BGH
Urteil vom 10.12.2025 II ZR 132/24
DSGVO Art. 6 Abs. 1 Unterabs. 1 lit. b
Der BGH hat entschieden, dass die Vorgaben der DSGVO der Mitteilung der E-Mail-Adressen der anderen Vereinsmitglieder an ein Vereinsmitglied im Vorfeld einer Mitgliederversammlung nicht entgegenstehen.
Leitsatz des BGH:
Ein Vereinsmitglied hat ein berechtigtes Interesse an der Mitteilung der E-MailAdressen der anderen Vereinsmitglieder, wenn es mit diesen im Vorfeld einer Mitgliederversammlung Kontakt aufnehmen will, um auf deren Abstimmungsverhalten Einfluss zu nehmen. Einem solchen Auskunftsbegehren stehen auch nicht die Regelungen der Datenschutz-Grundverordnung entgegen.
BGH, Urteil vom 10. Dezember 2025 - II ZR 132/24 - OLG München - LG München I
Der BGH hat entschieden, dass eine Forderung nicht erölischt, wenn bei einer "Man-in-the-Middle"-Attacke die Bankverbindung auf einer Rechnung manipuliert wird und der Schuldner auf das falsche Konto überweist.
Leitsatz des BGH:
Die Gefahr des Verlusts bei einer Geldüberweisung geht bei einem unwahrscheinlichen Kausalverlauf (hier: Fälschung einer Kontobezeichnung durch einen unbekannten Dritten) nicht nach dem Rechtsgedanken des § 270 Abs. 3 BGB i.V.m. § 242 BGB auf den Gläubiger über.
BGH, Urteil vom 8. Oktober 2025 - IV ZR 161/24 - OLG Köln - LG Köln
Das KG Berlin hat entschieden, dass ein Nutzer zur Meldung rechtswidriger Inhalte nicht das von einer Online-Plattform nach Artikel 16 Absatz 1 Satz 1 DSA vorgehaltene Verfahren nutzen muss.
Aus den Entscheidungsgründen: Die Antragsstellerin war für die Wahrung ihrer Rechte nicht gezwungen, ein von der Antragsgegnerin nach Artikel 16 Absatz 1 Satz 1 der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Digital Services Act, im Folgenden "DSA") eingerichtetes Verfahren zu nutzen.
1. Da der Digital Services Act als Akt der europäischen Rechtsvereinheitlichung aus sich heraus gültig sein und im gesamten Geltungsgebiet denselben Inhalt haben muss, ist sie eigenständig (autonom) auszulegen. Zu berücksichtigen sind dabei neben Wortlaut, Systematik, Zweck und Entstehungsgeschichte der Verordnung die allgemeinen Rechtsgrundsätze, die sich aus der Gesamtheit der innerstaatlichen Rechtsordnungen ergeben, sowie die Gleichwertigkeit der verschiedenen Sprachfassungen und die praktische Wirksamkeit des europäischen Rechts ("effet utile").
2. Nach einer derartigen Auslegung gibt es keinen Zwang für Nutzer im Sinne von Artikel 3 Buchstabe b) DSA, für ihre Meldungen das nach Artikel 16 Absatz 1 Satz 1 DSA eingerichtete Meldeverfahren zu nutzen, um einer Online-Plattform Kenntnis von einer rechtswidrigen Tätigkeit oder rechtswidrigen Inhalten zu verschaffen.
a) Artikel 16 Absatz 1 Satz 1 DSA wendet sich seinem Wortlaut nach allein an die Online-Plattform im Sinne von Artikel 3 Buchstabe i) DSA. Diese haben gemäß Artikel 16 Absatz 1 Satz 1 DSA ein Verfahren einzurichten, nach denen Personen oder Einrichtungen ihnen das Vorhandensein von Einzelinformationen in ihren Diensten melden können, die die betreffende Person oder Einrichtung als rechtswidrige Inhalte ansieht. Ein Zwang der Nutzer, dieses Verfahren dann einzusetzen, ist nicht bestimmt (siehe auch LG Berlin II, Urteil vom 16. Juli 2025 – 2 O 268/25 eV).
b) Weder aus der Systematik, dem Zweck, der Entstehungsgeschichte der DSA noch nach den allgemeinen europäischen Rechtsgrundsätzen ergibt sich etwas anderes.
aa) Richtig ist der Hinweis in der angefochtenen Entscheidung, dass es nach Artikel 16 Absatz 3 Satz 1 DSA Meldungen, die nach dem in Artikel 16 DSA bestimmten Verfahren erstellt wurden, bewirken, dass für die Zwecke des Artikels 6 DSA von einer tatsächlichen Kenntnis oder einem Bewusstsein in Bezug auf die betreffende Einzelinformation auszugehen ist, wenn sie es einem sorgfältig handelnden Anbieter von Hostingdiensten ermöglichen, ohne eingehende rechtliche Prüfung festzustellen, dass die einschlägige Tätigkeit oder Information rechtswidrig ist.
(1) Dies sagt aber erkennbar nichts für Meldungen, die nicht nach dem durch Artikel 16 DSA ermöglichten Meldeverfahren erstellt wurden. Die Annahme der angegriffenen Entscheidung, abweichende Formen der Kenntnisverschaffung durch den Betroffenen, beispielsweise ein anwaltlicher Schriftsatz oder eine E-Mail seien ungeeignet, dem Hostingdienstanbieter in zumutbarer Weise Kenntnis von einer angeblichen Persönlichkeitsrechtsverletzung zu verschaffen, ist unzutreffend. Denn der europäische Gesetzgeber will dem Nutzer durch das Abhilfeverfahren eine leichte Möglichkeit verschaffen, eine Meldung zu erstellen. Er hält ihn aber erkennbar nicht davon ab, andere Wege zu beschreiten. Dass eine solche Meldung gegebenenfalls unzureichend ist, weil sie nicht alle Elemente enthält, die für eine Online-Plattform notwendig sind, um eine tatsächliche Kenntnis von einer rechtswidrigen Tätigkeit oder rechtswidrigen Inhalten im Sinne von Artikel 6 Absatz 1 Buchstabe a) DSA zu erlangen, ist dann freilich das Risiko des Nutzers.
(2) Auch die weitere Überlegung der angegriffenen Entscheidung, es hätte Artikel 16 Absatz 3 DSA nicht bedurft, wenn, wie bislang, jede Form der tatsächlichen Kenntnisverschaffung durch den Betroffenen genügen könnte, trägt nicht. Artikel 16 Absatz 3 DSA äußert sich seinem Wortlaut und Zweck nach nur zu "im vorliegenden Artikel genannten Meldungen". Dafür ist er notwendig und auch dann anwendbar, wenn man der angegriffenen Entscheidung nicht folgt. Der dortige Hinweis auf eine ständige deutsche Rechtsprechung geht außerdem bei der gebotenen autonomen Auslegung ins Leere. Auch die Hinweise der angegriffenen Entscheidung auf eine "richtlinienkonforme Umsetzung" sind fehlgehend.
bb) Richtig ist ferner der Hinweis in der angefochtenen Entscheidung, dass die Online-Plattformen nach Artikel 16 Absatz 6 Satz 1 DSA alle Meldungen bearbeiten müssen, die sie im Rahmen der in Absatz 1 genannten Verfahren erhalten. Diese Anordnung im Interesse der Nutzer schließt es nach Sinn und Zweck aber nicht aus, dass die Online-Plattformen auch andere Meldungen bearbeiten müssen.
cc) Für die vom Landgericht als richtig erachtete Auslegung sprechen auch nicht die Erwägungsgründe.
(1) Im Erwägungsgrund 22 heißt es insoweit wie folgt: "Der Anbieter kann diese tatsächliche Kenntnis oder dieses Bewusstsein des rechtswidrigen Charakters von Inhalten unter anderem durch Untersuchungen aus eigener Initiative oder durch Meldungen erlangen, die bei ihm von Personen oder Stellen im Einklang mit dieser Verordnung eingehen, sofern solche Meldungen ausreichend präzise und hinreichend begründet sind, damit ein sorgfältiger Wirtschaftsteilnehmer die mutmaßlich rechtswidrigen Inhalte angemessen erkennen und bewerten und gegebenenfalls dagegen vorgehen kann."
Hieraus wird deutlich, dass es in der Regel einer Meldung bedarf. Ferner wird deutlich, dass die Meldung "ausreichend präzise und hinreichend begründet" sein muss. So liegt es, wenn eine Meldung die in Artikel 16 Absatz 2 Satz 2 DSA genannten Elemente enthält.
Zur Erfüllung dieser Anforderungen muss sich ein Nutzer aber keines Meldeverfahrens bedienen. Der Erwägungsgrund nennt folgerichtig nur die Anforderungen an eine Meldung, nicht aber den Weg, wie diese zu erstellen ist.
(2) Aus Erwägungsgrund 53 folgt nichts anderes. Die Melde- und Abhilfeverfahren sollen danach die Übermittlung von Meldungen ermöglichen, die hinreichend genau und angemessen begründet sind, damit der betreffende Anbieter von Hostingdiensten in Kenntnis der Sachlage und sorgfältig eine Entscheidung, die mit der Freiheit der Meinungsäußerung und der Informationsfreiheit vereinbar ist, über die Inhalte, auf die sich die Meldung bezieht, treffen kann, insbesondere darüber, ob diese Inhalte als rechtswidrige Inhalte anzusehen und zu entfernen sind oder der Zugang zu ihnen zu sperren ist. Dass die Melde- und Abhilfeverfahren der einzige mögliche Weg sind, lässt sich dem nicht entnehmen.
(3) Ferner ist beispielsweise auf Erwägungsgrund 56 hinzuweisen. Es heißt dort "etwa über eine Meldung durch eine meldende Partei". Dass diese Meldung einen bestimmten Weg voraussetzt, ist nicht erkennbar.
dd) Der Senat weist abschließend darauf hin, dass der Digital Services Act in besonderem Maße mit Zielen des Verbraucherschutzes verbunden ist. Auch von daher ist es nicht naheliegend, dass er die Rechte der Verbraucher unnötig einengen und diese zwingen will, ein bestimmtes Meldeverfahren einzusetzen. Weder für den Nutzer noch die Online-Plattform ist damit ein anerkennenswerter Vorteil verbunden.
II. Der Senat macht – ausnahmsweise – von seinem Ermessen dahingehend Gebrauch, dass er die Sache zur anderweitigen Behandlung und Entscheidung an das Landgericht Berlin II mit der alleinigen Maßgabe zurückverweist, dass die Antragsgegnerin für die Wahrung ihrer Rechte nicht gezwungen war, ein von der Antragsgegnerin nach Artikel 16 Absatz 1 Satz 1 DSA eingerichtetes Verfahren zu nutzen.
1. Soweit die angefochtene Entscheidung aufzuheben ist, kann das Beschwerdegericht nach seinem Ermessen wählen, ob es der Beschwerde durch eigene Sachentscheidung abhilft oder die Sache an das Untergericht zurückverweist. An Aufhebungsgründe wie die des § 538 ZPO ist es nicht gebunden; allein die Zweckmäßigkeit entscheidet. Eine eigene Sachentscheidung wird regelmäßig zu treffen sein, wenn die Sache entscheidungsreif ist oder Entscheidungsreife mit geringem Aufwand herbeigeführt werden kann (Musielak/Voit/Ball, ZPO, 22. Auflage 2025, § 572 Rn. 16). Zu bedenken ist ferner, dass eine Zurückverweisung einerseits eine Verfahrensverlängerung mit der Möglichkeit eines erneuten Beschwerdeverfahrens nach sich zieht, andererseits eine eigene Sachentscheidung den Parteien aber womöglich eine Tatsacheninstanz nimmt (BeckOK ZPO/Wulf/Schulze, 57. Ed. 01.07.2025, ZPO § 572 Rn. 19).
2. Unter Berücksichtigung dieses rechtlichen Maßstabes erscheint dem Senat bei Würdigung aller Umstände des Einzelfalls die Zurückverweisung als die sachgerechteste Lösung. Im Rahmen der notwendigen Abwägungsentscheidung hat der Senat einerseits berücksichtigt, dass der Eilcharakter eines Besichtigungsantrags im Wege eines einstweiligen Verfügungsverfahrens grundsätzlich einer Zurückverweisung entgegensteht. Andererseits ist zu berücksichtigen, dass das Landgericht – wegen der unzutreffenden Auslegung von Artikel 16 DSA – noch keine Sachentscheidung getroffen hat. Eine Zurückverweisung bietet sich daher zur Vermeidung eines Instanzenverlustes an, zumal sich der zulässig gestellte Antrag nicht ohne Weiteres als unbegründet darstellt.
BGH
Urteil vom 13.05.2025 VI ZR 186/22
DSGVO Art. 82 Abs. 1
Der BGH hat entschieden, dass kein Schadensersatzanspruch aus Art. 82 DSGVO bei einem rein hypothetischen Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten besteht.
Leitsatz des BGH:
Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung gemäß Art. 82 Abs. 1 DSGVO führen.
BGH, Urteil vom 13. Mai 2025 - VI ZR 186/22 - OLG Oldenburg - LG Osnabrück
Aus den Entscheidungsgründen: bb) Jedenfalls hat der Kläger nicht dargelegt, einen immateriellen Schaden erlitten zu haben.
(1) Der bloße Verstoß gegen die Datenschutzgrundverordnung reicht nicht aus, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen "Schadens" stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die Datenschutzgrundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Insbesondere muss eine Person, die von einem Verstoß gegen die Datenschutzgrundverordnung betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 140 ff.; Senat, Urteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 28 f.; jeweils mwN).
Aus der im ersten Satz des 85. Erwägungsgrundes der Datenschutzgrundverordnung enthaltenen beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen "Verlust der Kontrolle" über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutzgrundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 145 mwN).
Nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff "immaterieller Schaden" im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der Datenschutzgrundverordnung verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt sich, dass die durch einen Verstoß gegen die Datenschutzgrundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen "immateriellen Schaden" im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 144 mwN).
Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 143 mwN).
Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht nicht aus (vgl. EuGH, Urteil vom 20. Juni 2024 - C590/22, DB 2024, 1676 Rn. 35). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519 Rn. 68).
Aus den Entscheidungsgründen: 1. Der Senat ist für die auf § 2 UKlaG gestützte Klage zuständig, da die ausschließliche (Eingangs-)Zuständigkeit des Oberlandesgerichts Frankfurt gemäß § 6 Abs. 1 Satz 1 UKlaG in der seit 13. Oktober 2023 geltenden Fassung (Art. 10 Nr. 17 Buchst. d Doppelbuchst. aa VRUG) eröffnet ist.
a) Das Oberlandesgericht Frankfurt ist gemäß § 6 Abs. 1 S. 1 UKlaG örtlich zuständig. Die Beklagte hat ihren Sitz im Bezirk des angerufenen Gerichts.
b) Darüber hinaus ist das Oberlandesgericht auch sachlich zuständig für Ansprüche aus § 2 UKlaG i.V.m. der DSGVO.
(1) Der Kläger stützt den mit der Klage geltend gemachten Unterlassungsanspruch ausweislich der Angaben in der Klagschrift (unter anderem) darauf, dass die Beklagte einer verbraucherschützenden Norm im Sinne von § 2 UKlaG zuwidergehandelt habe. Nach § 2 Abs. 1 Satz 1 UKlaG kann, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. Nach § 2 Abs. 2 Satz 2 UKlaG sind Verbraucherschutzgesetze insbesondere die dort im Einzelnen aufgeführten Normen.
(2) Bei Art. 5 Abs. 1 lit. a, lit. c, Art. 6 Abs. 1 S. 1 DSGVO handelt es sich um ein Verbraucherschutzgesetz im Sinne des § 2 UKlaG. Gemäß § 2 Abs. 2 Nr. 13 UKlaG sind Verbraucherschutzgesetze auch die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2; L 074 vom 4.3.2021, S. 35) in der jeweils geltenden Fassung, die für die Verarbeitung von Daten von Verbrauchern durch Unternehmer gelten.
(3) Die sachliche Zuständigkeit gilt nicht nur für den auf § 1 UKlaG gestützten Unterlassungsanspruch, sondern erfasst auch den weitergehend geltend gemachten Antrag auf Ersatz der Abmahnkosten. Dies folgt nicht aus § 35 ZPO bzw. dem Rechtsgedanken des § 17 Abs. 2 S. 1 GVG. Denn bei den betreffenden Anträgen handelt es sich bezogen auf den Unterlassungsanspruch um prozessual unterschiedliche Streitgegenstände (vgl. BGH, Urteil vom 14. Dezember 2017 - I ZR 184/15 -, juris Rn. 19; s. auch zur Frage der Zuständigkeit kraft Sachzusammenhangs Stein/Roth, Kommentar zur Zivilprozessordnung, 24. Auflage 2024, § 1 Rn. 10; Heinrich in: Musielak/Voit, ZPO, 21. Auflage 2024, § 1 Rn. 14). Eine Klagehäufung setzt indes gemäß § 260 ZPO voraus, dass das Prozessgericht für sämtliche Ansprüche zuständig ist (vgl. Lückemann in: Zöller, ZPO, 35. Auflage 2024, § 17 GVG Rn. 6).
Die Zuständigkeit folgt jedoch aus einer am Normzweck ausgerichteten Auslegung des § 6 Abs. 1 S.1 UKlaG. Danach erfassen „Klagen nach diesem Gesetz“ auch den Unterlassungsanspruch flankierende Annexanträge zumindest dann, wenn diese gemeinsam mit dem Unterlassungsanspruch in einer Klage geltend gemacht werden. Andernfalls würde der mit der Novellierung des Gesetzes verfolgte Zweck unterlaufen. Nach dem Willen des Gesetzgebers sollen die Oberlandesgerichte für die Klagen in erster Instanz ausschließlich zuständig sein, um die Verfahren zu beschleunigen (Köhler/Alexander in: Köhler/Bornkamm/Feddersen, 42. Aufl. 2024, UKlaG § 6 Rn. 2). Bei den Verfahren über Ansprüche nach dem UKlaG sind überwiegend Rechtsfragen zu klären, so dass eine Tatsacheninstanz ausreichend ist. Da Unterlassungsklagen nun verjährungshemmende Wirkung haben (§ 204a Abs. 1 Nr. 2 BGB), ist zu erwarten, dass sie künftig noch häufiger, insbesondere auch vor Abhilfeklagen, erhoben werden, um bestimmte Rechtsfragen vorab höchstrichterlich zu klären und das Kostenrisiko für eine Abhilfeklage zu begrenzen (BT-Drs 20/6520 S. 118). Zudem wird der bereits zuvor mit der Verortung bei den Landgerichten verfolgte Zweck der Konzentration von Sachverstand und Erfahrungswissen weiterverfolgt (§ 6 Abs. 2 UKlaG a.F.). Diese Aspekte greifen bei Annexfragen, gerichtet auf Auskunft und Folgenbeseitigung, gleichermaßen. Das Ziel der Verfahrensbeschleunigung würde konterkariert, würde man die (aus verbraucherschutzgesetzwidrigen Praktiken i.S.d. § 2 UKlaG folgenden) weiteren Ansprüche je nach Streitwert zunächst in die erstinstanzliche Zuständigkeit der Amts- bzw. Landgerichte verweisen; eine Konzentration bei den Landgerichten besteht nach geltender Rechtslage nicht mehr (Köhler/Alexander a.a.O., § 6 UKlaG Rn. 12). Zudem muss der Gefahr einander widersprechender Entscheidungen begegnet werden. Da die Zuständigkeit nach überwiegender Meinung selbst in den Fällen bejaht wird, in welchen Ansprüche auf Grund von Vertragsstrafeversprechen und Unterlassungsverträgen geltend gemacht werden (BGH, Beschluss vom 19.10.2016 - I ZR 93/15, BeckRS 2016, 20396, Rn. 22 bis 26 zu § 13 UWG; MüKoZPO/Micklitz/Rott, 6. Aufl. 2022, § 6 UKlaG, Rn. 4 m.w.N.), muss dies für Annexforderungen erst recht gelten. Zutreffenderweise ist die Zuständigkeitsregelung daher entsprechend auf Rechtsstreitigkeiten über die Erstattung von vorprozessualen Abmahnkosten anzuwenden (OLG Koblenz Urt. v. 5.12.2024 - 2 UKl 1/23, 34027 Rn. 12-16).
2. Die Klage hat in der Sache Erfolg.
Dem Kläger steht der geltend gemachte Unterlassungsanspruch aus § 2 Abs. 1, Abs. 2 Nr. 13 UKlaG i.V.m. 5 I a DSGVO zu. Die Beklagte hat beim Verkauf der Online-Tickets „Super-Sparpreis“ und „Sparpreis“ zwingend die Angabe von E-Mail-Adresse oder Telefonnummer verlangt und damit eine Datenverarbeitung verlangt, die nicht rechtmäßig ist.
a) Der Genehmigungsbescheid des BMDV vom 29.08.2023 (Anlage B1), mit dem die allgemeinen Beförderungsbedingungen genehmigt worden sind, entfaltet keine Tatbestandswirkung.
Wird ein bestimmtes Marktverhalten von der zuständigen Verwaltungs- bzw. Aufsichtsbehörde genehmigt, kommt zwar eine Einstufung als unlauter jedenfalls solange nicht in Betracht, solange die Genehmigung nicht als nichtig anzusehen ist oder in dem dafür vorgesehenen Verwaltungsrechtsverfahren aufgehoben wird (BGH GRUR 2005, 778 - Atemtest I; BGH GRUR 2008, 1014 - Amlodipin). Diese Grundsätze werden auf die Bewertung eines durch eine Verwaltungsbehörde erlaubten Handelns übertragen (OLG Hamburg GRUR-RR 2014, 218 (nachgehend BGH GRUR 2015, 1244 - Äquipotenzangabe in Fachinformation; OLG Hamburg Magazindienst 2015, 42) und finden auch im Rahmen von § 2 UKlaG Anwendung. Wird nämlich eine geschäftliche Handlung von den zuständigen Behörden als rechtlich zulässig bewertet, kann der Werbende auch auf diese Bewertung vertrauen und muss sich nicht vorsichtshalber nach der strengsten Gesetzesauslegung und Einzelfallbeurteilung erkundigen. Grundsätzlich ist zwar von einem Gewerbetreibenden zu verlangen, dass er sich Kenntnis von den für seinen Tätigkeitsbereich einschlägigen gesetzlichen Bestimmungen verschafft und in Zweifelsfällen mit zumutbaren Anstrengungen besonders sachkundigen Rechtsrat einholt. Das findet aber in der behördlichen Einstufung als zulässig seine Grenze, solange der Gewerbetreibende nicht die Rechtswidrigkeit seines Verhaltens kennt (oder sich dieser Einsicht bewusst verschließt) oder auf die Haltung der Verwaltungsbehörden in unlauterer Weise eingewirkt hat (BGH GRUR 2002, 269 - Sportwetten-Genehmigung). Sofern die zuständige Verwaltungsbehörde daher einen wirksamen Verwaltungsakt erlassen hat, der das beanstandete Marktverhalten ausdrücklich erlaubt und der weder durch die zuständige Behörde oder durch ein Verwaltungsgericht aufgehoben worden, noch als nichtig anzusehen ist, ist die Zulässigkeit des beanstandeten Verhaltens wegen der sog. Tatbestandswirkung des Verwaltungsakts einer Nachprüfung durch die Zivilgerichte nicht nur für den Rechtsbruchtatbestand des § 3a entzogen (BGH GRUR 2015, 1228 - Tagesschau-App),
Die Reichweite der Tatbestandswirkung eines Verwaltungsakts wird durch seinen Regelungsgehalt (Tenor) bestimmt (vgl. Stelkens in Stelkens/Bonk/Sachs, VwVfG, 8. Aufl., § 35 Rn. 142; BeckOK VwVfG/Schemmer, Std.: 1.4.2025, § 43 Rn. 28; Peuker in Knack/Henneke, VwVfG, 10. Aufl., § 43 Rn. 22). Der Regelungsgehalt eines Verwaltungsakts ist in entsprechender Anwendung der §§ 133, 157 BGB nach den Grundsätzen zu bestimmen, die auch für die Auslegung von Willenserklärungen gelten. Danach ist der erklärte Wille der erlassenden Behörde maßgebend, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte (BGH, WRP 2007, 1359; BVerwG NVwZ 2005, 1070; BVerwG, NJW 2013, 1832 Rn. 10). Bei der Ermittlung dieses objektiven Erklärungswerts ist in erster Linie auf den Entscheidungssatz und die Begründung des Verwaltungsakts abzustellen; darüber hinaus ist das materielle Recht, auf dem der Verwaltungsakt beruht, heranzuziehen (BGH GRUR 2015, 1228 Rn. 35; BVerwGE 126, 254 Rn. 78; Kopp/Ramsauer, VwVfG, 15. Aufl., § 43 Rn. 15).
Das Schreiben des Bundesministeriums für Digitales und Verkehr vom 29.08.2023 enthält weder einen Entscheidungssatz im eigentlichen Sinne noch eine Begründung. Seine Kernaussage beschränkt sich auf die Mitteilung, dass der Tarifantrag Nr. 23/2023 vom 10.08.2023 nach § 12 II AEG genehmigt werde. Dem Tenor ist nicht zu entnehmen, in welcher Hinsicht eine rechtliche Prüfung und Genehmigung erfolgt ist; da keine Begründung vorhanden ist, kann auch hieraus kein Rückschluss im Hinblick auf den Umfang der Bindungswirkung gezogen werden. Da der Behörde nach § 12 III AEG ein (Aufgreif- und Entscheidungs-) Ermessen zusteht, ist auch nicht davon auszugehen, dass die Tarife umfassend im Hinblick auf alle rechtlichen Fragestellungen - und damit auch bezüglich der DSGVO - Gegenstand der Prüfung und Genehmigung waren.
b) Die Speicherung von Telefonnummer und/oder E-Mail-Adresse stellt eine rechtwidrige Datenverarbeitung nach der DSGVO dar, da eine Rechtsgrundlage nicht ersichtlich ist.
(1) Diese Verarbeitung der Daten ist nicht nach Art. 6 Abs. 1 S. 1 a DSGVO durch eine Einwilligung gerechtfertigt.
aa) Der Rechtsgrund der Einwilligung der betroffenen Person für die Verarbeitung ihrer personenbezogenen Daten setzt voraus, dass eine wirksame Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO vorliegt, nämlich eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Vor allem die Freiwilligkeit ist „prägende Voraussetzung“ für die Wirksamkeit der Einwilligung. Freiwillig ist die Willensbekundung, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung ohne Nachteile zu verweigern oder zurückzuziehen (Erwägungsgrund 42 S. 5)
Wie sich aus Art. 7 Abs. 4 DSGVO ergibt, kann eine Einwilligung unfreiwillig erteilt sein, wenn die Erfüllung eines Vertrags, z.B. die Erbringung einer Dienstleistung, abhängig gemacht wird von der Einwilligung in eine Datenverarbeitung, die für die Vertragserfüllung nicht erforderlich ist. Im Ergebnis formuliert die Vorschrift ein allgemeines Koppelungsverbot. Eine Einwilligung soll nicht freiwillig erteilt sein, wenn der Betroffene faktisch keine andere Wahl hat als der Datenverarbeitung zuzustimmen, um in den Genuss einer Dienstleistung oder einer anderen vertraglichen Leistung zu kommen (BeckOK DatenschutzR/Stemmer, 52. Ed. 1.5.2025, DS-GVO Art. 7 Rn. 42; Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 73, 74).
Die Einwilligung ist daher nur dann wirksam, wenn der Verantwortliche nachweisen kann, dass die betroffene Person eine echte Wahl hatte, d.h. durch das Verweigern der Datenangaben keinen Nachteilen ausgesetzt war. Dies setzt voraus, dass ihr eine gleichwertige Alternative ohne Zwang zur Datenpreisgabe angeboten wurde. Ohne eine solche Alternative kann die digitale Zugangshürde nicht auf eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO gestützt werden.
In den Worten des EuGH: sie muss „objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der […] Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte. Der etwaige Umstand, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist insoweit für sich genommen unerheblich. Entscheidend für die Anwendung des in Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO genannten Rechtfertigungsgrundes ist nämlich, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen“.
Nach der Rechtsprechung des EuGH ist zudem eine marktbeherrschende Stellung des Verantwortlichen ein Anhaltspunkt für möglicherweise fehlende Freiwilligkeit, sofern die Einwilligung in eine Datenverarbeitung erteilt werden muss, um einen Dienst nutzen zu können. Die Nutzer seien in diesem Fall nicht in der Lage, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden. Dabei könne eine marktbeherrschende Stellung zu einem klaren Machtungleichgewicht führen, was im Rahmen des Koppelungsverbots zu berücksichtigen sei. Umgekehrt schließe eine marktbeherrschende Stellung eine wirksame Einwilligung aber auch nicht per se aus (EuGH NJW 2023, 2997 Rn. 147 ff. - Meta; Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 76).
bb) Danach kann in der Gesamtschau hier eine Freiwilligkeit der Einwilligung nicht bejaht werden.
Die Beklagte hat die Vertragserfüllung von einer Einwilligung in die Datenverarbeitung abhängig gemacht, die für die Erfüllung des Vertrages nicht erforderlich ist. Diese Erhebung der Daten war für die Erbringung der von der Beklagten geschuldeten Leistung nicht in tatsächlicher Hinsicht zwingend erforderlich. Die Beklagte konnte nicht nachweisen, inwiefern der Hauptgegenstand des Vertrags (Erbringung der Beförderungsdienstleistung) ohne die betreffende Verarbeitung nicht erfüllt werden könnte. Sie hat schon selbst nicht behauptet, dass die Beförderungsleistung ohne die Erhebung der Daten nicht erbracht werden könne. Soweit sie als Grund für die Datenverarbeitung den Einnahme-, Vervielfältigungs-, Missbrauchs- und Übertragungsschutz angibt, rechtfertigt der Schutz vor Vervielfältigung und vor Übertragung die Identifizierung der Person, wozu allerdings nur die Erhebung der Identitätsdaten des Kunden, nicht jedoch die Erhebung von E-Mail-Adresse oder Mobilfunknummer erforderlich ist. Einer potentiellen Missbrauchsgefahr kann auch dadurch begegnet werden, dass neben der Ticketnummer der Name der Kundin bzw. des Kunden (und bei Verwechslungsgefahr auch seine Adresse) angegeben wird. Bei der Ticketkontrolle kann dann durch Überprüfung der Ticketnummer und das Vorzeigen eines Ausweises festgestellt werden, ob das Ticket vervielfältigt oder an eine unberechtigte Person übertragen worden ist. Sofern ein Ticket am Schalter bezahlt und ausgedruckt worden ist und der befürchtete Missbrauch ausgeschlossen ist, besteht bei diesem Verfahren auch Einnahmeschutz.
Zwar lässt nicht jede Koppelung automatisch die Freiwilligkeit entfallen. Stattdessen muss der Koppelungssituation lediglich „in größtmöglichem Umfang Rechnung getragen werden“. Das bringt zum Ausdruck, dass es noch andere Faktoren gibt, die bei der Subsumtion unter den Begriff „freiwillig“ zu berücksichtigen sind. Der Verantwortliche muss also im Einzelfall prüfen, ob eine Drucksituation entsteht, die die Freiheit zur Willensentschließung aufhebt (zum Streitstand Kollmann ZD 2025, 73 (75 ff.); relatives Koppelungsverbot: BeckOK DatenschutzR/Stemmer, 52. Ed. 1.5.2025, DS-GVO Art. 7 Rn. 45; Paal/Pauly/Frenzel Rn. 18; Ehmann/Selmayr/Heckmann/Paschke Rn. 100, 103; aA Dammann ZD 2016, 307, 311; Golland MMR 2018, 130, 132: striktes Koppelungsverbot). Das ermöglicht eine differenzierte Bewertung, in die sämtliche Umstände einfließen müssen, die geeignet sein können, die Entschließungsfreiheit der betroffenen Person zu beeinträchtigen.
Der Senat hält hier jedoch in der Gesamtschau jedenfalls aufgrund der hinzutretenden marktbeherrschenden Stellung der Beklagten dafür, dass ein Verstoß gegen das Koppelungsverbot zu bejahen ist. Nach der Rechtsprechung des EuGH ist eine marktbeherrschende Stellung des Verantwortlichen ein Anhaltspunkt für möglicherweise fehlende Freiwilligkeit, sofern die Einwilligung in eine Datenverarbeitung erteilt werden muss, um einen Dienst nutzen zu können. Die Nutzer seien in diesem Fall nicht in der Lage, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden. Dabei könne eine marktbeherrschende Stellung zu einem klaren Machtungleichgewicht führen, was im Rahmen des Koppelungsverbots zu berücksichtigen sei (EuGH NJW 2023, 2997 Rn. 147 ff. - Meta; vgl. auch BGH WRP 2025, 72, Rnr. 44 - Scraping). Hier hat die Beklagte gerichtsbekannt eine überragende marktbeherrschende Stellung auf dem Markt des Eisenbahnfernverkehrs. Für die Betroffenen fehlt es an einem anderweitigen, zumutbaren Zugang zu gleichwertigen Leistungen am Markt. Dies gilt zum einen für Fernverkehrsangebote anderer Anbieter, die nicht in einem so signifikanten Maße vorhanden sind, dass sie in der Fläche eine adäquate Alternative darstellen könnten. Dies gilt aber auch für „interne“ Ausweichmöglichkeiten, auf die die Beklagte verweist (reguläre Tickets), da diese signifikant teurer sind.
(2) Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 S. 1 b DSGVO (Verarbeitung von Vertragsdaten) gerechtfertigt.
Dieser Rechtsgrund setzt wie Art. 7 b DS-RL (RL 95/46/EG) voraus, dass die Verarbeitung erforderlich ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Dieser Rechtsgrund erfasst die Datenverarbeitung, die in Zusammenhang mit einem Vertrag erforderlich ist. Der Begriff der „Erfüllung“ ist weit auszulegen und umfasst über die Anbahnung und Durchführung des Vertragszwecks auch die Abwicklung des Vertragsverhältnisses (Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6 Rn. 24).
Für die Erfüllung eines Vertrags ist eine Verarbeitung indes nur dann erforderlich, wenn sie für die Erfüllung der konkreten Vertragszwecke notwendig und nicht nur nützlich ist. Das setzt voraus, dass ohne die betreffenden Verarbeitungsvorgänge die zwischen den Vertragsparteien vereinbarten Vertragszwecke nicht erreicht werden können und deshalb diese Verarbeitungsvorgänge für die Erfüllung der Vertragszwecke objektiv unerlässlich sind (Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6 Rn. 25,).
Dies ist hier nicht der Fall. Die Beklagte schließt mit dem Kunden einen Beförderungsvertrag ab. Die Kundinnen und Kunden möchten zu einem günstigen Preis mit einer Bahn an einem bestimmten Tag von A nach B fahren. Hierfür zahlen sie der Beklagten den Fahrpreis. Der Hauptgegenstand des Vertrags ist jedoch nicht im Generieren eines validen und zugleich digitalen Sparpreistickets zu sehen. Das Ticket dient nur dem Nachweis des Vertragsabschlusses über die Beförderung und der Bezahlung des Fahrpreises. Mit dem Ticket allein kommt der Kunde nicht von A nach B, denn die geschuldete Hauptleistung wird erst durch die Beförderung erbracht. Aus dem Vortrag der Beklagte ergibt sich, dass die Ausstellung des digitalen Tickets und die Verarbeitung der genannten personenbezogenen Daten ein Mittel zur leichteren Abwicklung der Hauptleistung darstellt, nicht die Hauptleistung selbst. Auch wenn eine solche Verarbeitung personenbezogener Daten im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist dies nach dem „Meta“-Urteil des EuGH unerheblich.
Die Verarbeitung der oben genannten Informationen ist also nicht notwendig für die eigentliche Leistung (Beförderung), sondern dient vornehmlich unternehmensinternen Zwecken - etwa der Kundenbindung, Werbung oder der Kontrolle des Nutzungsverhaltens.
(3) Schließlich ist die Verarbeitung der personenbezogenen Daten auch nicht zur Verwirklichung überwiegender berechtigter Interessen nach Art. 6 Abs. 1 S. 1 f DSGVO unbedingt erforderlich. Dabei kann dahinstehen, ob von der Beklagten ein berechtigtes Interesse wahrgenommen wird, da die Verarbeitung zur Verwirklichung des berechtigten Interesses jedenfalls nicht erforderlich wäre.
Eine Erforderlichkeit liegt nicht vor. Auf die obigen Ausführungen kann insoweit Bezug genommen werden. Es genügt nicht, dass die Verarbeitung für den Verantwortlichen nützlich ist. Ebenso macht die Zielsetzung einer „bestmöglichen Effizienz“ die Datenverarbeitung nicht für die Verwirklichung berechtigter Interessen erforderlich. Auch wird sie nicht dadurch erforderlich, dass der Verantwortliche sie als „wirtschaftlich sinnvollste Alternative“ ansieht. Sie ist nur dann unbedingt erforderlich, wenn das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen. Der Verantwortliche muss also den Prozess für den Zugang zu seinen Leistungen wählen, der mit dem geringsten Maß an personenbezogenen Daten auskommt. Hieran fehlt es. Zwar kann über die DSGVO die Eröffnung besonderer Vertriebskanäle - wie die Bereitstellung von Tickets über Automaten - nicht erreicht werden; die Beklagte kann also nicht gezwungen werden, anstelle des oder neben dem Online-Fahrkartenverkauf einen Verkauf am Automaten zu eröffnen. Diese Frage stellt sich hier jedoch nicht, weil die Beklagte nicht gezwungen wird, einen neuen Vertriebskanal zu eröffnen, sondern nur verlangt wird, dass sie die vorhandenen Vertriebskanäle - hier den Schalterverkauf - datensparend ausgestaltet.
Das LG Leipzig hat entschieden, dass ein Facebook-Nutzer gegen Meta einen Anspruch auf Schadensersatz in Höhe von 5.000 EURO aus Art. 82 DGSVO wegen Verwendung der Meta Business Tools hat.
Die Pressemitteilung des Gerichts: Landgericht Leipzig spricht Facebook-Nutzer eine Entschädigung von 5.000 Euro wegen Datenschutzverstößen durch die Business Tools von Meta zu
In der gegen Meta Platforms Ireland betriebenen Klage hat die für Datenschutzrecht zuständige 5. Zivilkammer des Landgerichts Leipzig mit Urteil vom 4. Juli 2025 einem Nutzer von Facebook eine Entschädigung wegen Datenschutzverstößen von 5.000 Euro zugesprochen.
Damit, dass Meta mit seinen Business Tools massiv gegen europarechtlichen Datenschutz verstößt, die personenbezogenen Daten zu einem Profiling der Nutzer von Facebook verarbeitet und Meta mit dem Geschäftsmodell der personalisierten Werbung Milliardengewinne einfährt, hat das Gericht die hohe Entschädigungssumme gerechtfertigt.
Meta, Betreiberin der sozialen Netzwerke Instagram und Facebook, hat Business Tools entwickelt, die von zahlreichen Betreibern auf ihren Webseiten und Apps eingebunden werden und die Daten der Nutzer von Instagram und Facebook an Meta senden. Jeder Nutzer ist für Meta zu jeder Zeit individuell erkennbar, sobald er sich auf den Dritt-Webseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Account von Instagram und Facebook angemeldet hat. Die Daten sendet Meta Ireland ausnahmslos weltweit in Drittstaaten, insbesondere in die USA. Dort wertet sie die Daten in für den Nutzer unbekanntem Maß aus.
Das Gericht hat den Anspruch auf Ersatz des immateriellen Schadens ausschließlich auf Art. 82 der Datenschutz-Grundverordnung (DSGVO) gestützt, damit auf Europarecht und nicht (wie andere Gerichte in vergleichbaren Fällen) auf das nationale Recht bei Persönlichkeitsrechtsverletzungen. Das Landgericht Leipzig hat sich dabei auf Feststellungen des Europäischen Gerichtshofs (EuGH) in einem Verfahren gegen Meta gestützt, in dem es ebenfalls um die Zulässigkeit der Business Tools ging. Da die Verarbeitung personenbezogener Daten besonders umfangreich ist – sie betrifft potenziell unbegrenzte Datenmengen und hat nahezu die vollständige Überwachung des Online-Verhaltens des Nutzers zur Folge – führt nach dem EuGH zu einem Gefühl, dass das gesamte Privatleben kontinuierlich überwacht wird.
Die Höhe des europarechtsautonom auszulegenden Schmerzensgeldes nach Art. 82 DSGVO muss, so das Landgericht Leipzig, über die in der nationalen Rechtsprechungspraxis etablierten Schmerzensgeldbeträge hinausgehen. Bei der Schadensschätzung wurde an den Wert der personenbezogenen Daten zu Zwecken personalisierter Werbung für Meta angeknüpft. Nach dem Bundeskartellamt (Beschl. v. 2.5.2022, Az. B 6-27/21) verfügt Meta im Bereich der sozialen Medien über eines der führenden Werbeangebote. Im Jahr 2021 erzielte Meta bereits 115 Mrd. USD Werbeeinnahmen bei einem Gesamtumsatz von 118 Mrd. USD, sodass die Werbeeinnahmen 97 % vom Umsatz ausmachen. Der finanzielle Wert eines einzigen Nutzerprofils, in dem sämtliche Daten über die Person gespeichert sind, ist auf datenverarbeitenden Märkte enorm. Dass der hohe Wert von Daten auch der Wahrnehmung in der Gesellschaft entspricht, sieht das Gericht durch diverse Studien bestätigt.
Auf eine informatorische Anhörung des Klägers – so wie die meisten anderen Gerichte bislang – hat das Landgericht Leipzig verzichtet. Bei einer Anhörung des Klägers wären keine weiteren Erkenntnisse zu erwarten gewesen, der über die Mitteilung des im Allgemeinen eher diffusen Gefühls des Datenverlusts und der Verunsicherung hinausgeht. Denn es ist ja gerade das Problem der Klagepartei und auch des Gerichts, festzustellen, was konkret Meta mit den Daten macht und noch vorhat. Das Gericht stellt deshalb für eine Mindestentschädigung von 5.000 Euro auf die allgemeine Betroffenheit des aufmerksamen und verständigen »Durchschnitts«-Betroffenen im Sinne der DSGVO ab.
Die Kammer ist sich der Folgen ihrer Entscheidung bewusst. Auch wenn sie dazu führen könnte, dass viele Facebook-Nutzer Klage erheben, ohne einen individuellen Schaden explizit darzulegen, widerspricht dies nicht den gesetzgeberischen Zielen der DSGVO, gerade auch mittels Private Enforcement den Datenschutz vor Zivilgerichten und damit jenseits rein behördlicher Maßnahmen effektiv durchzusetzen.
OLG Frankfurt am Main
Urteil vom 11.07.2025 6 UKl 14/24
Das OLG Frankfurt hat entschieden, dass die zwingende Angabe von E-Mail-Adresse oder Handynummer bei Kauf eines Tickets der Deutschen Bahn gegen die Vorgaben der DSGVO verstößt und wettbewerbswidrig ist.
Die Pressemitteilung des Gerichts: Bahnticket - nur digital
Zwingende Angabe der E-Mail-Adresse oder Handynummer für den Bahnfahrkartenerwerb rechtswidrig
Der Erwerb einer Bahnfahrkarte darf nicht die Angabe der E-Mail-Adresse bzw. der Handynummer voraussetzen. Diese Datenverarbeitung ist für die Vertragserfüllung nicht erforderlich. Das Oberlandesgericht Frankfurt am Main (OLG) verurteilte mit heute verkündeter Entscheidung die Deutsche Bahn Fernverkehr AG, es zu unterlassen, den Erwerb von „Spar“- und „Super-Sparpreistickets“ von der Angabe der E-Mail-Adresse bzw. der Handynummer abhängig zu machen.
Die Beklagte bietet Eisenbahndienstleistungen an. Ihre Bahntickets können über das Internet, die Bahn-App, am Schalter, über Fahrkartenautomaten oder telefonisch über den Reiseservice gekauft werden. Der Vertrieb von „Spar-“ bzw. „Super-Sparpreistickets erfolgte bis zum Fahrplanwechsel 15.12.2024 nur digital. Verbraucher mussten - auch beim Kauf am Schalter - ihre E-Mail oder eine Handynummer angeben, um das digitale Ticket bzw. die Auftragsnummer zu empfangen. Am Automaten konnten diese Tickets nicht erworben werden. Der Kläger nimmt Verbraucherinteressen wahr. Mit seiner erstinstanzlich vor dem OLG geführten Klage verlangt er, dass die Beklagte es unterlässt, E-Mail-Adressen und/oder Handynummer von Verbrauchern zu verarbeiten, ohne dass dies für die Vertragsdurchführung erforderlich ist.
Der zuständige 6. Zivilsenat des OLG hat der Klage stattgegeben. Die zwingende Forderung nach der Angabe einer E-Mail-Adresse oder Telefonnummer beim Verkauf der streitigen Online-Tickets „Sparpreis“ und „Super-Sparpreis“ sei rechtwidrig, begründete er die Entscheidung. Es liege eine Datenverarbeitung entgegen den Vorgaben der Datenschutzgrundverordnung vor (i.F. DSGVO).
Die Datenverarbeitung sei nicht durch eine Einwilligung der Verbraucher gerechtfertigt gewesen. Es fehle an einer freiwillig abgegebenen Einwilligung. Die Verbraucher hätten hier keine „echte oder freie Wahl“ gehabt. Vielmehr habe die Beklagte die Vertragserfüllung von der Einwilligung abhängig gemacht. Gegen die Freiwilligkeit spreche auch die gerichtsbekannte marktbeherrschende Stellung der Beklagten auf dem Markt des Eisenbahnfernverkehrs.
Die Datenverarbeitung sei auch nicht im Übrigen gerechtfertigt gewesen. Sie sei für die Vertragserfüllung selbst nicht erforderlich. „Kundinnen und Kunden möchten zu einem günstigen Preis mit der Bahn an einem bestimmten Tag von A nach B fahren“. Dafür werde der Fahrpreis gezahlt. Der Hauptgegenstand liege dagegen nicht im Generieren eines validen und zugleich digitalen Sparpreis-Tickets. Das Ticket diene dem Nachweis des Vertragsschlusses über die Beförderung und Bezahlung. Die digitale Form des Tickets erleichtere allein der Beklagten die Abwicklung der Hauptleistung und diene „vornehmlich unternehmensinternen Zwecken - etwa der Kundenbindung, Werbung oder der Kontrolle des Nutzerverhaltens“, untermauerte der Senat weiter.
Die Verarbeitung der personenbezogenen Daten sei auch nicht zur Verwirklichung überwiegender berechtigter Interessen unbedingt erforderlich. Bloße Nützlichkeit oder bestmögliche Effizienz genügten dafür nicht. Nur wenn das Interesse an der Datenverarbeitung nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden könne, die weniger stark in die Grundrechte eingriffen, sei von dieser Erforderlichkeit auszugehen. Daran fehle es hier. „Der Verantwortliche muss also den Prozess für den Zugang zu seinen Leistungen wählen, der mit dem geringsten Maß an personenbezogenen Daten auskommt. Daran fehlt es hier“, resümierte der Senat.
Die Entscheidung ist nicht anfechtbar.
Oberlandesgericht Frankfurt am Main, Urteil vom 10.7.2025, Az. 6 UKl 14/24
Das LG Koblenz hat sich in diesem Verfahren mit einem etwaigen Mitverschulden eines Unternehmens bei einem Hackerangriff auf dessen E-Mail-Account und Manipulation der Bankverbindung in den von ihm versandten Rechnungen befasst.
Die Pressemitteilung des Gerichts: Muss ein Werkunternehmer sich Zahlungen seines Kunden auf das Konto eines Betrügers anrechnen lassen, wenn dieser seinen E-Mail Account hackt und gegenüber dem Kunden manipuliert, so dass er Zahlungen auf ein Fremdkonto leistet? Diese Frage hatte das Landgericht Koblenz zu entscheiden.
Sachverhalt:
Die Parteien streiten über die Zahlung von Werklohn für Zaunbauarbeiten auf dem Grundstück des Beklagten in B., die durch die Firma des Klägers ausgeführt worden sind. Die Parteien vereinbarten die Ausführung von Zaunbauarbeiten zu einem Pauschalpreis in Höhe von 11.000,00 € einschließlich Umsatzsteuer. Der Kläger stellte dem Beklagten die Arbeiten unter dem 09.07.2022 in Rechnung. Die Rechnung weist die Kontoverbindung des Klägers aus. Die Parteien kommunizierten im Rahmen der Auftragsabwicklung sowohl per e-Mail als auch per WhatsApp. Am 15.07.2022 übersandte der Beklagte dem Kläger per WhatsApp einen Screenshot einer Überweisung über einen Betrag in Höhe von 6.000,00 €. Der Screenshot weist eine IBAN aus, die nicht diejenige des Klägers ist und den Namen des Begünstigten als Ronald Serge B. Am 17.07.2022 übersandte der Beklagte dem Kläger einen weiteren Screenshot einer Überweisung auf das gleiche Konto über einen Betrag von 5.000,00 €. Im Folgenden konnte der Kläger auf seinem Konto keinen Zahlungseingang feststellen und erkundigte sich dementsprechend bei dem Beklagten. Am 20.07.2022 teilte der Kläger dem Beklagten mit, dass es sich bei dem auf den Screenshots ausgewiesenen Konto nicht um sein Bankkonto handele. Er verfolgt mit seinem Klagebegehren weiterhin die Zahlung des Werklohns von 11.000 €.
Der Beklagte behauptet, unter dem 09.07.2022 von der e-Mail-Adresse des Klägers eine e-Mail mit der Rechnung wie Anlage K 1 im Anhang erhalten zu haben. Am 11.07.2022 habe er um 11:03 Uhr eine e-Mail von diesem Account erhalten, in der ihm sinngemäß mitgeteilt wurde, den Rechnungsbetrag noch nicht anzuweisen, da sich die Bankverbindung geändert habe. Man werde ihm die richtige Bankverbindung zusenden, sobald er den Erhalt der Nachricht bestätige. Unter dem 15.07.2022 um 9:28 Uhr habe der Beklagte sodann eine weitere e-Mail erhalten, in der ihm die auf den Screenshots ersichtliche Bankverbindung mitgeteilt worden sei und auf die er gezahlt habe. Hätte der Kläger die Screenshots sogleich überprüft, wäre es der Bank möglich gewesen, die veranlassten Zahlungen wieder rückgängig zu machen.
Die Entscheidung:
Die 8. Zivilkammer des Landgerichts Koblenz hat der Klage in einem Umfang 8.250 € (75 %) stattgegeben und im Übrigen (25%) abgewiesen.
Der Kläger habe nach wie vor einen Anspruch auf Zahlung aufgrund des zwischen den Parteien geschlossenen Werkvertrages, denn der Beklagte könne sich vorliegend nicht mit Erfolg darauf berufen, dass er seine Schuld bereits durch Zahlung erfüllt habe. Allein der Umstand, dass die entsprechende Mitteilung des Kontos vorliegend mutmaßlich von dem e-Mail-Account des Klägers versandt worden ist, genüge insofern nicht um eine Vermutung dahingehend aufzustellen, dass die e-Mail auch tatsächlich von dem Kläger stammt oder mit dessen Einverständnis verschickt wurde. Indes sei allgemein bekannt, dass e-Mail-Accounts immer wieder unbefugt von Dritten gehackt werden und sich diese im Anschluss der entsprechenden e-Mail-Adresse bemächtigten. Den Parteien, die sich darauf einigen, ihre Korrespondenz über e-Mail zu führen, sei daher bekannt, dass es sich dabei um einen unsicheren und damit fälschungsanfälligen Kommunikationsweg handele. Dieses Risiko nähmen die Parteien damit, zum Zwecke der Vereinfachung ihrer Geschäftsbeziehungen, bewusst in Kauf.
Der Beklagte könne indes erfolgreich mit einem eigenen gegen den Kläger bestehenden Schadensersatzanspruch teilweise aufrechnen. Ein solcher Anspruch folge aus Art. 82 DSGVO (Datenschutzgrundverordnung). Danach sei der Kläger als Unternehmer verpflichtet, sensible Daten gegen Datenschutzverletzungen zu sichern. Zu diesen Daten gehörten sowohl die in der Rechnung enthaltenen personenbezogenen Angaben des Beklagten, als auch seine e-Mail-Adresse. Eine solche Absicherung habe der Kläger nicht vorgenommen.
Der Beklagte müsse sich aber ein erhebliches Mitverschulden anrechnen lassen. Vor dem oben aufgezeigten Hintergrund wäre es auch an dem Beklagten gewesen, kritisch zu hinterfragen, ob die ihm per e-Mail übersandten Kontodaten tatsächlich von dem Kläger stammen, zumal eine Bankverbindung mit einem vollkommen fremden Zahlungsempfänger mitgeteilt wurde. Spätestens in diesem Moment hätte der Beklagte sich bei dem Kläger rückversichern müssen. Der Beklagte könne sich nicht mit Erfolg darauf berufen, dem Kläger per WhatsApp Screenshots der von ihm getätigten Überweisungen geschickt zu haben. Zwar hätte auch anhand dieser Screenshots der Kläger bei sorgfältigerer Durchsicht erkennen können, dass die Zahlung an einen falschen Empfänger getätigt worden ist, eine entsprechende Prüfungspflicht obliege ihm allerdings nicht, das Risiko der Zahlung liege vielmehr beim Beklagten. Erschwerend trete hinzu, dass der Beklagte die Screenshots lediglich per WhatsApp übersandt habe. Dabei handelt es sich indes in der Regel um kurze Nachrichten, die unmittelbar auf dem Mobilgerät eingehen und dafür konzipiert seien, dort auch direkt gelesen zu werden. Es sei daher damit zu rechnen, dass sie auch in einer Situation zur Kenntnis genommen werden können, in der der Fokus nicht primär auf dem Schriftverkehr liege und die eine sorgfältige Prüfung - etwa den Abgleich von Zahlen - gar nicht ermögliche.
Mit Blick auf die zuvor gemachten Ausführungen sei deshalb ein überwiegendes Mitverschulden beim Beklagten zu sehen, was eine Quotelung des Schadens 25 : 75 zu Lasten des Beklagten rechtfertige. Mit Blick auf sein überwiegendes Mitverschulden steht ihm daher lediglich ein Anspruch auf Ersatz von 25 % seines Schadens gegen den Kläger zu, so dass er lediglich in Höhe eines Betrages von 2.750,00 € mit Erfolg aufrechnen könne.
Auszug aus dem Bürgerlichen Gesetzbuch
§ 631 Vertragstypische Pflichten beim Werkvertrag
(1) Durch den Werkvertrag wird der Unternehmer zur Herstellung des versprochenen Werkes, der Besteller zur Entrichtung der vereinbarten Vergütung verpflichtet.
(2) Gegenstand des Werkvertrags kann sowohl die Herstellung oder Veränderung einer Sache als auch ein anderer durch Arbeit oder Dienstleistung herbeizuführender Erfolg sein.
§ 254 Mitverschulden
(1) Hat bei der Entstehung des Schadens ein Verschulden des Beschädigten mitgewirkt, so hängt die Verpflichtung zum Ersatz sowie der Umfang des zu leistenden Ersatzes von den Umständen, insbesondere davon ab, inwieweit der Schaden vorwiegend von dem einen oder dem anderen Teil verursacht worden ist.
……
§ 270 Zahlungsort
(1) Geld hat der Schuldner im Zweifel auf seine Gefahr und seine Kosten dem Gläubiger an dessen Wohnsitz zu übermitteln.
Das LAG Hessen hat entschieden, dass die Weiterleitung personenbezogener Beschäftigtendaten durch ein Betriebsratsmitglied über dessen privaten E-Mail-Account den Ausschluss aus dem Betriebsrat rechtfertigt.
Aus den Entscheidungsgründen: 2. Die Beschwerden des Betriebsratsvorsitzenden und des Betriebsrats sind nicht begründet. Das Arbeitsgericht hat dem Antrag des Arbeitgebers nach § 23 Abs. 1 BetrVG zu Recht stattgegeben. Die Beschwerdekammer schließt sich der zutreffenden Begründung an und nimmt auf diese Bezug. Das Vorbringen der Beteiligten im Beschwerdeverfahren führt zu keiner abweichenden Beurteilung.
Nach § 23 Abs. 1 S. 1 BetrVG kann (unter anderem) der Arbeitgeber den Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung seiner gesetzlichen Pflichten verlangen. Gemäß § 79a S. 1 BetrVG hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Dies bedeutet, dass der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24, 32 DSGVO vorzunehmen hat (ErfK/Kania, 25. Aufl. § 79a Rn. 3; Fitting, BetrVG, 32. Auf., § 79a Rn 50). Der Betriebsrat hat bei jeder Datenverarbeitung -und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten- die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten (BAG 09.05.2023 -1 ABR 14/22- Rn. 57). Je nach Schwere kann ein Verstoß gegen datenschutzrechtliche Pflichten einen Ausschlussgrund gemäß § 23 Abs. 1 BetrVG begründen (GK-BetrVG/Franzen, 12. Aufl., § 79a Rn. 12; Fitting, BetrVG, § 79a Rn. 53).
Die vom Betriebsratsvorsitzenden per E-Mail an seine private Adresse weitergeleitete Liste mit den Namen sämtlicher Mitarbeiter, Stellung im Betrieb, Zeitansatz, Tarifgruppe, Stufe, Grundentgelt, zeitliche Stufenverlauf, Tarifeintritt, Eingruppierung, Vergleichsdaten zur Eingruppierung Konzern, zu Grundgehalt Konzern (Anl. K6, Bl. 116 ff. erstinstanzliche Akte) enthielt „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 DSGVO. Sie enthält Informationen, die sich auf identifizierbare natürliche Personen beziehen, insbesondere über deren Vergütung. Art. 4 Nr. 1 umfasst ohne Einschränkung „alle Informationen“, die sich auf eine Person beziehen und ist daher grundsätzlich weit zu verstehen. Unter die Vorschrift fallen sowohl im Kontext verwendete persönliche Informationen wie Identifikationsmerkmale (zB Name, Anschrift und Geburtsdatum), äußere Merkmale (wie Geschlecht, Augenfarbe, Größe und Gewicht) oder innere Zustände (zB Meinungen, Motive, Wünsche, Überzeugungen und Werturteile), als auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 4 Nr. 1 Rn. 8).
Die betreffenden Informationen beziehen sich auch auf bestimmte natürliche Personen, die namentlich genannt werden.
Diese Daten hat der Betriebsratsvorsitzende verarbeitet, Art. 4 Nr. 2 DSGVO. Hierbei handelt es sich um jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Bei der Verarbeitung muss es sich um einen Vorgang oder eine Vorgangsreihe handeln, die „ausgeführt“ werden. Die Verbindung mit dem Verb „ausführen“ macht deutlich, dass es sich bei einem Vorgang in diesem Sinne um ein Geschehen handeln muss, das auf eine menschliche Handlung zurückgeht. (Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 14). Das Erheben (collection) und das Erfassen (recording) von personenbezogenen Daten bezeichnet einen Vorgang, durch den solche Daten erstmals in den Verfügungsbereich des Verantwortlichen gelangen. Erheben und Erfassen sind nicht scharf zu unterscheiden; das Erheben bezieht sich eher auf die gezielte Beschaffung einzelner Daten, während das Erfassen eher auf die kontinuierliche Aufzeichnung eines Datenstroms abstellt (Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 2 Rn. 21, 22). Durch die Weiterleitung der personenbezogenen Daten sämtlicher Mitarbeiter an seinen privaten E-Mail Account hat der Betriebsratsvorsitzende diese sich gezielt beschafft und damit „erhoben“ im Sinne von Art. 4 Nr. 2 DSGVO. Dieses „erheben“ kann hier auch mit einer Speicherung verbunden gewesen sein, notwendig ist ein solcher Zusammenhang jedoch nicht.
Diese Verarbeitung personenbezogener Daten war nicht rechtmäßig.
Hierbei kann dahinstehen, ob § 26 Abs. 1 BDSG unionsrechtlich noch anwendbar ist. In seiner Entscheidung zu § 23 Abs. 1 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) hat der Europäische Gerichtshof entschieden, dass Art. 88 Abs. 1 und 2 DSGVO dahin auszulegen ist, dass nationale Rechtsvorschriften zur Gewährung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext unangewendet bleiben müssen, wenn sie nicht die dort vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn sie stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DS GVO dar, die den Anforderungen dieser Verordnung genügt (EuGH 30.03.2023 C-34/21 Rn. 89). Bestimmungen wie § 23 Abs. 1 HDSIG, die die Verarbeitung personenbezogener Beschäftigtendaten davon abhängig machen, dass diese zu bestimmten Zwecken in Zusammenhang mit der Durchführung eines Beschäftigungs- bzw. Dienstverhältnisses erforderlich sein muss, die bereits in Art. 6 Abs. 1 Unterabsatz 1 Buchst. b DSGVO aufgestellte Bedingung für die allgemeine Rechtmäßigkeit der Verarbeitung zu wiederholen, ohne eine spezifische Vorschrift im Sinne von Art. 88 Abs. 1 DS GVO hinzuzufügen, scheiden aus (EuGH, a.a.O., Rn. 81). Entsprechend hat der Europäische Gerichtshof zu § 26 Abs. 4 BDSG hinsichtlich der konzernweiten Weiterleitung personenbezogener Daten der Beschäftigten mittels der cloudbasierten Software „Workday“ entschieden (EuGH 19.12.2024 C-65/23). Vor dem Hintergrund, dass § 26 Abs. 1 BDSG weitgehend wortgleich mit § 23 HDSIG ist (siehe die Gegenüberstellung in EuGH 30.03.2023 C-34/21, Rn. 11 und 12) könnte diese Vorschrift unionsrechtlich unanwendbar sein.
Im Falle der Anwendung von § 26 Abs. 1 S. 1 BDSG ergibt sich folgendes: Danach dürfen personenbezogene Daten von Beschäftigten für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Für die Weiterleitung der personenbezogenen Daten sämtlicher Beschäftigter an den privaten E-Mail Account des Betriebsratsvorsitzenden bestand keine Erforderlichkeit, denn es wäre ihm möglich gewesen, die zur Vorbereitung der abzuschließenden Betriebsvereinbarung erforderliche Verarbeitung der Daten der Beschäftigten von dem ihm für die Betriebsratstätigkeit vom Arbeitgeber gemäß § 40 Abs. 2 BetrVG zur Verfügung gestellten Computer zu bearbeiten. Erforderlichenfalls hätte er sich mit der IT-Abteilung des Arbeitgebers ins Benehmen setzen können, um einen größeren Bildschirm oder einen Adapter für den Anschluss des Betriebsrats-Laptops an seinen privaten, größeren Bildschirm zu erhalten. Für die Verarbeitung der Daten im Sinne einer Weiterleitung derselben auf sein privates Endgerät per Email bestand daher keine Veranlassung.
Auch eine Einwilligung der Beschäftigten im Sinne von § 26 Abs. 2 BDSG zur Erhebung von deren persönlichen Daten auf dem privaten Endgerät des Betriebsratsvorsitzenden lag nicht vor.
Unter Zugrundelegung der unionsrechtlichen Unanwendbarkeit von § 26 Abs. 1 BDSG ergibt sich folgendes:
Nach Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). „Auf rechtmäßige Weise“ iSv Art. 5 Abs. 1 lit. a bedeutet demnach, dass die Verarbeitung auf der Einwilligung der betroffenen Person oder auf einer anderweitigen Rechtsgrundlage beruht (Kühling/Buchner, DSGVO, Art. 5 Rn. 11). Hier lag weder eine Einwilligung sämtlicher Beschäftigter hinsichtlich der Weiterleitung ihrer persönlichen Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden vor, noch eine anderweitige Rechtsgrundlage hierfür. Schon gar nicht erfolgte die Verarbeitung der Daten in einer für die betroffene Person nachvollziehbaren Weise. Damit ist der Ausschluss heimlicher Verarbeitungen personenbezogener Daten und die umfassende Information der betroffenen Person über die Verarbeitung der auf sie bezogenen Daten gemeint. Transparenz ist eine Vorbedingung für informationelle Selbstbestimmung und verlangt die Information der betroffenen Person über (geplante) Verarbeitungen, sodass diese als autonomes Individuum darauf reagieren und insbesondere ihre Betroffenenrechte wahrnehmen kann (Kühling/Buchner, DSGVO, Art. 5 Rn. 18). Auch eine derartige Information der Beschäftigten ist nicht erfolgt. Der Betriebsratsvorsitzende hat diese nicht darüber informiert, dass er deren personenbezogene Daten vom Betriebsratsaccount an seinen privaten E-Mail Account weitergeleitet und von dort aus im Rahmen der Vorbereitung auf eine abzuschließende Betriebsvereinbarung verarbeitet hat.
Durch die Weiterleitung der personenbezogenen (Entgelt-) Daten sämtlicher Beschäftigter an seine private E-Mail-Adresse hat der Betriebsratsvorsitzende auch gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1c DSGVO verstoßen. Daraus ergibt sich insbesondere, dass die Daten auf das notwendige Maß zu beschränken sind. Dies wurde vom Betriebsratsvorsitzenden hier deshalb nicht beachtet, weil er auf dem ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Computer Zugang zu den für die Wahrnehmung seiner Mitbestimmungsrechte ihm vom Arbeitgeber zur Verfügung gestellten Daten hatte und -wie ausgeführt- keine Veranlassung bestand, diese Daten an sein privates Endgerät weiterzuleiten und auch dort zu verarbeiten.
Die Verarbeitung der Daten verstieß auch gegen Art. 6 Abs. 1 DSGVO. Danach ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
Eine derartige Einwilligung zur Weiterleitung der personenbezogenen Daten der Beschäftigten auf den privaten E-Mail Account des Betriebsratsvorsitzenden lag nicht vor.
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Partei ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Dies war hier nicht der Fall.
c) Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Dies war hier nicht der Fall. Es bestand gerade keine Verpflichtung zur Weiterleitung der personenbezogenen Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden. Dies auch nicht im Hinblick auf die Vorbereitung der abzuschließenden Betriebsvereinbarung.
d) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Dies war hier nicht der Fall.
e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Dies war hier nicht der Fall (vergleiche die Anwendungsbeispiele bei Kühling/Buchner, DSGVO, Art. 6 Rn. 159ff). Insbesondere ist darauf hinzuweisen, dass die Betriebsratstätigkeit zwar ein Ehrenamt ist, aber nicht im „öffentlichen“ Interesse liegt. Im Übrigen erforderte hier die Betriebsratstätigkeit gerade nicht die Weiterleitung der Daten an den privaten E-Mail Account des Betriebsratsvorsitzenden.
f) Die Verarbeitung ist zur Wahrnehmung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Dies war hier nicht der Fall.
Damit steht fest, dass der Betriebsratsvorsitzende mit der Weiterleitung der personenbezogenen (insbesondere Entgelt-) Daten an seinen privaten E-Mail Account gegen die ihm aus § 79a S. 1 BetrVG obliegenden Pflichten bei der Verarbeitung personenbezogener Daten verstoßen hat.
Die Pflichtverletzung war auch „grob“ im Sinne von § 23 Abs. 1 BetrVG. Der Betriebsratsvorsitzende hat eine objektiv erhebliche und offensichtlich schwerwiegende Pflichtverletzung im Hinblick auf die Einhaltung des Datenschutzes bei Ausübung seines Betriebsratsamts begangen. Der Verstoß gegen den Datenschutz wirkt zunächst deshalb schwer, weil es sich um die Mitteilung der Höhe der Vergütung jedes einzelnen Mitarbeiters handelte. Dass mit dem Umgang solcher Daten allergrößte Sensibilität verbunden sein muss, konnte der Betriebsratsvorsitzende ohne weiteres selbst erkennen. Hinzu kommt, dass ihm bereits aufgrund der vorangegangenen Auseinandersetzung mit seinem Arbeitgeber wegen der Weiterleitung dienstlicher E-Mails an seinen privaten E-Mail Account bekannt war, dass der Arbeitgeber hierin einen (gravierenden) Datenschutzverstoß sieht. Gleichwohl hat er erneut -diesmal in Bezug auf ihm in seiner Eigenschaft als Betriebsrat zugeleiteter, in höchstem Maße vertraulicher personenbezogener Unterlagen- zunächst erfolglos versucht, diese an seinen bisherigen (gmx-) Account weiterzuleiten und, als dies nicht funktionierte, an weitere private E-Mail-Adressen. Dies zeigt, dass er sich noch nicht einmal von den seitens des Arbeitgebers eingerichteten technischen Möglichkeiten zur Verhinderung eines Wiederholungsfalles abhalten ließ. Der Betriebsratsvorsitzende zeigte sich als unbelehrbar. Er handelte bewusst zur Umgehung der ihm vom Arbeitgeber im Interesse des Datenschutzes der Beschäftigten auferlegten Verpflichtung. Dieses Fehlverhalten war durch nichts zu rechtfertigen. Insbesondere entschuldigt ihn nicht, dass er dies getan habe, um die Daten zu Hause an seinem größeren Bildschirm besser bearbeiten zu können. Hierfür hätte es der Übertragung der Daten auf seinen privaten Rechner nicht bedurft. Er hätte vielmehr den Arbeitgeber um einen entsprechenden Adapter seines ihm in seiner Eigenschaft als Betriebsrat zur Verfügung gestellten Laptops an seinen privaten Bildschirm bitten können. Im Übrigen hat der Betriebsratsvorsitzende für die Betriebsratstätigkeit nicht seine privaten Arbeitsmittel einzubringen, sondern die ihm vom Arbeitgeber nach § 40 Abs. 2 BetrVG zur Verfügung zu stellende Informations- und Kommunikationstechnik zu nutzen, wozu auch ein größerer Bildschirm gehören kann, soweit dieser zur Wahrnehmung der Betriebsratsaufgaben erforderlich ist. Ob dies hier der Fall war, bedarf keiner abschließenden Beurteilung durch die Kammer, da die Weiterleitung der personenbezogenen Daten an seinen persönlichen E-Mail Account aus den dargestellten Gründen keinesfalls zu rechtfertigen war. Es entlastet ihn auch nicht, dass sein privater PC passwortgeschützt und auch sonst durch ein System „Bitfender Total Security“ gesichert war. Wie die immer wieder vorkommenden Fälle sog. Hackings zeigen, lässt sich eine absolute Datensicherheit nicht erreichen. Gerade deshalb sind die Vorschriften der DSGVO unbedingt zu beachten und vermeidbare Risiken auszuschließen. Auch die behauptete Eilbedürftigkeit der Angelegenheit (Vorbereitung einer Betriebsvereinbarung) entschuldigt den begangenen Datenschutzverstoß nicht.
Das LG Erfurt hat dem EuGH Fragen zum Schadensersatz aus Art. 82 DSGVO bei Kontrollverlust im Zusammenhang mit Facebook-Scraping zur Vorabentscheidung vorgelegt.
Tenor:
Das Ausgangsverfahren wird ausgesetzt. Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV die folgenden Fragen zur Auslegung von Art. 56 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) und der Datenschutz-Grundverordnung (DSGVO) vorgelegt:
Frage 1
Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass ein nationales Gericht bei einem Verstoß gegen die DSGVO einer betroffenen Person Schadensersatz zusprechen muss, die lediglich nachgewiesen hat, dass ein Dritter (und nicht der beklagte datenschutzrechtlich Verantwortliche) ihre personenbezogenen Daten im Internet veröffentlicht hat? Mit anderen Worten: Stellt der bloße und ggf. nur kurzzeitige Verlust der Kontrolle über eigene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO dar?
Frage 2
Falls Frage 1 bejaht wird: Inwieweit unterscheidet sich die Antwort oder macht es einen Unterschied, wenn die veröffentlichten Daten nur aus bestimmten personenbezogenen Daten bestehen (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), welche die betroffene Person bereits selbst im Internet veröffentlicht hatte, in Verbindung mit der Telefonnummer der betroffenen Person, die ein Dritter (bei dem es sich nicht um den beklagten datenschutzrechtlich Verantwortlichen handelt) mit diesen personenbezogenen Daten verknüpft hat?
Aus den Entscheidungsgründen: I. Gegenstand des Ausgangsverfahrens und zugrundeliegender Sachverhalt
Mit ihrer beim Landgericht Erfurt eingereichten Klage - einem Scraping-Fall - macht die Klägerin immateriellen Schadensersatz und eine Reihe weiterer Ansprüche aufgrund von Verstößen der Beklagten gegen die Datenschutz-Grundverordnung („DSGVO“) geltend. Die Beklagte, deren Sitz in Irland ist, betreibt die Social-Media-Plattform Facebook in Europa („Plattform der Beklagten”).
Die Klägerin unterhält ein Nutzerkonto auf der Plattform der Beklagten. Im Rahmen der Registrierung auf der Plattform der Beklagten müssen Nutzer bestimmte Informationen wie Name und Geschlecht angeben. Diese Informationen (zusammen mit der von der Beklagten generierten Nutzer-ID) sind im Rahmen des Nutzerprofils stets öffentlich einsehbar, worüber Nutzer in Kenntnis gesetzt werden. Diese öffentlichen Nutzerinformationen erleichtern die Kontaktaufnahme mit anderen Menschen. Dies entspricht dem Unternehmenszweck der Plattform der Beklagten, nämlich Menschen die Möglichkeit zu geben, Gemeinschaften zu bilden und die Welt näher zusammenzubringen.
Neben den immer öffentlichen Nutzerinformationen können Nutzer in ihrem Profil nach ihrer individuellen Präferenz weitere Informationen angeben. In diesem Zusammenhang können sie festlegen, welche anderen Gruppen von Nutzern diese Informationen sehen können („Freunde“, [auch] „Freunde von Freunden“, „Öffentlich“). Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, durch die Nutzer bestimmen können, inwieweit von ihnen bereitgestellte Informationen öffentlich einsehbar sein sollen (sog. „Zielgruppenauswahl“). Über die Funktion und Bedeutung dieser Privatsphäre-Einstellungen informierte die Beklagte ihre Nutzer in ihrem Hilfebereich.
Entschied sich ein Nutzer - wie die Klägerin - dafür, seine Telefonnummer anzugeben, war die Standard-Zielgruppenauswahl während des relevanten Zeitraums „Freunde“. Die Telefonnummer war demnach nicht öffentlich einsehbar. Im Hinblick auf die Sichtbarkeit ihrer Handynummer hatte die Klägerin es bei der Standardeinstellung der Beklagten belassen, sodass diese nicht öffentlich sichtbar war.
Die Privatsphäre-Einstellungen auf der Plattform der Beklagten ermöglichten es den Nutzern auch, festzulegen, wer ihre Profile anhand ihrer Telefonnummern suchen kann (sog. „Suchbarkeits-Einstellungen“). Entschied sich ein Nutzer dafür, seine Telefonnummer anzugeben, war die Standard-Suchbarkeitseinstellung während des relevanten Zeitraums „Alle“. Nutzer konnten jedoch ihre Suchbarkeitseinstellungen jederzeit auf „Freunde“, „Freunde von Freunden“ oder (ab Mai 2019) auf „Nur ich“ festlegen. Die letztgenannte Einstellung verhinderte, dass andere Nutzer das betreffende Profil über die Telefonnummer finden konnten.
Die Möglichkeit, das Profil eines Nutzers anhand einer Telefonnummer zu finden, sollte ebenfalls dem Ziel dienen, Menschen miteinander zu verbinden. Die Plattform der Beklagten hat weltweit Milliarden von Nutzern. Die Suche nach einem Nutzerprofil allein anhand des Namens mag daher nicht ausreichen, um einen anderen Nutzer sicher zu identifizieren.
Die Klägerin entschloss sich dazu, ihre Telefonnummer auf der Plattform der Beklagten anzugeben, wobei sie die Standard-Suchbarkeitseinstellung „Alle“ nicht änderte.
Bis September 2019 ermöglichte die sog. Kontakt-Importer-Funktion Nutzern, Kontakte von ihren Mobilgeräten auf der Plattform der Beklagten hochzuladen. Hierdurch konnten die Nutzer diese Kontakte auf der Plattform der Beklagten finden und mit ihnen in Kontakt treten, sofern die Suchbarkeitseinstellungen des gesuchten Nutzers auf „Alle“ eingestellt waren (so wie dies bei der Klagepartei der Fall war).
Über einen bestimmten Zeitraum hinweg haben unbekannte Dritte (sog. „Scraper“), die in keiner Verbindung zur Beklagten standen, über die Kontakt-Importer-Funktion Mobiltelefonnummern hochgeladen. Die Mobiltelefonnummern hatten die Scraper bereits vorher anderweitig (d. h. nicht auf der Plattform der Beklagten) erlangt oder generiert. Wurden beim Hochladen der Telefonnummern Nutzerprofile gefunden, sammelten die unbekannten Dritten die Daten, die in den Profilen der Nutzer öffentlich einsehbar waren, und machten sich diese nutzbar.
Bei der Kontakt-Importer-Funktion handelte es sich um eine regulär vorgesehene Funktion der Plattform der Beklagten. Die Scraper wandten automatisierte Tools an, um diese Funktion auszunutzen und um auf Daten zuzugreifen, die in diesem Fall öffentlich einsehbar waren. Diese ohne Erlaubnis erfolgte Datenerhebung mit automatisierten Tools und Methoden fand während des relevanten Zeitraums statt und war (und ist immer noch) durch die Nutzungsbedingungen der Beklagten untersagt.
Die Scraper sammelten unzulässigerweise öffentlich einsehbare Daten zahlreicher Nutzer, fügten diese den Telefonnummern dieser Nutzer hinzu und veröffentlichten diese Daten in einer Datenbank im Internet bzw. Darknet. Dieses Vorgehen umfasste auch personenbezogene Daten der Klägerin, nämlich deren Telefonnummer in Verbindung mit den aus ihrem öffentlich einsehbaren Profil abgegriffenen Informationen (Nutzer-ID, Vorname, Nachname und Geschlecht).
Die Klägerin fordert unter anderem immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO. Sie bringt vor, sie habe allein aufgrund der Tatsache, dass ihre Daten abgegriffen und in einer Datenbank veröffentlicht wurden, die Kontrolle über diese Daten verloren. Nach Ansicht der Klägerin stellt dieser Kontrollverlust schon als solcher einen immateriellen Schaden dar.
Die Beklagte macht demgegenüber geltend, dass Art. 82 DSGVO nicht dazu diene, vom Scraping betroffenen Personen Schadensersatz zu gewähren, die zwar von Datenschutzverletzungen betroffen sind, aber keinen konkreten, über den bloßen Kontrollverlust hinausgehenden Schaden erlitten haben. Dabei ist die Beklagte der Auffassung, dass der Scraping-Sachverhalt bereits keinen „Datenschutzverstoß“ darstelle. Die Beklagte macht ferner geltend, dass die bloße erneute Veröffentlichung der Daten der Klagepartei – die gemäß ihren individuellen Privatsphäre-Einstellungen bereits vorher öffentlich einsehbar waren – keinen immateriellen Schadensersatz begründen könne.
II. Einschlägige unionsrechtliche Bestimmungen
Art. 82 DSGVO (Haftung und Recht auf Schadensersatz)
Erwägungsgrund 75 DSGVO (Risiken für die Rechte und Freiheiten natürlicher Personen)
Erwägungsgrund 83 S. 3 DSGVO (Sicherheit der Verarbeitung)
Erwägungsgrund 85 S. 1 DSGVO (Pflicht zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde)
III. Relevante nationale Rechtsprechung
Die deutsche Rechtsprechung divergiert zu der Frage, ob der bloße Kontrollverlust einen immateriellen Schaden darstellt. Die bereits vorliegenden Entscheidungen des Gerichtshofes der Europäischen Union werden unterschiedlich interpretiert.
In nahezu identischen Verfahren haben mehrere deutsche Oberlandesgerichte Klagen auf immateriellen Schadensersatz abgewiesen. Sie haben dabei festgestellt, dass die auf Scraping beruhende erneute oder erstmalige Veröffentlichung von Daten und der damit einhergehende Kontrollverlust allein nicht ausreichen, um einen immateriellen Schaden zu begründen.
Der Bundesgerichtshof hat allerdings kürzlich in einem Verfahren wegen des unzulässigen Datenscrapings judiziert, dass ein bloßer und selbst kurzzeitiger Verlust der Kontrolle über eigene personenbezogene Daten schon an sich als immaterieller Schaden im Sinne von Art. 82 DSGVO einzuordnen ist und zu einem, wenn auch überschaubaren, Geldanspruch führt (BGH, Urteil vom 18.11.2024 - VI ZR 10/24). Dies soll somit unabhängig davon gelten, ob die Klagepartei individuelle immaterielle Beeinträchtigungen und Nachteile aufgrund des Kontrollverlusts darlegt und nachweist. Weder muss eine konkrete missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen erfolgt sein, wie ein Identitätsdiebstahl, noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
Zu dem jedenfalls erforderlichen „Kontrollverlust“ fehlt es allerdings an einer Definition oder näheren Maßgaben.
IV. Entscheidungserheblichkeit und Erläuterung der Vorlagefragen
Die Antworten des Gerichtshofes der Europäischen Union zu den Vorlagefragen sind entscheidungserheblich. Das vorlegende Gericht geht von einem Datenschutzverstoß der Beklagten mit negativen Folgen aus. Es ist jedoch zweifelhaft, ob ein immaterieller Schaden zu bejahen ist. Abhängig davon, ob die bloße - erneute oder erstmalige - Veröffentlichung von personenbezogenen Daten im Internet als immaterieller Schaden eingestuft wird oder nicht, kann das Gericht dem Klageantrag auf immateriellen Schadenersatz entweder (zumindest teilweise) stattgeben oder ihn abweisen.
Insbesondere hält das Gericht eine Klarstellung des Gerichtshofs für erforderlich, ob Art. 82 Abs. 1 DSGVO es einem nationalen Gericht ermöglicht, einer betroffenen Person Schadensersatz zuzusprechen, obwohl diese keinen konkreten und individuellen materiellen oder immateriellen Schaden nachgewiesen hat, wie begründete Befürchtungen eines Missbrauchs oder andere psychische Beeinträchtigungen, sondern sich lediglich darauf beruft, dass ihre Daten im Internet veröffentlicht wurden und sie somit die Kontrolle hierüber verloren habe. Dieser Klarstellung dient die Vorlagefrage zu 1.
Für den Fall, dass die Vorlagefrage zu 1 bejaht wird, ersucht das Gericht mit der Vorlagefrage zu 2. den Gerichtshof um Klärung, ob der Gerichtshof zu einer anderen Einschätzung gelangt, wenn die (erneut) veröffentlichten Daten lediglich aus solchen personenbezogenen Daten bestehen, deren Veröffentlichung im Internet die betroffene Person vorher selbst veranlasst hatte (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), sowie der Telefonnummer der betroffenen Person.
Bei dieser Bewertung könnte zu berücksichtigen sein, dass die unzulässiger Weise abgegriffenen Daten der Klägerin auf deren Nutzerprofil öffentlich einsehbar waren, während die Mobiltelefonnummer der Klägerin weder abgegriffen noch anderweitig aus dem Nutzerprofil der Klagepartei abgerufen wurde. Damit unterscheidet sich dieser Sachverhalt wohl von den Fällen, die bisher Gegenstand von Vorabentscheidungsverfahren zu Art. 82 DSGVO waren. Es stellt sich die Frage, ob die Klägerin nicht bereits vor dem Datenschutzverstoß die Kontrolle über ihre vom Scraping betroffenen personenbezogenen Daten verloren hatte, was zu einem Ausschluss von Ersatzansprüchen führen könnte.
Nach alledem bestehen Zweifel, ob es sich bei der Problematik des „bloßen Kontrollverlustes“ bereits um einen „acte éclairé“ handelt. Die bisherigen Urteile des Gerichtshofes könnten jedenfalls so verstanden werden, dass ein bloßer Kontrollverlust als solcher noch keinen Schaden darstellt, vielmehr - mit höherem Begründungs- und Beweisaufwand - weitere Voraussetzungen und Umstände hinzutreten müssen, wie etwa psychische Beeinträchtigungen oder ein tatsächlicher Missbrauch von Daten (s. nur EuGH, Urteil vom 25.01.2024, C-687/21, Rn. 67, EuGH, Urteil vom 14.12.2023, C-340/21, Rn. 84, und EuGH, Urteil vom 14.12.2023, C-456/22, Rn. 22).
Den Parteien des Ausgangsverfahrens wurde ausgiebig rechtliches Gehör gewährt. Die Befugnis des Einzelrichters, unionsrechtliche Fragestellungen zu würdigen und vor den Gerichtshof zu bringen, beruht auf Art. 267 AEUV (eingehend LG Erfurt, Hinweisbeschluss vom 4. Februar 2025 - 8 O 211/24, juris). Ein Einzelrichter ist nicht gehalten, gemäß § 348 Abs. 3 ZPO seine Kammer zur Entscheidung über eine Übernahme anzurufen. Dies hat Generalanwalt Rantos in einem Dieselfall herausgestellt (EuGH, Schlussanträge des Generalanwalts vom 2. Juni 2022, C-100/21, Rn. 75 ff.):
„Daher bin ich der Ansicht, dass Art. 267 AEUV einer nationalen Regelung entgegensteht, die, wenn ein Einzelrichter meint, dass sich im Rahmen einer bei ihm anhängigen Rechtssache eine Frage nach der Auslegung oder der Gültigkeit des Unionsrechts stellt, die eine Entscheidung des Gerichtshofs erfordert, diesem vorschreibt, diese Frage einer Zivilkammer vorzulegen, und er folglich daran gehindert ist, den Gerichtshof um Vorabentscheidung zu ersuchen.“
