BECKMANN UND NORDA - Rechtsanwälte Bielefeld

OLG Stuttgart
Urteil vom 29.04.2026
4 U 372/24

Das OLG Stuttgart hat dem Betroffenen 500 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen DSGVO-Verstößen durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke zugesprochen. Zudem hat das Gericht einen Unterlassungsanspruch bejaht.

Aus den Entscheidungsgründen:
Die Berufung hinsichtlich des Klagantrags Ziff. 5, mit dem der Kläger immateriellen Schadensersatz in Höhe von mindestens 5.000,00 € begehrt, ist in Höhe von 500,00 € begründet.

Anspruchsgrundlage für das Begehren des Klägers ist Art. 82 DSGVO. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Voraussetzung für den Schadensersatzanspruch ist damit ein Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines immateriellen Schadens sowie ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 21).

1. Ein Verstoß gegen die Datenschutz-Grundverordnung liegt vor.

a) Für den vom Kläger geltend gemachten Anspruch auf immateriellen Schadensersatz sind sowohl etwaige Verstöße gegen die Datenschutz-Grundverordnung bei der Erhebung personenbezogener Daten durch die Business Tools zu berücksichtigen, die in die gemeinsame Verantwortlichkeit der Beklagten und des Betreibers der Website mit den Business Tools fallen, als auch Verstöße nach Übermittlung dieser Daten an die Beklagte, denn hinsichtlich der insoweit vom Kläger behaupteten Verstöße ist von einem einheitlichen Streitgegenstand auszugehen.

Vom Streitgegenstand werden sämtliche mit der inkriminierten Datenverarbeitung im Zusammenhang stehenden gerügten Verstöße gegen die Datenschutz-Grundverordnung umfasst, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 17). Bei natürlicher Betrachtung können die geltend gemachten Verstöße gegen die Datenschutz-Grundverordnung vor und nach der Übermittlung der Daten an die Beklagte nicht isoliert beurteilt werden, da sie sämtlich in einem einheitlichen Geschehen wurzeln, nämlich der Bereitstellung der Business Tools durch die Beklagte und der Implementierung dieser Tools in die Websites der Drittunternehmer.

b) Gemäß den obigen Ausführungen zum Unterlassungsanspruch verstößt die Beklagte mit der Verarbeitung der ihr via Business Tool übermittelten personenbezogenen Daten des Klägers gegen die Datenschutz-Grundverordnung, da keiner der in Art. 6 Abs. 1 DSGVO genannten Bedingungen für eine Verarbeitung der Daten erfüllt ist. Außerdem liegt ein Verstoß gegen die Datenschutz-Grundverordnung auch in Bezug auf die Erhebung und Übermittlung der personenbezogenen Daten auf den Drittseiten vor, da die Beklagte keinen hinreichenden Vortrag zu der insoweit erforderlichen Einwilligung des Klägers gehalten hat. Hinsichtlich der Websites zeit.de und mueller.de ist ohnehin unstreitig, dass es an einer Einwilligung des Klägers fehlt.

c) Für den Verstoß hinsichtlich der Erhebung der Daten auf den Websites der Drittunternehmer zeit.de und mueller.de ist auch die Beklagte verantwortlich, da diese zusammen mit dem Drittunternehmer gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO ist (vgl. EuGH, Urteil vom 29.07.2019, C-40/17 – „Gefällt mir“-Button – Fashion ID). Dass die schädigende Handlung durch den Drittunternehmer vorgenommen worden ist und nicht durch die Beklagte, steht der Haftung nicht entgegen, denn bei gemeinsam Verantwortlichen genügt es, dass der andere beteiligte Verantwortliche eine schädigende Handlung vorgenommen hat (Auernhammer/Schürmann/Baier, aaO., Art. 82, Rn. 16).


Zur Entlastungsmöglichkeit nach Art. 82 Abs. 3 DSGVO wird auf die nachfolgenden Ausführungen unter 4. verwiesen.

2. Dem Kläger ist auch ein Schaden entstanden.

a) Der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO umfasst negative Gefühle wie beispielsweise Sorge oder Ärger, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet und die

- durch einen Verlust der Kontrolle über diese Daten,

- ihre mögliche missbräuchliche Verwendung oder

- eine Rufschädigung

hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen diese Verordnung empfindet (EuGH, Urteil vom 04.09.2025, C-655/23, GRUR-RS 2025, 22639, Rn. 64).

b) Ein Schaden besteht hier in Form eines Kontrollverlusts. Hiergegen kann nicht eingewandt werden, dass die Daten nur an die Beklagte weitergegeben wurden, nicht an sonstige Dritte. Der Bundesgerichtshof hat einen Kontrollverlust auch in einem Fall bejaht, in dem die Personalaktenverwaltung von Bundesbeamten unzulässigerweise durch Bedienstete des Landes Niedersachsen vorgenommen wurde (BGH, NJW 2025, 1656, Rn. 14 f.). Der Umstand, dass die Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, stand der Annahme eines Schadens dabei nicht entgegen (BGH, aaO., Rn. 16). Hinzu kommt, dass der Kläger nicht ansatzweise überblicken kann, welche Dimension die Datenverarbeitung durch die Beklagte hat (vgl. OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 341) und dass der Kläger keine Möglichkeit hat, durch eigenes Handeln die Kontrolle über die Daten zurückzuerlangen, da weder durch die Änderung der Datenschutzeinstellungen noch durch die Löschung seines Kontos eine vollumfängliche Löschung der bei der Beklagten gespeicherten Daten möglich wäre (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris, Rn. 197). Angesichts dessen kann ein Kontrollverlust durch die unberechtigte Übermittlung personenbezogener Daten an die Beklagte nicht verneint werden.

Ein anderer Schaden im Sinne der Rechtsprechung des EuGH ist nicht ersichtlich. Eine Rufschädigung durch die Speicherung der an die Beklagte übermittelten Daten scheidet ebenso aus wie die Sorge über eine mögliche missbräuchliche Verwendung der Daten. Derartige Folgen hat der Kläger weder vorgetragen noch nachgewiesen.

3. Auch der erforderliche Kausalzusammenhang zwischen dem Schaden und dem Verstoß der Beklagten besteht. Würde die Beklagte die ihr via Business Tools übermittelten personenbezogenen Daten des Klägers nicht verarbeiten und insbesondere auch nicht speichern, hätte der Kläger bzgl. dieser Daten keinen Kontrollverlust erlitten.

4. Gem. Art. 82 Abs. 3 DSGVO wird der Verantwortliche von der Haftung gem. Art. 82 Abs. 2 DSGVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Mit Verantwortung ist das Verschulden im Sinne der deutschen Rechtsterminologie gemeint und nicht die datenschutzrechtliche Verantwortlichkeit (Quaas in BeckOK Datenschutzrecht, 55. Ed., Stand 01.02.2026, DSGVO, Art. 82, Rn. 17; Aliprandi, Datenschutzrechtlicher Schadensersatz nach Art. 82 DS-GVO, S. 448).

Hinsichtlich der Datenverarbeitung durch die Beklagte selbst kommt eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO ersichtlich nicht in Betracht. Für ein fehlendes Verschulden der Beklagten ist nichts vorgetragen.

Gleiches gilt im Ergebnis für die Erhebung und Übermittlung der personenbezogenen Daten des Klägers durch die Drittunternehmer.

Nicht zu folgen ist insoweit allerdings der in der Kommentarliteratur teilweise vertretenen Ansicht, dass dem gemeinsam Verantwortlichen die Möglichkeit der Entlastung durch Art. 26 Abs. 3 DSGVO versagt wird (so Auernhammer/Schreibauer, aaO., Art. 26, Rn. 18). Zwar besagt Art. 26 Abs. 3 DSGVO, dass die betroffene Person ungeachtet der Einzelheiten der Vereinbarung der gemeinsam Verantwortlichen ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen kann. Für Schadensersatzansprüche enthält Art. 82 DSGVO in den Absätzen 3 und 4 aber eine speziellere Regelung, die neben einer angelegten gesamtschuldnerischen Haftung dem Verantwortlichen unter den hohen Voraussetzungen des Art. 82 Abs. 3 DSGVO auch einen individuellen Entlastungsbeweis ermöglicht (Spoerr in BeckOK DatenschutzR, aaO., DS-GVO Art. 26 Rn. 63). Ohnehin wird vertreten, dass die Regelung in Art. 26 Abs. 3 DSGVO nur die in Kapitel 3 der DSGVO geregelten Rechte betrifft, d.h. die in Art. 12 bis 23 DSGVO geregelten Rechte (vgl. Bertermann in Ehmann/Selmayr, aaO., Art. 26, Rn. 29), bzw. dass Art. 26 Abs. 3 DSGVO dem Betroffenen zwar die Geltendmachung gegenüber jedem Verantwortlichen ermöglicht, die Verpflichtung zur Erfüllung sich aber nach der getroffenen Vereinbarung richtet (so Piltz in Gola/Heckmannn, DSGVO, 3. Aufl. 2022, Art. 26, Rn. 35 f.).

Die Beklagte hat aber den Nachweis, dass sie in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist, nicht geführt. Die Beklagte hat insoweit lediglich die gem. Art. 26 DSGVO mit den Drittunternehmern geschlossene Vereinbarung vorgelegt. Dahinstehen kann, ob sie allein deshalb schon davon ausgehen durfte, dass der Betreiber der Website die erforderliche Sorgfalt beim Einholen der Einwilligung walten lässt. Selbst wenn dies der Fall wäre, müsste die Beklagte zumindest darlegen und ggf. beweisen, dass sie keine Kenntnis von der fehlerhaften Implementierung der Business Tools auf den Drittseiten z….de und m….de hatte – etwa aufgrund der Beschwerden anderer Kunden. Hierzu fehlt jeglicher Vortrag.

5. Die Höhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO richtet sich nach nationalem Recht, da die Datenschutz-Grundverordnung keine Regeln für die Bemessung des nach Art. 82 DSGVO geschuldeten Schadensersatzes festlegt. Der Schadensersatz ist daher nach § 287 ZPO unter Beachtung der unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität zu schätzen. Entscheidend ist, welcher Betrag erforderlich ist, um einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherzustellen, wie im 146. Erwägungsgrund der DSGVO ausgeführt, wobei weder der Grad des Verschuldens noch das Bestehen eines Unterlassungsanspruchs anspruchsmindernd zu berücksichtigen sind (vgl. EuGH, Urteil vom 04.09.2025, C-655/23, Rn. 69, 72 f., 83).

Zu berücksichtigen ist insoweit, dass die Datenverarbeitung durch die Beklagte besonders umfassend ist, da sie potenziell unbegrenzte Daten über die Online-Aktivitäten ihrer Nutzer betrifft, und das Gefühl auslösen kann, dass das Privatleben der Nutzer kontinuierlich überwacht wird (OLG Dresden, aaO., Rn. 197; OLG Jena, Urteil vom 02.03.2026, 3 U 31/25, BeckRS 2026, 2610, Rn. 156). Insbesondere besteht die Gefahr, dass die Beklagte auch bei verweigerter Einwilligung die über die Business Tools erlangten Daten zur Erstellung eines detaillierten Profils des Nutzers verwendet (OLG Dresden, aaO., Rn. 197). Zudem ist aus Sicht des Klägers nicht auszuschließen, dass auch besonders sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO, etwa Gesundheitsdaten oder Daten zur sexuellen Orientierung, von der streitgegenständlichen Datenverarbeitung betroffen sind, denn für eine Übermittlung sensibler Daten genügt es schon, dass der Kläger auf einer Seite wie zeit.de Artikel mit entsprechenden Themen anklickt, und dem Kläger dürfte es wie jedem sonstigen Internet-Nutzer nicht möglich sein, seine Bewegungen im Internet im Nachhinein im Detail nachzuvollziehen (vgl. OLG Jena, Urteil vom 02.03.2026, 3 U 31/25, BeckRS 2026, 2610, Rn. 90). Das Gefühl umfassender Beobachtung kann insoweit dazu Anlass geben, davon abzusehen, derartige Artikel anzuklicken bzw. Webseiten mit derartigen Themen aufzusuchen (vgl. OLG Dresden, aaO., Rn. 197; OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 356).

Der Senat hält aus diesen Gründen einen Schadensersatzbetrag in Höhe von 500,00 € für angemessen.

6. Ein weitergehender Schadensersatzanspruch steht dem Kläger auch unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts nicht zu.

Der Umstand, dass dem Kläger ein Schadensersatzanspruch nach Art. 82 DSGVO zusteht, schließt einen Schadensersatzanspruch nach Art. 823 Abs. 1 BGB wegen Verletzung des allgemeinen Persönlichkeitsrechts nicht aus (BGH, Urteil vom 29.07.2025, VI ZR 426/24, Rn. 36). Das allgemeine Persönlichkeitsrecht umfasst auch das Recht auf informationelle Selbstbestimmung, das gewährleistet, dass Informationen über eine Person vor intransparenter Verarbeitung und Nutzung durch Private geschützt sind (Grüneberg/Retzlaff, aaO., § 823, Rn. 132).

Nach der ständigen Rechtsprechung des Bundesgerichtshofs begründet die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung jedoch nur, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Ob eine so schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, kann nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Die Zubilligung einer Geldentschädigung unter den genannten Voraussetzungen findet ihre sachliche Berechtigung in dem Gedanken, dass das Persönlichkeitsrecht gegenüber schwerwiegenden Beeinträchtigungen anderenfalls ohne ausreichenden Schutz bliebe mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmern würde (BGH, Urteil vom 12.03.2024, VI ZR 1370/20, Rn. 70).

Ein schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, der nicht in anderer Weise als durch Zahlung einer Geldentschädigung befriedigend aufgefangen werden könnte, liegt im vorliegenden Fall nicht vor (vgl. OLG Naumburg, aaO., Rn. 366 f.; OLG München, GRUR-RS 2025, 36464, Rn. 116 ff.; OLG Dresden, Urteil vom 17.03.2026, 4 U 709/25, Urteilsumdruck S. 33; OLG Hamm, Urteil vom 09.03.2026, I-8 U 13/25, Urteilsumdruck S. 38; a.A. OLG Dresden, Urteil vom 12.03.2026, Az. 17 U 625/25, Urteilsumdruck S. 68). Zu berücksichtigen ist, dass der Kläger für den datenschutzrechtlichen Verstoß der Beklagten bereits immateriellen Schadensersatz nach Art. 82 DSGVO erhält. Die vom Kläger erlittene Beeinträchtigung wird ferner dadurch aufgefangen, dass im vorliegenden Verfahren die Verarbeitung der ihr via Business Tool übermittelten Daten des Klägers untersagt wird (vgl. OLG München, GRUR-RS 2025, 36464, Rn. 121). Außerdem ist zu berücksichtigen, dass der Kläger nach wie vor I... nutzt und allein dadurch der Beklagten schon unzählige Daten liefert.

7. Der Schadensersatzbetrag von 500,00 € ist gem. §§ 291 Abs. 1, 288 Abs. 1 Satz 2 BGB ab Rechtshängigkeit, d.h. ab dem 20.01.2024 mit 5 Prozentpunkten über dem Basiszinssatz zu verzinsen. Ein weitergehender Anspruch auf Verzinsung bereits ab dem 05.12.2023 besteht nicht, da der Kläger den von der Beklagten bestrittenen Zugang seiner Mahnung vom 06.11.2023 nicht nachgewiesen hat.

Den Volltext der Entscheidung finden Sie hier:

OLG Jena
Urteil vom 02.03.2026
3 U 31/25

Das OLG Jena hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools zugesprochen.

Die Pressemitteilung des Gerichts:
Meta-Konzern zu Schadensersatz verurteilt

Der 3. Zivilsenat des Oberlandesgerichts Jena hat durch ein heute verkündetes Urteil den Meta-Konzern zur Zahlung von Schadensersatz wegen Datenschutzverstößen verurteilt.

Nach den Feststellungen des Senats ermöglichen dem Konzern die von ihm an Webseiten- und App-Betreibern verteilten Business Tools eine weitreichende Nachverfolgung der Internetnutzung durch die Mitglieder seiner sozialen Netzwerke. Dabei fallen auch sensible personenbezogene Daten wie etwa zu Gesundheitsfragen an, beispielsweise wenn ein Nutzer zu psychischen Störungen recherchiert, über Arztportale nach therapeutischer Hilfe sucht oder in einer Online-Apotheke Medikamente bestellt. Die Erfassung und Speicherung solcher Daten findet dabei grundsätzlich auch dann statt, wenn die Betroffenen nicht im sozialen Netzwerk eingeloggt sind und keine wirksame Einwilligung in die Datenübermittlung erteilt haben.

Der Senat ist zu dem Schluss gekommen, dass diese Datenverarbeitung durch Meta nicht gerechtfertigt ist, sondern ein System anlassloser Datensammlung darstellt, das Grundprinzipien des europäischen Datenschutzrechts wie Transparenz, Zweckbindung und Datenminimierung widerspricht. Er hat dem klagenden Verbraucher 3.000 € Schadensersatz zugesprochen, wobei er die Höhe mit einer langanhaltenden und weitreichenden Aufzeichnung eines beträchtlichen Teils seines Privatlebens begründet.

Neben Schadensersatz ist der Meta-Konzern auch zu einer umfassenden Erteilung einer Auskunft über die von ihm gesammelten personenbezogenen Daten des Klägers sowie zu deren Löschung verurteilt worden.

Das Urteil ist noch nicht rechtskräftig. Der Senat hat die Revision zum Bundesgerichtshof zugelassen.

OLG Naumburg
Urteil vom 05.02.2026 - 9 U 124/24
Urteil vom 05.02.2036 - 9 U 44/25

Das OLG Naumburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool seitens Meta gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.200 EURO bzw. 1.250 EURO Schadensersatz aus Art. 82 DSGVO und auch einen Unterlassungsanspruch bejaht.

Die Pressemitteilung des Gerichts:
Schadensersatz wegen unerlaubter Datenverarbeitung durch Meta

Der 9. Zivilsenat des Oberlandesgerichts Naumburg hat durch zwei am heutigen Tage verkündete Urteile den Klägern Schadensersatz wegen unerlaubter Datenverarbeitung durch Unternehmen des Meta-Konzerns zugesprochen.

Meta konnte nach den Feststellungen des Senats bis zum 3. November 2023 mithilfe seiner Business Tools jeden Klick, jede Suche und jeden Kauf auf Tausenden von Webseiten und Apps nachverfolgen. Dazu mussten die Betroffenen nicht bei Facebook oder Instagram eingeloggt sein. Meta habe diese Daten unbemerkt und ohne Zustimmung der Nutzer genutzt. Nach Einführung der Abonnement-Variante sei die Datenübertragung je nach Einstellung der Nutzer differenzierter erfolgt. Sie führe jedoch nach wie vor zu einer umfassenden Datennutzung durch die Beklagte. Diese Datenverarbeitung sei rechtswidrig, verstoße gegen den Grundsatz der Datenminimierung und sei nicht von einer Einwilligung oder sonstigen Rechtfertigungs-gründen gedeckt. Der zugesprochene Schadensersatz belief sich in einem Fall auf 1.200 € und im anderen auf 1.250 €.

Neben dem Schadensersatz verurteilte der 9. Zivilsenat den Meta-Konzern zu einer generellen, umfassenden Unterlassung der Datenverarbeitung über die Business Tools sowie zur Löschung aller gesammelten Nutzer-Daten. Außerdem wurde die Rechtswidrigkeit der Datenverarbeitung festgestellt.

Die Urteile sind rechtskräftig, nachdem der Senat die Revision nicht zugelassen hat und die Beschwer der unterliegenden Partei in beiden Fällen den für die Nichtzulassungsbeschwerde erforderlichen Betrag nicht erreicht.

AG München
Beschluss vom 05.01.2026
222 C 2/26

Das AG München hat entschieden, dass kein DSGVO-Verstoß und keine rechtswidrige Verletzung des allgemeinen Persönlichkeitsrechts durch Drohnenaufnahmen zur Feststellung des Dachaufmaßes vorliegt.

Aus den Entscheidungsgründen:
Ein solcher Anspruch ergibt sich nicht aus §§ 823 Abs. 1, 1004 BGB analog, da die Erstellung der Aufnahmen keinen rechtswidrigen Eingriff in das Allgemeine Persönlichkeitsrecht darstellt.

Das Allgemeine Persönlichkeitsrecht stellt ein Rahmenrecht dar. Die Rechtswidrigkeit des Verhaltens wird dabei durch die Beeinträchtigung von Persönlichkeitsinteressen nicht indiziert, sondern der Schutzbereich ist durch eine Interessenabwägung zu konturieren und für den Einzelfall zu konkretisieren. Rechtswidrig ist der Eingriff nur, wenn das Schutzinteresse des Geschädigten die schutzwürdigen Belange des Schädigers überwiegt. Dies ist vorliegend nicht der Fall.

Bei dieser Interessenabwägung ist auf Seiten des Antragsgegners einzustellen, dass durch die Erstellung der Aufnahmen mittels Drohnenflugs das Dachaufmaß ohne risikoreiche Dachbegehungen ermöglicht wird. Dem gegenüber steht die Befürchtung des Antragstellers auf Verletzung der Integrität seiner Wohnung.

Bei der Abwägung ist zu berücksichtigen, dass der Drohnenflug nur wenige Minuten dauern wird und vorher angekündigt wurde, an welchem Tag er erfolgen wird, sodass von Seiten der betroffenen Bewohner*innen des Anwesens Maßnahmen ergriffen werden können, um Aufnahmen vom Inneren der Wohnungen von vornherein auszuschließen. Auch wenn an den Fenstern keine Rollos vorhanden sind, wie vom Antragsteller vorgetragen, so können die betroffenen Fenster auch anderweitig für einen Tag blickdicht verhängt werden, beispielsweise durch das Einklemmen von Handtüchern oder Decken in die Fenster.

Überdies wäre es laut Aushang des Antragstellers erforderlich, das Gebäude einzurüsten und das Dach zu begehen, wäre eine Erstellung von Aufnahmen mittels Drohnenflug nicht möglich. Dies würde einen deutlich intensiveren Eingriff darstellen, da die Beeinträchtigung dann deutlich länger als für einige Minuten an einem Tag bestehen würde. Demnach stellt die Erstellung der Aufnahmen mittels Drohnenflug das mildere Mittel dar.

II. Es besteht auch kein Verfügungsanspruch aus Art. 17, 21 DSGVO.

Die Verarbeitung der Daten ist rechtmäßig gem. Art. 6 Abs. 1 lit. f DSGVO. Demnach ist die Verarbeitung der Daten zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordert, überwiegen. Es ist also auch hier eine Interessenabwägung erforderlich, um die Rechtmäßigkeit der Datenverarbeitung zu beurteilen. Diese Abwägung führt auch hier zu dem Ergebnis, dass die Verarbeitung rechtmäßig ist (s.o. unter I.).

Den Volltext der Entscheidung finden Sie hier:

OLG Dresden
Urteile vom 03.02.2026
4 U 196/25, 4 U 292/25, 4 U 293/25 und 4 U 296/25

Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.500 EURO Schadensersatz aus Art. 82 DSGVO und einen Unterlassungsanspruch zugesprochen.

Die Pressemitteilung des Gerichts:
Meta Konzern zu Schadensersatz und Unterlassung verurteilt

Der 4. Zivilsenat hat am 03.02.2026 in den ersten vier Parallelverfahren zu den sog. Business-Tools den Meta Konzern zur Zahlung von immateriellem Schadensersatz in Höhe von jeweils 1500,- € sowie zur Unterlassung der Weiterverarbeitung hiermit gewonnener personenbezogener Daten an Nutzer des sozialen Netzwerks "Instagram" verurteilt.

Bei diesen "Business-Tools" handelt sich um Programmschnittstellen, die der Meta-Konzern Unternehmen zur Installation auf deren Webseiten anbietet. Sie dienen dazu, personenbezogene Daten der Webseitennutzer zu sammeln, die die Unternehmen dann mit dem Meta-Konzern teilen. Der 4. Zivilsenat hat sich in den entschiedenen Verfahren die Überzeugung verschafft, dass hierzu die zu einer Datenverarbeitung erforderlichen Einwilligungserklärungen der Nutzer nicht vorgelegen haben und sich die Beklagte hierfür auch nicht auf einen weiteren der nach der Datenschutzgrundverordnung möglichen Rechtfertigungsgründe berufen könne. Durch eine solche Verarbeitung personenbezogener Daten entstehe ein Kontrollverlust, der bei betroffenen Nutzern ein Gefühl der umfassenden Überwachung hervorrufen könne. Dies rechtfertige es, einen immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO auch dann zuzusprechen, wenn der einzelne Nutzer hierdurch keine psychische Beeinträchtigung erlitten habe. Nicht erforderlich sei es hierfür, dass der Nutzer nachweist, Webseiten besucht zu haben, die seine personenbezogenen Daten mit Hilfe dieser Business Tools an den Meta-Konzern weiterleiten.

Die Revision wurde nicht zugelassen. Die Urteile sind damit rechtskräftig.

OLG München
Urteil vom 18.12.2025
14 U 1068/25

Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 750 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.

Der Klägerin steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 750,- € zu (dazu sogleich 4.1.), daneben ein Anspruch auf Feststellung eines Verstoßes gegen den Nutzungsvertrag (dazu 4.2.), Ansprüche auf Unterlassung einer Verarbeitung bestimmter personenbezogener Daten (dazu 4.3.) und auf Erstattung vorgerichtlicher Rechtsanwaltskosten (dazu 4.4.).

Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.

4.1. Der Senat geht davon aus, dass die Klägerin einen einheitlichen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 55) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. ... ... Tools) wurzelt (s. Klageschrift S. 29: "der Verstoß").

Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH "einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind [...] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt [...]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen [...]."

Ein solcher Anspruch besteht vorliegend in Höhe von 750,- €.

4.1.1. Für den Senat steht fest, dass die Beklagte mithilfe der ... ... Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. ...#).

4.1.1.1. Technische Grundlage und Datenschutzeinstellungen

4.1.1.1.1. Über die sog. ... ... Tools ("u.a. ...-Pixel, C# ... (vormals bekannt als ...I), das ... für App Events, Offline-C# ... und die App ...", s. Anlage B5) erhält die Beklagte ...Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.

4.1.1.1.2. Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 31 = Bl. 308 f. LGA) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die ... ... Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 304 ff. LGA) ist es "eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. [...] Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. [...]"

4.1.1.1.3. Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der ... ... Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 35 f. = Bl. 310 f. LGA). Die ... Tools Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.

4.1.1.1.4. Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.

4.1.1.1.4.1. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem ...-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B7, S. 41).

4.1.1.1.4.2. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 62 = Bl. 322 LGA), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 63) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: "die C# ... ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben"; hierzu Duplik, Rz. 60 = Bl. 321 LGA.).

4.1.1.1.4.3. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).

4.1.1.2. Die Klägerin hat im Rahmen ihrer erstinstanzlich erfolgten persönlichen Anhörung erklärt, ihr sei aufgefallen, dass ihr zu zuvor gegoogelten Themen Werbung angezeigt wurde. Sie habe schon zuvor unter einer generalisierten Angststörung gelitten und sei auch schon in psychologischer Behandlung gewesen. Sie google viele Symptome und möchte nicht, dass ein Dritter wisse, wie es um ihre Gesundheit bestellt sei. Ihre generalisierte Angststörung sei dadurch "befeuert" worden (Protokoll der erstinstanzlichen mündlichen Verhandlung vom 06.02.2025, Bl. 482 – 484, dort S. 2 = Bl. 483 LGA).

Die Beklagte hat insoweit mit Nichtwissen bestritten, dass der streitgegenständliche Sachverhalt Thema der Behandlung der Klägerin gewesen wäre (ebd.). Nicht bestritten und damit vom Senat zugrunde zu legen ist die restliche Erklärung der Klägerin, sie google viele Symptome, ihr sei zu gegoogelten Themen Werbung angezeigt worden und ihre bereits zuvor vorhandene generalisierte Angststörung sei durch ihre Aufklärung über den streitgegenständlichen Sachverhalt "befeuert" worden.

4.1.1.2.1. Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps ... ... Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).

4.1.1.2.2. Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein "der ... Pixel [...] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut" sei (Replik, S. 49 = Bl. 191 d.A.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.

4.1.2. Nachdem der Klägerin unstreitig Werbung zu gegoogelten Themen gezeigt wurde (s.o. unter Punkt 4.1.1.2.), liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist, vor.

4.1.2.1. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).

4.1.2.2. Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden "Kontaktinformationen" und/oder "Event-Daten" (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem ... betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, "dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von ... aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird" (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).

4.1.2.3. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IPAdresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: "Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren [...]"; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).

4.1.2.4. Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.

4.1.2.4.1. Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand.

4.1.2.4.2. Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der ... ... Tools in eine Webseite oder App quasi eine "dynamische Verweisung" auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine "gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an ... über gewisse ... ... Tools" besteht, hat die Beklagte eingeräumt (Duplik, Rz. 41, 45 = Bl. 313 f. LGA, vgl. auch die Nutzungsbedingungen für die ... ... Tools in Anlage B5, dort S. 5).

4.1.3. Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.

4.1.3.1. Von Bedeutung ist dabei zunächst, "dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren" (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 23, Fn. 10) selbst auf die sog. Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: "[Es ist] sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. [...] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht."

Den Volltext der Entscheidung finden Sie hier:

OLG Jena
Urteil vom 17.11.2025
3 U 885/24

Das LG Jena hat entschieden, dass die Nutzung einer Gesichtserkennungssoftware durch eine Universität zur Authentifizierung bei einer Online-Prüfung nur mit Einwilligung zulässig ist. Vorliegend hat das Gericht dem Betroffenen 200 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Der Klägerin steht gemäß Art. 82 Abs. 1 DSGVO ein Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens aufgrund der rechtswidrigen Verarbeitung biometrischer Daten der Kläger durch die Beklagte zu.

Bei der Nutzung der Gesichtserkennungssoftware des Anbieters Uniwise sind biometrische Daten der Klägerin im Sinne von Art. 4 Nr. 14 DSGVO verarbeitet worden. Durch den automatisierten Abgleich der während der Online-Prüfungen aufgenommenen Bilder vom Gesicht der Klägerin mit dem am 09.07.2020 erstellten Referenzbild wurden mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der Klägerin, die ihre eindeutige Identifizierung ermöglichen oder bestätigen, zur Feststellung möglicher Täuschungsversuche verwendet. Diese Verarbeitung der biometrischen Daten der Klägerin war unter den hier vorliegenden Umständen auch rechtswidrig. Gemäß Art 9 Abs. 1 DSGVO ist die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person grundsätzlich untersagt, es sei denn es liegt ein in Art. 9 Abs. 2 DSGVO geregelter Ausnahmefall vor. Ein solcher Ausnahmefall kann hier jedoch nicht angenommen werden.

Der in § 9 Abs. 2 Buchst. a DSGVO geregelte Fall einer ausdrücklichen Einwilligung der von der Verarbeitung ihrer biometrischen Daten betroffenen Person ist hier nicht gegeben. Eine solche ausdrückliche Einwilligung kann insbesondere nicht durch den Umstand angenommen werden, dass die Klägerin aus dem Katalog der möglichen Durchführung von Prüfungen während der Corona-Pandemie die Möglichkeit 1 (Absolvierung der Prüfung außerhalb des Unicampus) ausgewählt hat. In der Wahl dieser Prüfungsart liegt weder eine konkludente noch eine von der genannten Norm erforderte ausdrückliche Einwilligung der Klägerin mit der Verarbeitung ihrer biometrischen Daten. Der Umstand, dass nach der entsprechenden Auswahl durch die Klägerin ein Referenzbild von ihr angefertigt wurde, konnte zwar die Vermutung der Klägerin begründen, dass bei der Online-Prüfung eine automatisierte Gesichtserkennungssoftware zum Einsatz kommt. Durch die bloße Hinnahme dieses Procederes hat sie jedoch nicht ihr Einverständnis mit der konkreten Verarbeitung ihrer biometrischer Daten durch die zum Einsatz gebrachte Gesichtserkennungssoftware erklärt. Jedenfalls fehlt es insoweit an der im Gesetz vorgeschriebenen Ausdrücklichkeit der Einwilligungserklärung. Hierzu hätte es einer expliziten Belehrung der Klägerin über die durch die Nutzung der Gesichtserkennungssoftware ermöglichte Verarbeitung ihrer biometrischen Daten und einer hierauf bezogenen konkreten Einwilligungserklärung der Klägerin bedurft. Eine solche ausdrückliche Einwilligungserklärung hat sie nicht abgegeben. Auch die Möglichkeit, sich bei Auskunftsstellen der Universität näher über den Prüfungsablauf informieren zu können, ersetzt das Erfordernis einer solchen ausdrücklichen Einwilligungserklärung nicht.

Die Zulässigkeit der Verarbeitung der biometrischen Daten der Klägerin ergibt sich auch nicht aus Art. 9 Abs. 2 Buchst. e DSGVO. Durch die Veröffentlichung von Gesichtsbildern in den sozialen Medien seit dem Jahr 2015 hat die Klägerin keine biometrischen Daten veröffentlicht, sondern lediglich die Möglichkeit geschaffen, dass Dritte biometrische Daten aus diesen Bildern gewinnen können. Ob die Klägerin durch die vorherige Veröffentlichung ihrer Bilder im Internet bereits die Kontrolle über diese personenbezogenen Daten verloren hat, spielt in diesem Zusammenhang keine Rolle, sondern ist erst für die Frage relevant, inwieweit ihr durch den Datenschutzverstoß ein Schaden entstanden ist.

Auch aus der Norm des Art. 9 Abs. 2 Buchst. g DSGVO kann keine Rechtfertigung für die Verarbeitung der biometrischen Daten hergeleitet werden. Zwar mag die Durchführung von Fernprüfungen während der Corona-Pandemie zwecks Aufrechterhaltung des Lehr- und Prüfungsbetriebes in den Hochschulen einem gewissen öffentlichen Interesse entsprochen haben. Dieses öffentliche Interesse erforderte es jedoch nicht wie geschehen eine Verarbeitung biometrischer Daten, durch die nicht unerheblich in das informationelle Selbstbestimmungsrecht des Betroffenen eingegriffen wird, ohne Einholung einer ausdrücklichen Einwilligungserklärung des Betroffenen vorzunehmen, zumal auch andere Möglichkeiten der Prüfungsdurchführung während der Pandemie zur Verfügung standen.

Durch die unzulässige Verarbeitung der biometrischen Daten der Klägerin bei der Durchführung der Online-Prüfungen ist dieser auch ein wenn auch eher als nicht allzu intensiv einzuschätzender Schaden in Form einer psychischen Beeinträchtigung entstanden, für den die Beklagte gemäß Art. 82 Abs. 1 DSGVO Ersatz zu leisten hat.

Die Klägerin hat bei ihrer Anhörung durch das Landgericht erklärt, dass sie während der Fernprüfungen aufgrund der Nutzung der Gesichtserkennungssoftware dauerhaft befürchtet habe, durch bestimmte Bewegungen ihres Kopfes den Übereinstimmungsreferenzwert zwischen aktuellem Bild und dem Referenzbild zu unterschreiten und hierdurch infolge der Softwarefunktion dem Prüfer automatisch Veranlassung zur Überprüfung eines Täuschungsversuches ihrerseits bieten könnte. Der Senat hält diese Bekundungen auch für plausibel. Insbesondere der Umstand, dass eine automatisierte Erkennungssoftware zum Einsatz gekommen ist, lässt das wenn auch vielleicht diffuse Gefühl, dass ohne eigene Einflussmöglichkeit ständig die Möglichkeit besteht, dem Vorwurf eines Täuschungsversuches ausgesetzt zu sein, durchaus nachvollziehbar erscheinen. Entgegen dem Vorbringen der Beklagten ist die Behauptung auch nicht deshalb unglaubhaft, weil sie erst im späteren Verlauf des Verfahrens aufgestellt wurde. Vielmehr hat die Klägerin bereits in der Klageschrift vorgetragen, dass die automatische Überwachung sie während der Prüfungssituation unter erheblichen Stress gesetzt habe und in ihr die Angst ausgelöst habe, dem unbegründeten Verdacht eines Täuschungsversuchs ausgesetzt zu sein. Dass das Landgericht diese Bekundung der Klägerin für unglaubhaft gehalten hat, ergibt sich aus den Ausführungen im Urteil nicht. Vielmehr meinte das Landgericht, hieraus nicht den Schluss ziehen zu können, dass der Klägerin ein immaterieller Schaden entstanden ist. Soweit das Landgericht damit argumentiert hat, dass der Umstand, dass sich die Klägerin vor den Prüfungen nicht bei Auskunftsstellen der Beklagten über den genauen Ablauf der Fernprüfungen informiert habe, gegen die Annahme eines immateriellen Schadens spreche, handelt es sich nach Auffassung des Senats letztlich um die unbewusste Anwendung des Erfordernisses einer Erheblichkeitsschwelle für die Annahme eines immateriellen Schadens durch das Landgericht, da dieses Argument nicht geeignet ist, die Befürchtungen der Klägerin als solche zu widerlegen, sondern die Annahme begründet, dass die Befürchtungen nicht allzu intensiv gewesen sein können. Die weitere Schlussfolgerung des Landgerichts, dass die psychische Beeinträchtigung nicht spezifisch auf die Verarbeitung biometrischer Daten zurückzuführen ist, da anzunehmen sei, dass diese auch bei der Durchführung herkömmlicher videoüberwachter Prüfungen aufgetreten sei, vermag der Senat nicht zu teilen. Zwischen diesen Prüfungssituationen besteht ein erheblicher Unterschied. Während bei einer bloß videoüberwachten Prüfung für den Prüfer nur dann Anlass besteht, Ermittlungen wegen eines möglichen Täuschungsversuchs aufzunehmen, wenn er durch eigene Anschauung entsprechende Anhaltspunkte hierfür gewonnen hat, wird die entsprechende Verdachtsprüfung durch den automatisierten Einsatz der Gesichtserkennungssoftware ausgelöst. Für den Prüfling besteht hierdurch ein Gefühl, „der Technik ausgeliefert zu sein“ und das Auslösen eines Verdachts der Täuschung letztlich nicht beeinflussen zu können. Die von der Klägerin geschilderten Befürchtungen sind also gerade auf die Verwendung der Gesichtserkennungssoftware und die hierdurch erfolgte Verarbeitung biometrischer Daten zurückzuführen.

Eine nochmalige Anhörung der Klägerin war entgegen der Auffassung der Beklagten nicht erforderlich, um bezüglich der Beweiswürdigung in Bezug auf den Eintritt einer psychischen Beeinträchtigung zu einem anderen Ergebnis zu kommen als das Landgericht. Die von derjenigen des Landgerichts abweichende Beweiswürdigung des Senats beruht nicht auf einer unterschiedlichen Einschätzung der Glaubhaftigkeit der Aussage der Klägerin, sondern auf divergierenden Schlussfolgerungen, die aus den Bekundungen der Klägerin im Hinblick auf den Eintritt eines ersatzfähigen Schadens gezogen wurden.

Der Senat bewertet den der Klägerin durch die erlittene psychische Beeinträchtigung entstandenen immateriellen Schaden mit einem Betrag von 200 EUR. Dabei war zu beachten, dass es sich nach Einschätzung durch den Senat vorliegend um eine eher geringfügige Beeinträchtigung von nicht sehr hoher Intensität handelt. Die Befürchtungen bestanden vorliegend nicht dauerhaft, wie das etwa bei der Veröffentlichung personenbezogener Daten im Internet der Fall ist, sondern nur punktuell während der Zeit der Fernprüfungen. Darüber hinaus drohten der Klägerin bei einem Auslösen des „Alarms“ durch die Software bei Unterschreitung des Referenzwertes noch keine unmittelbar nachteiligen Konsequenzen, sondern lediglich Maßnahmen zur Überprüfung des Grundes für das Auslösen der Software. Ein solche Überprüfung ist zwar für den Prüfling nachvollziehbarerweise mit unangenehmen Gefühlen verbunden, stellt aber noch kein so gravierendes Übel dar, dass von einer hohen psychischen Beeinträchtigung ausgegangen werden kann. Hinzu kommt, dass mit der Absolvierung mehrerer Fernprüfungen, bei denen der „Alarm“ durch die Software gerade nicht ausgelöst worden war, bei der Klägerin ein Gewöhnungseffekt eingetreten sein dürfte, der bei den später absolvierten Klausuren die Intensität der Befürchtungen, wenn sie überhaupt noch vorhanden waren, deutlich verringert haben dürfte. Der Senat hält daher die Bewertung des Schmerzensgeldbetrages mit einem im unteren Bereich der Bemessungsskala angesiedelten Betrag für gerechtfertigt.

Ein weitergehender Schaden in Form eines Kontrollverlustes über ihre biometrischen Schaden ist der Klägerin nicht entstanden. Allerdings hat der BGH in seiner nach Erlass des Urteils des Landgerichts ergangenen Leitentscheidung vom 18.11.2024, Az.:VI ZR 10/24, juris entschieden, dass der bloße Kontrollverlust über personenbezogene Daten bei dem von einem Datenschutzverstoß Betroffenen bereits einen ersatzfähigen Schaden darstellt. Jedoch muss der Betroffene den Eintritt eines solchen Kontrollverlusts darlegen und gegebenenfalls beweisen. Der Datenschutzverstoß als solcher stellt noch keinen Nachweis eines Kontrollverlusts dar.

Vorliegend hat die Klägerin durch die Verarbeitung ihrer biometrischen Daten schon deshalb keinen Kontrollverlust erlitten, weil sie zum Zeitpunkt der Datenverarbeitung bereits keine Kontrolle mehr über ihre ihr Gesicht betreffenden biometrischen Daten gehabt hat. Die Klägerin hat unstreitig Fotos von ihrem Gesicht seit 2015 auf stark besuchten Internetplattformen, insbesondere Instagram, veröffentlicht und erst 2022 die Sichtbarkeit dieser Bilder zumindest auf einen beschränkten Personenkreis reduziert. Damit bestand für eine unbegrenzte Vielzahl von Nutzern der Plattform Instagram über eine lange Zeitdauer die potentielle Möglichkeit, aus den Gesichtsfotos der Klägern biometrische Daten zu gewinnen. Dieses Vorbringen der Beklagten hat die Klägerin nicht bestritten. Die Generierung und Nutzung der biometrischen Daten der Klägerin war somit für eine unbegrenzte Vielzahl von Internetnutzern auf aller Welt gegeben, so dass die Klägerin nicht mehr die Kontrolle über ihre biometrischen Daten, soweit sie ihr Gesicht betreffen, besaß. Der Umstand, dass die Generierung und Nutzung von biometrischen Daten aus den von ihr veröffentlichten Bildern regelmäßig rechtswidrig sein dürfte, ändert am Eintritt des Kontrollverlusts nichts. Einem Kontrollverlust über personenbezogene Daten ist es gerade immanent, dass deren - insbesondere missbräuchliche - Verwendung durch Dritte durch den Betroffenen nicht mehr verhindert werden kann. Die Annahme der Klägerin, dass der von einem vor dem Datenschutzverstoß bereits eingetretenen Kontrollverlust Betroffene der Verwendung seiner Daten schutzlos ausgeliefert sei, ist unzutreffend. Selbstverständlich kann der Betroffene bei einer rechtswidrigen Generierung oder Verwendung seiner biometrischen (oder sonstigen personenbezogenen) Daten Schadensersatz geltend machen, wenn ihm hierdurch ein materieller oder immaterieller Schaden entstanden ist. Er kann lediglich keinen Schadensersatz wegen des (bloßen) Kontrollverlusts über seine personenbezogenen Daten mehr verlangen.

Schadensersatz wegen eines etwaigen Kontrollverlusts über ihre biometrischen Daten, der sich angesichts der Rechtsprechung des BGH im Urteil vom 18.11.2024, Az.: VI 10/24, wonach selbst der Kontrollverlust über dauerhaft im Darknet veröffentlichte personenbezogene Daten mit einem Schadensbetrag von etwa 100 EUR zu bewerten ist, ohnehin in einem eher symbolischen Bereich bewegen dürfte, kann die Klägerin somit nicht geltend machen.

Ein Verstoß gegen Art. 22 DSGVO liegt nicht vor. In dem Umstand, dass das Unterschreiten oder Nichtunterschreiten des Referenzwertes die Grundlage für eine Überprüfung des Vorliegens eines Täuschungsversuches bildet, sieht der Senat wie das Landgericht weder eine rechtliche wirksame Entscheidung für die Klägerin noch diese hierdurch „in ähnlicher Weise beeinträchtigt“. Das ist auch dann der Fall, wenn man wie angeblich in anderen Sprachversionen eine „beträchtliche Auswirkung“ fordert. Selbst wenn man einen Verstoß gegen Art. 22 DSGVO bejahen würde, stünde der Klägerin kein weitergehender Ersatz eines Schadens, den sie nicht bereits durch den Verstoß gegen Art. 9 Abs. 1 DSGVO verlangen kann, zu. Aus demselben Grund kann auch dahinstehen, ob dem Grunde nach Schadensersatzansprüche aus § 823 Abs. 2 BGB aus § 839 BGB i.V.m. Art. 34 GG oder aus § 25 TMMG gegeben sind.

Ein Verstoß gegen Art. 44 DSGVO (Übermittlung von Daten in Staaten außerhalb der EU) begründet ebenfalls keinen Schadensersatzanspruch, da eine entsprechende Datenschutzverletzung schon nicht feststeht. Insbesondere steht nicht fest, dass Daten an die in den USA ansässigen Gesellschaften der Mutterkonzerne Amazon bzw. Google übermittelt wurden. Darüber hinaus wäre die Klägerin durch die Übermittlung von Daten an den in den USA ansässigen Mutterkonzern Amazon aufgrund des bereits zuvor eingetretenen Kontrollverlust über ihre biometrischen Daten nicht zusätzlich geschädigt.

Ein Verstoß gegen die Verpflichtung der Beklagten, gemäß Art. 28 Abs. 3 und 4 DSGVO Verträge mit dem dort geregelten Inhalt mit den Auftrags- bzw. Unterauftragsverarbeitern zu schließen, dürfte zwar vorliegen, da die Beklagte solche Verträge trotz ausdrücklichen Bestreitens der Behauptung durch die Klägerin, dass solche existieren, nicht vorgelegt hat. Auch diesbezüglich hat die Klägerin jedoch keinen weitergehenden Schaden erlitten.

Auf die Geltendmachung von Schadensersatz wegen der Übermittlung von IP-Adressen der Klägerin an den Google-Konzern im Zusammenhang mit der Verwendung der Software WISEflow hat diese im Laufe des Verfahrens verzichtet. Die streitige Rechtsfrage (vgl. den Vorlagebeschluss des BGH an den EuGH vom 28.08.2025, Az.: VI ZR 258/24), in welchen Konstellationen an Dritte übermittelte IP-Adressen als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO anzusehen sind, kann somit offenbleiben.

Die Klägerin kann ebenfalls keinen Schadensersatz wegen der Verwendung des Lock-Down-Browsers der Firma Respondus verlangen. Hierbei handelt es sich nicht um einen Datenschutzverstoß durch die Beklagte. Dass durch den Zugriff auf das seitens der Klägerin auf ihrem Laptop installierte Programm auf auf dem Endgerät gespeicherte Daten zugegriffen wurde, die über die Programmbibliotheken des Lock-Down-Programms selbst hinausgehen, hat die Klägerin weder substantiiert vorgetragen noch hierzu Beweis angetreten. Der Zugriff auf die Daten des Programms, welches die Klägerin selbst auf Veranlassung der Beklagten zur Verhinderung der Inanspruchnahme unerlaubter Hilfsmittel bei den Fernprüfungen installiert hat, ist nicht rechtswidrig. Die Klägerin hat sich durch die Installation des Programms zwecks Teilnahme an der Fernprüfung mit dem Zugriff auf die Programmdaten während der Prüfung zumindest konkludent einverstanden erklärt. Zudem ist nicht ersichtlich, dass die Klägerin durch den Zugriff auf die Programmbibliotheken des Lock-Down-Programms einen Schaden erlitten hat.

Die Klägerin hat gegen die Beklagte daher einen Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens in Höhe von 200 EUR, so dass das Urteil des Landgerichts entsprechend abzuändern war.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 18.12.2025
I ZR 97/25
Löschungsfrist bei Zahlungsstörungen
Verordnung (EU) 2016/679 Art. 6 Abs. 1 Unterabs. 1 Buchst. f; Art. 82

Wir hatten bereits in dem Beitrag BGH: Schufa muss erledigte Zahlungsstörungen nicht unverzüglich löschen - kürzere Speicherdauer bei besonderem Löschungsinteresse des Betroffenen über die Entscheidung berichtet.

Leitsätze des BGH:
a) Die längstmögliche Speicherungsdauer von Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien durch Einmeldungen ihrer Vertragspartner sammeln, um sie zur Grundlage von Bonitätsbeurteilungen zu machen, wird nicht durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register - hier im Schuldnerverzeichnis - vorgegeben (Abgrenzung zu EuGH, Urteil vom 7. Dezember 2023 - C-26/22 und C-64/22, NJW 2024, 417 [juris Rn. 113] - SCHUFA Holding [Restschuldbefreiung]).

b) Verhaltensregeln im Sinn von Art. 40 DSGVO können im Interesse der Rechtssicherheit und auch mit Blick auf das von Wirtschaftsauskunfteien betriebene Massengeschäft als Orientierung für die nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorzunehmende Interessenabwägung herangezogen werden, soweit sie typisiert zu einem angemessenen Interessenausgleich führen - wie das bei der vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum 1. Januar 2025 genehmigten Ziffer IV.1. Buchst. b der Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien grundsätzlich der Fall ist - und die Besonderheiten des Einzelfalls bei der konkret vorzunehmenden Interessenabwägung hinreichend berücksichtigt werden (Abgrenzung zu EuGH, NJW 2024, 417 [juris Rn. 104 f.] - SCHUFA Holding [Restschuldbefreiung]).

BGH, Urteil vom 18. Dezember 2025 - I ZR 97/25 - OLG Köln - LG Bonn

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 18.12.2025
C-422/24
Storstockholms Lokaltrafik

Der EuGH hat sich vorliegend mit den Informationspflichten nach der DSGVO beim Einsatz von Bodycams im Zusammenhang mit Fahrscheinkontrollen befasst.

Die Pressemitteilung des EuGH:
DSGVO: Beim Einsatz einer Körperkamera anlässlich der Fahrscheinkontrolle müssen dem betroffenen Fahrgast bestimmte Informationen unmittelbar zur Verfügung gestellt werden

Die wichtigsten Informationen können auf einem Hinweisschild angezeigt werden, während die weiteren an einem leicht zugänglichen Ort zur Verfügung gestellt werden könne.

Ein öffentlicher Verkehrsbetrieb in Stockholm (Schweden) stattet seine Fahrkartenkontrolleure mit Körperkameras aus, um anlässlich der Fahrkartenkontrollen die Fahrgäste zu filmen.

Die schwedische Datenschutzbehörde verhängte gegen dieses Unternehmen wegen Verstößen gegen mehrere Bestimmungen der Datenschutz-Grundverordnung (DSGVO)1 eine Geldbuße. Unter anderem ist sie der Auffassung, dass der Einsatz von Körperkameras die Erhebung personenbezogener Daten unmittelbar bei den gefilmten Personen, die hierüber nur mangelhaft unterrichtet worden seien, ermöglicht habe.

Das Unternehmen bestreitet eine Verletzung der Informationspflicht. Die personenbezogenen Daten seien indirekt erhoben worden, und bei einer solchen Art der Erhebung würden Zeitpunkt und Umfang dieser Verpflichtung anders definiert, so dass die Geldbuße ungerechtfertigt sei.

Das mit diesem Rechtsstreit befasste schwedische Gericht hat den Gerichtshof um Auslegung der DSGVO ersucht.

Nach Auffassung des Gerichtshofs müssen betroffene Personen bestimmte Informationen unmittelbar erhalten, da die mit Körperkameras erlangten Daten unmittelbar4 bei diesen Personen erhoben werden.

Die Einstufung einer Datenerhebung als „unmittelbar“ setzt nämlich weder voraus, dass die betroffene Person Daten wissentlich zur Verfügung stellt, noch bedarf es einer besonderen Handlung dieser Person. Daten, die bei der Beobachtung der Person, die die Quelle dieser Daten ist, gewonnen wurden, werden daher als unmittelbar bei dieser Person erhoben angesehen.

Die zweite Fallgestaltung, in der Daten indirekt erhoben werden, findet Anwendung, wenn der Verantwortliche keinen direkten Kontakt zur betroffenen Person hat und die Daten aus einer anderen Quelle erhält.

Werden die Daten unmittelbar bei der betroffenen Person erhoben, können die Informationspflichten im Rahmen eines mehrstufigen Verfahrens erfüllt werden. Die wichtigsten Informationen können auf einem Hinweisschild angezeigt werden. Die weiteren obligatorischen Informationen können der betroffenen Person in geeigneter und vollständiger Weise an einem leicht zugänglichen Ort zur Verfügung gestellt werden.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 18.12.2025
I ZR 97/25

Der BGH hat entschieden, dass Wirtschaftsauskunfteien wie die Schufa erledigte Zahlungsstörungen nicht unverzüglich löschen müssen. Ein Anspruch auf vorzeitige Löschung kann aber bei einem besonderem Löschungsinteresse des Betroffenen bestehen.

Die Pressemitteilung des BGH:
Von Vertragspartnern einer Wirtschaftsauskunftei eingemeldete Daten über Zahlungsstörungen müssen
nicht sofort nach dem Forderungsausgleich gelöscht werden

Die längstmögliche Speicherungsdauer von Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien durch Einmeldungen ihrer Vertragspartner sammeln, wird nicht durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register vorgegeben. Daher müssen solche Daten nicht - wie für die im öffentlichen Schuldnerverzeichnis gespeicherten Daten vorgesehen - sofort mit dem Nachweis des Ausgleichs der betreffenden Forderung gelöscht werden. Das hat der unter anderem für Rechtsstreitigkeiten aus dem Datenschutzrecht zuständige I. Zivilsenat des Bundesgerichtshofs heute entschieden und eine Abgrenzung zu einem vom Gerichtshof der Europäischen Union entschiedenen Fall der Übernahme von Daten aus einem öffentlichen Register vorgenommen. Für die Festlegung der Speicherungsdauer bei nicht aus einem öffentlichen Register übernommenen Daten können von der Aufsichtsbehörde genehmigte Verhaltensregeln herangezogen werden, soweit sie typisiert zu einem angemessenen Interessenausgleich führen und die Besonderheiten des Einzelfalls bei der konkret vorzunehmenden Interessenabwägung hinreichend berücksichtigt werden.

Sachverhalt:

Die beklagte SCHUFA Holding AG betreibt eine Wirtschaftsauskunftei. Sie bewertet die Gefahr eines Zahlungsausfalls der von ihr erfassten natürlichen Personen mit einem Scorewert und gewährt der kreditgebenden Wirtschaft gegen Entgelt Einsicht in ihre Datenbanken. Unter anderem speichert die Beklagte auch Daten zu erledigten Forderungen ihrer Einmelder automatisiert ab.

Die Beklagte speicherte drei gegen den Kläger gerichtete Forderungen für die Dauer von mehreren Jahren nach dem Ausgleich dieser Forderungen. Auf dieser Grundlage ermittelte die Beklagte für den Kläger einen Score-Wert, der die Gefahr eines Zahlungsausfalls als "sehr kritisch" einstufte.

Der Kläger ist der Auffassung, die Beklagte habe mit dieser Datenspeicherung gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Hinsichtlich der Löschungsansprüche haben die Parteien den Rechtsstreit nach der zwischenzeitlich erfolgten Datenlöschung durch die Beklagte für erledigt erklärt. Der Kläger nimmt die Beklagte weiterhin auf Zahlung eines immateriellen Schadensersatzes sowie auf Erstattung von außergerichtlichen Rechtsverfolgungskosten in Anspruch.

Bisheriger Prozessverlauf:

Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat das landgerichtliche Urteil teilweise abgeändert und die Beklagte zur Zahlung von 1.040,50 € nebst Zinsen verurteilt.

Mit ihrer vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihren Antrag auf vollständige Klageabweisung weiter.

Entscheidung des Bundesgerichtshofs:

Die Revision der Beklagten hat Erfolg. Sie führt zur Aufhebung des Berufungsurteils und Zurückverweisung der Sache an das Berufungsgericht.

Wirtschaftsauskunfteien wie die der Beklagten werden zur Wahrung von berechtigten Interessen im Sinn von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO tätig. Dem stehen gewichtige Interessen einer von dieser Datenspeicherung betroffenen Person wie dem Kläger gegenüber.

In seinem Urteil "SCHUFA Holding (Restschuldbefreiung)" vom 7. Dezember 2023 - C- 26/22 und C-64/22 - hat der Gerichtshof der Europäischen Union entschieden, dass Art. 5 Abs. 1 Buchst. a DSGVO in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

Entgegen der Ansicht des Berufungsgerichts folgt daraus nicht, dass bei Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien aufgrund von Einmeldungen ihrer Vertragspartner speichern, um sie zur Grundlage von Bonitätsbeurteilungen zu machen, die längstmögliche Speicherungsdauer durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register - hier im Schuldnerverzeichnis - vorgegeben wird. Die Regelung des § 882e Abs. 3 Nr. 1 ZPO, die bei Nachweis der vollständigen Befriedigung des Gläubigers eine sofortige Löschung von Einträgen im Schuldnerverzeichnis (zu deren Inhalt vgl. § 882b Abs. 2 und 3 ZPO) anordnet, ist nicht auf die Speicherung anderer Daten über Zahlungsstörungen natürlicher Personen (wie Informationen über Gläubiger, Höhe und Inhalt der zugrundeliegenden Forderungen) durch Wirtschaftsauskunfteien anzuwenden. Die vorliegend in Rede stehende Datenspeicherung der Beklagten unterscheidet sich bereits dadurch wesentlich von derjenigen im Vorlageverfahren an den Gerichtshof der Europäischen Union, dass die Beklagte dort Daten aus dem öffentlichen Register - den Insolvenzbekanntmachungen - übernommen und parallel gespeichert hatte, während sie hier nicht auf Daten aus dem Schuldnerverzeichnis zurückgegriffen, sondern von ihren Vertragspartnern gemeldete Daten über Zahlungsstörungen gespeichert hat. Die Erwägung, dass die für die ursprüngliche Datenspeicherung geltende Löschungsfrist nicht durch eine längere Speicherung an anderer Stelle konterkariert werden soll, greift daher im Streitfall nicht.

Für das wiedereröffnete Berufungsverfahren weist der Senat darauf hin, dass es ihm möglich erscheint, bestimmte Speicherungsfristen als Ergebnis einer typisierten Abwägung festzulegen, soweit dabei die Besonderheiten des Einzelfalls hinreichend berücksichtigt werden. Die vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum 1. Januar 2025 genehmigte Ziffer IV.1. Buchst. b der Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien nimmt aus Sicht des Senats grundsätzlich einen angemessenen Interessenausgleich vor. Im Ausgangspunkt (Satz 1) sieht diese Regelung eine Speicherung von personenbezogenen Daten über ausgeglichene Forderungen für drei Jahre vor. Die Speicherung endet jedoch abweichend davon bereits nach 18 Monaten (Satz 2), wenn (1) der Auskunftei bis zu diesem Zeitpunkt keine weiteren Negativdaten gemeldet worden sind, (2) keine Informationen aus dem Schuldnerverzeichnis oder aus Insolvenzbekanntmachungen vorliegen und (3) der Ausgleich der Forderung innerhalb von 100 Tagen nach Einmeldung erfolgte. Dem Schuldner muss es zudem möglich sein, besondere Umstände vorzubringen, die seinem Löschungsinteresse ein wesentlich überdurchschnittliches Gewicht verleihen. In diesem Fall kann die Interessenabwägung ausnahmsweise dazu führen, dass allein eine noch kürzere Speicherungsdauer als angemessen anzusehen ist.

War die von der Beklagten vorgenommene Datenspeicherung nicht über ihren gesamten Zeitraum rechtmäßig, kommt ein Schadensersatzanspruch des Klägers nach Art. 82 Abs. 1 DSGVO grundsätzlich in Betracht und sind dessen weitere Voraussetzungen zu prüfen.

Vorinstanzen:

Landgericht Bonn - Urteil vom 21. Juni 2024 - 20 O 10/24

Oberlandesgericht Köln - Urteil vom 10. April 2025 - 15 U 249/24