BECKMANN UND NORDA - Rechtsanwälte Bielefeld (Artikel mit Tag art. 82 dsgvo)

OLG Jena: 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 03 Mar 2026 11:52:00 +0100

OLG Jena
Urteil vom 02.03.2026
3 U 31/25

Das OLG Jena hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools zugesprochen.

Die Pressemitteilung des Gerichts:
Meta-Konzern zu Schadensersatz verurteilt

Der 3. Zivilsenat des Oberlandesgerichts Jena hat durch ein heute verkündetes Urteil den Meta-Konzern zur Zahlung von Schadensersatz wegen Datenschutzverstößen verurteilt.

Nach den Feststellungen des Senats ermöglichen dem Konzern die von ihm an Webseiten- und App-Betreibern verteilten Business Tools eine weitreichende Nachverfolgung der Internetnutzung durch die Mitglieder seiner sozialen Netzwerke. Dabei fallen auch sensible personenbezogene Daten wie etwa zu Gesundheitsfragen an, beispielsweise wenn ein Nutzer zu psychischen Störungen recherchiert, über Arztportale nach therapeutischer Hilfe sucht oder in einer Online-Apotheke Medikamente bestellt. Die Erfassung und Speicherung solcher Daten findet dabei grundsätzlich auch dann statt, wenn die Betroffenen nicht im sozialen Netzwerk eingeloggt sind und keine wirksame Einwilligung in die Datenübermittlung erteilt haben.

Der Senat ist zu dem Schluss gekommen, dass diese Datenverarbeitung durch Meta nicht gerechtfertigt ist, sondern ein System anlassloser Datensammlung darstellt, das Grundprinzipien des europäischen Datenschutzrechts wie Transparenz, Zweckbindung und Datenminimierung widerspricht. Er hat dem klagenden Verbraucher 3.000 € Schadensersatz zugesprochen, wobei er die Höhe mit einer langanhaltenden und weitreichenden Aufzeichnung eines beträchtlichen Teils seines Privatlebens begründet.

Neben Schadensersatz ist der Meta-Konzern auch zu einer umfassenden Erteilung einer Auskunft über die von ihm gesammelten personenbezogenen Daten des Klägers sowie zu deren Löschung verurteilt worden.

Das Urteil ist noch nicht rechtskräftig. Der Senat hat die Revision zum Bundesgerichtshof zugelassen.

VG Düsseldorf: DSGVO-Verstoß durch Löschung der Daten vor Erfüllung eines bereits geltend gemachten Auskunftsanspruchs gemäß Art. 15 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 18 Feb 2026 18:31:00 +0100

VG Düsseldorf
Gerichtsbescheid vom 21.01.2026
29 K 7470/24

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß durch Löschung der Daten vor Erfüllung eines bereits geltend gemachten Auskunftsanspruchs gemäß Art. 15 DSGVO vorliegt.

Aus den Entscheidungsgründen:
Der angefochtene Bescheid erweist sich auch in materieller Hinsicht als rechtmäßig.

Die Voraussetzungen von Art. 58 Abs. 2 Buchst. b DSGVO liegen vor. Nach dieser Vorschrift verfügt jede Aufsichtsbehörde über die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die Datenschutz-Grundverordnung verstoßen hat.

Die tatbestandlichen Voraussetzungen für die ausgesprochene Verwarnung liegen vor. Die Klägerin hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die personenbezogenen Daten des Beschwerdeführers nach der Stellung des Auskunftsantrags nicht weiter gespeichert hat. Die Löschung der Daten trotz der Verpflichtung der Klägerin zur Auskunftserteilung war rechtswidrig.

Die Löschung von Daten stellt einen Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 DSGVO. Die Verarbeitung betrifft personenbezogene Daten nach Art. 4 Nr. 1 DSGVO, nämlich solche, die sich auf eine identifizierte natürliche Person, den Beschwerdeführer, beziehen.

Die Klägerin hat die personenbezogenen Daten als Verantwortliche im Sinne von Art. 58 Abs. 2 b, Art. 4 Nr. 7 Halbsatz 1 DSGVO verarbeitet. Sie hat sowohl die Versendung der an die E-Mail-Adresse des Beschwerdeführers gerichteten Werbe-E-Mails als auch die Löschung von dessen personenbezogenen Daten veranlasst.

Als Verantwortliche muss die Klägerin nach Art. 5 Abs. 2 DS-GVO iVm Art. 5 Abs. 1 lit. a DS-GVO sicherstellen, dass die von ihr durchgeführte Datenverarbeitung rechtmäßig ist.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 54.

Die Rechtmäßigkeit der Verarbeitung wird in Art. 6 DSGVO geregelt. Die Liste der darin genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend, sodass eine Verarbeitung unter einen der in Art. 6 Abs. 1 UAbs. 1 DSGVO vorgesehenen Fälle subsumierbar sein muss, um als rechtmäßig angesehen werden zu können.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 56.

Danach war die Löschung der personenbezogenen Daten rechtswidrig, weil für diese Verarbeitung keine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt waren. In Betracht kommen dabei allein die Tatbestände in Art. 6 Abs. 1 UAbs. 1 lit. a) und lit. c) DSGVO. Die Verarbeitung in Form der Löschung ist weder für die Erfüllung eines Vertrages (lit. b)) noch zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich (lit.d)). Die Klägerin nimmt auch keine Aufgabe wahr, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihr übertragen wurde) (lit. e)). Schließlich liegen auch keinerlei Anhaltspunkte dafür vor, dass die Löschung zur Wahrnehmung der berechtigten Interessen der Klägerin erforderlich gewesen sein könnte (lit. f)).

Eine Einwilligung des betroffenen Beschwerdeführers zu der Verarbeitung in Form der Löschung seiner personenbezogenen Daten gemäß Art. 6 Abs. 1 UAbs. lit. a) DSGVO liegt nicht vor. Sein ausdrücklich als Bitte um Auskunftserteilung bezeichnetes Schreiben vom 26. August 2022 kann ersichtlich nicht als Einwilligung zur Löschung seiner Daten nicht verstanden werden. Dasselbe gilt für die Erinnerung an das Auskunftsersuchen vom 26. September 2022.

Die Löschung war auch nicht zur Erfüllung einer rechtlichen Verpflichtung der Klägerin erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. c)). Ein Löschungsbegehren hat der Beschwerdeführer nicht geäußert. Es traf auch keiner der Gründe zu, die nach Art. 17 Abs. 1 DSGVO zu einer Verpflichtung des Verantwortlichen zur unverzüglichen Löschung personenbezogener Daten führen.

Die personenbezogenen Daten waren für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, weiter notwendig (Art. 17 Abs. 1 lit. a) DSGVO. Aus dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO, dem - wie die anderen Grundsätze des Art. 5 DSGVO auch - jede Datenverarbeitung entsprechen muss, kann die Klägerin daher nichts für sich herleiten.

Der ursprünglich auf E-Mail-Marketing gerichtete Zweck der Datenverarbeitung dürfte bereits nicht entfallen sein. Der Beschwerdeführer hat lediglich einen Auskunftsantrag gestellt und mit seinen Schreiben, anders als die Klägerin behauptet, an keiner Stelle kundgetan, dass er keine Werbemails mehr wünsche. Ausgehend von der angeblich erteilten Einwilligung des Beschwerdeführers in die Nutzung und Verarbeitung seiner personenbezogenen Daten für Werbezwecke per E-Mail (Bl. 75 der Beiakte Heft 1) durfte die Klägerin im Gegenteil davon ausgehen, weiter Werbemails versenden zu dürfen. Das zeigt, dass es sich um eine reine Schutzbehauptung handelt.

Ungeachtet dessen war die Datenverarbeitung aber nach Stellung des Auskunftsantrags für die Zwecke der Erfüllung der Auskunftsverpflichtung notwendig. Zum Zeitpunkt der Löschung war das Auskunftsverlangen des Beschwerdeführers noch nicht erfüllt.

Die Erfüllung der Pflicht aus Art. 12 Abs. 1 bis 3 DSGVO setzt die fortgesetzte Datenverarbeitung in Form der Speicherung der personenbezogenen Daten bis zur Erfüllung des Auskunftsbegehrens voraus. Die Mitteilungen gemäß Art. 15 DSGVO z.B. zu den Bearbeitungszwecken oder den Kategorien der verarbeiteten personenbezogenen Daten können nur übermittelt werden, wenn der Verantwortliche noch über die personenbezogenen Daten verfügt. Es spricht viel dafür, dass die personenbezogenen Daten, auf die die Auskunft zielt, so lange gespeichert werden müssen, bis die betroffene Person Gelegenheit hatte, die Rechtmäßigkeit der Verarbeitung zu überprüfen (vgl. Erwägungsgrund 63). Wie lange personenbezogene Daten zur Erfüllung eines Auskunftsbegehrens gespeichert werden müssen, braucht hier jedoch nicht entschieden zu werden. Denn jedenfalls tritt Erfüllung der Informationspflicht des Verantwortlichen und mit ihr der Wegfall des Zwecks der Verarbeitung frühestens ein, nachdem dem Antragsteller die begehrten Informationen vollständig und innerhalb der maßgeblichen Frist zur Verfügung gestellt wurden (Art. 12 Abs. 1, Abs. 3 Satz 1 DSGVO). Die Klägerin hat vorliegend die Daten aber bereits gelöscht, bevor dem Beschwerdeführer die Auskunft übermittelt worden ist. Mit Übersendung der als Datenschutzauskunft bezeichneten Daten hat die Klägerin bereits die Löschung der Daten in ihrer Datenbank bestätigt.

Einen Widerspruch gegen die Verarbeitung (Art. 17 Abs. 1 lit. c) DSGVO) hat der Beschwerdeführer ebenfalls nicht eingelegt, auch wenn die Klägerin die Schreiben des Beschwerdeführers als solchen bezeichnet. Das nur aus konkreten Fragen bestehende Schreiben vom 26. August 2022 sowie die Erinnerung an das Auskunftsersuchen vom 26. September 2022 enthalten keinerlei Anhaltspunkte dafür, dass der Beschwerdeführer keine Werbemails mehr wünscht oder dass er der Verarbeitung widerspricht.

Auch die anderen in Art. 17 Abs. 1 DSGVO genannten Gründe treffen nicht zu. Ein Widerruf der Einwilligung ist nicht ersichtlich (Art. 17 Abs. 1 lit. b) DSGVO). Die personenbezogenen Daten wurden aus Sicht der Klägerin auch nicht unrechtmäßig verarbeitet (Art. 17 Abs. 1 lit. d) DSGVO). Vielmehr stützt sie sich, wie die „Datenschutzauskunft“ zeigt, gerade auf eine angebliche Einwilligung des Beschwerdeführers in die Verarbeitung seiner personenbezogenen Daten. Eine rechtliche Verpflichtung nach Art. 17 Abs. 1 lit. e) DSGVO ist nicht ersichtlich. Ebenso wenig wurden die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 erhoben (Art. 17 Abs. 1 lit. f) DSGVO).

Die Klägerin kann die vorgenommene Löschung der personenbezogenen Daten des Beschwerdeführers schließlich nicht auf Art. 5 Abs. 1 lit. d) DSGVO und eine angebliche sachliche Unrichtigkeit der Daten stützen. Die personenbezogenen Daten des Beschwerdeführers waren im Gegenteil sachlich richtig, und zwar sowohl im Hinblick auf Werbezwecke als auch zum Zwecke der Informationserteilung. Wie die Klägerin den beiden der Löschung vorangegangenen Schreiben des Beschwerdeführers entnommen haben will, dass die Daten nicht von ihm sein könnten, ist nicht nachvollziehbar und offensichtlich vorgeschoben.

Die Verwarnung begegnet auch auf der Rechtsfolgenseite keinen durchgreifenden rechtlichen Bedenken. Die Beklagte hat das ihr nach Art. 58 Abs. 2 DSGVO eingeräumte Ermessen fehlerfrei ausgeübt (§ 114 Satz 1 VwGO). Insbesondere ist ein Verstoß gegen den Grundsatz der Verhältnismäßigkeit, der bei der Auswahl der nach Art. 58 Abs. 2 DSGVO zur Verfügung stehenden Maßnahmen zu beachten ist,

vgl. OVG NRW, Urteil vom 15. Juni 2022 - 16 A 857/21 -, juris Rn. 147,

nicht zu erkennen. Die Verwarnung dient dem Zweck der Datenschutz-Grundverordnung, eine einheitliche Überwachung und Durchsetzung der Verordnung in der gesamten Union sicherzustellen (vgl. Erwägungsgrund 129 Satz 1 DSGVO). Durch die ihr zukommende Warnfunktion ist sie auch geeignet, datenschutzkonforme Zustände herzustellen. Sie ist des Weiteren auch erforderlich. Mit der Verwarnung hat die Beklagte das mildeste Abhilfeinstrumentarium im Maßnahmenkatalog des Art. 58 Abs. 2 DSGVO gewählt. Die Anordnung ist schließlich auch angemessen, d. h. verhältnismäßig im engeren Sinn. Die Verwarnung stellt sich als geringfügiger Eingriff in die Rechte der Klägerin dar, da mit ihr insbesondere keine unmittelbaren finanziellen Nachteile verbunden sind.

Vorsorglich weist das Gericht darauf hin, dass in Fällen wie dem vorliegenden auch die Verhängung eines Bußgeldes gemäß Art. 58 Abs. 2 i DSGVO gerechtfertigt sein dürfte. Denn es ist zu berücksichtigen, dass die Klägerin mit der Löschung nicht nur die Überprüfung der Richtigkeit und Vollständigkeit der Datenschutzauskunft, sondern auch die Überprüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten des Beschwerdeführers vereitelt hat. Es spricht alles dafür, dass dies beabsichtigt war. Die Klägerin hat die personenbezogenen Daten des Beschwerdeführers angeblich mit dessen Einwilligung verarbeitet, und durfte damit von der Rechtmäßigkeit der Datenverarbeitung ausgehen. Es gab also keinen Grund zur Löschung, es sei denn, die Daten sind tatsächlich rechtswidrig erhoben worden.

Den Volltext der Entscheidung finden Sie hier:

VG Osnabrück: Schadensersatzansprüche aus Art. 82 DSGVO sind keine Amtshaftungsansprüche

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 17 Feb 2026 14:21:00 +0100

VG Osnabrück
Beschluss vom 12.12.2025
7 A 230/25

Das VG Osnabrück hat entschieden, dass Schadensersatzansprüche aus Art. 82 DSGVO keine Amtshaftungsansprüche sind.

Aus den Entscheidungsgründen:
Die Verweisung konkret an das Amtsgericht Osnabrück beruht auf §§ 23 Nr. 1, 71 GVG und §§ 12, 17 Abs.1 ZPO.

Insbesondere besteht demgegenüber keine Zuständigkeit des Landgerichts nach § 71 Abs. 2 Nr. 2 GVG. Danach sind die Landgerichte ohne Rücksicht auf den Wert des Streitgegenstandes ausschließlich zuständig für die Ansprüche gegen Richter und Beamte wegen Überschreitung ihrer amtlichen Befugnisse oder wegen pflichtwidriger Unterlassung von Amtshandlungen, also für Ansprüche aus § 839 BGB, auch wenn sie sich nach Art. 34 GG gegen den Dienstherrn richten (vgl. Nordmeyer, in: Anders/Gehle, 84. Aufl. 2026, GVG § 71 Rn. 11, beck-online).

Einen solchen Amtshaftungsanspruch macht der Kläger hier aber nicht geltend (so auch ausdrücklich im Schriftsatz vom 09.11.2025). Er beruft sich vielmehr auf einen Schadenersatzanspruch aus § 82 Abs. 1 DS-GVO. Dieser stellt selbst keinen Amtshaftungsanspruch dar. Denn bei ihm handelt es sich nicht - wie im Falle von § 839 BGB i.V.m. Art. 34 GG - um eine auf den Hoheitsträger übergeleitete, im Ausgangspunkt aber persönliche Haftung des Beamten, sondern um eine originäre Haftung des Hoheitsträgers. Er richtet sich gegen den Verantwortlichen oder den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DS-GVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S.d. DS-GVO und folglich auch nicht Adressat des Anspruchs. Eine solche unmittelbare Staatshaftung erfasst die Rechtsweggarantie des Art. 34 Satz 3 GG nicht. Zwar kann der Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO neben einen Amtshaftungsanspruch nach § 839 BGB i.V.m. Art. 34 GG treten, sodass Anspruchskonkurrenz besteht. Das führt jedoch nicht dazu, dass die Zuständigkeit des Landgerichts für die Entscheidung über einen - denkbaren, hier gerade nicht geltend gemachten - Amtshaftungsanspruch auch auf die Zuständigkeit für die Entscheidung über einen Anspruch aus Art. 82 Abs. 1 DS-GVO durchschlägt (vgl. BFH, Beschluss vom 28.06.2022 - II B 93/21 -, juris Rn. 14-17, m.w.N.; BSG, Beschluss vom 06.03.2023 - B 1 SF 1/22 R -, juris Rn. 19-24; OLG Hamm, Urteil vom 20.01.2023 - I-11 U 88/22 -, juris Rn. 73; VG Stuttgart, Urteil vom 20.06.2024 - 14 K 870/22 -, juris, Rn. 23-25; zustimmend auch Lorenz, jurisPR-ITR 11/2023 Anm. 3).

Gegen dieses Ergebnis wird eingewandt, das Zusammenspiel von haftungsbegründender (§ 839 BGB) und haftungsüberleitender Norm (Art. 34 S. 1 GG) beim Amtshaftungsanspruch sei historisch begründet und für die materielle Rechtsqualität des Anspruchs nicht entscheidend. Zudem knüpfe der Schadensersatzanspruch aus Art. 82 DS-GVO ebenfalls an ein konkretes Fehlverhalten eines einzelnen Amtswalters an, das der verantwortlichen öffentlichen Stelle zugerechnet werde. Inhaltlich bestehe somit zwischen beiden Ansprüchen kein Unterschied, der es rechtfertigen könne, die Ansprüche unterschiedlichen Gerichten zuzuweisen (vgl. Meyer, ZD 2025, 200 [203]; für einen Amtshaftungsanspruch auch FG Berl.Bbg., Beschluss vom 27.10.2021 - 16 K 16155/21 -, juris Rn. 10-12 [durch den o.g. Beschluss des BFH aufgehoben]; Hess. LSG, Beschluss vom 26.01.2022 - L 6 SF 7/21 DS -, juris, Rn. 22-24 [durch den o.g. Beschluss des BSG aufgehoben], mit zustimmender Besprechung durch Brehm, NZS 2022, 559; Bieresborn, Die Auswirkungen der DSGVO auf das gerichtliche Verfahren, DRiZ 2019, 18 [23]; Korves, Zivilrechtliche Haftung für Datenlecks in Zivilprozessen, RDi 2023, 571 [574-576]).

Diese Erwägungen mögen zwar rechtspolitisch plausibel sein, ebenso wie angesichts heute unabhängiger Fachgerichtsbarkeiten der Sinn der Rechtswegzuweisung des Art. 34 Satz 3 GG zweifelhaft erscheinen (vgl. etwa v. Danwitz, in: Huber/Voßkuhle, 8. Aufl. 2024, GG Art. 34 Rn. 149, beck-online) und es überdies Schwierigkeiten erzeugen mag, wenn ein an sich einheitlicher Streitgegenstand durch zwei unterschiedliche Gerichte zu beurteilen ist (vgl. Korves, RDi 2023, 571 [576]). Dies sind indes sich an den Gesetzgeber richtende Fragen, die nicht schon rechtfertigen können, den Begriff des Amtshaftungsanspruchs über seine (historisch gewachsenen) Grenzen hinaus auch auf solche (im obigen Sinne) anderen Ansprüche auszudehnen.

Den Volltext der Entscheidung finden Sie hier:

OLG Naumburg: DSGVO-Verstoß durch Meta Business Tools - Anspruch gegen Meta auf 1.200 EURO bzw. 1.250 EURO Schadensersatz aus Art. 82 DSGVO und Unterlassungsanspruch

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Mon, 09 Feb 2026 18:06:00 +0100

OLG Naumburg
Urteil vom 05.02.2026 - 9 U 124/24
Urteil vom 05.02.2036 - 9 U 44/25

Das OLG Naumburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool seitens Meta gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.200 EURO bzw. 1.250 EURO Schadensersatz aus Art. 82 DSGVO und auch einen Unterlassungsanspruch bejaht.

Die Pressemitteilung des Gerichts:
Schadensersatz wegen unerlaubter Datenverarbeitung durch Meta

Der 9. Zivilsenat des Oberlandesgerichts Naumburg hat durch zwei am heutigen Tage verkündete Urteile den Klägern Schadensersatz wegen unerlaubter Datenverarbeitung durch Unternehmen des Meta-Konzerns zugesprochen.

Meta konnte nach den Feststellungen des Senats bis zum 3. November 2023 mithilfe seiner Business Tools jeden Klick, jede Suche und jeden Kauf auf Tausenden von Webseiten und Apps nachverfolgen. Dazu mussten die Betroffenen nicht bei Facebook oder Instagram eingeloggt sein. Meta habe diese Daten unbemerkt und ohne Zustimmung der Nutzer genutzt. Nach Einführung der Abonnement-Variante sei die Datenübertragung je nach Einstellung der Nutzer differenzierter erfolgt. Sie führe jedoch nach wie vor zu einer umfassenden Datennutzung durch die Beklagte. Diese Datenverarbeitung sei rechtswidrig, verstoße gegen den Grundsatz der Datenminimierung und sei nicht von einer Einwilligung oder sonstigen Rechtfertigungs-gründen gedeckt. Der zugesprochene Schadensersatz belief sich in einem Fall auf 1.200 € und im anderen auf 1.250 €.

Neben dem Schadensersatz verurteilte der 9. Zivilsenat den Meta-Konzern zu einer generellen, umfassenden Unterlassung der Datenverarbeitung über die Business Tools sowie zur Löschung aller gesammelten Nutzer-Daten. Außerdem wurde die Rechtswidrigkeit der Datenverarbeitung festgestellt.

Die Urteile sind rechtskräftig, nachdem der Senat die Revision nicht zugelassen hat und die Beschwer der unterliegenden Partei in beiden Fällen den für die Nichtzulassungsbeschwerde erforderlichen Betrag nicht erreicht.

OLG Dresden: DSGVO-Verstoß durch Meta Business Tools - Anspruch gegen Meta auf 1.500 EURO Schadensersatz aus Art. 82 DSGVO und Unterlassungsanspruch

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 05 Feb 2026 16:58:00 +0100

OLG Dresden
Urteile vom 03.02.2026
4 U 196/25, 4 U 292/25, 4 U 293/25 und 4 U 296/25

Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.500 EURO Schadensersatz aus Art. 82 DSGVO und einen Unterlassungsanspruch zugesprochen.

Die Pressemitteilung des Gerichts:
Meta Konzern zu Schadensersatz und Unterlassung verurteilt

Der 4. Zivilsenat hat am 03.02.2026 in den ersten vier Parallelverfahren zu den sog. Business-Tools den Meta Konzern zur Zahlung von immateriellem Schadensersatz in Höhe von jeweils 1500,- € sowie zur Unterlassung der Weiterverarbeitung hiermit gewonnener personenbezogener Daten an Nutzer des sozialen Netzwerks "Instagram" verurteilt.

Bei diesen "Business-Tools" handelt sich um Programmschnittstellen, die der Meta-Konzern Unternehmen zur Installation auf deren Webseiten anbietet. Sie dienen dazu, personenbezogene Daten der Webseitennutzer zu sammeln, die die Unternehmen dann mit dem Meta-Konzern teilen. Der 4. Zivilsenat hat sich in den entschiedenen Verfahren die Überzeugung verschafft, dass hierzu die zu einer Datenverarbeitung erforderlichen Einwilligungserklärungen der Nutzer nicht vorgelegen haben und sich die Beklagte hierfür auch nicht auf einen weiteren der nach der Datenschutzgrundverordnung möglichen Rechtfertigungsgründe berufen könne. Durch eine solche Verarbeitung personenbezogener Daten entstehe ein Kontrollverlust, der bei betroffenen Nutzern ein Gefühl der umfassenden Überwachung hervorrufen könne. Dies rechtfertige es, einen immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO auch dann zuzusprechen, wenn der einzelne Nutzer hierdurch keine psychische Beeinträchtigung erlitten habe. Nicht erforderlich sei es hierfür, dass der Nutzer nachweist, Webseiten besucht zu haben, die seine personenbezogenen Daten mit Hilfe dieser Business Tools an den Meta-Konzern weiterleiten.

Die Revision wurde nicht zugelassen. Die Urteile sind damit rechtskräftig.

VG Osnabrück: Geltendmachung eines Auskunftsanspruchs gemäß Art. 15 DSGVO setzt auch ohne Fristsetzung die Monatsfrist nach Art. 12 Abs. 3 DSGVO in Gang

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 03 Feb 2026 16:02:00 +0100

VG Osnabrück
Urteil vom 13.01.2026
7 A 6/24

Das VG Osnabrück hat entschieden, dass die Geltendmachung eines Auskunftsanspruchs gemäß Art. 15 DSGVO auch ohne Fristsetzung die Monatsfrist nach Art. 12 Abs. 3 DSGVO in Gang setzt.

Aus den Entscheidungsgründen:
Nach Art. 12 Abs. 3 DS-GVO stellt der Verantwortliche (hier: die Beklagte) der betroffenen Person (hier: dem Kläger) Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

Fristauslösendes Moment ist der Antragseingang beim Verantwortlichen. Ggf. ist hiervon abweichend auf die Feststellung der Identität nach Art. 12 Abs. 6 DS-GVO abzustellen, was jedoch vorliegend keiner weiteren Entscheidung bedarf. Ist die betroffene Person anwaltlich vertreten und verlangt der Verantwortliche eine Vollmacht, beginnt die Frist mit Vorlage der Originalvollmacht (vgl. Franck, in: Gola/Heckmann, 3. Aufl. 2022, DS-GVO Art. 12 Rn. 27, beck-online; Heckmann/Paschke, in: Ehmann/Selmayr, 3. Aufl. 2024, DS-GVO Art. 12 Rn. 32, beck-online).

Keine Voraussetzung für den Beginn der Frist ist demgegenüber die Nennung eines Stichtags durch den Antragsteller, zu dem die Auskunft erfolgen soll. Ein solches Erfordernis sehen Art. 12 und 15 DS-GVO nicht vor. Zwar umfasst das Auskunftsrecht auch Datenverarbeitungen in der Vergangenheit (vgl. Ehmann, in: Ehmann/Selmayr, 3. Aufl. 2024, DS-GVO Art. 15 Rn. 10 und 28, beck-online, und Bienemann, in: Sydow/Marsch DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 15 Rn. 29, beck-online, jeweils mit Verweis auf EuGH, Urteil vom 07.05.2009 - C-553/07 -, juris Rn. 54). Ein insoweit nicht spezifizierter Auskunftsantrag ist jedoch analog §§ 133, 157 BGB grundsätzlich ohne Weiteres so auszulegen, dass er sich auf den Zeitpunkt seines Eingangs bezieht, also alle bis zu diesem Zeitpunkt stattgefundenen Datenverarbeitungen erfasst. Dafür sprechen bereits die Zwecke des Auskunftsanspruchs, die es dem Betroffenen ermöglichen sollen, von einer Verarbeitung der ihn betreffenden Daten Kenntnis zu erhalten (Transparenz) und diese auf ihre Rechtmäßigkeit hin zu überprüfen (Erleichterung der Kontrolle; vgl. Ehmann, in: Ehmann/Selmayr, 3. Aufl. 2024, DS-GVO Art. 15 Rn. 1, beck-online; Schmidt-Wudy, in: BeckOK DatenschutzR, 53. Ed. 1.8.2025, DS-GVO Art. 15 Rn. 2, beck-online, auch mit Verweis auf Erwägungsgrund 63 der DS-GVO). Zur effektiven Erfüllung dieser Zwecke wird dem Betroffenen - was offenkundig ist - in aller Regel daran gelegen sein, ein möglichst vollständiges Bild der Verarbeitung seiner Daten durch den Verantwortlichen zu erhalten. Nur ausnahmsweise mag der Betroffene seine Anfrage auf einen bestimmten Zeitraum eingrenzen wollen, wenn sich sein Interesse allein auf diesen Zeitraum bezieht, und dies wohl regelmäßig allein zur Arbeitserleichterung des Verantwortlichen. Denn wird dem Betroffenen eine vollständige Auskunft erteilt, so kann er immer noch entscheiden, welche Teile der Auskunft für ihn von Relevanz sind. Dafür, dass der Kläger sein Auskunftsersuchen im vorliegenden Fall zeitlich näher eingrenzen wollte, boten weder der Antrag des Klägers vom 20.11.2023 noch sonstige Umstände irgendeinen Anhaltspunkt. Die Nachfrage hinsichtlich eines Stichtags war demnach nicht angezeigt.

Fristauslösendes Ereignis war damit der Eingang des Antrags bei der Beklagten am 22.11.2023. Die Fristberechnung erfolgt nach der Verordnung (EWG, Euratom) Nr. 1182/71 des Rates vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine ("Fristen-VO", vgl. Franck, in: Gola/Heckmann, 3. Aufl. 2022, DS-GVO Art. 12 Rn. 27, beck-online). Nach Art. 3 Abs. 2 lit. c dieser Verordnung endete die Monatsfrist des Art. 12 Abs. 3 Satz 1 DS-GVO mithin am 22.12.2023. Diese Frist hat die Beklagte im vorliegenden Fall versäumt. Sie hat insbesondere auch keine Fristverlängerung nach Art. 12 Abs. 3 Satz 2 und 3 DS-GVO ausgesprochen, unabhängig von der Frage, ob deren Voraussetzungen vorliegend erfüllt waren.

Ein anderes Ergebnis ergibt sich auch nicht aus dem Vortrag der Beklagten, der Kläger stelle seine Auskunftsersuchen rechtsmissbräuchlich. Soweit die Beklagte zur Begründung dieses Vorwurfs auf die Klageschrift im Verfahren H. vor dem LG A-Stadt verweist, hat diese offensichtlich nicht den von der Beklagten behaupteten Inhalt. Der Kläger macht dort einen Schadenersatzanspruch geltend, und zwar für jeden Monat, in dem die Beklagte ihm auf seine Anträge vom 01.07.2020 und vom 01.09.2021 keine vollständige datenschutzrechtliche Auskunft nach Art. 15 DS-GVO erteilt hat. Die Annahme, darin liege zugleich die monatliche Stellung eines neuen Auskunftsersuchens, ist abwegig, und zwar allein schon deshalb, weil dies bedeuten würde, der Kläger hätte mit seiner dortigen Klageschrift vom 20.12.2023 über mehrere Jahre rückwirkend monatliche Auskunftsansprüche gestellt. Welchen Sinn ein solches Vorgehen für den Kläger haben sollte, bleibt im Vortrag der Beklagten gänzlich offen, abgesehen davon, dass auch der Wortlaut der Klageschrift eine solche Auslegung nicht hergibt. Sonstige (substantiierte) Anhaltspunkte für einen Rechtsmissbrauch seitens des Klägers sind weder vorgetragen noch ersichtlich. Insbesondere ist das Verhalten des Klägers nicht schon deshalb rechtsmissbräuchlich, weil er sich bereits in der Vergangenheit (auch gerichtlich) mit der Beklagten hinsichtlich behaupteter oder tatsächlicher Verstöße gegen datenschutzrechtliche Normen auseinandergesetzt und in diesem Zusammenhang auch Schadenersatzansprüche geltend gemacht hat.

Unabhängig davon hat die Beklagte sich während des Verwaltungsverfahrens an keiner Stelle darauf berufen, der Antrag des Klägers sei rechtsmissbräuchlich. Es ist nicht nachvollziehbar, weshalb die Beklagte einerseits davon ausgehen will, es liege ein rechtsmissbräuchliches Verhalten des Klägers vor - was für sie bedeuten würde, schon nicht zu einer Auskunft nach Art. 15 Abs. 1 DSGVO verpflichtet zu sein -, andererseits aber zunächst eigens nach einem Stichtag fragt und sodann die beantragte Auskunft doch erteilt.

Den Volltext der Enstcheidung finden SIe hier:

OLG München: DSGVO-Verstoß durch Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke - 750 EURO Schadensersatz aus Art. 82 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 13 Jan 2026 16:20:00 +0100

OLG München
Urteil vom 18.12.2025
14 U 1068/25

Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 750 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.

Der Klägerin steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 750,- € zu (dazu sogleich 4.1.), daneben ein Anspruch auf Feststellung eines Verstoßes gegen den Nutzungsvertrag (dazu 4.2.), Ansprüche auf Unterlassung einer Verarbeitung bestimmter personenbezogener Daten (dazu 4.3.) und auf Erstattung vorgerichtlicher Rechtsanwaltskosten (dazu 4.4.).

Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.

4.1. Der Senat geht davon aus, dass die Klägerin einen einheitlichen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 55) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. ... ... Tools) wurzelt (s. Klageschrift S. 29: "der Verstoß").

Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH "einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind [...] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt [...]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen [...]."

Ein solcher Anspruch besteht vorliegend in Höhe von 750,- €.

4.1.1. Für den Senat steht fest, dass die Beklagte mithilfe der ... ... Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. ...#).

4.1.1.1. Technische Grundlage und Datenschutzeinstellungen

4.1.1.1.1. Über die sog. ... ... Tools ("u.a. ...-Pixel, C# ... (vormals bekannt als ...I), das ... für App Events, Offline-C# ... und die App ...", s. Anlage B5) erhält die Beklagte ...Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.

4.1.1.1.2. Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 31 = Bl. 308 f. LGA) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die ... ... Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 304 ff. LGA) ist es "eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. [...] Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. [...]"

4.1.1.1.3. Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der ... ... Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 35 f. = Bl. 310 f. LGA). Die ... Tools Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.

4.1.1.1.4. Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.

4.1.1.1.4.1. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem ...-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B7, S. 41).

4.1.1.1.4.2. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 62 = Bl. 322 LGA), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 63) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: "die C# ... ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben"; hierzu Duplik, Rz. 60 = Bl. 321 LGA.).

4.1.1.1.4.3. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).

4.1.1.2. Die Klägerin hat im Rahmen ihrer erstinstanzlich erfolgten persönlichen Anhörung erklärt, ihr sei aufgefallen, dass ihr zu zuvor gegoogelten Themen Werbung angezeigt wurde. Sie habe schon zuvor unter einer generalisierten Angststörung gelitten und sei auch schon in psychologischer Behandlung gewesen. Sie google viele Symptome und möchte nicht, dass ein Dritter wisse, wie es um ihre Gesundheit bestellt sei. Ihre generalisierte Angststörung sei dadurch "befeuert" worden (Protokoll der erstinstanzlichen mündlichen Verhandlung vom 06.02.2025, Bl. 482 – 484, dort S. 2 = Bl. 483 LGA).

Die Beklagte hat insoweit mit Nichtwissen bestritten, dass der streitgegenständliche Sachverhalt Thema der Behandlung der Klägerin gewesen wäre (ebd.). Nicht bestritten und damit vom Senat zugrunde zu legen ist die restliche Erklärung der Klägerin, sie google viele Symptome, ihr sei zu gegoogelten Themen Werbung angezeigt worden und ihre bereits zuvor vorhandene generalisierte Angststörung sei durch ihre Aufklärung über den streitgegenständlichen Sachverhalt "befeuert" worden.

4.1.1.2.1. Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps ... ... Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).

4.1.1.2.2. Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein "der ... Pixel [...] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut" sei (Replik, S. 49 = Bl. 191 d.A.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.

4.1.2. Nachdem der Klägerin unstreitig Werbung zu gegoogelten Themen gezeigt wurde (s.o. unter Punkt 4.1.1.2.), liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist, vor.

4.1.2.1. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).

4.1.2.2. Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden "Kontaktinformationen" und/oder "Event-Daten" (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem ... betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, "dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von ... aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird" (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).

4.1.2.3. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IPAdresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: "Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren [...]"; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).

4.1.2.4. Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.

4.1.2.4.1. Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand.

4.1.2.4.2. Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der ... ... Tools in eine Webseite oder App quasi eine "dynamische Verweisung" auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine "gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an ... über gewisse ... ... Tools" besteht, hat die Beklagte eingeräumt (Duplik, Rz. 41, 45 = Bl. 313 f. LGA, vgl. auch die Nutzungsbedingungen für die ... ... Tools in Anlage B5, dort S. 5).

4.1.3. Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.

4.1.3.1. Von Bedeutung ist dabei zunächst, "dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren" (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 23, Fn. 10) selbst auf die sog. Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: "[Es ist] sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. [...] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht."

Den Volltext der Entscheidung finden Sie hier:

OLG Jena: Nutzung von Gesichtserkennungssoftware durch Universität zur Authentifizierung bei einer Online-Prüfung nur mit Einwilligung zulässig - 200 EURO Schadensersatz aus Art. 82 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Mon, 12 Jan 2026 16:26:00 +0100

OLG Jena
Urteil vom 17.11.2025
3 U 885/24

Das LG Jena hat entschieden, dass die Nutzung einer Gesichtserkennungssoftware durch eine Universität zur Authentifizierung bei einer Online-Prüfung nur mit Einwilligung zulässig ist. Vorliegend hat das Gericht dem Betroffenen 200 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Der Klägerin steht gemäß Art. 82 Abs. 1 DSGVO ein Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens aufgrund der rechtswidrigen Verarbeitung biometrischer Daten der Kläger durch die Beklagte zu.

Bei der Nutzung der Gesichtserkennungssoftware des Anbieters Uniwise sind biometrische Daten der Klägerin im Sinne von Art. 4 Nr. 14 DSGVO verarbeitet worden. Durch den automatisierten Abgleich der während der Online-Prüfungen aufgenommenen Bilder vom Gesicht der Klägerin mit dem am 09.07.2020 erstellten Referenzbild wurden mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der Klägerin, die ihre eindeutige Identifizierung ermöglichen oder bestätigen, zur Feststellung möglicher Täuschungsversuche verwendet. Diese Verarbeitung der biometrischen Daten der Klägerin war unter den hier vorliegenden Umständen auch rechtswidrig. Gemäß Art 9 Abs. 1 DSGVO ist die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person grundsätzlich untersagt, es sei denn es liegt ein in Art. 9 Abs. 2 DSGVO geregelter Ausnahmefall vor. Ein solcher Ausnahmefall kann hier jedoch nicht angenommen werden.

Der in § 9 Abs. 2 Buchst. a DSGVO geregelte Fall einer ausdrücklichen Einwilligung der von der Verarbeitung ihrer biometrischen Daten betroffenen Person ist hier nicht gegeben. Eine solche ausdrückliche Einwilligung kann insbesondere nicht durch den Umstand angenommen werden, dass die Klägerin aus dem Katalog der möglichen Durchführung von Prüfungen während der Corona-Pandemie die Möglichkeit 1 (Absolvierung der Prüfung außerhalb des Unicampus) ausgewählt hat. In der Wahl dieser Prüfungsart liegt weder eine konkludente noch eine von der genannten Norm erforderte ausdrückliche Einwilligung der Klägerin mit der Verarbeitung ihrer biometrischen Daten. Der Umstand, dass nach der entsprechenden Auswahl durch die Klägerin ein Referenzbild von ihr angefertigt wurde, konnte zwar die Vermutung der Klägerin begründen, dass bei der Online-Prüfung eine automatisierte Gesichtserkennungssoftware zum Einsatz kommt. Durch die bloße Hinnahme dieses Procederes hat sie jedoch nicht ihr Einverständnis mit der konkreten Verarbeitung ihrer biometrischer Daten durch die zum Einsatz gebrachte Gesichtserkennungssoftware erklärt. Jedenfalls fehlt es insoweit an der im Gesetz vorgeschriebenen Ausdrücklichkeit der Einwilligungserklärung. Hierzu hätte es einer expliziten Belehrung der Klägerin über die durch die Nutzung der Gesichtserkennungssoftware ermöglichte Verarbeitung ihrer biometrischen Daten und einer hierauf bezogenen konkreten Einwilligungserklärung der Klägerin bedurft. Eine solche ausdrückliche Einwilligungserklärung hat sie nicht abgegeben. Auch die Möglichkeit, sich bei Auskunftsstellen der Universität näher über den Prüfungsablauf informieren zu können, ersetzt das Erfordernis einer solchen ausdrücklichen Einwilligungserklärung nicht.

Die Zulässigkeit der Verarbeitung der biometrischen Daten der Klägerin ergibt sich auch nicht aus Art. 9 Abs. 2 Buchst. e DSGVO. Durch die Veröffentlichung von Gesichtsbildern in den sozialen Medien seit dem Jahr 2015 hat die Klägerin keine biometrischen Daten veröffentlicht, sondern lediglich die Möglichkeit geschaffen, dass Dritte biometrische Daten aus diesen Bildern gewinnen können. Ob die Klägerin durch die vorherige Veröffentlichung ihrer Bilder im Internet bereits die Kontrolle über diese personenbezogenen Daten verloren hat, spielt in diesem Zusammenhang keine Rolle, sondern ist erst für die Frage relevant, inwieweit ihr durch den Datenschutzverstoß ein Schaden entstanden ist.

Auch aus der Norm des Art. 9 Abs. 2 Buchst. g DSGVO kann keine Rechtfertigung für die Verarbeitung der biometrischen Daten hergeleitet werden. Zwar mag die Durchführung von Fernprüfungen während der Corona-Pandemie zwecks Aufrechterhaltung des Lehr- und Prüfungsbetriebes in den Hochschulen einem gewissen öffentlichen Interesse entsprochen haben. Dieses öffentliche Interesse erforderte es jedoch nicht wie geschehen eine Verarbeitung biometrischer Daten, durch die nicht unerheblich in das informationelle Selbstbestimmungsrecht des Betroffenen eingegriffen wird, ohne Einholung einer ausdrücklichen Einwilligungserklärung des Betroffenen vorzunehmen, zumal auch andere Möglichkeiten der Prüfungsdurchführung während der Pandemie zur Verfügung standen.

Durch die unzulässige Verarbeitung der biometrischen Daten der Klägerin bei der Durchführung der Online-Prüfungen ist dieser auch ein wenn auch eher als nicht allzu intensiv einzuschätzender Schaden in Form einer psychischen Beeinträchtigung entstanden, für den die Beklagte gemäß Art. 82 Abs. 1 DSGVO Ersatz zu leisten hat.

Die Klägerin hat bei ihrer Anhörung durch das Landgericht erklärt, dass sie während der Fernprüfungen aufgrund der Nutzung der Gesichtserkennungssoftware dauerhaft befürchtet habe, durch bestimmte Bewegungen ihres Kopfes den Übereinstimmungsreferenzwert zwischen aktuellem Bild und dem Referenzbild zu unterschreiten und hierdurch infolge der Softwarefunktion dem Prüfer automatisch Veranlassung zur Überprüfung eines Täuschungsversuches ihrerseits bieten könnte. Der Senat hält diese Bekundungen auch für plausibel. Insbesondere der Umstand, dass eine automatisierte Erkennungssoftware zum Einsatz gekommen ist, lässt das wenn auch vielleicht diffuse Gefühl, dass ohne eigene Einflussmöglichkeit ständig die Möglichkeit besteht, dem Vorwurf eines Täuschungsversuches ausgesetzt zu sein, durchaus nachvollziehbar erscheinen. Entgegen dem Vorbringen der Beklagten ist die Behauptung auch nicht deshalb unglaubhaft, weil sie erst im späteren Verlauf des Verfahrens aufgestellt wurde. Vielmehr hat die Klägerin bereits in der Klageschrift vorgetragen, dass die automatische Überwachung sie während der Prüfungssituation unter erheblichen Stress gesetzt habe und in ihr die Angst ausgelöst habe, dem unbegründeten Verdacht eines Täuschungsversuchs ausgesetzt zu sein. Dass das Landgericht diese Bekundung der Klägerin für unglaubhaft gehalten hat, ergibt sich aus den Ausführungen im Urteil nicht. Vielmehr meinte das Landgericht, hieraus nicht den Schluss ziehen zu können, dass der Klägerin ein immaterieller Schaden entstanden ist. Soweit das Landgericht damit argumentiert hat, dass der Umstand, dass sich die Klägerin vor den Prüfungen nicht bei Auskunftsstellen der Beklagten über den genauen Ablauf der Fernprüfungen informiert habe, gegen die Annahme eines immateriellen Schadens spreche, handelt es sich nach Auffassung des Senats letztlich um die unbewusste Anwendung des Erfordernisses einer Erheblichkeitsschwelle für die Annahme eines immateriellen Schadens durch das Landgericht, da dieses Argument nicht geeignet ist, die Befürchtungen der Klägerin als solche zu widerlegen, sondern die Annahme begründet, dass die Befürchtungen nicht allzu intensiv gewesen sein können. Die weitere Schlussfolgerung des Landgerichts, dass die psychische Beeinträchtigung nicht spezifisch auf die Verarbeitung biometrischer Daten zurückzuführen ist, da anzunehmen sei, dass diese auch bei der Durchführung herkömmlicher videoüberwachter Prüfungen aufgetreten sei, vermag der Senat nicht zu teilen. Zwischen diesen Prüfungssituationen besteht ein erheblicher Unterschied. Während bei einer bloß videoüberwachten Prüfung für den Prüfer nur dann Anlass besteht, Ermittlungen wegen eines möglichen Täuschungsversuchs aufzunehmen, wenn er durch eigene Anschauung entsprechende Anhaltspunkte hierfür gewonnen hat, wird die entsprechende Verdachtsprüfung durch den automatisierten Einsatz der Gesichtserkennungssoftware ausgelöst. Für den Prüfling besteht hierdurch ein Gefühl, „der Technik ausgeliefert zu sein“ und das Auslösen eines Verdachts der Täuschung letztlich nicht beeinflussen zu können. Die von der Klägerin geschilderten Befürchtungen sind also gerade auf die Verwendung der Gesichtserkennungssoftware und die hierdurch erfolgte Verarbeitung biometrischer Daten zurückzuführen.

Eine nochmalige Anhörung der Klägerin war entgegen der Auffassung der Beklagten nicht erforderlich, um bezüglich der Beweiswürdigung in Bezug auf den Eintritt einer psychischen Beeinträchtigung zu einem anderen Ergebnis zu kommen als das Landgericht. Die von derjenigen des Landgerichts abweichende Beweiswürdigung des Senats beruht nicht auf einer unterschiedlichen Einschätzung der Glaubhaftigkeit der Aussage der Klägerin, sondern auf divergierenden Schlussfolgerungen, die aus den Bekundungen der Klägerin im Hinblick auf den Eintritt eines ersatzfähigen Schadens gezogen wurden.

Der Senat bewertet den der Klägerin durch die erlittene psychische Beeinträchtigung entstandenen immateriellen Schaden mit einem Betrag von 200 EUR. Dabei war zu beachten, dass es sich nach Einschätzung durch den Senat vorliegend um eine eher geringfügige Beeinträchtigung von nicht sehr hoher Intensität handelt. Die Befürchtungen bestanden vorliegend nicht dauerhaft, wie das etwa bei der Veröffentlichung personenbezogener Daten im Internet der Fall ist, sondern nur punktuell während der Zeit der Fernprüfungen. Darüber hinaus drohten der Klägerin bei einem Auslösen des „Alarms“ durch die Software bei Unterschreitung des Referenzwertes noch keine unmittelbar nachteiligen Konsequenzen, sondern lediglich Maßnahmen zur Überprüfung des Grundes für das Auslösen der Software. Ein solche Überprüfung ist zwar für den Prüfling nachvollziehbarerweise mit unangenehmen Gefühlen verbunden, stellt aber noch kein so gravierendes Übel dar, dass von einer hohen psychischen Beeinträchtigung ausgegangen werden kann. Hinzu kommt, dass mit der Absolvierung mehrerer Fernprüfungen, bei denen der „Alarm“ durch die Software gerade nicht ausgelöst worden war, bei der Klägerin ein Gewöhnungseffekt eingetreten sein dürfte, der bei den später absolvierten Klausuren die Intensität der Befürchtungen, wenn sie überhaupt noch vorhanden waren, deutlich verringert haben dürfte. Der Senat hält daher die Bewertung des Schmerzensgeldbetrages mit einem im unteren Bereich der Bemessungsskala angesiedelten Betrag für gerechtfertigt.

Ein weitergehender Schaden in Form eines Kontrollverlustes über ihre biometrischen Schaden ist der Klägerin nicht entstanden. Allerdings hat der BGH in seiner nach Erlass des Urteils des Landgerichts ergangenen Leitentscheidung vom 18.11.2024, Az.:VI ZR 10/24, juris entschieden, dass der bloße Kontrollverlust über personenbezogene Daten bei dem von einem Datenschutzverstoß Betroffenen bereits einen ersatzfähigen Schaden darstellt. Jedoch muss der Betroffene den Eintritt eines solchen Kontrollverlusts darlegen und gegebenenfalls beweisen. Der Datenschutzverstoß als solcher stellt noch keinen Nachweis eines Kontrollverlusts dar.

Vorliegend hat die Klägerin durch die Verarbeitung ihrer biometrischen Daten schon deshalb keinen Kontrollverlust erlitten, weil sie zum Zeitpunkt der Datenverarbeitung bereits keine Kontrolle mehr über ihre ihr Gesicht betreffenden biometrischen Daten gehabt hat. Die Klägerin hat unstreitig Fotos von ihrem Gesicht seit 2015 auf stark besuchten Internetplattformen, insbesondere Instagram, veröffentlicht und erst 2022 die Sichtbarkeit dieser Bilder zumindest auf einen beschränkten Personenkreis reduziert. Damit bestand für eine unbegrenzte Vielzahl von Nutzern der Plattform Instagram über eine lange Zeitdauer die potentielle Möglichkeit, aus den Gesichtsfotos der Klägern biometrische Daten zu gewinnen. Dieses Vorbringen der Beklagten hat die Klägerin nicht bestritten. Die Generierung und Nutzung der biometrischen Daten der Klägerin war somit für eine unbegrenzte Vielzahl von Internetnutzern auf aller Welt gegeben, so dass die Klägerin nicht mehr die Kontrolle über ihre biometrischen Daten, soweit sie ihr Gesicht betreffen, besaß. Der Umstand, dass die Generierung und Nutzung von biometrischen Daten aus den von ihr veröffentlichten Bildern regelmäßig rechtswidrig sein dürfte, ändert am Eintritt des Kontrollverlusts nichts. Einem Kontrollverlust über personenbezogene Daten ist es gerade immanent, dass deren - insbesondere missbräuchliche - Verwendung durch Dritte durch den Betroffenen nicht mehr verhindert werden kann. Die Annahme der Klägerin, dass der von einem vor dem Datenschutzverstoß bereits eingetretenen Kontrollverlust Betroffene der Verwendung seiner Daten schutzlos ausgeliefert sei, ist unzutreffend. Selbstverständlich kann der Betroffene bei einer rechtswidrigen Generierung oder Verwendung seiner biometrischen (oder sonstigen personenbezogenen) Daten Schadensersatz geltend machen, wenn ihm hierdurch ein materieller oder immaterieller Schaden entstanden ist. Er kann lediglich keinen Schadensersatz wegen des (bloßen) Kontrollverlusts über seine personenbezogenen Daten mehr verlangen.

Schadensersatz wegen eines etwaigen Kontrollverlusts über ihre biometrischen Daten, der sich angesichts der Rechtsprechung des BGH im Urteil vom 18.11.2024, Az.: VI 10/24, wonach selbst der Kontrollverlust über dauerhaft im Darknet veröffentlichte personenbezogene Daten mit einem Schadensbetrag von etwa 100 EUR zu bewerten ist, ohnehin in einem eher symbolischen Bereich bewegen dürfte, kann die Klägerin somit nicht geltend machen.

Ein Verstoß gegen Art. 22 DSGVO liegt nicht vor. In dem Umstand, dass das Unterschreiten oder Nichtunterschreiten des Referenzwertes die Grundlage für eine Überprüfung des Vorliegens eines Täuschungsversuches bildet, sieht der Senat wie das Landgericht weder eine rechtliche wirksame Entscheidung für die Klägerin noch diese hierdurch „in ähnlicher Weise beeinträchtigt“. Das ist auch dann der Fall, wenn man wie angeblich in anderen Sprachversionen eine „beträchtliche Auswirkung“ fordert. Selbst wenn man einen Verstoß gegen Art. 22 DSGVO bejahen würde, stünde der Klägerin kein weitergehender Ersatz eines Schadens, den sie nicht bereits durch den Verstoß gegen Art. 9 Abs. 1 DSGVO verlangen kann, zu. Aus demselben Grund kann auch dahinstehen, ob dem Grunde nach Schadensersatzansprüche aus § 823 Abs. 2 BGB aus § 839 BGB i.V.m. Art. 34 GG oder aus § 25 TMMG gegeben sind.

Ein Verstoß gegen Art. 44 DSGVO (Übermittlung von Daten in Staaten außerhalb der EU) begründet ebenfalls keinen Schadensersatzanspruch, da eine entsprechende Datenschutzverletzung schon nicht feststeht. Insbesondere steht nicht fest, dass Daten an die in den USA ansässigen Gesellschaften der Mutterkonzerne Amazon bzw. Google übermittelt wurden. Darüber hinaus wäre die Klägerin durch die Übermittlung von Daten an den in den USA ansässigen Mutterkonzern Amazon aufgrund des bereits zuvor eingetretenen Kontrollverlust über ihre biometrischen Daten nicht zusätzlich geschädigt.

Ein Verstoß gegen die Verpflichtung der Beklagten, gemäß Art. 28 Abs. 3 und 4 DSGVO Verträge mit dem dort geregelten Inhalt mit den Auftrags- bzw. Unterauftragsverarbeitern zu schließen, dürfte zwar vorliegen, da die Beklagte solche Verträge trotz ausdrücklichen Bestreitens der Behauptung durch die Klägerin, dass solche existieren, nicht vorgelegt hat. Auch diesbezüglich hat die Klägerin jedoch keinen weitergehenden Schaden erlitten.

Auf die Geltendmachung von Schadensersatz wegen der Übermittlung von IP-Adressen der Klägerin an den Google-Konzern im Zusammenhang mit der Verwendung der Software WISEflow hat diese im Laufe des Verfahrens verzichtet. Die streitige Rechtsfrage (vgl. den Vorlagebeschluss des BGH an den EuGH vom 28.08.2025, Az.: VI ZR 258/24), in welchen Konstellationen an Dritte übermittelte IP-Adressen als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO anzusehen sind, kann somit offenbleiben.

Die Klägerin kann ebenfalls keinen Schadensersatz wegen der Verwendung des Lock-Down-Browsers der Firma Respondus verlangen. Hierbei handelt es sich nicht um einen Datenschutzverstoß durch die Beklagte. Dass durch den Zugriff auf das seitens der Klägerin auf ihrem Laptop installierte Programm auf auf dem Endgerät gespeicherte Daten zugegriffen wurde, die über die Programmbibliotheken des Lock-Down-Programms selbst hinausgehen, hat die Klägerin weder substantiiert vorgetragen noch hierzu Beweis angetreten. Der Zugriff auf die Daten des Programms, welches die Klägerin selbst auf Veranlassung der Beklagten zur Verhinderung der Inanspruchnahme unerlaubter Hilfsmittel bei den Fernprüfungen installiert hat, ist nicht rechtswidrig. Die Klägerin hat sich durch die Installation des Programms zwecks Teilnahme an der Fernprüfung mit dem Zugriff auf die Programmdaten während der Prüfung zumindest konkludent einverstanden erklärt. Zudem ist nicht ersichtlich, dass die Klägerin durch den Zugriff auf die Programmbibliotheken des Lock-Down-Programms einen Schaden erlitten hat.

Die Klägerin hat gegen die Beklagte daher einen Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens in Höhe von 200 EUR, so dass das Urteil des Landgerichts entsprechend abzuändern war.

Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Jeder der am Setzen von Cookies mitwirkt ist Anbieter im Sinne von § 25 TDDDG und haftet ggf. auf Unterlassung und Schadensersatz wenn die erforderliche Einwilligung fehlt

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Sat, 10 Jan 2026 16:19:00 +0100

OLG Frankfurt
Urteil vom 11.12.2025
6 U 81/23

Das OLG Frankfurt hat entschieden, dass jeder der am Setzen von Cookies mitwirkt, Anbieter im Sinne von § 25 TDDDG ist und ggf. auf Unterlassung und Schadensersatz haftet, wenn die erforderliche Einwilligung fehlt

Aus den Entscheidungsgründen:
e) Entgegen der Auffassung der Beklagten ist sie auch Verpflichtete des § 25 TDDDG.

Die Verpflichtung nach § 25 TDDDG ist nicht auf „Anbieter“ beschränkt wie andere Verpflichtungen des TDDDG (zB § 19); § 25 TDDDG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendiensts sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (Erwägungsgrund 66 S. 1 Cookie-RL), die üblicherweise nicht von Telemedienangeboten ausgehen (VG Köln, Urteil vom 17.07.2025, 13 K 1419/23, GRUR-RS 2025, 17335, Rnr. 80 ff.; Gierschmann/Baumgartner/Hanloser, 2023, TDDDG § 25 Rn. 42; HK-TDDDG/Schneider, 2022, TDDDG § 25 Rn. 17; BeckOK IT-Recht/Sesing-Wagenpfeil, 20. Ed. 1.10.2025, TTDSG § 25 Rn. 41-51).

Adressat des § 25 I 1 TDDDG ist daher jede natürliche oder juristische Person, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind (VG Köln Urt. v. 17.7.2025 - 13 K 1419/23, GRUR-RS 2025, 17335 Rn. 82).

Im Übrigen wäre die Beklagte auch als „Anbieterin“ iSv § 2 II Nr. 1 TDDDG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt - wobei der Begriff des „Mitwirkenden“ alle Arten von Hilfeleistung erfassen soll (HK-TDDDG/Assion, 1. Aufl. 2022, TDDDG § 2 Rn. 16-18) - oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. § 2 II Nr. 1 TDDDG liegt ein funktionales Verständnis zu Grunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TDDDG führt (Gierschmann/Baumgartner/Baumgartner, 1. Aufl. 2023, TDDDG § 2 Rn. 13), so z.B. auch der Hosting-Provider. Daher ist auch die Beklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch die Setzung der Cookies mitwirkt.

Der Ansicht des Senats steht - entgegen der Auffassung der Beklagten - nicht entgegen, dass Verfahren auf Grundlage von § 25 TDDDG (bzw. § 25 TTDSG) bisher nur gegen Webseitenbetreiber geführt worden sein sollen. Dass für ein Verstoß gegen § 25 TDDDG auch der Webseitenbetreiber verantwortlich sein kann, wird vom Senat nicht in Frage gestellt. Dies schließt allerdings nicht aus, dass auch eine Verantwortlichkeit der Beklagten besteht. Auch die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ stehen - unabhängig von der rechtlichen Unverbindlichkeit für den Senat - dem nicht entgegen, weist doch die Beklagte selber darauf hin, dass sich diese Hinweise „vor allem“ an Telemedienanbieter richten soll und eben nicht nur an diese.

Dies steht auch nicht in Widerspruch zu Art. 5 III der Cookie-Richtlinie, die durch § 25 TDDDG umgesetzt wird. Ebenso wie das TDDDG unterscheidet auch die Cookie-Richtlinie zwischen Pflichten, die gegenüber jedermann gelten und Pflichten, die nur Diensteanbieter betreffen sollen. Soweit im „Planet49“-Urteil des EuGH (MMR 2019, 732) im dritten Leitsatz der Begriff des „Diensteanbieters“ auftaucht, kann dies die Auslegung von Art. 5 III der Cookie-Richtlinie nicht beeinflussen. Leitsätzen kommt schon kein rechtlicher Charakter zu, der für die Auslegung einer Norm relevant wäre. Im Übrigen hat sich der EuGH in der Entscheidung an keiner Stelle mit der Frage der Anwendbarkeit von Art. 5 III der Cookie-Richtlinie auf Diensteanbieter befasst. Dass der Leitsatz gleichwohl auf einen Diensteanbieter Bezug nimmt, lässt sich zwangslos durch die Tatsache erklären, dass im Ausgangsverfahren eben ein Diensteanbieter beteiligt war.

f) Die Speicherung von Cookies ohne Einwilligung des Klägers auf dessen Endgerät stellt einen Verstoß gegen § 25 I TDDDG dar.

(1) Bei den streitgegenständlichen „Cookies“ handelt es sich um Informationen im Sinne von § 25 I TDDDG. Soweit die Beklagte darauf hinweist, es würden nur die IP-Adresse (anonymisiert), die Device-/Cookie-ID (Pseudonymisiert), der Besuchszeitpunkt sowie der verwendete Browser gespeichert, steht dies der Anwendung von § 25 TDDDG nicht entgegen. Der Begriff der Information wird im TDDDG nicht näher konturiert. Die Literatur verweist darauf, dass der Begriff umfassend zu verstehen sei (Schwartmann/Jaspers/Eckhardt/Burkhardt/Reif/Schwartmann Rn. 21; Plath/Piltz Rn. 38; Sebisch DSRITB 2022, 243, 250), sodass jegliche Information von der Vorschrift erfasst werde (Schürmann/Guttmann K&R 2023, 246, 247; Säcker/Körber/Werkmeister Rn. 15). Insbesondere auf einen Personenbezug der Information kommt es nicht an (Baumgartner/Hansch ZD 2020, 435, 437; Golland NJW 2021, 2238, 2239; Haberer MMR 2020, 810, 812; Hanloser ZD 2021, 121; Nebel CR 2021, 666, 670; HK-TDDDG/Schneider Rn. 23; Schürmann/Guttmann K&R 2023, 246, 247; Sebisch BeckOK IT-Recht/Sesing-Wagenpfeil, 16. Ed. 1.10.2024, TDDDG § 25 Rn. 22).

(2) Der Senat hat davon auszugehen, dass beim Besuch mehrerer Internetseiten Cookies der Beklagten ohne Einwilligung des Klägers auf dessen Endgerät gespeichert worden sind. Den entsprechenden Vortrag des Klägers hat die Beklagte nicht substantiiert bestritten.

aa) Der Kläger hat unter Vorlage ihres Privatgutachtens im Einzelnen dargetan, welche Internetseiten er besucht hat und dass im Anschluss die Cookies der Beklagten auf seinem Rechner gespeichert waren, ohne dass er dazu seine Einwilligung erteilt hatte. Darüber hinaus hat er mithilfe des Privatgutachtens dargestellt, wie dies festzustellen ist und insbesondere wie der Vorgang überprüfbar nachvollzogen werden kann, was der Privatgutachter getan hat und was die Beklagte ohne weiteres selbst überprüfen kann. Damit handelt es sich bei dem Vortrag des Klägers um Tatsachen, die Gegenstand der Wahrnehmung der Beklagten sein können, so dass sich die Beklagte vollständig und wahrheitsgemäß über die Darlegung des Klägers erklären müsste, wenn sie den gegnerischen Vortrag bestreiten wollte (§ 138 ZPO), ohne dass sie dafür die HAR-Datei der Beklagten benötigen würde.

Zudem hat der Kläger auf den Beschluss des Senats nach § 144 ZPO die HAR-Datei vorgelegt. Dieses neue Angriffsmittel war auch nicht nach § 531 I ZPO verspätet; es war vielmehr nach § 531 II Nr. 2 ZPO zuzulassen, da es infolge eines Verfahrensmangels im ersten Rechtszug nicht geltend gemacht wurde. Die Bestimmung des § 531 II Nr. 2 ZPO erfasst die Fälle, in denen eine Partei aufgrund eines objektiven Verfahrensfehlers des Erstgerichts Angriffs- und Verteidigungsmittel nicht vorgebracht hat. Darunter fällt insbesondere der Fall, dass nach § 139 gebotene Hinweise unterbleiben (BGH NJW 2004, 2152; BGH NJW 2018, 2202), sei es in Gestalt eines erforderlichen Hinweises nach § 139 I 2 ZPO zur Ergänzung und Vervollständigung des Vorbringens (BGH NJW 2005, 2624) oder eines Hinweises nach § 139 II ZPO, wenn das Erstgericht seine Entscheidung auf einen von der Partei erkennbar übersehenen Gesichtspunkt stützt (BGH NJW-RR 2005, 213; BeckOK ZPO/Wulf/Gaier, 58. Ed. 1.9.2025, ZPO § 531 Rn. 18). Hier hätte das Landgericht nach § 139 ZPO darauf hinweisen müssen, dass der Kläger zu Substantiierung seines Vortrags die HAR-Datei hätte vorlegen müssen. Auch eine Verspätung nach § 296 II ZPO liegt aus den gleichen Gründen nicht vor; eine grobe Nachlässigkeit ist nicht erkennbar.

bb) Dem ist die Beklagte nicht substantiiert entgegengetreten.

Soweit sie ausgeführt hat, die HAR-Datei weise keinerlei Bezug zum Kläger auf und zeige insbesondere nicht die IP-Adresse des Klägers, sondern lediglich isolierte Netzwerkanfragen an Server ohne die ausgehende IP-Adresse ist der Senat nach der informatorischen Anhörung des Klägers davon überzeugt, dass es sich um die Aufzeichnung des Netzwerkverkehrs des Klägers handelt. Der Kläger hat in seiner informatorischen Anhörung vor dem Senat erklärt, die im Verfahren vorgelegte HAR-Datei sei von ihm persönlich auf seinem Rechner angefertigt worden. Sein Rechtsanwalt, Herr J, sei dabei virtuell anwesend. Dabei habe dieser ihm erklärt, wie es funktioniere, eine solche HAR-Datei anzufertigen. Diese habe er anschließend an Herrn J übermittelt, wobei ihm nicht erinnerlich sei, ob dies per E-Mail geschehen oder wegen der Größe der Datei über einen Dienst. Es sei dann darüber informiert worden, dass wegen der HAR-Datei ein Gutachten eingeholt worden sei. Vor diesem Vorgang habe er seine Browser-Daten angeschaut und den Browser-Verlauf gelöscht; anschließend habe er die Seiten wieder angesteuert, die er in seinem Browser-Verlauf gehabt habe.

Aufgrund des Ergebnisses der Anhörung, des persönlichen Eindrucks des Senats von dem Kläger sowie dem Inhalt des Sachverständigengutachtens hat der Senat keine Zweifel daran, dass die streitgegenständliche HAR-Datei bei dem Kläger aufgezeichnet worden ist.

Dass die HAR-Datei als solche das Setzen von Cookies dokumentiert, stellt auch die Beklagte nicht in Frage. Sie hat ausgeführt, dass die HAR-Datei (lediglich) zeige, dass Cookies gesetzt wurden (EA Bl. 371). Dass die Websiteaufrufe von einer dem Kläger zuzuordnenden IP-Adresse erfolgt sind und dass die Cookies auf dem streitgegenständlichen Endgerät des Klägers gesetzt wurden, sieht der Senat - wie oben ausgeführt - als bewiesen an.

(3) Es fehlt auch an der notwendigen Einwilligung des Klägers in die Cookie-Setzung. Die Beklagte rügt, das Landgericht habe verkannt, dass der Kläger nicht bewiesen habe, dass er nicht in die Cookie-Setzung eingewilligt habe. Dabei verkennt sie allerdings die Darlegungs- und Beweislast. Für die Einwilligung als für sie günstige Tatsache ist die Beklagte darlegungs- und beweisbelastet. Seiner sekundären Darlegungslast ist der Kläger insoweit durch die Darlegung der Abläufe und Vorlage des Gutachtens sowie der HAR-Datei nachgekommen, so dass nunmehr die Beklagte eine Einwilligung hätte beweisen müssen.

Eine faktische Einwilligung dadurch, dass der Kläger die Cookies provoziert und damit jedenfalls als Zwischenschritt gewollt habe, liegt ersichtlich nicht vor. Das reine Besuchen der Internetseite ohne ausdrückliche Einwilligung kann nicht als Einwilligung auf der Grundlage von klaren und umfassenden Informationen im Sinne von § 25 I 1 TDDDG angesehen werden.

(4) Entgegen der Auffassung der Beklagten ist die Speicherung auch nicht durch andere Gründe gerechtfertigt. Die beiden gesetzlichen Zugriffsermächtigungen aus § 25 II TDDDG regeln das einwilligungsfreie Speichern und Zugreifen abschließend. Ein Rückgriff auf die datenschutzrechtlichen Erlaubnistatbestände des Art. 6 I lit. b-f DSGVO zur Rechtfertigung eines Gerätezugriffs iSd § 25 I ist ausgeschlossen. Ein berechtigtes Interesse am Gerätezugriff analog Art. 6 I f DSGVO ist § 25 II ist unbekannt (Gierschmann/Baumgartner/Hanloser, 1. Aufl. 2023, TTDSG § 25 Rn. 91).

g) Die Beklagte haftet insoweit auch für den Verstoß gegen § 25 I TDDDG als Täterin.

(1) Die Frage, ob sich jemand als Täter, Mittäter, Anstifter oder Gehilfe in einer die zivilrechtliche Haftung begründenden Weise an einer deliktischen Handlung eines Dritten beteiligt hat, beurteilt sich nach den im Strafrecht entwickelten Rechtsgrundsätzen (vgl. BGH NJW 1975, 49; NJW 1984, 1226; GRUR 2011, 152, Rn. 30 - Kinderhochstühle im Internet I; GRUR 2011, 1018, Rn. 24 - Automobil-Onlinebörse; BGH GRUR 214, 883, Rn.13 - Geschäftsführerhaftung). Täter ist derjenige, der die Zuwiderhandlung selbst begeht (§§ 25 I StGB, 830 Abs. 1 BGB; BGH GRUR 2004, 860 - Internet-Versteigerung I; GRUR 2007, 708 - Internet-Versteigerung II; GRUR 2009, 597, Rn. 14 - Halzband; GRUR 2011, 152, 154, Rn. 30 - Kinderhochstühle im Internet; BGH GRUR 214, 883, Rn.13 - Geschäftsführerhaftung), indem er den objektiven Tatbestand einer Zuwiderhandlung selbst und adäquat kausal verwirklicht (BGH, GRUR 2016, 961, Rn. 32 - Herstellerpreisempfehlung bei Amazon).

(2) Täter ist darüber hinaus in Anlehnung an die strafrechtlichen Kategorien (§ 25 I Alt. 2 StGB) der mittelbare Täter, der sich für den Rechtsverstoß als Hintermann gezielt eines unmittelbar handelnden Tatmittlers als Werkzeug bedient und so den Rechtsverstoß durch einen anderen begeht.

Die mittelbare Täterschaft erfordert zum einen, dass der Hintermann die durch den Tatmittler vorgenommene Zuwiderhandlung im eigenen Interesse veranlasst hat, und zum anderen, dass der Hintermann die Kontrolle über das Handeln des Tatmittlers hat. Im Hinblick auf die zweite Voraussetzung, nämlich die Kontrolle im Sinne der Tatherrschaft, scheidet eine mittelbare Täterschaft jedenfalls dann aus, wenn der Tatmittler den betreffenden Verstoß seinerseits täterschaftlich - also mit eigener Kontrolle und Tatherrschaft über den Geschehensablauf - begangen hat und somit als Täter haftet. Einen „Täter hinter dem Täter“ gibt es grundsätzlich nicht.

Der mittelbaren Täterschaft kommt allerdings nur ein potentiell sehr kleiner Anwendungsbereich zu. Denn für die Begründung einer eigenen Täterschaft reicht in den allermeisten Fällen der objektive Verstoß gegen eine Norm aus; Verschulden oder gar Vorsatz sind nicht erforderlich. Auch ein vorsatzlos handelnder Vordermann ist deshalb in aller Regel nicht nur Tatmittler, sondern selbst Täter, so dass der Hintermann nicht seinerseits als mittelbare Täter verantwortlich gemacht werden kann (Harte-Bavendamm/Henning-Bodewig/Goldmann, 5. Aufl. 2021, UWG § 8, Rnr. 462).

(3) Danach ist die Beklagte hier als Täterin anzusehen: Nach dem unbestritten gebliebenen Vortrag des Klägers ist es die Beklagte, die die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer auch ohne deren Einwilligung speichert, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst wird. Darüber hinaus greift sie - was ebenfalls erstinstanzlich unstreitig geblieben ist - auf die hinterlegten Informationen zu, indem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lässt, nachdem diese die Informationen über die weiteren Webseitenbesuche des Nutzers auf den Endgeräten ausgelesen haben.

Da die § 25 TDDG kein vorsätzliches Handeln erfordert, ist es für die Verwirklichung des Tatbestands unerheblich, ob und inwieweit die Beklagte von der fehlenden Einwilligung des Klägers Kenntnis hatte.

(4) Die Beklagte kann nicht damit gehört werden, dass ihr der Umstand nicht ursächlich zugerechnet werden könne, dass Webseitenbetreiber entgegen der Allgemeinen Geschäftsbedingungen der Beklagten das Setzen von Cookies ohne Zustimmung des Endnutzers haben veranlassen lassen.

Bei der fehlenden Einwilligung des Endnutzers, die erst den Verstoß gegen § 25 I TDDDG begründet, handelt es sich um ein negatives Tatbestandsmerkmal, das sich nicht durch ein positives Tun der Beklagten verwirklicht, sondern allein dadurch, dass sie selbst die Einholung der Einwilligung unterlässt und sich darauf verlässt, dass die jeweiligen Webseiten-Betreiber diese Einwilligung ordnungsgemäß eingeholt haben. Besteht das dem Verletzer vorgeworfene Verhalten in einem solchen Unterlassen, ist im Rahmen der normativ-kausalen Zurechnung zu fragen, ob eine pflichtgemäße Handlung den Eintritt der Rechtsgutsverletzung verhindert hätte (vgl. BGH, Urt.v.06.05.2021, I ZR 61/20, Rn. 27 - Die Filsbacher). Das ist hier der Fall. Denn nach der aus der Formulierung des § 25 I TDDDG herzuleitenden und in Art. 7 Abs. 1 DSGVO ausdrücklich geregelten Darlegungs- und Beweislastverteilung muss die Beklagte nachweisen, dass der Endnutzer vor der Speicherung der Cookies auf seinem Endgerät eingewilligt hat. Wie die Beklagte diesen Nachweis führen möchte, ist zunächst ihre Sache. Jedenfalls aber hat die Regelung über die Verteilung der Darlegungs- und Beweislast zur Folge, dass sie sicherstellen muss, dass ihr die Einwilligung des Endnutzers vom Webseitenbetreiber übermittelt wird, bevor sie ihre Cookies auf dem Gerät des Endnutzers speichert. Dadurch, dass sie dieses pflichtgemäße Handeln unterlässt, verwirklicht sie den Verstoß gegen § 25 I TDDDG adäquat-kausal.

(5) Es fehlt auch nicht an der Adäquanz. Das Kriterium der Adäquanz dient im Rahmen der Feststellung des Zurechnungszusammenhangs dem Zweck, diejenigen Kausalverläufe auszugrenzen, die dem Verletzer billigerweise nicht mehr zugerechnet werden können. Im Deliktsrecht besteht ein adäquater Zusammenhang zwischen Tatbeitrag und Taterfolg, wenn eine Tatsache im Allgemeinen und nicht nur unter besonders eigenartigen, ganz unwahrscheinlichen und nach regelmäßigem Verlauf der Dinge außer Betracht zu lassenden Umständen zur Herbeiführung eines Erfolges geeignet ist. Hieran kann es fehlen, wenn der Verletzte oder ein Dritter in völlig ungewöhnlicher und unsachgemäßer Weise in den schadensträchtigen Geschehensablauf eingreift und eine weitere Ursache setzt, die den Schaden erst endgültig herbeiführt. Bei der Ermittlung der Adäquanz ist auf eine nachträgliche Prognose abzustellen, bei der neben den dem Verletzer bekannten Umständen alle einem optimalen Betrachter zur Zeit des Eintritts des Schadensereignisses erkennbaren Gegebenheiten zu berücksichtigen sind (BGH, GRUR 2016, 961, Rn. 34 - Herstellerpreisempfehlung bei Amazon m.w.N.).

Dass es sich bei dem Setzen von Cookies ohne Einwilligung des Endnutzers auf den Webseiten Dritter keineswegs um einen besonders eigenartigen, ganz unwahrscheinlichen und nach dem regelmäßigen Verlauf der Dinge außer Betracht zu lassenden Umstand handelt, liegt auf der Hand. Im Gegenteil stellt es sogar ein naheliegendes und typisches Risiko dar, wenn die Beklagte Webseitenbetreibern ihren Quellcode zur Verfügung stellt, die damit datenschutzrelevante Prozesse unter Einbeziehung der Beklagten auslösen können, ohne dass die Beklagte in irgendeiner Weise kontrollieren kann, ob tatsächlich eine Einwilligung vorliegt oder sich dies jedenfalls von dem Beklagten durch Übermittlung der Einwilligung bestätigen lässt.

(6) Ob der Beklagten ein solches pflichtgemäßes Verhalten durch entsprechende technische Vorkehrungen möglich ist, ist für die rechtliche Beurteilung des vorliegenden Falls irrelevant. Die Frage des technisch Möglichen kann allenfalls im Rahmen der Störerhaftung eine Rolle spielen, auf die es hier nicht ankommt. Im Übrigen ist schon nicht nachvollziehbar, wieso es der Beklagten nicht möglich sein soll, ihre Cookies erst dann auf den Endgeräten von Nutzern abzuspeichern, wenn ihr dessen Einwilligung übersandt worden ist. Hinzu kommt, dass der Gesetzgeber in § 26 TDDDG davon ausgeht, dass Dienste zur Einwilligungsverwaltung technisch und rechtlich möglich sind. Insofern beruft sich die Beklagte auch nur darauf, dass derzeit entsprechende Dienste noch nicht am Markt durchgesetzt sind. Das lässt die Anforderungen des § 25 I TDDDG jedoch unberührt.

h) Soweit die Beklagte im Hinblick auf die Tenorierung „für die Auswertung zum Zwecke zielgerichteter Werbung“ rügt, die Beklagte betreibe keine Werbeplattform und verwende die eingesetzten Technologien nicht zu Werbezwecken, sondern nur zur Reichweitenmessung, ist dieses Argument nicht valide.

Der Unterlassungsanspruch des Klägers besteht einschränkungslos, da § 25 TDDDG insoweit auch keine Einschränkung vorsieht. Die Speicherung ist nicht nur zu Werbezwecken, sondern grundsätzlich untersagt. Schränkt der Kläger mit dem Zusatz „zu Werbezwecken“ nun seinen Unterlassungsanspruch ein, mag er weniger verlangen, als ihm tatsächlich zustehen würde. Dies ist jedoch unschädlich.

5. Das notwendige Feststellungsinteresse für den Schadensersatzfeststellungs-anspruch liegt nicht vor. Es ist nicht vorgetragen und erkennbar, wie dem Kläger in Zukunft durch die (pseudonymisierte) Cookie-Setzung noch ein materieller Schaden entstehen sollte.

Den Volltext der Entscheidung finden Sie hier:

BFH: Finanzgerichtliche Klage auf Schadensersatz aus Art. 82 DSGVO nur zulässig wenn der Anspruch zuvor von der Finanzbehörde abgelehnt wurde

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 23 Dec 2025 12:27:00 +0100

BFH
Beschluss vom 15.09.2025
IX R 11/23

Der BFH hat entschieden, dass eine finanzgerichtliche Klage auf Schadensersatz aus Art. 82 DSGVO nur zulässig ist, wenn der Anspruch zuvor von der Finanzbehörde abgelehnt wurde.

Leitsatz des BFH:
Die (finanzgerichtliche) Klage auf Schadenersatz nach Art. 82 der Datenschutz-Grundverordnung ist unzulässig, wenn es an einer vorherigen Ablehnung des Anspruchs seitens der Finanzbehörde und damit an einer für die Klageerhebung notwendigen Beschwer fehlt.

Den Volltext der Entscheidung finden Sie hier: