BECKMANN UND NORDA - Rechtsanwälte Bielefeld

AG Düsseldorf
Urteil vom 20.11.2025
23 C 120/25

Das AG Düsseldorf hat entschieden, dass die Vernetzung bei Linkedin oder anderen sozialen Netzwerken ist keine Einwilligung in die Zusendung von E-Mail-Werbung

Aus den Enstcheidungsgründen:
Die nach § 7 Abs. 2 Nr. 2 UWG genannten Maßnahmen der Direktwerbung sind stets als unzumutbare Belästigung anzusehen, wenn nicht eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt. An das Vorliegen einer solchen Einwilligung sind – wie bei der Telefonwerbung – strenge Anforderungen zu stellen.

Eine solche Maßnahme der Direktwerbung liegt vor, da die Werbung mittels elektronischer Post erfolgt.

Die Anforderungen an die Einwilligung, ist durch eine unionsrechtskonforme Auslegung zu ermitteln.

Gem. Art. 2 Abs. 2 lit. f RL 2002/58/EG ist unter „Einwilligung“ eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person iSd RL 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zu verstehen. Nach Art. 2 lit. h RL 95/46/EG ist eine „Einwilligung der betroffenen Person“ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.

Die RL 95/46/EG ist gem. Art. 94 Abs. 1 VO (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) aufgehoben worden. Gem. Art. 94 Abs. 2 DS-GVO gelten nunmehr Verweise auf die aufgehobene RL als Verweise auf die DS-GVO. Nach Art. 4 Nr. 11 DS-GVO bezeichnet der Ausdruck „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (vgl. BGH, Urt. v. 13.1.2022 – I ZR 25/19).

Eine ausdrückliche Einwilligung liegt nicht vor.

Mit dem Erfordernis der ausdrücklichen Einwilligung soll zum Ausdruck gebracht werden, dass eine konkludente Einwilligung nicht ausreicht. Eine mutmaßliche Einwilligung reicht ebenfalls nicht aus (vgl. Köhler, in: Köhler/Feddersen, UWG, § 7 Rn. 250). Es kann demnach dahinstehen, welche Rückschlüsse auf das Bestehen einer mutmaßlichen Einwilligung aus einem (indirekten) Kontakt auf LinkedIn gezogen werden können.

c. Auch liegen die Voraussetzungen des § 7 Abs. 3 UWG nicht vor. Eine unzumutbare Belästigung mit einer Werbung unter Verwendung von elektronischer Post ist nicht anzunehmen, wenn er (1) die elektronische Postadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat, (2) er diese Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet, (3) der Kunde der Verwendung nicht widersprochen hat und (4) der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Die Voraussetzungen liegen nicht vor, da der Beklagte die E-Mail-Adresse unstreitig nicht im Zusammenhang mit dem Verkauf von Ware oder Dienstleistung erhalten hat.

d. Der Eingriff in das Recht der Klägerin am eingerichteten und ausgeübten Gewerbebetrieb ist auch im Übrigen rechtswidrig.

Die Abwägung der widerstreitenden Interessen der Parteien geht zulasten des Beklagten aus, wie sich aus der Wertung des § 7 Abs. 2 UWG ergibt. Das Interesse der Klägerin überwiegt das Interesse des Beklagten, der Klägerin Werbung mit elektronischer Post ohne ihr Einverständnis zuzuleiten. Der Schutz der geschäftlichen Sphäre, so auch die Ungestörtheit der Betriebsabläufe, ist vorrangig gegenüber dem ökonomischen Interessen von anderen Gewerbetreibenden. Eine andere Beurteilung ergibt sich auch nicht daraus, dass sich die Klägerin auf sozialen Netzwerken präsentiert und verknüpft. Unstreitig erfolgte die Werbung nicht über das soziale Netzwerk, sondern mittels eines anderen Kommunikationsweges – nämlich der E-Mail. Dass die Präsentation auf sozialen Netzwerken den Eingriff in die Betriebsabläufe durch die ungewollte Werbung auf einem anderen Kommunikationskanal weniger intensiv macht, ist nicht ersichtlich.

e. Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr wird durch das festgestellte rechtsverletzende Verhalten der Beklagten indiziert (vgl. BGH, NJW 2016, 870). Die Wiederholungsgefahr hätte nur durch Abgabe einer strafbewehrten Unterlassungserklärung ausgeräumt werden können (vgl. BGH GRUR 1985, 155, 156). Die gegenüber der Klägerin abgegebene Unterlassungserklärung im Rahmen des Prozesses ist nicht geeignet, die Wiederholungsgefahr zu beseitigen, da sie nicht strafbewehrt ist. Die Wiederholungsgefahr entfällt deshalb auch nicht durch die behauptete Entnahme der Klägerin aus dem Verteiler, da der Klägerin keine Sanktionsmöglichkeit für den Fall der Zuwiderhandlung gegenüber dem Beklagten zusteht.

2. Der Klägerin steht ein Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten gem. § 823 BGB in Höhe von 453,87 € zu.

Ebenso wie im Wettbewerbsrecht hat der Verletzte, der seinen Unterlassungsanspruch auf §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB stützt, grundsätzlich einen Anspruch auf Erstattung der Abmahnkosten, wenn die Abmahnung begründet war. Lässt sich der Verletzte bei der Abmahnung anwaltlich vertreten, so hat der Verletzer die gesetzlichen Gebühren des Rechtsanwalts nach dem Rechtsanwaltsvergütungsgesetz zu tragen, wenn die Beauftragung eines Rechtsanwalts zur Wahrnehmung der Rechte erforderlich und zweckmäßig war (vgl. BGH, GRUR 2013, 1259). Die Abmahnung diente der vorgerichtlichen Rechtsverfolgung und sollte die entstandene Wiederholungsgefahr im Wege der Aufforderung zur Abgabe einer strafbewehrten Unterlassungserklärung ausräumen. Eine eigene Sachkunde des Abmahnenden, die die Beauftragung eines Rechtsanwalts nicht notwendig erscheinen lassen könnte, ist weder ersichtlich noch dargelegt. Die Einschaltung des Rechtsanwalts war auch erforderlich, denn die vom Beklagten aufgezeigten Alternativen in Form der Abmeldung vom Newsletter oder der Einschaltung der Bundesnetzagentur führen nicht dazu, dass die Klägerin einen Anspruch aus der strafbewehrten Unterlassungserklärung im direkten Verhältnis zum Beklagten erhält.

Auch die Höhe der vorgerichtlichen Rechtsanwaltskosten ist nicht zu beanstanden. Die Kosten sind der Höhe nach auf den Streitwert von 3.500 € erforderlich (Geschäftsgebühr Nr. 2300 VV RVG 361,40 €; Auslagen Nr. 7001, 7002 VV RVG 20 €, Umsatzsteuer 72,47 €).

Bei einem Anspruch auf Unterlassen des Zusendens von Werbe-Emails bemisst sich der Streitwert anhand des Interesses des Klägers, nicht von Werbe-Emails belästigt zu werden. Die Kontaktaufnahme mit der Klägerin auf ihrer beruflichen E-Mail-Adresse stellt eine nicht unwesentliche Belästigung in ihrem Geschäftsbetrieb dar. Es handelt sich um zwei Verstöße, sodass die Streitwertfestsetzung von 3.500 € angemessen ist (vgl. AG Düsseldorf, Urt. v. 09.05.2025 – 230 C 288/24, OLG Dresden K&R 2024, 673).

Es kann dabei dahinstehen, ob eine Rechnung durch den klägerischen Prozessbevollmächtigten erstellt wurde.

Nach § 10 Abs. 1 Satz 1 RVG kann der Rechtsanwalt die Vergütung nur aufgrund einer von ihm unterzeichneten und dem Auftraggeber mitgeteilten Berechnung einfordern. Eine Mitteilung der Berechnung in der Vergütungsklageschrift oder einem anderen Prozessschriftsatz reicht aber aus. Für diese kommt es nur darauf an, dass die Berechnung dem Mandanten eine Überprüfung ermöglicht und damit gegebenenfalls Grundlage einer gerichtlichen Auseinandersetzung sein kann (vgl. OLG Düsseldorf, Urt. v. 08.02.2011 24 U 112/09). Diese erforderlichen Informationen sind der Klageschrift beigefügt und der Klägerin damit bekannt. Darüber hinaus kann sich der Dritte nicht darauf berufen, dass der Rechtsanwalt gegenüber dem Mandanten noch keine Kostennote i.S.d. § 10 RVG gestellt hat, da § 10 RVG nur das Verhältnis des Mandanten zum Rechtsanwalt betrifft (vgl. OLG München, Urt. v. 23.05.2014 – 10 U 5007/13).

Ebenfalls dahinstehen kann, ob die Klägerin die Forderung bereits beglichen hat. Der Befreiungsanspruch, der sodann zunächst gegen den Beklagten bestand, hat sich in einen Zahlungsanspruch umgewandelt. Der Beklagte hat die Erfüllung dieses Anspruchs spätestens durch ihr Verhalten im Prozess ernsthaft und endgültig verweigert (vgl. BGH, Urt. v. 09.07.2015 – I ZR 224/13).

Den Volltext der Entscheidung finden Sie hier:

OLG München
Urteil vom 18.12.2025
14 U 1068/25

Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 750 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.

Der Klägerin steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 750,- € zu (dazu sogleich 4.1.), daneben ein Anspruch auf Feststellung eines Verstoßes gegen den Nutzungsvertrag (dazu 4.2.), Ansprüche auf Unterlassung einer Verarbeitung bestimmter personenbezogener Daten (dazu 4.3.) und auf Erstattung vorgerichtlicher Rechtsanwaltskosten (dazu 4.4.).

Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.

4.1. Der Senat geht davon aus, dass die Klägerin einen einheitlichen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 55) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. ... ... Tools) wurzelt (s. Klageschrift S. 29: "der Verstoß").

Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH "einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind [...] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt [...]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen [...]."

Ein solcher Anspruch besteht vorliegend in Höhe von 750,- €.

4.1.1. Für den Senat steht fest, dass die Beklagte mithilfe der ... ... Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. ...#).

4.1.1.1. Technische Grundlage und Datenschutzeinstellungen

4.1.1.1.1. Über die sog. ... ... Tools ("u.a. ...-Pixel, C# ... (vormals bekannt als ...I), das ... für App Events, Offline-C# ... und die App ...", s. Anlage B5) erhält die Beklagte ...Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.

4.1.1.1.2. Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 31 = Bl. 308 f. LGA) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die ... ... Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 304 ff. LGA) ist es "eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. [...] Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. [...]"

4.1.1.1.3. Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der ... ... Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 35 f. = Bl. 310 f. LGA). Die ... Tools Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.

4.1.1.1.4. Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.

4.1.1.1.4.1. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem ...-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B7, S. 41).

4.1.1.1.4.2. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 62 = Bl. 322 LGA), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 63) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: "die C# ... ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben"; hierzu Duplik, Rz. 60 = Bl. 321 LGA.).

4.1.1.1.4.3. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).

4.1.1.2. Die Klägerin hat im Rahmen ihrer erstinstanzlich erfolgten persönlichen Anhörung erklärt, ihr sei aufgefallen, dass ihr zu zuvor gegoogelten Themen Werbung angezeigt wurde. Sie habe schon zuvor unter einer generalisierten Angststörung gelitten und sei auch schon in psychologischer Behandlung gewesen. Sie google viele Symptome und möchte nicht, dass ein Dritter wisse, wie es um ihre Gesundheit bestellt sei. Ihre generalisierte Angststörung sei dadurch "befeuert" worden (Protokoll der erstinstanzlichen mündlichen Verhandlung vom 06.02.2025, Bl. 482 – 484, dort S. 2 = Bl. 483 LGA).

Die Beklagte hat insoweit mit Nichtwissen bestritten, dass der streitgegenständliche Sachverhalt Thema der Behandlung der Klägerin gewesen wäre (ebd.). Nicht bestritten und damit vom Senat zugrunde zu legen ist die restliche Erklärung der Klägerin, sie google viele Symptome, ihr sei zu gegoogelten Themen Werbung angezeigt worden und ihre bereits zuvor vorhandene generalisierte Angststörung sei durch ihre Aufklärung über den streitgegenständlichen Sachverhalt "befeuert" worden.

4.1.1.2.1. Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps ... ... Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).

4.1.1.2.2. Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein "der ... Pixel [...] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut" sei (Replik, S. 49 = Bl. 191 d.A.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.

4.1.2. Nachdem der Klägerin unstreitig Werbung zu gegoogelten Themen gezeigt wurde (s.o. unter Punkt 4.1.1.2.), liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist, vor.

4.1.2.1. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).

4.1.2.2. Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden "Kontaktinformationen" und/oder "Event-Daten" (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem ... betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, "dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von ... aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird" (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).

4.1.2.3. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IPAdresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: "Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren [...]"; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).

4.1.2.4. Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.

4.1.2.4.1. Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand.

4.1.2.4.2. Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der ... ... Tools in eine Webseite oder App quasi eine "dynamische Verweisung" auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine "gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an ... über gewisse ... ... Tools" besteht, hat die Beklagte eingeräumt (Duplik, Rz. 41, 45 = Bl. 313 f. LGA, vgl. auch die Nutzungsbedingungen für die ... ... Tools in Anlage B5, dort S. 5).

4.1.3. Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.

4.1.3.1. Von Bedeutung ist dabei zunächst, "dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren" (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 23, Fn. 10) selbst auf die sog. Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: "[Es ist] sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. [...] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht."

Den Volltext der Entscheidung finden Sie hier:

OLG Jena
Urteil vom 17.11.2025
3 U 885/24

Das LG Jena hat entschieden, dass die Nutzung einer Gesichtserkennungssoftware durch eine Universität zur Authentifizierung bei einer Online-Prüfung nur mit Einwilligung zulässig ist. Vorliegend hat das Gericht dem Betroffenen 200 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Der Klägerin steht gemäß Art. 82 Abs. 1 DSGVO ein Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens aufgrund der rechtswidrigen Verarbeitung biometrischer Daten der Kläger durch die Beklagte zu.

Bei der Nutzung der Gesichtserkennungssoftware des Anbieters Uniwise sind biometrische Daten der Klägerin im Sinne von Art. 4 Nr. 14 DSGVO verarbeitet worden. Durch den automatisierten Abgleich der während der Online-Prüfungen aufgenommenen Bilder vom Gesicht der Klägerin mit dem am 09.07.2020 erstellten Referenzbild wurden mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der Klägerin, die ihre eindeutige Identifizierung ermöglichen oder bestätigen, zur Feststellung möglicher Täuschungsversuche verwendet. Diese Verarbeitung der biometrischen Daten der Klägerin war unter den hier vorliegenden Umständen auch rechtswidrig. Gemäß Art 9 Abs. 1 DSGVO ist die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person grundsätzlich untersagt, es sei denn es liegt ein in Art. 9 Abs. 2 DSGVO geregelter Ausnahmefall vor. Ein solcher Ausnahmefall kann hier jedoch nicht angenommen werden.

Der in § 9 Abs. 2 Buchst. a DSGVO geregelte Fall einer ausdrücklichen Einwilligung der von der Verarbeitung ihrer biometrischen Daten betroffenen Person ist hier nicht gegeben. Eine solche ausdrückliche Einwilligung kann insbesondere nicht durch den Umstand angenommen werden, dass die Klägerin aus dem Katalog der möglichen Durchführung von Prüfungen während der Corona-Pandemie die Möglichkeit 1 (Absolvierung der Prüfung außerhalb des Unicampus) ausgewählt hat. In der Wahl dieser Prüfungsart liegt weder eine konkludente noch eine von der genannten Norm erforderte ausdrückliche Einwilligung der Klägerin mit der Verarbeitung ihrer biometrischen Daten. Der Umstand, dass nach der entsprechenden Auswahl durch die Klägerin ein Referenzbild von ihr angefertigt wurde, konnte zwar die Vermutung der Klägerin begründen, dass bei der Online-Prüfung eine automatisierte Gesichtserkennungssoftware zum Einsatz kommt. Durch die bloße Hinnahme dieses Procederes hat sie jedoch nicht ihr Einverständnis mit der konkreten Verarbeitung ihrer biometrischer Daten durch die zum Einsatz gebrachte Gesichtserkennungssoftware erklärt. Jedenfalls fehlt es insoweit an der im Gesetz vorgeschriebenen Ausdrücklichkeit der Einwilligungserklärung. Hierzu hätte es einer expliziten Belehrung der Klägerin über die durch die Nutzung der Gesichtserkennungssoftware ermöglichte Verarbeitung ihrer biometrischen Daten und einer hierauf bezogenen konkreten Einwilligungserklärung der Klägerin bedurft. Eine solche ausdrückliche Einwilligungserklärung hat sie nicht abgegeben. Auch die Möglichkeit, sich bei Auskunftsstellen der Universität näher über den Prüfungsablauf informieren zu können, ersetzt das Erfordernis einer solchen ausdrücklichen Einwilligungserklärung nicht.

Die Zulässigkeit der Verarbeitung der biometrischen Daten der Klägerin ergibt sich auch nicht aus Art. 9 Abs. 2 Buchst. e DSGVO. Durch die Veröffentlichung von Gesichtsbildern in den sozialen Medien seit dem Jahr 2015 hat die Klägerin keine biometrischen Daten veröffentlicht, sondern lediglich die Möglichkeit geschaffen, dass Dritte biometrische Daten aus diesen Bildern gewinnen können. Ob die Klägerin durch die vorherige Veröffentlichung ihrer Bilder im Internet bereits die Kontrolle über diese personenbezogenen Daten verloren hat, spielt in diesem Zusammenhang keine Rolle, sondern ist erst für die Frage relevant, inwieweit ihr durch den Datenschutzverstoß ein Schaden entstanden ist.

Auch aus der Norm des Art. 9 Abs. 2 Buchst. g DSGVO kann keine Rechtfertigung für die Verarbeitung der biometrischen Daten hergeleitet werden. Zwar mag die Durchführung von Fernprüfungen während der Corona-Pandemie zwecks Aufrechterhaltung des Lehr- und Prüfungsbetriebes in den Hochschulen einem gewissen öffentlichen Interesse entsprochen haben. Dieses öffentliche Interesse erforderte es jedoch nicht wie geschehen eine Verarbeitung biometrischer Daten, durch die nicht unerheblich in das informationelle Selbstbestimmungsrecht des Betroffenen eingegriffen wird, ohne Einholung einer ausdrücklichen Einwilligungserklärung des Betroffenen vorzunehmen, zumal auch andere Möglichkeiten der Prüfungsdurchführung während der Pandemie zur Verfügung standen.

Durch die unzulässige Verarbeitung der biometrischen Daten der Klägerin bei der Durchführung der Online-Prüfungen ist dieser auch ein wenn auch eher als nicht allzu intensiv einzuschätzender Schaden in Form einer psychischen Beeinträchtigung entstanden, für den die Beklagte gemäß Art. 82 Abs. 1 DSGVO Ersatz zu leisten hat.

Die Klägerin hat bei ihrer Anhörung durch das Landgericht erklärt, dass sie während der Fernprüfungen aufgrund der Nutzung der Gesichtserkennungssoftware dauerhaft befürchtet habe, durch bestimmte Bewegungen ihres Kopfes den Übereinstimmungsreferenzwert zwischen aktuellem Bild und dem Referenzbild zu unterschreiten und hierdurch infolge der Softwarefunktion dem Prüfer automatisch Veranlassung zur Überprüfung eines Täuschungsversuches ihrerseits bieten könnte. Der Senat hält diese Bekundungen auch für plausibel. Insbesondere der Umstand, dass eine automatisierte Erkennungssoftware zum Einsatz gekommen ist, lässt das wenn auch vielleicht diffuse Gefühl, dass ohne eigene Einflussmöglichkeit ständig die Möglichkeit besteht, dem Vorwurf eines Täuschungsversuches ausgesetzt zu sein, durchaus nachvollziehbar erscheinen. Entgegen dem Vorbringen der Beklagten ist die Behauptung auch nicht deshalb unglaubhaft, weil sie erst im späteren Verlauf des Verfahrens aufgestellt wurde. Vielmehr hat die Klägerin bereits in der Klageschrift vorgetragen, dass die automatische Überwachung sie während der Prüfungssituation unter erheblichen Stress gesetzt habe und in ihr die Angst ausgelöst habe, dem unbegründeten Verdacht eines Täuschungsversuchs ausgesetzt zu sein. Dass das Landgericht diese Bekundung der Klägerin für unglaubhaft gehalten hat, ergibt sich aus den Ausführungen im Urteil nicht. Vielmehr meinte das Landgericht, hieraus nicht den Schluss ziehen zu können, dass der Klägerin ein immaterieller Schaden entstanden ist. Soweit das Landgericht damit argumentiert hat, dass der Umstand, dass sich die Klägerin vor den Prüfungen nicht bei Auskunftsstellen der Beklagten über den genauen Ablauf der Fernprüfungen informiert habe, gegen die Annahme eines immateriellen Schadens spreche, handelt es sich nach Auffassung des Senats letztlich um die unbewusste Anwendung des Erfordernisses einer Erheblichkeitsschwelle für die Annahme eines immateriellen Schadens durch das Landgericht, da dieses Argument nicht geeignet ist, die Befürchtungen der Klägerin als solche zu widerlegen, sondern die Annahme begründet, dass die Befürchtungen nicht allzu intensiv gewesen sein können. Die weitere Schlussfolgerung des Landgerichts, dass die psychische Beeinträchtigung nicht spezifisch auf die Verarbeitung biometrischer Daten zurückzuführen ist, da anzunehmen sei, dass diese auch bei der Durchführung herkömmlicher videoüberwachter Prüfungen aufgetreten sei, vermag der Senat nicht zu teilen. Zwischen diesen Prüfungssituationen besteht ein erheblicher Unterschied. Während bei einer bloß videoüberwachten Prüfung für den Prüfer nur dann Anlass besteht, Ermittlungen wegen eines möglichen Täuschungsversuchs aufzunehmen, wenn er durch eigene Anschauung entsprechende Anhaltspunkte hierfür gewonnen hat, wird die entsprechende Verdachtsprüfung durch den automatisierten Einsatz der Gesichtserkennungssoftware ausgelöst. Für den Prüfling besteht hierdurch ein Gefühl, „der Technik ausgeliefert zu sein“ und das Auslösen eines Verdachts der Täuschung letztlich nicht beeinflussen zu können. Die von der Klägerin geschilderten Befürchtungen sind also gerade auf die Verwendung der Gesichtserkennungssoftware und die hierdurch erfolgte Verarbeitung biometrischer Daten zurückzuführen.

Eine nochmalige Anhörung der Klägerin war entgegen der Auffassung der Beklagten nicht erforderlich, um bezüglich der Beweiswürdigung in Bezug auf den Eintritt einer psychischen Beeinträchtigung zu einem anderen Ergebnis zu kommen als das Landgericht. Die von derjenigen des Landgerichts abweichende Beweiswürdigung des Senats beruht nicht auf einer unterschiedlichen Einschätzung der Glaubhaftigkeit der Aussage der Klägerin, sondern auf divergierenden Schlussfolgerungen, die aus den Bekundungen der Klägerin im Hinblick auf den Eintritt eines ersatzfähigen Schadens gezogen wurden.

Der Senat bewertet den der Klägerin durch die erlittene psychische Beeinträchtigung entstandenen immateriellen Schaden mit einem Betrag von 200 EUR. Dabei war zu beachten, dass es sich nach Einschätzung durch den Senat vorliegend um eine eher geringfügige Beeinträchtigung von nicht sehr hoher Intensität handelt. Die Befürchtungen bestanden vorliegend nicht dauerhaft, wie das etwa bei der Veröffentlichung personenbezogener Daten im Internet der Fall ist, sondern nur punktuell während der Zeit der Fernprüfungen. Darüber hinaus drohten der Klägerin bei einem Auslösen des „Alarms“ durch die Software bei Unterschreitung des Referenzwertes noch keine unmittelbar nachteiligen Konsequenzen, sondern lediglich Maßnahmen zur Überprüfung des Grundes für das Auslösen der Software. Ein solche Überprüfung ist zwar für den Prüfling nachvollziehbarerweise mit unangenehmen Gefühlen verbunden, stellt aber noch kein so gravierendes Übel dar, dass von einer hohen psychischen Beeinträchtigung ausgegangen werden kann. Hinzu kommt, dass mit der Absolvierung mehrerer Fernprüfungen, bei denen der „Alarm“ durch die Software gerade nicht ausgelöst worden war, bei der Klägerin ein Gewöhnungseffekt eingetreten sein dürfte, der bei den später absolvierten Klausuren die Intensität der Befürchtungen, wenn sie überhaupt noch vorhanden waren, deutlich verringert haben dürfte. Der Senat hält daher die Bewertung des Schmerzensgeldbetrages mit einem im unteren Bereich der Bemessungsskala angesiedelten Betrag für gerechtfertigt.

Ein weitergehender Schaden in Form eines Kontrollverlustes über ihre biometrischen Schaden ist der Klägerin nicht entstanden. Allerdings hat der BGH in seiner nach Erlass des Urteils des Landgerichts ergangenen Leitentscheidung vom 18.11.2024, Az.:VI ZR 10/24, juris entschieden, dass der bloße Kontrollverlust über personenbezogene Daten bei dem von einem Datenschutzverstoß Betroffenen bereits einen ersatzfähigen Schaden darstellt. Jedoch muss der Betroffene den Eintritt eines solchen Kontrollverlusts darlegen und gegebenenfalls beweisen. Der Datenschutzverstoß als solcher stellt noch keinen Nachweis eines Kontrollverlusts dar.

Vorliegend hat die Klägerin durch die Verarbeitung ihrer biometrischen Daten schon deshalb keinen Kontrollverlust erlitten, weil sie zum Zeitpunkt der Datenverarbeitung bereits keine Kontrolle mehr über ihre ihr Gesicht betreffenden biometrischen Daten gehabt hat. Die Klägerin hat unstreitig Fotos von ihrem Gesicht seit 2015 auf stark besuchten Internetplattformen, insbesondere Instagram, veröffentlicht und erst 2022 die Sichtbarkeit dieser Bilder zumindest auf einen beschränkten Personenkreis reduziert. Damit bestand für eine unbegrenzte Vielzahl von Nutzern der Plattform Instagram über eine lange Zeitdauer die potentielle Möglichkeit, aus den Gesichtsfotos der Klägern biometrische Daten zu gewinnen. Dieses Vorbringen der Beklagten hat die Klägerin nicht bestritten. Die Generierung und Nutzung der biometrischen Daten der Klägerin war somit für eine unbegrenzte Vielzahl von Internetnutzern auf aller Welt gegeben, so dass die Klägerin nicht mehr die Kontrolle über ihre biometrischen Daten, soweit sie ihr Gesicht betreffen, besaß. Der Umstand, dass die Generierung und Nutzung von biometrischen Daten aus den von ihr veröffentlichten Bildern regelmäßig rechtswidrig sein dürfte, ändert am Eintritt des Kontrollverlusts nichts. Einem Kontrollverlust über personenbezogene Daten ist es gerade immanent, dass deren - insbesondere missbräuchliche - Verwendung durch Dritte durch den Betroffenen nicht mehr verhindert werden kann. Die Annahme der Klägerin, dass der von einem vor dem Datenschutzverstoß bereits eingetretenen Kontrollverlust Betroffene der Verwendung seiner Daten schutzlos ausgeliefert sei, ist unzutreffend. Selbstverständlich kann der Betroffene bei einer rechtswidrigen Generierung oder Verwendung seiner biometrischen (oder sonstigen personenbezogenen) Daten Schadensersatz geltend machen, wenn ihm hierdurch ein materieller oder immaterieller Schaden entstanden ist. Er kann lediglich keinen Schadensersatz wegen des (bloßen) Kontrollverlusts über seine personenbezogenen Daten mehr verlangen.

Schadensersatz wegen eines etwaigen Kontrollverlusts über ihre biometrischen Daten, der sich angesichts der Rechtsprechung des BGH im Urteil vom 18.11.2024, Az.: VI 10/24, wonach selbst der Kontrollverlust über dauerhaft im Darknet veröffentlichte personenbezogene Daten mit einem Schadensbetrag von etwa 100 EUR zu bewerten ist, ohnehin in einem eher symbolischen Bereich bewegen dürfte, kann die Klägerin somit nicht geltend machen.

Ein Verstoß gegen Art. 22 DSGVO liegt nicht vor. In dem Umstand, dass das Unterschreiten oder Nichtunterschreiten des Referenzwertes die Grundlage für eine Überprüfung des Vorliegens eines Täuschungsversuches bildet, sieht der Senat wie das Landgericht weder eine rechtliche wirksame Entscheidung für die Klägerin noch diese hierdurch „in ähnlicher Weise beeinträchtigt“. Das ist auch dann der Fall, wenn man wie angeblich in anderen Sprachversionen eine „beträchtliche Auswirkung“ fordert. Selbst wenn man einen Verstoß gegen Art. 22 DSGVO bejahen würde, stünde der Klägerin kein weitergehender Ersatz eines Schadens, den sie nicht bereits durch den Verstoß gegen Art. 9 Abs. 1 DSGVO verlangen kann, zu. Aus demselben Grund kann auch dahinstehen, ob dem Grunde nach Schadensersatzansprüche aus § 823 Abs. 2 BGB aus § 839 BGB i.V.m. Art. 34 GG oder aus § 25 TMMG gegeben sind.

Ein Verstoß gegen Art. 44 DSGVO (Übermittlung von Daten in Staaten außerhalb der EU) begründet ebenfalls keinen Schadensersatzanspruch, da eine entsprechende Datenschutzverletzung schon nicht feststeht. Insbesondere steht nicht fest, dass Daten an die in den USA ansässigen Gesellschaften der Mutterkonzerne Amazon bzw. Google übermittelt wurden. Darüber hinaus wäre die Klägerin durch die Übermittlung von Daten an den in den USA ansässigen Mutterkonzern Amazon aufgrund des bereits zuvor eingetretenen Kontrollverlust über ihre biometrischen Daten nicht zusätzlich geschädigt.

Ein Verstoß gegen die Verpflichtung der Beklagten, gemäß Art. 28 Abs. 3 und 4 DSGVO Verträge mit dem dort geregelten Inhalt mit den Auftrags- bzw. Unterauftragsverarbeitern zu schließen, dürfte zwar vorliegen, da die Beklagte solche Verträge trotz ausdrücklichen Bestreitens der Behauptung durch die Klägerin, dass solche existieren, nicht vorgelegt hat. Auch diesbezüglich hat die Klägerin jedoch keinen weitergehenden Schaden erlitten.

Auf die Geltendmachung von Schadensersatz wegen der Übermittlung von IP-Adressen der Klägerin an den Google-Konzern im Zusammenhang mit der Verwendung der Software WISEflow hat diese im Laufe des Verfahrens verzichtet. Die streitige Rechtsfrage (vgl. den Vorlagebeschluss des BGH an den EuGH vom 28.08.2025, Az.: VI ZR 258/24), in welchen Konstellationen an Dritte übermittelte IP-Adressen als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO anzusehen sind, kann somit offenbleiben.

Die Klägerin kann ebenfalls keinen Schadensersatz wegen der Verwendung des Lock-Down-Browsers der Firma Respondus verlangen. Hierbei handelt es sich nicht um einen Datenschutzverstoß durch die Beklagte. Dass durch den Zugriff auf das seitens der Klägerin auf ihrem Laptop installierte Programm auf auf dem Endgerät gespeicherte Daten zugegriffen wurde, die über die Programmbibliotheken des Lock-Down-Programms selbst hinausgehen, hat die Klägerin weder substantiiert vorgetragen noch hierzu Beweis angetreten. Der Zugriff auf die Daten des Programms, welches die Klägerin selbst auf Veranlassung der Beklagten zur Verhinderung der Inanspruchnahme unerlaubter Hilfsmittel bei den Fernprüfungen installiert hat, ist nicht rechtswidrig. Die Klägerin hat sich durch die Installation des Programms zwecks Teilnahme an der Fernprüfung mit dem Zugriff auf die Programmdaten während der Prüfung zumindest konkludent einverstanden erklärt. Zudem ist nicht ersichtlich, dass die Klägerin durch den Zugriff auf die Programmbibliotheken des Lock-Down-Programms einen Schaden erlitten hat.

Die Klägerin hat gegen die Beklagte daher einen Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens in Höhe von 200 EUR, so dass das Urteil des Landgerichts entsprechend abzuändern war.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt
Urteil vom 11.12.2025
6 U 81/23

Das OLG Frankfurt hat entschieden, dass jeder der am Setzen von Cookies mitwirkt, Anbieter im Sinne von § 25 TDDDG ist und ggf. auf Unterlassung und Schadensersatz haftet, wenn die erforderliche Einwilligung fehlt

Aus den Entscheidungsgründen:
e) Entgegen der Auffassung der Beklagten ist sie auch Verpflichtete des § 25 TDDDG.

Die Verpflichtung nach § 25 TDDDG ist nicht auf „Anbieter“ beschränkt wie andere Verpflichtungen des TDDDG (zB § 19); § 25 TDDDG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendiensts sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (Erwägungsgrund 66 S. 1 Cookie-RL), die üblicherweise nicht von Telemedienangeboten ausgehen (VG Köln, Urteil vom 17.07.2025, 13 K 1419/23, GRUR-RS 2025, 17335, Rnr. 80 ff.; Gierschmann/Baumgartner/Hanloser, 2023, TDDDG § 25 Rn. 42; HK-TDDDG/Schneider, 2022, TDDDG § 25 Rn. 17; BeckOK IT-Recht/Sesing-Wagenpfeil, 20. Ed. 1.10.2025, TTDSG § 25 Rn. 41-51).

Adressat des § 25 I 1 TDDDG ist daher jede natürliche oder juristische Person, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind (VG Köln Urt. v. 17.7.2025 - 13 K 1419/23, GRUR-RS 2025, 17335 Rn. 82).

Im Übrigen wäre die Beklagte auch als „Anbieterin“ iSv § 2 II Nr. 1 TDDDG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt - wobei der Begriff des „Mitwirkenden“ alle Arten von Hilfeleistung erfassen soll (HK-TDDDG/Assion, 1. Aufl. 2022, TDDDG § 2 Rn. 16-18) - oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. § 2 II Nr. 1 TDDDG liegt ein funktionales Verständnis zu Grunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TDDDG führt (Gierschmann/Baumgartner/Baumgartner, 1. Aufl. 2023, TDDDG § 2 Rn. 13), so z.B. auch der Hosting-Provider. Daher ist auch die Beklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch die Setzung der Cookies mitwirkt.

Der Ansicht des Senats steht - entgegen der Auffassung der Beklagten - nicht entgegen, dass Verfahren auf Grundlage von § 25 TDDDG (bzw. § 25 TTDSG) bisher nur gegen Webseitenbetreiber geführt worden sein sollen. Dass für ein Verstoß gegen § 25 TDDDG auch der Webseitenbetreiber verantwortlich sein kann, wird vom Senat nicht in Frage gestellt. Dies schließt allerdings nicht aus, dass auch eine Verantwortlichkeit der Beklagten besteht. Auch die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ stehen - unabhängig von der rechtlichen Unverbindlichkeit für den Senat - dem nicht entgegen, weist doch die Beklagte selber darauf hin, dass sich diese Hinweise „vor allem“ an Telemedienanbieter richten soll und eben nicht nur an diese.

Dies steht auch nicht in Widerspruch zu Art. 5 III der Cookie-Richtlinie, die durch § 25 TDDDG umgesetzt wird. Ebenso wie das TDDDG unterscheidet auch die Cookie-Richtlinie zwischen Pflichten, die gegenüber jedermann gelten und Pflichten, die nur Diensteanbieter betreffen sollen. Soweit im „Planet49“-Urteil des EuGH (MMR 2019, 732) im dritten Leitsatz der Begriff des „Diensteanbieters“ auftaucht, kann dies die Auslegung von Art. 5 III der Cookie-Richtlinie nicht beeinflussen. Leitsätzen kommt schon kein rechtlicher Charakter zu, der für die Auslegung einer Norm relevant wäre. Im Übrigen hat sich der EuGH in der Entscheidung an keiner Stelle mit der Frage der Anwendbarkeit von Art. 5 III der Cookie-Richtlinie auf Diensteanbieter befasst. Dass der Leitsatz gleichwohl auf einen Diensteanbieter Bezug nimmt, lässt sich zwangslos durch die Tatsache erklären, dass im Ausgangsverfahren eben ein Diensteanbieter beteiligt war.

f) Die Speicherung von Cookies ohne Einwilligung des Klägers auf dessen Endgerät stellt einen Verstoß gegen § 25 I TDDDG dar.

(1) Bei den streitgegenständlichen „Cookies“ handelt es sich um Informationen im Sinne von § 25 I TDDDG. Soweit die Beklagte darauf hinweist, es würden nur die IP-Adresse (anonymisiert), die Device-/Cookie-ID (Pseudonymisiert), der Besuchszeitpunkt sowie der verwendete Browser gespeichert, steht dies der Anwendung von § 25 TDDDG nicht entgegen. Der Begriff der Information wird im TDDDG nicht näher konturiert. Die Literatur verweist darauf, dass der Begriff umfassend zu verstehen sei (Schwartmann/Jaspers/Eckhardt/Burkhardt/Reif/Schwartmann Rn. 21; Plath/Piltz Rn. 38; Sebisch DSRITB 2022, 243, 250), sodass jegliche Information von der Vorschrift erfasst werde (Schürmann/Guttmann K&R 2023, 246, 247; Säcker/Körber/Werkmeister Rn. 15). Insbesondere auf einen Personenbezug der Information kommt es nicht an (Baumgartner/Hansch ZD 2020, 435, 437; Golland NJW 2021, 2238, 2239; Haberer MMR 2020, 810, 812; Hanloser ZD 2021, 121; Nebel CR 2021, 666, 670; HK-TDDDG/Schneider Rn. 23; Schürmann/Guttmann K&R 2023, 246, 247; Sebisch BeckOK IT-Recht/Sesing-Wagenpfeil, 16. Ed. 1.10.2024, TDDDG § 25 Rn. 22).

(2) Der Senat hat davon auszugehen, dass beim Besuch mehrerer Internetseiten Cookies der Beklagten ohne Einwilligung des Klägers auf dessen Endgerät gespeichert worden sind. Den entsprechenden Vortrag des Klägers hat die Beklagte nicht substantiiert bestritten.

aa) Der Kläger hat unter Vorlage ihres Privatgutachtens im Einzelnen dargetan, welche Internetseiten er besucht hat und dass im Anschluss die Cookies der Beklagten auf seinem Rechner gespeichert waren, ohne dass er dazu seine Einwilligung erteilt hatte. Darüber hinaus hat er mithilfe des Privatgutachtens dargestellt, wie dies festzustellen ist und insbesondere wie der Vorgang überprüfbar nachvollzogen werden kann, was der Privatgutachter getan hat und was die Beklagte ohne weiteres selbst überprüfen kann. Damit handelt es sich bei dem Vortrag des Klägers um Tatsachen, die Gegenstand der Wahrnehmung der Beklagten sein können, so dass sich die Beklagte vollständig und wahrheitsgemäß über die Darlegung des Klägers erklären müsste, wenn sie den gegnerischen Vortrag bestreiten wollte (§ 138 ZPO), ohne dass sie dafür die HAR-Datei der Beklagten benötigen würde.

Zudem hat der Kläger auf den Beschluss des Senats nach § 144 ZPO die HAR-Datei vorgelegt. Dieses neue Angriffsmittel war auch nicht nach § 531 I ZPO verspätet; es war vielmehr nach § 531 II Nr. 2 ZPO zuzulassen, da es infolge eines Verfahrensmangels im ersten Rechtszug nicht geltend gemacht wurde. Die Bestimmung des § 531 II Nr. 2 ZPO erfasst die Fälle, in denen eine Partei aufgrund eines objektiven Verfahrensfehlers des Erstgerichts Angriffs- und Verteidigungsmittel nicht vorgebracht hat. Darunter fällt insbesondere der Fall, dass nach § 139 gebotene Hinweise unterbleiben (BGH NJW 2004, 2152; BGH NJW 2018, 2202), sei es in Gestalt eines erforderlichen Hinweises nach § 139 I 2 ZPO zur Ergänzung und Vervollständigung des Vorbringens (BGH NJW 2005, 2624) oder eines Hinweises nach § 139 II ZPO, wenn das Erstgericht seine Entscheidung auf einen von der Partei erkennbar übersehenen Gesichtspunkt stützt (BGH NJW-RR 2005, 213; BeckOK ZPO/Wulf/Gaier, 58. Ed. 1.9.2025, ZPO § 531 Rn. 18). Hier hätte das Landgericht nach § 139 ZPO darauf hinweisen müssen, dass der Kläger zu Substantiierung seines Vortrags die HAR-Datei hätte vorlegen müssen. Auch eine Verspätung nach § 296 II ZPO liegt aus den gleichen Gründen nicht vor; eine grobe Nachlässigkeit ist nicht erkennbar.

bb) Dem ist die Beklagte nicht substantiiert entgegengetreten.

Soweit sie ausgeführt hat, die HAR-Datei weise keinerlei Bezug zum Kläger auf und zeige insbesondere nicht die IP-Adresse des Klägers, sondern lediglich isolierte Netzwerkanfragen an Server ohne die ausgehende IP-Adresse ist der Senat nach der informatorischen Anhörung des Klägers davon überzeugt, dass es sich um die Aufzeichnung des Netzwerkverkehrs des Klägers handelt. Der Kläger hat in seiner informatorischen Anhörung vor dem Senat erklärt, die im Verfahren vorgelegte HAR-Datei sei von ihm persönlich auf seinem Rechner angefertigt worden. Sein Rechtsanwalt, Herr J, sei dabei virtuell anwesend. Dabei habe dieser ihm erklärt, wie es funktioniere, eine solche HAR-Datei anzufertigen. Diese habe er anschließend an Herrn J übermittelt, wobei ihm nicht erinnerlich sei, ob dies per E-Mail geschehen oder wegen der Größe der Datei über einen Dienst. Es sei dann darüber informiert worden, dass wegen der HAR-Datei ein Gutachten eingeholt worden sei. Vor diesem Vorgang habe er seine Browser-Daten angeschaut und den Browser-Verlauf gelöscht; anschließend habe er die Seiten wieder angesteuert, die er in seinem Browser-Verlauf gehabt habe.

Aufgrund des Ergebnisses der Anhörung, des persönlichen Eindrucks des Senats von dem Kläger sowie dem Inhalt des Sachverständigengutachtens hat der Senat keine Zweifel daran, dass die streitgegenständliche HAR-Datei bei dem Kläger aufgezeichnet worden ist.

Dass die HAR-Datei als solche das Setzen von Cookies dokumentiert, stellt auch die Beklagte nicht in Frage. Sie hat ausgeführt, dass die HAR-Datei (lediglich) zeige, dass Cookies gesetzt wurden (EA Bl. 371). Dass die Websiteaufrufe von einer dem Kläger zuzuordnenden IP-Adresse erfolgt sind und dass die Cookies auf dem streitgegenständlichen Endgerät des Klägers gesetzt wurden, sieht der Senat - wie oben ausgeführt - als bewiesen an.

(3) Es fehlt auch an der notwendigen Einwilligung des Klägers in die Cookie-Setzung. Die Beklagte rügt, das Landgericht habe verkannt, dass der Kläger nicht bewiesen habe, dass er nicht in die Cookie-Setzung eingewilligt habe. Dabei verkennt sie allerdings die Darlegungs- und Beweislast. Für die Einwilligung als für sie günstige Tatsache ist die Beklagte darlegungs- und beweisbelastet. Seiner sekundären Darlegungslast ist der Kläger insoweit durch die Darlegung der Abläufe und Vorlage des Gutachtens sowie der HAR-Datei nachgekommen, so dass nunmehr die Beklagte eine Einwilligung hätte beweisen müssen.

Eine faktische Einwilligung dadurch, dass der Kläger die Cookies provoziert und damit jedenfalls als Zwischenschritt gewollt habe, liegt ersichtlich nicht vor. Das reine Besuchen der Internetseite ohne ausdrückliche Einwilligung kann nicht als Einwilligung auf der Grundlage von klaren und umfassenden Informationen im Sinne von § 25 I 1 TDDDG angesehen werden.

(4) Entgegen der Auffassung der Beklagten ist die Speicherung auch nicht durch andere Gründe gerechtfertigt. Die beiden gesetzlichen Zugriffsermächtigungen aus § 25 II TDDDG regeln das einwilligungsfreie Speichern und Zugreifen abschließend. Ein Rückgriff auf die datenschutzrechtlichen Erlaubnistatbestände des Art. 6 I lit. b-f DSGVO zur Rechtfertigung eines Gerätezugriffs iSd § 25 I ist ausgeschlossen. Ein berechtigtes Interesse am Gerätezugriff analog Art. 6 I f DSGVO ist § 25 II ist unbekannt (Gierschmann/Baumgartner/Hanloser, 1. Aufl. 2023, TTDSG § 25 Rn. 91).

g) Die Beklagte haftet insoweit auch für den Verstoß gegen § 25 I TDDDG als Täterin.

(1) Die Frage, ob sich jemand als Täter, Mittäter, Anstifter oder Gehilfe in einer die zivilrechtliche Haftung begründenden Weise an einer deliktischen Handlung eines Dritten beteiligt hat, beurteilt sich nach den im Strafrecht entwickelten Rechtsgrundsätzen (vgl. BGH NJW 1975, 49; NJW 1984, 1226; GRUR 2011, 152, Rn. 30 - Kinderhochstühle im Internet I; GRUR 2011, 1018, Rn. 24 - Automobil-Onlinebörse; BGH GRUR 214, 883, Rn.13 - Geschäftsführerhaftung). Täter ist derjenige, der die Zuwiderhandlung selbst begeht (§§ 25 I StGB, 830 Abs. 1 BGB; BGH GRUR 2004, 860 - Internet-Versteigerung I; GRUR 2007, 708 - Internet-Versteigerung II; GRUR 2009, 597, Rn. 14 - Halzband; GRUR 2011, 152, 154, Rn. 30 - Kinderhochstühle im Internet; BGH GRUR 214, 883, Rn.13 - Geschäftsführerhaftung), indem er den objektiven Tatbestand einer Zuwiderhandlung selbst und adäquat kausal verwirklicht (BGH, GRUR 2016, 961, Rn. 32 - Herstellerpreisempfehlung bei Amazon).

(2) Täter ist darüber hinaus in Anlehnung an die strafrechtlichen Kategorien (§ 25 I Alt. 2 StGB) der mittelbare Täter, der sich für den Rechtsverstoß als Hintermann gezielt eines unmittelbar handelnden Tatmittlers als Werkzeug bedient und so den Rechtsverstoß durch einen anderen begeht.

Die mittelbare Täterschaft erfordert zum einen, dass der Hintermann die durch den Tatmittler vorgenommene Zuwiderhandlung im eigenen Interesse veranlasst hat, und zum anderen, dass der Hintermann die Kontrolle über das Handeln des Tatmittlers hat. Im Hinblick auf die zweite Voraussetzung, nämlich die Kontrolle im Sinne der Tatherrschaft, scheidet eine mittelbare Täterschaft jedenfalls dann aus, wenn der Tatmittler den betreffenden Verstoß seinerseits täterschaftlich - also mit eigener Kontrolle und Tatherrschaft über den Geschehensablauf - begangen hat und somit als Täter haftet. Einen „Täter hinter dem Täter“ gibt es grundsätzlich nicht.

Der mittelbaren Täterschaft kommt allerdings nur ein potentiell sehr kleiner Anwendungsbereich zu. Denn für die Begründung einer eigenen Täterschaft reicht in den allermeisten Fällen der objektive Verstoß gegen eine Norm aus; Verschulden oder gar Vorsatz sind nicht erforderlich. Auch ein vorsatzlos handelnder Vordermann ist deshalb in aller Regel nicht nur Tatmittler, sondern selbst Täter, so dass der Hintermann nicht seinerseits als mittelbare Täter verantwortlich gemacht werden kann (Harte-Bavendamm/Henning-Bodewig/Goldmann, 5. Aufl. 2021, UWG § 8, Rnr. 462).

(3) Danach ist die Beklagte hier als Täterin anzusehen: Nach dem unbestritten gebliebenen Vortrag des Klägers ist es die Beklagte, die die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer auch ohne deren Einwilligung speichert, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst wird. Darüber hinaus greift sie - was ebenfalls erstinstanzlich unstreitig geblieben ist - auf die hinterlegten Informationen zu, indem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lässt, nachdem diese die Informationen über die weiteren Webseitenbesuche des Nutzers auf den Endgeräten ausgelesen haben.

Da die § 25 TDDG kein vorsätzliches Handeln erfordert, ist es für die Verwirklichung des Tatbestands unerheblich, ob und inwieweit die Beklagte von der fehlenden Einwilligung des Klägers Kenntnis hatte.

(4) Die Beklagte kann nicht damit gehört werden, dass ihr der Umstand nicht ursächlich zugerechnet werden könne, dass Webseitenbetreiber entgegen der Allgemeinen Geschäftsbedingungen der Beklagten das Setzen von Cookies ohne Zustimmung des Endnutzers haben veranlassen lassen.

Bei der fehlenden Einwilligung des Endnutzers, die erst den Verstoß gegen § 25 I TDDDG begründet, handelt es sich um ein negatives Tatbestandsmerkmal, das sich nicht durch ein positives Tun der Beklagten verwirklicht, sondern allein dadurch, dass sie selbst die Einholung der Einwilligung unterlässt und sich darauf verlässt, dass die jeweiligen Webseiten-Betreiber diese Einwilligung ordnungsgemäß eingeholt haben. Besteht das dem Verletzer vorgeworfene Verhalten in einem solchen Unterlassen, ist im Rahmen der normativ-kausalen Zurechnung zu fragen, ob eine pflichtgemäße Handlung den Eintritt der Rechtsgutsverletzung verhindert hätte (vgl. BGH, Urt.v.06.05.2021, I ZR 61/20, Rn. 27 - Die Filsbacher). Das ist hier der Fall. Denn nach der aus der Formulierung des § 25 I TDDDG herzuleitenden und in Art. 7 Abs. 1 DSGVO ausdrücklich geregelten Darlegungs- und Beweislastverteilung muss die Beklagte nachweisen, dass der Endnutzer vor der Speicherung der Cookies auf seinem Endgerät eingewilligt hat. Wie die Beklagte diesen Nachweis führen möchte, ist zunächst ihre Sache. Jedenfalls aber hat die Regelung über die Verteilung der Darlegungs- und Beweislast zur Folge, dass sie sicherstellen muss, dass ihr die Einwilligung des Endnutzers vom Webseitenbetreiber übermittelt wird, bevor sie ihre Cookies auf dem Gerät des Endnutzers speichert. Dadurch, dass sie dieses pflichtgemäße Handeln unterlässt, verwirklicht sie den Verstoß gegen § 25 I TDDDG adäquat-kausal.

(5) Es fehlt auch nicht an der Adäquanz. Das Kriterium der Adäquanz dient im Rahmen der Feststellung des Zurechnungszusammenhangs dem Zweck, diejenigen Kausalverläufe auszugrenzen, die dem Verletzer billigerweise nicht mehr zugerechnet werden können. Im Deliktsrecht besteht ein adäquater Zusammenhang zwischen Tatbeitrag und Taterfolg, wenn eine Tatsache im Allgemeinen und nicht nur unter besonders eigenartigen, ganz unwahrscheinlichen und nach regelmäßigem Verlauf der Dinge außer Betracht zu lassenden Umständen zur Herbeiführung eines Erfolges geeignet ist. Hieran kann es fehlen, wenn der Verletzte oder ein Dritter in völlig ungewöhnlicher und unsachgemäßer Weise in den schadensträchtigen Geschehensablauf eingreift und eine weitere Ursache setzt, die den Schaden erst endgültig herbeiführt. Bei der Ermittlung der Adäquanz ist auf eine nachträgliche Prognose abzustellen, bei der neben den dem Verletzer bekannten Umständen alle einem optimalen Betrachter zur Zeit des Eintritts des Schadensereignisses erkennbaren Gegebenheiten zu berücksichtigen sind (BGH, GRUR 2016, 961, Rn. 34 - Herstellerpreisempfehlung bei Amazon m.w.N.).

Dass es sich bei dem Setzen von Cookies ohne Einwilligung des Endnutzers auf den Webseiten Dritter keineswegs um einen besonders eigenartigen, ganz unwahrscheinlichen und nach dem regelmäßigen Verlauf der Dinge außer Betracht zu lassenden Umstand handelt, liegt auf der Hand. Im Gegenteil stellt es sogar ein naheliegendes und typisches Risiko dar, wenn die Beklagte Webseitenbetreibern ihren Quellcode zur Verfügung stellt, die damit datenschutzrelevante Prozesse unter Einbeziehung der Beklagten auslösen können, ohne dass die Beklagte in irgendeiner Weise kontrollieren kann, ob tatsächlich eine Einwilligung vorliegt oder sich dies jedenfalls von dem Beklagten durch Übermittlung der Einwilligung bestätigen lässt.

(6) Ob der Beklagten ein solches pflichtgemäßes Verhalten durch entsprechende technische Vorkehrungen möglich ist, ist für die rechtliche Beurteilung des vorliegenden Falls irrelevant. Die Frage des technisch Möglichen kann allenfalls im Rahmen der Störerhaftung eine Rolle spielen, auf die es hier nicht ankommt. Im Übrigen ist schon nicht nachvollziehbar, wieso es der Beklagten nicht möglich sein soll, ihre Cookies erst dann auf den Endgeräten von Nutzern abzuspeichern, wenn ihr dessen Einwilligung übersandt worden ist. Hinzu kommt, dass der Gesetzgeber in § 26 TDDDG davon ausgeht, dass Dienste zur Einwilligungsverwaltung technisch und rechtlich möglich sind. Insofern beruft sich die Beklagte auch nur darauf, dass derzeit entsprechende Dienste noch nicht am Markt durchgesetzt sind. Das lässt die Anforderungen des § 25 I TDDDG jedoch unberührt.

h) Soweit die Beklagte im Hinblick auf die Tenorierung „für die Auswertung zum Zwecke zielgerichteter Werbung“ rügt, die Beklagte betreibe keine Werbeplattform und verwende die eingesetzten Technologien nicht zu Werbezwecken, sondern nur zur Reichweitenmessung, ist dieses Argument nicht valide.

Der Unterlassungsanspruch des Klägers besteht einschränkungslos, da § 25 TDDDG insoweit auch keine Einschränkung vorsieht. Die Speicherung ist nicht nur zu Werbezwecken, sondern grundsätzlich untersagt. Schränkt der Kläger mit dem Zusatz „zu Werbezwecken“ nun seinen Unterlassungsanspruch ein, mag er weniger verlangen, als ihm tatsächlich zustehen würde. Dies ist jedoch unschädlich.

5. Das notwendige Feststellungsinteresse für den Schadensersatzfeststellungs-anspruch liegt nicht vor. Es ist nicht vorgetragen und erkennbar, wie dem Kläger in Zukunft durch die (pseudonymisierte) Cookie-Setzung noch ein materieller Schaden entstehen sollte.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt
Beschluss vom 03.11.2025
3 U 97/25

Das OLG Frankfurt hat entschieden, dass das Ausschöpfen der Berufungsbegründungsfrist im einstweiligen Verfügungsverfahren regelmäßig dringlichkeitsschädlich ist.

Aus den Entscheidungsgründen:
Das Rechtsmittel des Verfügungsklägers war gemäß § 522 Abs. 2 Satz 1 ZPO durch einstimmigen Beschluss des Senats zurückzuweisen, weil die Berufung offensichtlich keine Aussicht auf Erfolg hat und eine mündliche Verhandlung nicht geboten ist. Die Rechtssache hat auch weder grundsätzliche Bedeutung noch ist aus Gründen der Rechtsfortbildung oder Sicherung einer einheitlichen Rechtsprechung eine Entscheidung durch Urteil erforderlich. Zur Begründung wird vollumfänglich auf die Ausführungen im Beschluss vom 14.10.2025 (BI. 34 ff. d.A.) verwiesen. Hieran hält der Senat auch in Ansehung der Stellungnahme vom 29.10.2025 fest. Insbesondere ist ein dringlichkeitsschädliches Verhalten des Verfügungsklägers im Berufungsverfahren nach wie vor zu bejahen.

1. Bei der Beurteilung der Frage, ob eine Partei das Verfahren mit dem nötigen Nachdruck verfolgt und damit ihr Interesse an einer dringlichen Rechtsdurchsetzung in einem Eilverfahren dokumentiert hat, ist ihr gesamtes prozessuales und vorprozessuales Verhalten in den Blick zu nehmen (BeckOK ZPO/Elzer/Mayer, 58. Ed. 1.9.2025, ZPO § 935 Rn. 89, m.N. beck-online). Dabei ist das Verschulden des Prozessbevollmächtigten gemäß § 85 Abs. 2 ZPO der Partei zuzurechnen.

2. Auch ein nach dem Prozessrecht statthaftes Ausschöpfen gesetzlicher Fristen kann die Dringlichkeitsvermutung widerlegen, denn die Frage, innerhalb welcher prozessualen Frist ein Rechtsmittel eingelegt und begründet werden muss, um zulässig zu sein, und die Frage, innerhalb welcher Zeit ein Verfügungskläger im Verfügungsverfahren tätig werden muss, um nicht durch sein eigenes Verhalten die Vermutung der Dringlichkeit zu widerlegen, haben unmittelbar nichts miteinander zu tun (vgl. etwa OLG München, Urteil vom 10.01.1980 - 6 U 3974/79 - GRUR 1980, 329, 330; OLG Nürnberg, Urteil vom 24.10.2023 - 3 U 965/23 WRP 2024, 116, 118; Teplitzky, WRP 2013, 1414, 1417 f.). Soweit der Verfügungskläger dies unter Hinweis auf die Rechtsprechung anderer Oberlandesgerichte in Abrede stellt, ergibt sich weder aus den zitierten Entscheidungen ein solcher Rechtssatz, noch kann ihm gefolgt werden. Vielmehr hat auch das OLG Nürnberg in dem seitens des Verfügungsklägers nunmehr zitierten Urteil vom 24.10.2023 (Az. 3 U 965/23, WRP 2024, 116, 119) darauf hingewiesen, dass in bestimmten Fallgestaltungen ein Ausschöpfen gesetzlicher Fristen die Dringlichkeitsvermutung sehr wohl widerlegen kann (in diesem Sinne etwa auch OLG Köln, Urteil vom 15.12.1978 - 6 U 144/78 GRUR 1979, 172, 173 f.; OLG München, Urteil vom 10.01.1980-6 U 3974/79-, GRUR 1980, 329, 330; Beschluss vom 29.07.1980 - 6 W 1509/80 GRUR 1980, 1017, 1019; Retzer, in: Harte-Bavendamm/Henning-Bodewig, UWG, 5. Aufl. 2021, S 12, Rdnr. 93; Schüttpelz, in: Berneke/SchüttpeIz, Die einstweilige Verfügung in Wettbewerbssachen, 4. Aufl. 2018, Abschnitt B, Rdnr. 206; Teplitzky, WRP 2013, 1414, 1417 f.; ders., in: Büscher u. a. (Hrsg.), Festschrift für Joachim Bornkamm zum 65. Geburtstag, 2014, S. 1073 (1080 f.)).

3. Wie bereits im Hinweisbeschluss ausgeführt, sind für die Beurteilung die Umstände des Einzelfalls maßgeblich (so etwa auch OLG Köln, Urteil vom 15.12.1978 - 6 U 144/78 -t GRUR 1979, 172, 173). Hierzu hatte der Senat näher dargelegt, warum in diesem Fall das Einreichen der Berufungsbegründung sieben Wochen nach der Einlegung der Berufung dringlichkeitsschädlich ist. Diesen Ausführungen ist der Verfügungskläger lediglich mit pauschalen Schlagworten wie "Arbeitsüberlastung", "Koordination mit Mandanten" und "sorgfältige Prüfung rechtlicher Argumente" entgegenzutreten, ohne einen konkreten Sachverhalt vorzutragen, der es nachvollziehbar erscheinen lässt, warum die Erstellung dieser (fünfseitigen) Berufungsbegründung sieben Wochen gedauert hat. In diesem Zusammenhang wird nochmals darauf hingewiesen, dass sowohl das angefochtene Urteil als auch die Berufungsbegründung einen deutlich unterdurchschnittlichen Umfang aufweisen, dass die Berufungsbegründung überwiegend aus einer Wiederholung der erstinstanzlichen Argumentation besteht und dass aufgrund der Eilbedürftigkeit des einstweiligen Verfügungsverfahrens eine entsprechende Priorisierung erwartet werden kann.

Ergänzend sei noch angemerkt, dass das prozessuale Verhalten des Prozessbevollmächtigten des Verfügungsklägers in erster Instanz ebenfalls erste Verzögerungstendenzen erkennen lässt. Er hatte im Termin vor dem Landgericht gerügt, dass der Verfügungsbeklagte persönlich per Bild- und Tonübertragung zugeschaltet wurde und die Auffassung vertreten, dass dies nicht zulässig sei. Nachdem der Einzelrichter die Teilnahme des Verfügungsbeklagten per Bild- und Tonübertragung genehmigt hatte, hat er erklärt, hiergegen Einspruch einlegen zu wollen.

Außerdem hat der Prozessbevollmächtigte des Verfügungsklägers die Prozessvollmacht des Prozessbevollmächtigten des Verfügungsbeklagten gerügt. Nachdem der Verfügungsbeklagte diese per Bild- und Tonübertragung bestätigt hat, hat der Prozessbevollmächtigte des Verfügungsklägers die Auffassung vertreten, dass diese Erklärung aus formalen Gründen unwirksam sei. Wollte man seiner Argumentation folgen, so hätte das Landgericht nach § 89 Abs. 1 ZPO vorgehen müssen, was zu einer (weiteren) Verzögerung der Entscheidung geführt hätte. Wer dringend eine einstweilige Verfügung erwirken möchte, verhält sich so nicht.

Soweit der Verfügungskläger in der Stellungnahme seines Prozessbevollmächtigten vom 29.10.2025 noch vortragen lässt, die vom Senat beabsichtigte Entscheidung führe zu einer uneinheitlichen Obergerichtlichen Rechtsprechung und mache "eine mündliche Verhandlung und ggf. dann auch Zulassung der Revision zur Sicherung der Rechtseinheit erforderlich", sei darauf aufmerksam gemacht, dass gegen Urteile, durch die über die Anordnung, Abänderung oder Aufhebung eines Arrestes oder einer einstweiligen Verfügung entschieden worden ist, die Revision nicht stattfindet (§ 542 Abs. 2 ZPO).

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 14.10.2025
VI ZR 431/24

Der BGH hat entschieden, dass die Übermittlung von Positivdaten an die SCHUFA durch Mobilfunkanbieter für den Identitätsabgleich zur Betrugsprävention zulässig und von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gedeckt ist.

Die Pressemitteilung des BGH:
Bundesgerichtshof entscheidet über Zulässigkeit der Übermittlung sogenannter Positivdaten an SCHUFA

Der unter anderem für Rechtsstreitigkeiten aus dem Datenschutzrecht zuständige VI. Zivilsenat hat die Abweisung einer Unterlassungsklage bestätigt, mit der sich ein Verbraucherverband gegen die Übermittlung sogenannter Positivdaten an die SCHUFA gewandt hat.

Sachverhalt und Prozessgeschichte:

Die Beklagte ist ein Telekommunikationsunternehmen, das Mobilfunkdienste erbringt. Bis Oktober 2023 übermittelte sie nach dem Abschluss von Postpaid-Mobilfunkverträgen zumindest die zum Identitätsabgleich notwendigen Stammdaten ihrer Kunden (Name etc.) sowie die Information, dass ein Vertrag mit diesen geschlossen oder beendet wurde, an die SCHUFA Holding AG. Die Übermittlung dieser Positivdaten geschah unter anderem zum Zwecke der Betrugsprävention. Mit seiner Klage hat der Verbraucherverband beantragt, die Beklagte zur Unterlassung der Übermittlung von Positivdaten (also personenbezogenen Daten, die keine negativen Zahlungserfahrungen oder sonstiges, nicht vertragsgemäßes Verhalten zum Inhalt haben) an die SCHUFA zu verurteilen. Das Landgericht hat die Klage abgewiesen. Die Berufung des Klägers hat das Oberlandesgericht zurückgewiesen.

Entscheidung des Senats:

Der Senat hat die Revision des Verbraucherverbands zurückgewiesen, die Klageabweisung also bestätigt.

Der Unterlassungsantrag ist unbegründet, weil er auch Verhaltensweisen, die datenschutzrechtlich nicht zu beanstanden sind, erfasst und damit zu weit gefasst ist. Der Antrag ist darauf gerichtet, der Beklagten jede Übermittlung der Positivdaten von verbrauchern an die SCHUFA nach Abschluss eines Telekommunikationsvertrages zu verbieten. Allerdings lässt sich die Übermittlung der zum Identitätsabgleich erforderlichen Stammdaten der Verbraucher sowie der Information, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde, an die SCHUFA gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f Datenschutz-Grundverordnung (DSGVO) durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention rechtfertigen. Dabei geht es nach den Feststellungen des Berufungsgerichts um Fälle, in denen Kunden über ihre Identität täuschen und/oder binnen kurzer Zeit bei verschiedenen Anbietern unerklärlich viele Mobilfunkverträge abschließen, insbesondere, um an die mit Abschluss der Verträge überlassenen teuren Smartphones zu gelangen. Im Hinblick auf den hohen Schaden, den solche Betrugsstraftaten bei Postpaid-Mobilfunkverträgen anrichten können, überwiegt das Interesse der Verbraucher daran, dass die genannten Daten nicht an die SCHUFA übermittelt werden, das Interesse der Beklagten an einer hinreichenden Betrugsprävention nicht.

Darüber, wie die SCHUFA die zur Betrugsprävention übermittelten Positivdaten verarbeitet, etwa, ob und wie diese in das Bonitätsscoring einfließen, hatte der Senat aus prozessualen Gründen nicht zu entscheiden.

Vorinstanzen:

Landgericht Düsseldorf - Urteil vom 6. März 2024 - 12 O 128/22

Oberlandesgericht Düsseldorf - Urteil vom 31. Oktober 2024 - 20 U 51/24

Die maßgebliche Vorschrift lautet:

Art. 6 Abs. 1 Unterabs. 1 DSGVO:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

…

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

LG Hamburg
Urteil vom 01.07.2025
301 O 20/24

Das LG Hamburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools auf Drittseiten und -Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen und einen Unterlassungsanspruch gegen Meta bejaht.

Aus den Entscheidungsgründen:
Der Antrag zu Ziff. 1) ist auch begründet. Die Beklagte verarbeitet personenbezogene Daten des Klägers. Nach Art. 4 Nr. 2 DSGVO fallen darunter das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.

Die Beklagte empfängt über die M. Business Tools personenbezogene Daten mit denen sie den Nutzer identifizieren kann. Diese Daten gleicht sie mit den bei ihr gespeicherten Benutzerkonten ab. Wenn die Einstellungen es zulassen, werden die Daten für personalisierte Werbung verwendet. Auch wenn dies nicht erfolgt, bleiben die Daten gespeichert und sind weiter mit dem Nutzerkonto verknüpft und gespeichert.

Die auf den Drittseiten eingesetzten M. Business Tools prüfen nicht, wer die Seiten aufruft, sondern schicken sämtliche mittels der M. Business Tools erhobenen Daten an die Server der Beklagten. Dort wird geprüft, ob diese Daten Nutzer der Beklagten betreffen und darüber entschieden, wie sie weiterverarbeitet werden.

Wenn ein Nutzer des Netzwerks Instagram oder Facebook eine Drittseite welche M. Business Tools einsetzt, besucht, übermitteln die Drittfirmen über die derart eingebundenen M. Business Tools personenbezogene Daten an die Beklagte. Dies erfolgt unabhängig davon, ob der Nutzer zu diesem Zeitpunkt die Apps der Beklagten aktiviert hat bzw. dort eingeloggt ist (vgl. LG Lübeck GRUR-RS 2025, 81 Rn. 3, beck-online). Es findet auch statt, wenn die Drittseiten direkt und nicht aus den Programmen der Beklagten aus aufgerufen werden. Dies kann auch stattfinden, wenn die betroffene Person einer Datenübertragung an die Beklagte gegenüber dem Drittanbieter nicht zugestimmt und in die Datenverarbeitung auch gegenüber der Beklagten nicht eingewilligt hat (vgl. LG Lübeck ZD 2025, 228, beck-online). Für den durchschnittlichen Internetnutzer ist nicht erkennbar, ob die jeweilige Webseite mit einem M. Business Tool ausgestattet worden ist (so LG Braunschweig, a.a.O., juris Rn. 101 ff.). Jedenfalls die Erfassung und der Abgleich der Daten findet im jeden Fall statt – auch wenn der Nutzer keine Einwilligung zur Verwendung der Daten für personalisierte Werbung abgegeben hat. Soweit die Beklagte pauschal vorträgt, dass dann keine Datenverarbeitung stattfindet, ist dies nicht nachvollziehbar. Eine anschließende Löschung der übermittelten Daten erfolgt erst nach dem Abgleichprozess, d.h. nachdem sie die mit den Kontaktinformationen übermittelten Event-Daten mit einer Facebook-Nutzer-ID verknüpft hat, so dass eine Zuordnung zum Kläger möglich bleibt.

Die streitgegenständliche Datenverarbeitung ist folglich nicht durch eine etwaig vorhandene Einwilligung zur Bereitstellung personalisierter Werbung gerechtfertigt. Zum einen findet diese Datenverarbeitung unabhängig von einer Einwilligung statt und beschränkt sich zum anderen nicht auf dem in der Einwilligungserklärung genannten Zweck. Sie kann auch nicht durch eine Veränderung der Einstellung durch den Nutzer beeinflusst werden (LG Braunschweig, a.a.O., juris Rn. 112).

Die Beklagte räumt selbst ein, dass sie die von ihr als Off-Site-Daten bezeichnete Daten für Sicherheits- und Integritätszwecke speichere und verwende. Ungeachtet dessen, dass aus den Erläuterungen der Beklagten nicht hervorgeht, welche Maßnahmen damit bezeichnet sind und weshalb und in welchem Umfang dafür eine Verwendung der Daten des Klägers erforderlich ist, gibt es nach den Ausführungen der Beklagten offenbar auch noch weitere Verwendungen. Denn die Formulierung, dass sie die erhobenen Daten „für begrenzte Zwecke wie Sicherheits- und Integritätszwecke verwende“ (Hervorhebung hier) zeigt, dass die genannten Zwecke nur beispielhaft aufgezählt sind (LG Hamburg, a.a.O.).

Auch andere Rechtfertigungsgründe des Art. 6 DSGVO greifen nicht. Die Datenverarbeitung ist insbesondere nicht zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 Unterabsatz 1 b) DSGVO erforderlich. Das Geschäftsmodell der Beklagten zwingt diese nicht, die angebotenen Inhalte zu personalisieren (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 102 nach juris). Erst recht gilt dies für eine Personalisierung anhand der hier allein streitgegenständlichen Off-Site-Daten, denn der Kläger beanstandet ja nicht, dass ihm Inhalte und ggf. auch Werbung auf der Grundlage der von ihm besuchten M.-Seiten vorgeschlagen werden.

Schließlich liegt die Verantwortlichkeit der Datennutzung ab Übermittlung der Daten allein bei der Beklagten. Nach der Übermittlung der Daten liegt die weitere Verwendung der Daten in der Hand der Beklagten. Die Betreiber der Drittwebseiten, die über die M. Business Tools die Nutzungsdaten an die Beklagte weitergeben, sind dann nicht mehr eingebunden.

Soweit die Anträge zu Ziff. 1 b) und c) zusammen mit den in Ziff. 1 a) genannten personenbezogenen Daten erfasst, in Zusammenhang gebracht und gespeichert werden, erfasst der Feststellungsbegehren rechtmäßig auch diese Datenerhebung. Dass dies der Fall sein soll, ergibt sich aus der Zusammenschau und der Formulierung der Anträge, die wiederholt in Zusammenhang mit dem konkreten Nutzungsverhalten des Benutzers/Klägers gebracht werden.

4. Der Antrag zu Ziff. 2 ) ist zulässig und begründet.

Auch ohne ausdrückliche Regelung folgt ein Unterlassungsanspruch aus der DSGVO.

Hierzu werden auf die Ausführung des LG Braunschweig a.a.O. (juris Rn. 81 ff.) Bezug genommen.

„Aus Art. 17 DSGVO kann ein Anspruch auf Unterlassung der Speicherung von Daten folgen (OLG Frankfurt a. M. GRUR 2023,904, Rn. 44 ff.). Aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese künftig nicht (wieder) zu verarbeiten. Auch aus Art. 82 DSGVO kann ein Unterlassungsanspruch erwachsen, soweit ein konkreter Schaden vorliegt (OLG Frankfurt a.a.O. Rn. 47 ff.).

Aus dem generellen Regelungsziel der DSGVO folgt, dass die Rechtsordnung grundsätzlich eine Möglichkeit für von rechtswidrigen Datenverarbeitungsvorgängen betroffenen Personen gegeben sein muss, gegen diese per Unterlassungsklage vorzugehen. Insoweit führt der EuGH (MMR 2024, 1022 – Lindenapotheke) aus, dass generelles Regelungsziel der DSGVO ist, den Betroffenen im europäischen Rechtsraum ein hohes Schutzniveau zu gewährleisten und die praktische Wirksamkeit der DSGVO sicherzustellen (vgl. LG Lübeck ZD 2025, 228 Rn. 50, beck-online).

Deshalb garantiert Art. 79 Absatz 1 DSGVO dem Betroffenen einen "wirksamen gerichtlichen Rechtsbehelf " und unterstützt damit ein maßgebliches Ziel der DSGVO, das – wie nicht zuletzt Satz 1 des 10. Erwägungsgrunds der DSGVO zeigt – in der Etablierung eines hohen Datenschutzniveaus liegt. Das Ziel, einen umfassenden Schutz bei der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten würde unterlaufen und damit zugleich der Grundrechtsschutz beeinträchtigt, wenn dem Betroffenen die Möglichkeit genommen würde, dem Verantwortlichen eine unrechtmäßige Datenverarbeitung für die Zukunft zu verbieten und ihn auf Löschungsansprüche nach Art. 17 DSGVO und Schadensersatzansprüche nach Art. 82 DSGVO zu verweisen (vgl. OLG Dresden ZD 2022, 235 [237, Rn. 29]).

Auch der BGH hat bereits entschieden, dass das in Art. 17 Abs. 1 DSGVO niedergelegte "Recht auf Löschung" schon aufgrund der für den Betroffenen letztlich unwägbaren und zudem stetem Entwicklungsfortschritt unterworfenen technischen Voraussetzungen der beanstandeten Datenverarbeitung nicht auf das schlichte Löschen von Daten zu verengen ist, sondern unabhängig von der technischen Umsetzung auch das Begehren umfasst, eine erneute Erfassung zu unterlassen (BGH GRUR 2022, 258 Rn. 10, 11, beck-online; BGH GRUR 2023, 1724 Rn. 20, beck-online). Daher kann jedenfalls Unterlassung zusammen mit der Löschung verlangt werden. Die Vorlage des BGH an den EuGH (GRUR 2023, 1724) bezieht sich nur auf den, hier nicht gegebenen Fall, dass keine Löschung beantragt ist.

Im Übrigen muss auch Konsequenz des Vorranges der Leistungsklage und der Verneinung des Feststellungsinteresses die Möglichkeit sein, Ansprüche im Wege einer Unterlassungsklage durchzusetzen.

Es kann offenbleiben, ob ein Unterlassungsanspruch sich auch auf nationales Recht (§ 823 BGB, Art 2 GG, § 1004 BGB) stützen lässt (vgl. OLG Nürnberg GRUR-RS 2024, 18386, Rn. 13; OLG Dresden ZD 2022, 235 [237, Rn. 29]; OLG Stuttgart, ZD 2022, 105, Rn. 2; OLG Köln MMR 2020, 186 [187, Rn. 28]; LG Augsburg 082 O 262/24 Anl. 2 zum SS v. 09.04.2025 in 9 O 2615/23).“

Der Antrag ist hinreichend bestimmt. Der Kläger kann, wie hier geschehen, sich allgemein gegen die Verarbeitung seiner Daten wenden.

Wie bereits dargelegt, ist die streitgegenständliche Datenverarbeitung rechtswidrig und verstößt gegen die Regelungen der Datenschutzgrundverordnung. Insbesondere kann sich die Beklagte auf keinen Rechtfertigungsgrund stützen. Da hier die Unterlassung direkt aus der Datenschutzgrundverordnung hergeleitet wird, kommt es auf eine Verletzung des Allgemeinen Persönlichkeitsrechts in Form des Rechts auf Informationelle Selbstbestimmung nicht an. Wenn der Unterlassungsanspruch allein auf nationales Recht (§§ 1004, 823 Abs. 1 BGB) gestützt werden müsste, wäre ein konkrete Rechtsgutsverletzung Voraussetzung für die Unterlassung.

5. Der Antrag zu Ziff. 3) ist teilweise begründet. Dem Kläger steht eine Geldentschädigung in Höhe von 3.000,00 € gemäß Art. 82 Abs. 1 DSGVO zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Zu den Voraussetzungen des Anspruchs hat das LG Braunschweig ausgeführt:

„Der Kläger hat auch einen immateriellen Schaden erlitten. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DSGVO reicht nach der Rechtsprechung des EUGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich.

Weiter hat der EUGH ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.

Schließlich hat der EUGH in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass "[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen Verlust der Kontrolle über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 28 ff. m. w. N. zur Rechtsprechung des EuGH).

Die betroffene Person muss den Nachweis erbringen, dass sie einen solchen – das heißt in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH ECLI:EU:C:2024:536 Rn. 33 = DB 2024, 1676 = GRUR-RS 2024, 13978 – PS GbR; Senat NJW 2025, 298 Rn. 31 mwN = DB 2024, 3091). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH NJW 2025, 298 Rn. 31 = DB 2024, 3091; BGH NJW 2025, 1060 Rn. 16, 17, beck-online).

Nach diesen Maßstäben liegt es in diesem Fall auf der Hand, dass der Kläger einen solchen Kontrollverlust erlitten hat. Die Beklagte hat personenbezogene Daten des Klägers über die streitgegenständlichen MBT ohne eine Einwilligung verarbeitet und bei sich gespeichert. Damit geht denknotwendigerweise einher, dass der Kläger nicht weiß, welche Daten dies sind und er daher einen Kontrollverlust über ihn betreffende personenbezogene Daten erlitten hat.

Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kläger unbekannten Datenspeicherung bei der Beklagten und somit zu dem immateriellen Schaden in Form des Kontrollverlusts.“

(LG Braunschweig, a.a.O., juris Rn. 193 ff.)

Bei der Bemessung der Höhe der Entschädigung ist zu berücksichtigen, dass die streitgegenständliche Datenverarbeitung angesichts der Vielzahl der Webseiten, die M. Business Tools verwenden, einen erheblichen Umfang einnimmt und diese Tools seit Jahren verwendet werden. Anders als bei den sog. „Hacking-Fällen“ handelt es sich gerade nicht um ein einmaliges Ereignis. Ferner dienen die M. Business Tools allein dem Zweck der Zuordnung der Internetnutzung auf einen bestimmten Nutzer und werden hierfür von der Beklagten zielgerichtet angeboten. Auch hier unterscheidet sich die Verletzungshandlung von den sog. „Hacking-Fällen“, bei denen den Webseitenbetreibern in der Regel lediglich ein Fahrlässigkeitsvorwurf zu machen ist. Vor dem Hintergrund erscheint der tenorierte Schadensersatzanspruch angemessen aber auch ausreichend, um der Genugtuungsfunktion des immateriellen Schadensersatzanspruchs Rechnung zu tragen.

Da der Schadensersatzanspruch sich bereits aus Art. 82 Abs. 1 DSGVO ergibt, kann hier offenbleiben, ob darüber hinaus der Kläger seinen Anspruch auch auf § 823 Abs. 1 BGB hätte stützen können.

II.
I. Die Nebenforderungen sind teilweise begründet.

1. Verzugszinsen stehen dem Kläger erst ab Rechtshängigkeit gemäß §§ 291, 288 Abs. 1 BGB zu. Da die Beklagte, die den Zugang des als Anlage K3 eingereichten Schreibens bestreitet, zuvor in Schuldnerverzug geraten ist, ist nicht nachgewiesen.

2. Der Freistellungsanspruch ist teilweise begründet. Rechtsgrundlage für die Erstattung der Rechtsanwaltskosten ist Art. 82 DSGVO, da es sich um Kosten handelt, die der Kläger aufgrund der rechtswidrigen Datenverarbeitung eingegangen ist. Ob die Beklagte das Schreiben der klägerischen Anwälte erhalten hat, kann für diesen Anspruch dahinstehen. Denn die vorgerichtliche Tätigkeit ist auch dann zu vergüten, wenn das Schreiben die Beklagte nicht erreicht haben sollte. Es ist auch nicht davon auszugehen, dass der Kläger seinen späteren Prozessbevollmächtigten einen unbedingten Klagauftrag erteilt hat. Das vorgerichtliche Schreiben diente nicht der Schaffung einer Klagvoraussetzung, sondern war darauf ausgerichtet, mit einer beigefügten Verpflichtungserklärung eine gerichtliche Auseinandersetzung zu vermeiden. Es gibt keinen Grund zu der Annahme, dass der Kläger seine Anwälte auch für den Fall, dass die Beklagte diese Erklärung unterzeichnet hätte, mit einer Klage beauftragt hat; insbesondere lässt der Umstand, dass die Klägervertreter in mehreren tausend Fällen ähnliche Schreiben verschickt haben, nicht den Schluss zu, dass ein außergerichtlicher Abschluss der einzelnen Verfahren nicht in Betracht gekommen wäre. Sofern die Klägervertreter hingegen nur bedingt, also für den Fall, dass eine vorgerichtliche Einigung nicht zustande kommt, mit einer Klage beauftragt worden waren, hinderte sie dies nicht, eine Gebühr nach Nr. 2300 VV RVG in Rechnung zu stellen (BGH, Urt. v. 26.2.2013 – XI ZR 345/10, BKR 2013, 283, Rn. 37 nach juris).

Das Bestreiten der Beklagten, dass die mit dem Klagantrag geltend gemachten Kosten entstanden seien, steht dem Anspruch ebenfalls nicht entgegen. Dass die Gebühr angefallen ist, ergibt sich aus dem RVG. Soweit das Bestreiten darauf zielt, dass die Kosten bislang nicht bezahlt wurden, ist dies für den hier geltend gemachten Freistellungsanspruch keine Voraussetzung.

Der Höhe nach ist eine 1,3-Gebühr nebst Kommunikationspauschale und Umsatzsteuer nach einem Gegenstandswert von 7.000 € ersatzfähig. Gegenstand des vorgerichtlichen Schreibens war die Geltendmachung eines Auskunfts- und Löschungsanspruchs sowie die Zahlung einer Entschädigung in Höhe von 5.000,00 €.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 25.09.2025
I ZR 11/20
Kostenlose Registrierung
Richtlinie 2005/29/EG Art. 5 Abs. 5, Nr. 20 des Anhangs I

Die BGH hat dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob etwas "kostenlos" im Sinne der Richtlinie über unlautere Geschäftspraktiken ist, wenn die Nutzer bzw. Kunden mit ihren personenbezogenen Daten "bezahlen" und in die Verarbeitung der Daten zu kommerziellen Zwecken einwilligen.

Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Nr. 20 des Anhangs I in Verbindung mit Art. 5 Abs. 5 der Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates vom 11. Mai 2005 über unlautere Geschäftspraktiken von Unternehmen gegenüber Verbrauchern im Binnenmarkt (Richtlinie über unlautere Geschäftspraktiken; ABl. L 149 vom 11. Juni 2005,S. 28, 36) folgende Frage zur Vorabentscheidung vorgelegt:

Erfasst der Begriff der "Kosten" im Sinne von Nr. 20 des Anhangs I in Verbindung mit Art. 5 Abs. 5 der Richtlinie 2005/29/EG auch die Preisgabe personenbezogener Daten und Einwilligung in ihre Nutzung zu kommerziellen Zwecken?

BGH, Beschluss vom 25. September 2025 - I ZR 11/20 - Kammergericht - LG Berlin

Den Volltext der Entscheidung finden Sie hier:

OLG Stuttgart
Urteil vom 23.09.2025
6 UKl 2/25

Das OLG Stuttgart hat entschieden, dass Lidl die Lidl Plus App als "kostenlos" bewerben darf, auch wenn die Nutzer mit ihren Daten "bezahlen". Die Revision zum BGH wurde zugelassen.

Die Pressemitteilung des Gerichts:
Unterlassungsklage des Verbraucherzentrale Bundesverbandes gegen Lidl im Zusammenhang mit dem Vorteilsprogramm „Lidl Plus“ erfolglos

Der 6. Zivilsenat (Verbraucherrechtssenat) des Oberlandesgerichts Stuttgart hat heute in dem am 22. Juli 2025 mündlich verhandelten Verfahren die Klage abgewiesen.

Die Beklagte bietet eine Lidl Plus App an, bei deren Nutzung Verbraucher Rabatte, personalisierte Produktinformationen, Teilnahmen an Sonderaktionen usw. erhalten. Dafür muss die angebotene App installiert werden, Kunden müssen dort persönliche Daten angeben. Außerdem müssen sie sich mit den Teilnahmebedingungen einverstanden erklären. Das ist ein online abrufbarer, 18 DiNA4-Seiten langer Text. Dort steht unter 4.1, die Teilnehme an Lidl Plus sei „kostenlos“ und unter 4.2 wird erläutert, welche Daten der Kunden erhoben, gespeichert und genutzt werden.

Der klagende Verbraucherschutzverband meint, die Nutzung der App sei nicht kostenlos. Zwar müsse der Verbraucher kein Geld zahlen. Da er sich aber mit der Verwendung der Anmeldedaten und der beim weiteren Gebrauch der App erhobenen Daten einverstanden erkläre, bezahle er mit seinen Daten. Lidl dürfe deshalb nicht behaupten, die Nutzung der App sei kostenlos und sei außerdem gesetzlich verpflichtet, einen „Gesamtpreis“ anzugeben. Deswegen verklagt die Verbraucherzentrale Lidl nach den Vorschriften des Unterlassungsklagengesetzes (UKlaG).

Nach der Entscheidung des 6. Zivilsenats ist die zulässige Klage unbegründet:

Es ist nicht zu beanstanden, dass Lidl bei der Anmeldung keinen „Gesamtpreis“ angibt. Die Verpflichtung zur Angabe eines Gesamtpreises setzt voraus, dass überhaupt ein Preis zu entrichten ist. Einen solchen haben die Verbraucher bei der Nutzung der Lidl Plus App aber gerade nicht zu bezahlen. Das deutsche Gesetz und die zugrundeliegenden europäischen Normen verstehen einen „Preis“ ersichtlich als zu zahlenden Geldbetrag und nicht als irgendeine sonstige Gegenleistung. Mit der Verpflichtung des Unternehmers zur Angabe eines „Gesamtpreises“ sollen die Verbraucher vor versteckten Kosten, Abofallen usw. geschützt werden. Dass der Unternehmer eine nicht in Geld bestehende Gegenleistung als solche offenlegen und als „Gesamtpreis“ bezeichnen müsste, ist nach der Entscheidung des Oberlandesgerichts weder vom deutschen noch vom europäischen Normgeber gewollt.

Es ist auch nicht irreführend, dass Lidl die Nutzung der App in den Teilnahmebedingungen als „kostenlos“ bezeichnet. Der Begriff „kostenlos“ bringt lediglich und in zulässiger Weise zum Ausdruck – woran Lidl und die Verbraucher gleichermaßen ein Interesse haben –, dass die Verbraucher für die Nutzung der App und die erhofften Vorteile kein Geld bezahlen müssen. Dass Lidl bei der Anmeldung und Nutzung der App Daten der Verbraucher erhebt und diese in wirtschaftlicher Weise nutzt, steht ausdrücklich und in engem Zusammenhang mit dem Wort „kostenlos“ in den Nutzungsbedingungen.

Die Bezeichnung als „kostenlos“ sehen nur diejenigen Verbraucher, die die Nutzungsbedingungen lesen. Wer die Nutzungsbedingungen liest, erfährt dort aber auch, welche Daten erhoben und von Lidl verwendet werden. Beim verständigen Leser entsteht daher nicht der Eindruck, „kostenlos“ bedeute, dass er als Nutzer keinerlei Gegenleistung erbringen müsse. Und wer die Nutzungsbedingungen nicht liest, der erfährt schon gar nichts von der als „kostenlos“ bezeichneten Nutzung.

Der 6. Zivilsenat hat die Revision zum Bundesgerichtshof wegen grundsätzlicher Bedeutung zugelassen.

Aktenzeichen Oberlandesgericht Stuttgart

6 UKl 2/25

UKlaG § 2 Ansprüche bei verbraucherschutzgesetzwidrigen Praktiken

(1) Wer … Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden…

(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere

1.die Vorschriften des Bürgerlichen Rechts, die für folgende Verträge zwischen Unternehmern und Verbrauchern gelten:

a) …

b) Fernabsatzverträge, …

BGB § 312 Anwendungsbereich

(1) Die Vorschriften … sind auf Verbraucherverträge anzuwenden, bei denen sich der Verbraucher zu der Zahlung eines Preises verpflichtet.

(1a) Die Vorschriften … sind auch auf Verbraucherverträge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet…

BGB § 312d Informationspflichten

(1) Bei … Fernabsatzverträgen ist der Unternehmer verpflichtet, den Verbraucher nach Maßgabe des Artikels 246a des Einführungsgesetzes zum Bürgerlichen Gesetzbuche zu informieren…

EGBGB Art. 246a § 1 Informationspflichten

(1) Der Unternehmer ist nach § 312d Absatz 1 des Bürgerlichen Gesetzbuchs verpflichtet, dem Verbraucher folgende Informationen zur Verfügung zu stellen:
…

5. den Gesamtpreis der Waren oder der Dienstleistungen, einschließlich aller Steuern und Abgaben, oder in den Fällen, in denen der Preis auf Grund der Beschaffenheit der Waren oder der Dienstleistungen vernünftigerweise nicht im Voraus berechnet werden kann, die Art der Preisberechnung, …

LG Lübeck
Beschluss vom 04.09.2025
15 O 12/24

Das LG Lübeck hat dem EuGH Fragen zur datenschutzrechtlichen Zuslässigkeit der Übermittlung von Positivdaten von Kunden durch Mobilfunkanbieter an die Schufa zur Vorabentscheidung vorgelegt.

Die Pressemitteilung des Gerichts:
Datenübermittlung an die Schufa:

Landgericht Lübeck ruft Europäischen Gerichtshof an Bundesweit verzeichnen die Gerichte eine Vielzahl von Klagen gegen Mobilfunkunternehmen, die ohne Zustimmung ihrer Kunden deren Vertragsdaten an die Schufa übermittelt hatten. Das Landgericht Lübeck hat jetzt ein derartiges Verfahren ausgesetzt und dem Europäischen Gerichtshof mehrere Fragen vorgelegt, um ein Urteil sprechen zu können.

Was ist passiert?

Das Mobilfunkunternehmen hatte ohne Einwilligung des Kunden Name, Geburtsdatum, Anschrift, Datum des Vertragsschlusses und Vertragsnummer an die Schufa weitergegeben. Die Schufa hatte ca. 2 Jahre später mitgeteilt, dass die Daten in den von der Schufa berechneten „Bonitätsscore“ eingeflossen waren. Der Betroffene verlangt nun von dem Mobilfunkunternehmen, künftig derartige Datenübermittlungen an Auskunfteien wie die Schufa zu unterlassen. Zudem begehrt er Schadensersatz. Das Mobilfunkunternehmen hingegen argumentiert, die Datenschutzgrundverordnung erlaube die Datenübermittlung an die Schufa.

Wie hat das Gericht entschieden?

Das Gericht hat das Verfahren ausgesetzt und dem Europäischen Gerichtshof mehrere Fragen vorgelegt. Hierzu sind alle europäischen Gerichte berechtigt, wenn sie Zweifel über die Auslegung von europäischem Recht haben.

Konkret möchte das Gericht vom Europäischen Gerichtshof wissen,

1. ob die Bestimmung, auf die sich das Mobilfunkunternehmen beruft, nämlich Art. 6 f.) der Datenschutzgrundverordnung, auf derartige Fälle überhaupt Anwendung findet. Das Gericht hat daran Zweifel, da die massenhafte Übermittlung derartiger Daten an die Schufa die Grundrechte sehr vieler Bürger berühre. Es sei deshalb Aufgabe der Europäischen Union, genau zu regeln, wer was zu welchem Zweck an die Schufa übermitteln dürfe. Das sei bislang nicht geschehen;

2. ob die Übermittlung von Daten an die Schufa jedenfalls dann rechtswidrig sei, wenn die Schufa die Daten zur Profilbildung (sogenanntes Scoring) verwendet;

3. und ob die betroffenen Verbraucher auch dann Schadensersatz verlangen können, wenn sie vor Vertragsschluss zwar nicht nach ihrer Zustimmung gefragt wurden, aber immerhin auf die Datenübermittlung hingewiesen wurden.

Was steht dazu im Gesetz? Wie ist die Rechtslage?

Ob die Datenübermittlung an die Schufa rechtmäßig ist, entscheidet sich anhand von Art. 6 f) DSGVO:

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: (...)

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Die Fragen des Gerichts zielen darauf ab, zu klären, ob diese Bestimmung hier anwendbar ist und falls ja, wie sie zu verstehen ist.

Der Beschluss vom 4.9.2025 ist unanfechtbar.

Den Volltext der Entscheidung finden Sie hier:

OLG Koblenz
Urteil vom 08.07.2025
9 U 443/25

Das OLG Koblenz hat entschieden, dass das Ausschöpfen der gesetzlichen Berufungsfrist und der Berufungsbegründungsfrist im einstweiligen Verfügungsverfahren durch den ungesciherten Verfügungskläger nicht dringlichkeitsschädlich ist.

Aus den Entscheidungsgründen:
Auch der Umstand, dass die Verfügungsklägerin sowohl die Berufungs- als auch die Berufungsbegründungsfrist nahezu ausgeschöpft hat, ist nicht als dringlichkeitsschädlich zu qualifizieren. Eine Selbstwiderlegung liegt auch insoweit nicht vor.

Zwar kann die Vermutung des § 12 Abs. 1 UWG grundsätzlich auch durch ein eigenes Verhalten des Verfügungsklägers widerlegt werden (vgl. Senat, Urteil vom 14. Mai 2024 - 9 U 33/24 -; BGH, GRUR 2000, 151, 152 - Späte Urteilsbegründung; KG, Beschluss vom 22. Juni 2022 - 5 W 79/22 -, GRUR-RS 2022, 51632, Rdnr. 6; OLG Stuttgart, Urteil vom 27. Januar 2022 – 2 U 288/21 –, juris, Rdnr. 32; OLG Düsseldorf, GRUR-RR 2003, 31, 31, m.w.N.; BeckOK Fritzsche/Münker/Stollwerck-Scholz, UWG, 28. Edition, Stand: 1. April 2025, § 12, Rdnr. 21; Ohly/Sosnitza-Sosnitza, UWG, 8. Aufl. 2023, § 12, Rdnr. 80; MünchKomm-Schlingloff, a.a.O., Rdnr. 67; in: Harte-Bavendamm/Henning-Bodewig, UWG, 5. Aufl. 2021, § 12, Rdnr. 68). So entfällt die Dringlichkeitsvermutung unter anderem dann, wenn der Verfügungskläger das Verfügungsverfahren nicht zügig, sondern schleppend betreibt (vgl. Senat, a.a.O.; BGH, a.a.O.; OLG Stuttgart, a.a.O.; OLG Düsseldorf, a.a.O.; Ohly/Sosnitza-Sosnitza, a.a.O., Rdnr. 82). Entscheidend ist insoweit, ob der Verfügungskläger - und sei es auch nach zunächst hinreichend zeitnaher Verfahrenseinleitung - durch sein Verhalten zu erkennen gegeben hat, dass die Sache für ihn nicht (mehr) eilig ist (vgl. Senat, a.a.O.; OLG Nürnberg, Urteil vom 24. Oktober 2023 – 3 U 965/23 –, juris, Rdnr. 31; OLG Hamburg, Urteil vom 7. September 2023 – 15 U 113/22 –, juris, Rdnr. 36; OLG Frankfurt am Main, Beschluss vom 7. Januar 2019 – 6 W 86/18 –, juris, Rdnr. 2; KG, GRUR-RR 2015, 181, 183, Rdnr. 31, m.w.N.; Ohly/Sosnitza-Sosnitza, a.a.O., Rdnr. 80; MünchKomm-Schlingloff, Lauterkeitsrecht, 3. Aufl. 2022, § 12 UWG, Rdnr. 76, m.w.N.). Entscheidend ist das Zeichen, das der Verfügungskläger gesetzt hat (vgl. Senat, a.a.O.; OLG Stuttgart, Urteil vom 27. Januar 2022 – 2 U 288/21 –, juris, Rdnr. 32).

Auch nach diesen Maßstäben ist es jedoch grundsätzlich nicht dringlichkeitsschädlich, wenn der Berufungsführer - wie hier die Verfügungsklägerin - die gesetzlichen Fristen zur Einlegung und Begründung der Berufung voll ausschöpft (vgl. OLG Nürnberg, Urteil vom 24. Oktober 2023 - 3 U 965/23 -, juris, Rdnr. 39; OLG Karlsruhe, Urteil vom 18. Dezember 2020 - 14 U 124/19 -, juris, Rdnr. 39, m.w.N.; OLG Hamburg, GRUR-RR 2018, 27, 29, Rdnr. 36; OLG Bremen, GRUR-RR 2015, 345, 346, Rdnr. 24, m.w.N.; NJOZ 2012, 846, 847; OLG Frankfurt am Main, GRUR 2002, 236, 237, m.w.N.; Köhler/Feddersen-Köhler/Feddersen, UWG, 43. Aufl. 2025, § 12, Rdnr. 2.16, m.w.N.; MünchKomm-Schlingloff, Lauterkeitsrecht, 3. Aufl. 2022, § 12 UWG, Rdnr. 89, m.w.N.). Eine andere Sichtweise würde zu einer faktischen Verkürzung der gesetzlichen Fristen und damit einer Umgehung der Entscheidung des Gesetzgebers, Hauptsache- und Eilverfahren bezüglich der Rechtsmittelfristen gleich zu behandeln, führen (vgl. OLG Nürnberg, a.a.O.; OLG Bremen, GRUR-RR 2015, 345, 346, Rdnr. 24). Umstände, die im Streitfall ausnahmsweise eine andere Sichtweise rechtfertigen würden, sind weder dargetan noch sonst irgendwie ersichtlich.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt am Main
Urteil vom 11.07.2025
6 UKl 14/24

Wir hatten bereits in dem Beitrag OLG Frankfurt: Zwingende Angabe von E-Mail-Adresse oder Handynummer beim Kauf eines Tickets der Deutschen Bahn verstößt gegen DSGVO und ist wettbewerbswidrig über die Entscheidung berichtet.

Aus den Entscheidungsgründen:
1. Der Senat ist für die auf § 2 UKlaG gestützte Klage zuständig, da die ausschließliche (Eingangs-)Zuständigkeit des Oberlandesgerichts Frankfurt gemäß § 6 Abs. 1 Satz 1 UKlaG in der seit 13. Oktober 2023 geltenden Fassung (Art. 10 Nr. 17 Buchst. d Doppelbuchst. aa VRUG) eröffnet ist.

a) Das Oberlandesgericht Frankfurt ist gemäß § 6 Abs. 1 S. 1 UKlaG örtlich zuständig. Die Beklagte hat ihren Sitz im Bezirk des angerufenen Gerichts.

b) Darüber hinaus ist das Oberlandesgericht auch sachlich zuständig für Ansprüche aus § 2 UKlaG i.V.m. der DSGVO.

(1) Der Kläger stützt den mit der Klage geltend gemachten Unterlassungsanspruch ausweislich der Angaben in der Klagschrift (unter anderem) darauf, dass die Beklagte einer verbraucherschützenden Norm im Sinne von § 2 UKlaG zuwidergehandelt habe. Nach § 2 Abs. 1 Satz 1 UKlaG kann, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. Nach § 2 Abs. 2 Satz 2 UKlaG sind Verbraucherschutzgesetze insbesondere die dort im Einzelnen aufgeführten Normen.

(2) Bei Art. 5 Abs. 1 lit. a, lit. c, Art. 6 Abs. 1 S. 1 DSGVO handelt es sich um ein Verbraucherschutzgesetz im Sinne des § 2 UKlaG. Gemäß § 2 Abs. 2 Nr. 13 UKlaG sind Verbraucherschutzgesetze auch die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2; L 074 vom 4.3.2021, S. 35) in der jeweils geltenden Fassung, die für die Verarbeitung von Daten von Verbrauchern durch Unternehmer gelten.

(3) Die sachliche Zuständigkeit gilt nicht nur für den auf § 1 UKlaG gestützten Unterlassungsanspruch, sondern erfasst auch den weitergehend geltend gemachten Antrag auf Ersatz der Abmahnkosten. Dies folgt nicht aus § 35 ZPO bzw. dem Rechtsgedanken des § 17 Abs. 2 S. 1 GVG. Denn bei den betreffenden Anträgen handelt es sich bezogen auf den Unterlassungsanspruch um prozessual unterschiedliche Streitgegenstände (vgl. BGH, Urteil vom 14. Dezember 2017 - I ZR 184/15 -, juris Rn. 19; s. auch zur Frage der Zuständigkeit kraft Sachzusammenhangs Stein/Roth, Kommentar zur Zivilprozessordnung, 24. Auflage 2024, § 1 Rn. 10; Heinrich in: Musielak/Voit, ZPO, 21. Auflage 2024, § 1 Rn. 14). Eine Klagehäufung setzt indes gemäß § 260 ZPO voraus, dass das Prozessgericht für sämtliche Ansprüche zuständig ist (vgl. Lückemann in: Zöller, ZPO, 35. Auflage 2024, § 17 GVG Rn. 6).

Die Zuständigkeit folgt jedoch aus einer am Normzweck ausgerichteten Auslegung des § 6 Abs. 1 S.1 UKlaG. Danach erfassen „Klagen nach diesem Gesetz“ auch den Unterlassungsanspruch flankierende Annexanträge zumindest dann, wenn diese gemeinsam mit dem Unterlassungsanspruch in einer Klage geltend gemacht werden. Andernfalls würde der mit der Novellierung des Gesetzes verfolgte Zweck unterlaufen. Nach dem Willen des Gesetzgebers sollen die Oberlandesgerichte für die Klagen in erster Instanz ausschließlich zuständig sein, um die Verfahren zu beschleunigen (Köhler/Alexander in: Köhler/Bornkamm/Feddersen, 42. Aufl. 2024, UKlaG § 6 Rn. 2). Bei den Verfahren über Ansprüche nach dem UKlaG sind überwiegend Rechtsfragen zu klären, so dass eine Tatsacheninstanz ausreichend ist. Da Unterlassungsklagen nun verjährungshemmende Wirkung haben (§ 204a Abs. 1 Nr. 2 BGB), ist zu erwarten, dass sie künftig noch häufiger, insbesondere auch vor Abhilfeklagen, erhoben werden, um bestimmte Rechtsfragen vorab höchstrichterlich zu klären und das Kostenrisiko für eine Abhilfeklage zu begrenzen (BT-Drs 20/6520 S. 118). Zudem wird der bereits zuvor mit der Verortung bei den Landgerichten verfolgte Zweck der Konzentration von Sachverstand und Erfahrungswissen weiterverfolgt (§ 6 Abs. 2 UKlaG a.F.). Diese Aspekte greifen bei Annexfragen, gerichtet auf Auskunft und Folgenbeseitigung, gleichermaßen. Das Ziel der Verfahrensbeschleunigung würde konterkariert, würde man die (aus verbraucherschutzgesetzwidrigen Praktiken i.S.d. § 2 UKlaG folgenden) weiteren Ansprüche je nach Streitwert zunächst in die erstinstanzliche Zuständigkeit der Amts- bzw. Landgerichte verweisen; eine Konzentration bei den Landgerichten besteht nach geltender Rechtslage nicht mehr (Köhler/Alexander a.a.O., § 6 UKlaG Rn. 12). Zudem muss der Gefahr einander widersprechender Entscheidungen begegnet werden. Da die Zuständigkeit nach überwiegender Meinung selbst in den Fällen bejaht wird, in welchen Ansprüche auf Grund von Vertragsstrafeversprechen und Unterlassungsverträgen geltend gemacht werden (BGH, Beschluss vom 19.10.2016 - I ZR 93/15, BeckRS 2016, 20396, Rn. 22 bis 26 zu § 13 UWG; MüKoZPO/Micklitz/Rott, 6. Aufl. 2022, § 6 UKlaG, Rn. 4 m.w.N.), muss dies für Annexforderungen erst recht gelten. Zutreffenderweise ist die Zuständigkeitsregelung daher entsprechend auf Rechtsstreitigkeiten über die Erstattung von vorprozessualen Abmahnkosten anzuwenden (OLG Koblenz Urt. v. 5.12.2024 - 2 UKl 1/23, 34027 Rn. 12-16).

2. Die Klage hat in der Sache Erfolg.

Dem Kläger steht der geltend gemachte Unterlassungsanspruch aus § 2 Abs. 1, Abs. 2 Nr. 13 UKlaG i.V.m. 5 I a DSGVO zu. Die Beklagte hat beim Verkauf der Online-Tickets „Super-Sparpreis“ und „Sparpreis“ zwingend die Angabe von E-Mail-Adresse oder Telefonnummer verlangt und damit eine Datenverarbeitung verlangt, die nicht rechtmäßig ist.

a) Der Genehmigungsbescheid des BMDV vom 29.08.2023 (Anlage B1), mit dem die allgemeinen Beförderungsbedingungen genehmigt worden sind, entfaltet keine Tatbestandswirkung.

Wird ein bestimmtes Marktverhalten von der zuständigen Verwaltungs- bzw. Aufsichtsbehörde genehmigt, kommt zwar eine Einstufung als unlauter jedenfalls solange nicht in Betracht, solange die Genehmigung nicht als nichtig anzusehen ist oder in dem dafür vorgesehenen Verwaltungsrechtsverfahren aufgehoben wird (BGH GRUR 2005, 778 - Atemtest I; BGH GRUR 2008, 1014 - Amlodipin). Diese Grundsätze werden auf die Bewertung eines durch eine Verwaltungsbehörde erlaubten Handelns übertragen (OLG Hamburg GRUR-RR 2014, 218 (nachgehend BGH GRUR 2015, 1244 - Äquipotenzangabe in Fachinformation; OLG Hamburg Magazindienst 2015, 42) und finden auch im Rahmen von § 2 UKlaG Anwendung. Wird nämlich eine geschäftliche Handlung von den zuständigen Behörden als rechtlich zulässig bewertet, kann der Werbende auch auf diese Bewertung vertrauen und muss sich nicht vorsichtshalber nach der strengsten Gesetzesauslegung und Einzelfallbeurteilung erkundigen. Grundsätzlich ist zwar von einem Gewerbetreibenden zu verlangen, dass er sich Kenntnis von den für seinen Tätigkeitsbereich einschlägigen gesetzlichen Bestimmungen verschafft und in Zweifelsfällen mit zumutbaren Anstrengungen besonders sachkundigen Rechtsrat einholt. Das findet aber in der behördlichen Einstufung als zulässig seine Grenze, solange der Gewerbetreibende nicht die Rechtswidrigkeit seines Verhaltens kennt (oder sich dieser Einsicht bewusst verschließt) oder auf die Haltung der Verwaltungsbehörden in unlauterer Weise eingewirkt hat (BGH GRUR 2002, 269 - Sportwetten-Genehmigung). Sofern die zuständige Verwaltungsbehörde daher einen wirksamen Verwaltungsakt erlassen hat, der das beanstandete Marktverhalten ausdrücklich erlaubt und der weder durch die zuständige Behörde oder durch ein Verwaltungsgericht aufgehoben worden, noch als nichtig anzusehen ist, ist die Zulässigkeit des beanstandeten Verhaltens wegen der sog. Tatbestandswirkung des Verwaltungsakts einer Nachprüfung durch die Zivilgerichte nicht nur für den Rechtsbruchtatbestand des § 3a entzogen (BGH GRUR 2015, 1228 - Tagesschau-App),

Die Reichweite der Tatbestandswirkung eines Verwaltungsakts wird durch seinen Regelungsgehalt (Tenor) bestimmt (vgl. Stelkens in Stelkens/Bonk/Sachs, VwVfG, 8. Aufl., § 35 Rn. 142; BeckOK VwVfG/Schemmer, Std.: 1.4.2025, § 43 Rn. 28; Peuker in Knack/Henneke, VwVfG, 10. Aufl., § 43 Rn. 22). Der Regelungsgehalt eines Verwaltungsakts ist in entsprechender Anwendung der §§ 133, 157 BGB nach den Grundsätzen zu bestimmen, die auch für die Auslegung von Willenserklärungen gelten. Danach ist der erklärte Wille der erlassenden Behörde maßgebend, wie ihn der Empfänger bei objektiver Würdigung verstehen konnte (BGH, WRP 2007, 1359; BVerwG NVwZ 2005, 1070; BVerwG, NJW 2013, 1832 Rn. 10). Bei der Ermittlung dieses objektiven Erklärungswerts ist in erster Linie auf den Entscheidungssatz und die Begründung des Verwaltungsakts abzustellen; darüber hinaus ist das materielle Recht, auf dem der Verwaltungsakt beruht, heranzuziehen (BGH GRUR 2015, 1228 Rn. 35; BVerwGE 126, 254 Rn. 78; Kopp/Ramsauer, VwVfG, 15. Aufl., § 43 Rn. 15).

Das Schreiben des Bundesministeriums für Digitales und Verkehr vom 29.08.2023 enthält weder einen Entscheidungssatz im eigentlichen Sinne noch eine Begründung. Seine Kernaussage beschränkt sich auf die Mitteilung, dass der Tarifantrag Nr. 23/2023 vom 10.08.2023 nach § 12 II AEG genehmigt werde. Dem Tenor ist nicht zu entnehmen, in welcher Hinsicht eine rechtliche Prüfung und Genehmigung erfolgt ist; da keine Begründung vorhanden ist, kann auch hieraus kein Rückschluss im Hinblick auf den Umfang der Bindungswirkung gezogen werden. Da der Behörde nach § 12 III AEG ein (Aufgreif- und Entscheidungs-) Ermessen zusteht, ist auch nicht davon auszugehen, dass die Tarife umfassend im Hinblick auf alle rechtlichen Fragestellungen - und damit auch bezüglich der DSGVO - Gegenstand der Prüfung und Genehmigung waren.

b) Die Speicherung von Telefonnummer und/oder E-Mail-Adresse stellt eine rechtwidrige Datenverarbeitung nach der DSGVO dar, da eine Rechtsgrundlage nicht ersichtlich ist.

(1) Diese Verarbeitung der Daten ist nicht nach Art. 6 Abs. 1 S. 1 a DSGVO durch eine Einwilligung gerechtfertigt.

aa) Der Rechtsgrund der Einwilligung der betroffenen Person für die Verarbeitung ihrer personenbezogenen Daten setzt voraus, dass eine wirksame Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO vorliegt, nämlich eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Vor allem die Freiwilligkeit ist „prägende Voraussetzung“ für die Wirksamkeit der Einwilligung. Freiwillig ist die Willensbekundung, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung ohne Nachteile zu verweigern oder zurückzuziehen (Erwägungsgrund 42 S. 5)

Wie sich aus Art. 7 Abs. 4 DSGVO ergibt, kann eine Einwilligung unfreiwillig erteilt sein, wenn die Erfüllung eines Vertrags, z.B. die Erbringung einer Dienstleistung, abhängig gemacht wird von der Einwilligung in eine Datenverarbeitung, die für die Vertragserfüllung nicht erforderlich ist. Im Ergebnis formuliert die Vorschrift ein allgemeines Koppelungsverbot. Eine Einwilligung soll nicht freiwillig erteilt sein, wenn der Betroffene faktisch keine andere Wahl hat als der Datenverarbeitung zuzustimmen, um in den Genuss einer Dienstleistung oder einer anderen vertraglichen Leistung zu kommen (BeckOK DatenschutzR/Stemmer, 52. Ed. 1.5.2025, DS-GVO Art. 7 Rn. 42; Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 73, 74).

Die Einwilligung ist daher nur dann wirksam, wenn der Verantwortliche nachweisen kann, dass die betroffene Person eine echte Wahl hatte, d.h. durch das Verweigern der Datenangaben keinen Nachteilen ausgesetzt war. Dies setzt voraus, dass ihr eine gleichwertige Alternative ohne Zwang zur Datenpreisgabe angeboten wurde. Ohne eine solche Alternative kann die digitale Zugangshürde nicht auf eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO gestützt werden.

In den Worten des EuGH: sie muss „objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der […] Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte. Der etwaige Umstand, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist insoweit für sich genommen unerheblich. Entscheidend für die Anwendung des in Art. 6 Abs. 1 Unterabs. 1 Buchst. b DS-GVO genannten Rechtfertigungsgrundes ist nämlich, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen“.

Nach der Rechtsprechung des EuGH ist zudem eine marktbeherrschende Stellung des Verantwortlichen ein Anhaltspunkt für möglicherweise fehlende Freiwilligkeit, sofern die Einwilligung in eine Datenverarbeitung erteilt werden muss, um einen Dienst nutzen zu können. Die Nutzer seien in diesem Fall nicht in der Lage, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden. Dabei könne eine marktbeherrschende Stellung zu einem klaren Machtungleichgewicht führen, was im Rahmen des Koppelungsverbots zu berücksichtigen sei. Umgekehrt schließe eine marktbeherrschende Stellung eine wirksame Einwilligung aber auch nicht per se aus (EuGH NJW 2023, 2997 Rn. 147 ff. - Meta; Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 76).

bb) Danach kann in der Gesamtschau hier eine Freiwilligkeit der Einwilligung nicht bejaht werden.

Die Beklagte hat die Vertragserfüllung von einer Einwilligung in die Datenverarbeitung abhängig gemacht, die für die Erfüllung des Vertrages nicht erforderlich ist. Diese Erhebung der Daten war für die Erbringung der von der Beklagten geschuldeten Leistung nicht in tatsächlicher Hinsicht zwingend erforderlich. Die Beklagte konnte nicht nachweisen, inwiefern der Hauptgegenstand des Vertrags (Erbringung der Beförderungsdienstleistung) ohne die betreffende Verarbeitung nicht erfüllt werden könnte. Sie hat schon selbst nicht behauptet, dass die Beförderungsleistung ohne die Erhebung der Daten nicht erbracht werden könne. Soweit sie als Grund für die Datenverarbeitung den Einnahme-, Vervielfältigungs-, Missbrauchs- und Übertragungsschutz angibt, rechtfertigt der Schutz vor Vervielfältigung und vor Übertragung die Identifizierung der Person, wozu allerdings nur die Erhebung der Identitätsdaten des Kunden, nicht jedoch die Erhebung von E-Mail-Adresse oder Mobilfunknummer erforderlich ist. Einer potentiellen Missbrauchsgefahr kann auch dadurch begegnet werden, dass neben der Ticketnummer der Name der Kundin bzw. des Kunden (und bei Verwechslungsgefahr auch seine Adresse) angegeben wird. Bei der Ticketkontrolle kann dann durch Überprüfung der Ticketnummer und das Vorzeigen eines Ausweises festgestellt werden, ob das Ticket vervielfältigt oder an eine unberechtigte Person übertragen worden ist. Sofern ein Ticket am Schalter bezahlt und ausgedruckt worden ist und der befürchtete Missbrauch ausgeschlossen ist, besteht bei diesem Verfahren auch Einnahmeschutz.

Zwar lässt nicht jede Koppelung automatisch die Freiwilligkeit entfallen. Stattdessen muss der Koppelungssituation lediglich „in größtmöglichem Umfang Rechnung getragen werden“. Das bringt zum Ausdruck, dass es noch andere Faktoren gibt, die bei der Subsumtion unter den Begriff „freiwillig“ zu berücksichtigen sind. Der Verantwortliche muss also im Einzelfall prüfen, ob eine Drucksituation entsteht, die die Freiheit zur Willensentschließung aufhebt (zum Streitstand Kollmann ZD 2025, 73 (75 ff.); relatives Koppelungsverbot: BeckOK DatenschutzR/Stemmer, 52. Ed. 1.5.2025, DS-GVO Art. 7 Rn. 45; Paal/Pauly/Frenzel Rn. 18; Ehmann/Selmayr/Heckmann/Paschke Rn. 100, 103; aA Dammann ZD 2016, 307, 311; Golland MMR 2018, 130, 132: striktes Koppelungsverbot). Das ermöglicht eine differenzierte Bewertung, in die sämtliche Umstände einfließen müssen, die geeignet sein können, die Entschließungsfreiheit der betroffenen Person zu beeinträchtigen.

Der Senat hält hier jedoch in der Gesamtschau jedenfalls aufgrund der hinzutretenden marktbeherrschenden Stellung der Beklagten dafür, dass ein Verstoß gegen das Koppelungsverbot zu bejahen ist. Nach der Rechtsprechung des EuGH ist eine marktbeherrschende Stellung des Verantwortlichen ein Anhaltspunkt für möglicherweise fehlende Freiwilligkeit, sofern die Einwilligung in eine Datenverarbeitung erteilt werden muss, um einen Dienst nutzen zu können. Die Nutzer seien in diesem Fall nicht in der Lage, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden. Dabei könne eine marktbeherrschende Stellung zu einem klaren Machtungleichgewicht führen, was im Rahmen des Koppelungsverbots zu berücksichtigen sei (EuGH NJW 2023, 2997 Rn. 147 ff. - Meta; vgl. auch BGH WRP 2025, 72, Rnr. 44 - Scraping). Hier hat die Beklagte gerichtsbekannt eine überragende marktbeherrschende Stellung auf dem Markt des Eisenbahnfernverkehrs. Für die Betroffenen fehlt es an einem anderweitigen, zumutbaren Zugang zu gleichwertigen Leistungen am Markt. Dies gilt zum einen für Fernverkehrsangebote anderer Anbieter, die nicht in einem so signifikanten Maße vorhanden sind, dass sie in der Fläche eine adäquate Alternative darstellen könnten. Dies gilt aber auch für „interne“ Ausweichmöglichkeiten, auf die die Beklagte verweist (reguläre Tickets), da diese signifikant teurer sind.

(2) Die Datenverarbeitung ist auch nicht nach Art. 6 Abs. 1 S. 1 b DSGVO (Verarbeitung von Vertragsdaten) gerechtfertigt.

Dieser Rechtsgrund setzt wie Art. 7 b DS-RL (RL 95/46/EG) voraus, dass die Verarbeitung erforderlich ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Dieser Rechtsgrund erfasst die Datenverarbeitung, die in Zusammenhang mit einem Vertrag erforderlich ist. Der Begriff der „Erfüllung“ ist weit auszulegen und umfasst über die Anbahnung und Durchführung des Vertragszwecks auch die Abwicklung des Vertragsverhältnisses (Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6 Rn. 24).

Für die Erfüllung eines Vertrags ist eine Verarbeitung indes nur dann erforderlich, wenn sie für die Erfüllung der konkreten Vertragszwecke notwendig und nicht nur nützlich ist. Das setzt voraus, dass ohne die betreffenden Verarbeitungsvorgänge die zwischen den Vertragsparteien vereinbarten Vertragszwecke nicht erreicht werden können und deshalb diese Verarbeitungsvorgänge für die Erfüllung der Vertragszwecke objektiv unerlässlich sind (Ehmann/Selmayr/Heberlein, 3. Aufl. 2024, DS-GVO Art. 6 Rn. 25,).

Dies ist hier nicht der Fall. Die Beklagte schließt mit dem Kunden einen Beförderungsvertrag ab. Die Kundinnen und Kunden möchten zu einem günstigen Preis mit einer Bahn an einem bestimmten Tag von A nach B fahren. Hierfür zahlen sie der Beklagten den Fahrpreis. Der Hauptgegenstand des Vertrags ist jedoch nicht im Generieren eines validen und zugleich digitalen Sparpreistickets zu sehen. Das Ticket dient nur dem Nachweis des Vertragsabschlusses über die Beförderung und der Bezahlung des Fahrpreises. Mit dem Ticket allein kommt der Kunde nicht von A nach B, denn die geschuldete Hauptleistung wird erst durch die Beförderung erbracht. Aus dem Vortrag der Beklagte ergibt sich, dass die Ausstellung des digitalen Tickets und die Verarbeitung der genannten personenbezogenen Daten ein Mittel zur leichteren Abwicklung der Hauptleistung darstellt, nicht die Hauptleistung selbst. Auch wenn eine solche Verarbeitung personenbezogener Daten im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist dies nach dem „Meta“-Urteil des EuGH unerheblich.

Die Verarbeitung der oben genannten Informationen ist also nicht notwendig für die eigentliche Leistung (Beförderung), sondern dient vornehmlich unternehmensinternen Zwecken - etwa der Kundenbindung, Werbung oder der Kontrolle des Nutzungsverhaltens.

(3) Schließlich ist die Verarbeitung der personenbezogenen Daten auch nicht zur Verwirklichung überwiegender berechtigter Interessen nach Art. 6 Abs. 1 S. 1 f DSGVO unbedingt erforderlich. Dabei kann dahinstehen, ob von der Beklagten ein berechtigtes Interesse wahrgenommen wird, da die Verarbeitung zur Verwirklichung des berechtigten Interesses jedenfalls nicht erforderlich wäre.

Eine Erforderlichkeit liegt nicht vor. Auf die obigen Ausführungen kann insoweit Bezug genommen werden. Es genügt nicht, dass die Verarbeitung für den Verantwortlichen nützlich ist. Ebenso macht die Zielsetzung einer „bestmöglichen Effizienz“ die Datenverarbeitung nicht für die Verwirklichung berechtigter Interessen erforderlich. Auch wird sie nicht dadurch erforderlich, dass der Verantwortliche sie als „wirtschaftlich sinnvollste Alternative“ ansieht. Sie ist nur dann unbedingt erforderlich, wenn das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen. Der Verantwortliche muss also den Prozess für den Zugang zu seinen Leistungen wählen, der mit dem geringsten Maß an personenbezogenen Daten auskommt. Hieran fehlt es. Zwar kann über die DSGVO die Eröffnung besonderer Vertriebskanäle - wie die Bereitstellung von Tickets über Automaten - nicht erreicht werden; die Beklagte kann also nicht gezwungen werden, anstelle des oder neben dem Online-Fahrkartenverkauf einen Verkauf am Automaten zu eröffnen. Diese Frage stellt sich hier jedoch nicht, weil die Beklagte nicht gezwungen wird, einen neuen Vertriebskanal zu eröffnen, sondern nur verlangt wird, dass sie die vorhandenen Vertriebskanäle - hier den Schalterverkauf - datensparend ausgestaltet.

Den Volltext der Entscheidung finden Sie hier:

VG Köln
Urteil vom 22.05.2025
13 K 1419/23

Wir hatten bereits in dem Beitrag VG Köln: Bundespresseamt darf "Facebook-Fanpage" zur Öffentlichkeitsarbeit für die Bundesregierung betreiben - Untersagungsverfügung der BfDI rechtswidrig über die Entscheidung berichtet.

Leitsätze des Gerichts:
1. Zur Einholung einer Einwilligung nach § 25 Abs. 1 Satz 1 TTDSG verpflichtet ist jede natürliche oder juristische Person, die kausal die Ausführung des Quelltexts veranlasst, der die Informationen speichert oder ausliest, und der deshalb die Realisierung der Distanzgefahr durch den Fernzugriff, vor dem der Endnutzer geschützt werden soll, zuzurechnen ist. Hierfür ist ein hinreichend enger Wirkungs- und Ursachenzusammenhang zwischen der Durchführung des Fernzugriffs und dem Verhalten der Person zu verlangen.

2. Die gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art. 4 Nr. 7 Halbs. 1, Art. 26 Abs. 1 Satz 1 DSGVO setzt eine gemeinsame Festlegung von sowohl Zwecken als auch Mitteln der konkreten Datenverarbeitung voraus.

3. Ob die Mittel der Datenverarbeitung gemeinsam festgelegt werden, ist auf Grundlage einer Gesamtwürdigung der Umstände des Einzelfalls zu beurteilen. Die bloße Mitursächlichkeit des Verhaltens einer Person für eine Verarbeitung personenbezogener Daten genügt für die Annahme einer gemeinsamen Mittelfestlegung nicht.

4. Tauglicher Adressat einer Verwarnung auf Grundlage des Art. 58 Abs. 2 Buchst. b DSGVO ist der für den vollendeten Datenschutzverstoß Verantwortliche oder der Auftragsverarbeiter nur dann, wenn er im Zeitpunkt des Erlasses des Verwarnungsbescheides im Hinblick auf die als datenschutzwidrig monierte Datenverarbeitung noch Verantwortlicher oder Auftragsverarbeiter ist

Den Volltext der Entscheidung finden Sie hier:

VG Köln
Urteil vom 22.05.2025
13 K 1419/23

Das VG Köln hat entschieden, dass das Bundespresseamt eine "Facebook-Fanpage" zur Öffentlichkeitsarbeit für die Bundesregierung betreiben darf und entschieden, dass die Untersagungsverfügung der BfDI rechtswidrig ist.

Die Pressemitteilung des Gerichts:
VG Köln: Bundesregierung darf „Facebook-Fanpage“ zur Öffentlichkeitsarbeit weiterbetreiben

Das Presse- und Informationsamt der Bundesregierung darf seine „Facebook-Fanpage“ weiterbetreiben. Dies hat das Verwaltungsgericht Köln aufgrund der mündlichen Verhandlung vom 17. Juli 2025 entschieden und damit den gegen die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) gerichteten Klagen des Bundes und von „Meta“ (vormals „Facebook“) stattgegeben.

Das Bundespresseamt betreibt eine „Fanpage“ in dem sozialen Netzwerk „Facebook“. Dort informiert es über aktuelle politische Tätigkeiten der Bundesregierung. Bei dem Besuch der „Fanpage“ können auf den Endgeräten der Nutzenden sogenannte „Cookies“ platziert werden.

Die BfDI untersagte dem Bundespresseamt 2023 den Betrieb seiner „Facebook“-Seite („Fanpage“) wegen Gesetzesverstößen, unter anderem gegen die Datenschutzgrundverordnung (DSGVO). Die BfDI vertrat die Auffassung, wegen der nicht datenschutzkonformen Ausgestaltung des von „Meta“ genutzten „Cookie-Banners“ liege keine wirksame Einwilligung für die Speicherung und das Auslesen bestimmter „Cookies“ vor. Nicht nur „Meta“, sondern auch das Bundespresseamt als Betreiber der „Fanpage“ sei gesetzlich verpflichtet, eine Einwilligung des jeweiligen Benutzers einzuholen. Außerdem sei das Bundespresseamt gemeinsam mit „Meta“ verantwortlich, dafür Sorge zu tragen, dass die Datenverarbeitungen auf einer ausreichenden Rechtsgrundlage wie einer Einwilligung beruhten.

Gegen den an das Bundespresseamt gerichteten Bescheid haben sich sowohl die Bundesregierung als auch „Meta“ mit ihren Klagen gewandt, denen das Gericht nunmehr überwiegend stattgegeben hat. Zur Begründung führt das Gericht im Wesentlichen aus:

Nicht das Bundespresseamt, sondern allein „Meta“ ist zur Einholung einer Einwilligung der Endnutzenden für die Platzierung von „Cookies“ verpflichtet. Es besteht kein ausreichender Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der „Fanpage“ durch das Bundespresseamt und dem mit der Speicherung und dem Auslesen der „Cookies“ verbundenen Fernzugriff auf die Endgeräte der Nutzer. Die „Cookies“ können zwar bei Gelegenheit des Besuches einer „Fanpage“, ebenso jedoch bei dem Besuch einer jeden anderen „Facebook-Seite“ platziert werden.

Auch nach der DSGVO sind „Meta“ und das Bundespresseamt nicht gemeinsam für die beanstandeten Datenverarbeitungen verantwortlich. Der Beitrag des Bundespresseamtes zur Speicherung und zum Auslesen der „Cookies“ erschöpft sich in dem Betrieb der „Fanpage“. Insbesondere kann das Bundespresseamt keine Parameter für die Platzierung der „Cookies“ und die Auswertung der erhobenen Daten vorgeben. Die bloße Ermöglichung einer Datenverarbeitung begründet nach Auffassung der Kammer indessen nicht die notwendige gemeinsame Festlegung der Mittel der Datenverarbeitung.

Das Gericht hat die Berufung zugelassen, über die das Oberverwaltungsgericht für das Land Nordrhein-Westfalen mit Sitz in Münster entscheiden würde, wenn die Beteiligten Berufung einlegen.

Aktenzeichen: 13 K 1419/23

LG Leipzig
Urteil vom 04.07.2025
05 O 2351/23

Das LG Leipzig hat entschieden, dass ein Facebook-Nutzer gegen Meta einen Anspruch auf Schadensersatz in Höhe von 5.000 EURO aus Art. 82 DGSVO wegen Verwendung der Meta Business Tools hat.

Die Pressemitteilung des Gerichts:
Landgericht Leipzig spricht Facebook-Nutzer eine Entschädigung von 5.000 Euro wegen Datenschutzverstößen durch die Business Tools von Meta zu

In der gegen Meta Platforms Ireland betriebenen Klage hat die für Datenschutzrecht zuständige 5. Zivilkammer des Landgerichts Leipzig mit Urteil vom 4. Juli 2025 einem Nutzer von Facebook eine Entschädigung wegen Datenschutzverstößen von 5.000 Euro zugesprochen.

Damit, dass Meta mit seinen Business Tools massiv gegen europarechtlichen Datenschutz verstößt, die personenbezogenen Daten zu einem Profiling der Nutzer von Facebook verarbeitet und Meta mit dem Geschäftsmodell der personalisierten Werbung Milliardengewinne einfährt, hat das Gericht die hohe Entschädigungssumme gerechtfertigt.

Meta, Betreiberin der sozialen Netzwerke Instagram und Facebook, hat Business Tools entwickelt, die von zahlreichen Betreibern auf ihren Webseiten und Apps eingebunden werden und die Daten der Nutzer von Instagram und Facebook an Meta senden. Jeder Nutzer ist für Meta zu jeder Zeit individuell erkennbar, sobald er sich auf den Dritt-Webseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Account von Instagram und Facebook angemeldet hat. Die Daten sendet Meta Ireland ausnahmslos weltweit in Drittstaaten, insbesondere in die USA. Dort wertet sie die Daten in für den Nutzer unbekanntem Maß aus.

Das Gericht hat den Anspruch auf Ersatz des immateriellen Schadens ausschließlich auf Art. 82 der Datenschutz-Grundverordnung (DSGVO) gestützt, damit auf Europarecht und nicht (wie andere Gerichte in vergleichbaren Fällen) auf das nationale Recht bei Persönlichkeitsrechtsverletzungen. Das Landgericht Leipzig hat sich dabei auf Feststellungen des Europäischen Gerichtshofs (EuGH) in einem Verfahren gegen Meta gestützt, in dem es ebenfalls um die Zulässigkeit der Business Tools ging. Da die Verarbeitung personenbezogener Daten besonders umfangreich ist – sie betrifft potenziell unbegrenzte Datenmengen und hat nahezu die vollständige Überwachung des Online-Verhaltens des Nutzers zur Folge – führt nach dem EuGH zu einem Gefühl, dass das gesamte Privatleben kontinuierlich überwacht wird.

Die Höhe des europarechtsautonom auszulegenden Schmerzensgeldes nach Art. 82 DSGVO muss, so das Landgericht Leipzig, über die in der nationalen Rechtsprechungspraxis etablierten Schmerzensgeldbeträge hinausgehen. Bei der Schadensschätzung wurde an den Wert der personenbezogenen Daten zu Zwecken personalisierter Werbung für Meta angeknüpft. Nach dem Bundeskartellamt (Beschl. v. 2.5.2022, Az. B 6-27/21) verfügt Meta im Bereich der sozialen Medien über eines der führenden Werbeangebote. Im Jahr 2021 erzielte Meta bereits 115 Mrd. USD Werbeeinnahmen bei einem Gesamtumsatz von 118 Mrd. USD, sodass die Werbeeinnahmen 97 % vom Umsatz ausmachen. Der finanzielle Wert eines einzigen Nutzerprofils, in dem sämtliche Daten über die Person gespeichert sind, ist auf datenverarbeitenden Märkte enorm. Dass der hohe Wert von Daten auch der Wahrnehmung in der Gesellschaft entspricht, sieht das Gericht durch diverse Studien bestätigt.

Auf eine informatorische Anhörung des Klägers – so wie die meisten anderen Gerichte bislang – hat das Landgericht Leipzig verzichtet. Bei einer Anhörung des Klägers wären keine weiteren Erkenntnisse zu erwarten gewesen, der über die Mitteilung des im Allgemeinen eher diffusen Gefühls des Datenverlusts und der Verunsicherung hinausgeht. Denn es ist ja gerade das Problem der Klagepartei und auch des Gerichts, festzustellen, was konkret Meta mit den Daten macht und noch vorhat. Das Gericht stellt deshalb für eine Mindestentschädigung von 5.000 Euro auf die allgemeine Betroffenheit des aufmerksamen und verständigen »Durchschnitts«-Betroffenen im Sinne der DSGVO ab.

Die Kammer ist sich der Folgen ihrer Entscheidung bewusst. Auch wenn sie dazu führen könnte, dass viele Facebook-Nutzer Klage erheben, ohne einen individuellen Schaden explizit darzulegen, widerspricht dies nicht den gesetzgeberischen Zielen der DSGVO, gerade auch mittels Private Enforcement den Datenschutz vor Zivilgerichten und damit jenseits rein behördlicher Maßnahmen effektiv durchzusetzen.

Aktenzeichen: 05 O 2351/23