BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OLG Naumburg
Urteil vom 05.02.2026 - 9 U 124/24
Urteil vom 05.02.2036 - 9 U 44/25

Das OLG Naumburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool seitens Meta gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.200 EURO bzw. 1.250 EURO Schadensersatz aus Art. 82 DSGVO und auch einen Unterlassungsanspruch bejaht.

Die Pressemitteilung des Gerichts:
Schadensersatz wegen unerlaubter Datenverarbeitung durch Meta

Der 9. Zivilsenat des Oberlandesgerichts Naumburg hat durch zwei am heutigen Tage verkündete Urteile den Klägern Schadensersatz wegen unerlaubter Datenverarbeitung durch Unternehmen des Meta-Konzerns zugesprochen.

Meta konnte nach den Feststellungen des Senats bis zum 3. November 2023 mithilfe seiner Business Tools jeden Klick, jede Suche und jeden Kauf auf Tausenden von Webseiten und Apps nachverfolgen. Dazu mussten die Betroffenen nicht bei Facebook oder Instagram eingeloggt sein. Meta habe diese Daten unbemerkt und ohne Zustimmung der Nutzer genutzt. Nach Einführung der Abonnement-Variante sei die Datenübertragung je nach Einstellung der Nutzer differenzierter erfolgt. Sie führe jedoch nach wie vor zu einer umfassenden Datennutzung durch die Beklagte. Diese Datenverarbeitung sei rechtswidrig, verstoße gegen den Grundsatz der Datenminimierung und sei nicht von einer Einwilligung oder sonstigen Rechtfertigungs-gründen gedeckt. Der zugesprochene Schadensersatz belief sich in einem Fall auf 1.200 € und im anderen auf 1.250 €.

Neben dem Schadensersatz verurteilte der 9. Zivilsenat den Meta-Konzern zu einer generellen, umfassenden Unterlassung der Datenverarbeitung über die Business Tools sowie zur Löschung aller gesammelten Nutzer-Daten. Außerdem wurde die Rechtswidrigkeit der Datenverarbeitung festgestellt.

Die Urteile sind rechtskräftig, nachdem der Senat die Revision nicht zugelassen hat und die Beschwer der unterliegenden Partei in beiden Fällen den für die Nichtzulassungsbeschwerde erforderlichen Betrag nicht erreicht.

OLG Dresden
Urteile vom 03.02.2026
4 U 196/25, 4 U 292/25, 4 U 293/25 und 4 U 296/25

Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.500 EURO Schadensersatz aus Art. 82 DSGVO und einen Unterlassungsanspruch zugesprochen.

Die Pressemitteilung des Gerichts:
Meta Konzern zu Schadensersatz und Unterlassung verurteilt

Der 4. Zivilsenat hat am 03.02.2026 in den ersten vier Parallelverfahren zu den sog. Business-Tools den Meta Konzern zur Zahlung von immateriellem Schadensersatz in Höhe von jeweils 1500,- € sowie zur Unterlassung der Weiterverarbeitung hiermit gewonnener personenbezogener Daten an Nutzer des sozialen Netzwerks "Instagram" verurteilt.

Bei diesen "Business-Tools" handelt sich um Programmschnittstellen, die der Meta-Konzern Unternehmen zur Installation auf deren Webseiten anbietet. Sie dienen dazu, personenbezogene Daten der Webseitennutzer zu sammeln, die die Unternehmen dann mit dem Meta-Konzern teilen. Der 4. Zivilsenat hat sich in den entschiedenen Verfahren die Überzeugung verschafft, dass hierzu die zu einer Datenverarbeitung erforderlichen Einwilligungserklärungen der Nutzer nicht vorgelegen haben und sich die Beklagte hierfür auch nicht auf einen weiteren der nach der Datenschutzgrundverordnung möglichen Rechtfertigungsgründe berufen könne. Durch eine solche Verarbeitung personenbezogener Daten entstehe ein Kontrollverlust, der bei betroffenen Nutzern ein Gefühl der umfassenden Überwachung hervorrufen könne. Dies rechtfertige es, einen immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO auch dann zuzusprechen, wenn der einzelne Nutzer hierdurch keine psychische Beeinträchtigung erlitten habe. Nicht erforderlich sei es hierfür, dass der Nutzer nachweist, Webseiten besucht zu haben, die seine personenbezogenen Daten mit Hilfe dieser Business Tools an den Meta-Konzern weiterleiten.

Die Revision wurde nicht zugelassen. Die Urteile sind damit rechtskräftig.

OLG München
Urteil vom 18.12.2025
14 U 1068/25

Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 750 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.

Der Klägerin steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 750,- € zu (dazu sogleich 4.1.), daneben ein Anspruch auf Feststellung eines Verstoßes gegen den Nutzungsvertrag (dazu 4.2.), Ansprüche auf Unterlassung einer Verarbeitung bestimmter personenbezogener Daten (dazu 4.3.) und auf Erstattung vorgerichtlicher Rechtsanwaltskosten (dazu 4.4.).

Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.

4.1. Der Senat geht davon aus, dass die Klägerin einen einheitlichen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 55) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. ... ... Tools) wurzelt (s. Klageschrift S. 29: "der Verstoß").

Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH "einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind [...] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt [...]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen [...]."

Ein solcher Anspruch besteht vorliegend in Höhe von 750,- €.

4.1.1. Für den Senat steht fest, dass die Beklagte mithilfe der ... ... Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. ...#).

4.1.1.1. Technische Grundlage und Datenschutzeinstellungen

4.1.1.1.1. Über die sog. ... ... Tools ("u.a. ...-Pixel, C# ... (vormals bekannt als ...I), das ... für App Events, Offline-C# ... und die App ...", s. Anlage B5) erhält die Beklagte ...Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.

4.1.1.1.2. Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 31 = Bl. 308 f. LGA) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die ... ... Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 304 ff. LGA) ist es "eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. [...] Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. [...]"

4.1.1.1.3. Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der ... ... Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 35 f. = Bl. 310 f. LGA). Die ... Tools Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.

4.1.1.1.4. Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.

4.1.1.1.4.1. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem ...-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B7, S. 41).

4.1.1.1.4.2. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 62 = Bl. 322 LGA), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 63) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: "die C# ... ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben"; hierzu Duplik, Rz. 60 = Bl. 321 LGA.).

4.1.1.1.4.3. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).

4.1.1.2. Die Klägerin hat im Rahmen ihrer erstinstanzlich erfolgten persönlichen Anhörung erklärt, ihr sei aufgefallen, dass ihr zu zuvor gegoogelten Themen Werbung angezeigt wurde. Sie habe schon zuvor unter einer generalisierten Angststörung gelitten und sei auch schon in psychologischer Behandlung gewesen. Sie google viele Symptome und möchte nicht, dass ein Dritter wisse, wie es um ihre Gesundheit bestellt sei. Ihre generalisierte Angststörung sei dadurch "befeuert" worden (Protokoll der erstinstanzlichen mündlichen Verhandlung vom 06.02.2025, Bl. 482 – 484, dort S. 2 = Bl. 483 LGA).

Die Beklagte hat insoweit mit Nichtwissen bestritten, dass der streitgegenständliche Sachverhalt Thema der Behandlung der Klägerin gewesen wäre (ebd.). Nicht bestritten und damit vom Senat zugrunde zu legen ist die restliche Erklärung der Klägerin, sie google viele Symptome, ihr sei zu gegoogelten Themen Werbung angezeigt worden und ihre bereits zuvor vorhandene generalisierte Angststörung sei durch ihre Aufklärung über den streitgegenständlichen Sachverhalt "befeuert" worden.

4.1.1.2.1. Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps ... ... Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).

4.1.1.2.2. Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein "der ... Pixel [...] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut" sei (Replik, S. 49 = Bl. 191 d.A.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.

4.1.2. Nachdem der Klägerin unstreitig Werbung zu gegoogelten Themen gezeigt wurde (s.o. unter Punkt 4.1.1.2.), liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist, vor.

4.1.2.1. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).

4.1.2.2. Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden "Kontaktinformationen" und/oder "Event-Daten" (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem ... betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, "dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von ... aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird" (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).

4.1.2.3. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IPAdresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: "Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren [...]"; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).

4.1.2.4. Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.

4.1.2.4.1. Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand.

4.1.2.4.2. Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der ... ... Tools in eine Webseite oder App quasi eine "dynamische Verweisung" auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine "gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an ... über gewisse ... ... Tools" besteht, hat die Beklagte eingeräumt (Duplik, Rz. 41, 45 = Bl. 313 f. LGA, vgl. auch die Nutzungsbedingungen für die ... ... Tools in Anlage B5, dort S. 5).

4.1.3. Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.

4.1.3.1. Von Bedeutung ist dabei zunächst, "dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren" (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 23, Fn. 10) selbst auf die sog. Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: "[Es ist] sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. [...] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht."

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 18.12.2025
I ZR 97/25
Löschungsfrist bei Zahlungsstörungen
Verordnung (EU) 2016/679 Art. 6 Abs. 1 Unterabs. 1 Buchst. f; Art. 82

Wir hatten bereits in dem Beitrag BGH: Schufa muss erledigte Zahlungsstörungen nicht unverzüglich löschen - kürzere Speicherdauer bei besonderem Löschungsinteresse des Betroffenen über die Entscheidung berichtet.

Leitsätze des BGH:
a) Die längstmögliche Speicherungsdauer von Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien durch Einmeldungen ihrer Vertragspartner sammeln, um sie zur Grundlage von Bonitätsbeurteilungen zu machen, wird nicht durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register - hier im Schuldnerverzeichnis - vorgegeben (Abgrenzung zu EuGH, Urteil vom 7. Dezember 2023 - C-26/22 und C-64/22, NJW 2024, 417 [juris Rn. 113] - SCHUFA Holding [Restschuldbefreiung]).

b) Verhaltensregeln im Sinn von Art. 40 DSGVO können im Interesse der Rechtssicherheit und auch mit Blick auf das von Wirtschaftsauskunfteien betriebene Massengeschäft als Orientierung für die nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorzunehmende Interessenabwägung herangezogen werden, soweit sie typisiert zu einem angemessenen Interessenausgleich führen - wie das bei der vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum 1. Januar 2025 genehmigten Ziffer IV.1. Buchst. b der Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien grundsätzlich der Fall ist - und die Besonderheiten des Einzelfalls bei der konkret vorzunehmenden Interessenabwägung hinreichend berücksichtigt werden (Abgrenzung zu EuGH, NJW 2024, 417 [juris Rn. 104 f.] - SCHUFA Holding [Restschuldbefreiung]).

BGH, Urteil vom 18. Dezember 2025 - I ZR 97/25 - OLG Köln - LG Bonn

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 18.12.2025
C-422/24
Storstockholms Lokaltrafik

Der EuGH hat sich vorliegend mit den Informationspflichten nach der DSGVO beim Einsatz von Bodycams im Zusammenhang mit Fahrscheinkontrollen befasst.

Die Pressemitteilung des EuGH:
DSGVO: Beim Einsatz einer Körperkamera anlässlich der Fahrscheinkontrolle müssen dem betroffenen Fahrgast bestimmte Informationen unmittelbar zur Verfügung gestellt werden

Die wichtigsten Informationen können auf einem Hinweisschild angezeigt werden, während die weiteren an einem leicht zugänglichen Ort zur Verfügung gestellt werden könne.

Ein öffentlicher Verkehrsbetrieb in Stockholm (Schweden) stattet seine Fahrkartenkontrolleure mit Körperkameras aus, um anlässlich der Fahrkartenkontrollen die Fahrgäste zu filmen.

Die schwedische Datenschutzbehörde verhängte gegen dieses Unternehmen wegen Verstößen gegen mehrere Bestimmungen der Datenschutz-Grundverordnung (DSGVO)1 eine Geldbuße. Unter anderem ist sie der Auffassung, dass der Einsatz von Körperkameras die Erhebung personenbezogener Daten unmittelbar bei den gefilmten Personen, die hierüber nur mangelhaft unterrichtet worden seien, ermöglicht habe.

Das Unternehmen bestreitet eine Verletzung der Informationspflicht. Die personenbezogenen Daten seien indirekt erhoben worden, und bei einer solchen Art der Erhebung würden Zeitpunkt und Umfang dieser Verpflichtung anders definiert, so dass die Geldbuße ungerechtfertigt sei.

Das mit diesem Rechtsstreit befasste schwedische Gericht hat den Gerichtshof um Auslegung der DSGVO ersucht.

Nach Auffassung des Gerichtshofs müssen betroffene Personen bestimmte Informationen unmittelbar erhalten, da die mit Körperkameras erlangten Daten unmittelbar4 bei diesen Personen erhoben werden.

Die Einstufung einer Datenerhebung als „unmittelbar“ setzt nämlich weder voraus, dass die betroffene Person Daten wissentlich zur Verfügung stellt, noch bedarf es einer besonderen Handlung dieser Person. Daten, die bei der Beobachtung der Person, die die Quelle dieser Daten ist, gewonnen wurden, werden daher als unmittelbar bei dieser Person erhoben angesehen.

Die zweite Fallgestaltung, in der Daten indirekt erhoben werden, findet Anwendung, wenn der Verantwortliche keinen direkten Kontakt zur betroffenen Person hat und die Daten aus einer anderen Quelle erhält.

Werden die Daten unmittelbar bei der betroffenen Person erhoben, können die Informationspflichten im Rahmen eines mehrstufigen Verfahrens erfüllt werden. Die wichtigsten Informationen können auf einem Hinweisschild angezeigt werden. Die weiteren obligatorischen Informationen können der betroffenen Person in geeigneter und vollständiger Weise an einem leicht zugänglichen Ort zur Verfügung gestellt werden.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 18.12.2025
I ZR 97/25

Der BGH hat entschieden, dass Wirtschaftsauskunfteien wie die Schufa erledigte Zahlungsstörungen nicht unverzüglich löschen müssen. Ein Anspruch auf vorzeitige Löschung kann aber bei einem besonderem Löschungsinteresse des Betroffenen bestehen.

Die Pressemitteilung des BGH:
Von Vertragspartnern einer Wirtschaftsauskunftei eingemeldete Daten über Zahlungsstörungen müssen
nicht sofort nach dem Forderungsausgleich gelöscht werden

Die längstmögliche Speicherungsdauer von Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien durch Einmeldungen ihrer Vertragspartner sammeln, wird nicht durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register vorgegeben. Daher müssen solche Daten nicht - wie für die im öffentlichen Schuldnerverzeichnis gespeicherten Daten vorgesehen - sofort mit dem Nachweis des Ausgleichs der betreffenden Forderung gelöscht werden. Das hat der unter anderem für Rechtsstreitigkeiten aus dem Datenschutzrecht zuständige I. Zivilsenat des Bundesgerichtshofs heute entschieden und eine Abgrenzung zu einem vom Gerichtshof der Europäischen Union entschiedenen Fall der Übernahme von Daten aus einem öffentlichen Register vorgenommen. Für die Festlegung der Speicherungsdauer bei nicht aus einem öffentlichen Register übernommenen Daten können von der Aufsichtsbehörde genehmigte Verhaltensregeln herangezogen werden, soweit sie typisiert zu einem angemessenen Interessenausgleich führen und die Besonderheiten des Einzelfalls bei der konkret vorzunehmenden Interessenabwägung hinreichend berücksichtigt werden.

Sachverhalt:

Die beklagte SCHUFA Holding AG betreibt eine Wirtschaftsauskunftei. Sie bewertet die Gefahr eines Zahlungsausfalls der von ihr erfassten natürlichen Personen mit einem Scorewert und gewährt der kreditgebenden Wirtschaft gegen Entgelt Einsicht in ihre Datenbanken. Unter anderem speichert die Beklagte auch Daten zu erledigten Forderungen ihrer Einmelder automatisiert ab.

Die Beklagte speicherte drei gegen den Kläger gerichtete Forderungen für die Dauer von mehreren Jahren nach dem Ausgleich dieser Forderungen. Auf dieser Grundlage ermittelte die Beklagte für den Kläger einen Score-Wert, der die Gefahr eines Zahlungsausfalls als "sehr kritisch" einstufte.

Der Kläger ist der Auffassung, die Beklagte habe mit dieser Datenspeicherung gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Hinsichtlich der Löschungsansprüche haben die Parteien den Rechtsstreit nach der zwischenzeitlich erfolgten Datenlöschung durch die Beklagte für erledigt erklärt. Der Kläger nimmt die Beklagte weiterhin auf Zahlung eines immateriellen Schadensersatzes sowie auf Erstattung von außergerichtlichen Rechtsverfolgungskosten in Anspruch.

Bisheriger Prozessverlauf:

Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat das landgerichtliche Urteil teilweise abgeändert und die Beklagte zur Zahlung von 1.040,50 € nebst Zinsen verurteilt.

Mit ihrer vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihren Antrag auf vollständige Klageabweisung weiter.

Entscheidung des Bundesgerichtshofs:

Die Revision der Beklagten hat Erfolg. Sie führt zur Aufhebung des Berufungsurteils und Zurückverweisung der Sache an das Berufungsgericht.

Wirtschaftsauskunfteien wie die der Beklagten werden zur Wahrung von berechtigten Interessen im Sinn von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO tätig. Dem stehen gewichtige Interessen einer von dieser Datenspeicherung betroffenen Person wie dem Kläger gegenüber.

In seinem Urteil "SCHUFA Holding (Restschuldbefreiung)" vom 7. Dezember 2023 - C- 26/22 und C-64/22 - hat der Gerichtshof der Europäischen Union entschieden, dass Art. 5 Abs. 1 Buchst. a DSGVO in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

Entgegen der Ansicht des Berufungsgerichts folgt daraus nicht, dass bei Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien aufgrund von Einmeldungen ihrer Vertragspartner speichern, um sie zur Grundlage von Bonitätsbeurteilungen zu machen, die längstmögliche Speicherungsdauer durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register - hier im Schuldnerverzeichnis - vorgegeben wird. Die Regelung des § 882e Abs. 3 Nr. 1 ZPO, die bei Nachweis der vollständigen Befriedigung des Gläubigers eine sofortige Löschung von Einträgen im Schuldnerverzeichnis (zu deren Inhalt vgl. § 882b Abs. 2 und 3 ZPO) anordnet, ist nicht auf die Speicherung anderer Daten über Zahlungsstörungen natürlicher Personen (wie Informationen über Gläubiger, Höhe und Inhalt der zugrundeliegenden Forderungen) durch Wirtschaftsauskunfteien anzuwenden. Die vorliegend in Rede stehende Datenspeicherung der Beklagten unterscheidet sich bereits dadurch wesentlich von derjenigen im Vorlageverfahren an den Gerichtshof der Europäischen Union, dass die Beklagte dort Daten aus dem öffentlichen Register - den Insolvenzbekanntmachungen - übernommen und parallel gespeichert hatte, während sie hier nicht auf Daten aus dem Schuldnerverzeichnis zurückgegriffen, sondern von ihren Vertragspartnern gemeldete Daten über Zahlungsstörungen gespeichert hat. Die Erwägung, dass die für die ursprüngliche Datenspeicherung geltende Löschungsfrist nicht durch eine längere Speicherung an anderer Stelle konterkariert werden soll, greift daher im Streitfall nicht.

Für das wiedereröffnete Berufungsverfahren weist der Senat darauf hin, dass es ihm möglich erscheint, bestimmte Speicherungsfristen als Ergebnis einer typisierten Abwägung festzulegen, soweit dabei die Besonderheiten des Einzelfalls hinreichend berücksichtigt werden. Die vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum 1. Januar 2025 genehmigte Ziffer IV.1. Buchst. b der Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien nimmt aus Sicht des Senats grundsätzlich einen angemessenen Interessenausgleich vor. Im Ausgangspunkt (Satz 1) sieht diese Regelung eine Speicherung von personenbezogenen Daten über ausgeglichene Forderungen für drei Jahre vor. Die Speicherung endet jedoch abweichend davon bereits nach 18 Monaten (Satz 2), wenn (1) der Auskunftei bis zu diesem Zeitpunkt keine weiteren Negativdaten gemeldet worden sind, (2) keine Informationen aus dem Schuldnerverzeichnis oder aus Insolvenzbekanntmachungen vorliegen und (3) der Ausgleich der Forderung innerhalb von 100 Tagen nach Einmeldung erfolgte. Dem Schuldner muss es zudem möglich sein, besondere Umstände vorzubringen, die seinem Löschungsinteresse ein wesentlich überdurchschnittliches Gewicht verleihen. In diesem Fall kann die Interessenabwägung ausnahmsweise dazu führen, dass allein eine noch kürzere Speicherungsdauer als angemessen anzusehen ist.

War die von der Beklagten vorgenommene Datenspeicherung nicht über ihren gesamten Zeitraum rechtmäßig, kommt ein Schadensersatzanspruch des Klägers nach Art. 82 Abs. 1 DSGVO grundsätzlich in Betracht und sind dessen weitere Voraussetzungen zu prüfen.

Vorinstanzen:

Landgericht Bonn - Urteil vom 21. Juni 2024 - 20 O 10/24

Oberlandesgericht Köln - Urteil vom 10. April 2025 - 15 U 249/24

EuGH
Urteil vom 02.12.2025
C-492/23
Russmedia Digital und Inform Media Press

Der EuGH hat entschieden, dass der Betreiber eines Online-Marktplatzes ist für die Verarbeitung der personenbezogenen Daten, die in veröffentlichenten Angeboten / Anzeigen enthalten sind, verantwortlich ist.

Die Pressemitteilung des EuGH:
Datenschutz: Der Betreiber einer Online-Marktplatz-Website ist für die Verarbeitung der personenbezogenen Daten verantwortlich, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind.

In diesem Zusammenhang muss er insbesondere vor der Veröffentlichung die Anzeigen identifizieren, die sensible Daten enthalten, und überprüfen, ob der Inserent tatsächlich die Person ist, deren Daten in einer solchen Anzeige enthalten sind, oder ob er über die ausdrückliche Einwilligung dieser Person verfügt.

Das Unionsrecht verpflichtet den Betreiber einer Online-Marktplatz-Website, im Einklang mit der DSGVO die Verantwortung für die personenbezogenen Daten zu übernehmen, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind. Er muss insbesondere geeignete technische und organisatorische Maßnahmen treffen, um vor der Veröffentlichung diejenigen Anzeigen zu identifizieren, die sensible Daten enthalten, und überprüfen, ob der Inserent tatsächlich die Person ist, deren Daten in einer solchen Anzeige enthalten sind. Ist dies nicht der Fall, hat der Betreiber die Veröffentlichung der Anzeige zu verweigern, es sei denn, der Inserent kann nachweisen, dass die betroffene Person ausdrücklich in diese Veröffentlichung eingewilligt hat oder dass die Veröffentlichung unter eine der anderen nach der DSGVO vorgesehenen Ausnahmen fällt . Außerdem muss der Betreiber Maßnahmen durchführen, um zu verhindern, dass solche Anzeigen, wenn sie auf seiner Plattform veröffentlicht werden, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden. Im Übrigen kann er sich diesen Verpflichtungen auch nicht unter Berufung auf die Richtlinie 2000/31/EG3 entziehen, die u. a. Artikel enthält, die sich auf Sachlagen beziehen, in denen Anbieter von Diensten der Informationsgesellschaft nicht verantwortlich gemacht werden können.

Das Unionsrecht verpflichtet den Betreiber einer Online-Marktplatz-Website, im Einklang mit der DSGVO die Verantwortung für die personenbezogenen Daten zu übernehmen, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind. Er muss insbesondere geeignete technische und organisatorische Maßnahmen treffen, um vor der Veröffentlichung diejenigen Anzeigen zu identifizieren, die sensible Daten enthalten, und überprüfen, ob der Inserent tatsächlich die Person ist, deren Daten in einer solchen Anzeige enthalten sind. Ist dies nicht der Fall, hat der Betreiber die Veröffentlichung der Anzeige zu verweigern, es sei denn, der Inserent kann nachweisen, dass die betroffene Person ausdrücklich in diese Veröffentlichung eingewilligt hat oder dass die Veröffentlichung unter eine der anderen nach der DSGVO vorgesehenen Ausnahmen fällt . Außerdem muss der Betreiber Maßnahmen durchführen, um zu verhindern, dass solche Anzeigen, wenn sie auf seiner Plattform veröffentlicht werden, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden. Im Übrigen kann er sich diesen Verpflichtungen auch nicht unter Berufung auf die Richtlinie 2000/31/EG entziehen, die u. a. Artikel enthält, die sich auf Sachlagen beziehen, in denen Anbieter von Diensten der Informationsgesellschaft nicht verantwortlich gemacht werden können.

Russmedia Digital, eine Gesellschaft rumänischen Rechts, ist Eigentümerin der Website www.publi24.ro, Diese Website ist ein Online-Marktplatz, auf dem Anzeigen kostenlos oder kostenpflichtig veröffentlicht werden können.

Diese Anzeigen betreffen u. a. den Verkauf von Waren oder die Erbringung von Dienstleistungen in Rumänien. Am 1. August 2018 veröffentlichte eine nicht identifizierte Person auf dieser Website eine Nachricht, in der behauptet wurde, dass eine Frau sexuelle Dienstleistungen anbiete. Die Anzeige enthielt Fotos von ihr, die ohne ihre Einwilligung verwendet wurden, sowie ihre Telefonnummer. Die Frau hielt die Anzeige für irreführend und schadensstiftend; sie forderte daher den Eigentümer der Website auf, sie zu entfernen. Innerhalb einer Stunde nach dieser Aufforderung entfernte Russmedia Digital die Veröffentlichung. Die betreffende Anzeige war jedoch bereits auf anderen Websites verbreitet worden, auf denen sie verfügbar blieb.

Unter diesen Umständen ging die Frau, die der Ansicht war, dass die Anzeige ihre Rechte am eigenen Bild, auf Schutz der Ehre, des guten Rufs und des Privatlebens verletze sowie gegen die Vorschriften über die Verarbeitung personenbezogener Daten verstoße, in Rumänien vor Gericht. Das Gericht erster Instanz Cluj-Napoca (Klausenburg) gab ihr Recht und verurteilte Russmedia Digital zur Zahlung von 7 000 Euro als immateriellem Schadensersatz. In der Berufungsinstanz sprach das Fachgericht Cluj das Unternehmen jedoch von seiner Verantwortlichkeit frei und stufte es als einen bloßen Hosting-Anbieter ein, der nicht für den von seinen Nutzern veröffentlichten Inhalt verantwortlich sei.

Das Opfer legte daraufhin ein Rechtsmittel beim Berufungsgericht Cluj ein. Dieses Gericht beschloss, den Gerichtshof anzurufen, um Klarheit über die Auslegung des Unionsrechts zu erhalten, insbesondere zu den Verpflichtungen, die einem Betreiber eines Online-Marktplatzes nach der DSGVO obliegen, sowie zu der Frage, ob dieser sich aufgrund der in der Richtlinie 2000/31 vorgesehenen Haftungsbefreiung für Anbieter von Diensten der Informationsgesellschaft diesen Verpflichtungen entziehen kann.

In seinem heutigen Urteil entscheidet der Gerichtshof, dass der Betreiber eines Online-Marktplatzes wie Russmedia Digital im Sinne der DSGVO für die Verarbeitung der personenbezogenen Daten verantwortlich ist, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden. Denn auch wenn die Anzeige von einem Nutzer platziert wird, wird sie nur dank dem Online-Marktplatz im Internet veröffentlicht und den Internetnutzern somit zugänglich gemacht.

Daher muss der Betreiber eines Online-Marktplatzes vor der Veröffentlichung dieser Anzeigen durch geeignete technische und organisatorische Maßnahmen diejenigen Anzeigen identifizieren, die sensible Daten enthalten, wie jene, um die es sich in der vorliegenden Rechtssache handelt, und überprüfen, ob der Nutzer, der im Begriff ist, eine solche Anzeige zu platzieren, die Person ist, deren sensible Daten darin enthalten sind.

Ist dies nicht der Fall, muss er überprüfen, ob die Person, deren Daten veröffentlicht werden, in die Veröffentlichung ausdrücklich eingewilligt hat. Ohne diese Einwilligung hat der Betreiber eines OnlineMarktplatzes die Veröffentlichung der fraglichen Anzeige zu verweigern, es sei denn, diese fällt unter eine der anderen nach der DSGVO vorgesehenen Ausnahmen. Außerdem muss sich der Betreiber eines Online-Marktplatzes bemühen zu verhindern, dass Anzeigen mit sensiblen Daten, die auf seiner Website veröffentlicht werden, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden. Zu diesem Zweck muss er geeignete technische und organisatorische Schutzmaßnahmen treffen.

Schließlich stellt der Gerichtshof klar, dass sich der Betreiber eines Online-Marktplatzes nicht unter Berufung auf die in der Richtlinie 2000/31 vorgesehene Haftungsbefreiung diesen Verpflichtungen, die ihm gemäß der DSGVO obliegen, entziehen kann.

Den Volltext der Entscheidung finden Sie hier:

LG Hamburg
Urteil vom 01.07.2025
301 O 20/24

Das LG Hamburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools auf Drittseiten und -Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen und einen Unterlassungsanspruch gegen Meta bejaht.

Aus den Entscheidungsgründen:
Der Antrag zu Ziff. 1) ist auch begründet. Die Beklagte verarbeitet personenbezogene Daten des Klägers. Nach Art. 4 Nr. 2 DSGVO fallen darunter das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.

Die Beklagte empfängt über die M. Business Tools personenbezogene Daten mit denen sie den Nutzer identifizieren kann. Diese Daten gleicht sie mit den bei ihr gespeicherten Benutzerkonten ab. Wenn die Einstellungen es zulassen, werden die Daten für personalisierte Werbung verwendet. Auch wenn dies nicht erfolgt, bleiben die Daten gespeichert und sind weiter mit dem Nutzerkonto verknüpft und gespeichert.

Die auf den Drittseiten eingesetzten M. Business Tools prüfen nicht, wer die Seiten aufruft, sondern schicken sämtliche mittels der M. Business Tools erhobenen Daten an die Server der Beklagten. Dort wird geprüft, ob diese Daten Nutzer der Beklagten betreffen und darüber entschieden, wie sie weiterverarbeitet werden.

Wenn ein Nutzer des Netzwerks Instagram oder Facebook eine Drittseite welche M. Business Tools einsetzt, besucht, übermitteln die Drittfirmen über die derart eingebundenen M. Business Tools personenbezogene Daten an die Beklagte. Dies erfolgt unabhängig davon, ob der Nutzer zu diesem Zeitpunkt die Apps der Beklagten aktiviert hat bzw. dort eingeloggt ist (vgl. LG Lübeck GRUR-RS 2025, 81 Rn. 3, beck-online). Es findet auch statt, wenn die Drittseiten direkt und nicht aus den Programmen der Beklagten aus aufgerufen werden. Dies kann auch stattfinden, wenn die betroffene Person einer Datenübertragung an die Beklagte gegenüber dem Drittanbieter nicht zugestimmt und in die Datenverarbeitung auch gegenüber der Beklagten nicht eingewilligt hat (vgl. LG Lübeck ZD 2025, 228, beck-online). Für den durchschnittlichen Internetnutzer ist nicht erkennbar, ob die jeweilige Webseite mit einem M. Business Tool ausgestattet worden ist (so LG Braunschweig, a.a.O., juris Rn. 101 ff.). Jedenfalls die Erfassung und der Abgleich der Daten findet im jeden Fall statt – auch wenn der Nutzer keine Einwilligung zur Verwendung der Daten für personalisierte Werbung abgegeben hat. Soweit die Beklagte pauschal vorträgt, dass dann keine Datenverarbeitung stattfindet, ist dies nicht nachvollziehbar. Eine anschließende Löschung der übermittelten Daten erfolgt erst nach dem Abgleichprozess, d.h. nachdem sie die mit den Kontaktinformationen übermittelten Event-Daten mit einer Facebook-Nutzer-ID verknüpft hat, so dass eine Zuordnung zum Kläger möglich bleibt.

Die streitgegenständliche Datenverarbeitung ist folglich nicht durch eine etwaig vorhandene Einwilligung zur Bereitstellung personalisierter Werbung gerechtfertigt. Zum einen findet diese Datenverarbeitung unabhängig von einer Einwilligung statt und beschränkt sich zum anderen nicht auf dem in der Einwilligungserklärung genannten Zweck. Sie kann auch nicht durch eine Veränderung der Einstellung durch den Nutzer beeinflusst werden (LG Braunschweig, a.a.O., juris Rn. 112).

Die Beklagte räumt selbst ein, dass sie die von ihr als Off-Site-Daten bezeichnete Daten für Sicherheits- und Integritätszwecke speichere und verwende. Ungeachtet dessen, dass aus den Erläuterungen der Beklagten nicht hervorgeht, welche Maßnahmen damit bezeichnet sind und weshalb und in welchem Umfang dafür eine Verwendung der Daten des Klägers erforderlich ist, gibt es nach den Ausführungen der Beklagten offenbar auch noch weitere Verwendungen. Denn die Formulierung, dass sie die erhobenen Daten „für begrenzte Zwecke wie Sicherheits- und Integritätszwecke verwende“ (Hervorhebung hier) zeigt, dass die genannten Zwecke nur beispielhaft aufgezählt sind (LG Hamburg, a.a.O.).

Auch andere Rechtfertigungsgründe des Art. 6 DSGVO greifen nicht. Die Datenverarbeitung ist insbesondere nicht zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 Unterabsatz 1 b) DSGVO erforderlich. Das Geschäftsmodell der Beklagten zwingt diese nicht, die angebotenen Inhalte zu personalisieren (EuGH, Urt. v. 4.7.2023, C-252/21, NJW 2023, 2997, Rn. 102 nach juris). Erst recht gilt dies für eine Personalisierung anhand der hier allein streitgegenständlichen Off-Site-Daten, denn der Kläger beanstandet ja nicht, dass ihm Inhalte und ggf. auch Werbung auf der Grundlage der von ihm besuchten M.-Seiten vorgeschlagen werden.

Schließlich liegt die Verantwortlichkeit der Datennutzung ab Übermittlung der Daten allein bei der Beklagten. Nach der Übermittlung der Daten liegt die weitere Verwendung der Daten in der Hand der Beklagten. Die Betreiber der Drittwebseiten, die über die M. Business Tools die Nutzungsdaten an die Beklagte weitergeben, sind dann nicht mehr eingebunden.

Soweit die Anträge zu Ziff. 1 b) und c) zusammen mit den in Ziff. 1 a) genannten personenbezogenen Daten erfasst, in Zusammenhang gebracht und gespeichert werden, erfasst der Feststellungsbegehren rechtmäßig auch diese Datenerhebung. Dass dies der Fall sein soll, ergibt sich aus der Zusammenschau und der Formulierung der Anträge, die wiederholt in Zusammenhang mit dem konkreten Nutzungsverhalten des Benutzers/Klägers gebracht werden.

4. Der Antrag zu Ziff. 2 ) ist zulässig und begründet.

Auch ohne ausdrückliche Regelung folgt ein Unterlassungsanspruch aus der DSGVO.

Hierzu werden auf die Ausführung des LG Braunschweig a.a.O. (juris Rn. 81 ff.) Bezug genommen.

„Aus Art. 17 DSGVO kann ein Anspruch auf Unterlassung der Speicherung von Daten folgen (OLG Frankfurt a. M. GRUR 2023,904, Rn. 44 ff.). Aus der Verpflichtung zur Löschung von Daten ergibt sich implizit zugleich die Verpflichtung, diese künftig nicht (wieder) zu verarbeiten. Auch aus Art. 82 DSGVO kann ein Unterlassungsanspruch erwachsen, soweit ein konkreter Schaden vorliegt (OLG Frankfurt a.a.O. Rn. 47 ff.).

Aus dem generellen Regelungsziel der DSGVO folgt, dass die Rechtsordnung grundsätzlich eine Möglichkeit für von rechtswidrigen Datenverarbeitungsvorgängen betroffenen Personen gegeben sein muss, gegen diese per Unterlassungsklage vorzugehen. Insoweit führt der EuGH (MMR 2024, 1022 – Lindenapotheke) aus, dass generelles Regelungsziel der DSGVO ist, den Betroffenen im europäischen Rechtsraum ein hohes Schutzniveau zu gewährleisten und die praktische Wirksamkeit der DSGVO sicherzustellen (vgl. LG Lübeck ZD 2025, 228 Rn. 50, beck-online).

Deshalb garantiert Art. 79 Absatz 1 DSGVO dem Betroffenen einen "wirksamen gerichtlichen Rechtsbehelf " und unterstützt damit ein maßgebliches Ziel der DSGVO, das – wie nicht zuletzt Satz 1 des 10. Erwägungsgrunds der DSGVO zeigt – in der Etablierung eines hohen Datenschutzniveaus liegt. Das Ziel, einen umfassenden Schutz bei der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten würde unterlaufen und damit zugleich der Grundrechtsschutz beeinträchtigt, wenn dem Betroffenen die Möglichkeit genommen würde, dem Verantwortlichen eine unrechtmäßige Datenverarbeitung für die Zukunft zu verbieten und ihn auf Löschungsansprüche nach Art. 17 DSGVO und Schadensersatzansprüche nach Art. 82 DSGVO zu verweisen (vgl. OLG Dresden ZD 2022, 235 [237, Rn. 29]).

Auch der BGH hat bereits entschieden, dass das in Art. 17 Abs. 1 DSGVO niedergelegte "Recht auf Löschung" schon aufgrund der für den Betroffenen letztlich unwägbaren und zudem stetem Entwicklungsfortschritt unterworfenen technischen Voraussetzungen der beanstandeten Datenverarbeitung nicht auf das schlichte Löschen von Daten zu verengen ist, sondern unabhängig von der technischen Umsetzung auch das Begehren umfasst, eine erneute Erfassung zu unterlassen (BGH GRUR 2022, 258 Rn. 10, 11, beck-online; BGH GRUR 2023, 1724 Rn. 20, beck-online). Daher kann jedenfalls Unterlassung zusammen mit der Löschung verlangt werden. Die Vorlage des BGH an den EuGH (GRUR 2023, 1724) bezieht sich nur auf den, hier nicht gegebenen Fall, dass keine Löschung beantragt ist.

Im Übrigen muss auch Konsequenz des Vorranges der Leistungsklage und der Verneinung des Feststellungsinteresses die Möglichkeit sein, Ansprüche im Wege einer Unterlassungsklage durchzusetzen.

Es kann offenbleiben, ob ein Unterlassungsanspruch sich auch auf nationales Recht (§ 823 BGB, Art 2 GG, § 1004 BGB) stützen lässt (vgl. OLG Nürnberg GRUR-RS 2024, 18386, Rn. 13; OLG Dresden ZD 2022, 235 [237, Rn. 29]; OLG Stuttgart, ZD 2022, 105, Rn. 2; OLG Köln MMR 2020, 186 [187, Rn. 28]; LG Augsburg 082 O 262/24 Anl. 2 zum SS v. 09.04.2025 in 9 O 2615/23).“

Der Antrag ist hinreichend bestimmt. Der Kläger kann, wie hier geschehen, sich allgemein gegen die Verarbeitung seiner Daten wenden.

Wie bereits dargelegt, ist die streitgegenständliche Datenverarbeitung rechtswidrig und verstößt gegen die Regelungen der Datenschutzgrundverordnung. Insbesondere kann sich die Beklagte auf keinen Rechtfertigungsgrund stützen. Da hier die Unterlassung direkt aus der Datenschutzgrundverordnung hergeleitet wird, kommt es auf eine Verletzung des Allgemeinen Persönlichkeitsrechts in Form des Rechts auf Informationelle Selbstbestimmung nicht an. Wenn der Unterlassungsanspruch allein auf nationales Recht (§§ 1004, 823 Abs. 1 BGB) gestützt werden müsste, wäre ein konkrete Rechtsgutsverletzung Voraussetzung für die Unterlassung.

5. Der Antrag zu Ziff. 3) ist teilweise begründet. Dem Kläger steht eine Geldentschädigung in Höhe von 3.000,00 € gemäß Art. 82 Abs. 1 DSGVO zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Zu den Voraussetzungen des Anspruchs hat das LG Braunschweig ausgeführt:

„Der Kläger hat auch einen immateriellen Schaden erlitten. Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DSGVO reicht nach der Rechtsprechung des EUGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich.

Weiter hat der EUGH ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.

Schließlich hat der EUGH in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes der DSGVO heißt es, dass "[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person". Aus dieser beispielhaften Aufzählung der "Schäden", die den betroffenen Personen entstehen können, geht nach der Rechtsprechung des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen Verlust der Kontrolle über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (BGH, Urteil vom 18. November 2024 – VI ZR 10/24 –, juris Rn. 28 ff. m. w. N. zur Rechtsprechung des EuGH).

Die betroffene Person muss den Nachweis erbringen, dass sie einen solchen – das heißt in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat (vgl. EuGH ECLI:EU:C:2024:536 Rn. 33 = DB 2024, 1676 = GRUR-RS 2024, 13978 – PS GbR; Senat NJW 2025, 298 Rn. 31 mwN = DB 2024, 3091). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (BGH NJW 2025, 298 Rn. 31 = DB 2024, 3091; BGH NJW 2025, 1060 Rn. 16, 17, beck-online).

Nach diesen Maßstäben liegt es in diesem Fall auf der Hand, dass der Kläger einen solchen Kontrollverlust erlitten hat. Die Beklagte hat personenbezogene Daten des Klägers über die streitgegenständlichen MBT ohne eine Einwilligung verarbeitet und bei sich gespeichert. Damit geht denknotwendigerweise einher, dass der Kläger nicht weiß, welche Daten dies sind und er daher einen Kontrollverlust über ihn betreffende personenbezogene Daten erlitten hat.

Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kläger unbekannten Datenspeicherung bei der Beklagten und somit zu dem immateriellen Schaden in Form des Kontrollverlusts.“

(LG Braunschweig, a.a.O., juris Rn. 193 ff.)

Bei der Bemessung der Höhe der Entschädigung ist zu berücksichtigen, dass die streitgegenständliche Datenverarbeitung angesichts der Vielzahl der Webseiten, die M. Business Tools verwenden, einen erheblichen Umfang einnimmt und diese Tools seit Jahren verwendet werden. Anders als bei den sog. „Hacking-Fällen“ handelt es sich gerade nicht um ein einmaliges Ereignis. Ferner dienen die M. Business Tools allein dem Zweck der Zuordnung der Internetnutzung auf einen bestimmten Nutzer und werden hierfür von der Beklagten zielgerichtet angeboten. Auch hier unterscheidet sich die Verletzungshandlung von den sog. „Hacking-Fällen“, bei denen den Webseitenbetreibern in der Regel lediglich ein Fahrlässigkeitsvorwurf zu machen ist. Vor dem Hintergrund erscheint der tenorierte Schadensersatzanspruch angemessen aber auch ausreichend, um der Genugtuungsfunktion des immateriellen Schadensersatzanspruchs Rechnung zu tragen.

Da der Schadensersatzanspruch sich bereits aus Art. 82 Abs. 1 DSGVO ergibt, kann hier offenbleiben, ob darüber hinaus der Kläger seinen Anspruch auch auf § 823 Abs. 1 BGB hätte stützen können.

II.
I. Die Nebenforderungen sind teilweise begründet.

1. Verzugszinsen stehen dem Kläger erst ab Rechtshängigkeit gemäß §§ 291, 288 Abs. 1 BGB zu. Da die Beklagte, die den Zugang des als Anlage K3 eingereichten Schreibens bestreitet, zuvor in Schuldnerverzug geraten ist, ist nicht nachgewiesen.

2. Der Freistellungsanspruch ist teilweise begründet. Rechtsgrundlage für die Erstattung der Rechtsanwaltskosten ist Art. 82 DSGVO, da es sich um Kosten handelt, die der Kläger aufgrund der rechtswidrigen Datenverarbeitung eingegangen ist. Ob die Beklagte das Schreiben der klägerischen Anwälte erhalten hat, kann für diesen Anspruch dahinstehen. Denn die vorgerichtliche Tätigkeit ist auch dann zu vergüten, wenn das Schreiben die Beklagte nicht erreicht haben sollte. Es ist auch nicht davon auszugehen, dass der Kläger seinen späteren Prozessbevollmächtigten einen unbedingten Klagauftrag erteilt hat. Das vorgerichtliche Schreiben diente nicht der Schaffung einer Klagvoraussetzung, sondern war darauf ausgerichtet, mit einer beigefügten Verpflichtungserklärung eine gerichtliche Auseinandersetzung zu vermeiden. Es gibt keinen Grund zu der Annahme, dass der Kläger seine Anwälte auch für den Fall, dass die Beklagte diese Erklärung unterzeichnet hätte, mit einer Klage beauftragt hat; insbesondere lässt der Umstand, dass die Klägervertreter in mehreren tausend Fällen ähnliche Schreiben verschickt haben, nicht den Schluss zu, dass ein außergerichtlicher Abschluss der einzelnen Verfahren nicht in Betracht gekommen wäre. Sofern die Klägervertreter hingegen nur bedingt, also für den Fall, dass eine vorgerichtliche Einigung nicht zustande kommt, mit einer Klage beauftragt worden waren, hinderte sie dies nicht, eine Gebühr nach Nr. 2300 VV RVG in Rechnung zu stellen (BGH, Urt. v. 26.2.2013 – XI ZR 345/10, BKR 2013, 283, Rn. 37 nach juris).

Das Bestreiten der Beklagten, dass die mit dem Klagantrag geltend gemachten Kosten entstanden seien, steht dem Anspruch ebenfalls nicht entgegen. Dass die Gebühr angefallen ist, ergibt sich aus dem RVG. Soweit das Bestreiten darauf zielt, dass die Kosten bislang nicht bezahlt wurden, ist dies für den hier geltend gemachten Freistellungsanspruch keine Voraussetzung.

Der Höhe nach ist eine 1,3-Gebühr nebst Kommunikationspauschale und Umsatzsteuer nach einem Gegenstandswert von 7.000 € ersatzfähig. Gegenstand des vorgerichtlichen Schreibens war die Geltendmachung eines Auskunfts- und Löschungsanspruchs sowie die Zahlung einer Entschädigung in Höhe von 5.000,00 €.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 25.09.2025
I ZR 11/20
Kostenlose Registrierung
Richtlinie 2005/29/EG Art. 5 Abs. 5, Nr. 20 des Anhangs I

Die BGH hat dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob etwas "kostenlos" im Sinne der Richtlinie über unlautere Geschäftspraktiken ist, wenn die Nutzer bzw. Kunden mit ihren personenbezogenen Daten "bezahlen" und in die Verarbeitung der Daten zu kommerziellen Zwecken einwilligen.

Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Nr. 20 des Anhangs I in Verbindung mit Art. 5 Abs. 5 der Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates vom 11. Mai 2005 über unlautere Geschäftspraktiken von Unternehmen gegenüber Verbrauchern im Binnenmarkt (Richtlinie über unlautere Geschäftspraktiken; ABl. L 149 vom 11. Juni 2005,S. 28, 36) folgende Frage zur Vorabentscheidung vorgelegt:

Erfasst der Begriff der "Kosten" im Sinne von Nr. 20 des Anhangs I in Verbindung mit Art. 5 Abs. 5 der Richtlinie 2005/29/EG auch die Preisgabe personenbezogener Daten und Einwilligung in ihre Nutzung zu kommerziellen Zwecken?

BGH, Beschluss vom 25. September 2025 - I ZR 11/20 - Kammergericht - LG Berlin

Den Volltext der Entscheidung finden Sie hier:

OLG Stuttgart
Urteil vom 23.09.2025
6 UKl 2/25

Das OLG Stuttgart hat entschieden, dass Lidl die Lidl Plus App als "kostenlos" bewerben darf, auch wenn die Nutzer mit ihren Daten "bezahlen". Die Revision zum BGH wurde zugelassen.

Die Pressemitteilung des Gerichts:
Unterlassungsklage des Verbraucherzentrale Bundesverbandes gegen Lidl im Zusammenhang mit dem Vorteilsprogramm „Lidl Plus“ erfolglos

Der 6. Zivilsenat (Verbraucherrechtssenat) des Oberlandesgerichts Stuttgart hat heute in dem am 22. Juli 2025 mündlich verhandelten Verfahren die Klage abgewiesen.

Die Beklagte bietet eine Lidl Plus App an, bei deren Nutzung Verbraucher Rabatte, personalisierte Produktinformationen, Teilnahmen an Sonderaktionen usw. erhalten. Dafür muss die angebotene App installiert werden, Kunden müssen dort persönliche Daten angeben. Außerdem müssen sie sich mit den Teilnahmebedingungen einverstanden erklären. Das ist ein online abrufbarer, 18 DiNA4-Seiten langer Text. Dort steht unter 4.1, die Teilnehme an Lidl Plus sei „kostenlos“ und unter 4.2 wird erläutert, welche Daten der Kunden erhoben, gespeichert und genutzt werden.

Der klagende Verbraucherschutzverband meint, die Nutzung der App sei nicht kostenlos. Zwar müsse der Verbraucher kein Geld zahlen. Da er sich aber mit der Verwendung der Anmeldedaten und der beim weiteren Gebrauch der App erhobenen Daten einverstanden erkläre, bezahle er mit seinen Daten. Lidl dürfe deshalb nicht behaupten, die Nutzung der App sei kostenlos und sei außerdem gesetzlich verpflichtet, einen „Gesamtpreis“ anzugeben. Deswegen verklagt die Verbraucherzentrale Lidl nach den Vorschriften des Unterlassungsklagengesetzes (UKlaG).

Nach der Entscheidung des 6. Zivilsenats ist die zulässige Klage unbegründet:

Es ist nicht zu beanstanden, dass Lidl bei der Anmeldung keinen „Gesamtpreis“ angibt. Die Verpflichtung zur Angabe eines Gesamtpreises setzt voraus, dass überhaupt ein Preis zu entrichten ist. Einen solchen haben die Verbraucher bei der Nutzung der Lidl Plus App aber gerade nicht zu bezahlen. Das deutsche Gesetz und die zugrundeliegenden europäischen Normen verstehen einen „Preis“ ersichtlich als zu zahlenden Geldbetrag und nicht als irgendeine sonstige Gegenleistung. Mit der Verpflichtung des Unternehmers zur Angabe eines „Gesamtpreises“ sollen die Verbraucher vor versteckten Kosten, Abofallen usw. geschützt werden. Dass der Unternehmer eine nicht in Geld bestehende Gegenleistung als solche offenlegen und als „Gesamtpreis“ bezeichnen müsste, ist nach der Entscheidung des Oberlandesgerichts weder vom deutschen noch vom europäischen Normgeber gewollt.

Es ist auch nicht irreführend, dass Lidl die Nutzung der App in den Teilnahmebedingungen als „kostenlos“ bezeichnet. Der Begriff „kostenlos“ bringt lediglich und in zulässiger Weise zum Ausdruck – woran Lidl und die Verbraucher gleichermaßen ein Interesse haben –, dass die Verbraucher für die Nutzung der App und die erhofften Vorteile kein Geld bezahlen müssen. Dass Lidl bei der Anmeldung und Nutzung der App Daten der Verbraucher erhebt und diese in wirtschaftlicher Weise nutzt, steht ausdrücklich und in engem Zusammenhang mit dem Wort „kostenlos“ in den Nutzungsbedingungen.

Die Bezeichnung als „kostenlos“ sehen nur diejenigen Verbraucher, die die Nutzungsbedingungen lesen. Wer die Nutzungsbedingungen liest, erfährt dort aber auch, welche Daten erhoben und von Lidl verwendet werden. Beim verständigen Leser entsteht daher nicht der Eindruck, „kostenlos“ bedeute, dass er als Nutzer keinerlei Gegenleistung erbringen müsse. Und wer die Nutzungsbedingungen nicht liest, der erfährt schon gar nichts von der als „kostenlos“ bezeichneten Nutzung.

Der 6. Zivilsenat hat die Revision zum Bundesgerichtshof wegen grundsätzlicher Bedeutung zugelassen.

Aktenzeichen Oberlandesgericht Stuttgart

6 UKl 2/25

UKlaG § 2 Ansprüche bei verbraucherschutzgesetzwidrigen Praktiken

(1) Wer … Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden…

(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere

1.die Vorschriften des Bürgerlichen Rechts, die für folgende Verträge zwischen Unternehmern und Verbrauchern gelten:

a) …

b) Fernabsatzverträge, …

BGB § 312 Anwendungsbereich

(1) Die Vorschriften … sind auf Verbraucherverträge anzuwenden, bei denen sich der Verbraucher zu der Zahlung eines Preises verpflichtet.

(1a) Die Vorschriften … sind auch auf Verbraucherverträge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet…

BGB § 312d Informationspflichten

(1) Bei … Fernabsatzverträgen ist der Unternehmer verpflichtet, den Verbraucher nach Maßgabe des Artikels 246a des Einführungsgesetzes zum Bürgerlichen Gesetzbuche zu informieren…

EGBGB Art. 246a § 1 Informationspflichten

(1) Der Unternehmer ist nach § 312d Absatz 1 des Bürgerlichen Gesetzbuchs verpflichtet, dem Verbraucher folgende Informationen zur Verfügung zu stellen:
…

5. den Gesamtpreis der Waren oder der Dienstleistungen, einschließlich aller Steuern und Abgaben, oder in den Fällen, in denen der Preis auf Grund der Beschaffenheit der Waren oder der Dienstleistungen vernünftigerweise nicht im Voraus berechnet werden kann, die Art der Preisberechnung, …