BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Beschluss vom 21.05.2026
V ZB 90/25

Der BGH hat entschieden, dass im Zwangsversteigerungsverfahren § 42 ZVG und Art. 6 Abs. 1 Abs. 1 lit. e DSGVO die Einsicht in die genannten Bestandteile der Verfahrensakte gestatten, ohne dass die Schwärzung personenbezogener Daten erforderlich ist.

ZVG § 42; DSGVO Art. 6 Abs. 1 Abs. 1 Buchst. e
In Zwangsversteigerungsverfahren gestattet § 42 ZVG jedem die Einsicht in die dort genannten Bestandteile der Verfahrensakte, ohne dass die hierin enthaltenen personenbezogenen Daten zuvor unkenntlich zu machen (zu „schwärzen“) sind.

ZPO § 299 Abs. 4 Satz 2, § 869; ZVG § 42
Personen, die in Zwangsversteigerungsverfahren Akteneinsicht nehmen, dürfen die ihnen überlassenen Akteninhalte weder ganz noch teilweise öffentlich verbreiten oder sie Dritten zu verfahrensfremden Zwecken übermitteln
oder zugänglich machen.

BGH, Beschluss vom 21. Mai 2026 - V ZB 90/25 - LG Bamberg AG Bamberg

Den Volltext der Entscheidung finden Sie hier:

LG Berlin
Urteil vom 09.06.2026
526 OWi LG 1/20

Das LG Berlin hat gegen die Deutsche Wohnen SE ein Bußgeld von 900.000 Euro verhängt, weil das Unternehmen vorsätzlich gegen die DSGVO-Grundsätze der Datenminimierung und Speicherbegrenzung nach Art. 5 Abs. 1 DSGVO verstoßen hat. Das Unternehmen hatte es versäumt, personenbezogene Daten ehemaliger Mieter – darunter Gehaltsbescheinigungen, Kontoauszüge und Ausweisdokumente – rechtzeitig zu löschen. Das ursprünglich von der Berliner Datenschutzbehörde verhängte Bußgeld von 14,5 Millionen Euro hatte die Kammer deutlich reduziert, u.a. weil die Verstöße nur in der Einführungsphase der DSGVO auftraten.

Die Pressemitteilung des Gerichts:
Landgericht Berlin I verhängt Bußgeld gegen die Deutsche Wohnen wegen Verstößen gegen die Datenschutz-Grundverordnung

Die 26. Große Strafkammer des Landgerichts Berlin I als Bußgeldkammer hat heute gegen die Wohnungsbaugesellschaft Deutsche Wohnen SE wegen Verstoßes gegen die Pflicht, geeignete technische und organisatorische Maßnahmen zur wirksamen Umsetzung der Datenschutzgrundsätze zu treffen, ein Bußgeld in Höhe von 900.000,- Euro verhängt. Die Kammer sah es als erwiesen an, dass die Deutsche Wohnen SE, eine börsennotierte deutsche Wohnungsgesellschaft mit Sitz in Berlin, nach dem Inkrafttreten der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, kurz: DSGVO) im Jahr 2016 und deren Geltung ab dem 25. Mai 2018 nach Ablauf eines zweijährigen Übergangszeitraums nicht rechtzeitig die erforderlichen Änderungen im IT-System der Unternehmensgruppe eingeführt habe, um die fristgemäße Löschung von personenbezogenen Daten ehemaliger Mieterinnen und Mieter des Unternehmens zu gewährleisten.

Ausgangspunkt der Entscheidung der Kammer war ein Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) vom 30. Oktober 2019 gewesen, in der diese als zuständige Aufsichtsbehörde gegen die Deutsche Wohnen wegen verschiedener Verstöße gegen die DSGVO ein Bußgeld in Höhe von rund 14,5 Millionen Euro verhängt hatte. Dagegen hatte das betroffene Unternehmen Einspruch eingelegt. Die 26. Große Strafkammer des Landgerichts hatte das Verfahren zunächst mit Beschluss vom 18. Februar 2021 wegen eines Verfahrenshindernisses eingestellt. Auf die sofortige Beschwerde der BlnBDI hin hatte das Kammergericht den Fall wegen verschiedener offener europarechtlicher Fragen dem Europäischen Gerichtshof (EuGH) vorgelegt. Nach einer Grundsatzentscheidung des EuGH im Dezember 2023 hatte das Kammergericht den Beschluss des Landgerichts vom Februar 2021 aufgehoben und die Sache erneut der 26. Großen Strafkammer zur Verhandlung in der Sache vorgelegt.

Diese hat – in anderer personeller Besetzung als noch im Jahr 2021 – nun in einer mehrtätigen Hauptverhandlung eine Beweisaufnahme durchgeführt, in deren Ergebnis für die Kammer feststand, dass die Deutsche Wohnen im Tatzeitraum vom 25. Mai 2018 bis 5. März 2019 gegen die Grundsätze der Datenminimierung aus Art. 5 Abs. 1 Buchstabe c DSGVO und Speicherbegrenzung aus Art. 5 Abs. 1 Buchstabe e DSGVO verstoßen hat. Es sei dem Unternehmen zumutbar und auch technisch möglich gewesen, die sensitiven Daten ehemaliger Mieterinnen und Mieter – neben Gehaltsbescheinigungen und Kontoauszügen auch Personalausweisdokumente – besser zu schützen und für deren rechtzeitige Löschung zu sorgen. Es sei von einem vorsätzlichen Verstoß des Unternehmens gegen die DSGVO auszugehe, so der Vorsitzende der Kammer in seiner heutigen mündlichen Urteilsbegründung. Neben dem Verstoß gegen die genannten Datenschutzgrundsätze sei in Einzelfällen betreffend ehemalige Mieterinnen und Mieter auch vorsätzlich gegen die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 6 Abs. 1 DSGVO verstoßen worden.

Tat- und schuldangemessen sei eine Geldbuße in Höhe von 900.000,- Euro, so der Vorsitzende weiter. Dabei habe die Kammer u.a. gewürdigt, dass die Deutsche Wohnen externe Wirtschaftsprüfer, Berater und IT-Fachleute eingeschaltet habe, um die konzerneigenen IT-Systeme auf die neuen Vorschriften umzustellen. Die festgestellten Verstöße seien lediglich in der Einführungsphase der DSGVO aufgetreten, und auch die Berliner Datenschutzbehörde habe Schwierigkeiten gehabt, sich an die neue Gesetzeslage anzupassen und den Ist-Zustand gerichtsfest zu dokumentieren, weshalb das Bußgeld wesentlich niedriger anzusetzen sei, als zunächst von der BlnBDI veranschlagt.

Das Urteil ist noch nicht rechtskräftig. Es kann mit dem Rechtsmittel der Rechtsbeschwerde angefochten werden.

Az.: 526 OWi LG 1/20

OLG Köln
Urteil vom 23.05.2025
15 UKl 2/25

Wir hatten bereits in dem Beitrag OLG Köln: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA über die Entscheidung berichtet.

Aus den Entscheidungsgründen:
1. Der Antrag ist zulässig.

a) Der Verfügungskläger ist berechtigt, einen etwaigen Verstoß gegen die DSGVO im Wege der Verbandsklage geltend zu machen (§ 2 Abs. 1 i.V.m. § 2 Abs. 2 Nr. 13 UKlaG).

Ferner ist der Verfügungskläger gemäß § 2 Abs. 2 Nr. 56 UKlaG grundsätzlich berechtigt, einen etwaigen Verstoß gegen Vorschriften der Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte; im Folgenden: DMA) im Wege der Verbandsklage geltend zu machen (vgl. Baetge in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 78; Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 564).

Anhaltspunkte dafür, dass eine private Rechtsdurchsetzung hinter einer Durchsetzung der Kommission zurücktreten müsste, bestehen – anders als die Verfügungsbeklagte anführt – insoweit nicht.

In Art. 42 DMA wird unter der Überschrift „Verbandsklagen“ für Zuwiderhandlungen von Torwächtern ausdrücklich auf Verbandsklagen verwiesen und die Verbandsklagerichtlinie (Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates) für anwendbar erklärt. Ziel war es insoweit, dass Verbraucher ihre Rechte im Zusammenhang mit den gemäß des DMA für Torwächter geltenden Verpflichtungen im Wege von Verbandsklagen nach der Verbandsklagerichtlinie durchsetzen können (Erwägungsgrund 104 des DMA; vgl. auch: Köhler u.a., UWG, 2025, § 2 UKlaG Rn. 13; Baetge in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 78; Brüggemann, WuW 2025, 183, 184 f.; Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 274). Im Anhang der Verbandsklagerichtlinie wurde entsprechend der Anordnung in Art. 52 DMA korrespondierend auf den DMA verwiesen. Mit der Aufzählung in § 2 Abs. 2 UKlaG hat der (deutsche) Gesetzgeber das Ziel verfolgt, zur Umsetzung der Verbandsklagerichtlinie alle in deren Anhang aufgeführten EU-Verordnungen und die Vorschriften zur Umsetzung der dort aufgeführten Richtlinienbestimmungen zu erfassen, soweit nicht § 1 UKlaG oder § 8 Absatz 1 UWG einschlägig sind (BT-Drucks 145/23, S. 125).

Ob die Vorschrift des Art. 5 Abs. 2 DMA jedenfalls im konkreten Fall unmittelbare Rechte für Endnutzer begründen kann, die sich darauf in privater Rechtsdurchsetzung berufen können (vgl. hierzu: Brüggemann, WuW 2025, 183, 186 sowie 187 f.; Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 273), lässt der Senat offen, da die von der Verfügungsbeklagten angekündigte Datenverarbeitung aus den unter Ziffer 2 Buchstabe a genannten Gründen nicht gegen Art. 5 Abs. 2 DMA verstößt.

b) Mit der Bezugnahme des § 5 UKlaG auf § 12 Abs. 1 UWG ist klargestellt, dass einstweiliger Rechtsschutz im Anwendungsbereich des Unterlassungsklagengesetzes möglich ist (vgl. B., in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, Vor § 935 Rn. 57). Damit ist auch vorbeugender Rechtsschutz möglich (vgl. B., in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, Vor § 935 Rn. 32).

c) Das Oberlandesgericht Köln ist als Gericht der Hauptsache auch für den Eilrechtsschutz zuständig (§ 937 ZPO, § 5 UKlaG).

aa) Die internationale Zuständigkeit deutscher Gerichte in der Hauptsache ergibt sich im Hinblick auf einen Verstoß gegen die DSGVO aus Art. 79 Abs. 2 DSGVO. Der Verfügungskläger macht als qualifizierte Einrichtung im Sinne des Art. 80 Abs. 2 DSGVO die Verletzung von Rechten betroffener Personen im Sinne von Art. 4 Nr.1 DSGVO mit gewöhnlichem Aufenthalt in Deutschland geltend (vgl. BGH, Urteil vom 19. November 2024 - VI ZR 10/24 -, juris, Rn. 20).

bb) Im Hinblick auf einen etwaigen Verstoß gegen Art. 5 Abs. 2 DMA ergibt sich die internationale Zuständigkeit deutscher Gerichte in der Hauptsache aus Art. 7 Nr. 2 EUGVO, da die beanstandete Datenverarbeitung bestimmungsgemäß Daten von Nutzern in Deutschland betrifft (vgl. D. Baetge, in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 113; A. Baetge in: Herberger u.a., jurisPK-BGB, 12.09.2023, § 6 UKlaG Rn. 6).

cc) Das Oberlandesgericht Köln ist nach § 6 Abs. 1 S. 2 Nr. 2 UKlaG in der Hauptsache sachlich und örtlich zuständig. Da unbestritten geblieben ist, dass die Verfügungsbeklagte über keine gewerbliche Niederlassung bzw. keinen Gesellschaftssitz in Deutschland verfügt und ein Verstoß durch die beabsichtigte Datenverarbeitung jedenfalls auch im Bezirk des Oberlandesgerichts Köln eintreten würde, ist eine Zuständigkeit des Gerichts gegeben.

2. Der Antrag ist nicht begründet.

Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.

a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.

aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.

bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).

Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.

Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).

Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.

Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:

Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.

Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.

b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.

aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).

Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).

bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).

cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.

aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).

bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.

Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.

"Volltext OLG Köln liegt vor: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA" vollständig lesen

LG Karlsruhe
Urteil vom 20.05.2026
8 O 266/25

Das LG Karlsruhe hat entschieden, dass ein Verkäufer beim Versand von Rechnungen per E-Mail nicht verpflichtet ist, eine Ende-zu-Ende-Verschlüsselung zu verwenden, und deshalb nicht haftet, wenn unbekannte Dritte die Rechnung abfangen und die Bankverbindung manipulieren. Eine solche Verschlüsselung entspricht weder den üblichen Sicherheitserwartungen im Geschäftsverkehr noch ergibt sie sich aus der DSGVO. Auch ein Schadensersatzanspruch nach Art. 82 DSGVO scheidet aus, weil nicht die personenbezogenen Daten der Käufer verarbeitet wurden, sondern die Bankverbindungsdaten der Beklagten manipuliert wurden.

Aus den Entscheidungsgründen:
II. Die Klage ist auch hinsichtlich des hilfsweise begehrten Schadensersatzes abzuweisen. Den Klägern steht unter keinem rechtlichen Gesichtspunkt ein Anspruch auf Erstattung des fehlerhaft an die O-Bank überwiesenen Geldbetrages in Höhe von 109.185,00 € zu.

1. Ein Anspruch besteht nicht aufgrund der außergerichtlichen Antwortmail der Beklagten vom 14.04.2023 (Anlage zum Protokoll), in der die Beklagte mitteilte, dass der Auftrag storniert werde und „sollten irgendwelche Kosten entstehen“ dies nicht das Problem des Klägers sei, sondern diese von der Beklagten zu tragen sein sollten.

In dieser Erklärung kann aber aus der Sicht eines objektiven Erklärungsempfängers nach §§ 133, 157 BGB kein Einstandswillen der Beklagten dahingehend gesehen werden, für alle Schäden in dem Zusammenhang aufzukommen. Zum einen stammt die E-Mail von einem Zeitpunkt, in dem die Überweisung bereits getätigt war, sodass schon vom Wortlaut her „Kosten entstehen“ nicht umfasst ist. Die Kosten waren zu diesem Zeitpunkt bereits entstanden. Zum anderen ist es fernliegend, dass die Beklagte damit erklären wollte, für alle Schäden einzustehen, wo doch beide Parteien davon ausgingen, dass unbekannte Dritte die Rechnung gefälscht hatten.

2. Ein Anspruch besteht auch nicht aus einer kaufvertraglichen Nebenpflichtverletzung der Beklagten mit den Folgen eines Schadensersatzes nach §§ 280 Abs. 1, 241 Abs. 2 BGB.

Gem. § 241 Abs. 2 BGB kann das Schuldverhältnis nach seinem Inhalt jeden Teil zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichten. Soweit sich solche Nebenpflichten also nicht aus besonderen gesetzlichen Vorschriften ergeben, können sich diese lediglich aus dem Inhalt des Vertrages ergeben. Dabei sind zunächst allgemeine Schutz-, Fürsorge- und Obhutspflichten als Nebenpflichten dergestalt anerkannt, dass jede Partei bei der Abwicklung des Schuldverhältnisses sich so zu verhalten hat, dass Körper, Leben, Eigentum, Vermögen und sonstige Rechtsgüter des anderen Teils nicht verletzt werden (BGH NJW 1983, 2813; KG NJW 1985, 2137; Soergel/Teichmann § 242 Rn. 178; BeckOGK/Fritzsche/Harman Rn. 346, BeckOK BGB/Sutschet, 77. Ed. 1.2.2026, BGB § 241 Rn. 89, beck-online).

a) Eine solche Pflichtverletzung, für die die Kläger schon nach den allgemeinen Grundsätzen darlegungs- und beweisbelastet sind, ist vorliegend nicht dargetan. Anders als die Kläger meinen, war die Beklagte bei der Übersendung der Rechnung vertraglich nicht dazu verpflichtet, eine Ende-zu-Ende-Verschlüsselung (E2EE) zu verwenden, um einem entsprechenden Missbrauch vorzubeugen.

Wie bereits ausgeführt, erfolgte der Vertragsschluss zwischen den Parteien mündlich durch Einigung der Beklagten mit dem von der Klägerseite beauftragten Vertreter. Besondere Vereinbarungen zur Tilgung des geschuldeten Kaufpreises haben die Parteien hierzu nicht getroffen, jedenfalls sind solche nicht vorgetragen. Bei lebensnaher Auslegung des vorgetragenen Sachverhalts ist jedoch anzunehmen, dass die Parteien eine Überweisung auf das Bankkonto der Beklagten vorsahen, so wie dies letztlich korrekt in der nachträglich übersendeten postalischen Rechnung mitgeteilt wurde. Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht (vgl. OLG Karlsruhe, Urteil vom 27.7.2023 – 19 U 83/22 in MMR 2023, 761 Rn. 29, beck-online). Welches Maß an Sicherheitsvorkehrungen von der Beklagten zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (ebd.). Dabei muss berücksichtigt werden, welche Erwartungen konkret die jeweiligen Vertragspartner tatsächlich haben.

Im Rahmen der informatorischen Anhörung gab der Kläger zu 1 selbst an, dass er von dem beauftragten Freund angewiesen worden sei, die E-Mail-Adresse mitzuteilen, damit alles geschickt werden könne. Er sollte auch eine Kopie des Personalausweises mitschicken. Dass die Kläger hier ihrerseits besonderen Wert auf sichere Übertragungswege gelegt hätten, ergibt sich daraus nicht, obwohl gar eine Ausweiskopie mit übersandt wurde. Letztlich war es auch der Kläger zu 1, der nach Erstattung einer Anzeige zur Einleitung eines Ermittlungsverfahrens nochmal unverschlüsselten Kontakt mit der Beklagten per E-Mail am 14.04.2026 (Anlage zum Protokoll) aufgenommen hatte. Selbst in Kenntnis des Umstandes, dass die in der E-Mail abgesandten Rechnungen „abgegriffen“ worden waren und die IBAN ausgetauscht wurde, war es der Kläger zu 1, der in seiner E-Mail wesentliche Informationen zum bisherigen Verfahrensstand mit sensiblen Daten an die Beklagte übersandte und hierin unter Nennung seiner privaten Postadresse um Übersendung der schriftlichen Originalrechnungen per Brief bat. Mit anderen Worten hatten die Kläger selbst zu einem Zeitpunkt, als sie schon offensichtlich Opfer einer Straftat wurden, noch keine Notwendigkeit einer verschlüsselten Kommunikation gesehen. Offenbar wird dies letztlich auch darin, dass der Kläger zu 1 am Tag der Überweisung am 05.04.2023 eine unverschlüsselte E-Mail (Anlage K5) an die Beklagte übersandte, die zum Inhalt sowohl die jeweiligen Rechnungsnummern, als auch die Kundennummer, den Klarnamen und auch die absendende Bank mit IBAN und BIC enthält. Dabei kann ihnen hieraus kein Vorwurf gemacht werden, denn es obliegt im Wesentlichen den Klägern, welche Sicherungsvorkehrung sie in ihren Geschäften für erforderlich halten, nur verdeutlicht dies, dass die Kläger im Vorfeld unter keinen Umständen die Erwartungshaltung gehegt haben konnten, dass die Rechnungen mit besonderer Verschlüsselungstechnik per E-Mail zu übersenden seien.

b) Eine (kausale) Pflichtverletzung kann auch nicht darin gesehen werden, dass die Beklagte auf die Mitteilung des Klägers zu 1, dass das Geld bereits überwiesen worden sei (Anlage K5), lediglich mit „besten Dank für die Info“ antwortete. Diese Antwort geschah bereits zu einem Zeitpunkt, zu dem das Geld bereits irrtümlicherweise überwiesen und der Schaden bereits eingetreten war.

3. Den Klägern steht auch kein Schadensersatz gem. Art. 82 DSGVO auf Erstattung des fehlerhaft überwiesenen Zahlbetrages zu. Zwar hatte das Oberlandesgericht Schleswig mit Urteil vom 18.12.2024 (12 U 9/24) in einem grundsätzlich vergleichbaren Fall, in dem der Überweisungsbetrag von 14.924,20 € nach Manipulation einer Rechnung durch kriminell handelnde Dritte auf das Konto eines Dritten gutgeschrieben wurde, dem Werkbesteller einen Schadensersatz in Höhe des Überweisungsbetrages gem. Art. 82 DSGVO zugesprochen, der der nicht erfüllten Werklohnforderung des Werkunternehmers gem. § 242 BGB entgegengehalten werden kann. Dem kann aus verschiedenen Gründen aber nicht gefolgt werden.

a) Zunächst setzt auch der Schadensersatzanspruch nach Art. 82 DSGVO einen Verstoß gegen die Datenschutzgrundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteil vom 4. Oktober 2024 – C-507/23). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt (BGH Urt. v. 18.11.2024 – VI ZR 10/24, GRUR-RS 2024, 31967 Rn. 21, beck-online).

Da Art. 82 Abs. 1 DSGVO den Verstoß gegen die DSGVO sanktioniert, ist die Eröffnung des Anwendungsbereichs der DSGVO impliziert. Dieser ist vorliegend aber weder eröffnet noch ist deren Schutzzweck betroffen. Dabei ist die Frage, ob ein Verstoß gegen die Datenschutzgrundverordnung im Sinne des Art. 82 Abs. 1 DSGVO auch eine entsprechende Datenverarbeitung erfordert, bislang höchstrichterlich nicht entschieden (offen gelassen: BGH Urt. v. 18.11.2024 – VI ZR 10/24, GRUR-RS 2024, 31967 Rn. 21, beck-online). Das erkennende Gericht hält eine solche aber für erforderlich.

Gem. Art. 2 Abs. 1 DSGVO kommt die Verordnung dann zur Anwendung, wenn personenbezogene Daten verarbeitet oder gespeichert werden sollen. Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen“ definiert. Dies setzt wiederum voraus, dass bei einer Verarbeitung gegen die DSGVO verstoßen worden sein muss (vgl. Ehmann/Selmayr/Nemitz, 3. Aufl. 2024, DS-GVO Art. 82 Rn. 12, beck-online). Dies deckt sich auch mit der verordnungsgebenden Intention, wenn es in Erwägungsgrund Nr. 146 heißt „der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen“ ([VO (EU) 2016/679] [Vorbemerkung], beck-online).

Hiernach ist also im vorliegenden Fall weder Schutzbereich noch Schutzzweck der Norm eröffnet, denn die in Art. 2 Nr. 1 DSGVO vorausgesetzte Verarbeitung von Informationen einer natürlichen Person ist nicht gegeben. Denn nicht die auf den Kläger bezogenen Daten wurden geändert und damit verarbeitet, sondern die Bankverbindungsdaten der Beklagten. Diese unterfallen jedoch nicht dem Schutzbereich der Datenschutzgrundverordnung, zumal es sich bei der Beklagten schon nicht um eine natürliche Person im Sinne vorgenannter Vorschrift handelt (vgl. auch Veeck, ZD 2025, 284). Allein anhand dieser Daten kann zudem ein Rückschluss auf die Kläger aber nicht gezogen werden (so auch Pauly, ZfBR 2025, 629; OLG Karlsruhe Urteil vom 27.07.2023 - 19 U 83/22; LG Rostock Urteil vom 20.11.2024 – 2 O 450/24 in NJW 2025, 2039, beck-online). Zwar ist es zutreffend, dass das Datenschutzrecht nicht die zu verarbeitenden Informationen an sich schützt, sondern die natürliche Person, deren Daten verarbeitet werden sollen (so Hessel/Prgomet in Rdi 2025, 221), dies setzt aber auch hiernach voraus, dass die Daten der natürlichen Person auch verarbeitet worden sein müssen. Zwar legt Art. 4 Nr. 2 DSGVO ein weites Verständnis der Verarbeitung nahe, gleichwohl sind hier die personenbezogenen Daten der Kläger allenfalls zufällig betroffen, denn der Schaden entstand nicht durch eine Veränderung der Daten der Kläger, sondern durch die kriminelle Veränderung der Bankverbindungsdaten der Beklagten durch Dritte. Für das Eintreten des Schadens war eine Veränderung oder Verarbeitung der Daten der Kläger nicht erforderlich, vielmehr war deren Integrität gerade wesentliche Voraussetzung für die Entstehung. Denn nur wenn die Daten der Kläger unverändert blieben, konnten diese in die Reichweite der unbekannten Dritten und damit in einen Bereich gelangen, in dem der Schaden eintreten konnte. Mit anderen Worten entsteht der Schaden nicht wegen der Verletzung personenbezogener Daten, sondern der Schaden aktiviert eine lediglich zufällige Betroffenheit (vgl. Schwarz in MMR 2025, 369).

b) Selbst wenn man aber eine Anwendbarkeit der DSGVO unterstellte (so etwa Hessel/Prgomet in Rdi 2025, 221; BeckOK DatenschutzR/Quaas, 55. Ed. 1.2.2026, DS-GVO Art. 82 Rn. 13b, beck-online), läge jedenfalls kein Verstoß gegen die der Beklagten obliegenden Pflichten vor. Ein solcher wäre im Übrigen von den darlegungs- und beweisbelasteten Klägern nicht nachgewiesen.

a) Die Beklagte war nach der DSGVO nicht dazu verpflichtet, die streitgegenständlichen Rechnungen mittels Ende-zu-Ende-Verschlüsselung zu versenden.

Die DSGVO legt unter anderem in Art 24 Abs. 1 DSGVO dem Verantwortlichen auf „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um[zusetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt“. Nach Art. 24 Abs. 2 DSGVO muss der Verantwortliche daneben präventiv tätig werden und geeignete Datenschutzvorkehrungen treffen, welche in einem angemessenen Verhältnis zur Verarbeitungstätigkeit stehen müssen. Ein definitives Schutzniveau oder ein bestimmtes Sicherungsmittel zur Herstellung des Schutzes bestimmt die DSGVO ausdrücklich nicht. Vielmehr stellt die DSGVO das Maß an zu treffende Sicherheitsvorkehrungen unter das Prinzip der Verhältnismäßigkeit, ohne die zu berücksichtigenden Interessen in welcher Form auch immer einzugrenzen. Daher können dies alle Arten von Interessen sein. Insbesondere sind damit auch wirtschaftliche Faktoren wie etwa die Kosten und der tatsächliche Aufwand einer Umsetzung der Datenschutzvorkehrungen zu berücksichtigen (Gola/Heckmann/Piltz, 3. Aufl. 2022, DS-GVO Art. 24 Rn. 59, beck-online). Da die DSGVO selbst aber keine Klarheit darüber bietet, welche konkreten Standards anzuwenden sind (so auch OLG Schleswig, Urteil vom 18.12.2024 - 12 U 9/24 Rn. 67), ist dieses Maß unter Abwägung der genannten Interessen zu bestimmen ist, wobei auch die berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (OLG Karlsruhe, Urteil vom 27.07.2023, 19 U 83/22) eine nicht zu vernachlässigende Rolle spielen. Die vom Oberlandesgericht Schleswig in Bezug genommene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“ sieht eine wie von den Klägern in Anspruch genommene Ende-zu-Ende-Verschlüsselung nicht zwingend vor.

Eine mit erheblichem organisatorischem und technischem Aufwand verbundene Ende-zu-Ende-Verschlüsselung, bei der die erforderlichen Schlüssel auf anderem Wege als die zu übermittelnde Nachricht - hier die streitgegenständlichen Rechnungen - bereitgestellt werden müssen, wird weder im konkreten Geschäftsverkehr vorausgesetzt, noch entspricht sie den üblichen Sicherheitserwartungen im allgemeinen Geschäftsverkehr.

Bei einer Ende-zu-Ende-Verschlüsselung wird die Vertraulichkeit der Kommunikation dadurch gewährleistet, dass die Daten beim Absender verschlüsselt und erst beim Empfänger entschlüsselt werden, sodass Dritte - etwa Server oder Netzbetreiber - den Inhalt der so geschützten Nachricht nicht einsehen können. Dies setzt jedoch voraus, dass die erforderlichen kryptographischen Schlüssel zwischen den Parteien gesondert und zugleich hinreichend sicher ausgetauscht werden. Auch dieser Schlüsselaustausch selbst erfordert zusätzliche technische und organisatorische Maßnahmen und begründet weiteren Aufwand auf Seiten aller Beteiligten.

Gerade im vorliegenden Falle hatte sich die Kläger keine Gedanken über etwaige Sicherheitsvorkehrungen gemacht (siehe III.2.a)). Vielmehr sollte der Kauf offensichtlich unkompliziert ohne weitere Verifizierungen abgewickelt werden. Nur so ist es zu erklären, dass die Kläger eine Überweisung über beträchtliche Summen tätigten, ohne sich seinerseits der Authentizität der übermittelten Rechnung zu vergewissern. Er mag zwar auf deren Integrität vertraut und sich möglicherweise in Unkenntnis, ob des Risikos einer unverschlüsselten Nachricht als auch über die Möglichkeiten einer Verschlüsselung befunden haben. Genau hierin kommen aber die konkreten Sicherheitserwartungen der Kläger zum Ausdruck. Der Kläger zu 1 führte selbst aus, dass er ein 76 Jahre alter Rentner sei, der keine Geschäfte im Internet tätigt. Begeben sich die Kläger - vertreten durch den Kläger zu 1 - aber in diese Sphäre und gehen nach eigenem Vortrag davon aus, den Vertrag durch die Übersendung eines Angebots per E-Mail ohne weitere Sicherheitsmaßnahmen schließen zu können, bringt dies die von ihnen der Vertragsabwicklung zugrunde gelegten Sicherheitserwartungen gegenüber der Beklagten zum Ausdruck. Dies zeigt sich auch darin, dass der Kläger zu 1, wie erwähnt, noch nach Kenntnis des Vorfalls und in Kenntnis eines möglichen „Hacking-Angriffs“ mit unverschlüsselter E-Mail eine Nachricht an die Beklagte übersandte, die wesentliche und sensible Informationen enthielt.

Da die Ende-zu-Ende-Verschlüsselung im Übrigen nicht alleine vom Verwender durchgeführt werden kann, sondern die (aktive) Mitwirkung des Empfängers voraussetzt (Ziegler MMR 2023, 761), kann diese auch nicht ohne weiteres zum allgemeinen Maßstab der zu treffenden Sicherheitsvorkehrungen gemacht werden. Der elektronische Rechtsverkehr lebt von der Schnelligkeit und unkomplizierten Verfügbarkeit von Informationen, um eine reibungsfreie Abwicklung der Geschäfte zu ermöglichen.

Daher hat sich die Verwendung einer derartigen Verschlüsselung im Rechtsverkehr nicht durchgesetzt (Pauly aaO). Dass dabei im Allgemeinen gerade der unverschlüsselte und insofern ungeschützte E-Mail-Verkehr sowohl von Verbraucher- als auch von Unternehmerseite umfassend toleriert wird und daher weitergehende Verschlüsselungstechniken nicht als Maßstab der geschäftlichen E-Mail-Kommunikation gelten können, zeigt sich auch daran, dass die sicherere, gleichwohl nicht Ende-zu-Ende-verschlüsselte „DE-Mail“ wegen des damit verbundenen höheren Aufwandes von Bürgerinnen und Bürger sowie von Unternehmen nahezu nicht genutzt wurde (6.000 DE-Mails zwischen 2011 und 2020 Jahresbericht 2021 des Bundesrechnungshofes, https://www.bundesrechnungshof.de/SharedDocs/Downloads/DE/Berichte/2021/de-mail-kaum-genutzt-volltext.pdf?__blob=publicationFile&v=1).

Dabei kann die Notwendigkeit der Verschlüsselung auch nicht von der Höhe der zu zahlenden bzw. zu überweisenden Beträgen (so Pauly ZfBR 2025, 629) abhängig gemacht werden. Weder lässt sich dies anhand des Verordnungstextes begründen, noch können die zu erwartenden Sicherungsvorkehrungen zwingend an einer bestimmten Summe gemessen werden, die letztlich auch davon abhängt, welche Art von Geschäften in welchem Umfeld abgewickelt werden sollen. Die Sensibilität der übermittelten Daten kommt nicht zwangsläufig in der Höhe der Rechnungssumme zum Ausdruck.

Ein Verstoß gegen andere (behauptete) Pflichten des Rechtsverkehrs haben die Kläger aber weder vorgetragen noch sind diese ersichtlich. Allein aus der Tatsache, dass es Dritten gelungen ist, auf Daten zuzugreifen und sie zu veröffentlichen, folgt noch nicht, dass der Verantwortliche keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz ergriffen hat (EuGH GRUR-RS 2023, 3578 – natsionalna agentsia za prihodite, BeckOK DatenschutzR/Quaas, 55. Ed. 1.2.2026, DS-GVO Art. 82 Rn. 14e, beck-online).

c) Indem die Kläger daneben ihre E-Mail-Adresse für den Empfang der von ihnen erwarteten Vertragsunterlagen dem Vertreter zur Verfügung stellten, der sie sodann an die Beklagte weiterreichte, ohne auf bestimmte Sicherheitsvorkehrungen zu bestehen, haben die Kläger zugleich konkludent zum Ausdruck gebracht, in die ungeschützte Übermittlung einzuwilligen (OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20). Dabei kann für eine wirksame Einwilligung auch nicht vorausgesetzt werden, dass der Betroffene die Risiken vollumfänglich überblickt (so indes Hessel/Prgomet in Rdi 2025, 221), denn letztlich muss es dem Einzelnen überlassen bleiben, ob und wie er sich in den Geschäftsverkehr begibt.

d) Zuletzt fehlt es auch an der erforderlichen Kausalität zwischen dem behaupteten Pflichtenverstoß der Beklagten und dem eingetretenen Schaden. Für einen substantiierten Vortrag bei einer veränderten oder manipulierten E-Mail muss von den Klägern schlüssig vorgetragen und anschließend gegebenenfalls technisch festgestellt werden, ob und bei welchem Kommunikationspartner der Angriff stattgefunden hat - entweder auf der Seite des Empfängers oder des Versenders (Veeck, ZD 2025, 284).

Nach dem schriftsätzlichen Vortrag der Kläger steht nicht fest, ob sich Dritte (rechtswidrig) Zugang zum IT-System der Beklagten verschafft haben sollen, um bereits dort die Rechnung im Rechnungssystem zu ändern, ob Dritte sich beim versendenden Mitarbeiter Zugang verschafft haben sollen, ob sich Dritte Zugang zum E-Mail-Postfach des Rechnungsempfängers verschafft haben sollen (etwa weil dieses nicht hinreichend sicher passwortgeschützt war), oder ob die Rechnung während der Kommunikationsübertragung verändert wurde.

In den ersten beiden Varianten bestünde eine Kausalität schon deswegen nicht, weil die Veränderung der Rechnung zu einem Zeitpunkt vor Verschlüsselung erfolgt wäre und dann lediglich eine „falsche“ Rechnung verschlüsselt versandt worden wäre. Bei dritter Variante wäre die E-Mail beim Empfänger also bei den Klägern schon angekommen und wäre dann unverschlüsselt dem Angriff preisgeben (vgl. Veeck ZD 2025, 284).

Mit seinem Vortrag hat der Kläger den Umstand der veränderten E-Mail nicht schlüssig dargelegt, sodass vorliegend eine kausale Pflichtverletzung nicht festgestellt werden kann. Zunächst hatte die Kläger ohne jegliche Anhaltspunkte behauptet, die E-Mail sei auf Seiten der Beklagten verändert in den Rechtsverkehr gelangt, „um das Geld einzunehmen und die Ware nicht liefern zu müssen“ (Var.1). Erst im Rahmen der mündlichen Verhandlung setzte der Kläger auf Nachfragen das Gericht überhaupt erst in Kenntnis davon, dass das hiesige Verfahren Gegenstand eines umfangreichen Strafverfahrens gewesen ist und er selbst davon ausgehe, dass die E-Mail beim Internetanbieter der Kläger verändert worden sei (Anlage zum Protokoll). Damit steht aber der genaue Zeitpunkt des unbefugten Zugriffs nicht fest und ist auch nicht ermittelbar.

Den Volltext der Entscheidung finden Sie hier:

AG Düsseldorf
Urteil vom 30.04.2026
38 C 135/25

Das AG Düsseldorf hat entschieden, dass bereits die einmalige Zusendung einer Werbe-E-Mail ohne ausdrückliche vorherige Einwilligung des Empfängers einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb darstellt. Dies gilt auch dann, wenn es sich um eine gezielte Einzelansprache handelt. Weder der sachliche Bezug zwischen Angebot und Adressat noch ein enthaltener Abmeldelink ersetzen die fehlende Einwilligung.

Aus den Entscheidungsgründen:
Die Klägerin hat gegen die Beklagte einen Anspruch auf Freistellung von den Abmahnkosten aus §§ 677, 683 Satz 1, 670 BGB. Dabei hat sich ein etwa mangels Zahlung lediglich als Freistellungsanspruch nach § 257 ZPO durch die evidente Erfüllungsverweigerung in einen Zahlungsanspruch gewandelt.

1. Die Abmahnung vom 10.10.2025 stellte eine berechtigte Geschäftsführung ohne Auftrag dar. Mit ihr besorgte die Klägerin jedenfalls auch ein objektiv fremdes Geschäft der Beklagten, das dem Interesse und dem mutmaßlichen Willen der Beklagten im Sinne des § 683 Satz 1 BGB entsprach. Denn die Abmahnung gab der Beklagten Gelegenheit, den rechtswidrigen Zustand außergerichtlich durch Abgabe einer Unterlassungserklärung zu beseitigen, um so einen Prozess und weitergehende Kosten zu vermeiden. Dass die Abmahnung zugleich im Eigeninteresse der Klägerin lag, steht dem nicht entgegen.

Die Abmahnung war berechtigt, da der Klägerin gegen die Beklagte ein Unterlassungsanspruch aus §§ 823 Abs. 1, 1004 Abs. 1 Satz 2 BGB analog zustand.

Ein Unterlassungsanspruch aus § 7 Abs. 1, Abs. 2 Nr. 2 UWG steht der Klägerin als betroffener Marktteilnehmerin zwar nicht zu, da von einem Verstoß gegen diese Regelung betroffene Verbraucher und sonstige Marktteilnehmer nach der abschließenden Regelung des § 8 Abs. 3 UWG nicht selbst berechtigt sind, Unterlassungsansprüche gemäß § 8 Abs. 1 UWG geltend zu machen (vgl. BGH, Urteil vom 14.03.2017 - VI ZR 721/15, BGHZ 214, 204 Rn. 10 ff.).

Die Maßstäbe des § 7 UWG kommen jedoch zur Vermeidung von Wertungswidersprüchen auch im Rahmen der Prüfung eines Eingriffs in den eingerichteten und ausgeübten Gewerbebetrieb gemäß § 823 Abs. 1 BGB zur Anwendung (OLG Dresden, Beschluss vom 24.06.2024 - 4 U 168/24; BGH, Urteil vom 10.07.2018 - VI ZR 225/17, BGHZ 219, 233 Rn. 17 f.; BGH, Urteil vom 12.09.2013 - I ZR 208/12 Rn. 15 ff.; vgl. BGH, Urteil vom 20.05.2009 - I ZR 218/07, GRUR 2009, 980 Rn. 14).

Bei der E-Mail vom 03.10.2025 handelt es sich um Werbung.

Nach § 2 Abs. 1 Nr. 2 UWG ist darunter jedes Verhalten zugunsten des eigenen oder eines fremden Unternehmens zu verstehen, das mit der Förderung des Absatzes von Waren oder Dienstleistungen unmittelbar und objektiv zusammenhängt (Anmerkung zu: EuGH, Urteil vom 13.11.2025 - C-654/23 = ZD 2026, 161, 164; EuGH, Urteil vom 25.11.2021 - C-102/20 = MMR 2022, 117 Rn. 47; OLG Dresden, Beschluss vom 24.06.2024 - 4 U 168/24 = GRUR-RS 2024, 20257; Fritzsche, in: BeckOK UWG, § 7, Rn. 45).

Ihrem Inhalt nach ist die E-Mail auf Absatzförderung der Softwaredienstleistungen der Beklagten gerichtet; sie enthält eine Einladung zu einem Event, auf dem die Software der Beklagten (Teamleader Focus) präsentiert werden sollte und Teilnehmer zu Demo-Terminen eingeladen wurden. Der Werbecharakter der E-Mail steht damit außer Frage. Auch die nachfolgende E-Mail vom 10.10.2025 mit dem Betreff „Ein kleiner Recap aus Köln und Einladung zum Weiterreden“ sowie die neue Einladung vom 23.10.2025 stellen Werbung dar, da sie auf die Förderung des Absatzes der Beklagten gerichtet sind und den Empfänger mit Darstellung von Bildern und Fakten von deren Leistungen zu überzeugen suchen.

c. Die unverlangte Zusendung dieser Werbe-E-Mail stellt einen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb der Klägerin dar. (OLG Dresden, Beschluss vom 24.06.2024 - 4 U 168/24; OLG Frankfurt, Urteil vom 24.11.2016 - 6 U 33/16 Rn. 10).

Nach ständiger Rechtsprechung des Bundesgerichtshofs begründet bereits die einmalige Zusendung einer Werbe-E-Mail ohne vorherige Einwilligung des Adressaten eine entsprechende Rechtsverletzung (BGH NJW 2017, 2119; BGH GRUR 2013, 1259; BGH NJW 2009, 2958 - E-Mail-Werbung II).

Die Beeinträchtigung liegt darin, dass der Empfänger Arbeitszeit und betriebliche Ressourcen aufwenden muss, um unerwünschte E-Mails zu identifizieren und auszusortieren. Dabei kann nicht darauf abgestellt werden, dass das Entfernen einer einzelnen E-Mail nur wenige Sekunden in Anspruch nimmt. Gegenstand des Schutzes ist die Verhinderung des Eindringens des Werbenden in die geschäftliche Sphäre und die Ungestörtheit der Betriebsabläufe; es soll verhindert werden, dass dem Unternehmen Werbemaßnahmen gegen seinen erkennbaren Willen aufgedrängt werden und dass die belästigende Werbung zu einer Bindung von Ressourcen führt (BGH, Urteil vom 21.04.2016 = NJW-RR 2016, 1511 Rn. 16; AG Düsseldorf, Urteil vom 20.11.2025 - 23 C 120/25 = GRUR-RS 2025, 36491 Rn. 11). Gerade bei schnell und einfach versendeten Werbe-E-Mails ist nicht auf die einzelne Werbe-E-Mail, sondern auf das Massenphänomen und die drohende Ausuferungsgefahr abzustellen. Unverlangt zugesendete E-Mail-Werbung erfolgt betriebsbezogen und beeinträchtigt den Betriebsablauf im Unternehmen des Empfängers. Das Verwenden von E-Mails mit unerbetener Werbung, die der Empfänger jeweils einzeln sichten muss und bei denen ein Widerspruch erforderlich ist, um eine weitere Zusendung zu unterbinden, führt zu einer nicht unerheblichen Belästigung der Arbeitsabläufe (vgl. BGH GRUR 2013, 1259 Rn. 15; BGH GRUR 2007, 164 Rn. 9).

Besonders ins Gewicht fällt vorliegend, dass die streitgegenständliche E-Mail-Adresse die geschäftliche Adresse des Geschäftsführers der Klägerin ist, die dieser rund um die Uhr auf seinem Mobiltelefon empfängt. Außerdem werden noch Bilder angehangen, deren Herunterladen zusätzlich Zeit in Anspruch nimmt und Belästigungspotential haben (vgl. Leible, K&R 2006, 485, 488). Schließlich sind die Mails auch mit einer ersichtlich bewusst gewählten persönlichen Ansprache formuliert, die eine inhaltliche Auseinandersetzung provozieren.

d. Der Eingriff ist rechtswidrig.

Die aufgrund des Charakters des eingerichteten und ausgeübten Gewerbebetriebs als Rahmenrecht erforderliche Abwägung der widerstreitenden Interessen geht zu Lasten der Beklagten aus, wie bereits der Wertung des § 7 Abs. 2 Nr. 2 UWG zu entnehmen ist. Nach § 7 Abs. 2 Nr. 2 UWG stellt - abgesehen von dem hier nicht vorliegenden Ausnahmetatbestand des § 7 Abs. 3 UWG - jede Werbung unter Verwendung elektronischer Post ohne vorherige ausdrückliche Einwilligung des Adressaten stets eine unzumutbare Belästigung dar.

Zwar mag sich der Arbeitsaufwand bei einer einzelnen E-Mail in Grenzen halten; andererseits musste sich die Klägerin mit der E-Mail zumindest gedanklich beschäftigen, zumal der Geschäftsführer die E-Mail rund um die Uhr auf seinem Mobiltelefon empfing. Das Interesse der Klägerin an Unterlassung überwiegt das Interesse der Beklagten an werblicher Kommunikation ohne Einwilligung. Der Schutz der geschäftlichen Sphäre und die Ungestörtheit der Betriebsabläufe ist vorrangig gegenüber dem wirtschaftlichen Gewinnstreben anderer Unternehmen; die berechtigten Interessen der gewerblichen Wirtschaft erfordern es nicht, mit Werbung in die internen Betriebsabläufe einzudringen (vgl. BGH, Urteil vom 27.01.2000 - I ZR 241/97, GRUR 2000, 818, 819).

aa. Der Einwand der Beklagten, es habe sich nicht um Massenspam, sondern um eine gezielte, anlassbezogene Einzelansprache gehandelt, führt nicht zum Ausschluss des Unterlassungsanspruchs.

Bei der Beurteilung, ob ein rechtswidriger Eingriff vorliegt, kann nicht auf den Absender und dessen konkrete Handhabung des Einsatzes von Werbe-E-Mails abgestellt werden. Maßgeblich ist vielmehr allein der Empfänger und die bei ihm eintretenden Störungen des Betriebsablaufs sowie die Folgen, die eine Sanktionslosigkeit des Werbe-E-Mail-Versands hätte. Wäre die Übermittlung gezielt ausgesuchter Einzel-E-Mails ohne Einwilligung zulässig, wäre angesichts der billigen, schnellen und durch Automatisierungsmöglichkeit arbeitssparenden Versendungsmöglichkeit und ihrer günstigen Werbewirkung mit einem Umsichgreifen dieser Werbeart zu rechnen. Der einzelne Mitverursacher muss daher auch für die Gesamtwirkung des Phänomens einstehen (BGH NJW 2009, 2958 Rn. 12).

bb. Die Beklagte konnte auch nicht von einer vorherigen Einwilligung der Klägerin ausgehen. Nach § 7 Abs. 2 Nr. 2 UWG ist eine ausdrückliche vorherige Einwilligung erforderlich.

Die Anforderungen an die Einwilligung, ist durch eine unionsrechtskonforme Auslegung zu ermitteln.

Gem. Art. 2 Abs. 2 lit. f RL 2002/58/EG ist unter „Einwilligung“ eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person iSd RL 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zu verstehen. Nach Art. 2 lit. h RL 95/46/EG ist eine „Einwilligung der betroffenen Person“ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.

Die RL 95/46/EG ist gem. Art. 94 Abs. 1 VO (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) aufgehoben worden. Gem. Art. 94 Abs. 2 DS-GVO gelten nunmehr Verweise auf die aufgehobene RL als Verweise auf die DS-GVO. Nach Art. 4 Nr. 11 DS-GVO bezeichnet der Ausdruck „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (vgl. BGH, Urt. v. 13.1.2022 - I ZR 25/19; OLG Frankfurt, Urteil vom 24.11.2016 - 6 U 33/16 = MMR 2017, 183 Rn. 16; AG Düsseldorf, Urteil vom 20.11.2025 - 23 C 120/25 Rn. 19f.; Köhler, in: Feddersen/Köhler, 44. Auflage 2026, UWG § 7 Rn. 252 ff.).

Eine ausdrückliche Einwilligung liegt nicht vor. Die Beklagte bestreitet auch nicht, dass gerade keine ausdrückliche Einwilligung der Klägerin in den Erhalt von Werbe-E-Mails vorlag (vgl. Klageerwiderung Punkt II.). Die Beklagte beruft sich vielmehr darauf, aufgrund der geschäftlichen Ausrichtung der Klägerin von einer mutmaßlichen Einwilligung ausgehen zu dürfen, da die Einladung einen beruflichen Mehrwert dargestellt habe. Dieses Argument ist nicht haltbar. § 7 Abs. 2 Nr. 2 UWG schließt die mutmaßliche Einwilligung ausdrücklich aus. Der Gesetzeswortlaut ist eindeutig und lässt keinen Raum für Ausnahmen oder Abwägungen im Einzelfall. Mit dem Erfordernis der ausdrücklichen Einwilligung soll gerade klargestellt werden, dass weder eine konkludente noch eine mutmaßliche Einwilligung ausreicht, unabhängig davon, wie relevant der Inhalt der Werbe-E-Mail für den Adressaten sein mag (Feddersen/Köhler, UWG, 43. Aufl. 2025, § 7 Rn. 250). Würde der sachliche Bezug zwischen Angebot und Adressat genügen, liefe das gesetzliche Einwilligungserfordernis vollständig leer. Auch die Veröffentlichung einer E-Mail-Adresse auf einer Webseite stellt keine Generaleinwilligung in die Zusendung von Werbemitteilungen dar; die Angabe einer Kontaktadresse richtet sich erkennbar an Kunden und Geschäftspartner im Sinne von Nachfragenden, nicht an Werbetreibende (OLG Hamm, Urteil vom 25.10.2007 - 4 U 89/07; Köhler, in: Feddersen/Köhler, 44. Auflage 2026, UWG § 7 Rn. 253).

Die einzige gesetzlich anerkannte Ausnahme für E-Mail-Werbung ohne ausdrückliche Einwilligung findet sich in § 7 Abs. 3 UWG: Danach ist Werbung zulässig, wenn der Absender die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat, die Werbung sich auf ähnliche eigene Waren oder Dienstleistungen bezieht, der Kunde der Verwendung nicht widersprochen hat und bei Erhebung der Adresse sowie bei jeder Verwendung klar und deutlich auf die Widerspruchsmöglichkeit hingewiesen wurde. Diese Voraussetzungen sind hier nicht erfüllt. Zwischen den Parteien bestand keinerlei Geschäftsbeziehung; die Beklagte hat die E-Mail-Adresse der Klägerin nicht im Rahmen einer solchen erhoben, sondern offenbar durch eigene Marktrecherche ermittelt.

cc. Der Einwand der Beklagten, die E-Mails hätten einen deutlich sichtbaren Abmeldelink enthalten, trägt nicht. Der Abmeldelink ist eine Anforderung des § 7 Abs. 3 Nr. 4 UWG für den (hier nicht einschlägigen) Ausnahmefall der Bestandskundenwerbung. Er ist kein Instrument, das die Rechtswidrigkeit einer ohne Einwilligung erfolgten Erstzusendung heilt. Die Klägerin war nicht verpflichtet, sich von einem Dienst abzumelden, zu dem sie sich nie angemeldet hatte. Es ist genau umgekehrt: Die Beklagte durfte Werbung erst versenden, wenn sie zuvor eine Einwilligung eingeholt hatte. Ob der Abmeldelink überhaupt funktioniert hat, ist weder vorgetragen noch bewiesen; die Klägerin bestreitet dies mit Nichtwissen, was nach § 138 Abs. 4 ZPO zulässig ist, da es sich um einen Vorgang im Bereich der Beklagten handelt, zu dem die Klägerin keine eigene Kenntnis haben kann.

dd. Soweit sich die Beklagte auf Art. 6 Abs. 1 lit. f DSGVO beruft, greift dieser Einwand nicht durch.

Die Zulässigkeit der Zusendung von Werbe-E-Mails richtet sich vorrangig nach Art. 13 der Richtlinie 2002/58/EG, dessen Wertung in § 7 Abs. 2 Nr. 2 UWG umgesetzt ist. Danach setzt E-Mail-Werbung grundsätzlich die vorherige ausdrückliche Einwilligung des Adressaten voraus. Auf den allgemeinen Erlaubnistatbestand des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO kann sich der Absender nicht berufen, um dieses besondere Einwilligungserfordernis zu umgehen. Dies hat der EuGH mit Urteil vom 13.11.2025 - C-654/23 bestätigt. Eine bloße Interessenabwägung zugunsten des Werbenden vermag die fehlende Einwilligung daher nicht zu ersetzen.

e. Zum Zeitpunkt der Abmahnung lag Wiederholungsgefahr vor. Eine vorausgegangene rechtswidrige Beeinträchtigung begründet eine tatsächliche Vermutung für das Fortbestehen der Wiederholungsgefahr (BGH GRUR 2013, 1259 Rn. 25 f.). Diese wurde durch die weiteren Werbesendungen am 10.10. und 23.10.2025, also noch nach Zugang der ersten Abmahnung, eindrücklich bestätigt.

Ob die Klägerin ihren Ersatzanspruch bzgl. der Abmahnkosten daneben vertraglich auch auf Ziffer 3 der Unterlassungserklärung vom 31.10.2025 stützen kann, bedarf keiner abschließenden Entscheidung, da der Anspruch bereits aus §§ 683 S. 1, 677, 670 BGB begründet ist.

2. Die durch die berechtigte Abmahnung entstandenen Rechtsanwaltskosten sind als erforderliche Aufwendungen gemäß § 670 BGB zu ersetzen. Voraussetzung hierfür ist, dass die Beauftragung eines Rechtsanwalts zur zweckentsprechenden Rechtsverfolgung erforderlich und angemessen war.

Dies ist vorliegend der Fall. Die Abmahnung diente der außergerichtlichen Durchsetzung des Unterlassungsanspruchs und sollte insbesondere die Wiederholungsgefahr durch die Aufforderung zur Abgabe einer strafbewehrten Unterlassungserklärung ausräumen. Die Inanspruchnahme anwaltlicher Hilfe war hierfür grundsätzlich zulässig, da die Verfolgung zivilrechtlicher Unterlassungsansprüche nicht zu den typischen originären Aufgaben eines Unternehmens gehört (vgl. BGH GRUR 2017, 854).

Besondere Umstände, die ausnahmsweise die Einschaltung eines Rechtsanwalts als entbehrlich erscheinen lassen könnten, etwa eine besondere eigene Sachkunde der Klägerin, sind weder vorgetragen noch ersichtlich. Die Beauftragung war daher auch im konkreten Fall erforderlich und zweckmäßig.

Entsprechend kann die Klägerin die gesetzlichen Gebühren ihres Prozessbevollmächtigten nach dem Rechtsanwaltsvergütungsgesetz ersetzt verlangen (vgl. BGH GRUR 2013, 1259).

Der angesetzte Gegenstandswert von 3.500 € ist nicht zu beanstanden. Bei E-Mail-Werbung gegenüber gewerblichen Adressaten wird ein Gegenstandswert zwischen 3.500 € und 6.000 € allgemein als angemessen angesehen (BGH NJW 2009, 2958; OLG Frankfurt/M. NJW-RR 2021, 117; OLG Köln, Beschl. v. 12.04.2021 - 15 W 18/21; OLG Dresden K&R 2024, 673). Ein Wert von 3.500 € liegt am unteren Ende dieser Spanne und ist damit ohne Weiteres vertretbar. Auf dieser Grundlage errechnet sich die 1,3-Geschäftsgebühr nach Nr. 2300 VV RVG zu 383,50 €. Hinzu kommt die Post- und Telekommunikationspauschale nach Nr. 7002 VV RVG in Höhe von 20,00 €.

Der Nettobetrag von 403,50 € ist geltend gemacht; die Umsatzsteuer wurde nicht beansprucht, weil die Klägerin als vorsteuerabzugsberechtigtes Unternehmen keinen Ersatz der Umsatzsteuer verlangen kann (§ 249 Abs. 2 S. 2 BGB analog).

Den Volltext der Entscheidung finden Sie hier:

OLG Stuttgart
Urteil vom 29.04.2026
4 U 372/24

Das OLG Stuttgart hat dem Betroffenen 500 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen DSGVO-Verstößen durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke zugesprochen. Zudem hat das Gericht einen Unterlassungsanspruch bejaht.

Aus den Entscheidungsgründen:
Die Berufung hinsichtlich des Klagantrags Ziff. 5, mit dem der Kläger immateriellen Schadensersatz in Höhe von mindestens 5.000,00 € begehrt, ist in Höhe von 500,00 € begründet.

Anspruchsgrundlage für das Begehren des Klägers ist Art. 82 DSGVO. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Voraussetzung für den Schadensersatzanspruch ist damit ein Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines immateriellen Schadens sowie ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 21).

1. Ein Verstoß gegen die Datenschutz-Grundverordnung liegt vor.

a) Für den vom Kläger geltend gemachten Anspruch auf immateriellen Schadensersatz sind sowohl etwaige Verstöße gegen die Datenschutz-Grundverordnung bei der Erhebung personenbezogener Daten durch die Business Tools zu berücksichtigen, die in die gemeinsame Verantwortlichkeit der Beklagten und des Betreibers der Website mit den Business Tools fallen, als auch Verstöße nach Übermittlung dieser Daten an die Beklagte, denn hinsichtlich der insoweit vom Kläger behaupteten Verstöße ist von einem einheitlichen Streitgegenstand auszugehen.

Vom Streitgegenstand werden sämtliche mit der inkriminierten Datenverarbeitung im Zusammenhang stehenden gerügten Verstöße gegen die Datenschutz-Grundverordnung umfasst, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 17). Bei natürlicher Betrachtung können die geltend gemachten Verstöße gegen die Datenschutz-Grundverordnung vor und nach der Übermittlung der Daten an die Beklagte nicht isoliert beurteilt werden, da sie sämtlich in einem einheitlichen Geschehen wurzeln, nämlich der Bereitstellung der Business Tools durch die Beklagte und der Implementierung dieser Tools in die Websites der Drittunternehmer.

b) Gemäß den obigen Ausführungen zum Unterlassungsanspruch verstößt die Beklagte mit der Verarbeitung der ihr via Business Tool übermittelten personenbezogenen Daten des Klägers gegen die Datenschutz-Grundverordnung, da keiner der in Art. 6 Abs. 1 DSGVO genannten Bedingungen für eine Verarbeitung der Daten erfüllt ist. Außerdem liegt ein Verstoß gegen die Datenschutz-Grundverordnung auch in Bezug auf die Erhebung und Übermittlung der personenbezogenen Daten auf den Drittseiten vor, da die Beklagte keinen hinreichenden Vortrag zu der insoweit erforderlichen Einwilligung des Klägers gehalten hat. Hinsichtlich der Websites zeit.de und mueller.de ist ohnehin unstreitig, dass es an einer Einwilligung des Klägers fehlt.

c) Für den Verstoß hinsichtlich der Erhebung der Daten auf den Websites der Drittunternehmer zeit.de und mueller.de ist auch die Beklagte verantwortlich, da diese zusammen mit dem Drittunternehmer gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO ist (vgl. EuGH, Urteil vom 29.07.2019, C-40/17 – „Gefällt mir“-Button – Fashion ID). Dass die schädigende Handlung durch den Drittunternehmer vorgenommen worden ist und nicht durch die Beklagte, steht der Haftung nicht entgegen, denn bei gemeinsam Verantwortlichen genügt es, dass der andere beteiligte Verantwortliche eine schädigende Handlung vorgenommen hat (Auernhammer/Schürmann/Baier, aaO., Art. 82, Rn. 16).


Zur Entlastungsmöglichkeit nach Art. 82 Abs. 3 DSGVO wird auf die nachfolgenden Ausführungen unter 4. verwiesen.

2. Dem Kläger ist auch ein Schaden entstanden.

a) Der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO umfasst negative Gefühle wie beispielsweise Sorge oder Ärger, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet und die

- durch einen Verlust der Kontrolle über diese Daten,

- ihre mögliche missbräuchliche Verwendung oder

- eine Rufschädigung

hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen diese Verordnung empfindet (EuGH, Urteil vom 04.09.2025, C-655/23, GRUR-RS 2025, 22639, Rn. 64).

b) Ein Schaden besteht hier in Form eines Kontrollverlusts. Hiergegen kann nicht eingewandt werden, dass die Daten nur an die Beklagte weitergegeben wurden, nicht an sonstige Dritte. Der Bundesgerichtshof hat einen Kontrollverlust auch in einem Fall bejaht, in dem die Personalaktenverwaltung von Bundesbeamten unzulässigerweise durch Bedienstete des Landes Niedersachsen vorgenommen wurde (BGH, NJW 2025, 1656, Rn. 14 f.). Der Umstand, dass die Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, stand der Annahme eines Schadens dabei nicht entgegen (BGH, aaO., Rn. 16). Hinzu kommt, dass der Kläger nicht ansatzweise überblicken kann, welche Dimension die Datenverarbeitung durch die Beklagte hat (vgl. OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 341) und dass der Kläger keine Möglichkeit hat, durch eigenes Handeln die Kontrolle über die Daten zurückzuerlangen, da weder durch die Änderung der Datenschutzeinstellungen noch durch die Löschung seines Kontos eine vollumfängliche Löschung der bei der Beklagten gespeicherten Daten möglich wäre (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris, Rn. 197). Angesichts dessen kann ein Kontrollverlust durch die unberechtigte Übermittlung personenbezogener Daten an die Beklagte nicht verneint werden.

Ein anderer Schaden im Sinne der Rechtsprechung des EuGH ist nicht ersichtlich. Eine Rufschädigung durch die Speicherung der an die Beklagte übermittelten Daten scheidet ebenso aus wie die Sorge über eine mögliche missbräuchliche Verwendung der Daten. Derartige Folgen hat der Kläger weder vorgetragen noch nachgewiesen.

3. Auch der erforderliche Kausalzusammenhang zwischen dem Schaden und dem Verstoß der Beklagten besteht. Würde die Beklagte die ihr via Business Tools übermittelten personenbezogenen Daten des Klägers nicht verarbeiten und insbesondere auch nicht speichern, hätte der Kläger bzgl. dieser Daten keinen Kontrollverlust erlitten.

4. Gem. Art. 82 Abs. 3 DSGVO wird der Verantwortliche von der Haftung gem. Art. 82 Abs. 2 DSGVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Mit Verantwortung ist das Verschulden im Sinne der deutschen Rechtsterminologie gemeint und nicht die datenschutzrechtliche Verantwortlichkeit (Quaas in BeckOK Datenschutzrecht, 55. Ed., Stand 01.02.2026, DSGVO, Art. 82, Rn. 17; Aliprandi, Datenschutzrechtlicher Schadensersatz nach Art. 82 DS-GVO, S. 448).

Hinsichtlich der Datenverarbeitung durch die Beklagte selbst kommt eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO ersichtlich nicht in Betracht. Für ein fehlendes Verschulden der Beklagten ist nichts vorgetragen.

Gleiches gilt im Ergebnis für die Erhebung und Übermittlung der personenbezogenen Daten des Klägers durch die Drittunternehmer.

Nicht zu folgen ist insoweit allerdings der in der Kommentarliteratur teilweise vertretenen Ansicht, dass dem gemeinsam Verantwortlichen die Möglichkeit der Entlastung durch Art. 26 Abs. 3 DSGVO versagt wird (so Auernhammer/Schreibauer, aaO., Art. 26, Rn. 18). Zwar besagt Art. 26 Abs. 3 DSGVO, dass die betroffene Person ungeachtet der Einzelheiten der Vereinbarung der gemeinsam Verantwortlichen ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen kann. Für Schadensersatzansprüche enthält Art. 82 DSGVO in den Absätzen 3 und 4 aber eine speziellere Regelung, die neben einer angelegten gesamtschuldnerischen Haftung dem Verantwortlichen unter den hohen Voraussetzungen des Art. 82 Abs. 3 DSGVO auch einen individuellen Entlastungsbeweis ermöglicht (Spoerr in BeckOK DatenschutzR, aaO., DS-GVO Art. 26 Rn. 63). Ohnehin wird vertreten, dass die Regelung in Art. 26 Abs. 3 DSGVO nur die in Kapitel 3 der DSGVO geregelten Rechte betrifft, d.h. die in Art. 12 bis 23 DSGVO geregelten Rechte (vgl. Bertermann in Ehmann/Selmayr, aaO., Art. 26, Rn. 29), bzw. dass Art. 26 Abs. 3 DSGVO dem Betroffenen zwar die Geltendmachung gegenüber jedem Verantwortlichen ermöglicht, die Verpflichtung zur Erfüllung sich aber nach der getroffenen Vereinbarung richtet (so Piltz in Gola/Heckmannn, DSGVO, 3. Aufl. 2022, Art. 26, Rn. 35 f.).

Die Beklagte hat aber den Nachweis, dass sie in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist, nicht geführt. Die Beklagte hat insoweit lediglich die gem. Art. 26 DSGVO mit den Drittunternehmern geschlossene Vereinbarung vorgelegt. Dahinstehen kann, ob sie allein deshalb schon davon ausgehen durfte, dass der Betreiber der Website die erforderliche Sorgfalt beim Einholen der Einwilligung walten lässt. Selbst wenn dies der Fall wäre, müsste die Beklagte zumindest darlegen und ggf. beweisen, dass sie keine Kenntnis von der fehlerhaften Implementierung der Business Tools auf den Drittseiten z….de und m….de hatte – etwa aufgrund der Beschwerden anderer Kunden. Hierzu fehlt jeglicher Vortrag.

5. Die Höhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO richtet sich nach nationalem Recht, da die Datenschutz-Grundverordnung keine Regeln für die Bemessung des nach Art. 82 DSGVO geschuldeten Schadensersatzes festlegt. Der Schadensersatz ist daher nach § 287 ZPO unter Beachtung der unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität zu schätzen. Entscheidend ist, welcher Betrag erforderlich ist, um einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherzustellen, wie im 146. Erwägungsgrund der DSGVO ausgeführt, wobei weder der Grad des Verschuldens noch das Bestehen eines Unterlassungsanspruchs anspruchsmindernd zu berücksichtigen sind (vgl. EuGH, Urteil vom 04.09.2025, C-655/23, Rn. 69, 72 f., 83).

Zu berücksichtigen ist insoweit, dass die Datenverarbeitung durch die Beklagte besonders umfassend ist, da sie potenziell unbegrenzte Daten über die Online-Aktivitäten ihrer Nutzer betrifft, und das Gefühl auslösen kann, dass das Privatleben der Nutzer kontinuierlich überwacht wird (OLG Dresden, aaO., Rn. 197; OLG Jena, Urteil vom 02.03.2026, 3 U 31/25, BeckRS 2026, 2610, Rn. 156). Insbesondere besteht die Gefahr, dass die Beklagte auch bei verweigerter Einwilligung die über die Business Tools erlangten Daten zur Erstellung eines detaillierten Profils des Nutzers verwendet (OLG Dresden, aaO., Rn. 197). Zudem ist aus Sicht des Klägers nicht auszuschließen, dass auch besonders sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO, etwa Gesundheitsdaten oder Daten zur sexuellen Orientierung, von der streitgegenständlichen Datenverarbeitung betroffen sind, denn für eine Übermittlung sensibler Daten genügt es schon, dass der Kläger auf einer Seite wie zeit.de Artikel mit entsprechenden Themen anklickt, und dem Kläger dürfte es wie jedem sonstigen Internet-Nutzer nicht möglich sein, seine Bewegungen im Internet im Nachhinein im Detail nachzuvollziehen (vgl. OLG Jena, Urteil vom 02.03.2026, 3 U 31/25, BeckRS 2026, 2610, Rn. 90). Das Gefühl umfassender Beobachtung kann insoweit dazu Anlass geben, davon abzusehen, derartige Artikel anzuklicken bzw. Webseiten mit derartigen Themen aufzusuchen (vgl. OLG Dresden, aaO., Rn. 197; OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 356).

Der Senat hält aus diesen Gründen einen Schadensersatzbetrag in Höhe von 500,00 € für angemessen.

6. Ein weitergehender Schadensersatzanspruch steht dem Kläger auch unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts nicht zu.

Der Umstand, dass dem Kläger ein Schadensersatzanspruch nach Art. 82 DSGVO zusteht, schließt einen Schadensersatzanspruch nach Art. 823 Abs. 1 BGB wegen Verletzung des allgemeinen Persönlichkeitsrechts nicht aus (BGH, Urteil vom 29.07.2025, VI ZR 426/24, Rn. 36). Das allgemeine Persönlichkeitsrecht umfasst auch das Recht auf informationelle Selbstbestimmung, das gewährleistet, dass Informationen über eine Person vor intransparenter Verarbeitung und Nutzung durch Private geschützt sind (Grüneberg/Retzlaff, aaO., § 823, Rn. 132).

Nach der ständigen Rechtsprechung des Bundesgerichtshofs begründet die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung jedoch nur, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Ob eine so schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, kann nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Die Zubilligung einer Geldentschädigung unter den genannten Voraussetzungen findet ihre sachliche Berechtigung in dem Gedanken, dass das Persönlichkeitsrecht gegenüber schwerwiegenden Beeinträchtigungen anderenfalls ohne ausreichenden Schutz bliebe mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmern würde (BGH, Urteil vom 12.03.2024, VI ZR 1370/20, Rn. 70).

Ein schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, der nicht in anderer Weise als durch Zahlung einer Geldentschädigung befriedigend aufgefangen werden könnte, liegt im vorliegenden Fall nicht vor (vgl. OLG Naumburg, aaO., Rn. 366 f.; OLG München, GRUR-RS 2025, 36464, Rn. 116 ff.; OLG Dresden, Urteil vom 17.03.2026, 4 U 709/25, Urteilsumdruck S. 33; OLG Hamm, Urteil vom 09.03.2026, I-8 U 13/25, Urteilsumdruck S. 38; a.A. OLG Dresden, Urteil vom 12.03.2026, Az. 17 U 625/25, Urteilsumdruck S. 68). Zu berücksichtigen ist, dass der Kläger für den datenschutzrechtlichen Verstoß der Beklagten bereits immateriellen Schadensersatz nach Art. 82 DSGVO erhält. Die vom Kläger erlittene Beeinträchtigung wird ferner dadurch aufgefangen, dass im vorliegenden Verfahren die Verarbeitung der ihr via Business Tool übermittelten Daten des Klägers untersagt wird (vgl. OLG München, GRUR-RS 2025, 36464, Rn. 121). Außerdem ist zu berücksichtigen, dass der Kläger nach wie vor I... nutzt und allein dadurch der Beklagten schon unzählige Daten liefert.

7. Der Schadensersatzbetrag von 500,00 € ist gem. §§ 291 Abs. 1, 288 Abs. 1 Satz 2 BGB ab Rechtshängigkeit, d.h. ab dem 20.01.2024 mit 5 Prozentpunkten über dem Basiszinssatz zu verzinsen. Ein weitergehender Anspruch auf Verzinsung bereits ab dem 05.12.2023 besteht nicht, da der Kläger den von der Beklagten bestrittenen Zugang seiner Mahnung vom 06.11.2023 nicht nachgewiesen hat.

Den Volltext der Entscheidung finden Sie hier:

KG Berlin
Urteil vom 30.04.2026
20 VKl 1/25

Das KG Berlin hat entschieden, dass die Verbandsklage der niederländischen Stiftung SOMI gegen "X" wegen behaupteter Datenschutzverstöße unzulässig ist. Es fehlt bei den geltend gemachten Ansprüchen an der Gleichartigkeit gemäß § 15 Abs. 1 VDuG. Ob ein ersatzfähiger Schaden durch Kontrollverlust oder individuelle Ängste vorliegt, hängt nach Auffassung des Gerichts maßgeblich von den persönlichen Verhältnissen jedes einzelnen Nutzers ab und entzieht sich einer pauschalen Feststellung.

Die Pressemitteilung des Gerichts:
Kammergericht: Verbandsklage gegen „X“ wegen Datenschutzverletzungen unzulässig

Das Kammergericht hat heute die Verbandsklage der niederländischen Stichting Onderzoek Marktinformatie (SOMI) gegen die Betreiberin des sozialen Netzwerks „X“ wegen behaupteter Datenschutzverletzungen als unzulässig abgewiesen. Die von SOMI geltend gemachten Schadensersatzansprüche der Verbraucher seien für die erstrebte kollektive Rechtsverfolgung nicht geeignet. Ob den betroffenen Verbrauchern tatsächlich ein Schaden entstanden sei, könne nur im jeweiligen Einzelfall entschieden werden.

Mit ihrer Abhilfeklage – einer besonderen Form der Verbandsklage – forderte SOMI für jeden in Deutschland registrierten Nutzer von „X“ mindestens 750 Euro Schadensersatz im Zusammenhang mit der Datenverarbeitung sowie zusätzlich mindestens 250 Euro für jeden Nutzer, der von einem konkreten Datenleck betroffen war. SOMI machte im Rahmen der beanstandeten Datenverarbeitung insbesondere geltend, dass „X“ ohne wirksame Einwilligung extensiv Daten über seine Nutzer sammle, zusammenführe und auswerte, um personalisierte Werbung zu schalten und Nutzer zu beeinflussen (siehe auch die hiesige Pressemitteilung Nr. 19/2025 vom 22. Mai 2025).

Mithilfe der Abhilfeklage können Verbraucherverbände im Wesentlichen gleichartige Ansprüche von Verbrauchern gegen Unternehmer geltend machen. Wesentlich gleichartig sind die Ansprüche dann, wenn es im Kern um denselben Sachverhalt geht und die Ansprüche der Verbraucher von den gleichen Sach- und Rechtsfragen abhängen.

Nach Auffassung des Kammergerichts sind die von SOMI geltend gemachten Ansprüche der Verbraucher nicht gleichartig, weil sie maßgeblich von den individuellen Verhältnissen der Verbraucher abhängen. Schadensersatzansprüche der Verbraucher bestünden nur, wenn die Verstöße gegen die Datenschutzgrundverordnung auch zu einem Schaden beim jeweiligen Verbraucher geführt hätten. Ein solcher Schaden könne anerkanntermaßen zwar schon in dem bloßen Verlust der Kontrolle über die eigenen personenbezogenen Daten liegen. Es hänge jedoch maßgeblich von den individuellen Verhältnissen eines jeden Verbrauchers ab, ob tatsächlich und – wenn ja – in welchem Umfang und für welche Dauer ein angemessen zu entschädigender Kontrollverlust vorliege. Auch schadensvergrößernde Umstände, wie mit dem Kontrollverlust einhergehende Ängste oder andere negative Gefühle, könnten nur individuell festgestellt werden. Dies gelte auch für die missbräuchliche Verwendung personenbezogener Daten durch Dritte, welche den Schaden ebenfalls vergrößern könne.

Die Entscheidung ist noch nicht rechtskräftig. Es besteht die Möglichkeit, binnen eines Monats Revision beim Bundesgerichtshof einzulegen.

Kammergericht, Urteil vom 30. April 2026, Aktenzeichen 20 VKl 1/25

Maßgebliche Vorschriften:
§ 15 Abs. 1 Verbraucherrechtedurchsetzungsgesetz (VDuG)

Die Abhilfeklage ist nur zulässig, wenn die von der Klage betroffenen Ansprüche von Verbrauchern im Wesentlichen gleichartig sind. Das ist der Fall, wenn
die Ansprüche auf demselben Sachverhalt oder auf einer Reihe im Wesentlichen vergleichbarer Sachverhalte beruhen und
für die Ansprüche die im Wesentlichen gleichen Tatsachen- und Rechtsfragen entscheidungserheblich sind.

VG Ansbach
Beschluss vom 01.04.2026
AN 14 K 26.1164

Das VG Ansbach hat entschieden, dass für Schadensersatzansprüche aus Art. 82 DSGVO gegen Behörden und öffentliche Stellen der ordentliche Rechtsweg und nicht der Verwaltungsrechtsweg eröffnet ist.

Aus den Enstcheidungsgründen:
Das Verfahren ist nach Anhörung der Beteiligten gemäß § 173 Satz 1 VwGO i.V.m. § 17a Abs. 2 Satz 1 GVG an das Amtsgericht Nürnberg zu verweisen.

Der Kläger fordert im Klagewege von der Beklagten Schadensersatz nach Art. 82 DS-GVO in Höhe von zuletzt mindestens 20.000 EUR wegen rechtswidriger Speicherung seiner personenbezogenen Daten durch das Bundesamt für Migration und Flüchtlinge. Diese Klage wurde mit Beschluss vom 1. April 2026 von der zeitgleich erhobenen Klage auf Löschung der personenbezogenen Daten abgetrennt.

1. Der hinsichtlich der Schadensersatzklage beschrittene Verwaltungsrechtsweg ist im Sinne des § 173 Satz 1 VwGO, § 17a Abs. 2 Satz 1 GVG unzulässig. Bei dem geltend gemachten Anspruch aus Art. 82 DS-GVO handelt es sich um einen Schadensersatzanspruch aus der Verletzung öffentlichrechtlicher Pflichten im Sinne des § 40 Abs. 2 Satz 1 Halbs. 1 VwGO, sodass demnach der ordentliche Rechtsweg gegeben ist (im Ergebnis ebenso: VG Köln U.v. 23.2.2023 – 13 K 278/21 –, BeckRS 2023, 16294 Rn. 14; VG Stade Verweisungsbeschluss v. 7.8.2025 – 10 A 624/24 –, BeckRS 2025, 22882 Rn. 3; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 –, BeckRS 2025, 36628 Rn. 3).

Eine Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DS-GVO, da diese Vorschrift nur die internationale Zuständigkeit regelt (vgl. VG Köln U.v. 23.2.2023 – 13 K 278/21 –, BeckRS 2023, 16294 Rn. 15 m.w.N.; VG Stade Verweisungsbeschluss v. 7.8.2025 – 10 A 624/24 –, BeckRS 2025, 22882 Rn. 5; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 –, BeckRS 2025, 36628 Rn. 4; Quaas in BeckOK Datenschutzrecht, 54. Ed. Stand: 1.11.2025, DS-GVO Art. 82 Rn. 46-46.3).

2. Damit ist der Rechtsstreit an das Amtsgericht Nürnberg als sachlich und örtlich zuständiges Gericht des ordentlichen Rechtswegs zu verweisen, § 173 Satz 1 VwGO i.V.m. § 17a Abs. 2 Satz 1 GVG.

Der Schadensersatzanspruch aus Art. 82 DS-GVO ist kein Amtshaftungsanspruch im Sinne des Art. 34 Satz 2 GG, sodass eine ausschließliche sachliche Zuständigkeit der Landgerichte gemäß § 71 Abs. 2 Nr. 2 GVG nicht gegeben ist (vgl. BFH, B.v. 28.6.2022 – II B 93/21 –, juris Rn. 14 ff.; BSG, B.v. 6.3.2023 – B 1 SF 1/22 R –, juris Rn. 19 ff.; VG Stuttgart, U.v. 20.6.2024 – 14 K 870/22 –, juris Rn. 23 ff.; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25, BeckRS 2025, 36628 Rn. 13 ff.).

Die sachliche Zuständigkeit richtet sich vielmehr nach § 1 ZPO i.V.m. §§ 23 Nr. 1, 71 Abs. 1 GVG, wonach Streitigkeiten über Ansprüche, deren Gegenstand an Geld oder Geldeswert die Summe von zehntausend Euro nicht übersteigt, von der Zuständigkeit der Amtsgerichte umfasst sind. Insoweit ist das mit der Klage verfolgte wirtschaftliche Interesse zu ermitteln, wobei den Wertangaben der Parteien, insbesondere des Klägers (§§ 253 Abs. 3, 495 ZPO), wenn sie nicht offensichtlich unzutreffend sind, erhebliches Gewicht zukommt, diese aber für das Gericht nicht bindend sind (vgl. Wendtland in BeckOK ZPO, 59. Ed. Stand: 1.12.2025, § 3 Rn. 1).

Der Kläger bezifferte die begehrte Schadensersatzhöhe in der Klageschrift vom 25. Dezember 2025 mit 1.000 EUR, in späteren Schriftsätzen mit mindestens 20.000 EUR. Die ausgeurteilten Schadensersatzansprüche aus Art. 82 DS-GVO bewegen sich bislang im unteren bis mittleren vier- oder dreistelligen Bereich (vgl. Quaas in BeckOK Datenschutzrecht, 54. Ed. Stand: 1.11.2025, DS-GVO Art. 82 Rn. 34 f.). Angesichts dessen erscheint die Angabe von 20.000 EUR offensichtlich unzutreffend, zumal Anhaltspunkte für eine Atypik des Falls des Klägers, die eine derart gravierend von der bisherigen Rechtsprechung abweichende Schadensersatzhöhe rechtfertigen könnten, weder vorgetragen noch erkennbar sind. Das objektive wirtschaftliche Interesse des Klagebegehrens liegt nach Auffassung des Gerichts jedenfalls unter 10.000 EUR, sodass die sachliche Zuständigkeit der Amtsgerichte eröffnet ist.

Örtlich zuständig ist vorliegend im Hinblick auf den Sitz des Bundesamts für Migration und Flüchtlinge in Nürnberg das Amtsgericht Nürnberg nach §§ 12, 17 Abs. 1 ZPO i.V.m. Art. 5 Abs. 2 Nr. 53 GerOrgG.

Die Entscheidung über die Kosten bleibt gemäß § 173 Satz 1 VwGO i.V.m. § 17b Abs. 2 Satz 1 GVG der Endentscheidung des Amtsgerichts Nürnberg vorbehalten.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Urteil vom 02.04.2026
29 K 7351/23

Das Verwaltungsgericht Düsseldorf hat entschieden, dass die Versendung von E-Mails unter Verwendung einer Transportverschlüsselung (z. B. TLS) keinen Verstoß gegen die DSGVO darstellt. Eine Ende-zu-Ende-Verschlüsselung ist zur Einhaltung der Anforderungen an die Sicherheit der Verarbeitung nach Art. 32 DSGVO für die Kommunikation von nicht sensiblen Daten nicht zwingend erforderlich.

Aus den Entscheidungsgründen:
Die Einzelrichterin ist für die Entscheidung zuständig, nachdem ihr der Rechtsstreit durch Beschluss der Kammer vom 23. Februar 2026 gemäß § 6 Abs. 1 Satz 1 Verwaltungsgerichtsordnung (VwGO) zur Entscheidung übertragen worden ist.

Das Gericht kann gemäß § 101 Abs. 2 VwGO ohne mündliche Verhandlung entscheiden, weil die Beteiligten hierzu ihr Einverständnis erklärt haben.

Die insgesamt zulässige Klage hat nur in dem aus dem Tenor ersichtlichen Umfang Erfolg. Hinsichtlich der Klageanträge zu 1. und 2. ist die Klage unbegründet. Soweit der Kläger mit dem Hilfsklageantrag zu 3. bezüglich der Nichtmeldung des Datenschutzverstoßes und bezüglich des Datenschutzverstoßes selbst die Verpflichtung zur Neubescheidung über seine Beschwerde begehrt, ist die Klage ebenfalls unbegründet. Im Übrigen ist sie mit ihrem Hilfsklageantrag zu 3. begründet. Der Kläger hat einen Anspruch auf Neubescheidung seiner Beschwerde, soweit sie die verspätete Datenschutzauskunft durch die Beschwerdegegnerin zum Gegenstand hat (§ 113 Abs. 5 Satz 2 VwGO).

Die Klage ist zulässig, insbesondere als Verpflichtungsklage gemäß § 42 Abs. 1 Alt. 2 VwGO statthaft.

Die von dem Kläger begehrte andere Entscheidung über seine Beschwerde stellt - ebenso wie das Schreiben der Beklagten vom 16. November 2022 - einen Verwaltungsakt im Sinne von § 35 Satz 1 des Verwaltungsverfahrensgesetzes (VwVfG) dar. Insbesondere zielt es auf die Herbeiführung unmittelbarer Rechtswirkungen ab. Aus der Begründung ergibt sich, dass die Beklagte das Schreiben als Aufsichtsbehörde im Rahmen ihrer Befugnisse nach Art. 58 DSGVO erstellt hat. Dabei ist unschädlich, dass dieses weder als „Bescheid“ noch als „Verfügung“ oder in ähnlicher Weise bezeichnet wird. Denn inhaltlich stellt es eine auf unmittelbare Rechtswirkung nach außen gerichtete Entscheidung der Beklagten über den weiteren Fortgang - nämlich die Beendigung - des Beschwerdeverfahrens dar.

Vgl. zur Einordnung der abschließenden Beschwerdeentscheidung der Aufsichtsbehörde als Verwaltungsakt: VG Düsseldorf, Urteil vom 20. November 2025 - 29 K 3939/23 -, juris Rn 20 m.w.N.; VG Mainz, Urteil vom 16. Januar 2020 - 1 K 129/19.MZ -, juris Rn. 26 f. Vgl. auch zur Rechtsverbindlichkeit der Beschlüsse einer Aufsichtsbehörde: EuGH, Urteil vom 07.12.2023 - C-26/22 -, juris Rn. 50.

Die Klage ist rechtzeitig innerhalb der gemäß § 58 Abs. 2 VwGO geltenden Jahresfrist erhoben worden. Der Bescheid vom 16. November 2022 enthält keine Rechtsbehelfsbelehrung.

Der Kläger ist klagebefugt im Sinne von § 42 Abs. 2 VwGO, weil es nach seinem Vorbringen jedenfalls möglich ist, dass er durch die Einstellung des Beschwerdeverfahrens in eigenen subjektiv-öffentlichen Rechten nach Art. 57 Abs. 1 Buchst. f, 77 Abs. 1 DSGVO verletzt ist.

Vgl. VG Hamburg, Urteil vom 1. Juni 2021 - 17 K 2977/19 -, Rn. 41 ff.; VG Ansbach, Urteil vom 7. Dezember 2020 - An 14 K 18.02503 -, juris Rn. 25; OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 - 10 A 10613/20 -, juris Rn. 29.

Die Klage ist mit ihren Klageanträgen zu 1. und 2. aber unbegründet. Der Bescheid vom 16. November 2022 ist insoweit rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Der Kläger hat gegenüber der Beklagten keinen Anspruch auf das Ergreifen der begehrten Aufsichtsmaßnahmen (§ 113 Abs. 5 Satz 1 VwGO).

Rechtsgrundlage für die streitgegenständliche Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorschriften über den Datenschutz verstößt. Als Datenschutzaufsichtsbehörde muss sich die Beklagte im Rahmen ihrer Zuständigkeit mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten (Art. 57 Abs. 1 Buchst. f DSGVO).

Bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO handelt es sich um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt.

Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Die Aufsichtsbehörde ist nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, eine Beschwerde mit aller gebotenen Sorgfalt zu bearbeiten. Hierzu verleiht ihr Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse.

Vgl. EuGH, Urteil vom 16. Juli 2020 - C-311/18 -, juris Rn.109, 111.

Über den Einsatz der sich aus Art. 58 Abs. 1 DSGVO ergebenden Untersuchungsbefugnisse sowie den Umfang der Untersuchung entscheidet die Aufsichtsbehörde nach pflichtgemäßem Ermessen entsprechend der Sachlage im Einzelfall.

Vgl. Matzke, in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.02.2026, DSGVO Art. 57 Rz 17.

Stellt die Aufsichtsbehörde sodann am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt.

Vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22 -, juris Rn. 47 ff.

Hiervon ausgehend richtet sich die gerichtliche Prüfung der Beschwerdeentscheidung nach § 114 Abs. 1 VwGO.
Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, das Beschwerdeverfahren einzustellen, nicht erkennbar.

Dies ergibt sich für den mit dem Klageantrag zu 1. geltend gemachten Sachverhalt bereits daraus, dass ein Datenschutzverstoß nicht vorliegt. Die Datenverarbeitung durch die verarbeitende Beschwerdegegnerin war rechtmäßig. Eine Ende-zu-Ende-Verschlüsselung bei elektronischer Kommunikation mit dem Kläger war weder allgemein noch in der Unfallsache geboten.

Die Datenverarbeitung der personenbezogenen Daten des Klägers durch die Verantwortliche in Form der Offenlegung durch die Anzeige des Verkehrsunfalls mit E-Mail vom 21. Januar 2022 sowie in Form der Übermittlung des an sie gerichteten Schreibens der Prozessbevollmächtigten des Klägers vom 2. März 2022 an die KFZ-Haftpflichtversicherung bzw. den für diese tätigen Versicherungsvertreter war gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO zulässig. Nach dieser Bestimmung ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen der Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ein berechtigtes Interesse der Verantwortlichen liegt vor. Als Versicherungsnehmerin durfte das verantwortliche Busunternehmen den Namen des Klägers als Unfallgeschädigtem zum Zwecke der Schadensabwicklung des Verkehrsunfalls ihrer Versicherung melden. Soweit im E-Mail-Verteiler neben der „[...]“ auch „[...]“ aufgeführt wird, handelt es sich angesichts des identischen Namens „[...]“ ersichtlich um ein- und denselben Adressaten. Herr [...] scheint der bei der [...] zuständige Versicherungsvertreter für die Beschwerdegegnerin zu sein.

Die Übermittlung der personenbezogenen Daten des Klägers per E-Mail war auch hinsichtlich der Sicherheit der Datenverarbeitung datenschutzkonform und verstößt nicht gegen Art. 5 Abs. 1 Buchst. f DSGVO. Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dieser Grundsatz wird in Art. 32 DSGVO konkretisiert. Diese Vorschrift sieht vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem risikoangemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 1. HS DSGVO). Diese Maßnahmen schließen gegebenenfalls unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein (Art. 32 Abs. 1 2. HS Buchst. a DSGVO).

Als Maßnahme zur Gewährleistung der Datensicherheit hat die Beschwerdegegnerin eine solche Verschlüsselung vorgenommen. Mangels gegenteiliger Anhaltspunkte durfte die Beklagte bei ihrer Prüfung davon auszugehen, dass die bei der Kommunikation zwischen der Beschwerdegegnerin und ihrer Versicherung beteiligten E-Mail-Anbieter eine Transportverschlüsselung einsetzen und dadurch die personenbezogenen Daten des Klägers in Form seines Namens und Vornamens während des Versands verschlüsselt worden sind.

Nachrichten, die per E-Mail versendet werden, unterliegen einer Transportverschlüsselung. Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. Allerdings werden E-Mails beim Versand über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.

Vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt.

Diese Technik gewährleistete im vorliegenden Fall gleichwohl ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 Abs. 1 1. HS DSGVO.

Bei der Beurteilung des angemessenen Schutzniveaus sind gemäß Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Das Risiko bestimmt sich nach der möglichen Schwere des Schadens und nach der Wahrscheinlichkeit, mit der der Schaden eintritt.

Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 4. Auflage 2026, Art. 32 DSGVO, Rn. 50.
Anders als bei einer Ende-zu-Ende-Verschlüsselung, bei der nicht die einzelnen Abschnitte des Versandkanals verschlüsselt werden, sondern die E-Mails selbst, so dass weder die beteiligten E-Mail-Anbieter die E-Mail lesen können, noch potentielle Angreifer die Möglichkeit haben, die E-Mails unterwegs zu lesen oder zu manipulieren,

vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt,

Bei einer Transportverschlüsselung ein unbefugter Zugang zu personenbezogenen Daten nicht vollständig ausgeschlossen werden. Das birgt für den Kläger aber kein erhöhtes Risiko. Im Raum stand, dass ein unbefugter Dritter Kenntnis von dem in beiden E-Mails enthaltenen Namen des Klägers erlangt. Diese Daten sind nicht sensibel und bedürfen keines besonderen Schutzes. Die im Melderegister für ihn angeordnete Auskunftssperre ändert daran nichts. Der Name des Klägers ist nicht geheim, sondern im Internet frei zugänglich. Dasselbe gilt für seine Firma. Der Kläger verwendet kein Pseudonym. Sein Name wird daher nicht erst bei unbefugtem Zugang Dritter zu den E-Mails bekannt. Auch die Wahrscheinlichkeit, dass ein Dritter dadurch weitere Informationen über den Kläger erlangt, ist äußerst gering. Ein Bezug zur privaten Anschrift des Klägers kann nicht hergestellt werden. Denn die für den Kläger eingetragene Auskunftssperre nach § 51 BMG bewirkt, dass Dritte keinen Zugang zu den Meldedaten erhalten. Es ist auch nicht ersichtlich, wie ein Unbefugter über die Kanzlei der Prozessbevollmächtigten des Klägers nähere Informationen über den Kläger herausfinden könnte. Diese sind hinreichend sensibilisiert. Vielmehr kann der mögliche Aufenthaltsort des Klägers bereits jetzt mit seinem Namen in Verbindung mit seiner Firma und deren Sitz im Internet auf einfache Weise ermittelt werden. Die vom Kläger angenommene Gefahr, Dritte könnten ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen, hat sich durch die Nennung seines Namens in den beiden streitgegenständlichen E-Mails nicht erhöht.

Da die Datenverarbeitung durch das Busunternehmen kein hohes Risiko für die Rechte und Freiheiten des Klägers zur Folge hat, bedurfte es auch keiner Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO.

Kann ein Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung nicht festgestellt werden, ist die Beklagte nicht gehalten, mit dem Ziel der Abstellung des Verstoßes die mit dem Klageantrag zu 1. begehrten Maßnahmen nach Art. 58 Abs. 2 DSGVO Maßnahmen zu ergreifen.

Der Klageantrag zu 2., mit dem der Kläger die Verpflichtung der Beklagten begehrt, gegenüber dem Verarbeiter eine angemessene Geldbuße zu verhängen für die Verspätung der Auskunft, die Nichtmeldung des Datenschutzverstoßes und der Datenschutzverstoß selbst, ist ebenfalls unbegründet. Der Kläger hat keinen Anspruch auf die Verhängung einer Geldbuße gemäß Art. 58 Abs. 2 Buchst. i DSGVO gegenüber der Beschwerdegegnerin. Dies ergibt sich hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst bereits daraus, dass nach den obigen Ausführungen kein Datenschutzverstoß vorliegt, und infolgedessen keine Meldung nach Art. 33 DSGVO an die Beklagte erfolgen musste. Aus diesem Grund bleibt auch dem Hilfsantrag zu 3., soweit er auf die Neubescheidung des Klägers hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst zielt, der Erfolg versagt.

In Bezug auf die Verspätung der Auskunft nach Art. 15 DSGVO liegt zwar ein Datenschutzverstoß vor. Der auf die Verhängung eines Bußgelds gerichtete Klageantrag zu 2. ist gleichwohl unbegründet.

Die Beklagte hat nicht in angemessenem Umfang überprüft, ob hinsichtlich der verspäteten Auskunftserteilung ein Verstoß gegen die Datenschutzgrundverordnung gegeben ist. Dass die gewünschte E-Mail-Auskunft zum Zeitpunkt der Entscheidung der Beklagten vorlag, ist für die Frage der fristgerechten Erfüllung des Antrags des Klägers auf Auskunft über seine personenbezogenen Daten ohne Belang. Soweit sich die Beklagte in ihrem Bescheid vom 16. November 2022 auf die Einlassung der Verantwortlichen stützt, es sei keine Identifikation für ein Auskunftsbegehren möglich gewesen, schließt dies einen Verstoß gegen Art. 12 Abs. 3 Satz 1 DSGVO nicht aus.

Der Antrag des Klägers auf Auskunft über seine personenbezogenen Daten gemäß Art. 15 Abs. 1 DSGVO an die Beschwerdegegnerin datiert vom 12. April 2022. Auskunft erteilt wurde mit der anwaltlichen Stellungnahme der Beschwerdegegnerin vom 26. Oktober 2022. Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die einmonatige Frist hat die Beschwerdegegnerin nicht eingehalten. Sie hat den Kläger auch nicht über eine Fristverlängerung oder die Gründe für die Verzögerung unterrichtet (Art. 12 Abs. 3 Satz 3 DSGVO). Anders als die Verantwortliche geltend macht, war der Kläger auch identifizierbar. Der Antrag vom 12. April 2022 wurde weder anonym noch unter einem Pseudonym gestellt. Zwar wird nur der Name des Klägers ohne Privatanschrift angegeben. Das Schreiben wurde jedoch von den Prozessbevollmächtigten des Klägers übersendet, die sich bereits Schreiben vom 2. März 2022 an die Beschwerdegegnerin gewendet und darin neben dem Namen des Klägers auch den zugrunde liegenden Sachverhalt (Verkehrsunfall in F. am 20. Januar 2022) benannt haben. Damit war der Verantwortlichen eine Zuordnung des Klägers ohne weiteres möglich.

Der auf Verhängung einer Geldbuße gerichtete Klageantrag zu 2. hat dennoch keinen Erfolg. Ein gerichtlich im Wege der Verpflichtungsklage durchsetzbarer Anspruch gegen die Beklagte auf Ergreifen der Maßnahme nach Art. 58 Abs. 2 Buchst. i DSGVO besteht in Anbetracht des der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zustehenden Auswahlermessens nur, wenn das Ermessen der Beklagten auf null reduziert ist. Dies ist vorliegend nicht der Fall, zumal von drei behaupteten Datenschutzverstößen nur einer gegeben ist, der zudem angesichts der später erteilten Auskunft nicht schwer wiegt.

Der Kläger hat aber, soweit er sich über die verspätete Auskunft beschwert hat, gegenüber der Beklagten einen Anspruch auf ermessensfehlerfreie Entscheidung über das Ergreifen von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO unter Beachtung der Rechtsauffassung des Gerichts (§ 113 Abs. 5 Satz 2 VwGO) mit der Folge, dass der Hilfsantrag zu 3. insoweit Erfolg hat. Die Beklagte konnte ihre Ermessenserwägungen dazu im gerichtlichen Verfahren nicht wirksam nachholen, weil sie die nicht fristgerechte Erteilung der begehrten Datenschutzauskunft im Bescheid nicht als Verstoß erkannt und deshalb ihr Auswahlermessen nicht ausgeübt hat.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 16.04.2026
C‑205/25
J.L. gegen Bayerisches Landesamt für Datenschutzaufsicht

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, wenn sie im Rahmen eines Beschwerdeverfahrens gemäß Art. 77 DSGVO tätig wird. Der Betroffene hat somit einen Auskunftsanspruch aus Art. 15 DSGVO. Nationale Rechtsvorschriften, wie etwa Art. 20 Abs. 2 des Bayerischen Datenschutzgesetzes (BayDSG), die diesen Auskunftsanspruch gegenüber der Datenschutzbehörde ausschließen, widersprechen Art. 23 DSGVO.

Ergebnis der Schlussanträge:
1. Art. 15 in Verbindung mit Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) st dahin auszulegen, dass eine Aufsichtsbehörde im Sinne von Art. 4 Nr. 21 dieser Verordnung, wenn sie im Rahmen eines Beschwerdeverfahrens gemäß deren Art. 77 tätig wird, auch die Eigenschaft eines „Verantwortlichen“ im Sinne der genannten Verordnung aufweist und somit verpflichtet ist, der betroffenen Person das in Art. 15 der Verordnung vorgesehene Auskunftsrecht zu garantieren.

2. Art. 23 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Vorschrift wie der in Art. 20 Abs. 2 des Bayerischen Datenschutzgesetzes vorgesehenen entgegensteht, die das Bestehen eines auf Art. 15 dieser Verordnung gestützten Auskunftsrechts gegenüber der bayerischen Datenschutzbehörde als solches ausschließt.

Die vollständigen Schlussanträge finden Sie hier: