3-Gebühr nebst Kommunikationspauschale und Umsatzsteuer nach einem Gegenstandswert von 7.000 € ersatzfähig. Gegenstand des vorgerichtlichen Schreibens war die Geltendmachung eines Auskunfts- und Löschungsanspruchs sowie die Zahlung einer Entschädigung in Höhe von 5.000,00 €.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 07.10.2025
VI ZR 297/24

Der BGH hat im Rahmen eines Nichtzulassungsbeschwerderverfahrens ausgeführt, dass Arbeitnehmer regelmäßig nicht "Verantwortliche" im Sinne des Art. 4 Nr. 7 DSGVO sind, da sie "unterstellte Personen" nach Art. 29 DSGVO sind.

Aus den Entscheidungsgründen:
Der Sache kommt insbesondere nicht deshalb grundsätzliche Bedeutung zu, weil eine Vorabentscheidung des Gerichtshofs der Europäischen Union geboten wäre. Die Beschwerde legt schon nicht ausreichend dar, inwiefern die von ihr aufgeworfenen Fragen in der Rechtsprechung des Gerichtshofs ungeklärt und auch nicht ohne Weiteres klar zu beantworten wären. Sie setzt sich insbesondere nicht mit der Rechtsprechung des Gerichtshofs auseinander, nach der Arbeitnehmer des Verantwortlichen diesem "unterstellte Personen" im Sinne von Art. 29 DSGVO sind (EuGH, Urteile vom 11. April 2024 - C-741/21, VersR 2024, 1147 Rn. 47-53 - juris GmbH; vom 22. Juni 2023 - C-579/21, NJW 2023, 2555 Rn. 72, 73 - Pankki S), weshalb sie in der Regel nicht selbst als "Verantwortliche" im Sinne des Art. 4 Nr. 7 DSGVO angesehen werden können (vgl. hierzu Jóri in Spiecker gen. Döhmann u.a., General Data Protection Regulation, 2023, GDPR Art. 4 (7) Rn. 7; Petri/Stief in Simitis u.a., Datenschutzrecht, 2. Aufl., DSGVO Art. 4 Nr. 7 Rn. 15, 17; Hartung in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., DS-GVO Art. 4 Nr. 7 Rn. 9; Gola in Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., DSGVO Art. 4 Rn. 63; European Data Protection Board - edpb, Leitlinien07/2020 zu den Begriffen "Verantwortlicher" und "Auftragsverarbeiter" in der DSGVO, Version 2.0, Rn. 18 f.).

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 28.05.2025
VI ZR 258/24
Verordnung (EU) 2016/679 Art. 82 Abs. 1

Der BGH hat dem EuGH Fragen zum Personenbezug dynamischer IP-Adressen und zur Rechtsmissbräuchlichkeit der Geltendmachung von Schadensersatzansprüchen aus Art. 82 Abs. 1 DSGVO zur Voarbentscheidung vorgelegt.

Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

a) Ist Art. 4 Nr. 1 DSGVO dahingehend auszulegen, dass im Falle der automatisierten Übermittlung einer dynamischen Internetprotokoll-Adresse (IPAdresse) diese bereits dann ein personenbezogenes Datum darstellt, wenn ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt ?

Oder ist Voraussetzung für die Annahme eines personenbezogenen Datums, dass der für die Übermittlung Verantwortliche oder der Empfänger über Mittel verfügen, die vernünftigerweise eingesetzt werden können, die betreffende Person - gegebenenfalls mit Hilfe eines Dritten - bestimmen zu lassen ?

Falls letzteres zutrifft: Genügt es insoweit, dass unter bestimmten Voraussetzungen rechtliche Möglichkeiten zur Identifizierung der betroffenen Person bestehen können oder müssen diese Voraussetzungen in tatsächlicher und rechtlicher Sicht im konkreten Fall vorgelegen haben ?

b) Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass ein immaterieller Schaden auch dann vorliegen kann, wenn die betroffene Person einen Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung bewusst und allein zu dem Zweck herbeiführt, den Verstoß dokumentieren und gegenüber dem Verantwortlichen geltend machen zu können ?

Falls ja: Kann das Vorliegen eines immateriellen Schadens auch dann bejaht werden, wenn gleichartige Verstöße in großer Zahl in automatisierter Weise provoziert werden ?

c) Falls beide unter Ziffer 2 aufgeworfenen Fragen bejaht werden:

Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass in einem Fall der in Frage 2 beschriebenen Art ein Anspruch auf Ersatz immateriellen Schadens wegen missbräuchlichen Verhaltens der betroffenen Person verneint werden kann, weil trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde und die Absicht bestand, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden? Kommt es insoweit darauf an, ob die Erlangung eines finanziellen Vorteils die alleinige Motivation für die Provokation des Verstoßes gegen die Verordnung war ?

BGH, Beschluss vom 28. August 2025 - VI ZR 258/24 - LG Hannover - AG Hannover

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 25.09.2025
I ZR 11/20
Kostenlose Registrierung
Richtlinie 2005/29/EG Art. 5 Abs. 5, Nr. 20 des Anhangs I

Die BGH hat dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob etwas "kostenlos" im Sinne der Richtlinie über unlautere Geschäftspraktiken ist, wenn die Nutzer bzw. Kunden mit ihren personenbezogenen Daten "bezahlen" und in die Verarbeitung der Daten zu kommerziellen Zwecken einwilligen.

Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Nr. 20 des Anhangs I in Verbindung mit Art. 5 Abs. 5 der Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates vom 11. Mai 2005 über unlautere Geschäftspraktiken von Unternehmen gegenüber Verbrauchern im Binnenmarkt (Richtlinie über unlautere Geschäftspraktiken; ABl. L 149 vom 11. Juni 2005,S. 28, 36) folgende Frage zur Vorabentscheidung vorgelegt:

Erfasst der Begriff der "Kosten" im Sinne von Nr. 20 des Anhangs I in Verbindung mit Art. 5 Abs. 5 der Richtlinie 2005/29/EG auch die Preisgabe personenbezogener Daten und Einwilligung in ihre Nutzung zu kommerziellen Zwecken?

BGH, Beschluss vom 25. September 2025 - I ZR 11/20 - Kammergericht - LG Berlin

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Beschluss vom 05.09.2025
29 K 6375/25

Das VG Düsseldorf hat entschieden, dass die Auskunfterteilung nach Art. 15 DSGVO nicht binnen der Monatsfrist gemäß Art. 12 Abs. 3 DSGVO erfolgen muss. Vielmehr reicht eine Statusmeldung.

Aus den Entscheidungsgründen:
Nach § 161 Abs. 2 Satz 1 VwGO hat das Gericht bei Erledigung der Hauptsache nach billigem Ermessen unter Berücksichtigung des bisherigen Sach- und Streitstands über die Kosten des Verfahrens zu entscheiden. Vorliegend entspricht es der Billigkeit, die Kosten des Verfahrens dem Kläger aufzuerlegen. Die Kostenregelung in § 161 Abs. 3 VwGO kommt dem Kläger nicht zugute, weil er nicht mit seiner Bescheidung vor Klageerhebung rechnen durfte. Der Kläger hat die Untätigkeitsklage verfrüht, d. h. vor Ablauf der dreimonatigen Sperrfrist des § 75 Satz 2 VwGO erhoben.

Nach § 75 Satz 2 VwGO kann die Klage im Regelfall nicht vor Ablauf von drei Monaten seit dem Antrag auf Vornahme des Verwaltungsakts erhoben werden. Diese Frist war zum Zeitpunkt der Klageerhebung am 23. Juni 2025 noch nicht abgelaufen. Der Antrag auf Erteilung der datenschutzrechtlichen Auskunft nach Art. 15 DSGVO datiert vom 16. Mai 2025.

Es lagen auch keine besonderen Umstände des Falles vor, die eine kürzere Frist als die Regelfrist von drei Monaten geboten hätten. § 75 Satz 2 VwGO ist Ausdruck des Gebots effektiven Rechtsschutzes. Besondere Umstände, die eine frühzeitige Entscheidung der Behörde als geboten erscheinen lassen können, liegen insbesondere vor, wenn dem Kläger das Abwarten der Dreimonatsfrist schwere und unverhältnismäßige Nachteile zufügen würde. Solche Nachteile macht der Kläger nicht geltend.

Soweit auch spezialgesetzliche Fristen "besondere Umstände" im Sinne von § 75 Satz 2 VwGO sein können,

vgl. BVerwG, Urteil vom 22. März 2018 – 7C 21/16 –, juris Rn. 12, m.w.N.,

kann dahinstehen, ob Art. 12 Abs. 3 Satz 1 DSGVO eine solche spezialgesetzliche kürzere Bearbeitungsfrist darstellt. Denn die Beklagte ist der aus Art. 12 Abs. 3 Satz 1 DSGVO folgenden Pflicht zur Unterrichtung des Klägers über die ergriffenen Maßnahmen zur Befriedigung seines Auskunftsantrags innerhalb der Monatsfrist nachgekommen.

Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die Frist in Art. 12 Abs. 3 Satz 1 DSGVO bezieht sich lediglich auf die Statusmeldung über die auf Antrag ergriffenen Maßnahmen. Nicht normiert ist dadurch eine Frist zur Erfüllung der in Art. 15-22 DSGVO verankerten Rechte bzw. Ansprüche der betroffenen Person.

So: Franck, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, Art. 12 DSGVO, Rn. 28; Quaas, in: BeckOK Datenschutzrecht, Wolff/Ring/v. Ungern-Sternberg, 52. Edition, Stand 01.05.2025, Art. 12 DSGVO, Rn. 35; Paal/Hennemann, in: Paal/Pauli, DSGVO-BDSG, 3. Aufl. 2021, Art. 12 DSGVO, Rn. 52; Heckmann/Paschke, in: Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 12 DSGVO, Rn. 31; OLG Stuttgart, Urteil vom 31. März 2021 – 9 U 34/21–, BeckRS 2021,6282, Rn. 29; a.A. Bäcker, in: Kühling/Buchner, DSGVO-BDSG, 4. Aufl. 2024, Art. 12 Rn. 32.

Dafür, dass es sich nicht um eine Erledigungsfrist handelt, sondern allein die Statusmeldung unverzüglich erfolgen muss, spricht bereits der Wortlaut der Norm, wonach nur die Informationen „über die auf Antrag (…) ergriffenen Maßnahmen“ jedenfalls innerhalb eines Monats zur Verfügung gestellt werden müssen. Noch deutlicher kommt dies in der englischen Fassung der Norm „…provide information on action taken“ zum Ausdruck. Demgemäß heißt es im Erwägungsgrund 59 bezogen auf die Modalitäten, die einer betroffenen Person die Ausübung ihrer Rechte erleichtern, lediglich, der Verantwortliche solle verpflichtet werden, den Antrag der betroffenen Person spätestens innerhalb eines Monats zu beantworten.

In Art. 12 Abs. 3 Satz 1 DSGVO heißt es gerade nicht, dass die begehrten Informationen innerhalb der Frist zur Verfügung zu stellen sind. Der EU-Gesetzgeber differenziert jedoch ausdrücklich zwischen der Erteilung von Informationen einerseits sowie der Übermittlung von Mitteilungen bzw. Maßnahmen andererseits. So enthält etwa Art. 14 Abs. 3 lit. a DSGVO explizit eine Erledigungsfrist (“ erteilt die Informationen (…) innerhalb eines Monats“). Art. 77 Abs. 2 DSGVO unterscheidet ebenfalls ausdrücklich zwischen der Unterrichtung über den Stand und über die Ergebnisse der Beschwerde. Auch in den Erwägungsgründen ist von der Bereitstellung der Informationen (Erwägungsgrund 60) oder der Pflicht, Informationen zur Verfügung zu stellen (Erwägungsgrund 62) die Rede, wenn es um die Erfüllung des Anspruchs geht.

Der Gesetzeszusammenhang stützt die hier vertretene Auffassung. Bezöge sich die Frist in Art. 12 Abs. 3 Satz 1 DSGVO auch auf die Erfüllung der in Art. 15 bis 22 DSGVO verankerten Rechte bzw. Ansprüche der betroffenen Person, ergäben die Regelungen in Art. 16 und Art. 17 DSGVO, wonach die betroffene Person das Recht hat, von dem Verantwortlichen „unverzüglich“ die Berichtigung bzw. Löschung sie betreffender personenbezogener Daten zu verlangen, keinen Sinn. Einer weiteren Erledidungsfrist für die Berichtigung bzw. Löschung bedürfte es nicht, wenn sich diese bereits aus Art. 12 Abs. 3 Satz 1 DSGVO ergäbe.

Eine Statusmeldung hat die Beklagte dem Kläger fristgerecht erteilt. Sie hat ihm mit Schreiben vom 20. Mai 2025 mitgeteilt, dass sein Schreiben eingegangen sei und sein Anliegen geprüft werde, die Klärung jedoch Zeit in Anspruch nehmen könne. Damit hat die Beklagte nicht nur eine – nicht ausreichende - reine Eingangsbestätigung übersandt,

vgl. dazu: Franck, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, Art. 12 DSGVO, Rn. 26,

sondern die zur Verwirklichung der Auskunft ergriffenen Maßnahmen beschrieben.

Danach war die Klage unzulässig, weil sie erhoben wurde, ohne dass die Voraussetzungen einer Untätigkeitsklage vorlagen. Die Beklagte hat den Anspruch des Klägers sodann alsbald erfüllt, ohne Anlass zu der verfrühten Untätigkeitsklage gegeben zu haben. Auch nach dem in § 156 VwGO enthaltenen Rechtsgedanken entspricht es in einem solchen Fall der Billigkeit, die Kosten dem Kläger aufzuerlegen.

Die Festsetzung des Streitwerts beruht auf § 52 Abs. 2 GKG.

Den Volltext der Entscheidung finden Sie hier:

LAG Hamm
Urteil vom 28.05.2025
18 SLa 959/24

Das LAG Hamm hat dem betroffenen Arbeitnehmer eine Geldentschädigung aus §§ 823 Abs. 1, 253 Abs. 2 BGB in Höhe von 15.000 EURO wegen unzulässiger dauerhafter Videoüberwachung durch den Arbeitgeber über einen Zeitraum von 22 Monaten zugesprochen.

Aus den Entscheidungsgründen:
1. Dem Kläger steht der Unterlassungsanspruch nicht zu, den er mit dem Klageantrag zu 1) geltend macht.

An dieser Stelle kann offenbleiben, ob das Persönlichkeitsrecht des Klägers in rechtswidriger Weise beeinträchtigt wurde, weil er einer übermäßigen Kameraüberwachung ausgesetzt war. Voraussetzung für einen Unterlassungsanspruch analog § 1004 Abs. 1 Satz 2 BGB ist, dass "weitere Beeinträchtigungen zu besorgen" sind, dass also eine Wiederholungsgefahr besteht (vgl. nur Ebbing, in: Erman, 17. Aufl. 2023, § 1004 BGB Rdnr. 76 m.w.N.). An dieser Wiederholungsgefahr fehlt es im Streitfall, nachdem das Arbeitsverhältnis der Parteien beendet ist. Es sind keine Anhaltspunkte dafür ersichtlich, dass der Kläger zukünftig noch den Betrieb der Beklagten aufsuchen muss und von den dort installierten Kameras überwacht wird.

2. Der Kläger kann von der Beklagten die Zahlung einer Geldentschädigung in Höhe von 15.000,00 € verlangen.

Der Anspruch ergibt sich daraus, dass die Beklagte das Persönlichkeitsrecht des Klägers durch eine übermäßige Kameraüberwachung in rechtswidriger, schuldhafter und erheblicher Weise verletzt hat. Der Anspruch folgt aus § 280 Abs. 1 BGB (die Beklagte hat die sie gemäß § 241 Abs. 2 BGB treffende vertragliche Nebenpflicht, das Persönlichkeitsrecht des Klägers zu schützen, verletzt) und aus § 823 Abs. 1 BGB (das Persönlichkeitsrecht ist als sonstiges Recht durch § 823 Abs. 1 BGB geschützt), jeweils in Verbindung mit § 253 Abs. 2 BGB.

Das Arbeitsgericht hat dem Kläger richtigerweise eine Entschädigung in Höhe von 15.000,00 € zugesprochen. Es besteht keine Veranlassung, das ausführlich und sorgfältig begründete Urteil abzuändern.

a) Die Voraussetzungen für die Zahlung einer Geldentschädigung wegen einer Verletzung des Persönlichkeitsrechts liegen im Streitfall vor.

Das Arbeitsgericht hat die insoweit zu stellenden Anforderungen an die Zubilligung einer Geldentschädigung unter Bezugnahme auf die einschlägige höchstrichterliche Rechtsprechung (BAG, Urteil vom 19.02.2015 - 8 AZR 1007/13 m.w.N.) im Einzelnen unter I 2 b aa der Entscheidungsgründe des erstinstanzlichen Urteils dargelegt. Die erkennende Kammer tritt dem bei (§ 69 Abs. 2 ArbGG).

aa) Die Beklagte griff in das Persönlichkeitsrecht des Klägers ein.

Der Eingriff erfolgte dadurch, dass die Beklagte mit den Videokameras, die in der Betriebshalle installiert sind, Bildaufnahmen vom Kläger fertigte. Das Persönlichkeitsrecht umfasst auch das Recht am eigenen Bild (BAG, Urteil vom 19.02.2015 - 8 AZR 1007/13). Es gehört zum Selbstbestimmungsrecht eines jeden Menschen, selbst darüber zu entscheiden, ob Filmaufnahmen von ihm gemacht und möglicherweise verwendet werden dürfen.

bb) Der Eingriff in das Persönlichkeitsrecht des Klägers war rechtswidrig.

Ob ein Eingriff in das Recht am eigenen Bild durch Videoaufnahmen rechtswidrig ist, beurteilt sich nach den Bestimmungen des Bundesdatenschutzgesetzes sowie der DSGVO. Die dort niedergelegten Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung und am eigenen Bild (vgl. BAG, Urteil vom 23.08.2018 - 2 AZR 133/18, Urteil vom 19.02.2019 - 8 AZR 1007/13, Urteil vom 12.02.2025 - 6 AZR 845/13, jeweils zum Bundesdatenschutzgesetz:). Das Anfertigen von Videoaufnahmen stellt eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 1 und 2 DSGVO dar.

(1) Die Kameraüberwachung ist nicht nach den Bestimmungen des Bundesdatenschutzgesetzes zulässig.

(a) Die (erleichterten) Zulässigkeitsvoraussetzungen für die Videoüberwachung öffentlich zugänglicher Räume gemäß § 4 BDSG kommen im Streitfall nicht zum Tragen.

Bei der Betriebshalle der Beklagten handelt es sich nicht um öffentlich zugängliche Räume. Das hat das Arbeitsgericht unter Heranziehung der Gesetzesmaterialien, der Literatur und der einschlägigen Rechtsprechung unter I 2 b bb (1) (a) der Entscheidungsgründe des erstinstanzlichen Urteils überzeugend begründet. Diesen Ausführungen des Arbeitsgerichts, die die Beklagte mit der Berufungsbegründung nicht angegriffen hat, schließt die erkennende Kammer sich an (§ 69 Abs. 2 ArbGG).

(b) Die Videoüberwachung ist nicht nach § 26 Abs. 1 BDSG zulässig.

(aa) § 26 Abs. 1 Satz 1 BDSG vermag die Videoüberwachung nicht zu rechtfertigen.

Die Norm kommt als rechtliche Grundlage für die Datenverarbeitung nicht in Betracht, da sie den Anforderungen, die Art. 88 DSGVO an Vorschriften des nationalen Rechts stellt, nicht erfüllt (BAG, Beschluss vom 09.05.2023 - 1 ABR 14/22). Dies gilt schon deshalb, weil Schutzmaßnahmen im Sinne des Art. 88 Abs. 2 DSGVO nicht vorgesehen sind.

(bb) Die Zulässigkeit der Videoüberwachung folgt nicht aus § 26 Abs. 1 Satz 2 BDSG.

Dokumentierte tatsächliche Anhaltspunkte dafür, dass der Kläger oder ein anderer Arbeitnehmer eine Straftat beging, liegen nicht vor. Bei den Manipulationen an den Maschinen, die sich - der Behauptung der Beklagten zufolge - in der Vergangenheit zutrugen, handelt es sich nicht um Straftaten. Der Einbruchsversuch, der im Frühjahr 2024 geschah, ist aufgeklärt. Sonstige Anhaltspunkte für Straftaten, die eine Überwachung im vorgesehenen Umfang zu ihrer Aufdeckung als erforderlich erscheinen lassen, sind nicht ersichtlich.

(2) Die Videoüberwachung ist auch nicht nach Art. 6 DSGVO zulässig.

(a) An einer wirksamen Einwilligung des Klägers im Sinne des Art. 6 Abs. 1 Buchstabe a DSGVO fehlt es.

Zwar hat sich der Kläger gemäß § 14 des Arbeitsvertrages vom 01.08.2020 mit der Verarbeitung personenbezogener Daten einverstanden erklärt. Damit willigte er jedoch nicht wirksam in die Videoüberwachung ein. Es fehlt schon an der erforderlichen Freiwilligkeit der Einwilligung (§ 26 Abs. 2 Satz 1 BDSG, Art. 7 Abs. 4 DSGVO). In Maßnahmen der Mitarbeiterüberwachung kann durch den Abschluss des Arbeitsvertrages nicht vorab wirksam eingewilligt werden (vgl. etwa Gola, BB 2017, 1462, 1468; Wybitul, NZA 2017, 413, 416), da der Abschluss des Arbeitsvertrages von der Erklärung der Einwilligung abhängt und die Einwilligung dem Arbeitnehmer in dieser Situation nur Nachteile bringt. Es kommt hinzu, dass eine Belehrung über das Widerrufsrecht gemäß § 26 Abs. 2 Satz 4 BDSG nicht erteilt wurde und die Erklärung der Einwilligung von den übrigen arbeitsvertraglichen Vereinbarungen nicht gemäß Art. 7 Abs. 2 Satz 1 DSGVO klar unterscheidbar ist.

(b) Die Videoüberwachung ist schließlich nicht nach Art. 6 Abs. 1 Buchstabe f DSGVO zulässig.

Diese Vorschrift erlaubt die Datenverarbeitung zur Wahrung berechtigter Interessen. Datenverarbeitende Maßnahmen, sollen sie nach Art. 6 Abs. 1 Buchstabe f DSGVO statthaft sein, müssen allerdings einer Verhältnismäßigkeitsprüfung standhalten (EuGH, Urteil vom 11.12.2019 - C - 708/18). Das ergibt sich bereits aus dem Wortlaut der Vorschrift. Im Streitfall ist die Videoüberwachung als unverhältnismäßig anzusehen.

(aa) Soweit die Beklagte unter Hinweis auf einen Diebstahl, der sich auf dem Nachbargelände ereignete, die Kameraüberwachung mit der Verhinderung von Straftaten und Vandalismus auf ihrem Betriebsgelände rechtfertigen will, sind die Voraussetzungen einer verhältnismäßigen Datenverarbeitung erkennbar nicht erfüllt.

Es fehlt schon an der Eignung der Maßnahme. Eine Kameraüberwachung in der Betriebshalle vermag die aus Sicht der Beklagten drohenden Gefahren auf dem Betriebsgelände nicht oder allenfalls teilweise abzuwenden oder zu dokumentieren. Jedenfalls stellt die Überwachung des Außenbereichs ein milderes Mittel dar.

(bb) Soweit die Beklagte vorbringt, in der Betriebshalle befänden sich Maschinen zur Stahlbearbeitung, hochwertiges Werkzeug sowie Materialvorräte, kann dies die Überwachung im vorliegenden Ausmaß nicht rechtfertigen.

Dabei mag zugunsten der Beklagten davon ausgegangen werden, dass diese Gegenstände, anders als die von ihr hergestellten Produkte, leicht Gegenstand einer Entwendung oder Beschädigung sein können. Die Beklagte hat aber schon nicht vorgetragen, an welchen Standorten in der Betriebshalle sich diese Gegenstände befinden. Die Beklagte hat auch nicht vorgetragen, inwieweit diese Erwägungen auf den Arbeitsplatz des Klägers zutreffen. Schließlich hat die Beklagte keinen Vortrag dazu gehalten, inwiefern aufgrund von Vorkommnissen in der Vergangenheit ein nennenswertes Sicherheitsrisiko besteht. Es ist nicht ersichtlich, dass es zu einer Sachbeschädigung, einem Diebstahl oder einem Diebstahlsversuch durch die in der Halle tätigen Arbeitnehmer kam. Für die Kammer ist auch nicht erkennbar, inwiefern das konkrete Risiko eines Diebstahls durch betriebsfremde dritte Personen besteht. Insoweit wäre jedenfalls eine Überwachung des Eingangs- und Außenbereichs als gefahrabwendende Maßnahme zureichend.

(cc) Das Vorbringen der Beklagten zu Manipulationen an Maschinen begründet nicht Zulässigkeit der Kameraüberwachung.

Es lässt sich nicht feststellen, inwiefern es in der Vergangenheit zu derartigen Manipulationen kam. Der Kläger hat dies bestritten. Eine Beweiserhebung durch die Vernehmung des Betriebsleiters, den die Beklagte als Zeugen benannt hat, ist als Ausforschungsbeweis unzulässig. Die Beklagte hat die Tatsachen, über welche die Vernehmung des Zeugen stattfinden soll, nicht hinreichend genau gemäß § 373 ZPO bezeichnet. Sie hat die Manipulationen nur pauschal behauptet und weder nach Ort, Art oder Zeitpunkt konkretisiert. Zwar ist der Beklagten zuzugeben, dass Manipulationen an Maschinen grundsätzlich denkbar sind. Will die Beklagte durch eine Kameraüberwachung des vorliegenden Ausmaßes aber nur einer abstrakten Manipulationsgefahr begegnen, so ist die Maßnahme offenkundig unverhältnismäßig.

(dd) Auch unter dem Gesichtspunkt der Arbeitssicherheit und der beabsichtigten Auswertung von Arbeitsunfällen erweist sich die Videoüberwachung nicht als zulässig.

Im Hinblick auf Vorkommnisse im Außenbereich, die für die Arbeitssicherheit relevant sein könnten, stellt die Kameraüberwachung innerhalb der Betriebshalle schon keine geeignete Maßnahme dar. Im Hinblick auf den Bereich innerhalb der Betriebshalle fehlt es an einer konkreten Darlegung der Beklagten, wann sich welche Arbeitsunfälle ereigneten und inwiefern eine Auswertung von Kameraaufzeichnungen nützlich wäre. Die Beklagte hat auch nicht vorgebracht, inwiefern das Gefahrenpotential für die Arbeitnehmer so hoch ist, dass die Überwachung des gesamten Hallenbereichs notwendig erscheint, insbesondere bezogen auf den Arbeitsplatz des Klägers

(ee) Bezüglich der beabsichtigten Nachverfolgung von Maschinenausfällen ist die Kameraüberwachung ebenfalls unverhältnismäßig.

Die Beklagte hat nicht dargelegt, in welcher Häufigkeit es in der Vergangenheit zu Ausfällen von Maschinen kam und ob der Arbeitsplatz des Klägers davon betroffen war. Es ist auch nicht ersichtlich, warum eine Videoaufzeichnung hilfreich wäre. Ein zeitnaher Eingriff, um auf den Ausfall zu reagieren, wäre nur möglich, wenn eine ständige "Live-Auswertung" der Kamerabilder erfolgte. Das hat die Beklagte jedoch nicht vorgetragen. Darüber hinaus ist nicht ersichtlich, welche Schäden bei einem Ausfall von Maschinen drohen und inwiefern zur Abwendung dieser Schäden die intensive Kameraüberwachung erforderlich ist.

(ff) Wenn die Beklagte vorbringt, die Kameraüberwachung erfolge, um nachweisen zu können, dass korrektes Material verladen wurde, ist auch dieser Gesichtspunkt nicht geeignet, die Rechtmäßigkeit der Überwachungsmaßnahme darzutun.

Die Überwachung erweist sich insoweit als unverhältnismäßig, denn sie betrifft den gesamten Innenbereich der Halle und nicht nur den Bereich, in dem die Verladung stattfindet. Diesen Bereich hat die Beklagte nicht näher konkretisiert. Sie hat keinen Vortrag dazu gehalten, inwiefern auch die Überwachung des Arbeitsplatzes, an dem der Kläger tätig war, unter diesem Gesichtspunkt erforderlich ist. Bei einer Löschung der Aufzeichnungen nach 48 Stunden dürfte im Regelfall die Kameraaufzeichnung als Beweismittel nicht mehr zur Verfügung stehen, wenn es zu einem Streit um die Verladung des ordnungsgemäßen Materials kommt. Schließlich ist nicht ersichtlich, warum es für die Beklagte nicht möglich ist, den gewünschten Nachweis durch Zeugen zu erbringen.

cc) Die Beklagte handelte im Hinblick auf die Kameraüberwachung schuldhaft.

Die Beklagte führte die Überwachungsmaßnahme vorsätzlich durch. Sie handelte bewusst und gewollt.

dd) Durch die Überwachung fand ein schwerer Eingriff in das Persönlichkeitsrecht des Klägers statt, der einen Anspruch auf Geldentschädigung auslöst.

Dabei ist zwar zugunsten der Beklagten zu berücksichtigen, dass die Überwachung nicht heimlich, sondern offen stattfand. Es ist auch nicht ersichtlich, dass aufgrund der Kameraüberwachung konkrete disziplinarische Maßnahmen gegenüber dem Kläger getroffen wurden. Ob dies, wie der Kläger vorträgt, gegenüber anderen Arbeitnehmern der Fall war, ist im Hinblick auf die Beeinträchtigung der Rechtsposition des Klägers unerheblich.

Andererseits ist zu berücksichtigen, dass die Überwachung in einem besonders langen Zeitraum stattfand. Der Kläger wurde von Januar 2023 bis Oktober 2024, also über einen Zeitraum von 22 Monaten, arbeitstäglich dauerüberwacht. Außerhalb der Pausen-, Umkleide- und Sanitärräume gab es in der Betriebshalle keinen Raum, in den der Kläger sich zum Schutze vor der Kameraüberwachung hätte zurückziehen können. Ob in den Büroräumen eine Kameraüberwachung tatsächlich nicht stattfand, ist insoweit unerheblich, da der Kläger als gewerblicher Arbeitnehmer sich dort kaum aufgehalten haben wird. Wenngleich er bei seiner regulären Arbeit nur von hinten aufgenommen wurde, war die Tätigkeit des Klägers am Arbeitsplatz war Gegenstand permanenter Überwachung. Beim Verlassen des Arbeitsplatzes wurde der Kläger von vorn aufgenommen. Dass insoweit auch die Möglichkeit bestand, das Kamerabild zu "zoomen", hat die Beklagte nicht konkret bestritten. Auch nach dem Vorbringen der Beklagten war der Zugriff auf die Bilddaten jederzeit durch mehrere Personen möglich. Wie die Beklagte in der mündlichen Verhandlung vor der erkennenden Kammer eingeräumt hat, erlaubte die eingesetzte Überwachungstechnik nicht nur, Einsicht in aufgezeichnete Kameradaten durch nachträgliches "Abspielen" zu nehmen; vielmehr bestand auch die Möglichkeit einer "Live-Überwachung" durch Einsichtnahme in die aktuell laufenden Kameraaufzeichnungen. Es entspricht allgemeiner Lebenserfahrung und bedarf keines besonderen Vortrages, dass dadurch ein extrem hoher Anpassungsdruck für den Kläger - und die anderen in der Halle tätigen Arbeitnehmer - hervorgerufen wurde. Es kommt hinzu, dass die Beklagte die Videoüberwachung unverändert fortführte, obgleich der Kläger mit dem Schreiben vom 18.12.2023 auf deren Unerwünschtheit und Unverhältnismäßigkeit hingewiesen hatte. Das Vorbringen der Beklagten, sie habe eine Überarbeitung des Überwachungskonzepts zu Beginn des Jahres 2024 in Auftrag gegeben, stellt die Schwere des Eingriffs in das Persönlichkeitsrecht nicht in Frage. Eine Modifikation erfolgte bis zum Ende der Beschäftigungszeit des Klägers nicht und wurde auch nicht konkret in Aussicht gestellt.

b) Die rechtswidrige, schuldhafte und besonders schwere Verletzung des Persönlichkeitsrechts zieht die Verpflichtung der Beklagten nach sich, eine Geldentschädigung gemäß § 253 Abs. 2 BGB zu zahlen, deren durch das Arbeitsgericht festgesetzte Höhe aus Sicht der erkennenden Kammer nicht zu beanstanden ist.

So hat das Landesarbeitsgericht Mecklenburg-Vorpommern (Urteil vom 25.05.2019 - 2 Sa 214/18) eine Überwachung des Arbeitnehmers durch drei Kameras im nicht öffentlich zugänglichen Bereich der Tankstelle für einen Zeitraum von mehr als acht Monaten für unzulässig gehalten und den Arbeitgeber zur Zahlung einer Geldentschädigung in Höhe von 2.000,00 € verurteilt. Das Landesarbeitsgericht Hamm (Urteil vom 30.10.2012 - 9 Sa 158/12) hat einem Arbeitnehmer, der über einen Zeitraum von 20 Monaten durch zwei Kameras für einen Zeitraum von 15 bis 20 Minuten je Arbeitstag überwacht wurde, eine Geldentschädigung in Höhe von 4.000,00 € zugesprochen. Das Hessische Landesarbeitsgericht (Urteil vom 25.10.2010 - 7 Sa 1586/09) hat den Arbeitgeber zur Zahlung einer Geldentschädigung in Höhe von 7.000,00 € für eine dreimonatige Dauerüberwachung verurteilt. Die im Streitfall erfolgte Kameraüberwachung war deutlich intensiver als in den Sachverhalten, die diesen Entscheidungen zugrunde lagen. Unter Berücksichtigung der Geldentwertung und des nicht geringen Verschuldens der Beklagten ist im Streitfall eine Geldentschädigung in Höhe von 15.000,00 € angemessen. Die Beklagte hat sich in eklatanter Weise über die Vorgaben des Datenschutzrechts hinweggesetzt. Anhaltspunkte dafür, dass sie hätte glauben dürfen, ihr Vorgehen seien rechtmäßig, sind nicht ersichtlich. Insbesondere hat die Beklagte nicht vorgebracht, sich vor der Installation der Kameraüberwachungsanlage datenschutzrechtlich beraten lassen zu haben. Zudem handelt es sich angesichts der Dauer und Intensität der Überwachung um einen besonders schweren Eingriff in das Persönlichkeitsrecht des Klägers; insoweit kann auf die Ausführungen unter II 2 a dd der Entscheidungsgründe Bezug genommen werden.

Den Volltext der Entscheidufng dinen Sie hier:

OLG Stuttgart
Urteil vom 23.09.2025
6 UKl 2/25

Das OLG Stuttgart hat entschieden, dass Lidl die Lidl Plus App als "kostenlos" bewerben darf, auch wenn die Nutzer mit ihren Daten "bezahlen". Die Revision zum BGH wurde zugelassen.

Die Pressemitteilung des Gerichts:
Unterlassungsklage des Verbraucherzentrale Bundesverbandes gegen Lidl im Zusammenhang mit dem Vorteilsprogramm „Lidl Plus“ erfolglos

Der 6. Zivilsenat (Verbraucherrechtssenat) des Oberlandesgerichts Stuttgart hat heute in dem am 22. Juli 2025 mündlich verhandelten Verfahren die Klage abgewiesen.

Die Beklagte bietet eine Lidl Plus App an, bei deren Nutzung Verbraucher Rabatte, personalisierte Produktinformationen, Teilnahmen an Sonderaktionen usw. erhalten. Dafür muss die angebotene App installiert werden, Kunden müssen dort persönliche Daten angeben. Außerdem müssen sie sich mit den Teilnahmebedingungen einverstanden erklären. Das ist ein online abrufbarer, 18 DiNA4-Seiten langer Text. Dort steht unter 4.1, die Teilnehme an Lidl Plus sei „kostenlos“ und unter 4.2 wird erläutert, welche Daten der Kunden erhoben, gespeichert und genutzt werden.

Der klagende Verbraucherschutzverband meint, die Nutzung der App sei nicht kostenlos. Zwar müsse der Verbraucher kein Geld zahlen. Da er sich aber mit der Verwendung der Anmeldedaten und der beim weiteren Gebrauch der App erhobenen Daten einverstanden erkläre, bezahle er mit seinen Daten. Lidl dürfe deshalb nicht behaupten, die Nutzung der App sei kostenlos und sei außerdem gesetzlich verpflichtet, einen „Gesamtpreis“ anzugeben. Deswegen verklagt die Verbraucherzentrale Lidl nach den Vorschriften des Unterlassungsklagengesetzes (UKlaG).

Nach der Entscheidung des 6. Zivilsenats ist die zulässige Klage unbegründet:

Es ist nicht zu beanstanden, dass Lidl bei der Anmeldung keinen „Gesamtpreis“ angibt. Die Verpflichtung zur Angabe eines Gesamtpreises setzt voraus, dass überhaupt ein Preis zu entrichten ist. Einen solchen haben die Verbraucher bei der Nutzung der Lidl Plus App aber gerade nicht zu bezahlen. Das deutsche Gesetz und die zugrundeliegenden europäischen Normen verstehen einen „Preis“ ersichtlich als zu zahlenden Geldbetrag und nicht als irgendeine sonstige Gegenleistung. Mit der Verpflichtung des Unternehmers zur Angabe eines „Gesamtpreises“ sollen die Verbraucher vor versteckten Kosten, Abofallen usw. geschützt werden. Dass der Unternehmer eine nicht in Geld bestehende Gegenleistung als solche offenlegen und als „Gesamtpreis“ bezeichnen müsste, ist nach der Entscheidung des Oberlandesgerichts weder vom deutschen noch vom europäischen Normgeber gewollt.

Es ist auch nicht irreführend, dass Lidl die Nutzung der App in den Teilnahmebedingungen als „kostenlos“ bezeichnet. Der Begriff „kostenlos“ bringt lediglich und in zulässiger Weise zum Ausdruck – woran Lidl und die Verbraucher gleichermaßen ein Interesse haben –, dass die Verbraucher für die Nutzung der App und die erhofften Vorteile kein Geld bezahlen müssen. Dass Lidl bei der Anmeldung und Nutzung der App Daten der Verbraucher erhebt und diese in wirtschaftlicher Weise nutzt, steht ausdrücklich und in engem Zusammenhang mit dem Wort „kostenlos“ in den Nutzungsbedingungen.

Die Bezeichnung als „kostenlos“ sehen nur diejenigen Verbraucher, die die Nutzungsbedingungen lesen. Wer die Nutzungsbedingungen liest, erfährt dort aber auch, welche Daten erhoben und von Lidl verwendet werden. Beim verständigen Leser entsteht daher nicht der Eindruck, „kostenlos“ bedeute, dass er als Nutzer keinerlei Gegenleistung erbringen müsse. Und wer die Nutzungsbedingungen nicht liest, der erfährt schon gar nichts von der als „kostenlos“ bezeichneten Nutzung.

Der 6. Zivilsenat hat die Revision zum Bundesgerichtshof wegen grundsätzlicher Bedeutung zugelassen.

Aktenzeichen Oberlandesgericht Stuttgart

6 UKl 2/25

UKlaG § 2 Ansprüche bei verbraucherschutzgesetzwidrigen Praktiken

(1) Wer … Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden…

(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere

1.die Vorschriften des Bürgerlichen Rechts, die für folgende Verträge zwischen Unternehmern und Verbrauchern gelten:

a) …

b) Fernabsatzverträge, …

BGB § 312 Anwendungsbereich

(1) Die Vorschriften … sind auf Verbraucherverträge anzuwenden, bei denen sich der Verbraucher zu der Zahlung eines Preises verpflichtet.

(1a) Die Vorschriften … sind auch auf Verbraucherverträge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet…

BGB § 312d Informationspflichten

(1) Bei … Fernabsatzverträgen ist der Unternehmer verpflichtet, den Verbraucher nach Maßgabe des Artikels 246a des Einführungsgesetzes zum Bürgerlichen Gesetzbuche zu informieren…

EGBGB Art. 246a § 1 Informationspflichten

(1) Der Unternehmer ist nach § 312d Absatz 1 des Bürgerlichen Gesetzbuchs verpflichtet, dem Verbraucher folgende Informationen zur Verfügung zu stellen:
…

5. den Gesamtpreis der Waren oder der Dienstleistungen, einschließlich aller Steuern und Abgaben, oder in den Fällen, in denen der Preis auf Grund der Beschaffenheit der Waren oder der Dienstleistungen vernünftigerweise nicht im Voraus berechnet werden kann, die Art der Preisberechnung, …

BAG
Urteil vom 05.06.2025
8 AZR 117/24

Das BAG hat vorliegend entschieden, dass dem Betroffenen 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO zustehen, nachdem der potentielle Arbeitgeber eine Google Recherche über einen Bewerber durchgeführt hat, ohne diesen nach Art. 14 DSGVO zu informieren.

Aus den Entscheidungsgründen:
bb) Der mit dem Feststellungsantrag verfolgte Anspruch auf materiellen Schadenersatz steht dem Kläger auch nicht aus Art. 82 Abs. 1 DSGVO zu.

(1) Nach dieser Bestimmung hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

(2) Hiervon ausgehend kann dahingestellt bleiben, ob die Beklagte, soweit sie im Auswahlverfahren Daten über das gegen den Kläger vor dem Landgericht München I geführte Strafverfahren verarbeitet hat, gegen die Datenschutz-Grundverordnung verstoßen hat, insbesondere ob hier ein Verstoß gegen Art. 6, Art. 10 und/oder Art. 14 DSGVO vorliegt. Dies kann vielmehr zugunsten des Klägers unterstellt werden. Es fehlt jedenfalls an der Darlegung eines Kausalzusammenhangs zwischen den vom Kläger angeführten Verstößen gegen die Datenschutz-Grundverordnung und dem geltend gemachten materiellen Schaden als einer der drei kumulativen Voraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO (vgl. dazu: EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 140; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 32; BAG 20. Februar 2025 – 8 AZR 61/24 – Rn. 10 mwN).

Bei den geltend gemachten Verstößen gegen die Datenschutz-Grundverordnung handelt es sich um Fehler im Auswahlverfahren, die für sich betrachtet nicht ursächlich für einen dem Kläger durch die Nichteinstellung entstandenen Schaden geworden sein können. Dieser Schaden ist vielmehr darauf zurückzuführen, dass er wegen objektiv begründeter Zweifel an seiner charakterlichen Eignung nicht als geeigneter Bewerber angesehen werden kann und schon deshalb keine Verpflichtung der Beklagten bestand, die ausgeschriebene Stelle mit ihm zu besetzen.

2. Der zulässige Klageantrag zu 2. ist, soweit Gegenstand der Revision, unbegründet. Das Landesarbeitsgericht hat dem Kläger zu Recht keinen über 1.000,00 Euro zzgl. Zinsen ab dem 28. Oktober 2022 hinausgehenden immateriellen Schadenersatz zugesprochen.

a) Da sich die Beklagte gegen ihre Verurteilung zur Zahlung einer Entschädigung nicht mit einem eigenen Rechtsmittel gewandt hat, ist die Entscheidung des Landesarbeitsgerichts insoweit mit dem Ablauf der Frist für eine mögliche Anschlussrevision rechtskräftig geworden (vgl. BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 10 mwN).

b) Zugunsten des Klägers kann unterstellt werden, dass ihm nicht nur – wie vom Landesarbeitsgericht angenommen – ein Anspruch auf Zahlung immateriellen Schadenersatzes gemäß Art. 82 Abs. 1 DSGVO wegen eines Verstoßes der Beklagten gegen ihre Informationspflichten aus Art. 14 Abs. 1 Buchst. d DSGVO zusteht, sondern die Beklagte bereits die Daten über das gegen den Kläger anhängige Strafverfahren mangels Eingreifens eines Erlaubnistatbestands iSv. Art. 6 und Art. 10 DSGVO unter Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung erhoben hat, und demzufolge mehrere Verstöße gegen die Verordnung vorliegen. Dies führt aber nicht dazu, dass der vom Landesarbeitsgericht festgesetzte Entschädigungsbetrag rechtsfehlerhaft bemessen wäre.

aa) Bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DSGVO geschuldeten Schadenersatzes haben die nationalen Gerichte in Ermangelung einer Bestimmung in der Datenschutz-Grundverordnung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DSGVO verlangt dabei nicht, dass die Schwere des Verschuldens berücksichtigt wird. Die Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs schließt es sogar aus, dass eine etwaige Vorsätzlichkeit des Verstoßes gegen die Datenschutz-Grundverordnung bei der Bemessung des Schadenersatzes zum Tragen kommt. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung erlittenen Schaden in vollem Umfang ausgleicht (vgl. EuGH 20. Juni 2024 – C-182/22, C-189/22 – [Scalable Capital] Rn. 27 ff. mwN; BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 36).

bb) Hinsichtlich der nach diesen Maßgaben vorzunehmenden Bemessung der Höhe eines Schadenersatzes steht den Tatsachengerichten nach § 287 Abs. 1 ZPO ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Die Festsetzung unterliegt nur der eingeschränkten Überprüfung durch das Revisionsgericht (vgl. BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 37; 20. Juni 2024 – 8 AZR 124/23 – Rn. 16).

cc) Der vom Landesarbeitsgericht ausgeurteilte Betrag von 1.000,00 Euro ist jedenfalls ausreichend, um einen dem Kläger entstandenen immateriellen Schaden auszugleichen.

(1) Das Landesarbeitsgericht hat darauf abgestellt, dass der Kläger durch die Art und Weise der Verarbeitung der Daten über das gegen ihn anhängige Strafverfahren in erheblicher Weise zum bloßen Objekt der Verarbeitung geworden sei, was seinen Achtungsanspruch als Person herabgesetzt habe und mit einem erheblichen Kontrollverlust einhergegangen sei. Damit hat es die vom Kläger angeführten tatsächlichen Beeinträchtigungen umfassend gewürdigt. Der auf dieser Grundlage festgesetzte Entschädigungsbetrag hält sich im tatrichterlichen Beurteilungsspielraum.

(2) Soweit der Kläger eine ausreichend „abschreckende Wirkung“ der ihm zuerkannten Entschädigung vermisst, zeigt er keinen Gesichtspunkt auf, der eine Erhöhung rechtfertigen könnte. Durch die Rechtsprechung des Gerichtshofs der Europäischen Union ist geklärt, dass der in Art. 82 Abs. 1 DSGVO geregelte Schadenersatzanspruch ausschließlich eine ausgleichende und keine strafende Funktion hat, und dass die Höhe eines auf der Grundlage dieser Bestimmung gewährten Schadenersatzes nicht über das hinausgehen darf, was zum Ausgleich eines erlittenen Schadens erforderlich ist (zuletzt EuGH 4. Oktober 2024 – C-507/23 – Rn. 40 ff.). Der danach maßgebliche Charakter des Entschädigungsanspruchs als Anspruch auf Ausgleich eines tatsächlich erlittenen Schadens ist nicht davon abhängig, ob Regelungen im nationalen Recht wegen eines Verstoßes gegen die Datenschutz-Grundverordnung die Verhängung eines Bußgelds gegen den Verantwortlichen ermöglichen oder nicht.

(3) Der Kläger zeigt auch keinen revisiblen Rechtsfehler auf, soweit er geltend macht, das Landesarbeitsgericht sei lediglich von einem Verstoß gegen die Datenschutz-Grundverordnung ausgegangen, während tatsächlich mehrere Verstöße vorlägen. Selbst wenn Letzteres – was zugunsten des Klägers unterstellt werden kann – zutreffen sollte, beziehen sich die behaupteten Verstöße jedenfalls auf denselben Verarbeitungsvorgang. In einem solchen Fall kann, wie der Gerichtshof der Europäischen Union bereits erkannt hat, der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben Person begangen hat, nicht als relevantes Kriterium für die Bemessung des der betroffenen Person gemäß Art. 82 DSGVO zu gewährenden Schadenersatzes herangezogen werden. Um den Betrag der als Ausgleich geschuldeten finanziellen Entschädigung festzulegen, ist allein der vom Betroffenen konkret erlittene Schaden zu berücksichtigen (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 64).

Den Volltext der Entscheidung finden Sie hier:

OVG Münster
Beschluss vom 27.08.2025
16 E 885/23

Das OVG Münster hat entschieden, dass sich Ansprüche auf Löschung personenbezogener Daten in Strafverfahrensakten aus § 500 Abs. 1, Abs. 2 Nr. 1 StPO i. V. m. § 58 Abs. 2 BDSG ergeben können.

Aus den Entscheidungründen:
II. Die so verstandene beabsichtigte Rechtsverfolgung der Klägerin bietet keine hinreichende Aussicht auf Erfolg i. S. v. § 166 Abs. 1 Satz 1 VwGO i. V. m. § 114 Abs. 1 Satz 1 ZPO.

Hinreichende Aussicht auf Erfolg bedeutet mit Blick auf den aus Art. 3 Abs. 1 i. V. m. Art. 20 Abs. 3 GG und Art. 19 Abs. 4 GG folgenden Anspruch auf Rechtsschutzgleichheit einerseits, dass Prozesskostenhilfe nicht erst und nur dann bewilligt werden darf, wenn der Erfolg der beabsichtigten Rechtsverfolgung gewiss oder überwiegend wahrscheinlich ist, andererseits aber auch, dass Prozesskostenhilfe verweigert werden darf, wenn ein Erfolg in der Hauptsache zwar nicht schlechthin ausgeschlossen, die Erfolgschance aber lediglich eine entfernte ist. Die Prüfung der Erfolgsaussichten darf jedoch nicht dazu dienen, die Rechtsverteidigung selbst in das summarische Verfahren der Prozesskostenhilfe zu verlagern und dieses an die Stelle des Hauptsacheverfahrens treten zu lassen. Das Prozesskostenhilfeverfahren will den Rechtsschutz, den der Rechtsstaatsgrundsatz erfordert, nicht selbst bieten, sondern zugänglich machen. Schwierige, bislang ungeklärte Rechts- und Tatsachenfragen dürfen nicht im Prozesskostenhilfeverfahren entschieden werden. Vielmehr müssen auch wirtschaftlich ungünstig Gestellte die Möglichkeit erhalten, solche Fragen in einem Hauptsacheverfahren, in dem sie anwaltlich vertreten sind, klären zu lassen.

Vgl. BVerfG, Beschluss vom 30. Oktober 2023 ‑ 1 BvR 687/22 ‑, juris, Rn. 18 f.; OVG NRW, Beschluss vom 16. Juni 2025 - 16 A 254/24 -, juris, Rn. 2.

Gemessen daran hat das Verwaltungsgericht die Bewilligung von Prozesskostenhilfe im Ergebnis zu Recht versagt.

1. Der Klägerin stehen die geltend gemachten Ansprüche auf aufsichtsrechtliches Einschreiten der Beklagten gegenüber der Staatsanwaltschaft Düsseldorf, dem Amtsgericht Neuss, dem Landgericht Düsseldorf sowie dem Oberlandesgericht Düsseldorf aller Voraussicht nach nicht zu. Ungeachtet der Frage, welche konkreten Befugnisse der Beklagten als Landesbeauftragter für Datenschutz und Informationssicherheit Nordrhein-Westfalen gemäß § 500 Abs. 1, Abs. 2 Nr. 2 der Strafprozessordnung (StPO) i. V. m. § 60 Abs. 1, § 16 Abs. 2 BDSG zustehen, dürfte die Klägerin von der Beklagten nicht verlangen können, darauf hinzuwirken, dass die personenbezogenen Daten der Klägerin und die von der Klägerin als „objektiv unwahr“ bezeichneten Behauptungen über sie in den Akten der Staatsanwaltschaft Düsseldorf und der genannten Gerichte nach § 489, § 500 Abs. 1, Abs. 2 Nr. 1 StPO i. V. m. § 58 Abs. 2 BDSG gelöscht werden. Diese dürften schon nicht verpflichtet sein, die in Rede stehenden Löschungen vorzunehmen.

Ansprüche auf Löschung personenbezogener Daten, die in Akten einer Staatsanwaltschaft oder von Strafgerichten enthalten sind, können sich aus § 500 Abs. 1, Abs. 2 Nr. 1 StPO i. V. m. § 58 Abs. 2 BDSG ergeben, die zusammen mit speziellen Löschungsvorschriften in der Strafprozessordnung (z. B. § 489 StPO) bereichsspezifische Sonderregelungen im Rahmen von Strafverfahren darstellen.

Vgl. BGH, Beschluss vom 27. April 2023 - 5 StR 421/22 -, juris, Rn. 4 (zum Datenverwertungsverbot); Bayerisches Oberstes Landesgericht, Beschlüsse vom 30. Juli 2024 ‑ 204 VAs 36/24 ‑, juris, Rn. 50, und vom 27. Januar 2020 ‑ 203 VAs 1846/19 ‑, juris, Rn. 17; OLG Hamm, Beschluss vom 26. Februar 2021 - III-1 VAs 74/20 -, juris, Rn. 17.

Das Landesdatenschutzgesetz NRW (DSG NRW) ist auf solche Löschungsansprüche neben diesen Vorschriften grundsätzlich nicht anwendbar (vgl. § 35 Abs. 3 DSG NRW).

Vgl. Bayerisches Oberstes Landesgericht, Beschluss vom 27. Januar 2020 ‑ 203 VAs 1846/19 ‑, juris, Rn. 17 (zum Bayerischen Datenschutzgesetz); Schwartmann/Pabst, in: Spiecker gen. Döhmann/​Bretthauer, Dokumentation zum Datenschutz, Stand: Juni 2025, C 10.0 Das Datenschutzgesetz NRW – Einführung –, Rn. 11, 21; Tillich, in: Löwe-Rosenberg, StPO, 27. Aufl. 2024, Vorbemerkungen zu den §§ 483 bis 491, Rn. 1; Pabst, in: Schwartmann/​Pabst, DSG NRW, 2020, § 35 Rn. 18, 25; siehe auch VG Wiesbaden, Urteil vom 13. August 2021 ‑ 6 K 60/21.WI ‑, juris, Rn. 26 (zum Bußgeldverfahren nach § 46 Abs. 1 OWiG i. V. m. § 500 StPO).

Die Voraussetzungen des § 489 StPO und des § 500 Abs. 1 StPO i. V. m. § 58 Abs. 2 BDSG sind aller Voraussicht nach nicht erfüllt.

a) § 489 StPO dürfte für die in Rede stehenden Akten der Staatsanwaltschaft und der Strafgerichte nicht gelten, und zwar unabhängig davon, ob diese elektronisch oder in Papierform vorliegen. Diese Norm sieht unter bestimmten Voraussetzungen Löschpflichten für Daten vor, die nach den §§ 483 bis 485 StPO in Dateisystemen (vgl. dazu § 500 Abs. 1, Abs. 2 Nr. 1 StPO i. V. m. § 46 Nr. 6 BDSG) gespeichert werden. Die von der Klägerin benannten Akten der Staatsanwaltschaft und der Strafgerichte stellen keine Dateisysteme in diesem Sinne dar. Dies folgt aus § 496 Abs. 3 StPO, wonach elektronische Akten und elektronische Aktenkopien keine Dateisysteme im Sinne des Zweiten Abschnitts (also der §§ 483 bis 491 StPO) sind. Nichts anderes dürfte für Akten der Staatsanwaltschaft und der Strafgerichte gelten, die in Papierform geführt werden.

Siehe zur Unterscheidung zwischen Dateisystemen und Strafakten in der StPO: Tillich, in: Löwe-Rosenberg, StPO, 27. Aufl. 2024, Vorbemerkungen zu den §§ 483 bis 491, Rn. 14 f.

b) Die Voraussetzungen des § 500 Abs. 1 StPO i. V. m. § 58 Abs. 2 BDSG liegen aller Voraussicht nach ebenfalls nicht vor. Nach § 58 Abs. 2 BDSG hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betreffender Daten zu verlangen, wenn deren Verarbeitung unzulässig ist, deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder diese zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen.

Die Verarbeitung der personenbezogenen Daten der Klägerin in den von ihr genannten Akten ist nicht unzulässig i. S. v. § 58 Abs. 2 BDSG, sondern beruht auf der gesetzlichen Ermächtigungsgrundlage des § 161 Abs. 1 StPO. Diese Vorschrift umfasst das Verarbeiten personenbezogener Daten im Rahmen strafrechtlicher Ermittlungen durch die Staatsanwaltschaft und nachfolgend der Strafgerichte (wie etwa das Erheben und Speichern der Daten).

Vgl. BVerfG, Beschluss vom 17. Februar 2009 - 2 BvR 1372/07, 2 BvR 1742/07 -, juris, Rn. 29; Erb, in: Löwe-Rosenberg, StPO, 27. Aufl. 2024, § 161 Rn. 5; Weingarten, in: KK-StPO, 9. Aufl. 2023, § 161 Rn. 1 ff.

Die danach auch im Fall der Klägerin grundsätzlich gegebene Zulässigkeit der Verarbeitung ihrer Daten entfällt nicht deswegen, weil die Klägerin die örtliche Zuständigkeit der Staatsanwaltschaft und der Strafgerichte bestreitet und meint, daher hätten diese ihre personenbezogenen Daten nicht erheben und sonst verarbeiten dürfen. Die Staatsanwaltschaft Düsseldorf dürfte aus den von der Beklagten im Schriftsatz vom 29. Januar 2021 ausgeführten Gründen (dort unter 1.), auf die der Senat Bezug nimmt, örtlich zuständig gewesen sein. Soweit die Strafgerichte ihre örtliche Zuständigkeit für das gegen die Klägerin gerichtete Strafverfahren im Rahmen ihrer rechtsprechenden Tätigkeit bejaht haben, kann diese Annahme nicht im Wege einer datenschutzrechtlichen Beschwerde überprüft werden. Dies folgt aus § 500 Abs. 1, Abs. 2 Nr. 2 StPO i. V. m. § 60 Abs. 1 Satz 2 BDSG, wonach eine Anrufung der Landesbeauftragten für den Datenschutz nicht eröffnet ist, wenn es um die Verarbeitung personenbezogener Daten durch Gerichte geht, soweit diese die Daten im Rahmen ihrer justiziellen Tätigkeit verarbeitet haben. Die örtliche Zuständigkeit der Strafgerichte wird nach den Vorschriften der Strafprozessordnung mit den darin vorgesehenen Rechtsmitteln geprüft. Diese hat die Klägerin nach ihren Angaben erfolglos ausgeschöpft.

Es ist davon auszugehen, dass die Kenntnis der in den Akten gespeicherten personenbezogenen Daten der Klägerin für die Aufgabenerfüllung weiterhin erforderlich i. S. v. § 58 Abs. 2 BDSG ist. Denn die in der Verordnung über die Aufbewahrung und Speicherung von Justizakten (Justizaktenaufbewahrungsverordnung – JAktAV) bestimmten Aufbewahrungs- und Speicherfristen sind noch nicht abgelaufen. Diese Verordnung regelt nach ihrem § 1 Satz 1 die Aufbewahrung und Speicherung der Akten, Aktenregister, Karteien, Namens- und sonstigen Verzeichnisse der Gerichte und der Staatsanwaltschaften, die für das Verfahren nicht mehr erforderlich sind, und die hierbei zu beachtenden Aufbewahrungs- und Speicherfristen. Diese bestimmen sich gemäß § 3 Abs. 1 Satz 1 i. V. m. § 10 JAktAV nach der Anlage zur JAktAV. Die Aufbewahrungs- und Speicherungsfrist u. a. für Akten in Strafsachen beginnt mit Ablauf des Jahres, in dem die verfahrensbeendende Entscheidung rechtskräftig geworden ist (§ 5 Abs. 1 Satz 1 JAktAV). Ausgehend von den von der Klägerin mitgeteilten Aktenzeichen des OLG Düsseldorf u. a. aus dem Jahre 2020 ist davon auszugehen, dass die letztinstanzliche Entscheidung nicht vor diesem Jahr ergangen, die verfahrensbeendende Entscheidung also nicht vorher rechtskräftig geworden ist und demnach die Aufbewahrungs- und Speicherungsfrist frühestens mit Ablauf des Jahres 2020 begonnen hat. Nach Nr. 1143.2 Buchstabe g, h und j der Anlage zur JAktAV sind Akten (einschließlich aufzubewahrender Handakten und Vollstreckungs‑, Bewährungs- sowie Gnadenhefte) der Staatsanwaltschaft in Strafsachen über Anklagen, Anträge nach den §§ 413, 435 StPO sowie Strafbefehle – abhängig vom Ausgang des Verfahrens, der hier nicht aktenkundig ist – fünf Jahre oder länger aufzubewahren. Diese Mindestfrist ist noch nicht abgelaufen. Für Akten der Amts-, Land- und Oberlandesgerichte in Strafsachen sind jedenfalls keine kürzeren Fristen bestimmt: Von den Akten des Amtsgerichts in Strafsachen sind bestimmte, dort näher bezeichnete Unterlagen wie Urteile und Strafbefehle, in denen rechtskräftig auf Strafe erkannt ist, nach Nr. 1113.2 der Anlage zur JAktAV ebenso wie die Sammelakten des Landgerichts in Strafsachen mit den in der Berufungs- oder Beschwerdeinstanz zurückbehaltenen Dokumenten nach Nr. 1123.0 der Anlage zur JAktAV sowie die Urteile und Beschlüsse eines Oberlandesgerichts in Strafsachen nach Nr. 1133.0 Spalte 5 i. V. m. Nr. 1133.2 der Anlage zur JAktAV jeweils 30 Jahre lang aufzubewahren. Sammelakten und Blattsammlungen (Senatsakten) mit den in der Revisions- oder Beschwerdeinstanz zurückbehaltenen Dokumenten der Oberlandesgerichte in Strafsachen sind nach Nr. 1133.0 der Anlage zur JAktAV zehn Jahre lang aufzubewahren.

Ungeachtet weiterer Erwägungen sind Anhaltspunkte dafür, dass die Kenntnis der personenbezogenen Daten der Klägerin für die Aufgabenerfüllung im Rahmen des Strafverfahrens auch schon vor Ablauf der in der Justizaktenaufbewahrungsverordnung bestimmten Fristen nicht mehr erforderlich sein könnte, weder vorgetragen noch sonst ersichtlich.

Rechtliche Verpflichtungen i. S. v. § 58 Abs. 2 BDSG zum Löschen der von der Klägerin angeführten Daten sind nicht erkennbar.

Ansprüche der Klägerin aus § 500 Abs. 1 StPO i. V. m. § 58 Abs. 2 BDSG ergeben sich auch nicht aus ihrem Vortrag, die Akten enthielten „objektiv unwahre Behauptungen“ über sie, die beseitigt werden müssten. Unabhängig von der Frage, ob sich aus unrichtigen Daten Löschungsansprüche gemäß § 500 Abs. 1 StPO i. V. m. § 58 Abs. 2 BDSG oder nur Berichtigungsansprüche gemäß § 500 Abs. 1 StPO i. V. m. § 58 Abs. 1 BDSG ergeben können, scheiden vorliegend Ansprüche insoweit schon deswegen aus, weil das, was die Klägerin als „objektiv unwahre Behauptungen“ bezeichnet, keine personenbezogenen Daten betrifft.

Personenbezogene Daten sind nach § 500 Abs. 1 StPO i. V. m. § 46 Nr. 1 BDSG alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Rechtliche Bewertungen auf der Grundlage personenbezogener Informationen und in Anwendung von Rechtsvorschriften durch die Staatsanwaltschaft oder Strafgerichte stellen als solche keine personenbezogenen Daten i. S. v. § 58 Abs. 1 Satz 1, § 46 Nr. 1 BDSG dar, auch wenn sie solche Daten enthalten.

Vgl. zum Begriff „personenbezogene Daten“ in Art. 2 Buchstabe a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und betreffend die rechtliche Beurteilung einer Ausländerbehörde: EuGH, Urteil vom 17. Juli 2014 ‑ C‑141/12 und C‑372/12 ‑, juris, Rn. 39 ff.; dem folgend für interne Bewertungen eines Versicherers zu Ansprüchen des Klägers aus einer Versicherungspolice: BGH, Urteil vom 15. Juni 2021 ‑ VI ZR 576/19 ‑, juris, Rn. 28.

Um solche Bewertungen geht es der Klägerin bei ihren Rügen zu „objektiv unwahren Behauptungen“. Sie benennt keine konkreten Daten, die Informationen über sie vermitteln und mit der Realität nicht übereinstimmen. Vielmehr hält sie die Durchführung des gegen sie gerichteten Strafverfahrens durch die Staatsanwaltschaft Düsseldorf und Strafgerichte in Nordrhein-Westfalen insgesamt für falsch und wirft diesen vor, örtlich nicht zuständig gewesen zu sein und sie zu Unrecht strafrechtlich verurteilt zu haben. Insbesondere trägt sie mit ihrer Beschwerde vor, die Staatsanwaltschaft Düsseldorf habe in der Anklageschrift geschrieben, sie – die Klägerin – habe einen Rechtsanwalt beauftragt, obwohl ihr bekannt gewesen sei, dass sie als Bezieherin von Hartz IV nicht in der Lage sein würde, die anfallenden Gebühren zu begleichen. Dies sei eine objektive Lüge über die aktuelle Gesetzeslage, die das Gesetz beuge. Denn ein Bezieher von Hartz IV dürfe Prozesskostenhilfe bekommen und könne vor der PKH-Entscheidung unmöglich wissen, ob er bezahlen könne. Außerdem habe die Staatsanwaltschaft Düsseldorf mittelbar mit ihrer Behauptung gelogen, dass Mittellose den Anwalt nicht beauftragen dürften.

Da es insoweit um rechtliche Bewertungen, nicht aber um unrichtige personenbezogene Daten geht, würde auch ein Berichtigungsanspruch gemäß § 500 Abs. 1 StPO i. V. m. § 58 Abs. 1 Satz 1 BDSG ausscheiden.

c) Sollte der Klageantrag zu 1. (auch) darauf abzielen, dass nicht nur die personenbezogenen Daten der Klägerin in den von ihr benannten Akten, sondern die Akten selbst vollständig gelöscht werden (vgl. Seite 2 der Anlage A1 zu ihrer Klageschrift vom 9. Dezember 2020: „Alle o. g. Akte müssen vernichtet werden.“), steht ihr ein solcher Anspruch nach dem zuvor Ausgeführten erst recht nicht zu.

2. Falls der Klageantrag zu 1. entgegen der oben genannten Auslegung des Senats dahingehend zu verstehen sein sollte, dass die Klägerin von der Beklagten selbst die Löschung der Daten verlangt, bleibt dies ohne Erfolg. Die Beklagte kann schon deswegen nicht verpflichtet werden, Inhalte von Strafakten zu löschen, weil gemäß § 500 Abs. 1 StPO i. V. m. § 45 Sätze 1 und 2, § 46 Nr. 7, § 58 Abs. 2, § 75 Abs. 2 BDSG die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten zuständigen öffentlichen Stellen, hier die Staatsanwaltschaft und die Strafgerichte, als Verantwortliche für solche Löschungen zuständig sind.

3. Aus den vorstehenden Gründen bietet auch der Feststellungsantrag der Klägerin keine Aussicht auf Erfolg.

4. Der von der Klägerin in ihrer Beschwerdeschrift vom 1. November 2023 formulierte weitere Antrag

„auf Feststellung, dass Lüge über das objektive Recht in der ‚Verschriftlichung der Vorwürfe‘ von der Staatsanwaltschaft schwerwiegende Verletzung der Daten der Beschuldigten ist und auch der Allgemeinheit schadet“,

ist hinsichtlich der damit begehrten Feststellung, dass die im Rahmen des Strafverfahrens vorgenommenen Bewertungen der Staatsanwaltschaft zur Klägerin eine Datenschutzverletzung seien, bereits in den von ihr zuvor gestellten Anträgen enthalten und bietet insoweit ebenfalls keine Aussicht auf Erfolg.

Soweit darin (auch) eine Klageerweiterung liegen sollte, ist dieser Antrag nicht von dem mit der Beschwerde angegriffenen Beschluss des Verwaltungsgerichts vom 19. Oktober 2023 erfasst und nicht Gegenstand des Beschwerdeverfahrens.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 04.09.2025
C‑655/23
IP gegen Quirin Privatbank AG

Der EuGH hat entschieden, dass die Regelungen der DSGVO einen Unterlassungsanspruch des Betroffenen wegen rechtswidiger Verarbeitung personenenbezogener Daten nicht ausschließt. Ferner hat der EuGH seinen Rechtsprechung zum Schadensersatz aus Art. 82 Abs. 1 DSGVO bei Kontrollverlust weiter präzisiert.

Tenor der Entscheidung:
1. Die Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass

sie zugunsten der von der unrechtmäßigen Verarbeitung personenbezogener Daten betroffenen Person für den Fall, dass diese Person nicht die Löschung ihrer Daten beantragt, keinen gerichtlichen Rechtsbehelf vorsehen, der es ihr ermöglicht, präventiv zu erwirken, dass dem Verantwortlichen auferlegt wird, künftig eine erneute unrechtmäßige Verarbeitung zu unterlassen. Allerdings hindern sie die Mitgliedstaaten nicht daran, einen solchen Rechtsbehelf in ihren jeweiligen Rechtsordnungen vorzusehen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass

der Begriff „immaterieller Schaden“ in dieser Bestimmung negative Gefühle umfasst, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie z. B. Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen diese Verordnung empfindet.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass

er dem entgegensteht, dass der Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des nach dieser Bestimmung geschuldeten Ersatzes eines immateriellen Schadens berücksichtigt wird.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass

er dem entgegensteht, dass der Umstand, dass die betroffene Person nach dem anwendbaren nationalen Recht eine Anordnung – die dem Verantwortlichen entgegengehalten werden kann – erwirkt hat, die Wiederholung eines Verstoßes gegen diese Verordnung zu unterlassen, in der Form berücksichtigt wird, dass dadurch der Umfang der nach dieser Bestimmung geschuldeten finanziellen Entschädigung für einen immateriellen Schaden gemindert wird oder diese Entschädigung sogar ersetzt wird.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 08.09.2025
C-413/23 P
EDSB ./. SRB (Begriff der personenbezogenen Daten)

Der EuGH hat entschieden, dass pseudpseudonymisierte Daten personenbezogene Daten sein können, wenn der Betroffene nach den Umständen des Einzelfalls identifizierbar ist

Die Pressemitteilung des EuGH:
Der Gerichtshof hebt das Urteil des Gerichts, mit dem die Entscheidung des Europäischen Datenschutzbeauftragten für nichtig erklärt wurde, auf.

Nach der Abwicklung von Banco Popular Español erließ der Einheitliche Abwicklungsausschuss (Single Resolution Board, SRB) am 7. Juni 2017 eine vorläufige Entscheidung darüber, ob ehemaligen Anteilseignern und Gläubigern dieser Bank aufgrund ihrer Abwicklung eine Entschädigung gewährt werden müsse. Da die betroffenen Personen vor Erlass dieser Entscheidung nicht gehört wurden, führte der SRB zu einem späteren Zeitpunkt ein Verfahren durch, in dem diese Personen zu seiner vorläufigen Entscheidung Stellung nehmen konnten. Im Rahmen dieses Verfahrens übermittelte der SRB bestimmte Stellungnahmen als pseudonymisierte Daten an Deloitte, eine Wirtschaftsprüfungs- und Beratungsgesellschaft, die er mit der Durchführung einer Bewertung der Auswirkungen der Abwicklung auf die Anteilseigner und Gläubiger beauftragt hatte.

Mehrere betroffene Anteilseigner und Gläubiger legten beim Europäischen Datenschutzbeauftragten (EDSB) Beschwerden ein, da der SRB sie nicht darüber informiert habe, dass sie betreffende Daten an Dritte, nämlich an Deloitte, übermittelt würden. Der EDSB vertrat die Auffassung, dass Deloitte im vorliegenden Fall eine Empfängerin personenbezogener Daten der Beschwerdeführer sei. Er stellte außerdem fest, dass der SRB gegen die in der Verordnung 2018/17251 vorgesehene Informationspflicht verstoßen habe. Daraufhin erhob der SRB beim Gericht der Europäischen Union Nichtigkeitsklage gegen die Entscheidung des EDSB. Das Gericht gab dieser Klage teilweise statt und erklärte die in Rede stehende Entscheidung für nichtig.

Der Gerichtshof, der mit einem Rechtsmittel des EDSB befasst ist, hebt das Urteil des Gerichts auf und verweist die Sache an dieses zurück.

Als Erstes gelangt der Gerichtshof zu dem Ergebnis, dass das Gericht einen Rechtsfehler begangen hat, als es festgestellt hat, dass der EDSB für die Schlussfolgerung, dass sich die Informationen, die sich aus den an Deloitte übermittelten Stellungnahmen ergäben, im Sinne der Verordnung 2018/1725 auf die Personen „bezögen“, die diese Stellungnahmen abgegeben hätten, den Inhalt, den Zweck und die Auswirkungen dieser Stellungnahmen hätte prüfen müssen, obwohl unstreitig war, dass diese die persönliche Meinung oder Sichtweise ihrer Verfasser zum Ausdruck brachten. Die Auslegung des Gerichts verstößt nämlich gegen den besonderen Charakter von persönlichen Meinungen oder Sichtweisen, die als Ausdruck der Gedanken einer Person zwangsläufig eng mit dieser Person verknüpft sind.

Als Zweites bestätigt der Gerichtshof die Feststellung des Gerichts, dass pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 nicht in jedem Fall und für jede Person als personenbezogene Daten zu betrachten sind. Aus den Bestimmungen dieser Verordnung in der Auslegung durch die Rechtsprechung ergibt sich nämlich, dass die Pseudonymisierung – je nach den Umständen des Falles – andere Personen als den Verantwortlichen tatsächlich daran hindern kann, die betroffene Person zu identifizieren, so dass diese für sie nicht oder nicht mehr identifizierbar ist. In diesem Zusammenhang verweist der Gerichtshof ausdrücklich auf die Lehren aus der Rechtsprechung zur Beurteilung der Identifizierbarkeit der betroffenen Person in Situationen, in denen sich die zur Identifizierung dieser Person erforderlichen Informationen nicht in den Händen verschiedener Personen befanden.

Als Drittes gelangt der Gerichtshof zu dem Ergebnis, dass das Gericht mit der Feststellung, dass der EDSB für die Beurteilung, ob der SRB seine Informationspflicht erfüllt habe, hätte prüfen müssen, ob die an Deloitte übermittelten Stellungnahmen aus der Sicht von Deloitte personenbezogene Daten darstellten, einen Rechtsfehler begangen hat. Dem Gerichtshof zufolge ergibt sich aus der Rechtsprechung, dass sich die maßgebliche Sicht für die Beurteilung der Identifizierbarkeit der betroffenen Person wesentlich nach den Umständen der Datenverarbeitung im Einzelfall richtet. Zu dieser Informationspflicht weist der Gerichtshof darauf hin, dass sie im Rechtsverhältnis zwischen der betroffenen Person und dem Verantwortlichen besteht und ihr Gegenstand daher in den mit dieser Person zusammenhängenden Informationen in der Form besteht, wie sie dem Verantwortlichen übermittelt wurden, also vor einer möglichen Übermittlung an Dritte. Folglich ist die Identifizierbarkeit der betroffenen Person aus der Sicht des Gerichtshofs zu dem Zeitpunkt des Erhebens der Daten und aus der Sicht des Verantwortlichen zu beurteilen. Die dem SRB obliegende Informationspflicht entstand somit vor der Übermittlung der fraglichen Stellungnahmen und unabhängig davon, ob es sich dabei aus der Sicht von Deloitte nach ihrer etwaigen Pseudonymisierung um personenbezogene Daten handelte oder nicht.

Den Volltext der Entscheidung finden Sie hier:

EuG
Urteil vom 03.09.2025
T-553/23
Latombe / EU-Kommission

Das EuG hat entschieden, dass das EU-U.S. Data Privacy Framework für die Übermittlung personenbezogener Daten in die USA nicht für nichtig erklärt wird.

Die Pressemitteilung des Gerichts:
Datenschutz: Das Gericht weist die Klage auf Nichtigerklärung des neuen Rahmens für die Übermittlung personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten ab

Damit bestätigt es, dass die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses des angefochtenen Beschlusses ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, die aus der Union an Organisationen in den Vereinigten Staaten übermittelt wurden.

In der Charta der Grundrechte der Europäischen Union und im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) ist das Recht jeder Person auf Schutz ihrer personenbezogenen Daten verankert. Auf dieser Grundlage sind im Sekundärrecht der Union Vorschriften für die internationale Übermittlung personenbezogener Daten festgelegt, mit denen verhindert werden soll, dass das in der Union gewährte Schutzniveau untergraben wird. Wenn die Europäische Kommission der Auffassung ist, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, kann die Übermittlung personenbezogener Daten in das Drittland gemäß diesen Vorschriften ohne zusätzliche Genehmigung auf der Grundlage eines sogenannten Angemessenheitsbeschlusses der Kommission erfolgen. Ein solcher Rahmen wurde durch den von der Kommission am 10. Juli 2023 erlassenen Angemessenheitsbeschluss (im Folgenden: angefochtener Beschluss) geschaffen; er besteht zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. In der Vergangenheit hat der Gerichtshof in den Urteilen Schrems I und Schrems II die beiden vorherigen Angemessenheitsbeschlüsse in Bezug auf die Vereinigten Staaten mit der Begründung für ungültig erklärt, dass sie kein Niveau des Schutzes der Grundfreiheiten und Grundrechte gewährleisteten, das dem durch das Unionsrecht garantierten Niveau der Sache nach gleichwertig gewesen wäre.

Allerdings erließen die Vereinigten Staaten von Amerika am 7. Oktober 2022 ein Präsidialdekret , mit dem die Maßnahmen zum Schutz der Privatsphäre für die Tätigkeiten von US-Nachrichtendiensten verschärft wurden. Dieses Dekret wurde durch eine Verordnung des Generalstaatsanwalts9 ergänzt, mit der die Bestimmungen über die Schaffung und Funktionsweise des Data Protection Review Court (Datenschutzgericht, Vereinigte Staaten von Amerika, im Folgenden: DPRC) geändert wurden. Nach Prüfung dieser regulatorischen Entwicklungen in den Vereinigten Staaten erließ die Kommission den angefochtenen Beschluss, mit dem der neue transatlantische Rahmen für den Verkehr personenbezogener Daten zwischen der Union und den Vereinigten Staaten geschaffen wird.

In diesem Zusammenhang hat Herr Philippe Latombe, ein französischer Staatsangehöriger und Nutzer verschiedener IT-Plattformen, die seine personenbezogenen Daten erheben und sie in die Vereinigten Staaten übermitteln, beim Gericht der Europäischen Union beantragt, den angefochtenen Beschluss für nichtig zu erklären. Er trägt vor, der DPRC sei weder unparteiisch noch unabhängig, sondern von der Exekutive abhängig. Außerdem sei die Praxis der Nachrichtendienste der Vereinigten Staaten, ohne vorherige Genehmigung eines Richters oder einer unabhängigen Verwaltungsbehörde Sammelerhebungen personenbezogener Daten im Transit aus der Union vorzunehmen, nicht hinreichend klar und präzise geregelt und daher rechtswidrig.

Das Gericht weist die Nichtigkeitsklage ab.

Was erstens den DPRC betrifft, stellt das Gericht u. a. fest, dass die Ernennung der Richter des DPRC und seine Arbeitsweise ausweislich der Akten mit mehreren Garantien und Bedingungen verbunden sind, die die Unabhängigkeit seiner Mitglieder gewährleisten sollen. Zum einen können die Richter des DPRC nur vom Generalstaatsanwalt aus triftigen Gründen abberufen werden, zum anderen dürfen der Generalstaatsanwalt und die Nachrichtendienste deren Arbeit nicht behindern oder unrechtmäßig beeinflussen.

Außerdem hat die Kommission nach dem Wortlaut des angefochtenen Beschlusses die Anwendung des Rechtsrahmens, der Gegenstand des Beschlusses ist, fortlaufend zu überwachen. Wenn sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen ändert, kann die Kommission daher soweit erforderlich beschließen, den angefochtenen Beschluss auszusetzen, zu ändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken.

In Anbetracht dessen weist das Gericht den Klagegrund der fehlenden Unabhängigkeit des DPRC zurück.

Was zweitens die Sammelerhebung personenbezogener Daten betrifft, weist das Gericht u. a. darauf hin, dass nichts im Urteil Schrems II darauf hindeutet, dass diese zwingend einer vorherigen Genehmigung durch eine unabhängige Behörde bedarf. Aus diesem Urteil geht vielmehr hervor, dass die Entscheidung, mit der eine solche Sammelerhebung genehmigt wird, zumindest einer nachträglichen gerichtlichen Überprüfung unterzogen werden muss. Im vorliegenden Fall geht aus den Akten hervor, dass die von US-Nachrichtendiensten betriebene Signalaufklärung nach dem Recht der Vereinigten Staaten einer nachträglichen gerichtlichen Überprüfung durch den DPRC unterliegt. Folglich ist nicht ersichtlich, dass Sammelerhebungen personenbezogener Daten durch die US-Nachrichtendienste nicht den Anforderungen genügen, die sich insoweit aus dem Urteil Schrems II ergeben, und dass das Recht der Vereinigten Staaten keinen Rechtsschutz gewährleistet, der dem durch das Unionsrecht garantierten der Sache nach gleichwertig ist.

Nach alledem weist das Gericht den Klagegrund in Bezug auf die Sammelerhebung personenbezogener Daten zurück und weist die Klage demnach insgesamt ab.

Den Volltext der Entscheidung finden Sie hier:

AG Wesel
Urteil vom 23.07.2025
30 C 138/21

Das AG Wesel hat entschieden, dass ein Anspruch auf Schadensersatz in Höhe von 500 Euro aus Art. 82 DSGVO besteht, wenn ein Steuerberater eine Steuererklärung versehentlich an die alte Adresse seines Mandanten schickt.

Aus den Entscheidungsgründen:
Die Kläger haben gegen die Beklagten als Gesamtschuldner einen Anspruch auf Zahlung eines immateriellen Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO, dies jedoch nur in Höhe von jeweils 500,00 EUR.

Die sachliche, räumliche und zeitliche Anwendbarkeit der DSGVO ergibt sich aus den Art. 2 Abs. 1, 3 Abs. 1 und 99 Abs. 2 DSGVO.

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Beklagte zu 1) ist als juristische Person, die im Rahmen ihrer Tätigkeit über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Haftung der Beklagten zu 2) bis 6) als Gesellschafter der Beklagten zu 1) ergibt sich aus § 721 BGB.

Die Beklagte zu 1) hat jedenfalls gegen Art. 5 Abs. 1 lit. d) DSGVO verstoßen. Nach dieser Vorschrift müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“). Gegen diese Vorgabe haben die Beklagten verstoßen, indem sie die ehemalige Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht haben. Hierbei ist unerheblich, dass die Adresse durch ein Programm automatisch eingefügt wurde. Nach Maßgabe des Art. 5 Abs. 1 lit. d) DSGVO hatte die Beklagte gerade dafür Sorge zu tragen, dass die Adresse im System überhaupt nicht mehr hinterlegt ist. Ein Verstoß gegen diesen Grundsatz der Datenverarbeitung stellt zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht gemäß Art. 82 DSGVO auszulösen (BGH, Urteil vom 18.11.2024 - VI ZR 10/24 m.w.N.).

Den Klägern ist infolge des Verstoßes auch ein Schaden entstanden.

Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (stRspr, BGH a.a.O. m.w.N.). Der Begriff ist mit Blick auf die Zielsetzung der Verordnung weit auszulegen und nicht von dem Überschreiten einer Bagatell-Grenze abhängig (EuGH, Urteil vom 20.06.2024 - C-590/22; BGH a.a.O.).

Dennoch stellt der Schaden ein eigenständiges Tatbestandsmerkmal des Art. 82 Abs. 1 DSGVO dar, der nicht mit dem Verstoß gegen die Verordnung gleichgesetzt werden kann und über den reinen Verstoß hinausgehen muss (EuGH a.a.O., BGH a.a.O.).

Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH a.a.O., BH a.a.O.). Dies wird insbesondere auf den ersten Satz des 85. Erwägungsgrunds der DSGVO gestützt, in dem es heißt, dass „(e)ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen (kann), wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten.“ Diese Formulierung spiegelt auch die zu unterscheidenden Tatbestandsmerkmale des Art. 82 DSGVO: Die in Art. 82 Abs. 1 DSGVO vorausgesetzte Datenschutzverletzung, kann, muss aber nicht zu einem die Ersatzpflicht auslösenden Schaden führen; dieser ist gesondert festzustellen, kann aber beispielsweise in dem Kontrollverlust, der mögliche, aber nicht zwingende Folge des Verstoßes ist, liegen. Der Anspruchsteller muss aus diesem Grund lediglich den eingetretenen Kontrollverlust, diesen aber vollumfänglich, beweisen.

Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten. Das Gericht ist nach dem Ergebnis der Beweisaufnahme davon überzeugt, dass die von der Beklagten abgesandte Erklärung an der ehemaligen Adresse der Kläger eingegangen und von den Zeugen A in Empfang genommen worden ist. Dies ergibt sich aus den übereinstimmenden und glaubhaften Bekundungen der Zeugen im Rahmen ihrer Vernehmung.

Infolge der durch die Beklagte vorgenommenen und kausal durch den Verstoß gegen Art. 5 Abs. 1 lit. d) DSGVO erfolgten, irrtümlichen Versendung war den Klägern die Kontrolle darüber entzogen, welchem Personenkreis die den Beklagten zur Verfügung gestellten und in der Steuererklärung aufgegriffenen personenbezogenen Daten zugänglich waren. Ob die Zeugen den von der Beklagten in Gang gesetzten Kausalverlauf durch das eigenmächtige Öffnen des Briefs unterbrochen haben, ist für den Schadenseintritt unerheblich, da dieser bereits zuvor mit der Versendung des Briefs eingetreten war. Bereits in diesem Zeitpunkt waren die Daten dem Verfügungskreis der Kläger entzogen. Aus diesem Grund ist für das Vorliegen des Schadens nach Maßgabe der vom Gerichtshof aufgestellten und vom BGH aufgegriffenen Grundsätze auch unerheblich, ob und inwieweit die Zeugen von dem Inhalt des Briefs Kenntnis genommen haben. Dieser Umstand ist für den Umfang des Schadens relevant, nicht aber für den Eintritt des Schadens als solcher. Die Kläger hatten mit der Versendung des Briefs nicht mehr in der Hand, welcher Personenkreis von ihren Daten Kenntnis nehmen und diese verwenden kann. Dies allein stellt eine negative Folge des Datenschutzverstoßes dar, die einen immateriellen Schaden begründet.

Der Umfang des eingetretenen Schadens liegt aber erheblich unterhalb der von den Klägern angegebenen Größenordnung.

Die Ausgleichsfunktion des Art. 82 DSGVO gebietet eine vollständige und wirksame Entschädigung in Geld, eine Abschreckungs- oder Straffunktion soll der Anspruch aber gerade nicht erfüllen (EuGH a.a.O., BGH a.a.O.). Weder die Schwere des Verstoßes noch die Anzahl der Verstöße gegen die Verordnung oder ein diesbezüglicher Vorsatz des Verantwortlichen finden bei der Bemessung des Schadens Berücksichtigung (EuGH, Urteil vom 20.06.2024 - C-182/22, C-189/22; BGH a.a.O.).

Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle in den Blick zu nehmen (BGH a.a.O.).

Unter Berücksichtigung dieser Maßstäbe hält das Gericht ein Schmerzensgeld in Höhe von jeweils 500,00 EUR für angemessen, aber auch ausreichend, § 287 ZPO. Auf Seiten der Kläger ist allein der oben genannte Kontrollverlust bei der Ermittlung der Schadenshöhe zu berücksichtigen und anhand der vorgenannten Kriterien zu bemessen. Denn der Beweis eines darüberhinausgehenden Nachteils ist den Klägern nicht gelungen. Die Aussagen der Zeugen waren insofern unergiebig, da sich aus diesen gerade nicht positiv ergibt, dass die Zeugen von Details der Steuerklärung und den hierin enthaltenen Daten Kenntnis genommen haben. Erst recht bestehen keine Anhaltspunkte dafür, dass die Daten, wie die Kläger befürchten, über die Zeugen einen noch größeren Personenkreis erreicht haben.

Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind. Die Sensibilität der Daten erfordert den zugesprochenen Ausgleich, ein Schmerzensgeld von mehr als 500,00 EUR ist aber nicht gerechtfertigt, da nicht festgestellt werden konnte, dass überhaupt ein Dritter von den Daten Kenntnis genommen hat.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt am Main
Urteil vom 11.07.2025
6 UKl 14/24

Wir hatten bereits in dem Beitrag OLG Frankfurt: Zwingende Angabe von E-Mail-Adresse oder Handynummer beim Kauf eines Tickets der Deutschen Bahn verstößt gegen DSGVO und ist wettbewerbswidrig über die Entscheidung berichtet.

Aus den Entscheidungsgründen:
1. Der Senat ist für die auf § 2 UKlaG gestützte Klage zuständig, da die ausschließliche (Eingangs-)Zuständigkeit des Oberlandesgerichts Frankfurt gemäß § 6 Abs. 1 Satz 1 UKlaG in der seit 13. Oktober 2023 geltenden Fassung (Art. 10 Nr. 17 Buchst. d Doppelbuchst. aa VRUG) eröffnet ist.

a) Das Oberlandesgericht Frankfurt ist gemäß § 6 Abs. 1 S. 1 UKlaG örtlich zuständig. Die Beklagte hat ihren Sitz im Bezirk des angerufenen Gerichts.

b) Darüber hinaus ist das Oberlandesgericht auch sachlich zuständig für Ansprüche aus § 2 UKlaG i.V.m. der DSGVO.

(1) Der Kläger stützt den mit der Klage geltend gemachten Unterlassungsanspruch ausweislich der Angaben in der Klagschrift (unter anderem) darauf, dass die Beklagte einer verbraucherschützenden Norm im Sinne von § 2 UKlaG zuwidergehandelt habe. Nach § 2 Abs. 1 Satz 1 UKlaG kann, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. Nach § 2 Abs. 2 Satz 2 UKlaG sind Verbraucherschutzgesetze insbesondere die dort im Einzelnen aufgeführten Normen.

(2) Bei Art. 5 Abs. 1 lit. a, lit. c, Art. 6 Abs. 1 S. 1 DSGVO handelt es sich um ein Verbraucherschutzgesetz im Sinne des § 2 UKlaG. Gemäß § 2 Abs. 2 Nr. 13 UKlaG sind Verbraucherschutzgesetze auch die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2; L 074 vom 4.3.2021, S. 35) in der jeweils geltenden Fassung, die für die Verarbeitung von Daten von Verbrauchern durch Unternehmer gelten.

(3) Die sachliche Zuständigkeit gilt nicht nur für den auf § 1 UKlaG gestützten Unterlassungsanspruch, sondern erfasst auch den weitergehend geltend gemachten Antrag auf Ersatz der Abmahnkosten. Dies folgt nicht aus § 35 ZPO bzw. dem Rechtsgedanken des § 17 Abs. 2 S. 1 GVG. Denn bei den betreffenden Anträgen handelt es sich bezogen auf den Unterlassungsanspruch um prozessual unterschiedliche Streitgegenstände (vgl. BGH, Urteil vom 14. Dezember 2017 - I ZR 184/15 -, juris Rn. 19; s. auch zur Frage der Zuständigkeit kraft Sachzusammenhangs Stein/Roth, Kommentar zur Zivilprozessordnung, 24. Auflage 2024, § 1 Rn. 10; Heinrich in: Musielak/Voit, ZPO, 21. Auflage 2024, § 1 Rn. 14). Eine Klagehäufung setzt indes gemäß § 260 ZPO voraus, dass das Prozessgericht für sämtliche Ansprüche zuständig ist (vgl. Lückemann in: Zöller, ZPO, 35. Auflage 2024, § 17 GVG Rn. 6).

Die Zuständigkeit folgt jedoch aus einer am Normzweck ausgerichteten Auslegung des § 6 Abs. 1 S.1 UKlaG. Danach erfassen „Klagen nach diesem Gesetz“ auch den Unterlassungsanspruch flankierende Annexanträge zumindest dann, wenn diese gemeinsam mit dem Unterlassungsanspruch in einer Klage geltend gemacht werden. Andernfalls würde der mit der Novellierung des Gesetzes verfolgte Zweck unterlaufen. Nach dem Willen des Gesetzgebers sollen die Oberlandesgerichte für die Klagen in erster Instanz ausschließlich zuständig sein, um die Verfahren zu beschleunigen (Köhler/Alexander in: Köhler/Bornkamm/Feddersen, 42. Aufl. 2024, UKlaG § 6 Rn. 2). Bei den Verfahren über Ansprüche nach dem UKlaG sind überwiegend Rechtsfragen zu klären, so dass eine Tatsacheninstanz ausreichend ist. Da Unterlassungsklagen nun verjährungshemmende Wirkung haben (§ 204a Abs. 1 Nr. 2 BGB), ist zu erwarten, dass sie künftig noch häufiger, insbesondere auch vor Abhilfeklagen, erhoben werden, um bestimmte Rechtsfragen vorab höchstrichterlich zu klären und das Kostenrisiko für eine Abhilfeklage zu begrenzen (BT-Drs 20/6520 S. 118). Zudem wird der bereits zuvor mit der Verortung bei den Landgerichten verfolgte Zweck der Konzentration von Sachverstand und Erfahrungswissen weiterverfolgt (§ 6 Abs. 2 UKlaG a.F.). Diese Aspekte greifen bei Annexfragen, gerichtet auf Auskunft und Folgenbeseitigung, gleichermaßen. Das Ziel der Verfahrensbeschleunigung würde konterkariert, würde man die (aus verbraucherschutzgesetzwidrigen Praktiken i.S.d. § 2 UKlaG folgenden) weiteren Ansprüche je nach Streitwert zunächst in die erstinstanzliche Zuständigkeit der Amts- bzw. Landgerichte verweisen; eine Konzentration bei den Landgerichten besteht nach geltender Rechtslage nicht mehr (Köhler/Alexander a.a.O., § 6 UKlaG Rn. 12). Zudem muss der Gefahr einander widersprechender Entscheidungen begegnet werden. Da die Zuständigkeit nach überwiegender Meinung selbst in den Fällen bejaht wird, in welchen Ansprüche auf Grund von Vertragsstrafeversprechen und Unterlassungsverträgen geltend gemacht werden (BGH, Beschluss vom 19.10.2016 - I ZR 93/15, BeckRS 2016, 20396, Rn. 22 bis 26 zu § 13 UWG; MüKoZPO/Micklitz/Rott, 6. Aufl. 2022, § 6 UKlaG, Rn. 4 m.w.N.), muss dies für Annexforderungen erst recht gelten. Zutreffenderweise ist die Zuständigkeitsregelung daher entsprechend auf Rechtsstreitigkeiten über die Erstattung von vorprozessualen Abmahnkosten anzuwenden (OLG Koblenz Urt. v. 5.12.2024 - 2 UKl 1/23, 34027 Rn. 12-16).

2. Die Klage hat in der Sache Erfolg.

Dem Kläger steht der geltend gemachte Unterlassungsanspruch aus § 2 Abs. 1, Abs. 2 Nr. 13 UKlaG i.V.m. 5 I a DSGVO zu. Die Beklagte hat beim Verkauf der Online-Tickets „Super-Sparpreis“ und „Sparpreis“ zwingend die Angabe von E-Mail-Adresse oder Telefonnummer verlangt und damit eine Datenverarbeitung verlangt, die nicht rechtmäßig ist.

a) Der Genehmigungsbescheid des BMDV vom 29.08.2023 (Anlage B1), mit dem die allgemeinen Beförderungsbedingungen genehmigt worden sind, entfaltet keine Tatbestandswirkung.

Wird ein bestimmtes Marktverhalten von der zuständigen Verwaltungs- bzw. Aufsichtsbehörde genehmigt, kommt zwar eine Einstufung als unlauter jedenfalls solange nicht in Betracht, solange die Genehmigung nicht als nichtig anzusehen ist oder in dem dafür vorgesehenen Verwaltungsrechtsverfahren aufgehoben wird (BGH GRUR 2005, 778 - Atemtest I; BGH GRUR 2008, 1014 - Amlodipin). Diese Grundsätze werden auf die Bewertung eines durch eine Verwaltungsbehörde erlaubten Handelns übertragen (OLG Hamburg GRUR-RR 2014, 218 (nachgehend BGH GRUR 2015, 1244 - Äquipotenzangabe in Fachinformation; OLG Hamburg Magazindienst 2015, 42) und finden auch im Rahmen von § 2 UKlaG Anwendung. Wird nämlich eine geschäftliche Handlung von den zuständigen Behörden als rechtlich zulässig bewertet, kann der Werbende auch auf diese Bewertung vertrauen und muss sich nicht vorsichtshalber nach der strengsten Gesetzesauslegung und Einzelfallbeurteilung erkundigen. Grundsätzlich ist zwar von einem Gewerbetreibenden zu verlangen, dass er sich Kenntnis von den für seinen Tätigkeitsbereich einschlägigen gesetzlichen Bestimmungen verschafft und in Zweifelsfällen mit zumutbaren Anstrengungen besonders sachkundigen Rechtsrat einholt. Das findet aber in der behördlichen Einstufung als zulässig seine Grenze, solange der Gewerbetreibende nicht die Rechtswidrigkeit seines Verhaltens kennt (oder sich dieser Einsicht bewusst verschließt) oder auf die Haltung der Verwaltungsbehörden in unlauterer Weise eingewirkt hat (BGH GRUR 2002, 269 - Sportwetten-Genehmigung). Sofern die zuständige Verwaltungsbehörde daher einen wirksamen Verwaltungsakt erlassen hat, der das beanstandete Marktverhalten ausdrücklich erlaubt und der weder durch die zuständige Behörde oder durch ein Verwaltungsgericht aufgehoben worden, noch als nichtig anzusehen ist, ist die Zulässigkeit des beanstandeten Verhaltens wegen der sog. Tatbestandswirkung des Verwaltungsakts einer Nachprüfung durch die Zivilgerichte nicht nur für den Rechtsbruchtatbestand des § 3a entzogen (BGH GRUR 2015, 1228 - Tagesschau-App),

Die Reichweite der Tatbestandswirkung eines Verwaltungsakts wird durch seinen Regelungsgehalt (Tenor) bestimmt (vgl. Stelkens in Stelkens/Bonk/Sachs, VwVfG, 8. Aufl., § 35 Rn. 142; BeckOK VwVfG/Schemmer, Std.: 1.4.2025, § 43 Rn. 28; Peuker in Knack/Henneke, VwVfG, 10. Aufl., § 43 Rn. 22). Der Regelungsgehalt eines Verwaltungsakts ist in entsprechender Anwendung der §§ 133, 157 BGB nach den Grundsätzen zu bestimmen, die auch für die Auslegung von Willenserklärungen gelten. Danach ist der erklärte Wille der erlassenden Behörde maßgebend, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte (BGH, WRP 2007, 1359; BVerwG NVwZ 2005, 1070; BVerwG, NJW 2013, 1832 Rn. 10). Bei der Ermittlung dieses objektiven Erklärungswerts ist in erster Linie auf den Entscheidungssatz und die Begründung des Verwaltungsakts abzustellen; darüber hinaus ist das materielle Recht, auf dem der Verwaltungsakt beruht, heranzuziehen (BGH GRUR 2015, 1228 Rn. 35; BVerwGE 126, 254 Rn. 78; Kopp/Ramsauer, VwVfG, 15. Aufl., § 43 Rn. 15).

Das Schreiben des Bundesministeriums für Digitales und Verkehr vom 29.08.2023 enthält weder einen Entscheidungssatz im eigentlichen Sinne noch eine Begründung. Seine Kernaussage beschränkt sich auf die Mitteilung, dass der Tarifantrag Nr. 23/2023 vom 10.08.2023 nach § 12 II AEG genehmigt werde. Dem Tenor ist nicht zu entnehmen, in welcher Hinsicht eine rechtliche Prüfung und Genehmigung erfolgt ist; da keine Begründung vorhanden ist, kann auch hieraus kein Rückschluss im Hinblick auf den Umfang der Bindungswirkung gezogen werden. Da der Behörde nach § 12 III AEG ein (Aufgreif- und Entscheidungs-) Ermessen zusteht, ist auch nicht davon auszugehen, dass die Tarife umfassend im Hinblick auf alle rechtlichen Fragestellungen - und damit auch bezüglich der DSGVO - Gegenstand der Prüfung und Genehmigung waren.

b) Die Speicherung von Telefonnummer und/oder E-Mail-Adresse stellt eine rechtwidrige Datenverarbeitung nach der DSGVO dar, da eine Rechtsgrundlage nicht ersichtlich ist.

(1) Diese Verarbeitung der Daten ist nicht nach Art. 6 Abs. 1 S. 1 a DSGVO durch eine Einwilligung gerechtfertigt.

aa) Der Rechtsgrund der Einwilligung der betroffenen Person für die Verarbeitung ihrer personenbezogenen Daten setzt voraus, dass eine wirksame Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO vorliegt, nämlich eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Vor allem die Freiwilligkeit ist „prägende Voraussetzung“ für die Wirksamkeit der Einwilligung. Freiwillig ist die Willensbekundung, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung ohne Nachteile zu verweigern oder zurückzuziehen (Erwägungsgrund 42 S. 5)

Wie sich aus Art. 7 Abs. 4 DSGVO ergibt, kann eine Einwilligung unfreiwillig erteilt sein, wenn die Erfüllung eines Vertrags, z.B. die Erbringung einer Dienstleistung, abhängig gemacht wird von der Einwilligung in eine Datenverarbeitung, die für die Vertragserfüllung nicht erforderlich ist. Im Ergebnis formuliert die Vorschrift ein allgemeines Koppelungsverbot. Eine Einwilligung soll nicht freiwillig erteilt sein, wenn der Betroffene faktisch keine andere Wahl hat als der Datenverarbeitung zuzustimmen, um in den Genuss einer Dienstleistung oder einer anderen vertraglichen Leistung zu kommen (BeckOK DatenschutzR/Stemmer, 52. Ed. 1.5.2025, DS-GVO Art. 7 Rn. 42; Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 73, 74).

Die Einwilligung ist daher nur dann wirksam, wenn der Verantwortliche nachweisen kann, dass die betroffene Person eine echte Wahl hatte, d.h. durch das Verweigern der Datenangaben keinen Nachteilen ausgesetzt war. Dies setzt voraus, dass ihr eine gleichwertige Alternative ohne Zwang zur Datenpreisgabe angeboten wurde. Ohne eine solche Alternative kann die digitale Zugangshürde nicht auf eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO gestützt werden.

In den Worten des EuGH: sie muss „objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der […] Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte. Der etwaige Umstand, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist insoweit für sich genommen unerheblich. Entscheidend für die Anwendung des in Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO genannten Rechtfertigungsgrundes ist nämlich, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen“.

Nach der Rechtsprechung des EuGH ist zudem eine marktbeherrschende Stellung des Verantwortlichen ein Anhaltspunkt für möglicherweise fehlende Freiwilligkeit, sofern die Einwilligung in eine Datenverarbeitung erteilt werden muss, um einen Dienst nutzen zu können. Die Nutzer seien in diesem Fall nicht in der Lage, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden. Dabei könne eine marktbeherrschende Stellung zu einem klaren Machtungleichgewicht führen, was im Rahmen des Koppelungsverbots zu berücksichtigen sei. Umgekehrt schließe eine marktbeherrschende Stellung eine wirksame Einwilligung aber auch nicht per se aus (EuGH NJW 2023, 2997 Rn. 147 ff. - Meta; Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 76).

bb) Danach kann in der Gesamtschau hier eine Freiwilligkeit der Einwilligung nicht bejaht werden.

Die Beklagte hat die Vertragserfüllung von einer Einwilligung in die Datenverarbeitung abhängig gemacht, die für die Erfüllung des Vertrages nicht erforderlich ist. Diese Erhebung der Daten war für die Erbringung der von der Beklagten geschuldeten Leistung nicht in tatsächlicher Hinsicht zwingend erforderlich. Die Beklagte konnte nicht nachweisen, inwiefern der Hauptgegenstand des Vertrags (Erbringung der Beförderungsdienstleistung) ohne die betreffende Verarbeitung nicht erfüllt werden könnte. Sie hat schon selbst nicht behauptet, dass die Beförderungsleistung ohne die Erhebung der Daten nicht erbracht werden könne. Soweit sie als Grund für die Datenverarbeitung den Einnahme-, Vervielfältigungs-, Missbrauchs- und Übertragungsschutz angibt, rechtfertigt der Schutz vor Vervielfältigung und vor Übertragung die Identifizierung der Person, wozu allerdings nur die Erhebung der Identitätsdaten des Kunden, nicht jedoch die Erhebung von E-Mail-Adresse oder Mobilfunknummer erforderlich ist. Einer potentiellen Missbrauchsgefahr kann auch dadurch begegnet werden, dass neben der Ticketnummer der Name der Kundin bzw. des Kunden (und bei Verwechslungsgefahr auch seine Adresse) angegeben wird. Bei der Ticketkontrolle kann dann durch Überprüfung der Ticketnummer und das Vorzeigen eines Ausweises festgestellt werden, ob das Ticket vervielfältigt oder an eine unberechtigte Person übertragen worden ist. Sofern ein Ticket am Schalter bezahlt und ausgedruckt worden ist und der befürchtete Missbrauch ausgeschlossen ist, besteht bei diesem Verfahren auch Einnahmeschutz.

Zwar lässt nicht jede Koppelung automatisch die Freiwilligkeit entfallen. Stattdessen muss der Koppelungssituation lediglich „in größtmöglichem Umfang Rechnung getragen werden“. Das bringt zum Ausdruck, dass es noch andere Faktoren gibt, die bei der Subsumtion unter den Begriff „freiwillig“ zu berücksichtigen sind. Der Verantwortliche muss also im Einzelfall prüfen, ob eine Drucksituation entsteht, die die Freiheit zur Willensentschließung aufhebt (zum Streitstand Kollmann ZD 2025, 73 (75 ff.); relatives Koppelungsverbot: BeckOK DatenschutzR/Stemmer, 52. Ed. 1.5.2025, DS-GVO Art. 7 Rn. 45; Paal/Pauly/Frenzel Rn. 18; Ehmann/Selmayr/Heckmann/Paschke Rn. 100, 103; aA Dammann ZD 2016, 307, 311; Golland MMR 2018, 130, 132: striktes Koppelungsverbot). Das ermöglicht eine differenzierte Bewertung, in die sämtliche Umstände einfließen müssen, die geeignet sein können, die Entschließungsfreiheit der betroffenen Person zu beeinträchtigen.

Der Senat hält hier jedoch in der Gesamtschau jedenfalls aufgrund der hinzutretenden marktbeherrschenden Stellung der Beklagten dafür, dass ein Verstoß gegen das Koppelungsverbot zu bejahen ist. Nach der Rechtsprechung des EuGH ist eine marktbeherrschende Stellung des Verantwortlichen ein Anhaltspunkt für möglicherweise fehlende Freiwilligkeit, sofern die Einwilligung in eine Datenverarbeitung erteilt werden muss, um einen Dienst nutzen zu können. Die Nutzer seien in diesem Fall nicht in der Lage, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden. Dabei könne eine marktbeherrschende Stellung zu einem klaren Machtungleichgewicht führen, was im Rahmen des Koppelungsverbots zu berücksichtigen sei (EuGH NJW 2023, 2997 Rn. 147 ff. - Meta; vgl. auch BGH WRP 2025, 72, Rnr. 44 - Scraping). Hier hat die Beklagte gerichtsbekannt eine überragende marktbeherrschende Stellung auf dem Markt des Eisenbahnfernverkehrs. Für die Betroffenen fehlt es an einem anderweitigen, zumutbaren Zugang zu gleichwertigen Leistungen am Markt. Dies gilt zum einen für Fernverkehrsangebote anderer Anbieter, die nicht in einem so signifikanten Maße vorhanden sind, dass sie in der Fläche eine adäquate Alternative darstellen könnten. Dies gilt aber auch für „interne“ Ausweichmöglichkeiten, auf die die Beklagte verweist (reguläre Tickets), da diese signifikant teurer sind.

(2) Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 S. 1 b DSGVO (Verarbeitung von Vertragsdaten) gerechtfertigt.

Dieser Rechtsgrund setzt wie Art. 7 b DS-RL (RL 95/46/EG) voraus, dass die Verarbeitung erforderlich ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Dieser Rechtsgrund erfasst die Datenverarbeitung, die in Zusammenhang mit einem Vertrag erforderlich ist. Der Begriff der „Erfüllung“ ist weit auszulegen und umfasst über die Anbahnung und Durchführung des Vertragszwecks auch die Abwicklung des Vertragsverhältnisses (Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6 Rn. 24).

Für die Erfüllung eines Vertrags ist eine Verarbeitung indes nur dann erforderlich, wenn sie für die Erfüllung der konkreten Vertragszwecke notwendig und nicht nur nützlich ist. Das setzt voraus, dass ohne die betreffenden Verarbeitungsvorgänge die zwischen den Vertragsparteien vereinbarten Vertragszwecke nicht erreicht werden können und deshalb diese Verarbeitungsvorgänge für die Erfüllung der Vertragszwecke objektiv unerlässlich sind (Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6 Rn. 25,).

Dies ist hier nicht der Fall. Die Beklagte schließt mit dem Kunden einen Beförderungsvertrag ab. Die Kundinnen und Kunden möchten zu einem günstigen Preis mit einer Bahn an einem bestimmten Tag von A nach B fahren. Hierfür zahlen sie der Beklagten den Fahrpreis. Der Hauptgegenstand des Vertrags ist jedoch nicht im Generieren eines validen und zugleich digitalen Sparpreistickets zu sehen. Das Ticket dient nur dem Nachweis des Vertragsabschlusses über die Beförderung und der Bezahlung des Fahrpreises. Mit dem Ticket allein kommt der Kunde nicht von A nach B, denn die geschuldete Hauptleistung wird erst durch die Beförderung erbracht. Aus dem Vortrag der Beklagte ergibt sich, dass die Ausstellung des digitalen Tickets und die Verarbeitung der genannten personenbezogenen Daten ein Mittel zur leichteren Abwicklung der Hauptleistung darstellt, nicht die Hauptleistung selbst. Auch wenn eine solche Verarbeitung personenbezogener Daten im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist dies nach dem „Meta“-Urteil des EuGH unerheblich.

Die Verarbeitung der oben genannten Informationen ist also nicht notwendig für die eigentliche Leistung (Beförderung), sondern dient vornehmlich unternehmensinternen Zwecken - etwa der Kundenbindung, Werbung oder der Kontrolle des Nutzungsverhaltens.

(3) Schließlich ist die Verarbeitung der personenbezogenen Daten auch nicht zur Verwirklichung überwiegender berechtigter Interessen nach Art. 6 Abs. 1 S. 1 f DSGVO unbedingt erforderlich. Dabei kann dahinstehen, ob von der Beklagten ein berechtigtes Interesse wahrgenommen wird, da die Verarbeitung zur Verwirklichung des berechtigten Interesses jedenfalls nicht erforderlich wäre.

Eine Erforderlichkeit liegt nicht vor. Auf die obigen Ausführungen kann insoweit Bezug genommen werden. Es genügt nicht, dass die Verarbeitung für den Verantwortlichen nützlich ist. Ebenso macht die Zielsetzung einer „bestmöglichen Effizienz“ die Datenverarbeitung nicht für die Verwirklichung berechtigter Interessen erforderlich. Auch wird sie nicht dadurch erforderlich, dass der Verantwortliche sie als „wirtschaftlich sinnvollste Alternative“ ansieht. Sie ist nur dann unbedingt erforderlich, wenn das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen. Der Verantwortliche muss also den Prozess für den Zugang zu seinen Leistungen wählen, der mit dem geringsten Maß an personenbezogenen Daten auskommt. Hieran fehlt es. Zwar kann über die DSGVO die Eröffnung besonderer Vertriebskanäle - wie die Bereitstellung von Tickets über Automaten - nicht erreicht werden; die Beklagte kann also nicht gezwungen werden, anstelle des oder neben dem Online-Fahrkartenverkauf einen Verkauf am Automaten zu eröffnen. Diese Frage stellt sich hier jedoch nicht, weil die Beklagte nicht gezwungen wird, einen neuen Vertriebskanal zu eröffnen, sondern nur verlangt wird, dass sie die vorhandenen Vertriebskanäle - hier den Schalterverkauf - datensparend ausgestaltet.

Den Volltext der Entscheidung finden Sie hier:

VG Köln
Urteil vom 22.05.2025
13 K 1419/23

Wir hatten bereits in dem Beitrag VG Köln: Bundespresseamt darf "Facebook-Fanpage" zur Öffentlichkeitsarbeit für die Bundesregierung betreiben - Untersagungsverfügung der BfDI rechtswidrig über die Entscheidung berichtet.

Leitsätze des Gerichts:
1. Zur Einholung einer Einwilligung nach § 25 Abs. 1 Satz 1 TTDSG verpflichtet ist jede natürliche oder juristische Person, die kausal die Ausführung des Quelltexts veranlasst, der die Informationen speichert oder ausliest, und der deshalb die Realisierung der Distanzgefahr durch den Fernzugriff, vor dem der Endnutzer geschützt werden soll, zuzurechnen ist. Hierfür ist ein hinreichend enger Wirkungs- und Ursachenzusammenhang zwischen der Durchführung des Fernzugriffs und dem Verhalten der Person zu verlangen.

2. Die gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art. 4 Nr. 7 Halbs. 1, Art. 26 Abs. 1 Satz 1 DSGVO setzt eine gemeinsame Festlegung von sowohl Zwecken als auch Mitteln der konkreten Datenverarbeitung voraus.

3. Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die bloße Mitursächlichkeit des Verhaltens einer Person für eine Verarbeitung personenbezogener Daten genügt für die Annahme einer gemeinsamen Mittelfestlegung nicht.

4. Tauglicher Adressat einer Verwarnung auf Grundlage des Art. 58 Abs. 2 Buchst. b DSGVO ist der für den vollendeten Datenschutzverstoß Verantwortliche oder der Auftragsverarbeiter nur dann, wenn er im Zeitpunkt des Erlasses des Verwarnungsbescheides im Hinblick auf die als datenschutzwidrig monierte Datenverarbeitung noch Verantwortlicher oder Auftragsverarbeiter ist

Den Volltext der Entscheidung finden Sie hier: