BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OLG Stuttgart
Urteil vom 29.04.2026
4 U 372/24

Das OLG Stuttgart hat dem Betroffenen 500 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen DSGVO-Verstößen durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke zugesprochen. Zudem hat das Gericht einen Unterlassungsanspruch bejaht.

Aus den Entscheidungsgründen:
Die Berufung hinsichtlich des Klagantrags Ziff. 5, mit dem der Kläger immateriellen Schadensersatz in Höhe von mindestens 5.000,00 € begehrt, ist in Höhe von 500,00 € begründet.

Anspruchsgrundlage für das Begehren des Klägers ist Art. 82 DSGVO. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Voraussetzung für den Schadensersatzanspruch ist damit ein Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines immateriellen Schadens sowie ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 21).

1. Ein Verstoß gegen die Datenschutz-Grundverordnung liegt vor.

a) Für den vom Kläger geltend gemachten Anspruch auf immateriellen Schadensersatz sind sowohl etwaige Verstöße gegen die Datenschutz-Grundverordnung bei der Erhebung personenbezogener Daten durch die Business Tools zu berücksichtigen, die in die gemeinsame Verantwortlichkeit der Beklagten und des Betreibers der Website mit den Business Tools fallen, als auch Verstöße nach Übermittlung dieser Daten an die Beklagte, denn hinsichtlich der insoweit vom Kläger behaupteten Verstöße ist von einem einheitlichen Streitgegenstand auszugehen.

Vom Streitgegenstand werden sämtliche mit der inkriminierten Datenverarbeitung im Zusammenhang stehenden gerügten Verstöße gegen die Datenschutz-Grundverordnung umfasst, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 17). Bei natürlicher Betrachtung können die geltend gemachten Verstöße gegen die Datenschutz-Grundverordnung vor und nach der Übermittlung der Daten an die Beklagte nicht isoliert beurteilt werden, da sie sämtlich in einem einheitlichen Geschehen wurzeln, nämlich der Bereitstellung der Business Tools durch die Beklagte und der Implementierung dieser Tools in die Websites der Drittunternehmer.

b) Gemäß den obigen Ausführungen zum Unterlassungsanspruch verstößt die Beklagte mit der Verarbeitung der ihr via Business Tool übermittelten personenbezogenen Daten des Klägers gegen die Datenschutz-Grundverordnung, da keiner der in Art. 6 Abs. 1 DSGVO genannten Bedingungen für eine Verarbeitung der Daten erfüllt ist. Außerdem liegt ein Verstoß gegen die Datenschutz-Grundverordnung auch in Bezug auf die Erhebung und Übermittlung der personenbezogenen Daten auf den Drittseiten vor, da die Beklagte keinen hinreichenden Vortrag zu der insoweit erforderlichen Einwilligung des Klägers gehalten hat. Hinsichtlich der Websites zeit.de und mueller.de ist ohnehin unstreitig, dass es an einer Einwilligung des Klägers fehlt.

c) Für den Verstoß hinsichtlich der Erhebung der Daten auf den Websites der Drittunternehmer zeit.de und mueller.de ist auch die Beklagte verantwortlich, da diese zusammen mit dem Drittunternehmer gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO ist (vgl. EuGH, Urteil vom 29.07.2019, C-40/17 – „Gefällt mir“-Button – Fashion ID). Dass die schädigende Handlung durch den Drittunternehmer vorgenommen worden ist und nicht durch die Beklagte, steht der Haftung nicht entgegen, denn bei gemeinsam Verantwortlichen genügt es, dass der andere beteiligte Verantwortliche eine schädigende Handlung vorgenommen hat (Auernhammer/Schürmann/Baier, aaO., Art. 82, Rn. 16).


Zur Entlastungsmöglichkeit nach Art. 82 Abs. 3 DSGVO wird auf die nachfolgenden Ausführungen unter 4. verwiesen.

2. Dem Kläger ist auch ein Schaden entstanden.

a) Der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO umfasst negative Gefühle wie beispielsweise Sorge oder Ärger, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet und die

- durch einen Verlust der Kontrolle über diese Daten,

- ihre mögliche missbräuchliche Verwendung oder

- eine Rufschädigung

hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen diese Verordnung empfindet (EuGH, Urteil vom 04.09.2025, C-655/23, GRUR-RS 2025, 22639, Rn. 64).

b) Ein Schaden besteht hier in Form eines Kontrollverlusts. Hiergegen kann nicht eingewandt werden, dass die Daten nur an die Beklagte weitergegeben wurden, nicht an sonstige Dritte. Der Bundesgerichtshof hat einen Kontrollverlust auch in einem Fall bejaht, in dem die Personalaktenverwaltung von Bundesbeamten unzulässigerweise durch Bedienstete des Landes Niedersachsen vorgenommen wurde (BGH, NJW 2025, 1656, Rn. 14 f.). Der Umstand, dass die Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, stand der Annahme eines Schadens dabei nicht entgegen (BGH, aaO., Rn. 16). Hinzu kommt, dass der Kläger nicht ansatzweise überblicken kann, welche Dimension die Datenverarbeitung durch die Beklagte hat (vgl. OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 341) und dass der Kläger keine Möglichkeit hat, durch eigenes Handeln die Kontrolle über die Daten zurückzuerlangen, da weder durch die Änderung der Datenschutzeinstellungen noch durch die Löschung seines Kontos eine vollumfängliche Löschung der bei der Beklagten gespeicherten Daten möglich wäre (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris, Rn. 197). Angesichts dessen kann ein Kontrollverlust durch die unberechtigte Übermittlung personenbezogener Daten an die Beklagte nicht verneint werden.

Ein anderer Schaden im Sinne der Rechtsprechung des EuGH ist nicht ersichtlich. Eine Rufschädigung durch die Speicherung der an die Beklagte übermittelten Daten scheidet ebenso aus wie die Sorge über eine mögliche missbräuchliche Verwendung der Daten. Derartige Folgen hat der Kläger weder vorgetragen noch nachgewiesen.

3. Auch der erforderliche Kausalzusammenhang zwischen dem Schaden und dem Verstoß der Beklagten besteht. Würde die Beklagte die ihr via Business Tools übermittelten personenbezogenen Daten des Klägers nicht verarbeiten und insbesondere auch nicht speichern, hätte der Kläger bzgl. dieser Daten keinen Kontrollverlust erlitten.

4. Gem. Art. 82 Abs. 3 DSGVO wird der Verantwortliche von der Haftung gem. Art. 82 Abs. 2 DSGVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Mit Verantwortung ist das Verschulden im Sinne der deutschen Rechtsterminologie gemeint und nicht die datenschutzrechtliche Verantwortlichkeit (Quaas in BeckOK Datenschutzrecht, 55. Ed., Stand 01.02.2026, DSGVO, Art. 82, Rn. 17; Aliprandi, Datenschutzrechtlicher Schadensersatz nach Art. 82 DS-GVO, S. 448).

Hinsichtlich der Datenverarbeitung durch die Beklagte selbst kommt eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO ersichtlich nicht in Betracht. Für ein fehlendes Verschulden der Beklagten ist nichts vorgetragen.

Gleiches gilt im Ergebnis für die Erhebung und Übermittlung der personenbezogenen Daten des Klägers durch die Drittunternehmer.

Nicht zu folgen ist insoweit allerdings der in der Kommentarliteratur teilweise vertretenen Ansicht, dass dem gemeinsam Verantwortlichen die Möglichkeit der Entlastung durch Art. 26 Abs. 3 DSGVO versagt wird (so Auernhammer/Schreibauer, aaO., Art. 26, Rn. 18). Zwar besagt Art. 26 Abs. 3 DSGVO, dass die betroffene Person ungeachtet der Einzelheiten der Vereinbarung der gemeinsam Verantwortlichen ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen kann. Für Schadensersatzansprüche enthält Art. 82 DSGVO in den Absätzen 3 und 4 aber eine speziellere Regelung, die neben einer angelegten gesamtschuldnerischen Haftung dem Verantwortlichen unter den hohen Voraussetzungen des Art. 82 Abs. 3 DSGVO auch einen individuellen Entlastungsbeweis ermöglicht (Spoerr in BeckOK DatenschutzR, aaO., DS-GVO Art. 26 Rn. 63). Ohnehin wird vertreten, dass die Regelung in Art. 26 Abs. 3 DSGVO nur die in Kapitel 3 der DSGVO geregelten Rechte betrifft, d.h. die in Art. 12 bis 23 DSGVO geregelten Rechte (vgl. Bertermann in Ehmann/Selmayr, aaO., Art. 26, Rn. 29), bzw. dass Art. 26 Abs. 3 DSGVO dem Betroffenen zwar die Geltendmachung gegenüber jedem Verantwortlichen ermöglicht, die Verpflichtung zur Erfüllung sich aber nach der getroffenen Vereinbarung richtet (so Piltz in Gola/Heckmannn, DSGVO, 3. Aufl. 2022, Art. 26, Rn. 35 f.).

Die Beklagte hat aber den Nachweis, dass sie in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist, nicht geführt. Die Beklagte hat insoweit lediglich die gem. Art. 26 DSGVO mit den Drittunternehmern geschlossene Vereinbarung vorgelegt. Dahinstehen kann, ob sie allein deshalb schon davon ausgehen durfte, dass der Betreiber der Website die erforderliche Sorgfalt beim Einholen der Einwilligung walten lässt. Selbst wenn dies der Fall wäre, müsste die Beklagte zumindest darlegen und ggf. beweisen, dass sie keine Kenntnis von der fehlerhaften Implementierung der Business Tools auf den Drittseiten z….de und m….de hatte – etwa aufgrund der Beschwerden anderer Kunden. Hierzu fehlt jeglicher Vortrag.

5. Die Höhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO richtet sich nach nationalem Recht, da die Datenschutz-Grundverordnung keine Regeln für die Bemessung des nach Art. 82 DSGVO geschuldeten Schadensersatzes festlegt. Der Schadensersatz ist daher nach § 287 ZPO unter Beachtung der unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität zu schätzen. Entscheidend ist, welcher Betrag erforderlich ist, um einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherzustellen, wie im 146. Erwägungsgrund der DSGVO ausgeführt, wobei weder der Grad des Verschuldens noch das Bestehen eines Unterlassungsanspruchs anspruchsmindernd zu berücksichtigen sind (vgl. EuGH, Urteil vom 04.09.2025, C-655/23, Rn. 69, 72 f., 83).

Zu berücksichtigen ist insoweit, dass die Datenverarbeitung durch die Beklagte besonders umfassend ist, da sie potenziell unbegrenzte Daten über die Online-Aktivitäten ihrer Nutzer betrifft, und das Gefühl auslösen kann, dass das Privatleben der Nutzer kontinuierlich überwacht wird (OLG Dresden, aaO., Rn. 197; OLG Jena, Urteil vom 02.03.2026, 3 U 31/25, BeckRS 2026, 2610, Rn. 156). Insbesondere besteht die Gefahr, dass die Beklagte auch bei verweigerter Einwilligung die über die Business Tools erlangten Daten zur Erstellung eines detaillierten Profils des Nutzers verwendet (OLG Dresden, aaO., Rn. 197). Zudem ist aus Sicht des Klägers nicht auszuschließen, dass auch besonders sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO, etwa Gesundheitsdaten oder Daten zur sexuellen Orientierung, von der streitgegenständlichen Datenverarbeitung betroffen sind, denn für eine Übermittlung sensibler Daten genügt es schon, dass der Kläger auf einer Seite wie zeit.de Artikel mit entsprechenden Themen anklickt, und dem Kläger dürfte es wie jedem sonstigen Internet-Nutzer nicht möglich sein, seine Bewegungen im Internet im Nachhinein im Detail nachzuvollziehen (vgl. OLG Jena, Urteil vom 02.03.2026, 3 U 31/25, BeckRS 2026, 2610, Rn. 90). Das Gefühl umfassender Beobachtung kann insoweit dazu Anlass geben, davon abzusehen, derartige Artikel anzuklicken bzw. Webseiten mit derartigen Themen aufzusuchen (vgl. OLG Dresden, aaO., Rn. 197; OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 356).

Der Senat hält aus diesen Gründen einen Schadensersatzbetrag in Höhe von 500,00 € für angemessen.

6. Ein weitergehender Schadensersatzanspruch steht dem Kläger auch unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts nicht zu.

Der Umstand, dass dem Kläger ein Schadensersatzanspruch nach Art. 82 DSGVO zusteht, schließt einen Schadensersatzanspruch nach Art. 823 Abs. 1 BGB wegen Verletzung des allgemeinen Persönlichkeitsrechts nicht aus (BGH, Urteil vom 29.07.2025, VI ZR 426/24, Rn. 36). Das allgemeine Persönlichkeitsrecht umfasst auch das Recht auf informationelle Selbstbestimmung, das gewährleistet, dass Informationen über eine Person vor intransparenter Verarbeitung und Nutzung durch Private geschützt sind (Grüneberg/Retzlaff, aaO., § 823, Rn. 132).

Nach der ständigen Rechtsprechung des Bundesgerichtshofs begründet die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung jedoch nur, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Ob eine so schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, kann nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Die Zubilligung einer Geldentschädigung unter den genannten Voraussetzungen findet ihre sachliche Berechtigung in dem Gedanken, dass das Persönlichkeitsrecht gegenüber schwerwiegenden Beeinträchtigungen anderenfalls ohne ausreichenden Schutz bliebe mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmern würde (BGH, Urteil vom 12.03.2024, VI ZR 1370/20, Rn. 70).

Ein schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, der nicht in anderer Weise als durch Zahlung einer Geldentschädigung befriedigend aufgefangen werden könnte, liegt im vorliegenden Fall nicht vor (vgl. OLG Naumburg, aaO., Rn. 366 f.; OLG München, GRUR-RS 2025, 36464, Rn. 116 ff.; OLG Dresden, Urteil vom 17.03.2026, 4 U 709/25, Urteilsumdruck S. 33; OLG Hamm, Urteil vom 09.03.2026, I-8 U 13/25, Urteilsumdruck S. 38; a.A. OLG Dresden, Urteil vom 12.03.2026, Az. 17 U 625/25, Urteilsumdruck S. 68). Zu berücksichtigen ist, dass der Kläger für den datenschutzrechtlichen Verstoß der Beklagten bereits immateriellen Schadensersatz nach Art. 82 DSGVO erhält. Die vom Kläger erlittene Beeinträchtigung wird ferner dadurch aufgefangen, dass im vorliegenden Verfahren die Verarbeitung der ihr via Business Tool übermittelten Daten des Klägers untersagt wird (vgl. OLG München, GRUR-RS 2025, 36464, Rn. 121). Außerdem ist zu berücksichtigen, dass der Kläger nach wie vor I... nutzt und allein dadurch der Beklagten schon unzählige Daten liefert.

7. Der Schadensersatzbetrag von 500,00 € ist gem. §§ 291 Abs. 1, 288 Abs. 1 Satz 2 BGB ab Rechtshängigkeit, d.h. ab dem 20.01.2024 mit 5 Prozentpunkten über dem Basiszinssatz zu verzinsen. Ein weitergehender Anspruch auf Verzinsung bereits ab dem 05.12.2023 besteht nicht, da der Kläger den von der Beklagten bestrittenen Zugang seiner Mahnung vom 06.11.2023 nicht nachgewiesen hat.

Den Volltext der Entscheidung finden Sie hier:

VG Ansbach
Beschluss vom 01.04.2026
AN 14 K 26.1164

Das VG Ansbach hat entschieden, dass für Schadensersatzansprüche aus Art. 82 DSGVO gegen Behörden und öffentliche Stellen der ordentliche Rechtsweg und nicht der Verwaltungsrechtsweg eröffnet ist.

Aus den Enstcheidungsgründen:
Das Verfahren ist nach Anhörung der Beteiligten gemäß § 173 Satz 1 VwGO i.V.m. § 17a Abs. 2 Satz 1 GVG an das Amtsgericht Nürnberg zu verweisen.

Der Kläger fordert im Klagewege von der Beklagten Schadensersatz nach Art. 82 DS-GVO in Höhe von zuletzt mindestens 20.000 EUR wegen rechtswidriger Speicherung seiner personenbezogenen Daten durch das Bundesamt für Migration und Flüchtlinge. Diese Klage wurde mit Beschluss vom 1. April 2026 von der zeitgleich erhobenen Klage auf Löschung der personenbezogenen Daten abgetrennt.

1. Der hinsichtlich der Schadensersatzklage beschrittene Verwaltungsrechtsweg ist im Sinne des § 173 Satz 1 VwGO, § 17a Abs. 2 Satz 1 GVG unzulässig. Bei dem geltend gemachten Anspruch aus Art. 82 DS-GVO handelt es sich um einen Schadensersatzanspruch aus der Verletzung öffentlichrechtlicher Pflichten im Sinne des § 40 Abs. 2 Satz 1 Halbs. 1 VwGO, sodass demnach der ordentliche Rechtsweg gegeben ist (im Ergebnis ebenso: VG Köln U.v. 23.2.2023 – 13 K 278/21 –, BeckRS 2023, 16294 Rn. 14; VG Stade Verweisungsbeschluss v. 7.8.2025 – 10 A 624/24 –, BeckRS 2025, 22882 Rn. 3; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 –, BeckRS 2025, 36628 Rn. 3).

Eine Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DS-GVO, da diese Vorschrift nur die internationale Zuständigkeit regelt (vgl. VG Köln U.v. 23.2.2023 – 13 K 278/21 –, BeckRS 2023, 16294 Rn. 15 m.w.N.; VG Stade Verweisungsbeschluss v. 7.8.2025 – 10 A 624/24 –, BeckRS 2025, 22882 Rn. 5; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 –, BeckRS 2025, 36628 Rn. 4; Quaas in BeckOK Datenschutzrecht, 54. Ed. Stand: 1.11.2025, DS-GVO Art. 82 Rn. 46-46.3).

2. Damit ist der Rechtsstreit an das Amtsgericht Nürnberg als sachlich und örtlich zuständiges Gericht des ordentlichen Rechtswegs zu verweisen, § 173 Satz 1 VwGO i.V.m. § 17a Abs. 2 Satz 1 GVG.

Der Schadensersatzanspruch aus Art. 82 DS-GVO ist kein Amtshaftungsanspruch im Sinne des Art. 34 Satz 2 GG, sodass eine ausschließliche sachliche Zuständigkeit der Landgerichte gemäß § 71 Abs. 2 Nr. 2 GVG nicht gegeben ist (vgl. BFH, B.v. 28.6.2022 – II B 93/21 –, juris Rn. 14 ff.; BSG, B.v. 6.3.2023 – B 1 SF 1/22 R –, juris Rn. 19 ff.; VG Stuttgart, U.v. 20.6.2024 – 14 K 870/22 –, juris Rn. 23 ff.; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25, BeckRS 2025, 36628 Rn. 13 ff.).

Die sachliche Zuständigkeit richtet sich vielmehr nach § 1 ZPO i.V.m. §§ 23 Nr. 1, 71 Abs. 1 GVG, wonach Streitigkeiten über Ansprüche, deren Gegenstand an Geld oder Geldeswert die Summe von zehntausend Euro nicht übersteigt, von der Zuständigkeit der Amtsgerichte umfasst sind. Insoweit ist das mit der Klage verfolgte wirtschaftliche Interesse zu ermitteln, wobei den Wertangaben der Parteien, insbesondere des Klägers (§§ 253 Abs. 3, 495 ZPO), wenn sie nicht offensichtlich unzutreffend sind, erhebliches Gewicht zukommt, diese aber für das Gericht nicht bindend sind (vgl. Wendtland in BeckOK ZPO, 59. Ed. Stand: 1.12.2025, § 3 Rn. 1).

Der Kläger bezifferte die begehrte Schadensersatzhöhe in der Klageschrift vom 25. Dezember 2025 mit 1.000 EUR, in späteren Schriftsätzen mit mindestens 20.000 EUR. Die ausgeurteilten Schadensersatzansprüche aus Art. 82 DS-GVO bewegen sich bislang im unteren bis mittleren vier- oder dreistelligen Bereich (vgl. Quaas in BeckOK Datenschutzrecht, 54. Ed. Stand: 1.11.2025, DS-GVO Art. 82 Rn. 34 f.). Angesichts dessen erscheint die Angabe von 20.000 EUR offensichtlich unzutreffend, zumal Anhaltspunkte für eine Atypik des Falls des Klägers, die eine derart gravierend von der bisherigen Rechtsprechung abweichende Schadensersatzhöhe rechtfertigen könnten, weder vorgetragen noch erkennbar sind. Das objektive wirtschaftliche Interesse des Klagebegehrens liegt nach Auffassung des Gerichts jedenfalls unter 10.000 EUR, sodass die sachliche Zuständigkeit der Amtsgerichte eröffnet ist.

Örtlich zuständig ist vorliegend im Hinblick auf den Sitz des Bundesamts für Migration und Flüchtlinge in Nürnberg das Amtsgericht Nürnberg nach §§ 12, 17 Abs. 1 ZPO i.V.m. Art. 5 Abs. 2 Nr. 53 GerOrgG.

Die Entscheidung über die Kosten bleibt gemäß § 173 Satz 1 VwGO i.V.m. § 17b Abs. 2 Satz 1 GVG der Endentscheidung des Amtsgerichts Nürnberg vorbehalten.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Urteil vom 02.04.2026
29 K 7351/23

Das Verwaltungsgericht Düsseldorf hat entschieden, dass die Versendung von E-Mails unter Verwendung einer Transportverschlüsselung (z. B. TLS) keinen Verstoß gegen die DSGVO darstellt. Eine Ende-zu-Ende-Verschlüsselung ist zur Einhaltung der Anforderungen an die Sicherheit der Verarbeitung nach Art. 32 DSGVO für die Kommunikation von nicht sensiblen Daten nicht zwingend erforderlich.

Aus den Entscheidungsgründen:
Die Einzelrichterin ist für die Entscheidung zuständig, nachdem ihr der Rechtsstreit durch Beschluss der Kammer vom 23. Februar 2026 gemäß § 6 Abs. 1 Satz 1 Verwaltungsgerichtsordnung (VwGO) zur Entscheidung übertragen worden ist.

Das Gericht kann gemäß § 101 Abs. 2 VwGO ohne mündliche Verhandlung entscheiden, weil die Beteiligten hierzu ihr Einverständnis erklärt haben.

Die insgesamt zulässige Klage hat nur in dem aus dem Tenor ersichtlichen Umfang Erfolg. Hinsichtlich der Klageanträge zu 1. und 2. ist die Klage unbegründet. Soweit der Kläger mit dem Hilfsklageantrag zu 3. bezüglich der Nichtmeldung des Datenschutzverstoßes und bezüglich des Datenschutzverstoßes selbst die Verpflichtung zur Neubescheidung über seine Beschwerde begehrt, ist die Klage ebenfalls unbegründet. Im Übrigen ist sie mit ihrem Hilfsklageantrag zu 3. begründet. Der Kläger hat einen Anspruch auf Neubescheidung seiner Beschwerde, soweit sie die verspätete Datenschutzauskunft durch die Beschwerdegegnerin zum Gegenstand hat (§ 113 Abs. 5 Satz 2 VwGO).

Die Klage ist zulässig, insbesondere als Verpflichtungsklage gemäß § 42 Abs. 1 Alt. 2 VwGO statthaft.

Die von dem Kläger begehrte andere Entscheidung über seine Beschwerde stellt - ebenso wie das Schreiben der Beklagten vom 16. November 2022 - einen Verwaltungsakt im Sinne von § 35 Satz 1 des Verwaltungsverfahrensgesetzes (VwVfG) dar. Insbesondere zielt es auf die Herbeiführung unmittelbarer Rechtswirkungen ab. Aus der Begründung ergibt sich, dass die Beklagte das Schreiben als Aufsichtsbehörde im Rahmen ihrer Befugnisse nach Art. 58 DSGVO erstellt hat. Dabei ist unschädlich, dass dieses weder als „Bescheid“ noch als „Verfügung“ oder in ähnlicher Weise bezeichnet wird. Denn inhaltlich stellt es eine auf unmittelbare Rechtswirkung nach außen gerichtete Entscheidung der Beklagten über den weiteren Fortgang - nämlich die Beendigung - des Beschwerdeverfahrens dar.

Vgl. zur Einordnung der abschließenden Beschwerdeentscheidung der Aufsichtsbehörde als Verwaltungsakt: VG Düsseldorf, Urteil vom 20. November 2025 - 29 K 3939/23 -, juris Rn 20 m.w.N.; VG Mainz, Urteil vom 16. Januar 2020 - 1 K 129/19.MZ -, juris Rn. 26 f. Vgl. auch zur Rechtsverbindlichkeit der Beschlüsse einer Aufsichtsbehörde: EuGH, Urteil vom 07.12.2023 - C-26/22 -, juris Rn. 50.

Die Klage ist rechtzeitig innerhalb der gemäß § 58 Abs. 2 VwGO geltenden Jahresfrist erhoben worden. Der Bescheid vom 16. November 2022 enthält keine Rechtsbehelfsbelehrung.

Der Kläger ist klagebefugt im Sinne von § 42 Abs. 2 VwGO, weil es nach seinem Vorbringen jedenfalls möglich ist, dass er durch die Einstellung des Beschwerdeverfahrens in eigenen subjektiv-öffentlichen Rechten nach Art. 57 Abs. 1 Buchst. f, 77 Abs. 1 DSGVO verletzt ist.

Vgl. VG Hamburg, Urteil vom 1. Juni 2021 - 17 K 2977/19 -, Rn. 41 ff.; VG Ansbach, Urteil vom 7. Dezember 2020 - An 14 K 18.02503 -, juris Rn. 25; OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 - 10 A 10613/20 -, juris Rn. 29.

Die Klage ist mit ihren Klageanträgen zu 1. und 2. aber unbegründet. Der Bescheid vom 16. November 2022 ist insoweit rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Der Kläger hat gegenüber der Beklagten keinen Anspruch auf das Ergreifen der begehrten Aufsichtsmaßnahmen (§ 113 Abs. 5 Satz 1 VwGO).

Rechtsgrundlage für die streitgegenständliche Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorschriften über den Datenschutz verstößt. Als Datenschutzaufsichtsbehörde muss sich die Beklagte im Rahmen ihrer Zuständigkeit mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten (Art. 57 Abs. 1 Buchst. f DSGVO).

Bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO handelt es sich um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt.

Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Die Aufsichtsbehörde ist nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, eine Beschwerde mit aller gebotenen Sorgfalt zu bearbeiten. Hierzu verleiht ihr Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse.

Vgl. EuGH, Urteil vom 16. Juli 2020 - C-311/18 -, juris Rn.109, 111.

Über den Einsatz der sich aus Art. 58 Abs. 1 DSGVO ergebenden Untersuchungsbefugnisse sowie den Umfang der Untersuchung entscheidet die Aufsichtsbehörde nach pflichtgemäßem Ermessen entsprechend der Sachlage im Einzelfall.

Vgl. Matzke, in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.02.2026, DSGVO Art. 57 Rz 17.

Stellt die Aufsichtsbehörde sodann am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt.

Vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22 -, juris Rn. 47 ff.

Hiervon ausgehend richtet sich die gerichtliche Prüfung der Beschwerdeentscheidung nach § 114 Abs. 1 VwGO.
Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, das Beschwerdeverfahren einzustellen, nicht erkennbar.

Dies ergibt sich für den mit dem Klageantrag zu 1. geltend gemachten Sachverhalt bereits daraus, dass ein Datenschutzverstoß nicht vorliegt. Die Datenverarbeitung durch die verarbeitende Beschwerdegegnerin war rechtmäßig. Eine Ende-zu-Ende-Verschlüsselung bei elektronischer Kommunikation mit dem Kläger war weder allgemein noch in der Unfallsache geboten.

Die Datenverarbeitung der personenbezogenen Daten des Klägers durch die Verantwortliche in Form der Offenlegung durch die Anzeige des Verkehrsunfalls mit E-Mail vom 21. Januar 2022 sowie in Form der Übermittlung des an sie gerichteten Schreibens der Prozessbevollmächtigten des Klägers vom 2. März 2022 an die KFZ-Haftpflichtversicherung bzw. den für diese tätigen Versicherungsvertreter war gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO zulässig. Nach dieser Bestimmung ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen der Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ein berechtigtes Interesse der Verantwortlichen liegt vor. Als Versicherungsnehmerin durfte das verantwortliche Busunternehmen den Namen des Klägers als Unfallgeschädigtem zum Zwecke der Schadensabwicklung des Verkehrsunfalls ihrer Versicherung melden. Soweit im E-Mail-Verteiler neben der „SVG-Kravag“ auch „SVG“ aufgeführt wird, handelt es sich angesichts des identischen Namens „Claus Vennemann“ ersichtlich um ein- und denselben Adressaten. Herr Vennemann scheint der bei der KRAVAG zuständige Versicherungsvertreter für die Beschwerdegegnerin zu sein.

Die Übermittlung der personenbezogenen Daten des Klägers per E-Mail war auch hinsichtlich der Sicherheit der Datenverarbeitung datenschutzkonform und verstößt nicht gegen Art. 5 Abs. 1 Buchst. f DSGVO. Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dieser Grundsatz wird in Art. 32 DSGVO konkretisiert. Diese Vorschrift sieht vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem risikoangemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 1. HS DSGVO). Diese Maßnahmen schließen gegebenenfalls unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein (Art. 32 Abs. 1 2. HS Buchst. a DSGVO).

Als Maßnahme zur Gewährleistung der Datensicherheit hat die Beschwerdegegnerin eine solche Verschlüsselung vorgenommen. Mangels gegenteiliger Anhaltspunkte durfte die Beklagte bei ihrer Prüfung davon auszugehen, dass die bei der Kommunikation zwischen der Beschwerdegegnerin und ihrer Versicherung beteiligten E-Mail-Anbieter eine Transportverschlüsselung einsetzen und dadurch die personenbezogenen Daten des Klägers in Form seines Namens und Vornamens während des Versands verschlüsselt worden sind.

Nachrichten, die per E-Mail versendet werden, unterliegen einer Transportverschlüsselung. Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. Allerdings werden E-Mails beim Versand über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.

Vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt.

Diese Technik gewährleistete im vorliegenden Fall gleichwohl ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 Abs. 1 1. HS DSGVO.

Bei der Beurteilung des angemessenen Schutzniveaus sind gemäß Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Das Risiko bestimmt sich nach der möglichen Schwere des Schadens und nach der Wahrscheinlichkeit, mit der der Schaden eintritt.

Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 4. Auflage 2026, Art. 32 DSGVO, Rn. 50.
Anders als bei einer Ende-zu-Ende-Verschlüsselung, bei der nicht die einzelnen Abschnitte des Versandkanals verschlüsselt werden, sondern die E-Mails selbst, so dass weder die beteiligten E-Mail-Anbieter die E-Mail lesen können, noch potentielle Angreifer die Möglichkeit haben, die E-Mails unterwegs zu lesen oder zu manipulieren,

vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt,

Bei einer Transportverschlüsselung ein unbefugter Zugang zu personenbezogenen Daten nicht vollständig ausgeschlossen werden. Das birgt für den Kläger aber kein erhöhtes Risiko. Im Raum stand, dass ein unbefugter Dritter Kenntnis von dem in beiden E-Mails enthaltenen Namen des Klägers erlangt. Diese Daten sind nicht sensibel und bedürfen keines besonderen Schutzes. Die im Melderegister für ihn angeordnete Auskunftssperre ändert daran nichts. Der Name des Klägers ist nicht geheim, sondern im Internet frei zugänglich. Dasselbe gilt für seine Firma. Der Kläger verwendet kein Pseudonym. Sein Name wird daher nicht erst bei unbefugtem Zugang Dritter zu den E-Mails bekannt. Auch die Wahrscheinlichkeit, dass ein Dritter dadurch weitere Informationen über den Kläger erlangt, ist äußerst gering. Ein Bezug zur privaten Anschrift des Klägers kann nicht hergestellt werden. Denn die für den Kläger eingetragene Auskunftssperre nach § 51 BMG bewirkt, dass Dritte keinen Zugang zu den Meldedaten erhalten. Es ist auch nicht ersichtlich, wie ein Unbefugter über die Kanzlei der Prozessbevollmächtigten des Klägers nähere Informationen über den Kläger herausfinden könnte. Diese sind hinreichend sensibilisiert. Vielmehr kann der mögliche Aufenthaltsort des Klägers bereits jetzt mit seinem Namen in Verbindung mit seiner Firma und deren Sitz im Internet auf einfache Weise ermittelt werden. Die vom Kläger angenommene Gefahr, Dritte könnten ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen, hat sich durch die Nennung seines Namens in den beiden streitgegenständlichen E-Mails nicht erhöht.

Da die Datenverarbeitung durch das Busunternehmen kein hohes Risiko für die Rechte und Freiheiten des Klägers zur Folge hat, bedurfte es auch keiner Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO.

Kann ein Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung nicht festgestellt werden, ist die Beklagte nicht gehalten, mit dem Ziel der Abstellung des Verstoßes die mit dem Klageantrag zu 1. begehrten Maßnahmen nach Art. 58 Abs. 2 DSGVO Maßnahmen zu ergreifen.

Der Klageantrag zu 2., mit dem der Kläger die Verpflichtung der Beklagten begehrt, gegenüber dem Verarbeiter eine angemessene Geldbuße zu verhängen für die Verspätung der Auskunft, die Nichtmeldung des Datenschutzverstoßes und der Datenschutzverstoß selbst, ist ebenfalls unbegründet. Der Kläger hat keinen Anspruch auf die Verhängung einer Geldbuße gemäß Art. 58 Abs. 2 Buchst. i DSGVO gegenüber der Beschwerdegegnerin. Dies ergibt sich hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst bereits daraus, dass nach den obigen Ausführungen kein Datenschutzverstoß vorliegt, und infolgedessen keine Meldung nach Art. 33 DSGVO an die Beklagte erfolgen musste. Aus diesem Grund bleibt auch dem Hilfsantrag zu 3., soweit er auf die Neubescheidung des Klägers hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst zielt, der Erfolg versagt.

In Bezug auf die Verspätung der Auskunft nach Art. 15 DSGVO liegt zwar ein Datenschutzverstoß vor. Der auf die Verhängung eines Bußgelds gerichtete Klageantrag zu 2. ist gleichwohl unbegründet.

Die Beklagte hat nicht in angemessenem Umfang überprüft, ob hinsichtlich der verspäteten Auskunftserteilung ein Verstoß gegen die Datenschutzgrundverordnung gegeben ist. Dass die gewünschte E-Mail-Auskunft zum Zeitpunkt der Entscheidung der Beklagten vorlag, ist für die Frage der fristgerechten Erfüllung des Antrags des Klägers auf Auskunft über seine personenbezogenen Daten ohne Belang. Soweit sich die Beklagte in ihrem Bescheid vom 16. November 2022 auf die Einlassung der Verantwortlichen stützt, es sei keine Identifikation für ein Auskunftsbegehren möglich gewesen, schließt dies einen Verstoß gegen Art. 12 Abs. 3 Satz 1 DSGVO nicht aus.

Der Antrag des Klägers auf Auskunft über seine personenbezogenen Daten gemäß Art. 15 Abs. 1 DSGVO an die Beschwerdegegnerin datiert vom 12. April 2022. Auskunft erteilt wurde mit der anwaltlichen Stellungnahme der Beschwerdegegnerin vom 26. Oktober 2022. Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die einmonatige Frist hat die Beschwerdegegnerin nicht eingehalten. Sie hat den Kläger auch nicht über eine Fristverlängerung oder die Gründe für die Verzögerung unterrichtet (Art. 12 Abs. 3 Satz 3 DSGVO). Anders als die Verantwortliche geltend macht, war der Kläger auch identifizierbar. Der Antrag vom 12. April 2022 wurde weder anonym noch unter einem Pseudonym gestellt. Zwar wird nur der Name des Klägers ohne Privatanschrift angegeben. Das Schreiben wurde jedoch von den Prozessbevollmächtigten des Klägers übersendet, die sich bereits Schreiben vom 2. März 2022 an die Beschwerdegegnerin gewendet und darin neben dem Namen des Klägers auch den zugrunde liegenden Sachverhalt (Verkehrsunfall in F. am 20. Januar 2022) benannt haben. Damit war der Verantwortlichen eine Zuordnung des Klägers ohne weiteres möglich.

Der auf Verhängung einer Geldbuße gerichtete Klageantrag zu 2. hat dennoch keinen Erfolg. Ein gerichtlich im Wege der Verpflichtungsklage durchsetzbarer Anspruch gegen die Beklagte auf Ergreifen der Maßnahme nach Art. 58 Abs. 2 Buchst. i DSGVO besteht in Anbetracht des der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zustehenden Auswahlermessens nur, wenn das Ermessen der Beklagten auf null reduziert ist. Dies ist vorliegend nicht der Fall, zumal von drei behaupteten Datenschutzverstößen nur einer gegeben ist, der zudem angesichts der später erteilten Auskunft nicht schwer wiegt.

Der Kläger hat aber, soweit er sich über die verspätete Auskunft beschwert hat, gegenüber der Beklagten einen Anspruch auf ermessensfehlerfreie Entscheidung über das Ergreifen von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO unter Beachtung der Rechtsauffassung des Gerichts (§ 113 Abs. 5 Satz 2 VwGO) mit der Folge, dass der Hilfsantrag zu 3. insoweit Erfolg hat. Die Beklagte konnte ihre Ermessenserwägungen dazu im gerichtlichen Verfahren nicht wirksam nachholen, weil sie die nicht fristgerechte Erteilung der begehrten Datenschutzauskunft im Bescheid nicht als Verstoß erkannt und deshalb ihr Auswahlermessen nicht ausgeübt hat.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 16.04.2026
C‑205/25
J.L. gegen Bayerisches Landesamt für Datenschutzaufsicht

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, wenn sie im Rahmen eines Beschwerdeverfahrens gemäß Art. 77 DSGVO tätig wird. Der Betroffene hat somit einen Auskunftsanspruch aus Art. 15 DSGVO. Nationale Rechtsvorschriften, wie etwa Art. 20 Abs. 2 des Bayerischen Datenschutzgesetzes (BayDSG), die diesen Auskunftsanspruch gegenüber der Datenschutzbehörde ausschließen, widersprechen Art. 23 DSGVO.

Ergebnis der Schlussanträge:
1. Art. 15 in Verbindung mit Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) st dahin auszulegen, dass eine Aufsichtsbehörde im Sinne von Art. 4 Nr. 21 dieser Verordnung, wenn sie im Rahmen eines Beschwerdeverfahrens gemäß deren Art. 77 tätig wird, auch die Eigenschaft eines „Verantwortlichen“ im Sinne der genannten Verordnung aufweist und somit verpflichtet ist, der betroffenen Person das in Art. 15 der Verordnung vorgesehene Auskunftsrecht zu garantieren.

2. Art. 23 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Vorschrift wie der in Art. 20 Abs. 2 des Bayerischen Datenschutzgesetzes vorgesehenen entgegensteht, die das Bestehen eines auf Art. 15 dieser Verordnung gestützten Auskunftsrechts gegenüber der bayerischen Datenschutzbehörde als solches ausschließt.

Die vollständigen Schlussanträge finden Sie hier:

LG Köln
Teilurteil vom 13.11.2025
30 O 146/25

Das LG Köln hat entschieden, dass ein Arbeitgeber datenschutzrechtlich verpflichtet sein kann, einem Personalvermittler Auskunft über die Gehaltsbestandteile eines vermittelten Arbeitnehmers zu erteilen. Dies gilt selbst dann, wenn der Arbeitnehmer der Datenweitergabe ausdrücklich widersprochen hat. Das Gericht führt aus, dass das berechtigte Interesse des Vermittlers an der Berechnung seines Honorars das allgemeine Geheimhaltungsinteresse des Arbeitnehmers überwiegt.

Aus den Entscheidungsgründen:
I. Die Stufenklage ist zulässig.

Der geltend gemachte Anspruch auf Auskunft über sämtliche Gehaltsbestandteile des Zeugen H. ist zulässiger Gegenstand der ersten Stufe einer Stufenklage nach § 254 ZPO.

Bei einer Stufenklage wird ein der Höhe oder dem Gegenstand nach noch unbekannter und deshalb nicht iSv § 253 II Nr. 2 ZPO bestimmbarer Leistungsanspruch mit den zu seiner Konkretisierung erforderlichen Hilfsansprüchen (auf Auskunft und gegebenenfalls Richtigkeitsversicherung) verbunden. Die Stufenklage ist nicht auf die in § 254 ZPO genannten Gegenstände beschränkt. Sie kann auch dann erhoben werden, wenn eine andere Form der geordneten Auskunft über Tatsachen begehrt wird, die für den Kläger einen gesetzlichen oder vertraglichen Anspruch begründen (NZA 2022, 261 Rn. 24, 25, beck-online).

Die hiesige Klägerin begründet ihren Auskunftsanspruch zulässigerweise damit, dass sich die mit der Beklagten vereinbarte Höhe ihres Honorars für die Vermittlung des Zeugen H. gem. § 3 des zwischen den Parteien geschlossenen Vertrages nach einem Prozentsatz des Bruttojahreseinkommens des Zeugen H. bestimmt. Zur Berechnung ihres Anspruchs ist die Klägerin daher auf die begehrte Auskunft angewiesen, über die sie derzeit noch nicht verfügt.

Der Antrag ist auch hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO, da für die Beklagte ohne Weiteres erkennbar ist, über welche Gehaltsbestandteile sie die begehrte Auskunft erteilen soll.

II. Die Stufenklage ist auf der ersten Stufe begründet.

Die Klägerin hat gegen die Beklagte einen Anspruch auf Erteilung der beantragten Auskunft über das Bruttojahreseinkommen des Zeugen H. einschließlich aller Gehaltsbestandteile aus § 3 i.V.m. § 6 des zwischen den Parteien geschlossenen Vertrages vom 05./08.05.0000 i.V.m. § 242 BGB.

Dass der Vertrag wirksam geschlossen wurde und die Klägerin die Vermittlungstätigkeit erbracht hat, die den Honoraranspruch auslöst, ist zwischen den Parteien unstreitig.

An der Wirksamkeit der in § 6 des Vertrages vereinbarten Auskunftspflicht der Beklagten bestehen ebenfalls keine Zweifel. Eine derartige Vereinbarung ist nicht deshalb gem. §§ 134 bzw. 138 BGB gesetzes- oder sittenwidrig, weil die Beklagte sich als Arbeitgeberin verpflichtet, Gehaltsdaten ihres Arbeitnehmers der Klägerin zu offenbaren. Wie der Fall der Vermittlung einer anderen Arbeitnehmerin an die Beklagte zeigt, haben Arbeitnehmer häufig keine Bedenken gegen die entsprechende Weitergabe ihrer Daten an die Klägerin als Personalvermittlerin. Auch der BGH geht davon aus, dass eine Honorarabrede, die sich am Bruttojahresgehalt des vermittelten Arbeitnehmers orientiert, in der Arbeitsvermittlungsbranche branchenüblich ist. So hat er im Fall eines im Wege der Arbeitnehmerüberlassung vermittelten Mitarbeiters in ein festes Arbeitsverhältnis hinsichtlich des Anspruchs auf Vermittlungshonorar Folgendes ausgeführt: „Für eine Anknüpfung des Vermittlungsentgelts an die Verleihgebühr spricht auch nicht, dass diese den Vertragsparteien geläufig ist, während der Verleiher den Arbeitsvertrag zwischen dem Entleiher und dem (früheren) Leiharbeitnehmer naturgemäß nicht kennt, er mithin auf eine Information des (vormaligen) Entleihers angewiesen ist. Etwaigen damit verbundenen Schwierigkeiten ließe sich jedenfalls durch eine vertraglich vereinbarte Pflicht des Entleihers oder des Arbeitnehmers zur Offenbarung begegnen“ (BGH Urt. v. 10.3.2022 – III ZR 51/21, BeckRS 2022, 8082 Rn. 25, beck-online). Er erachtet somit das Bruttoeinkommen des Arbeitnehmers als adäquate Bemessungsgröße für die Vergütung des Vermittlers. Es ist nicht ersichtlich, warum außerhalb des Bereichs der Arbeitnehmerüberlassung für die Vermittlung von Arbeitnehmern durch Arbeitsvermittler bzw. Headhunter etwas Anderes gelten sollte. Im Hinblick auf den Datenschutz haben Leiharbeitnehmer dieselben Rechte wie jeder andere Arbeitnehmer auch.

Die Erteilung der Auskunft ist der Beklagten auch nicht gem. § 275 Abs. 1 BGB rechtlich unmöglich. Rechtliche Unmöglichkeit liegt vor, wenn der geschuldete Erfolg aus Rechtsgründen nicht herbeigeführt werden kann oder nicht herbeigeführt werden darf.

Eine rechtliche Unmöglichkeit der Auskunftserteilung ergibt sich bei einem Widerspruch des Arbeitnehmers gegen die Datenweitergabe nicht ohne Weiteres aus § 26 BDSG, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Im Zusammenspiel zwischen dem BDSG und der DS-GVO sind auch die in letzterer geregelten Erlaubnistatbestände zu beachten.

Als Erlaubnistatbestände kommen – neben der Einwilligung und der Betriebsvereinbarung – vor allem Art. 6 Abs. 1 lit. b, zur Aufdeckung einer Straftat § 26 Abs. 1 S. 2 sowie, für Zwecke außerhalb des Beschäftigungsverhältnisses, Art. 6 Abs. 1 lit. b, f DS-GVO in Betracht (BeckOK DatenschutzR/Riesenhuber, 53. Ed. 1.8.2025, BDSG § 26 Rn. 179, beck-online).

Die Erlaubnis der Beklagten zur Erteilung der Auskunft trotz der Untersagung durch den Zeugen H. ergibt sich aus Art. 6 Abs. 1 S. 1 lit f DS-GVO. Nach dieser Vorschrift ist die Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Art. 21 DS-GVO sieht ebenfalls vor, dass bei einem Widerspruch der betroffenen Person gegen die Datenverarbeitung eine weitere Verarbeitung zu unterlassen ist, es sei denn, es liegen zwingende schutzwürdige Gründe für die Verarbeitung vor, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Die insoweit vorzunehmende Abwägung führt hier zu dem Ergebnis, dass die Interessen der Klägerin an dem Erhalt der Gehaltsdaten die Interessen des Zeugen H. an deren Geheimhaltung gegenüber der Klägerin überwiegen.

Die Datenverarbeitung in Form der Weitergabe der Daten an die Klägerin dient hier der Klägerin als Drittem zur Wahrung ihrer berechtigten Interessen und zur Geltendmachung von Ansprüchen. Denn die Klägerin hat gegen die Beklagte grundsätzlich einen Anspruch auf Honorar und kann dessen Höhe nur anhand der Gehaltsdaten des Zeugen berechnen. Die Geltendmachung und Beitreibung von Forderungen ist ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit.f DS-GVO.

Da der Klägerin die Gehaltsdaten zur Berechnung ihres Honorars nicht vorliegen, ist die Weitergabe der Daten an sie auch erforderlich. Sofern die Beklagte ausführt, dass die Klägerin auch ein anderes Honorarmodell hätte wählen können, lässt dies die Erforderlichkeit der Datenübermittlung nicht entfallen, da der Vertrag mit eben diesem, auf die Gehaltshöhe bezogenen Honorarmodell geschlossen wurde und die Klägerin sich nicht auf eine Neuverhandlung des bereits abgeschlossenen Vertrags einlassen muss, die für sie einem Teilverzicht auf ihren Anspruch gleichkäme. Hinzu kommt, dass – wie bereits ausgeführt – ein nach dem Gehalt des vermittelten Arbeitnehmers berechnetes Honorar in der Rechtsprechung anerkannt und zudem branchenüblich ist.

Im Rahmen der Interessenabwägung spielen u.a. der mit der Datenverarbeitung verfolgte Zweck und die dahinter stehenden Interessen, Art, Inhalt und Aussagekraft der Daten sowie die Folgen derer Verarbeitung und (potenziellen) Verwendung und die davon betroffenen oder sonst involvierten Interessen eine Rolle. Mit Blick auf die Kriterien für die Abwägung lassen sich der DS-GVO sodann verschiedene Anhaltspunkte entnehmen. Zu berücksichtigen sind demnach insbesondere die vernünftige Erwartungshaltung der betroffenen Person (reasonable expectations) bzw. die Absehbarkeit (Branchenüblichkeit) der Verarbeitung (BeckOK DatenschutzR/Albers/Veit, 53. Ed. 1.8.2025, DS-GVO Art. 6 Rn. 72, beck-online).

Der Zeuge H. hat im Rahmen seiner Vernehmung angegeben, dass er die Weitergabe seiner Gehaltsdaten aus grundsätzlichen Erwägungen nicht wünscht. Ein daneben bestehendes spezielles Geheimhaltungsinteresse wie beispielsweise die Sorge vor behördlichen Maßnahmen oder vor Streitigkeiten mit Arbeitskollegen hat er verneint. Er hat vielmehr angegeben, dass er generell nicht wolle, dass jemand sein Gehalt kenne und dass er dies auch beispielsweise seinen Geschwistern nicht nennen würde, sondern allenfalls seinem engsten Freund. Konkrete Befürchtungen, dass sein Gehalt veröffentlicht werden könnte, hat er ebenfalls verneint.

Dieses allgemeine Geheimhaltungsinteresse des Zeugen H. muss im Rahmen der Abwägung nach Ansicht der Kammer vorliegend gegenüber dem Interesse der Klägerin am Erhalt der Gehaltsdaten zurückstehen.

Dabei ist zu berücksichtigen, dass der Zeuge H. der Klägerin seine konkreten Gehaltsvorstellungen bereits von sich aus mitgeteilt hatte. Dass er ein Gehalt von 110.000 € anstrebte, hatte er der Klägerin ebenso mitgeteilt wie seinen Wunsch nach einem Dienstwagen. Hinzu kommt, dass – auch wenn der Zeuge die konkrete Vereinbarung zwischen der Klägerin und der Beklagten möglicherweise nicht kannte – ihm aufgrund der Branchenüblichkeit der Bemessung eines Vermittlerhonorars nach dem Gehalt des vermittelten Arbeitnehmers bewusst sein musste, dass die Klägerin die konkreten Gehaltsdaten erfragen und benötigen würde. Auch in anderen Bereichen der Vermittlung wie z.B. bei Immobilien, Fahrzeugen, Krediten o.ä. ist eine prozentual an dem vermittelten Gegenstand bemessene Vergütung üblich.

Hinzu kommt, dass die Klägerin auch nicht die derzeit aktuellen Gehaltsdaten benötigt, sondern nur die aus dem ersten Jahr der Beschäftigung, das bereits abgelaufen ist, also nur Daten, die die Vergangenheit betreffen.

Des Weiteren ist die Klägerin vertraglich ebenfalls zur Verschwiegenheit verpflichtet, wie sich aus § 2 des Vermittlungsvertrags sowie aus § 1.4 der AGB der Klägerin ergibt. Diese Verschwiegenheitspflicht geht auch ausdrücklich über die Beendigung des Vermittlungsvertragsverhältnisses hinaus. Eine weitere Verbreitung oder gar deren öffentliche Bekanntgabe ist damit äußerst unwahrscheinlich. Dementsprechend hat der Zeuge H. nach eigenem Bekunden auch keine konkrete Befürchtung in dieser Richtung, sondern allenfalls ein allgemeines Unbehagen derart, dass man ja nie wisse, was mit den eigenen Daten passiere. Eine Veröffentlichung der der Klägerin bereits vorliegenden Daten des zeugen wie z.B. dessen Gehaltsvorstellungen ist auch nicht erfolgt, so dass es auch keine Anhaltspunkte für in der Zukunft liegende Datenverstöße der Klägerin gibt.

Im Übrigen kann dem Datenschutzinteresse des Zeugen auch dadurch Rechnung getragen werden, dass die Klägerin dessen Gehaltsdaten unmittelbar nach Berechnung und gerichtlicher Geltendmachung ihres Honoraranspruchs löscht.

Aus den vorgenannten Gründen kommt auch ein Leistungsverweigerungsrecht gem. § 275 Abs. 2 BGB nicht in Betracht.

Ein Leistungsverweigerungsrecht der Beklagten gem. § 275 Abs. 3 BGB besteht schon deshalb nicht, weil es sich bei der Auskunftserteilung nicht um eine persönlich zu erbringende Leistung handelt.

Weitere Gründe, die der Erteilung der Auskunft entgegenstehen könnten, vermag die Kammer nicht zu erkennen.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 18.02.2026
II ZB 2/25
DSGVO Art. 17 Abs. 1 Buchst. b); HGB § 9 Abs. 1 Satz 1; HRV § 9 Abs. 7

Der BGH hat entschieden, dass es keine registerrechtliche Grundlage für eine dauerhafte Speicherung von nicht eintragungspflichtigen personenbezogenen Daten (sog. überobligatorische Daten) im Registerordner des Handelsregisters gibt, wenn die Einwilligung widerrufen wurde. In diesem Fall besteht ein Recht auf Löschung gemäß Art. 17 DSGVO.

Leitsatz des BGH:
Es gibt keine allgemeine registerrechtliche Grundlage dafür, in Anmeldungen zum Handelsregister enthaltene personenbezogene Daten, die nicht in das Handelsregister einzutragen sind (sog. überobligatorische Daten), nach Widerruf der Einwilligung des Anmeldenden dauerhaft im Registerordner des Handelsregisters zu speichern.

BGH, Beschluss vom 18. Februar 2026 - II ZB 2/25 - OLG Hamburg AG Hamburg

Den Volltext der Entscheidung finden Sie hier:

OLG Stuttgart
Urteil vom 25.02.2026
4 U 342/25

Das OLG Stuttgart hat entschieden, dass gerichtliche Sachverständige als eigenständige Verantwortliche im Sinne der DSGVO gelten und daher verpflichtet sind, Prozessparteien nach Art. 15 DSGVO Auskunft über verarbeitete Daten zu erteilen – dies umfasst nach Abschluss des Verfahrens auch die Herausgabe von Kopien (Teil-)Gutachten.

Aus den Entscheidungsgründen:
Die zulässige Berufung der Klägerin ist begründet. Der geltend gemachte Auskunftsanspruch ergibt sich aus Art. 15 Abs. 1 und 3 DSGVO.

Gem. Art. 15 Abs. 1 DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen, der sie betreffende personenbezogene Daten verarbeitet, Auskunft über diese personenbezogenen Daten zu erhalten. Gem. Art. 15 Abs. 3 Satz 1 DSGVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

1.
Die Bestimmungen der Datenschutz-Grundverordnung sind anwendbar. Der sachliche Anwendungsbereich gem. Art. 2 Abs. 1 DSGVO ist eröffnet, da es um die Verarbeitung personenbezogener Daten der Klägerin geht, die in einem Dateisystem des Beklagten gespeichert sind, und da für die Tätigkeit eines gerichtlichen Sachverständigen keiner der Ausnahmetatbestände des Art. 2 Abs. 2 DSGVO eingreift (vgl. Deutschmann, ZD 2021, 414 [415]). Dass die DSGVO auch für die Tätigkeiten der Gerichte und anderer Justizbehörden gilt, wird in Erwägungsgrund 20 Satz 1 DSGVO ausdrücklich ausgeführt. Der EuGH hat zudem klargestellt, dass die DSGVO auch auf die Verarbeitung personenbezogener Daten in zivilgerichtlichen Verfahren anwendbar ist (EuGH, Urteil vom 02.03.2023, C-268/21, Rn. 26). Für die Tätigkeit des Sachverständigen als „Gehilfe“ des Gerichts (Zöller/Greger, ZPO, 36. Aufl. 2026, Vor § 402, Rn. 1) gilt nichts anderes.

Randnummer55
2.
Die datenschutzrechtlichen Bestimmungen zum Auskunftsrecht werden nicht durch die verfahrensrechtlichen Akteneinsichtsrechte verdrängt (Deutschmann, ZD 2021, 414 [417]; Bäcker in Kühling/Buchner, 4. Aufl. 2024, DSGVO, Art. 15, Rn. 6b; Schmidt-Wudy in BeckOK Datenschutzrecht, 54. Edition, Stand 01.11.2025, DSGVO, Art. 15, Rn. 33; a.A. OLG Köln, ZD 2022, 695; Dörr, MDR 2022, 605 [611]). Die Akteneinsichtsrechte dienen anderen Zwecken als die Rechte aus Art. 15 DSGVO und bestimmen dementsprechend sowohl die Voraussetzungen als auch die Gegenstände der Akteneinsicht abweichend. So erstrecken sich die Akteneinsichtsrechte auf den gesamten Inhalt der Gerichtsakten und der dem Gericht vorgelegten Akten, während sich die Rechte auf Auskunft und auf Datenkopie auf die personenbezogenen Daten der jeweiligen betroffenen Person beschränken (Bäcker in Kühling/Buchner, aaO., Rn. 6b).

Ohnehin genießt die DSGVO als europäische Verordnung gegenüber dem nationalen Verfahrensrecht einen Anwendungsvorrang (Deutschmann, ZD 2021, 414 [417]; Ruffert in Calliess/Ruffert, EUV/AEUV, 6. Aufl. 2022, AEUV, Art. 1, Rn. 17).

3.
Der Beklagte ist Verantwortlicher i.S.d. Art. 15 DSGVO.

Verantwortlicher ist nach Art. 4 Nr. 7 Halbsatz 1 DSGVO die Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Über die Zwecke entscheidet zwar im Wesentlichen das Gericht, das den Beweisbeschluss erlässt. Über die Mittel der Verarbeitung entscheidet aber in der Regel allein der gerichtliche Sachverständige. Sachverständige sind hinsichtlich der Art und Weise, wie das beabsichtigte Ergebnis erreicht werden soll, selbst entscheidungsbefugt. Sie handeln nicht als funktionaler Teil des Gerichts, sondern eigenverantwortlich. Primär die Sachverständigen legen die Mittel der Datenverarbeitung fest. Sie entscheiden, welche Daten sie für die Ausarbeitung des Gutachtens benötigen. Für Gerichte ist es in aller Regel auch irrelevant, welche technischen Mittel dabei zum Einsatz kommen. Zudem fehlt es regelmäßig an einer Überwachungs- und Kontrollmöglichkeit des Gerichts hinsichtlich der Datenverarbeitungsmodalitäten. Dass das Gericht gem. § 404a Abs. 1 ZPO die Tätigkeit des Sachverständigen zu leiten hat und ihm für Art und Umfang seiner Tätigkeit Weisungen erteilen kann, betrifft vor allem, was Sachverständige erforschen sollen, nicht wie sie es erforschen sollen (Erkelenz/Leopold, NZS 2019, 926; Engel in Anmerkungen zu OLG Düsseldorf, ZEuP 2023, 230 [245]; Zimmermann in MüKo/ZPO, 7. Aufl. 2025, § 404a, Rn. 3).

Umstände, die im vorliegenden Fall eine andere Bewertung rechtfertigen könnten, sind weder vorgetragen noch ersichtlich. Es bestehen daher keine Zweifel daran, dass der Beklagte Verantwortlicher im Sinne der DSGVO ist.

4.
Der Beklagte hat bei den Arbeiten zur Erstellung der Gutachten in den beiden beim Landgericht Göttingen anhängigen Verfahren personenbezogene Daten der Klägerin verarbeitet und speichert diese. Das ist unstreitig.

Der Beklagte schuldet der Klägerin daher unabhängig von etwaigen Auskunftspflichten des Gerichts grundsätzlich in eigener Verantwortung Auskunft gem. Art. 15 DSGVO (vgl. Erkelenz/Leopold, NZS 2019, 926 [930]). Dieses Auskunftsrecht der Klägerin ist nicht durch die Regeln der Zivilprozessordnung, durch ein etwaiges Urheberrecht des Beklagten oder durch dessen Recht auf angemessene Vergütung eingeschränkt.

a)
Gem. Art. 23 Abs. 1 DSGVO kann das in Art. 15 DSGVO vorgesehene Auskunftsrecht im Wege von Gesetzgebungsmaßnahmen durch Rechtsvorschriften der Union oder der Mitgliedstaaten beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die eine der nachfolgend in der Vorschrift aufgeführten Ziele sicherstellt, u.a. den Schutz von Gerichtsverfahren (lit. f), den Schutz der Rechte und Freiheiten anderer Personen (lit. i) und die Durchsetzung zivilrechtlicher Ansprüche (lit. j).

aa)
Weder im Hinblick auf den Schutz von Gerichtsverfahren noch im Hinblick auf die Durchsetzung zivilrechtlicher Ansprüche ist Art. 23 Abs. 1 DSGVO im vorliegenden Fall einschlägig, denn die Zivilprozessordnung enthält keine Regelung, die das in Art. 15 DSGVO vorgesehene Auskunftsrecht einer Partei gegenüber dem gerichtlichen Sachverständigen beschränkt. Eine solche Beschränkung lässt sich insbesondere keiner der allgemeinen Vorschriften über die Beweisaufnahme (§§ 355-370 ZPO) und auch keiner der Vorschriften zum Beweis durch Sachverständige (§§ 402-414 ZPO) entnehmen.

Auch aus allgemeinen Erwägungen zum Schutz von Gerichtsverfahren ergibt sich eine Beschränkung des Auskunftsrechts nicht.

(i)
Hinsichtlich der Anträge Ziff. 1, 2 und 5 kommt eine Beschränkung des Auskunftsrechts zum Schutz des Gerichtsverfahrens schon unabhängig von dem Umstand, dass im vorliegenden Fall von einem rechtskräftigen Abschluss des Gerichtsverfahrens auszugehen ist, nicht in Betracht.

Die Anträge Ziff. 1, 2 und 5 beziehen sich auf Befundtatsachen, d.h. auf Tatsachen, die der Sachverständige in Ausführung des Gutachtenauftrags auf Grund seiner Sachkunde ermittelt hat. Zu solchen Befundtatsachen zählen Tatsachen, die der Sachverständige durch Einsichtnahme in die Krankenunterlagen selbst beschafft hat (vgl. BGH, Beschluss vom 17.08.2011, V ZB 128/11, Rn. 18; Zimmermann in MüKo/ZPO, 7. Aufl. 2025, § 404a, Rn. 9). Dies trifft auf die streitgegenständlichen Dokumente gem. den Anträgen Ziff. 1, 2 und 5 zu. Der Antrag Ziff. 5 betrifft die vom Beklagten erstellte Zusammenfassung des Behandlungsverlaufs. Damit im Wesentlichen identisch ist die im Antrag Ziff. 1 genannte lückenlose Gesamtrekonstruktion des Behandlungsablaufs. Gleiches gilt für die chronologische Behandlungshistorie für jeden einzelnen Zahn, die Gegenstand des Antrags Ziff. 2 ist; insoweit ist lediglich von einer anderen Art der Darstellung auszugehen. In sämtlichen Fällen handelt es sich daher nicht um sachverständige Schlussfolgerungen des Gutachters, sondern um Tatsachen, auf deren Grundlage der Gutachter die sachverständig begründeten Schlussfolgerungen zieht.

Auch bei Befundtatsachen gilt wie bei den sonstigen Anknüpfungstatsachen, die die Parteien selbst vorzutragen haben, dass jedenfalls die wesentlichen Anknüpfungstatsachen offenzulegen sind. Dies geschieht zwar üblicherweise im Gutachten (Zöller/Greger, aaO., § 404a, Rn. 6). Es spricht jedoch nichts dagegen, den Parteien bereits früher die Möglichkeit zu geben, zur Richtigkeit und Vollständigkeit der Befundtatsachen Stellung zu nehmen, zumal dies dem rechtlichen Gehör der Parteien dient und es sich bei der Ermittlung der Tatsachen durch den Sachverständigen ohnehin um eine Ausnahme von dem Grundsatz handelt, dass das Beibringen der Tatsachen primär Sache der beweispflichtigen Partei ist (Zöller/Greger, aaO., § 404a, Rn. 3). Angesichts dessen ist nicht ersichtlich, dass die Gewährung eines Auskunftsanspruchs zu der Frage, auf welcher Tatsachengrundlage der Sachverständige sein Gutachten erstatten will, das Gerichtsverfahren beeinträchtigen könnte.
(ii)
Auch im Hinblick auf das Gutachten, das Gegenstand des Antrags Ziff. 4 ist, kommt eine Beschränkung des Auskunftsrechts zum Zwecke des Schutzes von Gerichtsverfahren bzw. zur Sicherstellung der Durchsetzung zivilrechtlicher Ansprüche nicht in Betracht.

Nach § 411 Abs. 1 ZPO setzt das Gericht dem Sachverständigen eine Frist, innerhalb derer er das von ihm unterschriebene schriftliche Gutachten zu übermitteln hat. Es dürfte in Widerspruch zu dieser Vorschrift stehen, wenn der Sachverständige schon vor Ablauf dieser Frist den Parteien das noch nicht fertiggestellte Gutachten übermitteln müsste. Zudem könnte sich in diesem Fall auch ein Widerspruch zu den Vorschriften über den Auslagenvorschuss gem. §§ 402, 379 ZPO ergeben.

Ob deshalb eine Beschränkung des Auskunftsrechts in Betracht kommt, kann in diesem Fall jedoch dahinstehen, da der Zivilprozess mit dem Az. 9 O 4/11, in dem der Beklagte das Gutachten, dessen Herausgabe die Klägerin begehrt, zu 90 % fertiggestellt hat, mittlerweile rechtskräftig abgeschlossen ist. Der diesbezügliche Vortrag der Klägerin ist in zweiter Instanz zwar neu, da die Klägerin ihn erst nach Schluss der mündlichen Verhandlung in erster Instanz vorgetragen hat. Er ist jedoch gem. § 531 Abs. 2 Nr. 3 ZPO zulässig, da die Rechtskraft des Urteils erst nach Schluss der mündlichen Verhandlung in erster Instanz eingetreten ist und von der Klägerin daher auch nicht früher vorgetragen werden konnte. Soweit die Beklagte den Vortrag der Klägerin bestreitet, hat die Klägerin die Rechtskraft des Urteils durch Vorlage des Rechtskraftvermerks ausreichend belegt (Anlage K18). Jedenfalls nach dem rechtskräftigen Abschluss des Rechtsstreits ist § 411 Abs. 1 ZPO nicht mehr anwendbar. Ein Widerspruch zum Auskunftsanspruch besteht daher nicht. Auch ein Widerspruch zu der Vorschusspflicht nach §§ 402, 379 ZPO besteht in diesem Fall nicht mehr, da diese Vorschriften lediglich die Beweisaufnahme in einem noch laufenden Zivilprozess betreffen.

Nach dem rechtskräftigen Abschluss des Verfahrens ist auch nicht ersichtlich, inwiefern die Gewährung eines Auskunftsanspruchs bzgl. eines vom gerichtlichen Sachverständigen teilweise fertiggestellten Gutachtens das Ziel des Zivilprozesses, das darin liegt, bürgerlich-rechtliche Rechte oder Rechtsverhältnisse im Erkenntnis- oder Urteilsverfahren festzustellen (vgl. Zöller/Vollkommer, aaO., Einl. Rn. 1), beeinträchtigen könnte.

Eine andere Beurteilung rechtfertigt auch das noch laufende Parallelverfahren 9 O 24/11 nicht. Der Beklagte hat ein Gutachten zum Verfahren 9 O 4/11 gefertigt und nicht zu dem Parallelverfahren 9 O 24/11. Dass das Gutachten auch Fragen behandelt, die im Verfahren 9 O 24/11 relevant sind, hat der Beklagte nicht substantiiert vorgetragen. Selbst wenn dies der Fall wäre, erschließt sich nicht, wieso dies eine Einschränkung des Auskunftsrechts bzgl. eines in einem anderen Verfahren erstellten (Teil-)Gutachtens rechtfertigen könnte, zumal § 411a ZPO die Möglichkeit ausdrücklich vorsieht, Sachverständigengutachten aus anderen Verfahren zu verwerten.

(iii)
Dahinstehen kann, ob auch der Antrag Ziff. 3 eine Befundtatsache betrifft oder ob die zahnbezogene Analyse, die Gegenstand dieses Auskunftsantrags ist, schon eine eigene gutachterliche Tätigkeit des Beklagten beinhaltet. Sollte Letzteres der Fall sein, gelten insoweit die Ausführungen unter (ii) zum Antrag Ziff. 5 entsprechend. Andernfalls gilt das Gleiche wie zu den Anträgen Ziff. 1, 2 und 5 (oben unter (i)).

bb)
Eine Beschränkung des Auskunftsrechts ergibt sich auch nicht aus Art. 6 Abs. 1 Satz 1 EMRK.

Nach dieser Vorschrift hat jede Person ein Recht darauf, dass über Streitigkeiten in Bezug auf ihre zivilrechtlichen Ansprüche und Verpflichtungen von einem unabhängigen und unparteiischen Gericht in einem fairen Verfahren verhandelt wird. Aus dem Grundsatz eines fairen Verfahrens ergibt sich das Erfordernis der Waffen- und Chancengleichheit. Alle Beteiligten in einem Verfahren müssen gleichbehandelt werden, also insbesondere in gleichem Umfang unterrichtet werden und unter denselben Bedingungen die Möglichkeit haben, vorzutragen und ihre Sache geltend zu machen (HK-EMRK/Harrendorf/König/Voigt, 5. Aufl. 2023, EMRK Art. 6 Rn. 117). Dieses Gebot der Waffengleichheit gilt auch im Beweisverfahren (Harrendorf/König/Voigt, aaO., Rn. 135).

Das Gebot der Waffengleichheit wäre nur verletzt, wenn der Sachverständige die Auskunft nur der betroffenen Person gegenüber erteilen dürfte und nicht auch gegenüber dem Gericht. Dies ist jedoch nicht richtig. Art. 9 Abs. 2 lit. f) DSGVO gilt auch für den Sachverständigen, der in einem Gerichtsverfahren tätig wird (Greve in Auernhammer, aaO., Art. 9, Rn. 48). Der Sachverständige ist deshalb nach Art. 9 Abs. 2 lit. f) DSGVO befugt, das Gericht über alles zu informieren, was für die Beweisaufnahme im Zusammenhang mit der Gutachtenerstattung von Relevanz sein könnte (vgl. Erkelenz/Leopold, NZS 2019, 926 [929]). Dies schließt auch die Mitteilung über eine Auskunft an den Kläger nach Art. 15 DSGVO mit ein, da diese Mitteilung an das Gericht erforderlich ist, damit die Gegenpartei – nach entsprechender Unterrichtung durch das Gericht – ihre Rechtsansprüche ausüben bzw. sich gegen die geltend gemachten Rechtsansprüche verteidigen kann. Der Sachverständige würde sich der Besorgnis der Befangenheit aussetzen, wenn er eine derartige Auskunftserteilung an nur eine der Parteien dem Gericht gegenüber verschweigen würde.

b)
Eine Beschränkung des Auskunftsrechts der Klägerin ergibt sich auch nicht aus dem Schutz der Rechte und Freiheiten anderer Personen gem. Art. 23 Abs. 1 lit. i) DSGVO. Insoweit beruft sich der Beklagte lediglich pauschal darauf, dass sein Urheberrecht an dem zu 90 % fertig gestellten Gutachten dem behaupteten Auskunftsanspruch entgegenstünde.

aa)
Dass das Gutachten Urheberrechtsschutz genießt, ist keineswegs selbstverständlich. Zwar sind wissenschaftliche Gutachten in der Regel urheberrechtlich schutzfähig, jedenfalls, soweit zu wissenschaftlichen Streitfragen Stellung genommen wird, die die Berücksichtigung bisheriger Stellungnahmen und eine detaillierte Auseinandersetzung mit der Problematik erfordern. Allerdings wirken die Verwendung notwendiger oder üblicher Darstellungsprinzipien, insbesondere in Aufbau und Terminologie, nicht schutzbegründend. Zudem ist von der Rechtsprechung der Schutz von Gutachten teilweise mit der Begründung, bei wissenschaftlichen Werken sei die Schutzuntergrenze höher anzusetzen, verneint worden (Loewenheim/Leistner in Schricker/Loewenheim, Urheberrecht, 6. Aufl. 2020, § 2, Rn. 141).

Substantiierter Vortrag des Beklagten zum Inhalt des zu 90 % fertiggestellten Gutachtens fehlt. Damit ist auch nicht schlüssig dargelegt, dass es sich bei dem Gutachten um ein urheberrechtlich schutzfähiges Werk handelt.

bb)
Selbst wenn das zu 90 % fertige Gutachten Urheberrechtsschutz nach dem UrhG genießen würde, könnte sich der Beklagte gleichwohl nicht pauschal auf sein Urheberrecht berufen und die Herausgabe des Gutachtens insgesamt verweigern.

Nach Art. 15 Abs. 4 DSGVO und Erwägungsgrund 63 darf das Recht auf Erhalt einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums nicht beeinträchtigen. Absatz 4 betrifft seinem Wortlaut nach zwar nur den Fall, dass eine Auskunft gerade durch Überlassung einer Kopie erteilt wird. Da die Überlassung einer Kopie nur eine spezifische Modalität der Erfüllung des Auskunftsanspruchs darstellt, gilt die Regelung jedoch unabhängig davon, in welcher Form der Auskunftsanspruch im Einzelfall erfüllt wird (Ehmann in Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 15, Rn. 71).

Im Fall eines Konflikts zwischen der Ausübung des Rechts auf vollständige und umfassende Auskunft über die personenbezogenen Daten zum einen und den Rechten oder Freiheiten anderer Personen zum anderen haben die Rechte oder Freiheiten anderer Personen nicht den Vorrang. Vielmehr sind die fraglichen Rechte gegeneinander abzuwägen (Ehmann in Ehmann/Selmayr, aaO., Art. 15, Rn. 72 f.). Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird, wie sich aus dem 63. Erwägungsgrund DSGVO ergibt (EuGH, Urteil vom 4. Mai 2023 – C-487/21 –, Rn. 44, juris). Bei der Abwägung ist zudem zu berücksichtigen, dass die Zivilprozessordnung in § 407a Abs. 5 ZPO ohnehin eine Verpflichtung des Sachverständigen vorsieht, auf Verlangen des Gerichts die für die Begutachtung beigezogenen Unterlagen sowie die Untersuchungsergebnisse zur Unterrichtung der Parteien oder eines ggf. gem. § 404 Abs. 1 Satz 3 ZPO oder § 412 ZPO in Anspruch genommenen anderen oder weiteren Sachverständigen herauszugeben (Zöller/Greger, aaO., § 407a, Rn. 4).

c)
Das Recht des Sachverständigen auf angemessene Vergütung ist durch die bestehende Auskunftspflicht nicht verletzt. Die Entschädigung des Sachverständigen richtet sich nach §§ 8 ff. JVEG. Der Auskunftsanspruch ändert hieran nichts. Selbst wenn ein auskunftsberechtigter Kläger aufgrund der Auskunft kein Interesse mehr an dem Gutachten haben sollte und die Klage zurücknimmt oder den erforderlichen Vorschuss für eine Fortsetzung der Begutachtung nicht einzahlt, erhält der Sachverständige gleichwohl eine Vergütung für alle erforderlichen Vorbereitungsarbeiten und erbrachten Teilleistungen (Bleutge in BeckOK Kostenrecht, 51. Ed., Stand 01.12.2025, JVEG, § 8, Rn. 28).

d)
Ist das Auskunftsrecht schon nicht gem. Art. 23 Abs. 1 DSGVO durch andere Rechtsvorschriften eingeschränkt, kommt es auf die Frage, ob die in Betracht kommenden Beschränkungsregelungen auch die erforderlichen Mindestinhalte nach Art. 23 Abs. 2 DSGVO enthalten, nicht mehr an.

5.
Der Auskunftsanspruch besteht in dem von der Klägerin geltend gemachten Umfang.

Vom Auskunftsanspruch umfasst ist insbesondere auch das gesamte, zu 90 % fertiggestellte Gutachten. Es kommt insoweit nicht darauf an, an welchen Stellen des Gutachtens die Klägerin namentlich genannt wird bzw. die Ausführungen in einem direkten Bezug zur Klägerin stehen.

Nach der Rechtsprechung des EuGH begründet Art. 15 Abs. 3 Satz 1 DSGVO nicht lediglich ein Recht der betroffenen Person auf eine Kopie der personenbezogenen Daten als solche. Art. 15 Abs. 3 Satz 1 DSGVO enthält vielmehr auch ein Recht auf Auszüge von Dokumenten bzw. auf das ganze Dokument, das die personenbezogenen Daten enthält, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten (EuGH, Urteil vom 26.10.2023, C-307/22, Rn. 74 f. – Kostenlose erste Kopie von Patientenakte). Im Hinblick auf das Gutachten bedeutet dies, dass sich der Beklagte nicht auf die Auskunft beschränken darf, welche personenbezogenen Daten der Klägerin im Gutachten auftauchen. Erforderlich ist vielmehr auch eine originalgetreue Reproduktion des Kontexts, in dem das jeweilige personenbezogene Datum steht.

Der Auskunftsanspruch umfasst damit sämtliche Teile des Gutachtens, die in irgendeinem inhaltlichen Bezug zur Klägerin stehen. Umfasst sind damit auch allgemeine zahnmedizinische Ausführungen, selbst wenn diese für sich genommen keinen Bezug zur Klägerin aufweisen, da davon auszugehen ist, dass diese dem Verständnis der weiteren Ausführungen dienen und dieser Kontext daher erforderlich ist, um die Verständlichkeit der personenbezogenen Ausführungen zu gewährleisten. Eine Zurverfügungstellung einer einfachen Zusammenfassung oder Zusammenstellung der personenbezogenen Daten der Klägerin durch den Beklagten genügt nicht, weil dann die Gefahr bestünde, dass bestimmte relevante Daten ausgelassen oder unrichtig wiedergegeben werden oder dass jedenfalls die Überprüfung ihrer Richtigkeit und Vollständigkeit sowie ihr Verständnis durch die Klägerin erschwert würde (vgl. EuGH, aaO., Rn. 78).

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 19.03.2026
C-526/24
Brillen Rottler

Der EuGH hat entschieden, dass ein Auskunftsanspruch nach Art. 15 DSGVO als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO abgelehnt werden kann, wenn eine Newsletter-Anmeldung und der anschließend geltend gemacht Auskunftsanspruch primär in der missbräuchlichen Absicht erfolgten, künstlich die Voraussetzungen für einen Schadensersatzanspruch gemäß Art. 82 DSGVO zu schaffen.

Die Pressemitteilung des EuGH:
Ein Antrag auf Auskunft über die eigenen personenbezogenen Daten kann als missbräuchlich eingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestellt wird, anschließend Schadensersatz wegen eines angeblichen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) zu fordern

Eine in Österreich wohnhafte Person abonnierte den Newsletter des familiengeführten Optikerunternehmens Brillen Rottler mit Sitz im deutschen Arnsberg. Dabei gab sie ihre personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein.

13 Tage später richtete sie einen Auskunftsantrag nach der DSGVO an Brillen Rottler. Nach der DSGVO hat eine betroffene Person im Sinne dieser Verordnung das Recht, von dem Verantwortlichen im Sinne dieser Verordnung eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, das Recht auf Auskunft über diese Daten und die damit verbundenen Informationen.

Brillen Rottler wies den Antrag zurück, da er missbräuchlich sei. Aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten sei ersichtlich, dass sich der Antragsteller systematisch zu Newslettern verschiedener Unternehmen anmelde, dann Auskunft beantrage und schließlich Schadensersatz fordere. Der Antragsteller hingegen hält seinen Auskunftsantrag für legitim und fordert von Brillen Rottler eine Entschädigung in Höhe von mindestens 1 000 Euro für den immateriellen Schaden, der ihm durch die Zurückweisung des Antrags entstanden sei.

Das Amtsgericht Arnsberg, das mit dem Rechtsstreit zwischen Brillen Rottler und dem Antragsteller über die Berechtigung der vorstehend genannten Anträge befasst ist, hat den Gerichtshof dazu befragt, ob ein erster Antrag der betroffenen Person auf Auskunft über personenbezogene Daten als „exzessiv“ angesehen werden kann und ob diese Person einen Anspruch auf Ersatz des aus einer Verletzung des Rechts auf Auskunft über diese Daten entstandenen Schadens hat.

Der Gerichtshof antwortet, dass ein erster Auskunftsantrag unter bestimmten Umständen bereits als „exzessiv“ im Sinne der DSGVO angesehen werden und daher missbräuchlich sein kann.

Dies ist der Fall, wenn der Verantwortliche nachweist, dass trotz formaler Einhaltung der in der DSGVO vorgesehenen Voraussetzungen für die Stellung eines Auskunftsantrags dieser Antrag nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern in der als „missbräuchlich“ einzustufenden Absicht, künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DSGVO zu schaffen.

Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

Außerdem hat eine Person, der wegen eines Verstoßes gegen die DSGVO – einschließlich einer Verletzung des Rechts auf Auskunft über ihre personenbezogenen Daten – ein materieller oder immaterieller Schaden entstanden ist6, Anspruch auf Ersatz des betreffenden Schadens gegen den Verantwortlichen. Der Gerichtshof stellt jedoch klar, dass die betroffene Person als Voraussetzung für einen solchen Schadensersatz u. a. nachweisen muss, dass ihr tatsächlich ein entsprechender Schaden entstanden ist. Im Übrigen kann diese Person keinen Schadensersatz7 nach der DSGVO erhalten, wenn ihr eigenes Verhalten die entscheidende Ursache für den Schaden ist.

Es ist Sache des Amtsgerichts Arnsberg, den bei ihm anhängigen Rechtsstreit unter Berücksichtigung der Antworten des Gerichtshofs zu entscheiden.

Tenor der Entscheidung:
1. Art. 12 Abs. 5 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein erster von der betroffenen Person an den Verantwortlichen gerichteter Antrag nach Art. 15 dieser Verordnung auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass dieser Antrag trotz formaler Einhaltung der in diesen Bestimmungen vorgesehenen Bedingungen von der betroffenen Person nicht gestellt wurde, um sich der Verarbeitung dieser Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, damit sie anschließend ihre Rechte aus der besagten Verordnung schützen kann, sondern in missbräuchlicher Absicht wie zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines sich aus dieser Verordnung ergebenden Vorteils. Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 dieser Verordnung entstandenen Schadens verleiht.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, das der immaterielle Schaden der betroffenen Person den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit darüber umfasst, ob ihre Daten verarbeitet wurden, sofern insbesondere nachgewiesen wird, dass dieser Person tatsächlich ein solcher Schaden entstanden ist und dass ihr Verhalten nicht die entscheidende Ursache für diesen Schaden war.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Urteil vom 05.03.2026
29 L 4014/25

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß vorliegt, wenn ein Reiseveranstalter Videos von Badegästen ohne deren Einwilligung zu Werbezwecken bei Facebook veröffentlicht. Insbesondere kann sich der Reiseveranstalter nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen.

Aus den Entscheidungsgründen:
Auch in materieller Hinsicht begegnet der angegriffene Bescheid hinsichtlich Ziffer I. keinen rechtlichen Bedenken. Beurteilungszeitpunkt für die Rechtmäßigkeit der angefochtenen Anordnung ist die Sach- und Rechtslage, die zum Zeitpunkt der letzten Behördenentscheidung am 29. Oktober 2025 galt.

Vgl. BVerwG, Urteil vom 29. Januar 2025 - 6 C 3.23 -, juris Rn. 21.

Dies folgt daraus, dass für die Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht ein Ermessensspielraum für das daran angeknüpfte Vorgehen besteht.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung bezieht sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergibt. Die Verwaltungsgerichte prüfen diese Auswahlentscheidungen nach Maßgabe des § 114 Satz 1 VwGO. Insbesondere sind sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließt es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen einbeziehen konnte, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorlagen.

Vgl. BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11.

Nach dem Regelungsgehalt des Art. 58 Abs. 2 lit. d DSGVO ist kein anderer Beurteilungszeitpunkt geboten.

Vgl. VG Bremen, Urteil vom 23. April 2025 - 4 K 2873/23 -, juris Rn. 37 unter Bezugnahme auf BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11 sowie Rn. 38 f. (dort noch zu § 38 Abs. 5 Satz 1 des Bundesdatenschutzgesetzes a.F.).

Durchgreifende Bedenken gegen die Bestimmtheit im Sinne von § 37 Abs. 1 VwVfG NRW der in Ziffer I. des Bescheides enthaltenen Anordnung bestehen nicht.

Danach verlangt eine inhaltliche Bestimmtheit, dass der Inhalt der von der Behörde getroffenen Regelung für die Beteiligten, insbesondere für den oder die Adressaten des Verwaltungsakts, so vollständig, klar und unzweideutig erkennbar ist, dass sie ihr Verhalten danach richten können.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 25; Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 16 unter Verweis auf VG Ansbach, Urteil vom 12. August 2014 - AN 4 K 13.01634 -, SVR 2015, 235, 239.

Die Erkennbarkeit des Inhalts der Regelung ist aufgrund einer Auslegung des Verwaltungsakts entsprechend §§ 133, 157 des Bürgerlichen Gesetzbuchs ausgehend vom Wortlaut unter Berücksichtigung der weiteren Umstände des Einzelfalls und nach Treu und Glauben zu ermitteln. Dabei ist nicht erforderlich, dass sich der Inhalt des Verwaltungsakts allein aus dem verfügenden Teil präzise ergibt; vielmehr sind die den Beteiligten bekannten oder ohne Weiteres erkennbaren Umstände sowie vor allem die dem Verwaltungsakt beigefügte Begründung zur Auslegung des Regelungsinhalts heranzuziehen.

Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Zulässig sind auch Bezugnahmen im Verwaltungsakt auf gegenüber den Beteiligten früher ergangene Verwaltungsakte, ihnen bekannte und ihnen vorliegende oder jederzeit zugänglich Unterlagen, Pläne, technische Regelwerke usw.
Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Diesen Anforderungen genügt der angegriffene Bescheid. Dies gilt zunächst hinsichtlich des Einwandes, der Antragstellerin werde durch die Anordnung, sämtliche auf der Facebook-Plattform „E.“ veröffentlichten Filmaufnahmen so zu verändern, „[…] dass eine Identifizierung von Personen […] nicht möglich ist, […]“, unzulässigerweise die Auswahl aufgegeben. Die Antragsgegnerin hat mit Verwendung des Einschubes „[…] unter Berücksichtigung aller Mittel, die von Ihnen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, […]“ das Ziel der geforderten Handlung hinreichend bestimmt angegeben. Mit dieser Konkretisierung kann die Antragstellerin ohne Weiteres beurteilen, in welchen Fällen sie eine Veränderung eines Videos vorzunehmen hat. Die getroffene Regelung berücksichtigt, dass die Frage, wann eine Person identifizierbar ist, stets aus verschiedenen Wahrnehmungsperspektiven erfolgen kann. Damit übereinstimmend stellt Erwägungsgrund 26 Satz 3 zur DSGVO darauf ab, dass zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Nach Erwägungsgrund 26 Satz 4 zur DSGVO sollten bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Soweit die Antragstellerin vorträgt, damit werde ihr in unzulässiger Weise eine Auswahlentscheidung übertragen, betrifft dies nicht die Frage der Bestimmtheit, sondern der Verhältnismäßigkeit (dazu sogleich).

Für die Antragstellerin ist auch ohne weiteres erkennbar, dass sie Adressatin des Bescheides und insbesondere der in Ziffer I. enthaltenen Anweisung ist. Der angegriffene Bescheid ist ausweislich des Adressfeldes an die „L. GmbH, z. Hd. des Geschäftsführers, H.-straße 0, N01 P.“ gerichtet. Daraus ergibt sich als Inhaltsadressatin die Antragstellerin als juristische Person des Privatrechts. Damit übereinstimmend heißt es in der Einleitung des Schreibens „Sehr geehrter Herr Z., gegenüber der L. GmbH […] ergeht folgende Anweisung […]“. Die Formulierung „von Ihnen oder einer anderen Person“ bezieht sich allein auf die Mittel, die von dem Verantwortlichen oder einer anderen Person wahrscheinlich zur Identifizierung genutzt werden und nimmt damit auf Erwägungsgrund 26 Satz 3 zur DSGVO Bezug. Die Antragsgegnerin hat in diesem Zusammenhang dargelegt, dass im vorliegenden Fall einer weltweiten Veröffentlichung hinsichtlich der Möglichkeiten zur Identifizierung etwaiges Zusatzwissen dritter Personen zu berücksichtigen sei. Es ist auch nicht Aufgabe der Antragsgegnerin, die Mittel zur Identifizierung abschließend zu eruieren und sodann gegenüber der Antragstellerin zu benennen. Vielmehr ist die Antragstellerin als Verantwortliche nach Art. 5 Abs. 2 DSGVO für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss dies auch nachweisen können. Hat die Antragstellerin über die Veröffentlichung der Videos einem weltweit bestehenden und damit potentiell unbegrenzten Personenkreis die Möglichkeit der Identifizierung von betroffenen Personen eröffnet, ist es auch ihre Aufgabe festzustellen, ob eine natürliche Person identifizierbar ist.

Schließlich steht der Bestimmtheit der Anordnung in Ziffer I. nicht entgegen, dass sich die Regelung auf sämtliche veröffentlichte Videos auf der Facebook-Internetseite der Antragstellerin bezieht, wobei das streitgegenständliche Video nicht mehr vorhanden ist und auch alle weiteren Live-Videos infolge einer geänderten Facebook-Policy nach 30 Tagen gelöscht bzw. heruntergeladen werden. Denn die Formulierung „sämtliche“ in Ziffer I. bezieht sich auf eine genau bestimmbare Gruppe von Videos, nämlich die bis zum Zeitpunkt des Bescheiderlasses veröffentlichten Aufnahmen und nicht etwa die noch zu veröffentlichenden bzw. von der Antragstellerin beabsichtigten Videos. Letztere wären von der Antragsgegnerin ggf. in einer gesonderten Anweisung zu erfassen. Auch die in Ziffer I. des Bescheides enthaltene Frist ändert nichts an der Bestimmtheit der Regelung, da es sich hierbei lediglich um die Umsetzungsfrist für die von der Antragsgegnerin angeordnete Maßnahme handelt.

Auch im Übrigen begegnet Ziffer I. des angegriffenen Bescheids keinen materiellen Bedenken. Die Anordnung lässt sich auf Art. 58 Abs. 2 lit. d DSGVO stützen, wonach jede Aufsichtsbehörde - und damit auch die Antragsgegnerin - den Verantwortlichen oder den Auftragsverarbeiter anweisen kann, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen. Voraussetzung für die Ausübung von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO ist, dass ein Datenschutzverstoß vorliegt oder unmittelbar bevorsteht.

Vgl. Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 2; Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Dies ist hier der Fall. Dadurch, dass die Antragstellerin auf ihrer Facebook-Internetseite „E.“ Filmaufnahmen wie das Video „N.“ veröffentlicht hat, hat sie gegen Art. 5 Abs. 1 lit. a DSGVO verstoßen. Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Diesen Anforderungen wird die Tätigkeit der Antragstellerin auf ihrer Facebook-Seite nicht gerecht.

Die Antragstellerin kann sich nicht auf eine Datenverarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO berufen. Eine Einwilligung der betroffenen Personen im Sinne von Art. 6 Abs. 1 lit. a DSGVO liegt nicht vor. Die Antragstellerin kann sich auch nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Diese Voraussetzungen sind nicht erfüllt. Ob eine Verarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 lit. f DSGVO vorliegt, erfolgt anhand einer dreistufigen Prüfung.

Vgl. Datenschutzkonferenz, Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021, Stand: 20. Dezember 2021, S. 31; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146, m.w.N.

Auf der ersten Stufe ist zu klären, ob zum Zeitpunkt der Verarbeitung überhaupt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Auf einer zweiten Stufe geht es sodann um die Frage der Erforderlichkeit der Datenverarbeitung zur Verwirklichung dieses berechtigten Interesses und auf einer dritten Stufe dürfen die Grundrechte und Grundfreiheiten der von der Datenverarbeitung betroffenen Person nicht das wahrgenommene berechtigte Interesse überwiegen.

Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146.

Die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO verlangt eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten und muss auf den konkreten Einzelfall bezogen sein.

Als Vermittlerin von Kreuzfahrten verschiedener Reedereien und damit verbundener Reiseleistungen kann sich die Antragstellerin auf ein wirtschaftliches Interesse berufen.

Vgl. auch Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147.

Die Veröffentlichung eines Videos, auf dem viele der anwesenden Personen ohne weiteres erkennbar sind, ist zur Wahrung der wirtschaftlichen Interessen der Antragstellerin aber nicht erforderlich. Voraussetzung einer Erforderlichkeit ist, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 40; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

h der Rechtsprechung des EuGH muss eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO innerhalb der Grenzen dessen erfolgen, was zur Verwirklichung der berechtigten Interessen „unbedingt notwendig“ ist.

Vgl. EuGH, Urteile vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1141 Rn. 126 und vom 11. Dezember 2019 - C-708/17 -, ZD 2020, 148, 149 Rn. 46.

Entsprechend kann die Erforderlichkeit nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 41; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

Danach hat die Antragstellerin nicht dargelegt, warum in den von ihr veröffentlichten Filmaufnahmen unbeteiligte Personen zur Verfolgung des genannten Werbezwecks identifizierbar bleiben müssen. Sie schildern weder ihre Reiseeindrücke noch tragen sie in sonstiger Weise zum Inhalt des Videos bei.

Darüber hinaus ergibt eine Abwägung der betroffenen Interessen auf der dritten Stufe, dass die von der Antragstellerin verfolgten Zwecke hinter die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten gewährleisten, zurücktreten. Dabei ist zu berücksichtigen, dass im Rahmen der abschließenden Interessenabwägung grundsätzlich von einer Schutzwürdigkeit der Betroffeneninteressen auszugehen ist. Sinn und Zweck des Rechts auf informationelle Selbstbestimmung ist es gerade, den Einzelnen vor den Registrierungs- und Verfügungsmöglichkeiten automatisierter Datenverarbeitung zu schützen.

Vgl. bereits BGH, Urteil vom 17. Dezember 1985 - VI ZR 244/84 -, NJW 1986, 2505, 2506; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 148.

Dabei folgt aus der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass der Verantwortliche - hier die Antragstellerin - die Darlegungslast dafür trägt, dass die Interessen der betroffenen Person nicht überwiegen.

Vgl. EuGH, Urteil vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1139 Rn. 95; Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, Art. 6 Abs. 1 DSGVO Rn. 106.

Vorliegend überwiegen die Betroffeneninteressen. Die aufgezeichneten Personen befinden sich im Urlaub und damit in ihrer Freizeit. Dieser Umstand ist besonders schutzbedürftig, da Menschen nicht davon ausgehen müssen, dass sie ohne ihre Kenntnis und Einwilligung zu Werbezwecken aufgenommen werden. Insoweit folgt aus Erwägungsgrund 47 Satz 4 zur DSGVO, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen können.
Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 152.

Ebenso überwiegen die Interessen der betroffenen Person auch dann, wenn zwischen dieser und dem Verantwortlichen keine vertraglichen oder geschäftlichen Verbindungen bestehen, die die konkrete Datenverarbeitung vernünftigerweise absehbar machen.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 595 Rn. 22.

Besonderes Gewicht kommt hier dem Umstand zu, dass ein auf Facebook veröffentlichtes Video weltweit potentiell Millionen Inhabern eines Accounts zugänglich ist. Auch die von der Antragstellerin dargelegte Lösch-Policy von Facebook ändert daran nichts, da auf Facebook veröffentlichte Filmaufnahmen jedenfalls für eine gewisse Zeit einsehbar sind und in dieser Zeit auch Inhalte extrahiert bzw. heruntergeladen werden können. Dass die Aufnahmen auch von solchen Örtlichkeiten stammen, an denen sich sogenannte Influencer aufhalten und Filmaufnahmen produzieren, führt ebenfalls zu keinem anderen Ergebnis. Allein mit dem Besuch einer solchen Örtlichkeit liegt noch kein Einverständnis in die Datenverarbeitung der jeweils aufgezeichneten Person vor. Auch begeben sich Personen nicht des durch die DSGVO gewährleisteten Schutzes, sobald sie solche Örtlichkeiten aufsuchen. Hinzu kommt, dass diese Personen in keiner geschäftlichen oder sonstigen Beziehung zur Antragstellerin stehen.

Ohne Bedeutung ist auch, dass sich die Antragstellerin auf § 23 Abs. 1 Nr. 2 KUG bzw. eine Wertung im Sinne dieser Vorschrift beruft, wonach ohne die nach § 22 KUG erforderliche Einwilligung Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, verbreitet und zur Schau gestellt werden dürfen. Denn das Kunsturhebergesetz findet in der vorliegenden Konstellation bereits keine Anwendung.

Nach Art. 85 Abs. 2 DSGVO sehen die Mitgliedstaaten für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen oder Ausnahmen unter anderem von Kapitel II (Grundsätze) vor, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DSGVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DSGVO durch nationale Regelungen wie etwa das Kunsturhebergesetz ausgenommen worden.

Vgl. BGH, Urteil vom 27. Mai 2025 - VI ZR 337/22 -, juris Rn. 12, m.w.N.

Eine Zweckbestimmung im vorgenannten Sinne ist nach der Rechtsprechung des EuGH nicht allein deshalb ausgeschlossen, weil damit zugleich auch eine Gewinnerzielungsabsicht verfolgt wird.

Vgl. EuGH, Urteil vom 16. Dezember 2008 - C-73/07 -, EuZW 2009, 108, 110 Rn. 59; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 15.

Allerdings liegen journalistische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO nur dann vor, wenn die Verarbeitung im Zusammenhang mit der journalistisch-redaktionellen und damit meinungsrelevanten Tätigkeit eines Medienredakteurs steht.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39; Lauber-Rönsberg, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 85 DSGVO Rn. 20; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 17a.

Demgegenüber enthält Art. 85 Abs. 2 DSGVO kein allgemeines Meinungsprivileg und findet somit nicht auf alle Meinungsäußerungen im Internet Anwendung. Auch ist Journalismus nicht stets allein schon deshalb anzunehmen, weil sich jemand mit Informationen an die Öffentlichkeit wendet.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39.

Danach handelt es sich bei den von der Antragstellerin auf ihrer Facebook-Internetseite veröffentlichten Filmaufnahmen nicht um Journalismus im Sinne von Art. 85 Abs. 2 DSGVO. Das zwischenzeitlich von ihr entfernte Video „N.“ diente ausschließlich Werbezwecken. Die Antragstellerin vermittelt nach eigenen Angaben Kreuzfahrten verschiedener Reedereien und damit verbundene Reiseleistungen. Auf ihrer Facebook-Internetseite „E.“ heißt es in der Rubrik „Beiträge“ unter der Überschrift „Intro“ etwa: „[…] Entdecke die ganze Welt des Reisens mit E.. Wir sind 365 Tage im Jahr persönlich für dich da […]“.

Vgl. https://www.facebook..[..........]_DE (zuletzt aufgerufen am 5. März 2026).

Unter der Rubrik „Info“ und „Seitentransparenz“ lässt sich über die Schaltfläche „Zur Werbebibliothek“ eine Aufstellung diverser aktiver Werbeanzeigen der Antragstellerin abrufen.

Vgl. https://www.facebook....[.........] (zuletzt aufgerufen am 2. März 2026).

Dass die Antragsgegnerin von ihrer Abhilfebefugnis nach Art. 58 Abs. 2 lit. d DSGVO Gebrauch gemacht hat, begegnet keinen rechtlichen Bedenken. Die Entscheidung für die geeignete Maßnahme im Sinne von Art. 58 Abs. 2 DSGVO liegt im pflichtgemäßen Ermessen der Behörde, wobei die Sachlage im Einzelfall zu berücksichtigen ist.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die in Ziffer I. des Bescheides enthaltene Anordnung ist ermessensgerecht und verhältnismäßig. Ermessensfehler der Antragsgegnerin liegen nicht vor. Anhaltspunkte dafür, dass sich die Antragsgegnerin durch die Petentin des Beschwerdeverfahrens hat instrumentalisieren lassen, sind nicht ansatzweise ersichtlich. Es gehört im Gegenteil zu den Aufgaben der Aufsichtsbehörde, sich mit Beschwerden einer betroffenen Person zu befassen (Art. 58 Abs. 1 lit. f DSGVO).

Die von der Antragsgegnerin gewählte Abhilfemaßnahme nach Art 58 Abs. 2 lit. d DSGVO ist geeignet, erforderlich und angemessen. Es ist insbesondere nicht unverhältnismäßig, dass sich die Anweisung auf sämtliche veröffentlichte Filmaufnahmen auf der Facebook-Internetseite bezieht, auch wenn die Antragsgegnerin nur einen Datenschutzverstoß bei einem Verarbeitungsvorgang festgestellt hat.

Die in Art. 58 Abs. 2 lit. d DSGVO enthaltene grundlegende Anweisungsbefugnis der Aufsichtsbehörde, die alle Verarbeitungsvorgänge und deren Vereinbarkeit mit den Vorgaben der DSGVO betrifft, umfasst die Behebung materiellrechtlicher, aber auch technischer oder organisatorischer Mängel.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 23.

Gemessen daran konnte die Antragsgegnerin ausgehend von dem festgestellten Datenschutzverstoß und dem Geschäftsgebaren der Antragstellerin - Hochladen selbsterstellter Videos aus dem öffentlichen Raum zum Zwecke der Bewerbung der von ihr vermittelten Reisen - davon ausgehen, dass auch bei anderen Videos entsprechende Datenschutzverstöße anzunehmen sind. Die Antragstellerin bestärkte diesen Eindruck, indem sie im Verwaltungsverfahren - etwa mit Schreiben vom 24. Juli 2024 und 6. November 2024 - auch auf Hinweise der Antragsgegnerin weiterhin die Auffassung vertrat, es bestehe keine Veranlassung, das Video „N.“ oder andere Videoaufnahmen zu löschen oder durch Verwischen/Verschwimmen oder den Einsatz eines anderen Filters zu bearbeiten.

Auch im Übrigen bestehen keine Bedenken an der Verhältnismäßigkeit der Anordnung. Es ist nicht Aufgabe der Antragsgegnerin, den Bestand der auf der Facebook-Internetseite der Antragstellerin veröffentlichten Videos, der sich nach ihren Angaben über einen Zeitraum von etwa vier Jahren erstreckt, durchzuarbeiten und hinsichtlich jedes einzelnen Videos Bearbeitungsanweisungen gegenüber der Antragstellerin zu erlassen, denen diese unter Umständen entgegentreten würde. Vielmehr folgt aus der Rechenschaftspflicht der Antragstellerin nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass sie bereits mit Veröffentlichung der Filmaufnahmen auf ihrem Facebook-Account die Einhaltung der Vorgaben der DSGVO hätte sicherstellen müssen. Dies nachträglich zur Aufgabe der Antragsgegnerin zu machen, würde die in der DSGVO geregelte Verantwortung des für die Verarbeitung Verantwortlichen in ihr Gegenteil verkehren. Dass infolge der Entfernung eines Videos die damit verbundenen „Likes“ und Kommentare entfallen, führt in Anbetracht der überwiegenden Betroffeneninteressen zu keinem anderen Ergebnis. Im Übrigen hat die Antragstellerin vorgetragen, dass infolge der geänderten Lösch-Policy von Facebook, die sich auch auf Altvideos erstrecke, jedenfalls sogenannte Facebook-Live-Videos ohnehin nur für eine Zeit von 30 Tagen gespeichert würden.

Den Volltext der Entscheidung finden Sie hier:

OLG Jena
Urteil vom 02.03.2026
3 U 31/25

Das OLG Jena hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools zugesprochen.

Die Pressemitteilung des Gerichts:
Meta-Konzern zu Schadensersatz verurteilt

Der 3. Zivilsenat des Oberlandesgerichts Jena hat durch ein heute verkündetes Urteil den Meta-Konzern zur Zahlung von Schadensersatz wegen Datenschutzverstößen verurteilt.

Nach den Feststellungen des Senats ermöglichen dem Konzern die von ihm an Webseiten- und App-Betreibern verteilten Business Tools eine weitreichende Nachverfolgung der Internetnutzung durch die Mitglieder seiner sozialen Netzwerke. Dabei fallen auch sensible personenbezogene Daten wie etwa zu Gesundheitsfragen an, beispielsweise wenn ein Nutzer zu psychischen Störungen recherchiert, über Arztportale nach therapeutischer Hilfe sucht oder in einer Online-Apotheke Medikamente bestellt. Die Erfassung und Speicherung solcher Daten findet dabei grundsätzlich auch dann statt, wenn die Betroffenen nicht im sozialen Netzwerk eingeloggt sind und keine wirksame Einwilligung in die Datenübermittlung erteilt haben.

Der Senat ist zu dem Schluss gekommen, dass diese Datenverarbeitung durch Meta nicht gerechtfertigt ist, sondern ein System anlassloser Datensammlung darstellt, das Grundprinzipien des europäischen Datenschutzrechts wie Transparenz, Zweckbindung und Datenminimierung widerspricht. Er hat dem klagenden Verbraucher 3.000 € Schadensersatz zugesprochen, wobei er die Höhe mit einer langanhaltenden und weitreichenden Aufzeichnung eines beträchtlichen Teils seines Privatlebens begründet.

Neben Schadensersatz ist der Meta-Konzern auch zu einer umfassenden Erteilung einer Auskunft über die von ihm gesammelten personenbezogenen Daten des Klägers sowie zu deren Löschung verurteilt worden.

Das Urteil ist noch nicht rechtskräftig. Der Senat hat die Revision zum Bundesgerichtshof zugelassen.