BECKMANN UND NORDA - Rechtsanwälte Bielefeld

EuGH
Urteil vom 19.03.2026
C-526/24
Brillen Rottler

Der EuGH hat entschieden, dass ein Auskunftsanspruch nach Art. 15 DSGVO als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO abgelehnt werden kann, wenn eine Newsletter-Anmeldung und der anschließend geltend gemacht Auskunftsanspruch primär in der missbräuchlichen Absicht erfolgten, künstlich die Voraussetzungen für einen Schadensersatzanspruch gemäß Art. 82 DSGVO zu schaffen.

Die Pressemitteilung des EuGH:
Ein Antrag auf Auskunft über die eigenen personenbezogenen Daten kann als missbräuchlich eingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestellt wird, anschließend Schadensersatz wegen eines angeblichen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) zu fordern

Eine in Österreich wohnhafte Person abonnierte den Newsletter des familiengeführten Optikerunternehmens Brillen Rottler mit Sitz im deutschen Arnsberg. Dabei gab sie ihre personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein.

13 Tage später richtete sie einen Auskunftsantrag nach der DSGVO an Brillen Rottler. Nach der DSGVO hat eine betroffene Person im Sinne dieser Verordnung das Recht, von dem Verantwortlichen im Sinne dieser Verordnung eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, das Recht auf Auskunft über diese Daten und die damit verbundenen Informationen.

Brillen Rottler wies den Antrag zurück, da er missbräuchlich sei. Aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten sei ersichtlich, dass sich der Antragsteller systematisch zu Newslettern verschiedener Unternehmen anmelde, dann Auskunft beantrage und schließlich Schadensersatz fordere. Der Antragsteller hingegen hält seinen Auskunftsantrag für legitim und fordert von Brillen Rottler eine Entschädigung in Höhe von mindestens 1 000 Euro für den immateriellen Schaden, der ihm durch die Zurückweisung des Antrags entstanden sei.

Das Amtsgericht Arnsberg, das mit dem Rechtsstreit zwischen Brillen Rottler und dem Antragsteller über die Berechtigung der vorstehend genannten Anträge befasst ist, hat den Gerichtshof dazu befragt, ob ein erster Antrag der betroffenen Person auf Auskunft über personenbezogene Daten als „exzessiv“ angesehen werden kann und ob diese Person einen Anspruch auf Ersatz des aus einer Verletzung des Rechts auf Auskunft über diese Daten entstandenen Schadens hat.

Der Gerichtshof antwortet, dass ein erster Auskunftsantrag unter bestimmten Umständen bereits als „exzessiv“ im Sinne der DSGVO angesehen werden und daher missbräuchlich sein kann.

Dies ist der Fall, wenn der Verantwortliche nachweist, dass trotz formaler Einhaltung der in der DSGVO vorgesehenen Voraussetzungen für die Stellung eines Auskunftsantrags dieser Antrag nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern in der als „missbräuchlich“ einzustufenden Absicht, künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DSGVO zu schaffen.

Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

Außerdem hat eine Person, der wegen eines Verstoßes gegen die DSGVO – einschließlich einer Verletzung des Rechts auf Auskunft über ihre personenbezogenen Daten – ein materieller oder immaterieller Schaden entstanden ist6, Anspruch auf Ersatz des betreffenden Schadens gegen den Verantwortlichen. Der Gerichtshof stellt jedoch klar, dass die betroffene Person als Voraussetzung für einen solchen Schadensersatz u. a. nachweisen muss, dass ihr tatsächlich ein entsprechender Schaden entstanden ist. Im Übrigen kann diese Person keinen Schadensersatz7 nach der DSGVO erhalten, wenn ihr eigenes Verhalten die entscheidende Ursache für den Schaden ist.

Es ist Sache des Amtsgerichts Arnsberg, den bei ihm anhängigen Rechtsstreit unter Berücksichtigung der Antworten des Gerichtshofs zu entscheiden.

Tenor der Entscheidung:
1. Art. 12 Abs. 5 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein erster von der betroffenen Person an den Verantwortlichen gerichteter Antrag nach Art. 15 dieser Verordnung auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass dieser Antrag trotz formaler Einhaltung der in diesen Bestimmungen vorgesehenen Bedingungen von der betroffenen Person nicht gestellt wurde, um sich der Verarbeitung dieser Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, damit sie anschließend ihre Rechte aus der besagten Verordnung schützen kann, sondern in missbräuchlicher Absicht wie zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines sich aus dieser Verordnung ergebenden Vorteils. Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 dieser Verordnung entstandenen Schadens verleiht.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, das der immaterielle Schaden der betroffenen Person den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit darüber umfasst, ob ihre Daten verarbeitet wurden, sofern insbesondere nachgewiesen wird, dass dieser Person tatsächlich ein solcher Schaden entstanden ist und dass ihr Verhalten nicht die entscheidende Ursache für diesen Schaden war.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 19.03.2026
C-371/24

Der EuGH hat entschieden, dass die Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch Polizeibehörden nur bei unbedingter Erorderlichkeit zulässig ist.

Die Pressemitteilung des EuGH:
Die Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch eine Polizeibehörde kann nur mit einer unbedingten Erforderlichkeit gerechtfertigt werden

Erkennungsdienstliche Maßnahmen dürfen nicht systematisch angeordnet werden, sondern müssen klar begründet werden, andernfalls ist die strafrechtliche Sanktion für die Verweigerung, sich ihnen zu unterziehen, unwirksam.

Im Mai 2020 wurde HW in Paris wegen der Organisation einer nicht angemeldeten Demonstration und wegen Aufruhrs festgenommen. Während seines Polizeigewahrsams weigerte er sich, sich erkennungsdienstlichen Maßnahmen (Abnahme von Fingerabdrücken und Anfertigung von Fotografien) zu unterziehen.

HW wurde wegen dieser Weigerung verurteilt2, obwohl er wegen des Vergehens, das der beabsichtigten erkennungsdienstlichen Behandlung zugrunde lag, freigesprochen wurde. Er wandte sich gegen seinen Schuldspruch und trug vor, dass die anwendbare französische Regelung nicht mit den europäischen Rechtsvorschriften über den Schutz personenbezogener Daten im Bereich des Strafrechts vereinbar sei.

n diesem Zusammenhang hat sich das Berufungsgericht Paris an den Gerichtshof gewandt. Es möchte im Wesentlichen wissen, ob das Unionsrecht nationalen Behörden gestattet, von jeder Person, die einer Straftat verdächtigt wird, systematisch Fingerabdrücke abzunehmen und Fotografien anzufertigen, ohne diese Maßnahme im Einzelfall rechtfertigen zu müssen. Es möchte auch wissen, ob eine Person für die Weigerung, sich erkennungsdienstlichen Maßnahmen zu unterziehen, selbst dann strafrechtlich verfolgt werden darf, wenn sie für die Straftat, derer sie verdächtigt wurde, letztlich nicht verfolgt wird.

Der Gerichtshof konkretisiert in seinem Urteil die Anforderungen, die an die nationalen Behörden gestellt werden, wenn sie biometrische Daten (Fingerabdrücke, Fotografien) für strafrechtliche Ermittlungsverfahren erheben.

Zunächst weist der Gerichtshof darauf hin, dass biometrische Daten zu den sensiblen personenbezogenen Daten im Sinne des Unionsrechts gehören, die einem verstärkten Schutz unterliegen: Ihre Verarbeitung ist nur erlaubt, wenn sie unbedingt erforderlich4 ist und geeignete Garantien für die Rechte und Freiheiten der betroffenen Person bestehen.

Das bloße Vorliegen eines oder mehrerer plausibler Gründe für den Verdacht einer Straftat reicht nicht aus, um die Erhebung biometrischer Daten zu rechtfertigen. Jede Entscheidung, erkennungsdienstliche Maßnahmen durchzuführen, muss daher mit einer klaren Begründung versehen sein, die auch summarisch sein kann und es der betroffenen Person ermöglicht, die Gründe der Maßnahme zu verstehen und ihr Recht auf Einlegung eines Rechtsbehelfs auszuüben. Da die Erhebung nicht systematisch erfolgen darf, stellt diese Begründungspflicht keine unverhältnismäßige Belastung für die Behörde dar.

Der Gerichtshof stellt außerdem klar, dass eine nationale Regelung, die eine systematische Erhebung vorschriebe, ohne dass die zuständige Polizeibehörde die Möglichkeit hätte, die Erforderlichkeit im Einzelfall zu prüfen, mit dem Unionsrecht unvereinbar wäre, da sie zu einer unterschiedslosen und allgemeinen Erhebung biometrischer Daten führen würde. Das nationale Recht muss daher die konkreten Zwecke der Erhebung festlegen.

Zur Rechtmäßigkeit einer Sanktion für die Weigerung, sich einer Erhebung biometrischer Daten zu unterziehen, entscheidet der Gerichtshof, dass sie davon abhängt, ob die zugrunde liegende Erhebung die Voraussetzung der unbedingten Erforderlichkeit erfüllt: Erfüllt sie diese Voraussetzung, verstößt die Sanktion nicht gegen das Unionsrecht, sofern sie dem in der Charta der Grundrechte der Europäischen Union vorgesehenen Grundsatz der Verhältnismäßigkeit genügt.

Tenor der Entscheidung:
1. Art. 10 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c und Art. 8 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die die systematische Erhebung biometrischer Daten jeder Person vorsieht, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat, eine Straftat zu begehen, es sei denn, dass das nationale Recht die mit dieser Erhebung verfolgten speziellen und konkreten Zwecke angemessen und hinreichend genau definiert und die zuständige Behörde verpflichtet ist, in jedem Einzelfall zu prüfen, ob die Erhebung zur Erreichung dieser Zwecke unbedingt erforderlich ist, so dass sie nicht systematisch erfolgt.

2. Art. 10 in Verbindung mit Art. 4 Abs. 4 und Art. 54 der Richtlinie 2016/680 ist unter erücksichtigung von Art. 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die für die zuständige Behörde keine Verpflichtung vorsieht, in jedem Einzelfall angemessen zu begründen, dass es im Sinne von Art. 10 der Richtlinie „unbedingt erforderlich“ ist, die biometrischen Daten jeder Person zu erheben, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat, eine Straftat zu begehen.

3. Art. 10 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c und Art. 8 der Richtlinie 2016/680 ist unter Berücksichtigung von Art. 49 Abs. 3 der Charta der Grundrechte dahin auszulegen, dass
er einer nationalen Regelung, die es erlaubt, eine Person wegen einer eigenständigen Straftat zu verfolgen und zu verurteilen, mit der ihre Weigerung, die Erhebung ihrer biometrischen Daten zu gestatten, geahndet wird, obwohl sie wegen der Straftat, die der beabsichtigten Datenerhebung zugrunde lag, nicht verfolgt oder verurteilt wurde, nicht entgegensteht, sofern die Erhebung „unbedingt erforderlich“ im Sinne von Art. 10 der Richtlinie ist und die insoweit verhängte strafrechtliche Sanktion dem Verhältnismäßigkeitsgrundsatz genügt.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt
Schlussanträge vom 19.03.2026
C-530/24
Tipico

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass die Dienstleistungsfreiheit der Rückforderung von Wetteinsätzen bei Sportwetten (hier: Tipico) wegen der Nichtigkeit von Glücksspielverträgen ohne erforderliche Konzession grundsätzlich nicht entgegensteht, es sei denn, Behörden haben dem Anbieter verbindlich zugesichert, die Konzessionspflicht vorerst nicht durchzusetzen.

Die Pressemitteilung des EuGH:
Generalanwalt Emiliou: Ein Veranstalter von Sportwetten, der auf einem nationalen Markt Dienstleistungen anbietet, ohne die erforderliche Konzession zu besitzen, kann zur Rückerstattung der von den Spielern erhaltenen Einsätze verpflichtet werden

Etwas anderes sollte gelten, wenn es dem Veranstalter aufgrund von Mängeln des Konzessionserteilungsverfahrens nicht möglich war, die Konzession zu erhalten, und die nationalen Behörden ihm zugesichert haben, dass bis zur Einführung eines unionsrechtskonformen Verfahrens die Konzessionsauflage nicht durchgesetzt würde.

Ein deutscher Verbraucher erhob vor den deutschen Zivilgerichten Klage gegen den maltesische Sportwetten-Veranstalter Tipico auf Rückerstattung der Wetteinsätze, die er zwischen dem Jahr 2013 und dem 9. Oktober 2020 auf Tipicos deutscher Website durch Wetten verloren hatte.

Im maßgeblichen Zeitraum besaß Tipico eine maltesische, jedoch keine deutsche Konzession, wie nach deutschem Recht erforderlich. Nach deutschem Recht führt ein solches unerlaubtes Anbieten von Sportwetten zur Nichtigkeit der mit den Kunden geschlossenen Verträge und stellt eine unerlaubte Handlung dar, so dass die betroffenen Verbraucher Rückerstattung oder Schadensersatz verlangen können. Daher erscheinen die vom betreffenden Verbraucher gegen Tipico geltend gemachten Ansprüche nach deutschem Recht grundsätzlich begründet.

Tipico macht jedoch zu seiner Verteidigung geltend, dass er aufgrund bestimmter Mängel des Konzessionserteilungsverfahrens keine deutsche Konzession habe erhalten können.

Der Bundesgerichtshof möchte daher wissen, ob die befassten Zivilgerichte unter solchen Umständen nach dem Grundsatz des Vorrangs des Unionsrechts – konkret der Dienstleistungsfreiheit – verpflichtet sind, das nationale Konzessionssystem insgesamt unangewendet zu lassen und folglich die Ansprüche des Verbrauchers zurückzuweisen.

Nach Ansicht von Generalanwalt Nicholas Emiliou erfordert diese Frage eine differenzierte Antwort.

Wenn ein Mitgliedstaat für die Erbringung bestimmter Dienstleistungen in seinem Hoheitsgebiet eine Konzession verlangt und diese Auflage für sich genommen mit der durch das Unionsrecht garantierten Dienstleistungsfreiheit vereinbar ist, wie im Bereich des Glücksspiels4, sind die nationalen Behörden, einschließlich der Gerichte, berechtigt, diese Auflage gegenüber einem Veranstalter durchzusetzen, der Dienstleistungen ohne die erforderliche Konzession erbracht hat. Insbesondere dürfen diese Gerichte die Konsequenzen ziehen, die das anwendbare Zivilrecht insoweit vorsieht.

Dies gilt auch dann, wenn der betreffende Veranstalter geltend macht, dass er wegen Mängeln des Konzessionserteilungsverfahrens keine Konzession habe erhalten können. Insofern ist der Schutz des aus der Dienstleistungsfreiheit folgenden Rechts des Veranstalters ausreichend dadurch gewährleistet, dass ein mangelhaftes oder fehlendes Konzessionserteilungsverfahren gerichtlich angefochten werden kann.

Ausnahmsweise sollten diese zivilrechtlichen Konsequenzen bei einem Verstoß gegen die Konzessionsauflage nich angewandt werden, wenn dies unverhältnismäßig wäre. Dies ist der Fall, wenn von zuständiger und zuverlässiger Seite innerhalb der nationalen Behörden dem betreffenden Veranstalter präzise, nicht an Bedingungen geknüpfte und übereinstimmende Zusicherungen gegeben wurden, dass diese Konzessionsauflage nicht durchgesetzt würde und er den Verbrauchern seine Dienstleistungen daher ohne Konzession auf dem nationalen Markt anbieten könne.

Der Generalanwalt ist daher der Auffassung, dass die Dienstleistungsfreiheit die deutschen Behörden nicht daran hindert, für das Angebot von Dienstleistungen in Form von Sportwetten in Deutschland eine deutsche Konzession zu verlangen, und es auch nicht allgemein ausschließt, dass Veranstalter, die diese Leistungen ohne die erforderliche Konzession angeboten haben, zivilrechtlichen Folgen wie der Nichtigkeit der mit ihren Kunden geschlossenen Verträge unterliegen. Diese Folgen sind im Hinblick auf das angestrebte Ziel des Verbraucherschutzes grundsätzlich verhältnismäßig. Insbesondere trägt die Nichtigkeit der Glücksspielverträge – die eine Pflicht zur Rückzahlung der von Spielern erhaltenen Einsätze begründen kann – dazu bei, einer Umgehung des Konzessionssystems durch Veranstalter von Glücksspielen entgegenzuwirken.

Der Vorrang der Dienstleistungsfreiheit verlangt von den nationalen Behörden nicht, eine Konzessionsauflage, die an sich mit dieser Freiheit vereinbar ist, immer dann unangewendet zu lassen, wenn ein Veranstalter außerstande war, im Rahmen eines diskriminierungsfreien und transparenten Konzessionserteilungsverfahrens eine Konzession zu erhalten. Unter derartigen Umständen kann der Veranstalter nicht – sozusagen im Wege der „Selbsthilfe“ – ohne Konzession mit der Erbringung von Dienstleistungen auf dem Markt beginnen, da dies ernsthafte Gefahren für Verbraucher mit sich brächte. Grundsätzlich müssen die nationalen Behörden befugt bleiben, diese Auflage durchzusetzen und einen Verstoß mit den im nationalen Recht vorgesehenen straf-, verwaltungs- oder zivilrechtlichen Folgen zu ahnden.

Wenn jedoch Tipico von den deutschen Behörden präzise, nicht an Bedingungen geknüpfte und übereinstimmende Zusicherungen erhalten hat, dass die Konzessionsauflage ihm gegenüber nicht durchgesetzt würde, solange er bestimmte Grundvoraussetzungen erfülle, träfe ihn kein Verschulden an dem Verstoß gegen die streitige Konzessionsregelung. Unter diesen Umständen sollten die deutschen Gerichte auf die im deutschen Privatrecht zur Verfügung stehenden Mechanismen zurückgreifen, um Tipico von den betreffenden zivilrechtlichen Folgen freizustellen. Ist den Verbrauchern unter derartigen Umständen ein Schaden entstanden, wären allein die Behörden haftbar, die die Zusicherungen gemacht haben. Es ist Sache des nationalen Gerichts – in diesem Fall des Bundesgerichtshofs – diesen Punkt zu klären.

Die vollständigen Schlussanträge finden Sie hier:

BGH
Urteil vom 11.03.2026
I ZR 106/25
Ersatztank
JuSchG § 1 Abs. 4, § 10 Abs. 3, Abs. 4; TabakerzG § 1 Abs. 1 Nr. 1 Buchst. b; UWG § 3a, § 8 Abs. 1 Satz 1, Abs. 3 Nr. 1, § 9, § 10, § 13 Abs. 1, Abs. 2 Nr. 2, Abs. 3; ZPO § 130a Abs. 1, Abs. 3 Satz 1 und Abs. 4 Satz 1 Nr. 2, § 520 Abs. 2, Abs. 3

Wir hatten bereits in dem Beitrag BGH: Wettbewerbswidriger Verstoß gegen § 10 Abs. 3 und 4 JuSchG durch Verkauf von Ersatztanks für E-Zigaretten an Kinder und Jugendliche über die Entscheidung berichtet.

Leitsätze des BGH:
a) Die Anforderungen gemäß § 130a Abs. 3 Satz 1 Fall 2 ZPO, nach denen ein elektronisches Dokument (hier: die Berufungsbegründungsschrift) von der verantwortenden Person signiert und auf einem sicheren Übermittlungsweg eingereicht werden muss, sind auch dann erfüllt, wenn neben dem Rechtsanwalt, der durch eine einfache Signatur und eine Übersendung über sein besonderes elektronischen Anwaltspostfach (beA) die Verantwortung für den Inhalt der Berufungsbegründungsschrift übernommen hat, ein weiterer Rechtsanwalt den Schriftsatz einfach signiert hat.

b) Das Anbieten und die Abgabe eines noch nicht mit einer Flüssigkeit befüllten Ersatztanks für eine elektronische Zigarette im Wege des Versandhandels, ohne dass durch technische oder sonstige Vorkehrungen sichergestellt ist, dass kein Versand an Kinder und Jugendliche erfolgt, verstößt gegen § 10 Abs. 3 und 4 JuSchG und stellt eine unlautere geschäftliche Handlung gemäß §§ 3, 3a UWG dar.

c) Der Grad der erforderlichen Substantiierung der Darlegung der Anspruchsberechtigung des Abmahnenden gemäß § 13 Abs. 2 Nr. 2 UWG ist unter Berücksichtigung aller Umstände des Einzelfalls zu bestimmen. Dabei kann es eine Rolle spielen, ob und inwieweit dem Abgemahnten die Verhältnisse aufgrund der Marktgegebenheiten, etwa angesichts konkreter oder sonst geläufiger Wettbewerbsbeziehungen oder aufgrund der Stellung des Abmahnenden am Markt oder im Verbändewesen, bekannt sind oder als bekannt vorausgesetzt werden dürfen. Kann ein Erreichen der in § 8 Abs. 3 Nr. 1 UWG an das Bestehen der Anspruchsberechtigung gesetzten Anforderungen nach den jeweiligen Markt- oder Wettbewerbsverhältnissen als dem Abgemahnten offenkundig bekannt vorausgesetzt werden, können sich im Einzelfall nähere Darlegungen erübrigen.

BGH, Urteil vom 11. März 2026 - I ZR 106/25 - OLG Hamm LG Bochum

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 11.03.2026
I ZR 28/25
Google-Ads
UWG § 8 Abs. 2

Der BGH hat entschieden, dass ein Unternehmen nach den Grundsätzen der Beauftragtenhaftung gemäß § 8 Abs. 2 UWG für wettbewerbswidrige Werbeaktivitäten eines Dritten haftet, wenn er diesem die Bewerbung seines Angebots überträgt und durch die Bereitstellung von Produktinformationen seinen Geschäftsbetrieb erweitert.

Leitsatz des BGH:
Google-Ads Beauftragt der Betriebsinhaber einen Dritten ganz oder teilweise mit der grundsätzlich ihm obliegenden Aufgabe der Bewerbung seines Produktangebots und stellt dem Dritten die dafür erforderlichen Informationen zur Verfügung, erweitert er damit seinen Geschäftsbetrieb. Die für die Erfolgshaftung des Betriebsinhabers für Wettbewerbshandlungen Dritter kennzeichnende gewisse Beherrschung des Risikobereichs sowie der erforderliche bestimmende und durchsetzbare Einfluss ergeben sich daraus, dass der Dritte aufgrund der Beauftragung tätig wird und auf die ihm vom Betriebsinhaber zur Verfügung gestellten Informationen zu den zu bewerbenden Produkten zurückgreift.

BGH, Urteil vom 11. März 2026 - I ZR 28/25 - OLG Bamberg LG Coburg

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 11.03.2026
I ZR 96/25
Hafenmieze
TabakerzG § 15 Abs. 1 Nr. 1, Nr. 2 Buchst. b; TabStG § 1 Abs. 1 Satz 1, Abs. 2c, § 1b Satz 1, § 15 Abs. 1, § 17 Abs. 1; TabakerzV § 26, § 27 Abs. 1 Satz 1 und 2 Nr. 4; UWG § 3a, § 5a Abs. 1, § 5b Abs. 4; ZPO § 559 Abs. 1; Richtlinie 2014/40/EU Art. 2 Nr. 17

Der BGH hat entschieden, dass die allgemeine Pflicht zur Verwendung von Steuerzeichen für Tabakwaren keine Marktverhaltensregelung im Sinne von § 3a UWG darstellt, während die Preisvorschrift des § 26 Abs. 1 TabStG aufgrund ihrer wettbewerbsbezogenen Schutzfunktion als solche einzustufen ist.

Leitsätze des BGH:
a) Vorschriften zur Finanzierung von Leistungen der öffentlichen Hand, etwa durch Steuern und Abgaben, sind regelmäßig keine Marktverhaltensregelungen im Sinne von § 3a UWG und bezwecken grundsätzlich auch nicht den Schutz der Interessen der Marktteilnehmer. Dies gilt auch für die Pflicht zur Verwendung von Steuerzeichen für Tabakwaren gemäß § 15 Abs. 1, § 17 Abs. 1 TabStG, und zwar ungeachtet des Umstands, dass es sich bei der Tabaksteuer um eine sogenannte Lenkungssteuer handelt, mit der im Interesse des Gesundheitsschutzes das Konsumverhalten der Verbraucher beeinflusst werden soll.

b) Dagegen handelt es sich bei der Preisvorschrift des § 26 Abs. 1 TabStG, die das Verbot der Abgabe unter dem Kleinverkaufspreis regelt, um eine Marktverhaltensregelung, weil sie die gleichen rechtlichen Voraussetzungen für die auf dem fraglichen Markt tätigen Wettbewerber schafft und daher zumindest auch eine wettbewerbsbezogene Schutzfunktion hat.

c) Der Begriff des "Nachfüllbehälters" nach Art. 2 Nr. 17 der Richtlinie 2014/40/EU, der in Verbindung mit § 1 Abs. 1 Nr. 1 Buchst. a TabakerzG in der Fassung bis zum 21. Juli 2023 und § 1 Abs. 1 Nr. 1 Buchst. b TabakerzG in der seit dem 22. Juli 2023 geltenden Fassung auch für das deutsche Tabakerzeugnisgesetz gilt, setzt nicht voraus, dass der Behälter mit einem gebrauchsfertigen E-Liquid befüllt ist, das als Basisliquid oder als Fertigmischung zum Nachfüllen von elektronischen Zigaretten verwendet werden kann. Es reicht aus, wenn der Behälter mit einzelnen Mischkomponenten befüllt ist, die gegebenenfalls nach Vermengung mit weiteren Komponenten zur Verwendung in E-Zigaretten geeignet und bestimmt sind.

d) Maßgeblich für die Zweckbestimmung als Mischkomponente für E-Zigaretten ist die Anschauung des angesprochenen Verkehrs. Steht eine Komponente in Rede, die sowohl als Lebensmittel als auch als Mischkomponente für E-Zigaretten geeignet ist (dual-use-Komponente) und die zwar zum Zeitpunkt der Verletzungshandlung als Lebensmittel, zuvor aber als Mischkomponente für E-Zigaretten beworben worden ist, ist zu berücksichtigen, dass eine an sich nicht zu beanstandende geschäftliche Handlung auch dann ausnahmsweise Abwehransprüche nach § 8 Abs. 1 UWG auslösen kann, wenn der Verkehr mit ihr die Erinnerung an eine frühere unlautere Handlung verbindet und wegen dieser Fortwirkung zu einer Vorstellung vom Inhalt der späteren Handlung gelangt, die wettbewerbsrechtlich zu beanstanden ist, auch wenn die frühere Handlung nicht wiederholt wird (Fortführung von BGH, Urteil vom 5. Mai 2011 - I ZR 157/09, GRUR 2011, 1153 [juris Rn. 15] = WRP 2011, 1593 - Creation Lamis, mwN).

BGH, Urteil vom 11. März 2026 - I ZR 96/25 - OLG Hamm LG Bochum

Den Vollzext der Entscheidung finden Sie hier:

LG Krefeld
Urteil vom 06.11.2025
3 O 93/24

Das LG Krefeld hat entschieden, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei einem Hackerangriff – im vorliegenden Fall ein Zero-Day-Exploit – nicht besteht, wenn der Nachweis unzureichender Sicherheitsmaßnahmen des Unternehmens fehlt und ein konkreter Schaden nicht substantiiert dargelegt wurde.

Aus den Entscheidungsgründen:
Gemäß Art. 82 Abs. 4 DSGVO haften sowohl der Verantwortliche (hier die Beklagte zu 1) gemäß Art. 4 Nr. 7 DSGVO) als auch der Auftragsverarbeiter (hier die Beklagte zu 2) gemäß Art. 4 Nr. 8 DSGVO) gesamtschuldnerisch für einen verursachten Schaden. Soweit die Klägerin ein wirksames Auftragsverarbeitungsverhältnis zwischen den Beklagten mit Nichtwissen bestreitet (Bl. 162 d. A.), ist dieses Bestreiten gemäß § 138 Abs. 4 ZPO unbeachtlich, da er im Widerspruch zu ihrem vorherigen Vortrag (z.B. auf Bl. 8 f. d. A) steht. Denn die Klägerin trägt selbst vor, dass die Daten durch die Beklagte zu 2) als Dienstleister der Beklagten zu 1) verarbeitet worden sind.

Zudem kann das Gericht keinen schuldhaften Verstoß der Beklagten gegen die DSGVO annehmen. Insbesondere kann ein schuldhafter Verstoß gegen Art. 5 Abs. 1 lit. f), 24, 32 DSGVO nicht angenommen werden.

Nach Art. 5 Abs. 1 f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, wobei dies der Verantwortliche nach Art. 5 Abs. 2 DSGVO nachzuweisen hat. Nach Art. 24 Abs. 1 S. 1 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Nach Art. 24 Abs. 2 DSGVO müssen diese Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und zwar unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Die DSGVO verlangt ein Risikomanagementsystem einzuführen, aber nicht die Beseitigung des Risikos von Verletzungen des Schutzes personenbezogener Daten (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Aus dem Wortlaut der Art. 24 und 32 DSGVO ergibt sich, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf geeignet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 30, juris). Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Dabei steht dem Verantwortlichen ein gewisser Entscheidungsspielraum zu (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 43, juris).

Die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 f) und Art. 32 DSGVO gewährleisten, obliegt dem für die betreffende Verarbeitung Verantwortlichen (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 52, juris). Wenn eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 f), Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 71, juris). Hackerangriffe oder Datenlecks entlasten (nur), wenn der Verantwortliche die übliche Sorgfalt zum Schutz der Daten angewendet hat, wobei zu berücksichtigen ist, dass die DSGVO nicht erfordert, alle theoretisch möglichen Schutzvorkehrungen vorzusehen (Quaas, in: BeckOK DatenschutzR, 51. Edition Stand: 01.02.2025, Art. 82, Rn. 18).

Ein pflichtwidriger Verstoß der Beklagten gegen die DSGVO kann vor diesem Hintergrund nicht festgestellt werden. Die Beklagten haben die Einhaltung ihrer datenschutzrechtlichen Pflichten substantiiert und ausführlich dargelegt, dies vermag die Klägerin mit ihrem bloßen Bestreiten nicht zu entkräften. Die Klägerin unterliegt vielmehr irrig der Annahme, der erfolgreiche Angriff liefere ein belastbares Indiz für unzureichende technische und organisatorische Maßnahmen im Vorfeld. Ein derartiger Rückschluss ist jedoch verfehlt (vgl. dazu OLG Stuttgart, BeckRS 2021, 6282 Rn. 52). Soweit sie darauf abstellt, dass die Beklagten weitere technische Maßnahmen hätten ergreifen können, wovon sie einige aufzählt, ergibt sich hieraus keine Umsetzungspflicht, deren Nichteinhaltung einen datenschutzrechtlichen Verstoß begründen kann. Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern (vgl. EuGH ZD 2024, 150, 152 Rn. 30 f.). Dies ist nicht gleichbedeutend mit sämtlichen, den Stand der Technik erschöpfenden Maßnahmen. Unzureichend wären die von den Beklagten beschriebenen TOM nur dann, wenn sich zuvor konkrete Anhaltspunkte für die Fehleranfälligkeit der - zum Zeitpunkt des Vorfalls - marktführenden G.-Anwendung ergeben hätten. Die Klägerin behauptet insoweit pauschal und ohne nähere Darlegung. Sie verweist hierzu auf einen unergiebigen öffentlichen Beitrag sowie auf sog. CVE-Einträge einer Fehlerdatenbank. Daraus ergibt sich indes nicht, ob die Beklagten diese Umstände vor dem Cyberangriff konkret wahrgenommen haben oder hätten wahrnehmen müssen, da insbesondere die letztgenannte Quelle vielmehr dafür spricht, dass das Programm seitens des Herstellers regelmäßig überprüft und sicherheitstechnisch weiterentwickelt wurde und wird. Gegen die Annahme, dass die Beklagten entsprechende Bedenken hätten haben müssen, spricht der Umstand, dass weltweit ca. 2.500 Unternehmen und Institutionen dem - insoweit unvorhergesehenen - sog. „zero-day-exploit“ zum Opfer fielen. Die Beklagte zu 1) hatte keinen Anlass zur verstärkten Kontrolle der Beklagten zu 2), Zweifel an der Eignung der Beklagten zu 2) als Auftragsverarbeiterin wurden nicht vorgetragen.


Selbst wenn man einen Verstoß unterstellen würde, würde dies vorliegend nicht zu einem Schmerzensgeldanspruch führen. Den der Vortrag bzgl. der Sorgen, Ängste und des Gefühls eines Kontrollverlustes bleibt vollkommen unsubstantiiert. Auch fehlt hinreichender Vortrag zur Kausalität der behaupteten Datenschutzverstöße für die Schäden. Der Anspruch auf Schadensersatz gemäß Art. 82 Art. 1, 2 DSGVO resultiert nicht allein aus einem - mit dem Vorfall eines Datenmissbrauchs stets einhergehenden - Kontrollverlust. Erforderlich ist vielmehr ein konkreter, tatsächlicher und darüberhinausgehender Schaden. Die von der Klägerin vorgetragenen Sorgen und Ängste um ihre erhöhte Risikoanfälligkeit sind innere Vorgänge, die unter Heranziehung von Beweiszeichen objektiver Art näher darzulegen sind (vgl. LG Mainz GRUR-RS 2024, 42662 Rn. 28; OLG Hamm GRUR 2023, 1791). Alltägliche, negative Empfindungen allein begründen keinen ersatzfähigen (psychischen) Schaden. Der Vortrag der Klägerin, sie erhielte seit dem Vorfall vermehrt unerwünschte Anrufe, SMS sowie Spam-E-Mails, ist unschlüssig, da sie eine Betroffenheit dieser Datentypen bereits nicht hinreichend darlegt und derartige Kontaktversuche - wie allgemein bekannt - auch anlasslose, unregelmäßige Vorkommnisse des Alltags sein können. Es entspricht der allgemeinen Lebenswirklichkeit, dass man von derartigen Kontaktversuchen betroffen ist. Im Übrigen hat die Klägerin auch nicht vorgetragen, ihre E-Mail oder Telefonnummer in Reaktion hierauf ausgetauscht, oder ihr Verhalten im Internet anderweitig angepasst zu haben, was diese Vorfälle - als objektives Beweiszeichen - hätte plausibilisieren können.

In der Folge besteht auch kein Zinsanspruch.

Der Klageantrag zu 2) ist bereits unzulässig. Er ist weder hinreichend bestimmt noch besteht ein Feststellungsinteresse.

Ein Klageantrag ist i.S.v. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, VersR 2021, 795 Rn. 15). Dabei ist die Verwendung auslegungsbedürftiger Begriffe im Klageantrag zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteile vom 2. Juni 2022 - I ZR 140/15, BGHZ 234, 56 Rn. 26; vom 9. September 2021 - I ZR 113/20, GRUR 2021, 1425 Rn. 12 mwN). Bei einem - wie vorliegend - auf Vornahme einer Handlung gerichteten Antrag muss deren Art und Umfang bestimmt bezeichnet sein (Anders, in: Anders/Gehle, ZPO, 83. Aufl. 2025, § 253 Rn. 48).

Daran gemessen ist der Klageantrag zu 1) nicht hinreichend bestimmt. Die begehrte Feststellung bezieht sich auf die Verpflichtung, den „unbefugten Zugriff Dritter (…) zu verhindern“. Es ist jedoch auch unter Zugrundelegung des Vortrages der Klägerin nicht ersichtlich, in welchen Fällen konkret von einem unbefugten Zugriff durch Dritte auszugehen ist und welche Voraussetzungen eine „geeignete Datentransfer Software“ dementsprechend zu erfüllen hätte. Dies gilt insbesondere vor dem Hintergrund, dass die DSGVO ein risikobasiertes Maßnahmenkonzept vorschreibt und gerade nicht die Beseitigung jedweden Risikos von Verletzungen der personenbezogenen Daten verlangt (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Der Klageantrag lässt sich damit nicht in einer Weise auslegen, dass die Klägerin eine nach Art und Umfang hinreichend bestimmte Handlung begehrt, was den Streit in unzulässiger Weise in die Zwangsvollstreckung verlagern würde (vgl. zum Begriff „unbefugter Dritter“ auch BGH, Urteil v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910, Rn. 56, 58).

Überdies ist der Klageantrag zu 2) auch mangels Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO unzulässig. Ein Interesse an der Feststellung einer Ersatzpflicht für künftige Schäden rein materieller Art - wie sie die Klägerin vorliegend mit dem Antrag zu 2) geltend macht - hängt von der Wahrscheinlichkeit des ausstehenden Schadenseintritts ab (OLG Brandenburg BeckRS 2020, 42937 Rn. 3). Ist hingegen bei verständiger Würdigung des Einzelfalls nicht mit dem Eintritt eines künftigen Schadens zu rechnen, so ist bereits eine derartige Möglichkeit zu verneinen (OLG Hamm GRUR 2023, 1793, 1803 Rn. 192ff.). Die Klägerin hat vorliegend keine Umstände vorgetragen, die den Eintritt künftiger Schäden über eine bloß theoretische Befürchtung hinaus wahrscheinlich werden lassen. Die Sicherheitslücke konnte durch ein Herstellerupdate am 02.06.2023 behoben werden. Seit dem knapp 2 ½ Jahre zurückliegenden Vorfall vom 31.05.2023 hat die Klägerin keine materiellen Schäden erlitten. Dabei verringert sich eine solche Möglichkeit stetig mit fortschreitendem Zeitablauf (OLG Köln GruR-RS 2023, 36757 Rn. 54). Die pauschalen Ausführungen der Klägerin zu hypothetisch erhöhten Risiken - die sich teilweise auf Daten beziehen, die dem Angriff bereits nicht anheimfielen - ändern hieran nichts. Gegen die Annahme, dass die Klägerin selbst mit künftigen Vermögensschäden rechnet, spricht auch, dass die Klägerin nicht vorträgt, entsprechende Schutzvorkehrungen getroffen zu haben, etwa durch Änderung ihrer Rufnummer, E-Mail-Adresse oder Bankverbindung. Schließlich trägt die Klägerin selbst vor, zum jetzigen Zeitpunkt noch nicht absehen zu können, welche Folgen durch die entwendeten persönlichen Daten eintreten werden.

Den Volltext der Entscheidung finden Sie hier:

OLG Karlsruhe
Urteil vom 03.03.2026
14 UKl 2/24

Das OLG Karlsruhe hat entschieden, dass Instagram-Beiträge von Influencern über Testfahrzeuge auch dann als kommerzielle Kommunikation zu kennzeichnen sind, wenn keine direkte Bezahlung erfolgt, sofern die kostenlose Überlassung des Fahrzeugs und die Erstattung von Reisekosten eine Gegenleistung für die werbliche Berichterstattung darstellen.

Aus den Entscheidungsgründen:
I. Der Kläger hat gegenüber der Beklagten einen Unterlassungsanspruch aus § 2 Abs. 1 Satz 1, Abs. 2 Nr. 3 UKlaG i. V. m. § 6 Abs. 1 Nr. 1 DDG.

1. Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden, § 2 Abs. 1 Satz 1 UKlaG. Verbraucherschutzgesetze im Sinne des UKlaG sind gemäß § 2 Abs. 2 Nr. 3 UKlaG diejenigen Vorschriften des DDG, die das Verhältnis zwischen Anbietern von elektronischen Informations- und Kommunikationsdiensten und Verbrauchern regeln.

Eine Zuwiderhandlung gegen ein Verbraucherschutzgesetz setzt allein die rechtswidrige Verwirklichung des Tatbestandes der Vorschrift voraus. Ein schuldhaftes Handeln ist nicht erforderlich. Soweit ein Verbraucherschutzgesetz ein Gebot aufstellt wie etwa bei Informationspflichten, kann sein Tatbestand nur durch ein pflichtwidriges Unterlassen verwirklicht werden (BeckOK UWG/Günther, 30. Edition 01.07.2025, § 2 UKlaG Rn. 81).

Eine Person, die gegen verbraucherschützende Gesetze verstößt, kann nur „im Interesse des Verbraucherschutzes“ auf Unterlassung und Beseitigung in Anspruch genommen werden. Es handelt sich um eine materiellrechtliche Beschränkung des Anspruchs. Die unionsrechtliche Grundlage in Art. 2 Abs. 1 Satz 1 RL (EU) 2020/1828 - Verbandsklagen-RL zeigt, dass der Anspruch nur besteht, sofern Kollektivinteressen der Verbraucher beeinträchtigt sind oder zu sein drohen. Kollektivinteressen sind dann berührt, wenn die Zuwiderhandlung in seinem Gewicht und seiner Bedeutung über den Einzelfall hinausreicht und infolgedessen eine grundsätzliche Klärung geboten erscheint. Das ist etwa dann anzunehmen, wenn eine anspruchsberechtigte Stelle eine allgemeine, nicht nur den Einzelfall betreffende Verhaltensweise eines Zuwiderhandelnden beanstandet (BeckOK UWG/Günther, a.a.O., § UKlaG 2 Rn. 82 f.).

2. Gemessen an diesen Anforderungen ist die Beklagte zur Unterlassung verpflichtet.

a) Die Beklagte ist gemäß § 2 Abs. 1 Satz 1 UKlaG passivlegitimiert, da sie den Instagram-Kanal betreibt und die streitgegenständlichen Videobeiträge veröffentlicht hat.

b) Die Beklagte hat gegen § 6 Abs. 1 Nr. 1 DDG verstoßen, indem sie die angegriffenen Videobeiträge nicht als kommerzielle Kommunikation gekennzeichnet hat, was aufgrund des Inhalts der Beiträge notwendig gewesen wäre.

aa) Bei § 6 Abs. 1 Nr. 1 DDG handelt es sich um ein Verbraucherschutzgesetz im Sinne des § 2 Abs. 1 Satz 1, Abs. 2 Nr. 3 UKlaG. § 6 DDG führt für die kommerzielle Kommunikation eines Anbieters digitaler Dienste besondere Pflichten ein, welche dem Schutz des Verbrauchers vor gezielter Irreführung dienen (BeckOK UWG/Günther, a.a.O., § 2 UKlaG Rn. 23.1).

bb) Gemäß § 6 Abs. 1 Nr. 1 DDG haben Diensteanbieter bei kommerziellen Kommunikationen, die digitale Dienste oder Bestandteile von digitalen Diensten sind, mindestens zu beachten, dass kommerzielle Kommunikationen klar als solche zu erkennen sein müssen.

(1) Die Beklagte ist als Influencerin auf Instagram, die dort ein eigenständiges Profil unterhält, ein Diensteanbieter nach § 1 Abs. 4 Nr. 5 DDG (vgl. BGH, Urteil vom 13.01.2022 - I ZR 9/21, Rn. 61, juris).

(2) Bei den streitgegenständlichen Beiträgen handelt es sich um kommerzielle Kommunikation zugunsten Dritter.

/a/ Das DDG definiert den Begriff der kommerziellen Kommunikation nicht. Allerdings verweist Art. 3 lit. w Verordnung (EU) 2022/2065 vom 19.10.2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über Digitale Dienste) hinsichtlich der Definition auf Art. 2 lit. f. Richtlinie 2000/31/EG (E-Commerce-Richtlinie). Der Begriff „kommerzielle Kommunikation“ umfasst demnach alle Formen der Kommunikation, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren und Dienstleistungen oder des Erscheinungsbilds eines Unternehmens, einer Organisation oder einer natürlichen Person dienen, die eine Tätigkeit in Handel, Gewerbe oder Handwerk oder einen reglementierten Beruf ausübt; keine Form der kommerziellen Kommunikation stellen Angaben dar, die direkten Zugang zur Tätigkeit des Unternehmens bzw. der Organisation oder Person ermöglichen, wie insbesondere ein Domain-Name oder eine Adresse der elektronischen Post und Angaben in Bezug auf Waren und Dienstleistungen oder das Erscheinungsbild eines Unternehmens, einer Organisation oder Person, die unabhängig und insbesondere ohne finanzielle Gegenleistung gemacht werden (vgl. Spindler/Schuster/Kaesling/Micklitz/Schirmbacher, 5. Aufl. 2026, § 6 DDG Rn. 14).

Erhält ein Influencer für einen werblichen Beitrag eine Gegenleistung, stellt diese Veröffentlichung ohne Weiteres eine geschäftliche Handlung zugunsten des beworbenen Unternehmens dar (BGH, Urteil vom 09.09.2021 - I ZR 90/20, Rn. 50, juris). Kommerzielle Kommunikation liegt insbesondere auch vor, wenn der hierdurch begünstigte Unternehmer zwar keine Geldzahlung geleistet, jedoch das dargestellte Produkt der Influencerin zur Verfügung gestellt hat. Der Bezug zwischen Bericht und geldwertem Vorteil wird hier durch die naheliegende und daher regelhaft anzunehmende Erwartung des durch den Bericht begünstigten Unternehmens hergestellt, dass die Influencerin über das Produkt berichten werde. Ein solcher Bericht ist durch die Produktbereitstellung initiiert und daher nicht unabhängig. Eines synallagmatischen Zusammenhangs zwischen Beitrag und Gegenleistung bedarf es nicht. Der Schutzzweck der Regelung verlangt die Erfassung auch solcher Gewährungen geldwerter Vorteile, mit denen Beiträge gerade erst veranlasst werden sollen, ohne dass zuvor eine Vereinbarung getroffen wurde (vgl. BGH, Urteil vom 13.01.2022 - I ZR 35/21, Rn. 64 f., juris). Eine Geringfügigkeitsschwelle für die gewährte Gegenleistung gibt es nicht (BGH, Urteil vom 13.01.2022 - I ZR 9/21, Rn. 69, juris).

/b/ Nach diesen Grundsätzen handelt es sich bei den streitgegenständlichen Instagram-Beiträgen um kommerzielle Kommunikation zugunsten der jeweiligen Autohersteller.

Indem in den Beiträgen bestimmte Eigenschaften der Fahrzeuge herausgestellt werden, die besonders erwähnenswert sein sollen, handelt es sich um eine Kommunikation, die jedenfalls der Förderung des Erscheinungsbildes der Autohersteller dienen sollte. Es handelt sich daher um werbliche Beiträge. Angesichts der weiten Definition des Begriffes der kommerziellen Kommunikation kommt es nicht darauf an, dass die Beiträge nicht dazu gedient haben mögen, den Absatz der konkret präsentierten Fahrzeuge zu fördern. Die Präsentation der Fahrzeuge der Marken Audi, BMW und Volvo erfolgte zumindest zur Imagepflege der jeweiligen Automobilhersteller.

Da die Fahrzeuge der Beklagten kostenfrei im Rahmen von Presseterminen zur Verfügung gestellt worden sind und sie ihre Reisekosten (nebst Verpflegung) erstattet bekam, erhielt sie eine Gegenleistung für die von ihr veröffentlichten Beiträge. Es kommt in diesem Zusammenhang - wie dargelegt - nicht darauf an, dass die Beklagte frei gewesen sein mag, ob sie überhaupt Beiträge veröffentlicht und welchen Inhalt die Beiträge haben. Denn die Zurverfügungstellung der Fahrzeuge nebst Kostenerstattung erfolgte seitens der Autohersteller ersichtlich in der Erwartung, dass über die Fahrzeuge berichtet wird.

(3) Die kommerzielle Kommunikation war nicht klar als solche zu erkennen, § 6 Abs. 1 Nr. 1 DDG.

Randnummer50
/a/ Nach der Rechtsprechung des Bundesgerichtshofs ist eine Kennzeichnung des kommerziellen Zwecks dann nicht erforderlich, wenn das äußere Erscheinungsbild der geschäftlichen Handlung so gestaltet wird, dass die durchschnittlich informierten, situationsadäquat aufmerksamen und verständigen Verbraucher, die zur angesprochenen Gruppe gehören, den kommerziellen Zweck klar und eindeutig auf den ersten Blick - und nicht erst nach einem analysierenden Studium - erkennen können. Nicht ausreichend ist daher, wenn sich der werbliche Charakter eines Beitrags dem Verbraucher erst erschließt, wenn er ihn bereits zur Kenntnis genommen hat. Denn dann ist er der Anlockwirkung bereits erlegen, die das Kennzeichnungsgebot gerade unterbinden soll, und war er der Werbebotschaft unvorbereitet ausgesetzt. Die Kennzeichnung soll dem Verbraucher gerade die Möglichkeit verschaffen, sich auf den kommerziellen Charakter der Handlung einzustellen, damit er sie von vornherein kritisch beurteilen oder sich ihr ganz entziehen kann (BGH, Urteil vom 13.01.2022 - I ZR 9/21, Rn. 49, juris).

Unterhält ein Influencer einen verifizierten Account, hat er eine erhebliche Anzahl an Followern und wird der Account ersichtlich nicht unter dem bürgerlichen Namen betrieben, kann sich der kommerzielle Zweck des Kanals aus den Umständen ergeben (vgl. OLG Hamburg, Urteil vom 02.07.2020 - 15 U 142/19, Rn. 57, juris). Dies ist aber nicht zwingend. Der Annahme, der kommerzielle Zweck einzelner Beiträge, fremde Unternehmen zu fördern, ergebe sich aus den Umständen, kann etwa die häufig anzutreffende Vermischung nicht-werblicher und werblicher Beiträge entgegenstehen. Bei einer solchen Vermischung der Beiträge ergibt sich dieser kommerzielle Zweck nicht bereits aus einer etwaigen Verifizierung des Profils (also der Kennzeichnung als „echtes Profil“ des namentlich benannten Inhabers, die nur bei Personen mit einer bestimmten öffentlichen Bekanntheit bzw. ab einer gewissen Anzahl an Followern erfolgt), einer besonders hohen Anzahl der Follower oder aus einer generellen Bekanntheit des Influencers (OLG Frankfurt, Urteil vom 19.05.2022 - 6 U 56/21, Rn. 70, juris).

/b/ Gemessen an diesen Anforderungen waren die streitgegenständlichen Beiträge nicht so gestaltet, dass die durchschnittlich informierten, situationsadäquat aufmerksamen und verständigen Verbraucher, die zur angesprochenen Gruppe gehören, den kommerziellen Zweck klar und eindeutig auf den ersten Blick - und nicht erst nach einem analysierenden Studium der Videoclips - erkennen konnten.

/aa/ Zu der angesprochenen Gruppe zählen nicht lediglich die Follower der Beklagten, sondern auch diejenigen Nutzer von Instagram, die sich generell für Automobile interessieren. Denn die Verbreitung der Beiträge auf Instagram erfolgt jedenfalls auch über Algorithmen, die Videos mit einem entsprechenden Inhalt Usern empfehlen, die sich hierfür potentiell interessieren könnten, hier also etwa Autoliebhabern. Dies geschieht in der Weise, dass die „Reels“ potentiell interessierten Nutzern in den sogenannten „Instagram-Feed“ eingespielt werden, der neben gefolgten Konten auch empfohlene Beiträge umfasst. Deutlich wird dies hier dadurch, dass einzelne Beiträge der Beklagten wesentlich mehr Aufrufe haben als die Beklagte Follower hat. Daher ist es nicht maßgeblich, dass die Beklagte den Account unter dem themenbezogenen Kunstnamen „j…“ betreibt, sie bei Instagram verifiziert ist, mittlerweile über eine Million Follower hat und auf ihrem Profil 651 Beiträge veröffentlicht sind, die (teilweise) Aufrufe von weit über einer Million Nutzern haben. Diese Informationen sind denjenigen Nutzern, die der Beklagten nicht folgen und denen die „Reels“ lediglich von Instagram empfohlen werden, nicht ohne Weiteres bekannt, sodass sich der kommerzielle Zweck der Beiträge, fremde Unternehmen zu fördern, nicht bereits aus diesen Umständen ergibt.

/bb/ Der kommerzielle Zweck der Beiträge ergibt sich auch nicht ohne Weiteres aus der Gestaltung der Videobeiträge. Diese sind vielmehr auf den ersten Blick inhaltlich neutral in Gestalt einer Bedienungsanleitung bzw. schlichten Präsentation gestaltet.

Hierzu im Einzelnen:

/1/ In dem Beitrag „How to … make your new Audi RS3 much louder before starting the engine“ (Anlage K 3), zeigt die Beklagte, wie vor dem Starten des Motors die Fahrzeugeinstellungen geändert werden können, um den Motor des Fahrzeugs lauter zu machen. In dem „Reel“ wird Text eingeblendet, in welchem die ausgeführten Maßnahmen zusammengefasst werden. Der dargestellte Audi RS 3 steht auf einem Parkplatz. Der Beitrag wirkt damit auf den ersten Blick wie eine Bedienungsanleitung, in der schlicht gezeigt wird, wie die Lautstärke des Fahrzeugs gesteigert werden kann. Dass das Fahrzeug nicht über ein amtliches Kennzeichen verfügt, sondern ein Schild angebracht ist, auf dem „RS 3“ zu lesen ist, wird erst ganz am Ende des „Reels“ ersichtlich.

/2/ In dem Beitrag „Rate this Audi Grandsphere concept car!“ sitzt die Beklagte in dem Fahrzeug und zeigt, wie sich das futuristische Lenkrad einklappt, nachdem sie einen Knopf darauf betätigt hat (Anlage K 4). Das „Reel“ hat keinen eingeblendeten Titel, das Fahrzeug ist von außen nicht zu sehen. Das Firmenloge der Audi AG wird erst am Ende des „Reels“ gezeigt. Das Video wirkt daher am Anfang wie eine bloße Präsentation eines besonderen Lenkrades ohne Bezug auf einen bestimmten Hersteller, der erst am Ende erkennbar wird.

/3/ In dem Beitrag „This is one of the craziest cars Audi ever built! How do you like the Audi RS 6 Avant GT?!“ öffnet die Beklagte zunächst die Motorhaube des Autos, das sich augenscheinlich vor einer Halle befindet. Im Anschluss präsentiert sie Außenansichten sowie den Innenraum und die Rücklichter des Fahrzeugs (Anlage K 5). Das „Reel“ hat keinen eingeblendeten Titel, dieser taucht vielmehr (nur) im Kommentarbereich auf. Das Fahrzeug verfügt zwar nicht über ein amtliches Kennzeichen - angebracht ist ein Schild mit der Aufschrift „RS 6 Avant GT“ - allerdings ist dies nicht ohne Weiteres erkennbar, da es schlecht sichtbar ist. Das „Reel“ stellt sich daher insgesamt als bloße Präsentation des Fahrzeuges dar.

/4/ In dem Beitrag „I mean … How cool is this Volvo EX90 light?! Have you ever seen a car winking?! Me neither!“ steht die Beklagte vor dem Fahrzeug und zeigt, wie die Vorder- und Rückleuchten des Autos aussehen bzw. wie sie sich bewegen (Anlage K 6). Der Titel wird eingeblendet. Der Pkw steht in diesem „Reel“ auf einem Parkplatz. Er verfügt weder an der Vorder- noch an der Rückseite über amtliche Kennzeichen, wobei dies bei flüchtiger Betrachtung nicht ins Auge springt, da der Bereich, an dem sich üblicherweise das Nummernschild befindet, insbesondere am Anfang des „Reels“ verdeckt wird. Auch dieser Beitrag wirkt auf den ersten Blick wie eine schlichte Präsentation der besonderen Leuchten bzw. Fahrtrichtungsanzeiger des Fahrzeugs.

/5/ In dem Beitrag „Is the Volvo EX90 one of the most flexible electric cars ever?! How do you like the trunk ot the new SUV?!“ posiert die Beklagte in einiger Entfernung zu dem Fahrzeug und sieht sich dieses an. Der Titel wird erst im Verlauf des „Reels“ eingeblendet. Im Anschluss zeigt die Beklagte, wie sich die Sitze des beworbenen Autos elektronisch einklappen können. Das Fahrzeug hat - soweit ersichtlich - ein reguläres (amerikanisches) Nummernschild. Auf den ersten Blick wirkt das Video wie eine Präsentation der elektronisch einklappbaren Sitze bzw. wie eine schlichte Gebrauchsanleitung.

/6/ In dem Beitrag „What are your thoughts about the trunk of the new BMW M5 Touring ?!“ zeigt die Beklagte die Funktionen des Kofferraums des beworbenen Autos, nämlich wie dieser verstellt werden kann. Das Fahrzeug befindet sich augenscheinlich in einer Halle, wobei nicht klar zu erkennen ist, dass es sich um ein Studio oder einen Showroom handelt. Das Fahrzeug hat ein reguläres deutsches Kennzeichen. Dieses „Reel“ wirkt wie eine Bedienungsanleitung hinsichtlich der Verstellmöglichkeiten des Kofferraums.

/7/ In dem Beitrag „World premiere of the NEW BMW M5 Touring. How do you like it?!“ werden die Scheinwerfer des Fahrzeugs präsentiert, das sich wiederum augenscheinlich in einer nicht näher bestimmbaren Halle befindet. Das „Reel“ hat keinen eingeblendeten Titel. Die Beklagte deutet zunächst auf die Scheinwerfer, die im Anschluss in Nahaufnahmen gezeigt werden. Es folgen Blicke in den Innenraum, man erkennt den Fahrersitz und das Cockpit. Am Ende wird die Front des Fahrzeugs präsentiert, wobei nun erkennbar wird, dass das Auto ein reguläres deutsches Nummernschild hat. Das „Reel“ erscheint daher wie eine Präsentation des neuen BMW M5 Touring.

/8/ Der Beitrag „What are your thoughts on the new BMW X3?! How do you like it?!“ weist keinen Titel auf. Die Beklagte befindet sich zunächst vor dem Fahrzeug, das sich in einer nicht näher identifizierbaren Halle befindet und ein reguläres deutsches Kennzeichen hat. Gezeigt wird zunächst die Fahrzeugfront, sodann das Cockpit bzw. einige Details darin. Auf den ersten Blick wirkt das „Reel“ ebenfalls wie eine kurze Bedienungsanleitung in Hinblick auf verschiedene Details im Cockpit.

cc) Die Beklagte hat nach all dem gegen ein Verbraucherschutzgesetz im Sinne des § 2 Abs. 1 UKlaG verstoßen, indem sie die kommerzielle Kommunikation zugunsten fremder Unternehmen pflichtwidrig nicht gekennzeichnet hat. Auf ein Verschulden kommt es wie dargelegt nicht an.

c) Die Meinungsäußerungsfreiheit der Beklagten gemäß Art. 5 Abs. 1 GG wird vorliegend nicht verletzt. Die Grundrechte des Art. 5 Abs. 1 GG finden gemäß Art. 5 Abs. 2 GG ihre Schranke in den allgemeinen Gesetzen, wozu auch § 6 Abs. 1 DDG gehört. Zwar ist § 6 Abs. 1 DDG im Lichte der Bedeutung des Art. 5 Abs. 1 GG auszulegen, sodass eine Gesamtabwägung durchzuführen ist. Ist der Schutz der Verbraucher betroffen und zugleich - wie hier - festzustellen, dass die Pflicht zur Kennzeichnung nicht den Inhalt der Meinungsäußerung reguliert, sondern nur die Art ihrer Präsentation betrifft, erweist sich der im Verbot liegende Grundrechtseingriff als verhältnismäßig und daher gerechtfertigt (vgl. BGH, Urteil vom 09.09.2021 - I ZR 90/20, Rn. 125, juris).

d) Der Kläger ist zur Geltendmachung des Anspruchs berechtigt, denn vorliegend geht es um ein Verhalten der Beklagten, durch das Kollektivinteressen der Verbraucher beeinträchtigt sind. Indem die Beklagte als Influencerin in den streitgegenständlichen Fällen entgegen § 6 Abs. 1 Nr. 1 DDG kommerzielle Kommunikation zugunsten Dritter nicht eindeutig gekennzeichnet hat, liegt eine gewichtige Zuwiderhandlung vor, die über den Einzellfall hinausgeht. Denn die Beklagte hat ausweislich der zahlreichen Aufrufe ihrer „Reels“ eine verhältnismäßig große Reichweite auf Instagram.

e) Die für den Unterlassungsanspruch nach § 2 Abs. 1 Satz 1 UKlaG notwendige Wiederholungsgefahr ist gegeben.

aa) In § 2 Abs. 1 Satz 1 UKlaG ist ausdrücklich nur der sogenannte Verletzungsunterlassungsanspruch geregelt, der über die Zuwiderhandlung hinaus eine Wiederholungsgefahr erfordert (allgemeine Meinung: Köhler/Bornkamm/Feddersen/Köhler/Alexander, UWG, 44. Aufl. 2026, § 2 UKlaG Rn. 80).

Nach der ständigen Rechtsprechung des Bundesgerichtshofs begründet die erstmalige Verletzung einer verbraucherschützenden Norm eine tatsächliche Vermutung der Wiederholungsgefahr, die nur durch ein rechtskräftiges, mit einer Ordnungsmittelandrohung verbundenes Unterlassungsurteil oder eine ernst gemeinte, den Anspruchsgegenstand uneingeschränkt abdeckende, eindeutige und unwiderrufliche Unterlassungserklärung unter Übernahme einer angemessenen Vertragsstrafe für den Fall zukünftiger Zuwiderhandlung entfallen kann (st. Rspr., vgl. nur BGH, Urteil vom 10.01.2024 - I ZR 95/22, Rn. 38, juris), wobei das beanstandete Verhalten sowohl zum Zeitpunkt seiner Vornahme als auch zum Zeitpunkt der Entscheidung rechtswidrig sein muss (st. Rspr., vgl. nur BGH, EuGH-Vorlage vom 21.09.2017 - I ZR 74/16, Rn. 10, juris).

bb) Unter Zugrundelegung dieser Maßstäbe liegt eine Wiederholungsgefahr vor, da - wie dargelegt - eine Verletzung einer verbraucherschützenden Norm in Gestalt eines Verstoßes gegen § 6 Abs. 1 Nr. 1 DDG vorliegt, die sowohl zum Zeitpunkt der Begehung als auch zum Zeitpunkt des Schlusses der mündlichen Verhandlung rechtswidrig war. In Hinblick darauf, dass sich die Beklagte geweigert hat, die geforderte strafbewehrte Unterlassungserklärung abzugeben, ist die Wiederholungsgefahr nicht beseitigt.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf
Urteil vom 05.03.2026
29 L 4014/25

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß vorliegt, wenn ein Reiseveranstalter Videos von Badegästen ohne deren Einwilligung zu Werbezwecken bei Facebook veröffentlicht. Insbesondere kann sich der Reiseveranstalter nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen.

Aus den Entscheidungsgründen:
Auch in materieller Hinsicht begegnet der angegriffene Bescheid hinsichtlich Ziffer I. keinen rechtlichen Bedenken. Beurteilungszeitpunkt für die Rechtmäßigkeit der angefochtenen Anordnung ist die Sach- und Rechtslage, die zum Zeitpunkt der letzten Behördenentscheidung am 29. Oktober 2025 galt.

Vgl. BVerwG, Urteil vom 29. Januar 2025 - 6 C 3.23 -, juris Rn. 21.

Dies folgt daraus, dass für die Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht ein Ermessensspielraum für das daran angeknüpfte Vorgehen besteht.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung bezieht sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergibt. Die Verwaltungsgerichte prüfen diese Auswahlentscheidungen nach Maßgabe des § 114 Satz 1 VwGO. Insbesondere sind sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließt es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen einbeziehen konnte, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorlagen.

Vgl. BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11.

Nach dem Regelungsgehalt des Art. 58 Abs. 2 lit. d DSGVO ist kein anderer Beurteilungszeitpunkt geboten.

Vgl. VG Bremen, Urteil vom 23. April 2025 - 4 K 2873/23 -, juris Rn. 37 unter Bezugnahme auf BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11 sowie Rn. 38 f. (dort noch zu § 38 Abs. 5 Satz 1 des Bundesdatenschutzgesetzes a.F.).

Durchgreifende Bedenken gegen die Bestimmtheit im Sinne von § 37 Abs. 1 VwVfG NRW der in Ziffer I. des Bescheides enthaltenen Anordnung bestehen nicht.

Danach verlangt eine inhaltliche Bestimmtheit, dass der Inhalt der von der Behörde getroffenen Regelung für die Beteiligten, insbesondere für den oder die Adressaten des Verwaltungsakts, so vollständig, klar und unzweideutig erkennbar ist, dass sie ihr Verhalten danach richten können.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 25; Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 16 unter Verweis auf VG Ansbach, Urteil vom 12. August 2014 - AN 4 K 13.01634 -, SVR 2015, 235, 239.

Die Erkennbarkeit des Inhalts der Regelung ist aufgrund einer Auslegung des Verwaltungsakts entsprechend §§ 133, 157 des Bürgerlichen Gesetzbuchs ausgehend vom Wortlaut unter Berücksichtigung der weiteren Umstände des Einzelfalls und nach Treu und Glauben zu ermitteln. Dabei ist nicht erforderlich, dass sich der Inhalt des Verwaltungsakts allein aus dem verfügenden Teil präzise ergibt; vielmehr sind die den Beteiligten bekannten oder ohne Weiteres erkennbaren Umstände sowie vor allem die dem Verwaltungsakt beigefügte Begründung zur Auslegung des Regelungsinhalts heranzuziehen.

Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Zulässig sind auch Bezugnahmen im Verwaltungsakt auf gegenüber den Beteiligten früher ergangene Verwaltungsakte, ihnen bekannte und ihnen vorliegende oder jederzeit zugänglich Unterlagen, Pläne, technische Regelwerke usw.
Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Diesen Anforderungen genügt der angegriffene Bescheid. Dies gilt zunächst hinsichtlich des Einwandes, der Antragstellerin werde durch die Anordnung, sämtliche auf der Facebook-Plattform „E.“ veröffentlichten Filmaufnahmen so zu verändern, „[…] dass eine Identifizierung von Personen […] nicht möglich ist, […]“, unzulässigerweise die Auswahl aufgegeben. Die Antragsgegnerin hat mit Verwendung des Einschubes „[…] unter Berücksichtigung aller Mittel, die von Ihnen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, […]“ das Ziel der geforderten Handlung hinreichend bestimmt angegeben. Mit dieser Konkretisierung kann die Antragstellerin ohne Weiteres beurteilen, in welchen Fällen sie eine Veränderung eines Videos vorzunehmen hat. Die getroffene Regelung berücksichtigt, dass die Frage, wann eine Person identifizierbar ist, stets aus verschiedenen Wahrnehmungsperspektiven erfolgen kann. Damit übereinstimmend stellt Erwägungsgrund 26 Satz 3 zur DSGVO darauf ab, dass zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Nach Erwägungsgrund 26 Satz 4 zur DSGVO sollten bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Soweit die Antragstellerin vorträgt, damit werde ihr in unzulässiger Weise eine Auswahlentscheidung übertragen, betrifft dies nicht die Frage der Bestimmtheit, sondern der Verhältnismäßigkeit (dazu sogleich).

Für die Antragstellerin ist auch ohne weiteres erkennbar, dass sie Adressatin des Bescheides und insbesondere der in Ziffer I. enthaltenen Anweisung ist. Der angegriffene Bescheid ist ausweislich des Adressfeldes an die „L. GmbH, z. Hd. des Geschäftsführers, H.-straße 0, N01 P.“ gerichtet. Daraus ergibt sich als Inhaltsadressatin die Antragstellerin als juristische Person des Privatrechts. Damit übereinstimmend heißt es in der Einleitung des Schreibens „Sehr geehrter Herr Z., gegenüber der L. GmbH […] ergeht folgende Anweisung […]“. Die Formulierung „von Ihnen oder einer anderen Person“ bezieht sich allein auf die Mittel, die von dem Verantwortlichen oder einer anderen Person wahrscheinlich zur Identifizierung genutzt werden und nimmt damit auf Erwägungsgrund 26 Satz 3 zur DSGVO Bezug. Die Antragsgegnerin hat in diesem Zusammenhang dargelegt, dass im vorliegenden Fall einer weltweiten Veröffentlichung hinsichtlich der Möglichkeiten zur Identifizierung etwaiges Zusatzwissen dritter Personen zu berücksichtigen sei. Es ist auch nicht Aufgabe der Antragsgegnerin, die Mittel zur Identifizierung abschließend zu eruieren und sodann gegenüber der Antragstellerin zu benennen. Vielmehr ist die Antragstellerin als Verantwortliche nach Art. 5 Abs. 2 DSGVO für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss dies auch nachweisen können. Hat die Antragstellerin über die Veröffentlichung der Videos einem weltweit bestehenden und damit potentiell unbegrenzten Personenkreis die Möglichkeit der Identifizierung von betroffenen Personen eröffnet, ist es auch ihre Aufgabe festzustellen, ob eine natürliche Person identifizierbar ist.

Schließlich steht der Bestimmtheit der Anordnung in Ziffer I. nicht entgegen, dass sich die Regelung auf sämtliche veröffentlichte Videos auf der Facebook-Internetseite der Antragstellerin bezieht, wobei das streitgegenständliche Video nicht mehr vorhanden ist und auch alle weiteren Live-Videos infolge einer geänderten Facebook-Policy nach 30 Tagen gelöscht bzw. heruntergeladen werden. Denn die Formulierung „sämtliche“ in Ziffer I. bezieht sich auf eine genau bestimmbare Gruppe von Videos, nämlich die bis zum Zeitpunkt des Bescheiderlasses veröffentlichten Aufnahmen und nicht etwa die noch zu veröffentlichenden bzw. von der Antragstellerin beabsichtigten Videos. Letztere wären von der Antragsgegnerin ggf. in einer gesonderten Anweisung zu erfassen. Auch die in Ziffer I. des Bescheides enthaltene Frist ändert nichts an der Bestimmtheit der Regelung, da es sich hierbei lediglich um die Umsetzungsfrist für die von der Antragsgegnerin angeordnete Maßnahme handelt.

Auch im Übrigen begegnet Ziffer I. des angegriffenen Bescheids keinen materiellen Bedenken. Die Anordnung lässt sich auf Art. 58 Abs. 2 lit. d DSGVO stützen, wonach jede Aufsichtsbehörde - und damit auch die Antragsgegnerin - den Verantwortlichen oder den Auftragsverarbeiter anweisen kann, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen. Voraussetzung für die Ausübung von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO ist, dass ein Datenschutzverstoß vorliegt oder unmittelbar bevorsteht.

Vgl. Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 2; Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Dies ist hier der Fall. Dadurch, dass die Antragstellerin auf ihrer Facebook-Internetseite „E.“ Filmaufnahmen wie das Video „N.“ veröffentlicht hat, hat sie gegen Art. 5 Abs. 1 lit. a DSGVO verstoßen. Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Diesen Anforderungen wird die Tätigkeit der Antragstellerin auf ihrer Facebook-Seite nicht gerecht.

Die Antragstellerin kann sich nicht auf eine Datenverarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO berufen. Eine Einwilligung der betroffenen Personen im Sinne von Art. 6 Abs. 1 lit. a DSGVO liegt nicht vor. Die Antragstellerin kann sich auch nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Diese Voraussetzungen sind nicht erfüllt. Ob eine Verarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 lit. f DSGVO vorliegt, erfolgt anhand einer dreistufigen Prüfung.

Vgl. Datenschutzkonferenz, Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021, Stand: 20. Dezember 2021, S. 31; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146, m.w.N.

Auf der ersten Stufe ist zu klären, ob zum Zeitpunkt der Verarbeitung überhaupt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Auf einer zweiten Stufe geht es sodann um die Frage der Erforderlichkeit der Datenverarbeitung zur Verwirklichung dieses berechtigten Interesses und auf einer dritten Stufe dürfen die Grundrechte und Grundfreiheiten der von der Datenverarbeitung betroffenen Person nicht das wahrgenommene berechtigte Interesse überwiegen.

Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146.

Die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO verlangt eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten und muss auf den konkreten Einzelfall bezogen sein.

Als Vermittlerin von Kreuzfahrten verschiedener Reedereien und damit verbundener Reiseleistungen kann sich die Antragstellerin auf ein wirtschaftliches Interesse berufen.

Vgl. auch Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147.

Die Veröffentlichung eines Videos, auf dem viele der anwesenden Personen ohne weiteres erkennbar sind, ist zur Wahrung der wirtschaftlichen Interessen der Antragstellerin aber nicht erforderlich. Voraussetzung einer Erforderlichkeit ist, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 40; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

h der Rechtsprechung des EuGH muss eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO innerhalb der Grenzen dessen erfolgen, was zur Verwirklichung der berechtigten Interessen „unbedingt notwendig“ ist.

Vgl. EuGH, Urteile vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1141 Rn. 126 und vom 11. Dezember 2019 - C-708/17 -, ZD 2020, 148, 149 Rn. 46.

Entsprechend kann die Erforderlichkeit nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 41; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

Danach hat die Antragstellerin nicht dargelegt, warum in den von ihr veröffentlichten Filmaufnahmen unbeteiligte Personen zur Verfolgung des genannten Werbezwecks identifizierbar bleiben müssen. Sie schildern weder ihre Reiseeindrücke noch tragen sie in sonstiger Weise zum Inhalt des Videos bei.

Darüber hinaus ergibt eine Abwägung der betroffenen Interessen auf der dritten Stufe, dass die von der Antragstellerin verfolgten Zwecke hinter die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten gewährleisten, zurücktreten. Dabei ist zu berücksichtigen, dass im Rahmen der abschließenden Interessenabwägung grundsätzlich von einer Schutzwürdigkeit der Betroffeneninteressen auszugehen ist. Sinn und Zweck des Rechts auf informationelle Selbstbestimmung ist es gerade, den Einzelnen vor den Registrierungs- und Verfügungsmöglichkeiten automatisierter Datenverarbeitung zu schützen.

Vgl. bereits BGH, Urteil vom 17. Dezember 1985 - VI ZR 244/84 -, NJW 1986, 2505, 2506; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 148.

Dabei folgt aus der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass der Verantwortliche - hier die Antragstellerin - die Darlegungslast dafür trägt, dass die Interessen der betroffenen Person nicht überwiegen.

Vgl. EuGH, Urteil vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1139 Rn. 95; Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, Art. 6 Abs. 1 DSGVO Rn. 106.

Vorliegend überwiegen die Betroffeneninteressen. Die aufgezeichneten Personen befinden sich im Urlaub und damit in ihrer Freizeit. Dieser Umstand ist besonders schutzbedürftig, da Menschen nicht davon ausgehen müssen, dass sie ohne ihre Kenntnis und Einwilligung zu Werbezwecken aufgenommen werden. Insoweit folgt aus Erwägungsgrund 47 Satz 4 zur DSGVO, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen können.
Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 152.

Ebenso überwiegen die Interessen der betroffenen Person auch dann, wenn zwischen dieser und dem Verantwortlichen keine vertraglichen oder geschäftlichen Verbindungen bestehen, die die konkrete Datenverarbeitung vernünftigerweise absehbar machen.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 595 Rn. 22.

Besonderes Gewicht kommt hier dem Umstand zu, dass ein auf Facebook veröffentlichtes Video weltweit potentiell Millionen Inhabern eines Accounts zugänglich ist. Auch die von der Antragstellerin dargelegte Lösch-Policy von Facebook ändert daran nichts, da auf Facebook veröffentlichte Filmaufnahmen jedenfalls für eine gewisse Zeit einsehbar sind und in dieser Zeit auch Inhalte extrahiert bzw. heruntergeladen werden können. Dass die Aufnahmen auch von solchen Örtlichkeiten stammen, an denen sich sogenannte Influencer aufhalten und Filmaufnahmen produzieren, führt ebenfalls zu keinem anderen Ergebnis. Allein mit dem Besuch einer solchen Örtlichkeit liegt noch kein Einverständnis in die Datenverarbeitung der jeweils aufgezeichneten Person vor. Auch begeben sich Personen nicht des durch die DSGVO gewährleisteten Schutzes, sobald sie solche Örtlichkeiten aufsuchen. Hinzu kommt, dass diese Personen in keiner geschäftlichen oder sonstigen Beziehung zur Antragstellerin stehen.

Ohne Bedeutung ist auch, dass sich die Antragstellerin auf § 23 Abs. 1 Nr. 2 KUG bzw. eine Wertung im Sinne dieser Vorschrift beruft, wonach ohne die nach § 22 KUG erforderliche Einwilligung Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, verbreitet und zur Schau gestellt werden dürfen. Denn das Kunsturhebergesetz findet in der vorliegenden Konstellation bereits keine Anwendung.

Nach Art. 85 Abs. 2 DSGVO sehen die Mitgliedstaaten für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen oder Ausnahmen unter anderem von Kapitel II (Grundsätze) vor, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DSGVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DSGVO durch nationale Regelungen wie etwa das Kunsturhebergesetz ausgenommen worden.

Vgl. BGH, Urteil vom 27. Mai 2025 - VI ZR 337/22 -, juris Rn. 12, m.w.N.

Eine Zweckbestimmung im vorgenannten Sinne ist nach der Rechtsprechung des EuGH nicht allein deshalb ausgeschlossen, weil damit zugleich auch eine Gewinnerzielungsabsicht verfolgt wird.

Vgl. EuGH, Urteil vom 16. Dezember 2008 - C-73/07 -, EuZW 2009, 108, 110 Rn. 59; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 15.

Allerdings liegen journalistische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO nur dann vor, wenn die Verarbeitung im Zusammenhang mit der journalistisch-redaktionellen und damit meinungsrelevanten Tätigkeit eines Medienredakteurs steht.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39; Lauber-Rönsberg, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 85 DSGVO Rn. 20; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 17a.

Demgegenüber enthält Art. 85 Abs. 2 DSGVO kein allgemeines Meinungsprivileg und findet somit nicht auf alle Meinungsäußerungen im Internet Anwendung. Auch ist Journalismus nicht stets allein schon deshalb anzunehmen, weil sich jemand mit Informationen an die Öffentlichkeit wendet.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39.

Danach handelt es sich bei den von der Antragstellerin auf ihrer Facebook-Internetseite veröffentlichten Filmaufnahmen nicht um Journalismus im Sinne von Art. 85 Abs. 2 DSGVO. Das zwischenzeitlich von ihr entfernte Video „N.“ diente ausschließlich Werbezwecken. Die Antragstellerin vermittelt nach eigenen Angaben Kreuzfahrten verschiedener Reedereien und damit verbundene Reiseleistungen. Auf ihrer Facebook-Internetseite „E.“ heißt es in der Rubrik „Beiträge“ unter der Überschrift „Intro“ etwa: „[…] Entdecke die ganze Welt des Reisens mit E.. Wir sind 365 Tage im Jahr persönlich für dich da […]“.

Vgl. https://www.facebook..[..........]_DE (zuletzt aufgerufen am 5. März 2026).

Unter der Rubrik „Info“ und „Seitentransparenz“ lässt sich über die Schaltfläche „Zur Werbebibliothek“ eine Aufstellung diverser aktiver Werbeanzeigen der Antragstellerin abrufen.

Vgl. https://www.facebook....[.........] (zuletzt aufgerufen am 2. März 2026).

Dass die Antragsgegnerin von ihrer Abhilfebefugnis nach Art. 58 Abs. 2 lit. d DSGVO Gebrauch gemacht hat, begegnet keinen rechtlichen Bedenken. Die Entscheidung für die geeignete Maßnahme im Sinne von Art. 58 Abs. 2 DSGVO liegt im pflichtgemäßen Ermessen der Behörde, wobei die Sachlage im Einzelfall zu berücksichtigen ist.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die in Ziffer I. des Bescheides enthaltene Anordnung ist ermessensgerecht und verhältnismäßig. Ermessensfehler der Antragsgegnerin liegen nicht vor. Anhaltspunkte dafür, dass sich die Antragsgegnerin durch die Petentin des Beschwerdeverfahrens hat instrumentalisieren lassen, sind nicht ansatzweise ersichtlich. Es gehört im Gegenteil zu den Aufgaben der Aufsichtsbehörde, sich mit Beschwerden einer betroffenen Person zu befassen (Art. 58 Abs. 1 lit. f DSGVO).

Die von der Antragsgegnerin gewählte Abhilfemaßnahme nach Art 58 Abs. 2 lit. d DSGVO ist geeignet, erforderlich und angemessen. Es ist insbesondere nicht unverhältnismäßig, dass sich die Anweisung auf sämtliche veröffentlichte Filmaufnahmen auf der Facebook-Internetseite bezieht, auch wenn die Antragsgegnerin nur einen Datenschutzverstoß bei einem Verarbeitungsvorgang festgestellt hat.

Die in Art. 58 Abs. 2 lit. d DSGVO enthaltene grundlegende Anweisungsbefugnis der Aufsichtsbehörde, die alle Verarbeitungsvorgänge und deren Vereinbarkeit mit den Vorgaben der DSGVO betrifft, umfasst die Behebung materiellrechtlicher, aber auch technischer oder organisatorischer Mängel.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 23.

Gemessen daran konnte die Antragsgegnerin ausgehend von dem festgestellten Datenschutzverstoß und dem Geschäftsgebaren der Antragstellerin - Hochladen selbsterstellter Videos aus dem öffentlichen Raum zum Zwecke der Bewerbung der von ihr vermittelten Reisen - davon ausgehen, dass auch bei anderen Videos entsprechende Datenschutzverstöße anzunehmen sind. Die Antragstellerin bestärkte diesen Eindruck, indem sie im Verwaltungsverfahren - etwa mit Schreiben vom 24. Juli 2024 und 6. November 2024 - auch auf Hinweise der Antragsgegnerin weiterhin die Auffassung vertrat, es bestehe keine Veranlassung, das Video „N.“ oder andere Videoaufnahmen zu löschen oder durch Verwischen/Verschwimmen oder den Einsatz eines anderen Filters zu bearbeiten.

Auch im Übrigen bestehen keine Bedenken an der Verhältnismäßigkeit der Anordnung. Es ist nicht Aufgabe der Antragsgegnerin, den Bestand der auf der Facebook-Internetseite der Antragstellerin veröffentlichten Videos, der sich nach ihren Angaben über einen Zeitraum von etwa vier Jahren erstreckt, durchzuarbeiten und hinsichtlich jedes einzelnen Videos Bearbeitungsanweisungen gegenüber der Antragstellerin zu erlassen, denen diese unter Umständen entgegentreten würde. Vielmehr folgt aus der Rechenschaftspflicht der Antragstellerin nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass sie bereits mit Veröffentlichung der Filmaufnahmen auf ihrem Facebook-Account die Einhaltung der Vorgaben der DSGVO hätte sicherstellen müssen. Dies nachträglich zur Aufgabe der Antragsgegnerin zu machen, würde die in der DSGVO geregelte Verantwortung des für die Verarbeitung Verantwortlichen in ihr Gegenteil verkehren. Dass infolge der Entfernung eines Videos die damit verbundenen „Likes“ und Kommentare entfallen, führt in Anbetracht der überwiegenden Betroffeneninteressen zu keinem anderen Ergebnis. Im Übrigen hat die Antragstellerin vorgetragen, dass infolge der geänderten Lösch-Policy von Facebook, die sich auch auf Altvideos erstrecke, jedenfalls sogenannte Facebook-Live-Videos ohnehin nur für eine Zeit von 30 Tagen gespeichert würden.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 20.01.2026
3 StR 495/25
StPO § 100a Abs. 1 Satz 2 und 3, Abs. 5 Satz 1 Nr. 1

Der BGH hat entschieden, dass es sich bei der heimlichen Aufschaltung auf Telegram-Chats ohne Mitwirkung des Anbieters um eine Quellen-Telekommunikationsüberwachung handelt, die den Zugriff auf Daten strikt auf den Zeitraum ab gerichtlicher Anordnung begrenzt und bei Verstößen zur Unverwertbarkeit der Beweismittel führen kann.

Leitsatz des BGH:
Bei der Überwachung und Aufzeichnung von Telegram-Chats durch heimliche Aufschaltung ohne Einbeziehung des Informationsdiensteerbringers oder Nutzers handelt es sich um eine Quellen-Telekommunikationsüberwachung. In diesem Rahmen darf nur auf Inhalte zugegriffen werden, die ab dem Zeitpunkt der gerichtlichen Anordnung angefallen sind. Eine darüberhinausgehende rechtswidrige Datenerhebung führt im Einzelfall zur Unverwertbarkeit der erhobenen Inhalte.

BGH, Beschluss vom 20. Januar 2026 – 3 StR 495/25 – LG Aurich

Den Volltext der Entscheidung finden Sie hier: