BECKMANN UND NORDA - Rechtsanwälte Bielefeld (Artikel mit Tag personenbezogene daten)

BGH: Im Zwangsversteigerungsverfahren gestatten § 42 ZVG und Art. 6 Abs. 1 Abs. 1 lit. e DSGVO Einsicht in die genannten Bestandteile der Verfahrensakte ohne Schwärzung personenbezogener Daten

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 11 Jun 2026 14:47:00 +0200

BGH
Beschluss vom 21.05.2026
V ZB 90/25

Der BGH hat entschieden, dass im Zwangsversteigerungsverfahren § 42 ZVG und Art. 6 Abs. 1 Abs. 1 lit. e DSGVO die Einsicht in die genannten Bestandteile der Verfahrensakte gestatten, ohne dass die Schwärzung personenbezogener Daten erforderlich ist.

ZVG § 42; DSGVO Art. 6 Abs. 1 Abs. 1 Buchst. e
In Zwangsversteigerungsverfahren gestattet § 42 ZVG jedem die Einsicht in die dort genannten Bestandteile der Verfahrensakte, ohne dass die hierin enthaltenen personenbezogenen Daten zuvor unkenntlich zu machen (zu „schwärzen“) sind.

ZPO § 299 Abs. 4 Satz 2, § 869; ZVG § 42
Personen, die in Zwangsversteigerungsverfahren Akteneinsicht nehmen, dürfen die ihnen überlassenen Akteninhalte weder ganz noch teilweise öffentlich verbreiten oder sie Dritten zu verfahrensfremden Zwecken übermitteln
oder zugänglich machen.

BGH, Beschluss vom 21. Mai 2026 - V ZB 90/25 - LG Bamberg AG Bamberg

Den Volltext der Entscheidung finden Sie hier:

LG Berlin: Bußgeld über 900.000 EURO gegen die Deutsche Wohnen SE wegen Verstößen gegen die Grundsätze der Datenminimierung und Speicherbegrenzung nach Art. 5 Abs. 1 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 10 Jun 2026 09:09:00 +0200

LG Berlin
Urteil vom 09.06.2026
526 OWi LG 1/20

Das LG Berlin hat gegen die Deutsche Wohnen SE ein Bußgeld von 900.000 Euro verhängt, weil das Unternehmen vorsätzlich gegen die DSGVO-Grundsätze der Datenminimierung und Speicherbegrenzung nach Art. 5 Abs. 1 DSGVO verstoßen hat. Das Unternehmen hatte es versäumt, personenbezogene Daten ehemaliger Mieter – darunter Gehaltsbescheinigungen, Kontoauszüge und Ausweisdokumente – rechtzeitig zu löschen. Das ursprünglich von der Berliner Datenschutzbehörde verhängte Bußgeld von 14,5 Millionen Euro hatte die Kammer deutlich reduziert, u.a. weil die Verstöße nur in der Einführungsphase der DSGVO auftraten.

Die Pressemitteilung des Gerichts:
Landgericht Berlin I verhängt Bußgeld gegen die Deutsche Wohnen wegen Verstößen gegen die Datenschutz-Grundverordnung

Die 26. Große Strafkammer des Landgerichts Berlin I als Bußgeldkammer hat heute gegen die Wohnungsbaugesellschaft Deutsche Wohnen SE wegen Verstoßes gegen die Pflicht, geeignete technische und organisatorische Maßnahmen zur wirksamen Umsetzung der Datenschutzgrundsätze zu treffen, ein Bußgeld in Höhe von 900.000,- Euro verhängt. Die Kammer sah es als erwiesen an, dass die Deutsche Wohnen SE, eine börsennotierte deutsche Wohnungsgesellschaft mit Sitz in Berlin, nach dem Inkrafttreten der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, kurz: DSGVO) im Jahr 2016 und deren Geltung ab dem 25. Mai 2018 nach Ablauf eines zweijährigen Übergangszeitraums nicht rechtzeitig die erforderlichen Änderungen im IT-System der Unternehmensgruppe eingeführt habe, um die fristgemäße Löschung von personenbezogenen Daten ehemaliger Mieterinnen und Mieter des Unternehmens zu gewährleisten.

Ausgangspunkt der Entscheidung der Kammer war ein Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) vom 30. Oktober 2019 gewesen, in der diese als zuständige Aufsichtsbehörde gegen die Deutsche Wohnen wegen verschiedener Verstöße gegen die DSGVO ein Bußgeld in Höhe von rund 14,5 Millionen Euro verhängt hatte. Dagegen hatte das betroffene Unternehmen Einspruch eingelegt. Die 26. Große Strafkammer des Landgerichts hatte das Verfahren zunächst mit Beschluss vom 18. Februar 2021 wegen eines Verfahrenshindernisses eingestellt. Auf die sofortige Beschwerde der BlnBDI hin hatte das Kammergericht den Fall wegen verschiedener offener europarechtlicher Fragen dem Europäischen Gerichtshof (EuGH) vorgelegt. Nach einer Grundsatzentscheidung des EuGH im Dezember 2023 hatte das Kammergericht den Beschluss des Landgerichts vom Februar 2021 aufgehoben und die Sache erneut der 26. Großen Strafkammer zur Verhandlung in der Sache vorgelegt.

Diese hat – in anderer personeller Besetzung als noch im Jahr 2021 – nun in einer mehrtätigen Hauptverhandlung eine Beweisaufnahme durchgeführt, in deren Ergebnis für die Kammer feststand, dass die Deutsche Wohnen im Tatzeitraum vom 25. Mai 2018 bis 5. März 2019 gegen die Grundsätze der Datenminimierung aus Art. 5 Abs. 1 Buchstabe c DSGVO und Speicherbegrenzung aus Art. 5 Abs. 1 Buchstabe e DSGVO verstoßen hat. Es sei dem Unternehmen zumutbar und auch technisch möglich gewesen, die sensitiven Daten ehemaliger Mieterinnen und Mieter – neben Gehaltsbescheinigungen und Kontoauszügen auch Personalausweisdokumente – besser zu schützen und für deren rechtzeitige Löschung zu sorgen. Es sei von einem vorsätzlichen Verstoß des Unternehmens gegen die DSGVO auszugehe, so der Vorsitzende der Kammer in seiner heutigen mündlichen Urteilsbegründung. Neben dem Verstoß gegen die genannten Datenschutzgrundsätze sei in Einzelfällen betreffend ehemalige Mieterinnen und Mieter auch vorsätzlich gegen die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 6 Abs. 1 DSGVO verstoßen worden.

Tat- und schuldangemessen sei eine Geldbuße in Höhe von 900.000,- Euro, so der Vorsitzende weiter. Dabei habe die Kammer u.a. gewürdigt, dass die Deutsche Wohnen externe Wirtschaftsprüfer, Berater und IT-Fachleute eingeschaltet habe, um die konzerneigenen IT-Systeme auf die neuen Vorschriften umzustellen. Die festgestellten Verstöße seien lediglich in der Einführungsphase der DSGVO aufgetreten, und auch die Berliner Datenschutzbehörde habe Schwierigkeiten gehabt, sich an die neue Gesetzeslage anzupassen und den Ist-Zustand gerichtsfest zu dokumentieren, weshalb das Bußgeld wesentlich niedriger anzusetzen sei, als zunächst von der BlnBDI veranschlagt.

Das Urteil ist noch nicht rechtskräftig. Es kann mit dem Rechtsmittel der Rechtsbeschwerde angefochten werden.

Az.: 526 OWi LG 1/20

Volltext OLG Köln liegt vor: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 03 Jun 2026 18:02:00 +0200

OLG Köln
Urteil vom 23.05.2025
15 UKl 2/25

Wir hatten bereits in dem Beitrag OLG Köln: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA über die Entscheidung berichtet.

Aus den Entscheidungsgründen:
1. Der Antrag ist zulässig.

a) Der Verfügungskläger ist berechtigt, einen etwaigen Verstoß gegen die DSGVO im Wege der Verbandsklage geltend zu machen (§ 2 Abs. 1 i.V.m. § 2 Abs. 2 Nr. 13 UKlaG).

Ferner ist der Verfügungskläger gemäß § 2 Abs. 2 Nr. 56 UKlaG grundsätzlich berechtigt, einen etwaigen Verstoß gegen Vorschriften der Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte; im Folgenden: DMA) im Wege der Verbandsklage geltend zu machen (vgl. Baetge in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 78; Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 564).

Anhaltspunkte dafür, dass eine private Rechtsdurchsetzung hinter einer Durchsetzung der Kommission zurücktreten müsste, bestehen – anders als die Verfügungsbeklagte anführt – insoweit nicht.

In Art. 42 DMA wird unter der Überschrift „Verbandsklagen“ für Zuwiderhandlungen von Torwächtern ausdrücklich auf Verbandsklagen verwiesen und die Verbandsklagerichtlinie (Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates) für anwendbar erklärt. Ziel war es insoweit, dass Verbraucher ihre Rechte im Zusammenhang mit den gemäß des DMA für Torwächter geltenden Verpflichtungen im Wege von Verbandsklagen nach der Verbandsklagerichtlinie durchsetzen können (Erwägungsgrund 104 des DMA; vgl. auch: Köhler u.a., UWG, 2025, § 2 UKlaG Rn. 13; Baetge in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 78; Brüggemann, WuW 2025, 183, 184 f.; Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 274). Im Anhang der Verbandsklagerichtlinie wurde entsprechend der Anordnung in Art. 52 DMA korrespondierend auf den DMA verwiesen. Mit der Aufzählung in § 2 Abs. 2 UKlaG hat der (deutsche) Gesetzgeber das Ziel verfolgt, zur Umsetzung der Verbandsklagerichtlinie alle in deren Anhang aufgeführten EU-Verordnungen und die Vorschriften zur Umsetzung der dort aufgeführten Richtlinienbestimmungen zu erfassen, soweit nicht § 1 UKlaG oder § 8 Absatz 1 UWG einschlägig sind (BT-Drucks 145/23, S. 125).

Ob die Vorschrift des Art. 5 Abs. 2 DMA jedenfalls im konkreten Fall unmittelbare Rechte für Endnutzer begründen kann, die sich darauf in privater Rechtsdurchsetzung berufen können (vgl. hierzu: Brüggemann, WuW 2025, 183, 186 sowie 187 f.; Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 273), lässt der Senat offen, da die von der Verfügungsbeklagten angekündigte Datenverarbeitung aus den unter Ziffer 2 Buchstabe a genannten Gründen nicht gegen Art. 5 Abs. 2 DMA verstößt.

b) Mit der Bezugnahme des § 5 UKlaG auf § 12 Abs. 1 UWG ist klargestellt, dass einstweiliger Rechtsschutz im Anwendungsbereich des Unterlassungsklagengesetzes möglich ist (vgl. B., in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, Vor § 935 Rn. 57). Damit ist auch vorbeugender Rechtsschutz möglich (vgl. B., in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, Vor § 935 Rn. 32).

c) Das Oberlandesgericht Köln ist als Gericht der Hauptsache auch für den Eilrechtsschutz zuständig (§ 937 ZPO, § 5 UKlaG).

aa) Die internationale Zuständigkeit deutscher Gerichte in der Hauptsache ergibt sich im Hinblick auf einen Verstoß gegen die DSGVO aus Art. 79 Abs. 2 DSGVO. Der Verfügungskläger macht als qualifizierte Einrichtung im Sinne des Art. 80 Abs. 2 DSGVO die Verletzung von Rechten betroffener Personen im Sinne von Art. 4 Nr.1 DSGVO mit gewöhnlichem Aufenthalt in Deutschland geltend (vgl. BGH, Urteil vom 19. November 2024 - VI ZR 10/24 -, juris, Rn. 20).

bb) Im Hinblick auf einen etwaigen Verstoß gegen Art. 5 Abs. 2 DMA ergibt sich die internationale Zuständigkeit deutscher Gerichte in der Hauptsache aus Art. 7 Nr. 2 EUGVO, da die beanstandete Datenverarbeitung bestimmungsgemäß Daten von Nutzern in Deutschland betrifft (vgl. D. Baetge, in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 113; A. Baetge in: Herberger u.a., jurisPK-BGB, 12.09.2023, § 6 UKlaG Rn. 6).

cc) Das Oberlandesgericht Köln ist nach § 6 Abs. 1 S. 2 Nr. 2 UKlaG in der Hauptsache sachlich und örtlich zuständig. Da unbestritten geblieben ist, dass die Verfügungsbeklagte über keine gewerbliche Niederlassung bzw. keinen Gesellschaftssitz in Deutschland verfügt und ein Verstoß durch die beabsichtigte Datenverarbeitung jedenfalls auch im Bezirk des Oberlandesgerichts Köln eintreten würde, ist eine Zuständigkeit des Gerichts gegeben.

2. Der Antrag ist nicht begründet.

Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.

a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.

aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.

bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).

Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.

Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).

Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.

Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:

Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.

Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.

b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.

aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).

Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).

bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).

cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.

aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).

bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.

Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.

"Volltext OLG Köln liegt vor: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA" vollständig lesen

LG Karlsruhe: Rechnungen per E-Mail müssen nicht mit Ende-zu-Ende-Verschlüsselung versendet werden - Versender haftet nicht für Schaden durch man-in-the-middle-Attacke

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Fri, 29 May 2026 16:49:00 +0200

LG Karlsruhe
Urteil vom 20.05.2026
8 O 266/25

Das LG Karlsruhe hat entschieden, dass ein Verkäufer beim Versand von Rechnungen per E-Mail nicht verpflichtet ist, eine Ende-zu-Ende-Verschlüsselung zu verwenden, und deshalb nicht haftet, wenn unbekannte Dritte die Rechnung abfangen und die Bankverbindung manipulieren. Eine solche Verschlüsselung entspricht weder den üblichen Sicherheitserwartungen im Geschäftsverkehr noch ergibt sie sich aus der DSGVO. Auch ein Schadensersatzanspruch nach Art. 82 DSGVO scheidet aus, weil nicht die personenbezogenen Daten der Käufer verarbeitet wurden, sondern die Bankverbindungsdaten der Beklagten manipuliert wurden.

Aus den Entscheidungsgründen:
II. Die Klage ist auch hinsichtlich des hilfsweise begehrten Schadensersatzes abzuweisen. Den Klägern steht unter keinem rechtlichen Gesichtspunkt ein Anspruch auf Erstattung des fehlerhaft an die O-Bank überwiesenen Geldbetrages in Höhe von 109.185,00 € zu.

1. Ein Anspruch besteht nicht aufgrund der außergerichtlichen Antwortmail der Beklagten vom 14.04.2023 (Anlage zum Protokoll), in der die Beklagte mitteilte, dass der Auftrag storniert werde und „sollten irgendwelche Kosten entstehen“ dies nicht das Problem des Klägers sei, sondern diese von der Beklagten zu tragen sein sollten.

In dieser Erklärung kann aber aus der Sicht eines objektiven Erklärungsempfängers nach §§ 133, 157 BGB kein Einstandswillen der Beklagten dahingehend gesehen werden, für alle Schäden in dem Zusammenhang aufzukommen. Zum einen stammt die E-Mail von einem Zeitpunkt, in dem die Überweisung bereits getätigt war, sodass schon vom Wortlaut her „Kosten entstehen“ nicht umfasst ist. Die Kosten waren zu diesem Zeitpunkt bereits entstanden. Zum anderen ist es fernliegend, dass die Beklagte damit erklären wollte, für alle Schäden einzustehen, wo doch beide Parteien davon ausgingen, dass unbekannte Dritte die Rechnung gefälscht hatten.

2. Ein Anspruch besteht auch nicht aus einer kaufvertraglichen Nebenpflichtverletzung der Beklagten mit den Folgen eines Schadensersatzes nach §§ 280 Abs. 1, 241 Abs. 2 BGB.

Gem. § 241 Abs. 2 BGB kann das Schuldverhältnis nach seinem Inhalt jeden Teil zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichten. Soweit sich solche Nebenpflichten also nicht aus besonderen gesetzlichen Vorschriften ergeben, können sich diese lediglich aus dem Inhalt des Vertrages ergeben. Dabei sind zunächst allgemeine Schutz-, Fürsorge- und Obhutspflichten als Nebenpflichten dergestalt anerkannt, dass jede Partei bei der Abwicklung des Schuldverhältnisses sich so zu verhalten hat, dass Körper, Leben, Eigentum, Vermögen und sonstige Rechtsgüter des anderen Teils nicht verletzt werden (BGH NJW 1983, 2813; KG NJW 1985, 2137; Soergel/Teichmann § 242 Rn. 178; BeckOGK/Fritzsche/Harman Rn. 346, BeckOK BGB/Sutschet, 77. Ed. 1.2.2026, BGB § 241 Rn. 89, beck-online).

a) Eine solche Pflichtverletzung, für die die Kläger schon nach den allgemeinen Grundsätzen darlegungs- und beweisbelastet sind, ist vorliegend nicht dargetan. Anders als die Kläger meinen, war die Beklagte bei der Übersendung der Rechnung vertraglich nicht dazu verpflichtet, eine Ende-zu-Ende-Verschlüsselung (E2EE) zu verwenden, um einem entsprechenden Missbrauch vorzubeugen.

Wie bereits ausgeführt, erfolgte der Vertragsschluss zwischen den Parteien mündlich durch Einigung der Beklagten mit dem von der Klägerseite beauftragten Vertreter. Besondere Vereinbarungen zur Tilgung des geschuldeten Kaufpreises haben die Parteien hierzu nicht getroffen, jedenfalls sind solche nicht vorgetragen. Bei lebensnaher Auslegung des vorgetragenen Sachverhalts ist jedoch anzunehmen, dass die Parteien eine Überweisung auf das Bankkonto der Beklagten vorsahen, so wie dies letztlich korrekt in der nachträglich übersendeten postalischen Rechnung mitgeteilt wurde. Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht (vgl. OLG Karlsruhe, Urteil vom 27.7.2023 – 19 U 83/22 in MMR 2023, 761 Rn. 29, beck-online). Welches Maß an Sicherheitsvorkehrungen von der Beklagten zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (ebd.). Dabei muss berücksichtigt werden, welche Erwartungen konkret die jeweiligen Vertragspartner tatsächlich haben.

Im Rahmen der informatorischen Anhörung gab der Kläger zu 1 selbst an, dass er von dem beauftragten Freund angewiesen worden sei, die E-Mail-Adresse mitzuteilen, damit alles geschickt werden könne. Er sollte auch eine Kopie des Personalausweises mitschicken. Dass die Kläger hier ihrerseits besonderen Wert auf sichere Übertragungswege gelegt hätten, ergibt sich daraus nicht, obwohl gar eine Ausweiskopie mit übersandt wurde. Letztlich war es auch der Kläger zu 1, der nach Erstattung einer Anzeige zur Einleitung eines Ermittlungsverfahrens nochmal unverschlüsselten Kontakt mit der Beklagten per E-Mail am 14.04.2026 (Anlage zum Protokoll) aufgenommen hatte. Selbst in Kenntnis des Umstandes, dass die in der E-Mail abgesandten Rechnungen „abgegriffen“ worden waren und die IBAN ausgetauscht wurde, war es der Kläger zu 1, der in seiner E-Mail wesentliche Informationen zum bisherigen Verfahrensstand mit sensiblen Daten an die Beklagte übersandte und hierin unter Nennung seiner privaten Postadresse um Übersendung der schriftlichen Originalrechnungen per Brief bat. Mit anderen Worten hatten die Kläger selbst zu einem Zeitpunkt, als sie schon offensichtlich Opfer einer Straftat wurden, noch keine Notwendigkeit einer verschlüsselten Kommunikation gesehen. Offenbar wird dies letztlich auch darin, dass der Kläger zu 1 am Tag der Überweisung am 05.04.2023 eine unverschlüsselte E-Mail (Anlage K5) an die Beklagte übersandte, die zum Inhalt sowohl die jeweiligen Rechnungsnummern, als auch die Kundennummer, den Klarnamen und auch die absendende Bank mit IBAN und BIC enthält. Dabei kann ihnen hieraus kein Vorwurf gemacht werden, denn es obliegt im Wesentlichen den Klägern, welche Sicherungsvorkehrung sie in ihren Geschäften für erforderlich halten, nur verdeutlicht dies, dass die Kläger im Vorfeld unter keinen Umständen die Erwartungshaltung gehegt haben konnten, dass die Rechnungen mit besonderer Verschlüsselungstechnik per E-Mail zu übersenden seien.

b) Eine (kausale) Pflichtverletzung kann auch nicht darin gesehen werden, dass die Beklagte auf die Mitteilung des Klägers zu 1, dass das Geld bereits überwiesen worden sei (Anlage K5), lediglich mit „besten Dank für die Info“ antwortete. Diese Antwort geschah bereits zu einem Zeitpunkt, zu dem das Geld bereits irrtümlicherweise überwiesen und der Schaden bereits eingetreten war.

3. Den Klägern steht auch kein Schadensersatz gem. Art. 82 DSGVO auf Erstattung des fehlerhaft überwiesenen Zahlbetrages zu. Zwar hatte das Oberlandesgericht Schleswig mit Urteil vom 18.12.2024 (12 U 9/24) in einem grundsätzlich vergleichbaren Fall, in dem der Überweisungsbetrag von 14.924,20 € nach Manipulation einer Rechnung durch kriminell handelnde Dritte auf das Konto eines Dritten gutgeschrieben wurde, dem Werkbesteller einen Schadensersatz in Höhe des Überweisungsbetrages gem. Art. 82 DSGVO zugesprochen, der der nicht erfüllten Werklohnforderung des Werkunternehmers gem. § 242 BGB entgegengehalten werden kann. Dem kann aus verschiedenen Gründen aber nicht gefolgt werden.

a) Zunächst setzt auch der Schadensersatzanspruch nach Art. 82 DSGVO einen Verstoß gegen die Datenschutzgrundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteil vom 4. Oktober 2024 – C-507/23). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt (BGH Urt. v. 18.11.2024 – VI ZR 10/24, GRUR-RS 2024, 31967 Rn. 21, beck-online).

Da Art. 82 Abs. 1 DSGVO den Verstoß gegen die DSGVO sanktioniert, ist die Eröffnung des Anwendungsbereichs der DSGVO impliziert. Dieser ist vorliegend aber weder eröffnet noch ist deren Schutzzweck betroffen. Dabei ist die Frage, ob ein Verstoß gegen die Datenschutzgrundverordnung im Sinne des Art. 82 Abs. 1 DSGVO auch eine entsprechende Datenverarbeitung erfordert, bislang höchstrichterlich nicht entschieden (offen gelassen: BGH Urt. v. 18.11.2024 – VI ZR 10/24, GRUR-RS 2024, 31967 Rn. 21, beck-online). Das erkennende Gericht hält eine solche aber für erforderlich.

Gem. Art. 2 Abs. 1 DSGVO kommt die Verordnung dann zur Anwendung, wenn personenbezogene Daten verarbeitet oder gespeichert werden sollen. Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen“ definiert. Dies setzt wiederum voraus, dass bei einer Verarbeitung gegen die DSGVO verstoßen worden sein muss (vgl. Ehmann/Selmayr/Nemitz, 3. Aufl. 2024, DS-GVO Art. 82 Rn. 12, beck-online). Dies deckt sich auch mit der verordnungsgebenden Intention, wenn es in Erwägungsgrund Nr. 146 heißt „der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen“ ([VO (EU) 2016/679] [Vorbemerkung], beck-online).

Hiernach ist also im vorliegenden Fall weder Schutzbereich noch Schutzzweck der Norm eröffnet, denn die in Art. 2 Nr. 1 DSGVO vorausgesetzte Verarbeitung von Informationen einer natürlichen Person ist nicht gegeben. Denn nicht die auf den Kläger bezogenen Daten wurden geändert und damit verarbeitet, sondern die Bankverbindungsdaten der Beklagten. Diese unterfallen jedoch nicht dem Schutzbereich der Datenschutzgrundverordnung, zumal es sich bei der Beklagten schon nicht um eine natürliche Person im Sinne vorgenannter Vorschrift handelt (vgl. auch Veeck, ZD 2025, 284). Allein anhand dieser Daten kann zudem ein Rückschluss auf die Kläger aber nicht gezogen werden (so auch Pauly, ZfBR 2025, 629; OLG Karlsruhe Urteil vom 27.07.2023 - 19 U 83/22; LG Rostock Urteil vom 20.11.2024 – 2 O 450/24 in NJW 2025, 2039, beck-online). Zwar ist es zutreffend, dass das Datenschutzrecht nicht die zu verarbeitenden Informationen an sich schützt, sondern die natürliche Person, deren Daten verarbeitet werden sollen (so Hessel/Prgomet in Rdi 2025, 221), dies setzt aber auch hiernach voraus, dass die Daten der natürlichen Person auch verarbeitet worden sein müssen. Zwar legt Art. 4 Nr. 2 DSGVO ein weites Verständnis der Verarbeitung nahe, gleichwohl sind hier die personenbezogenen Daten der Kläger allenfalls zufällig betroffen, denn der Schaden entstand nicht durch eine Veränderung der Daten der Kläger, sondern durch die kriminelle Veränderung der Bankverbindungsdaten der Beklagten durch Dritte. Für das Eintreten des Schadens war eine Veränderung oder Verarbeitung der Daten der Kläger nicht erforderlich, vielmehr war deren Integrität gerade wesentliche Voraussetzung für die Entstehung. Denn nur wenn die Daten der Kläger unverändert blieben, konnten diese in die Reichweite der unbekannten Dritten und damit in einen Bereich gelangen, in dem der Schaden eintreten konnte. Mit anderen Worten entsteht der Schaden nicht wegen der Verletzung personenbezogener Daten, sondern der Schaden aktiviert eine lediglich zufällige Betroffenheit (vgl. Schwarz in MMR 2025, 369).

b) Selbst wenn man aber eine Anwendbarkeit der DSGVO unterstellte (so etwa Hessel/Prgomet in Rdi 2025, 221; BeckOK DatenschutzR/Quaas, 55. Ed. 1.2.2026, DS-GVO Art. 82 Rn. 13b, beck-online), läge jedenfalls kein Verstoß gegen die der Beklagten obliegenden Pflichten vor. Ein solcher wäre im Übrigen von den darlegungs- und beweisbelasteten Klägern nicht nachgewiesen.

a) Die Beklagte war nach der DSGVO nicht dazu verpflichtet, die streitgegenständlichen Rechnungen mittels Ende-zu-Ende-Verschlüsselung zu versenden.

Die DSGVO legt unter anderem in Art 24 Abs. 1 DSGVO dem Verantwortlichen auf „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um[zusetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt“. Nach Art. 24 Abs. 2 DSGVO muss der Verantwortliche daneben präventiv tätig werden und geeignete Datenschutzvorkehrungen treffen, welche in einem angemessenen Verhältnis zur Verarbeitungstätigkeit stehen müssen. Ein definitives Schutzniveau oder ein bestimmtes Sicherungsmittel zur Herstellung des Schutzes bestimmt die DSGVO ausdrücklich nicht. Vielmehr stellt die DSGVO das Maß an zu treffende Sicherheitsvorkehrungen unter das Prinzip der Verhältnismäßigkeit, ohne die zu berücksichtigenden Interessen in welcher Form auch immer einzugrenzen. Daher können dies alle Arten von Interessen sein. Insbesondere sind damit auch wirtschaftliche Faktoren wie etwa die Kosten und der tatsächliche Aufwand einer Umsetzung der Datenschutzvorkehrungen zu berücksichtigen (Gola/Heckmann/Piltz, 3. Aufl. 2022, DS-GVO Art. 24 Rn. 59, beck-online). Da die DSGVO selbst aber keine Klarheit darüber bietet, welche konkreten Standards anzuwenden sind (so auch OLG Schleswig, Urteil vom 18.12.2024 - 12 U 9/24 Rn. 67), ist dieses Maß unter Abwägung der genannten Interessen zu bestimmen ist, wobei auch die berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (OLG Karlsruhe, Urteil vom 27.07.2023, 19 U 83/22) eine nicht zu vernachlässigende Rolle spielen. Die vom Oberlandesgericht Schleswig in Bezug genommene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“ sieht eine wie von den Klägern in Anspruch genommene Ende-zu-Ende-Verschlüsselung nicht zwingend vor.

Eine mit erheblichem organisatorischem und technischem Aufwand verbundene Ende-zu-Ende-Verschlüsselung, bei der die erforderlichen Schlüssel auf anderem Wege als die zu übermittelnde Nachricht - hier die streitgegenständlichen Rechnungen - bereitgestellt werden müssen, wird weder im konkreten Geschäftsverkehr vorausgesetzt, noch entspricht sie den üblichen Sicherheitserwartungen im allgemeinen Geschäftsverkehr.

Bei einer Ende-zu-Ende-Verschlüsselung wird die Vertraulichkeit der Kommunikation dadurch gewährleistet, dass die Daten beim Absender verschlüsselt und erst beim Empfänger entschlüsselt werden, sodass Dritte - etwa Server oder Netzbetreiber - den Inhalt der so geschützten Nachricht nicht einsehen können. Dies setzt jedoch voraus, dass die erforderlichen kryptographischen Schlüssel zwischen den Parteien gesondert und zugleich hinreichend sicher ausgetauscht werden. Auch dieser Schlüsselaustausch selbst erfordert zusätzliche technische und organisatorische Maßnahmen und begründet weiteren Aufwand auf Seiten aller Beteiligten.

Gerade im vorliegenden Falle hatte sich die Kläger keine Gedanken über etwaige Sicherheitsvorkehrungen gemacht (siehe III.2.a)). Vielmehr sollte der Kauf offensichtlich unkompliziert ohne weitere Verifizierungen abgewickelt werden. Nur so ist es zu erklären, dass die Kläger eine Überweisung über beträchtliche Summen tätigten, ohne sich seinerseits der Authentizität der übermittelten Rechnung zu vergewissern. Er mag zwar auf deren Integrität vertraut und sich möglicherweise in Unkenntnis, ob des Risikos einer unverschlüsselten Nachricht als auch über die Möglichkeiten einer Verschlüsselung befunden haben. Genau hierin kommen aber die konkreten Sicherheitserwartungen der Kläger zum Ausdruck. Der Kläger zu 1 führte selbst aus, dass er ein 76 Jahre alter Rentner sei, der keine Geschäfte im Internet tätigt. Begeben sich die Kläger - vertreten durch den Kläger zu 1 - aber in diese Sphäre und gehen nach eigenem Vortrag davon aus, den Vertrag durch die Übersendung eines Angebots per E-Mail ohne weitere Sicherheitsmaßnahmen schließen zu können, bringt dies die von ihnen der Vertragsabwicklung zugrunde gelegten Sicherheitserwartungen gegenüber der Beklagten zum Ausdruck. Dies zeigt sich auch darin, dass der Kläger zu 1, wie erwähnt, noch nach Kenntnis des Vorfalls und in Kenntnis eines möglichen „Hacking-Angriffs“ mit unverschlüsselter E-Mail eine Nachricht an die Beklagte übersandte, die wesentliche und sensible Informationen enthielt.

Da die Ende-zu-Ende-Verschlüsselung im Übrigen nicht alleine vom Verwender durchgeführt werden kann, sondern die (aktive) Mitwirkung des Empfängers voraussetzt (Ziegler MMR 2023, 761), kann diese auch nicht ohne weiteres zum allgemeinen Maßstab der zu treffenden Sicherheitsvorkehrungen gemacht werden. Der elektronische Rechtsverkehr lebt von der Schnelligkeit und unkomplizierten Verfügbarkeit von Informationen, um eine reibungsfreie Abwicklung der Geschäfte zu ermöglichen.

Daher hat sich die Verwendung einer derartigen Verschlüsselung im Rechtsverkehr nicht durchgesetzt (Pauly aaO). Dass dabei im Allgemeinen gerade der unverschlüsselte und insofern ungeschützte E-Mail-Verkehr sowohl von Verbraucher- als auch von Unternehmerseite umfassend toleriert wird und daher weitergehende Verschlüsselungstechniken nicht als Maßstab der geschäftlichen E-Mail-Kommunikation gelten können, zeigt sich auch daran, dass die sicherere, gleichwohl nicht Ende-zu-Ende-verschlüsselte „DE-Mail“ wegen des damit verbundenen höheren Aufwandes von Bürgerinnen und Bürger sowie von Unternehmen nahezu nicht genutzt wurde (6.000 DE-Mails zwischen 2011 und 2020 Jahresbericht 2021 des Bundesrechnungshofes, https://www.bundesrechnungshof.de/SharedDocs/Downloads/DE/Berichte/2021/de-mail-kaum-genutzt-volltext.pdf?__blob=publicationFile&v=1).

Dabei kann die Notwendigkeit der Verschlüsselung auch nicht von der Höhe der zu zahlenden bzw. zu überweisenden Beträgen (so Pauly ZfBR 2025, 629) abhängig gemacht werden. Weder lässt sich dies anhand des Verordnungstextes begründen, noch können die zu erwartenden Sicherungsvorkehrungen zwingend an einer bestimmten Summe gemessen werden, die letztlich auch davon abhängt, welche Art von Geschäften in welchem Umfeld abgewickelt werden sollen. Die Sensibilität der übermittelten Daten kommt nicht zwangsläufig in der Höhe der Rechnungssumme zum Ausdruck.

Ein Verstoß gegen andere (behauptete) Pflichten des Rechtsverkehrs haben die Kläger aber weder vorgetragen noch sind diese ersichtlich. Allein aus der Tatsache, dass es Dritten gelungen ist, auf Daten zuzugreifen und sie zu veröffentlichen, folgt noch nicht, dass der Verantwortliche keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz ergriffen hat (EuGH GRUR-RS 2023, 3578 – natsionalna agentsia za prihodite, BeckOK DatenschutzR/Quaas, 55. Ed. 1.2.2026, DS-GVO Art. 82 Rn. 14e, beck-online).

c) Indem die Kläger daneben ihre E-Mail-Adresse für den Empfang der von ihnen erwarteten Vertragsunterlagen dem Vertreter zur Verfügung stellten, der sie sodann an die Beklagte weiterreichte, ohne auf bestimmte Sicherheitsvorkehrungen zu bestehen, haben die Kläger zugleich konkludent zum Ausdruck gebracht, in die ungeschützte Übermittlung einzuwilligen (OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20). Dabei kann für eine wirksame Einwilligung auch nicht vorausgesetzt werden, dass der Betroffene die Risiken vollumfänglich überblickt (so indes Hessel/Prgomet in Rdi 2025, 221), denn letztlich muss es dem Einzelnen überlassen bleiben, ob und wie er sich in den Geschäftsverkehr begibt.

d) Zuletzt fehlt es auch an der erforderlichen Kausalität zwischen dem behaupteten Pflichtenverstoß der Beklagten und dem eingetretenen Schaden. Für einen substantiierten Vortrag bei einer veränderten oder manipulierten E-Mail muss von den Klägern schlüssig vorgetragen und anschließend gegebenenfalls technisch festgestellt werden, ob und bei welchem Kommunikationspartner der Angriff stattgefunden hat - entweder auf der Seite des Empfängers oder des Versenders (Veeck, ZD 2025, 284).

Nach dem schriftsätzlichen Vortrag der Kläger steht nicht fest, ob sich Dritte (rechtswidrig) Zugang zum IT-System der Beklagten verschafft haben sollen, um bereits dort die Rechnung im Rechnungssystem zu ändern, ob Dritte sich beim versendenden Mitarbeiter Zugang verschafft haben sollen, ob sich Dritte Zugang zum E-Mail-Postfach des Rechnungsempfängers verschafft haben sollen (etwa weil dieses nicht hinreichend sicher passwortgeschützt war), oder ob die Rechnung während der Kommunikationsübertragung verändert wurde.

In den ersten beiden Varianten bestünde eine Kausalität schon deswegen nicht, weil die Veränderung der Rechnung zu einem Zeitpunkt vor Verschlüsselung erfolgt wäre und dann lediglich eine „falsche“ Rechnung verschlüsselt versandt worden wäre. Bei dritter Variante wäre die E-Mail beim Empfänger also bei den Klägern schon angekommen und wäre dann unverschlüsselt dem Angriff preisgeben (vgl. Veeck ZD 2025, 284).

Mit seinem Vortrag hat der Kläger den Umstand der veränderten E-Mail nicht schlüssig dargelegt, sodass vorliegend eine kausale Pflichtverletzung nicht festgestellt werden kann. Zunächst hatte die Kläger ohne jegliche Anhaltspunkte behauptet, die E-Mail sei auf Seiten der Beklagten verändert in den Rechtsverkehr gelangt, „um das Geld einzunehmen und die Ware nicht liefern zu müssen“ (Var.1). Erst im Rahmen der mündlichen Verhandlung setzte der Kläger auf Nachfragen das Gericht überhaupt erst in Kenntnis davon, dass das hiesige Verfahren Gegenstand eines umfangreichen Strafverfahrens gewesen ist und er selbst davon ausgehe, dass die E-Mail beim Internetanbieter der Kläger verändert worden sei (Anlage zum Protokoll). Damit steht aber der genaue Zeitpunkt des unbefugten Zugriffs nicht fest und ist auch nicht ermittelbar.

Den Volltext der Entscheidung finden Sie hier:

OLG Stuttgart: 500 EURO Schadensersatz aus Art. 82 DSGVO und Unterlassungsanspruch gegen Meta wegen DSGVO-Verstoß durch Meta Business Tools

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Mon, 18 May 2026 09:09:00 +0200

OLG Stuttgart
Urteil vom 29.04.2026
4 U 372/24

Das OLG Stuttgart hat dem Betroffenen 500 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen DSGVO-Verstößen durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke zugesprochen. Zudem hat das Gericht einen Unterlassungsanspruch bejaht.

Aus den Entscheidungsgründen:
Die Berufung hinsichtlich des Klagantrags Ziff. 5, mit dem der Kläger immateriellen Schadensersatz in Höhe von mindestens 5.000,00 € begehrt, ist in Höhe von 500,00 € begründet.

Anspruchsgrundlage für das Begehren des Klägers ist Art. 82 DSGVO. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Voraussetzung für den Schadensersatzanspruch ist damit ein Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines immateriellen Schadens sowie ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 21).

1. Ein Verstoß gegen die Datenschutz-Grundverordnung liegt vor.

a) Für den vom Kläger geltend gemachten Anspruch auf immateriellen Schadensersatz sind sowohl etwaige Verstöße gegen die Datenschutz-Grundverordnung bei der Erhebung personenbezogener Daten durch die Business Tools zu berücksichtigen, die in die gemeinsame Verantwortlichkeit der Beklagten und des Betreibers der Website mit den Business Tools fallen, als auch Verstöße nach Übermittlung dieser Daten an die Beklagte, denn hinsichtlich der insoweit vom Kläger behaupteten Verstöße ist von einem einheitlichen Streitgegenstand auszugehen.

Vom Streitgegenstand werden sämtliche mit der inkriminierten Datenverarbeitung im Zusammenhang stehenden gerügten Verstöße gegen die Datenschutz-Grundverordnung umfasst, die bei einer natürlichen, vom Standpunkt der Parteien ausgehenden und den Sachverhalt seinem Wesen nach erfassenden Betrachtung zu dem zur Entscheidung gestellten Tatsachenkomplex gehören (BGH, Urteil vom 18.11.2024, VI ZR 10/24, Rn. 17). Bei natürlicher Betrachtung können die geltend gemachten Verstöße gegen die Datenschutz-Grundverordnung vor und nach der Übermittlung der Daten an die Beklagte nicht isoliert beurteilt werden, da sie sämtlich in einem einheitlichen Geschehen wurzeln, nämlich der Bereitstellung der Business Tools durch die Beklagte und der Implementierung dieser Tools in die Websites der Drittunternehmer.

b) Gemäß den obigen Ausführungen zum Unterlassungsanspruch verstößt die Beklagte mit der Verarbeitung der ihr via Business Tool übermittelten personenbezogenen Daten des Klägers gegen die Datenschutz-Grundverordnung, da keiner der in Art. 6 Abs. 1 DSGVO genannten Bedingungen für eine Verarbeitung der Daten erfüllt ist. Außerdem liegt ein Verstoß gegen die Datenschutz-Grundverordnung auch in Bezug auf die Erhebung und Übermittlung der personenbezogenen Daten auf den Drittseiten vor, da die Beklagte keinen hinreichenden Vortrag zu der insoweit erforderlichen Einwilligung des Klägers gehalten hat. Hinsichtlich der Websites zeit.de und mueller.de ist ohnehin unstreitig, dass es an einer Einwilligung des Klägers fehlt.

c) Für den Verstoß hinsichtlich der Erhebung der Daten auf den Websites der Drittunternehmer zeit.de und mueller.de ist auch die Beklagte verantwortlich, da diese zusammen mit dem Drittunternehmer gemeinsam Verantwortliche i.S.d. Art. 26 DSGVO ist (vgl. EuGH, Urteil vom 29.07.2019, C-40/17 – „Gefällt mir“-Button – Fashion ID). Dass die schädigende Handlung durch den Drittunternehmer vorgenommen worden ist und nicht durch die Beklagte, steht der Haftung nicht entgegen, denn bei gemeinsam Verantwortlichen genügt es, dass der andere beteiligte Verantwortliche eine schädigende Handlung vorgenommen hat (Auernhammer/Schürmann/Baier, aaO., Art. 82, Rn. 16).

Zur Entlastungsmöglichkeit nach Art. 82 Abs. 3 DSGVO wird auf die nachfolgenden Ausführungen unter 4. verwiesen.

2. Dem Kläger ist auch ein Schaden entstanden.

a) Der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO umfasst negative Gefühle wie beispielsweise Sorge oder Ärger, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet und die

- durch einen Verlust der Kontrolle über diese Daten,

- ihre mögliche missbräuchliche Verwendung oder

- eine Rufschädigung

hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen diese Verordnung empfindet (EuGH, Urteil vom 04.09.2025, C-655/23, GRUR-RS 2025, 22639, Rn. 64).

b) Ein Schaden besteht hier in Form eines Kontrollverlusts. Hiergegen kann nicht eingewandt werden, dass die Daten nur an die Beklagte weitergegeben wurden, nicht an sonstige Dritte. Der Bundesgerichtshof hat einen Kontrollverlust auch in einem Fall bejaht, in dem die Personalaktenverwaltung von Bundesbeamten unzulässigerweise durch Bedienstete des Landes Niedersachsen vorgenommen wurde (BGH, NJW 2025, 1656, Rn. 14 f.). Der Umstand, dass die Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, stand der Annahme eines Schadens dabei nicht entgegen (BGH, aaO., Rn. 16). Hinzu kommt, dass der Kläger nicht ansatzweise überblicken kann, welche Dimension die Datenverarbeitung durch die Beklagte hat (vgl. OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 341) und dass der Kläger keine Möglichkeit hat, durch eigenes Handeln die Kontrolle über die Daten zurückzuerlangen, da weder durch die Änderung der Datenschutzeinstellungen noch durch die Löschung seines Kontos eine vollumfängliche Löschung der bei der Beklagten gespeicherten Daten möglich wäre (vgl. OLG Dresden, Urteil vom 03.02.2026, 4 U 292/25, juris, Rn. 197). Angesichts dessen kann ein Kontrollverlust durch die unberechtigte Übermittlung personenbezogener Daten an die Beklagte nicht verneint werden.

Ein anderer Schaden im Sinne der Rechtsprechung des EuGH ist nicht ersichtlich. Eine Rufschädigung durch die Speicherung der an die Beklagte übermittelten Daten scheidet ebenso aus wie die Sorge über eine mögliche missbräuchliche Verwendung der Daten. Derartige Folgen hat der Kläger weder vorgetragen noch nachgewiesen.

3. Auch der erforderliche Kausalzusammenhang zwischen dem Schaden und dem Verstoß der Beklagten besteht. Würde die Beklagte die ihr via Business Tools übermittelten personenbezogenen Daten des Klägers nicht verarbeiten und insbesondere auch nicht speichern, hätte der Kläger bzgl. dieser Daten keinen Kontrollverlust erlitten.

4. Gem. Art. 82 Abs. 3 DSGVO wird der Verantwortliche von der Haftung gem. Art. 82 Abs. 2 DSGVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Mit Verantwortung ist das Verschulden im Sinne der deutschen Rechtsterminologie gemeint und nicht die datenschutzrechtliche Verantwortlichkeit (Quaas in BeckOK Datenschutzrecht, 55. Ed., Stand 01.02.2026, DSGVO, Art. 82, Rn. 17; Aliprandi, Datenschutzrechtlicher Schadensersatz nach Art. 82 DS-GVO, S. 448).

Hinsichtlich der Datenverarbeitung durch die Beklagte selbst kommt eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO ersichtlich nicht in Betracht. Für ein fehlendes Verschulden der Beklagten ist nichts vorgetragen.

Gleiches gilt im Ergebnis für die Erhebung und Übermittlung der personenbezogenen Daten des Klägers durch die Drittunternehmer.

Nicht zu folgen ist insoweit allerdings der in der Kommentarliteratur teilweise vertretenen Ansicht, dass dem gemeinsam Verantwortlichen die Möglichkeit der Entlastung durch Art. 26 Abs. 3 DSGVO versagt wird (so Auernhammer/Schreibauer, aaO., Art. 26, Rn. 18). Zwar besagt Art. 26 Abs. 3 DSGVO, dass die betroffene Person ungeachtet der Einzelheiten der Vereinbarung der gemeinsam Verantwortlichen ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen kann. Für Schadensersatzansprüche enthält Art. 82 DSGVO in den Absätzen 3 und 4 aber eine speziellere Regelung, die neben einer angelegten gesamtschuldnerischen Haftung dem Verantwortlichen unter den hohen Voraussetzungen des Art. 82 Abs. 3 DSGVO auch einen individuellen Entlastungsbeweis ermöglicht (Spoerr in BeckOK DatenschutzR, aaO., DS-GVO Art. 26 Rn. 63). Ohnehin wird vertreten, dass die Regelung in Art. 26 Abs. 3 DSGVO nur die in Kapitel 3 der DSGVO geregelten Rechte betrifft, d.h. die in Art. 12 bis 23 DSGVO geregelten Rechte (vgl. Bertermann in Ehmann/Selmayr, aaO., Art. 26, Rn. 29), bzw. dass Art. 26 Abs. 3 DSGVO dem Betroffenen zwar die Geltendmachung gegenüber jedem Verantwortlichen ermöglicht, die Verpflichtung zur Erfüllung sich aber nach der getroffenen Vereinbarung richtet (so Piltz in Gola/Heckmannn, DSGVO, 3. Aufl. 2022, Art. 26, Rn. 35 f.).

Die Beklagte hat aber den Nachweis, dass sie in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist, nicht geführt. Die Beklagte hat insoweit lediglich die gem. Art. 26 DSGVO mit den Drittunternehmern geschlossene Vereinbarung vorgelegt. Dahinstehen kann, ob sie allein deshalb schon davon ausgehen durfte, dass der Betreiber der Website die erforderliche Sorgfalt beim Einholen der Einwilligung walten lässt. Selbst wenn dies der Fall wäre, müsste die Beklagte zumindest darlegen und ggf. beweisen, dass sie keine Kenntnis von der fehlerhaften Implementierung der Business Tools auf den Drittseiten z….de und m….de hatte – etwa aufgrund der Beschwerden anderer Kunden. Hierzu fehlt jeglicher Vortrag.

5. Die Höhe des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO richtet sich nach nationalem Recht, da die Datenschutz-Grundverordnung keine Regeln für die Bemessung des nach Art. 82 DSGVO geschuldeten Schadensersatzes festlegt. Der Schadensersatz ist daher nach § 287 ZPO unter Beachtung der unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität zu schätzen. Entscheidend ist, welcher Betrag erforderlich ist, um einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherzustellen, wie im 146. Erwägungsgrund der DSGVO ausgeführt, wobei weder der Grad des Verschuldens noch das Bestehen eines Unterlassungsanspruchs anspruchsmindernd zu berücksichtigen sind (vgl. EuGH, Urteil vom 04.09.2025, C-655/23, Rn. 69, 72 f., 83).

Zu berücksichtigen ist insoweit, dass die Datenverarbeitung durch die Beklagte besonders umfassend ist, da sie potenziell unbegrenzte Daten über die Online-Aktivitäten ihrer Nutzer betrifft, und das Gefühl auslösen kann, dass das Privatleben der Nutzer kontinuierlich überwacht wird (OLG Dresden, aaO., Rn. 197; OLG Jena, Urteil vom 02.03.2026, 3 U 31/25, BeckRS 2026, 2610, Rn. 156). Insbesondere besteht die Gefahr, dass die Beklagte auch bei verweigerter Einwilligung die über die Business Tools erlangten Daten zur Erstellung eines detaillierten Profils des Nutzers verwendet (OLG Dresden, aaO., Rn. 197). Zudem ist aus Sicht des Klägers nicht auszuschließen, dass auch besonders sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO, etwa Gesundheitsdaten oder Daten zur sexuellen Orientierung, von der streitgegenständlichen Datenverarbeitung betroffen sind, denn für eine Übermittlung sensibler Daten genügt es schon, dass der Kläger auf einer Seite wie zeit.de Artikel mit entsprechenden Themen anklickt, und dem Kläger dürfte es wie jedem sonstigen Internet-Nutzer nicht möglich sein, seine Bewegungen im Internet im Nachhinein im Detail nachzuvollziehen (vgl. OLG Jena, Urteil vom 02.03.2026, 3 U 31/25, BeckRS 2026, 2610, Rn. 90). Das Gefühl umfassender Beobachtung kann insoweit dazu Anlass geben, davon abzusehen, derartige Artikel anzuklicken bzw. Webseiten mit derartigen Themen aufzusuchen (vgl. OLG Dresden, aaO., Rn. 197; OLG Naumburg, Urteil vom 05.02.2026, 9 U 44/25, juris, Rn. 356).

Der Senat hält aus diesen Gründen einen Schadensersatzbetrag in Höhe von 500,00 € für angemessen.

6. Ein weitergehender Schadensersatzanspruch steht dem Kläger auch unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts nicht zu.

Der Umstand, dass dem Kläger ein Schadensersatzanspruch nach Art. 82 DSGVO zusteht, schließt einen Schadensersatzanspruch nach Art. 823 Abs. 1 BGB wegen Verletzung des allgemeinen Persönlichkeitsrechts nicht aus (BGH, Urteil vom 29.07.2025, VI ZR 426/24, Rn. 36). Das allgemeine Persönlichkeitsrecht umfasst auch das Recht auf informationelle Selbstbestimmung, das gewährleistet, dass Informationen über eine Person vor intransparenter Verarbeitung und Nutzung durch Private geschützt sind (Grüneberg/Retzlaff, aaO., § 823, Rn. 132).

Nach der ständigen Rechtsprechung des Bundesgerichtshofs begründet die schuldhafte Verletzung des allgemeinen Persönlichkeitsrechts einen Anspruch auf eine Geldentschädigung jedoch nur, wenn es sich um einen schwerwiegenden Eingriff handelt und die Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann. Ob eine so schwerwiegende Verletzung des Persönlichkeitsrechts vorliegt, dass die Zahlung einer Geldentschädigung erforderlich ist, kann nur aufgrund der gesamten Umstände des Einzelfalls beurteilt werden. Hierbei sind insbesondere die Bedeutung und Tragweite des Eingriffs, ferner Anlass und Beweggrund des Handelnden sowie der Grad seines Verschuldens zu berücksichtigen. Die Zubilligung einer Geldentschädigung unter den genannten Voraussetzungen findet ihre sachliche Berechtigung in dem Gedanken, dass das Persönlichkeitsrecht gegenüber schwerwiegenden Beeinträchtigungen anderenfalls ohne ausreichenden Schutz bliebe mit der Folge, dass der Rechtsschutz der Persönlichkeit verkümmern würde (BGH, Urteil vom 12.03.2024, VI ZR 1370/20, Rn. 70).

Ein schwerwiegender Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, der nicht in anderer Weise als durch Zahlung einer Geldentschädigung befriedigend aufgefangen werden könnte, liegt im vorliegenden Fall nicht vor (vgl. OLG Naumburg, aaO., Rn. 366 f.; OLG München, GRUR-RS 2025, 36464, Rn. 116 ff.; OLG Dresden, Urteil vom 17.03.2026, 4 U 709/25, Urteilsumdruck S. 33; OLG Hamm, Urteil vom 09.03.2026, I-8 U 13/25, Urteilsumdruck S. 38; a.A. OLG Dresden, Urteil vom 12.03.2026, Az. 17 U 625/25, Urteilsumdruck S. 68). Zu berücksichtigen ist, dass der Kläger für den datenschutzrechtlichen Verstoß der Beklagten bereits immateriellen Schadensersatz nach Art. 82 DSGVO erhält. Die vom Kläger erlittene Beeinträchtigung wird ferner dadurch aufgefangen, dass im vorliegenden Verfahren die Verarbeitung der ihr via Business Tool übermittelten Daten des Klägers untersagt wird (vgl. OLG München, GRUR-RS 2025, 36464, Rn. 121). Außerdem ist zu berücksichtigen, dass der Kläger nach wie vor I... nutzt und allein dadurch der Beklagten schon unzählige Daten liefert.

7. Der Schadensersatzbetrag von 500,00 € ist gem. §§ 291 Abs. 1, 288 Abs. 1 Satz 2 BGB ab Rechtshängigkeit, d.h. ab dem 20.01.2024 mit 5 Prozentpunkten über dem Basiszinssatz zu verzinsen. Ein weitergehender Anspruch auf Verzinsung bereits ab dem 05.12.2023 besteht nicht, da der Kläger den von der Beklagten bestrittenen Zugang seiner Mahnung vom 06.11.2023 nicht nachgewiesen hat.

Den Volltext der Entscheidung finden Sie hier:

BGH: Recht auf Löschung gemäß Art. 17 DSGVO – Keine dauerhafte Speicherung nicht eintragungspflichtiger Daten im Handelsregister nach Widerruf der Einwilligung

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 31 Mar 2026 18:54:00 +0200

BGH
Beschluss vom 18.02.2026
II ZB 2/25
DSGVO Art. 17 Abs. 1 Buchst. b); HGB § 9 Abs. 1 Satz 1; HRV § 9 Abs. 7

Der BGH hat entschieden, dass es keine registerrechtliche Grundlage für eine dauerhafte Speicherung von nicht eintragungspflichtigen personenbezogenen Daten (sog. überobligatorische Daten) im Registerordner des Handelsregisters gibt, wenn die Einwilligung widerrufen wurde. In diesem Fall besteht ein Recht auf Löschung gemäß Art. 17 DSGVO.

Leitsatz des BGH:
Es gibt keine allgemeine registerrechtliche Grundlage dafür, in Anmeldungen zum Handelsregister enthaltene personenbezogene Daten, die nicht in das Handelsregister einzutragen sind (sog. überobligatorische Daten), nach Widerruf der Einwilligung des Anmeldenden dauerhaft im Registerordner des Handelsregisters zu speichern.

BGH, Beschluss vom 18. Februar 2026 - II ZB 2/25 - OLG Hamburg AG Hamburg

Den Volltext der Entscheidung finden Sie hier:

OLG Stuttgart: Gerichtliche Sachverständige sind eigenständige "Verantwortliche“ im Sinne der DSGVO und verpflichtet den Prozessparteien Auskunft nach Art. 15 DSGVO zu erteilen

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Sat, 28 Mar 2026 12:18:00 +0100

OLG Stuttgart
Urteil vom 25.02.2026
4 U 342/25

Das OLG Stuttgart hat entschieden, dass gerichtliche Sachverständige als eigenständige Verantwortliche im Sinne der DSGVO gelten und daher verpflichtet sind, Prozessparteien nach Art. 15 DSGVO Auskunft über verarbeitete Daten zu erteilen – dies umfasst nach Abschluss des Verfahrens auch die Herausgabe von Kopien (Teil-)Gutachten.

Aus den Entscheidungsgründen:
Die zulässige Berufung der Klägerin ist begründet. Der geltend gemachte Auskunftsanspruch ergibt sich aus Art. 15 Abs. 1 und 3 DSGVO.

Gem. Art. 15 Abs. 1 DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen, der sie betreffende personenbezogene Daten verarbeitet, Auskunft über diese personenbezogenen Daten zu erhalten. Gem. Art. 15 Abs. 3 Satz 1 DSGVO hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

1.
Die Bestimmungen der Datenschutz-Grundverordnung sind anwendbar. Der sachliche Anwendungsbereich gem. Art. 2 Abs. 1 DSGVO ist eröffnet, da es um die Verarbeitung personenbezogener Daten der Klägerin geht, die in einem Dateisystem des Beklagten gespeichert sind, und da für die Tätigkeit eines gerichtlichen Sachverständigen keiner der Ausnahmetatbestände des Art. 2 Abs. 2 DSGVO eingreift (vgl. Deutschmann, ZD 2021, 414 [415]). Dass die DSGVO auch für die Tätigkeiten der Gerichte und anderer Justizbehörden gilt, wird in Erwägungsgrund 20 Satz 1 DSGVO ausdrücklich ausgeführt. Der EuGH hat zudem klargestellt, dass die DSGVO auch auf die Verarbeitung personenbezogener Daten in zivilgerichtlichen Verfahren anwendbar ist (EuGH, Urteil vom 02.03.2023, C-268/21, Rn. 26). Für die Tätigkeit des Sachverständigen als „Gehilfe“ des Gerichts (Zöller/Greger, ZPO, 36. Aufl. 2026, Vor § 402, Rn. 1) gilt nichts anderes.

Randnummer55
2.
Die datenschutzrechtlichen Bestimmungen zum Auskunftsrecht werden nicht durch die verfahrensrechtlichen Akteneinsichtsrechte verdrängt (Deutschmann, ZD 2021, 414 [417]; Bäcker in Kühling/Buchner, 4. Aufl. 2024, DSGVO, Art. 15, Rn. 6b; Schmidt-Wudy in BeckOK Datenschutzrecht, 54. Edition, Stand 01.11.2025, DSGVO, Art. 15, Rn. 33; a.A. OLG Köln, ZD 2022, 695; Dörr, MDR 2022, 605 [611]). Die Akteneinsichtsrechte dienen anderen Zwecken als die Rechte aus Art. 15 DSGVO und bestimmen dementsprechend sowohl die Voraussetzungen als auch die Gegenstände der Akteneinsicht abweichend. So erstrecken sich die Akteneinsichtsrechte auf den gesamten Inhalt der Gerichtsakten und der dem Gericht vorgelegten Akten, während sich die Rechte auf Auskunft und auf Datenkopie auf die personenbezogenen Daten der jeweiligen betroffenen Person beschränken (Bäcker in Kühling/Buchner, aaO., Rn. 6b).

Ohnehin genießt die DSGVO als europäische Verordnung gegenüber dem nationalen Verfahrensrecht einen Anwendungsvorrang (Deutschmann, ZD 2021, 414 [417]; Ruffert in Calliess/Ruffert, EUV/AEUV, 6. Aufl. 2022, AEUV, Art. 1, Rn. 17).

3.
Der Beklagte ist Verantwortlicher i.S.d. Art. 15 DSGVO.

Verantwortlicher ist nach Art. 4 Nr. 7 Halbsatz 1 DSGVO die Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Über die Zwecke entscheidet zwar im Wesentlichen das Gericht, das den Beweisbeschluss erlässt. Über die Mittel der Verarbeitung entscheidet aber in der Regel allein der gerichtliche Sachverständige. Sachverständige sind hinsichtlich der Art und Weise, wie das beabsichtigte Ergebnis erreicht werden soll, selbst entscheidungsbefugt. Sie handeln nicht als funktionaler Teil des Gerichts, sondern eigenverantwortlich. Primär die Sachverständigen legen die Mittel der Datenverarbeitung fest. Sie entscheiden, welche Daten sie für die Ausarbeitung des Gutachtens benötigen. Für Gerichte ist es in aller Regel auch irrelevant, welche technischen Mittel dabei zum Einsatz kommen. Zudem fehlt es regelmäßig an einer Überwachungs- und Kontrollmöglichkeit des Gerichts hinsichtlich der Datenverarbeitungsmodalitäten. Dass das Gericht gem. § 404a Abs. 1 ZPO die Tätigkeit des Sachverständigen zu leiten hat und ihm für Art und Umfang seiner Tätigkeit Weisungen erteilen kann, betrifft vor allem, was Sachverständige erforschen sollen, nicht wie sie es erforschen sollen (Erkelenz/Leopold, NZS 2019, 926; Engel in Anmerkungen zu OLG Düsseldorf, ZEuP 2023, 230 [245]; Zimmermann in MüKo/ZPO, 7. Aufl. 2025, § 404a, Rn. 3).

Umstände, die im vorliegenden Fall eine andere Bewertung rechtfertigen könnten, sind weder vorgetragen noch ersichtlich. Es bestehen daher keine Zweifel daran, dass der Beklagte Verantwortlicher im Sinne der DSGVO ist.

4.
Der Beklagte hat bei den Arbeiten zur Erstellung der Gutachten in den beiden beim Landgericht Göttingen anhängigen Verfahren personenbezogene Daten der Klägerin verarbeitet und speichert diese. Das ist unstreitig.

Der Beklagte schuldet der Klägerin daher unabhängig von etwaigen Auskunftspflichten des Gerichts grundsätzlich in eigener Verantwortung Auskunft gem. Art. 15 DSGVO (vgl. Erkelenz/Leopold, NZS 2019, 926 [930]). Dieses Auskunftsrecht der Klägerin ist nicht durch die Regeln der Zivilprozessordnung, durch ein etwaiges Urheberrecht des Beklagten oder durch dessen Recht auf angemessene Vergütung eingeschränkt.

a)
Gem. Art. 23 Abs. 1 DSGVO kann das in Art. 15 DSGVO vorgesehene Auskunftsrecht im Wege von Gesetzgebungsmaßnahmen durch Rechtsvorschriften der Union oder der Mitgliedstaaten beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die eine der nachfolgend in der Vorschrift aufgeführten Ziele sicherstellt, u.a. den Schutz von Gerichtsverfahren (lit. f), den Schutz der Rechte und Freiheiten anderer Personen (lit. i) und die Durchsetzung zivilrechtlicher Ansprüche (lit. j).

aa)
Weder im Hinblick auf den Schutz von Gerichtsverfahren noch im Hinblick auf die Durchsetzung zivilrechtlicher Ansprüche ist Art. 23 Abs. 1 DSGVO im vorliegenden Fall einschlägig, denn die Zivilprozessordnung enthält keine Regelung, die das in Art. 15 DSGVO vorgesehene Auskunftsrecht einer Partei gegenüber dem gerichtlichen Sachverständigen beschränkt. Eine solche Beschränkung lässt sich insbesondere keiner der allgemeinen Vorschriften über die Beweisaufnahme (§§ 355-370 ZPO) und auch keiner der Vorschriften zum Beweis durch Sachverständige (§§ 402-414 ZPO) entnehmen.

Auch aus allgemeinen Erwägungen zum Schutz von Gerichtsverfahren ergibt sich eine Beschränkung des Auskunftsrechts nicht.

(i)
Hinsichtlich der Anträge Ziff. 1, 2 und 5 kommt eine Beschränkung des Auskunftsrechts zum Schutz des Gerichtsverfahrens schon unabhängig von dem Umstand, dass im vorliegenden Fall von einem rechtskräftigen Abschluss des Gerichtsverfahrens auszugehen ist, nicht in Betracht.

Die Anträge Ziff. 1, 2 und 5 beziehen sich auf Befundtatsachen, d.h. auf Tatsachen, die der Sachverständige in Ausführung des Gutachtenauftrags auf Grund seiner Sachkunde ermittelt hat. Zu solchen Befundtatsachen zählen Tatsachen, die der Sachverständige durch Einsichtnahme in die Krankenunterlagen selbst beschafft hat (vgl. BGH, Beschluss vom 17.08.2011, V ZB 128/11, Rn. 18; Zimmermann in MüKo/ZPO, 7. Aufl. 2025, § 404a, Rn. 9). Dies trifft auf die streitgegenständlichen Dokumente gem. den Anträgen Ziff. 1, 2 und 5 zu. Der Antrag Ziff. 5 betrifft die vom Beklagten erstellte Zusammenfassung des Behandlungsverlaufs. Damit im Wesentlichen identisch ist die im Antrag Ziff. 1 genannte lückenlose Gesamtrekonstruktion des Behandlungsablaufs. Gleiches gilt für die chronologische Behandlungshistorie für jeden einzelnen Zahn, die Gegenstand des Antrags Ziff. 2 ist; insoweit ist lediglich von einer anderen Art der Darstellung auszugehen. In sämtlichen Fällen handelt es sich daher nicht um sachverständige Schlussfolgerungen des Gutachters, sondern um Tatsachen, auf deren Grundlage der Gutachter die sachverständig begründeten Schlussfolgerungen zieht.

Auch bei Befundtatsachen gilt wie bei den sonstigen Anknüpfungstatsachen, die die Parteien selbst vorzutragen haben, dass jedenfalls die wesentlichen Anknüpfungstatsachen offenzulegen sind. Dies geschieht zwar üblicherweise im Gutachten (Zöller/Greger, aaO., § 404a, Rn. 6). Es spricht jedoch nichts dagegen, den Parteien bereits früher die Möglichkeit zu geben, zur Richtigkeit und Vollständigkeit der Befundtatsachen Stellung zu nehmen, zumal dies dem rechtlichen Gehör der Parteien dient und es sich bei der Ermittlung der Tatsachen durch den Sachverständigen ohnehin um eine Ausnahme von dem Grundsatz handelt, dass das Beibringen der Tatsachen primär Sache der beweispflichtigen Partei ist (Zöller/Greger, aaO., § 404a, Rn. 3). Angesichts dessen ist nicht ersichtlich, dass die Gewährung eines Auskunftsanspruchs zu der Frage, auf welcher Tatsachengrundlage der Sachverständige sein Gutachten erstatten will, das Gerichtsverfahren beeinträchtigen könnte.
(ii)
Auch im Hinblick auf das Gutachten, das Gegenstand des Antrags Ziff. 4 ist, kommt eine Beschränkung des Auskunftsrechts zum Zwecke des Schutzes von Gerichtsverfahren bzw. zur Sicherstellung der Durchsetzung zivilrechtlicher Ansprüche nicht in Betracht.

Nach § 411 Abs. 1 ZPO setzt das Gericht dem Sachverständigen eine Frist, innerhalb derer er das von ihm unterschriebene schriftliche Gutachten zu übermitteln hat. Es dürfte in Widerspruch zu dieser Vorschrift stehen, wenn der Sachverständige schon vor Ablauf dieser Frist den Parteien das noch nicht fertiggestellte Gutachten übermitteln müsste. Zudem könnte sich in diesem Fall auch ein Widerspruch zu den Vorschriften über den Auslagenvorschuss gem. §§ 402, 379 ZPO ergeben.

Ob deshalb eine Beschränkung des Auskunftsrechts in Betracht kommt, kann in diesem Fall jedoch dahinstehen, da der Zivilprozess mit dem Az. 9 O 4/11, in dem der Beklagte das Gutachten, dessen Herausgabe die Klägerin begehrt, zu 90 % fertiggestellt hat, mittlerweile rechtskräftig abgeschlossen ist. Der diesbezügliche Vortrag der Klägerin ist in zweiter Instanz zwar neu, da die Klägerin ihn erst nach Schluss der mündlichen Verhandlung in erster Instanz vorgetragen hat. Er ist jedoch gem. § 531 Abs. 2 Nr. 3 ZPO zulässig, da die Rechtskraft des Urteils erst nach Schluss der mündlichen Verhandlung in erster Instanz eingetreten ist und von der Klägerin daher auch nicht früher vorgetragen werden konnte. Soweit die Beklagte den Vortrag der Klägerin bestreitet, hat die Klägerin die Rechtskraft des Urteils durch Vorlage des Rechtskraftvermerks ausreichend belegt (Anlage K18). Jedenfalls nach dem rechtskräftigen Abschluss des Rechtsstreits ist § 411 Abs. 1 ZPO nicht mehr anwendbar. Ein Widerspruch zum Auskunftsanspruch besteht daher nicht. Auch ein Widerspruch zu der Vorschusspflicht nach §§ 402, 379 ZPO besteht in diesem Fall nicht mehr, da diese Vorschriften lediglich die Beweisaufnahme in einem noch laufenden Zivilprozess betreffen.

Nach dem rechtskräftigen Abschluss des Verfahrens ist auch nicht ersichtlich, inwiefern die Gewährung eines Auskunftsanspruchs bzgl. eines vom gerichtlichen Sachverständigen teilweise fertiggestellten Gutachtens das Ziel des Zivilprozesses, das darin liegt, bürgerlich-rechtliche Rechte oder Rechtsverhältnisse im Erkenntnis- oder Urteilsverfahren festzustellen (vgl. Zöller/Vollkommer, aaO., Einl. Rn. 1), beeinträchtigen könnte.

Eine andere Beurteilung rechtfertigt auch das noch laufende Parallelverfahren 9 O 24/11 nicht. Der Beklagte hat ein Gutachten zum Verfahren 9 O 4/11 gefertigt und nicht zu dem Parallelverfahren 9 O 24/11. Dass das Gutachten auch Fragen behandelt, die im Verfahren 9 O 24/11 relevant sind, hat der Beklagte nicht substantiiert vorgetragen. Selbst wenn dies der Fall wäre, erschließt sich nicht, wieso dies eine Einschränkung des Auskunftsrechts bzgl. eines in einem anderen Verfahren erstellten (Teil-)Gutachtens rechtfertigen könnte, zumal § 411a ZPO die Möglichkeit ausdrücklich vorsieht, Sachverständigengutachten aus anderen Verfahren zu verwerten.

(iii)
Dahinstehen kann, ob auch der Antrag Ziff. 3 eine Befundtatsache betrifft oder ob die zahnbezogene Analyse, die Gegenstand dieses Auskunftsantrags ist, schon eine eigene gutachterliche Tätigkeit des Beklagten beinhaltet. Sollte Letzteres der Fall sein, gelten insoweit die Ausführungen unter (ii) zum Antrag Ziff. 5 entsprechend. Andernfalls gilt das Gleiche wie zu den Anträgen Ziff. 1, 2 und 5 (oben unter (i)).

bb)
Eine Beschränkung des Auskunftsrechts ergibt sich auch nicht aus Art. 6 Abs. 1 Satz 1 EMRK.

Nach dieser Vorschrift hat jede Person ein Recht darauf, dass über Streitigkeiten in Bezug auf ihre zivilrechtlichen Ansprüche und Verpflichtungen von einem unabhängigen und unparteiischen Gericht in einem fairen Verfahren verhandelt wird. Aus dem Grundsatz eines fairen Verfahrens ergibt sich das Erfordernis der Waffen- und Chancengleichheit. Alle Beteiligten in einem Verfahren müssen gleichbehandelt werden, also insbesondere in gleichem Umfang unterrichtet werden und unter denselben Bedingungen die Möglichkeit haben, vorzutragen und ihre Sache geltend zu machen (HK-EMRK/Harrendorf/König/Voigt, 5. Aufl. 2023, EMRK Art. 6 Rn. 117). Dieses Gebot der Waffengleichheit gilt auch im Beweisverfahren (Harrendorf/König/Voigt, aaO., Rn. 135).

Das Gebot der Waffengleichheit wäre nur verletzt, wenn der Sachverständige die Auskunft nur der betroffenen Person gegenüber erteilen dürfte und nicht auch gegenüber dem Gericht. Dies ist jedoch nicht richtig. Art. 9 Abs. 2 lit. f) DSGVO gilt auch für den Sachverständigen, der in einem Gerichtsverfahren tätig wird (Greve in Auernhammer, aaO., Art. 9, Rn. 48). Der Sachverständige ist deshalb nach Art. 9 Abs. 2 lit. f) DSGVO befugt, das Gericht über alles zu informieren, was für die Beweisaufnahme im Zusammenhang mit der Gutachtenerstattung von Relevanz sein könnte (vgl. Erkelenz/Leopold, NZS 2019, 926 [929]). Dies schließt auch die Mitteilung über eine Auskunft an den Kläger nach Art. 15 DSGVO mit ein, da diese Mitteilung an das Gericht erforderlich ist, damit die Gegenpartei – nach entsprechender Unterrichtung durch das Gericht – ihre Rechtsansprüche ausüben bzw. sich gegen die geltend gemachten Rechtsansprüche verteidigen kann. Der Sachverständige würde sich der Besorgnis der Befangenheit aussetzen, wenn er eine derartige Auskunftserteilung an nur eine der Parteien dem Gericht gegenüber verschweigen würde.

b)
Eine Beschränkung des Auskunftsrechts der Klägerin ergibt sich auch nicht aus dem Schutz der Rechte und Freiheiten anderer Personen gem. Art. 23 Abs. 1 lit. i) DSGVO. Insoweit beruft sich der Beklagte lediglich pauschal darauf, dass sein Urheberrecht an dem zu 90 % fertig gestellten Gutachten dem behaupteten Auskunftsanspruch entgegenstünde.

aa)
Dass das Gutachten Urheberrechtsschutz genießt, ist keineswegs selbstverständlich. Zwar sind wissenschaftliche Gutachten in der Regel urheberrechtlich schutzfähig, jedenfalls, soweit zu wissenschaftlichen Streitfragen Stellung genommen wird, die die Berücksichtigung bisheriger Stellungnahmen und eine detaillierte Auseinandersetzung mit der Problematik erfordern. Allerdings wirken die Verwendung notwendiger oder üblicher Darstellungsprinzipien, insbesondere in Aufbau und Terminologie, nicht schutzbegründend. Zudem ist von der Rechtsprechung der Schutz von Gutachten teilweise mit der Begründung, bei wissenschaftlichen Werken sei die Schutzuntergrenze höher anzusetzen, verneint worden (Loewenheim/Leistner in Schricker/Loewenheim, Urheberrecht, 6. Aufl. 2020, § 2, Rn. 141).

Substantiierter Vortrag des Beklagten zum Inhalt des zu 90 % fertiggestellten Gutachtens fehlt. Damit ist auch nicht schlüssig dargelegt, dass es sich bei dem Gutachten um ein urheberrechtlich schutzfähiges Werk handelt.

bb)
Selbst wenn das zu 90 % fertige Gutachten Urheberrechtsschutz nach dem UrhG genießen würde, könnte sich der Beklagte gleichwohl nicht pauschal auf sein Urheberrecht berufen und die Herausgabe des Gutachtens insgesamt verweigern.

Nach Art. 15 Abs. 4 DSGVO und Erwägungsgrund 63 darf das Recht auf Erhalt einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums nicht beeinträchtigen. Absatz 4 betrifft seinem Wortlaut nach zwar nur den Fall, dass eine Auskunft gerade durch Überlassung einer Kopie erteilt wird. Da die Überlassung einer Kopie nur eine spezifische Modalität der Erfüllung des Auskunftsanspruchs darstellt, gilt die Regelung jedoch unabhängig davon, in welcher Form der Auskunftsanspruch im Einzelfall erfüllt wird (Ehmann in Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 15, Rn. 71).

Im Fall eines Konflikts zwischen der Ausübung des Rechts auf vollständige und umfassende Auskunft über die personenbezogenen Daten zum einen und den Rechten oder Freiheiten anderer Personen zum anderen haben die Rechte oder Freiheiten anderer Personen nicht den Vorrang. Vielmehr sind die fraglichen Rechte gegeneinander abzuwägen (Ehmann in Ehmann/Selmayr, aaO., Art. 15, Rn. 72 f.). Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird, wie sich aus dem 63. Erwägungsgrund DSGVO ergibt (EuGH, Urteil vom 4. Mai 2023 – C-487/21 –, Rn. 44, juris). Bei der Abwägung ist zudem zu berücksichtigen, dass die Zivilprozessordnung in § 407a Abs. 5 ZPO ohnehin eine Verpflichtung des Sachverständigen vorsieht, auf Verlangen des Gerichts die für die Begutachtung beigezogenen Unterlagen sowie die Untersuchungsergebnisse zur Unterrichtung der Parteien oder eines ggf. gem. § 404 Abs. 1 Satz 3 ZPO oder § 412 ZPO in Anspruch genommenen anderen oder weiteren Sachverständigen herauszugeben (Zöller/Greger, aaO., § 407a, Rn. 4).

c)
Das Recht des Sachverständigen auf angemessene Vergütung ist durch die bestehende Auskunftspflicht nicht verletzt. Die Entschädigung des Sachverständigen richtet sich nach §§ 8 ff. JVEG. Der Auskunftsanspruch ändert hieran nichts. Selbst wenn ein auskunftsberechtigter Kläger aufgrund der Auskunft kein Interesse mehr an dem Gutachten haben sollte und die Klage zurücknimmt oder den erforderlichen Vorschuss für eine Fortsetzung der Begutachtung nicht einzahlt, erhält der Sachverständige gleichwohl eine Vergütung für alle erforderlichen Vorbereitungsarbeiten und erbrachten Teilleistungen (Bleutge in BeckOK Kostenrecht, 51. Ed., Stand 01.12.2025, JVEG, § 8, Rn. 28).

d)
Ist das Auskunftsrecht schon nicht gem. Art. 23 Abs. 1 DSGVO durch andere Rechtsvorschriften eingeschränkt, kommt es auf die Frage, ob die in Betracht kommenden Beschränkungsregelungen auch die erforderlichen Mindestinhalte nach Art. 23 Abs. 2 DSGVO enthalten, nicht mehr an.

5.
Der Auskunftsanspruch besteht in dem von der Klägerin geltend gemachten Umfang.

Vom Auskunftsanspruch umfasst ist insbesondere auch das gesamte, zu 90 % fertiggestellte Gutachten. Es kommt insoweit nicht darauf an, an welchen Stellen des Gutachtens die Klägerin namentlich genannt wird bzw. die Ausführungen in einem direkten Bezug zur Klägerin stehen.

Nach der Rechtsprechung des EuGH begründet Art. 15 Abs. 3 Satz 1 DSGVO nicht lediglich ein Recht der betroffenen Person auf eine Kopie der personenbezogenen Daten als solche. Art. 15 Abs. 3 Satz 1 DSGVO enthält vielmehr auch ein Recht auf Auszüge von Dokumenten bzw. auf das ganze Dokument, das die personenbezogenen Daten enthält, wenn die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten (EuGH, Urteil vom 26.10.2023, C-307/22, Rn. 74 f. – Kostenlose erste Kopie von Patientenakte). Im Hinblick auf das Gutachten bedeutet dies, dass sich der Beklagte nicht auf die Auskunft beschränken darf, welche personenbezogenen Daten der Klägerin im Gutachten auftauchen. Erforderlich ist vielmehr auch eine originalgetreue Reproduktion des Kontexts, in dem das jeweilige personenbezogene Datum steht.

Der Auskunftsanspruch umfasst damit sämtliche Teile des Gutachtens, die in irgendeinem inhaltlichen Bezug zur Klägerin stehen. Umfasst sind damit auch allgemeine zahnmedizinische Ausführungen, selbst wenn diese für sich genommen keinen Bezug zur Klägerin aufweisen, da davon auszugehen ist, dass diese dem Verständnis der weiteren Ausführungen dienen und dieser Kontext daher erforderlich ist, um die Verständlichkeit der personenbezogenen Ausführungen zu gewährleisten. Eine Zurverfügungstellung einer einfachen Zusammenfassung oder Zusammenstellung der personenbezogenen Daten der Klägerin durch den Beklagten genügt nicht, weil dann die Gefahr bestünde, dass bestimmte relevante Daten ausgelassen oder unrichtig wiedergegeben werden oder dass jedenfalls die Überprüfung ihrer Richtigkeit und Vollständigkeit sowie ihr Verständnis durch die Klägerin erschwert würde (vgl. EuGH, aaO., Rn. 78).

Den Volltext der Entscheidung finden Sie hier:

EuGH: Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch Polizeibehörden nur bei unbedingter Erorderlichkeit

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 19 Mar 2026 16:18:00 +0100

EuGH
Urteil vom 19.03.2026
C-371/24

Der EuGH hat entschieden, dass die Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch Polizeibehörden nur bei unbedingter Erorderlichkeit zulässig ist.

Die Pressemitteilung des EuGH:
Die Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch eine Polizeibehörde kann nur mit einer unbedingten Erforderlichkeit gerechtfertigt werden

Erkennungsdienstliche Maßnahmen dürfen nicht systematisch angeordnet werden, sondern müssen klar begründet werden, andernfalls ist die strafrechtliche Sanktion für die Verweigerung, sich ihnen zu unterziehen, unwirksam.

Im Mai 2020 wurde HW in Paris wegen der Organisation einer nicht angemeldeten Demonstration und wegen Aufruhrs festgenommen. Während seines Polizeigewahrsams weigerte er sich, sich erkennungsdienstlichen Maßnahmen (Abnahme von Fingerabdrücken und Anfertigung von Fotografien) zu unterziehen.

HW wurde wegen dieser Weigerung verurteilt2, obwohl er wegen des Vergehens, das der beabsichtigten erkennungsdienstlichen Behandlung zugrunde lag, freigesprochen wurde. Er wandte sich gegen seinen Schuldspruch und trug vor, dass die anwendbare französische Regelung nicht mit den europäischen Rechtsvorschriften über den Schutz personenbezogener Daten im Bereich des Strafrechts vereinbar sei.

n diesem Zusammenhang hat sich das Berufungsgericht Paris an den Gerichtshof gewandt. Es möchte im Wesentlichen wissen, ob das Unionsrecht nationalen Behörden gestattet, von jeder Person, die einer Straftat verdächtigt wird, systematisch Fingerabdrücke abzunehmen und Fotografien anzufertigen, ohne diese Maßnahme im Einzelfall rechtfertigen zu müssen. Es möchte auch wissen, ob eine Person für die Weigerung, sich erkennungsdienstlichen Maßnahmen zu unterziehen, selbst dann strafrechtlich verfolgt werden darf, wenn sie für die Straftat, derer sie verdächtigt wurde, letztlich nicht verfolgt wird.

Der Gerichtshof konkretisiert in seinem Urteil die Anforderungen, die an die nationalen Behörden gestellt werden, wenn sie biometrische Daten (Fingerabdrücke, Fotografien) für strafrechtliche Ermittlungsverfahren erheben.

Zunächst weist der Gerichtshof darauf hin, dass biometrische Daten zu den sensiblen personenbezogenen Daten im Sinne des Unionsrechts gehören, die einem verstärkten Schutz unterliegen: Ihre Verarbeitung ist nur erlaubt, wenn sie unbedingt erforderlich4 ist und geeignete Garantien für die Rechte und Freiheiten der betroffenen Person bestehen.

Das bloße Vorliegen eines oder mehrerer plausibler Gründe für den Verdacht einer Straftat reicht nicht aus, um die Erhebung biometrischer Daten zu rechtfertigen. Jede Entscheidung, erkennungsdienstliche Maßnahmen durchzuführen, muss daher mit einer klaren Begründung versehen sein, die auch summarisch sein kann und es der betroffenen Person ermöglicht, die Gründe der Maßnahme zu verstehen und ihr Recht auf Einlegung eines Rechtsbehelfs auszuüben. Da die Erhebung nicht systematisch erfolgen darf, stellt diese Begründungspflicht keine unverhältnismäßige Belastung für die Behörde dar.

Der Gerichtshof stellt außerdem klar, dass eine nationale Regelung, die eine systematische Erhebung vorschriebe, ohne dass die zuständige Polizeibehörde die Möglichkeit hätte, die Erforderlichkeit im Einzelfall zu prüfen, mit dem Unionsrecht unvereinbar wäre, da sie zu einer unterschiedslosen und allgemeinen Erhebung biometrischer Daten führen würde. Das nationale Recht muss daher die konkreten Zwecke der Erhebung festlegen.

Zur Rechtmäßigkeit einer Sanktion für die Weigerung, sich einer Erhebung biometrischer Daten zu unterziehen, entscheidet der Gerichtshof, dass sie davon abhängt, ob die zugrunde liegende Erhebung die Voraussetzung der unbedingten Erforderlichkeit erfüllt: Erfüllt sie diese Voraussetzung, verstößt die Sanktion nicht gegen das Unionsrecht, sofern sie dem in der Charta der Grundrechte der Europäischen Union vorgesehenen Grundsatz der Verhältnismäßigkeit genügt.

Tenor der Entscheidung:
1. Art. 10 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c und Art. 8 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die die systematische Erhebung biometrischer Daten jeder Person vorsieht, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat, eine Straftat zu begehen, es sei denn, dass das nationale Recht die mit dieser Erhebung verfolgten speziellen und konkreten Zwecke angemessen und hinreichend genau definiert und die zuständige Behörde verpflichtet ist, in jedem Einzelfall zu prüfen, ob die Erhebung zur Erreichung dieser Zwecke unbedingt erforderlich ist, so dass sie nicht systematisch erfolgt.

2. Art. 10 in Verbindung mit Art. 4 Abs. 4 und Art. 54 der Richtlinie 2016/680 ist unter erücksichtigung von Art. 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die für die zuständige Behörde keine Verpflichtung vorsieht, in jedem Einzelfall angemessen zu begründen, dass es im Sinne von Art. 10 der Richtlinie „unbedingt erforderlich“ ist, die biometrischen Daten jeder Person zu erheben, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat, eine Straftat zu begehen.

3. Art. 10 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c und Art. 8 der Richtlinie 2016/680 ist unter Berücksichtigung von Art. 49 Abs. 3 der Charta der Grundrechte dahin auszulegen, dass
er einer nationalen Regelung, die es erlaubt, eine Person wegen einer eigenständigen Straftat zu verfolgen und zu verurteilen, mit der ihre Weigerung, die Erhebung ihrer biometrischen Daten zu gestatten, geahndet wird, obwohl sie wegen der Straftat, die der beabsichtigten Datenerhebung zugrunde lag, nicht verfolgt oder verurteilt wurde, nicht entgegensteht, sofern die Erhebung „unbedingt erforderlich“ im Sinne von Art. 10 der Richtlinie ist und die insoweit verhängte strafrechtliche Sanktion dem Verhältnismäßigkeitsgrundsatz genügt.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf: DSGVO-Verstoß wenn Reiseveranstalter Videos von Badegästen ohne deren Einwilligung bei Facebook veröffentlicht - Kein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Sat, 14 Mar 2026 12:30:00 +0100

VG Düsseldorf
Urteil vom 05.03.2026
29 L 4014/25

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß vorliegt, wenn ein Reiseveranstalter Videos von Badegästen ohne deren Einwilligung zu Werbezwecken bei Facebook veröffentlicht. Insbesondere kann sich der Reiseveranstalter nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen.

Aus den Entscheidungsgründen:
Auch in materieller Hinsicht begegnet der angegriffene Bescheid hinsichtlich Ziffer I. keinen rechtlichen Bedenken. Beurteilungszeitpunkt für die Rechtmäßigkeit der angefochtenen Anordnung ist die Sach- und Rechtslage, die zum Zeitpunkt der letzten Behördenentscheidung am 29. Oktober 2025 galt.

Vgl. BVerwG, Urteil vom 29. Januar 2025 - 6 C 3.23 -, juris Rn. 21.

Dies folgt daraus, dass für die Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht ein Ermessensspielraum für das daran angeknüpfte Vorgehen besteht.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung bezieht sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergibt. Die Verwaltungsgerichte prüfen diese Auswahlentscheidungen nach Maßgabe des § 114 Satz 1 VwGO. Insbesondere sind sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließt es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen einbeziehen konnte, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorlagen.

Vgl. BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11.

Nach dem Regelungsgehalt des Art. 58 Abs. 2 lit. d DSGVO ist kein anderer Beurteilungszeitpunkt geboten.

Vgl. VG Bremen, Urteil vom 23. April 2025 - 4 K 2873/23 -, juris Rn. 37 unter Bezugnahme auf BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11 sowie Rn. 38 f. (dort noch zu § 38 Abs. 5 Satz 1 des Bundesdatenschutzgesetzes a.F.).

Durchgreifende Bedenken gegen die Bestimmtheit im Sinne von § 37 Abs. 1 VwVfG NRW der in Ziffer I. des Bescheides enthaltenen Anordnung bestehen nicht.

Danach verlangt eine inhaltliche Bestimmtheit, dass der Inhalt der von der Behörde getroffenen Regelung für die Beteiligten, insbesondere für den oder die Adressaten des Verwaltungsakts, so vollständig, klar und unzweideutig erkennbar ist, dass sie ihr Verhalten danach richten können.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 25; Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 16 unter Verweis auf VG Ansbach, Urteil vom 12. August 2014 - AN 4 K 13.01634 -, SVR 2015, 235, 239.

Die Erkennbarkeit des Inhalts der Regelung ist aufgrund einer Auslegung des Verwaltungsakts entsprechend §§ 133, 157 des Bürgerlichen Gesetzbuchs ausgehend vom Wortlaut unter Berücksichtigung der weiteren Umstände des Einzelfalls und nach Treu und Glauben zu ermitteln. Dabei ist nicht erforderlich, dass sich der Inhalt des Verwaltungsakts allein aus dem verfügenden Teil präzise ergibt; vielmehr sind die den Beteiligten bekannten oder ohne Weiteres erkennbaren Umstände sowie vor allem die dem Verwaltungsakt beigefügte Begründung zur Auslegung des Regelungsinhalts heranzuziehen.

Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Zulässig sind auch Bezugnahmen im Verwaltungsakt auf gegenüber den Beteiligten früher ergangene Verwaltungsakte, ihnen bekannte und ihnen vorliegende oder jederzeit zugänglich Unterlagen, Pläne, technische Regelwerke usw.
Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Diesen Anforderungen genügt der angegriffene Bescheid. Dies gilt zunächst hinsichtlich des Einwandes, der Antragstellerin werde durch die Anordnung, sämtliche auf der Facebook-Plattform „E.“ veröffentlichten Filmaufnahmen so zu verändern, „[…] dass eine Identifizierung von Personen […] nicht möglich ist, […]“, unzulässigerweise die Auswahl aufgegeben. Die Antragsgegnerin hat mit Verwendung des Einschubes „[…] unter Berücksichtigung aller Mittel, die von Ihnen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, […]“ das Ziel der geforderten Handlung hinreichend bestimmt angegeben. Mit dieser Konkretisierung kann die Antragstellerin ohne Weiteres beurteilen, in welchen Fällen sie eine Veränderung eines Videos vorzunehmen hat. Die getroffene Regelung berücksichtigt, dass die Frage, wann eine Person identifizierbar ist, stets aus verschiedenen Wahrnehmungsperspektiven erfolgen kann. Damit übereinstimmend stellt Erwägungsgrund 26 Satz 3 zur DSGVO darauf ab, dass zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Nach Erwägungsgrund 26 Satz 4 zur DSGVO sollten bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Soweit die Antragstellerin vorträgt, damit werde ihr in unzulässiger Weise eine Auswahlentscheidung übertragen, betrifft dies nicht die Frage der Bestimmtheit, sondern der Verhältnismäßigkeit (dazu sogleich).

Für die Antragstellerin ist auch ohne weiteres erkennbar, dass sie Adressatin des Bescheides und insbesondere der in Ziffer I. enthaltenen Anweisung ist. Der angegriffene Bescheid ist ausweislich des Adressfeldes an die „L. GmbH, z. Hd. des Geschäftsführers, H.-straße 0, N01 P.“ gerichtet. Daraus ergibt sich als Inhaltsadressatin die Antragstellerin als juristische Person des Privatrechts. Damit übereinstimmend heißt es in der Einleitung des Schreibens „Sehr geehrter Herr Z., gegenüber der L. GmbH […] ergeht folgende Anweisung […]“. Die Formulierung „von Ihnen oder einer anderen Person“ bezieht sich allein auf die Mittel, die von dem Verantwortlichen oder einer anderen Person wahrscheinlich zur Identifizierung genutzt werden und nimmt damit auf Erwägungsgrund 26 Satz 3 zur DSGVO Bezug. Die Antragsgegnerin hat in diesem Zusammenhang dargelegt, dass im vorliegenden Fall einer weltweiten Veröffentlichung hinsichtlich der Möglichkeiten zur Identifizierung etwaiges Zusatzwissen dritter Personen zu berücksichtigen sei. Es ist auch nicht Aufgabe der Antragsgegnerin, die Mittel zur Identifizierung abschließend zu eruieren und sodann gegenüber der Antragstellerin zu benennen. Vielmehr ist die Antragstellerin als Verantwortliche nach Art. 5 Abs. 2 DSGVO für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss dies auch nachweisen können. Hat die Antragstellerin über die Veröffentlichung der Videos einem weltweit bestehenden und damit potentiell unbegrenzten Personenkreis die Möglichkeit der Identifizierung von betroffenen Personen eröffnet, ist es auch ihre Aufgabe festzustellen, ob eine natürliche Person identifizierbar ist.

Schließlich steht der Bestimmtheit der Anordnung in Ziffer I. nicht entgegen, dass sich die Regelung auf sämtliche veröffentlichte Videos auf der Facebook-Internetseite der Antragstellerin bezieht, wobei das streitgegenständliche Video nicht mehr vorhanden ist und auch alle weiteren Live-Videos infolge einer geänderten Facebook-Policy nach 30 Tagen gelöscht bzw. heruntergeladen werden. Denn die Formulierung „sämtliche“ in Ziffer I. bezieht sich auf eine genau bestimmbare Gruppe von Videos, nämlich die bis zum Zeitpunkt des Bescheiderlasses veröffentlichten Aufnahmen und nicht etwa die noch zu veröffentlichenden bzw. von der Antragstellerin beabsichtigten Videos. Letztere wären von der Antragsgegnerin ggf. in einer gesonderten Anweisung zu erfassen. Auch die in Ziffer I. des Bescheides enthaltene Frist ändert nichts an der Bestimmtheit der Regelung, da es sich hierbei lediglich um die Umsetzungsfrist für die von der Antragsgegnerin angeordnete Maßnahme handelt.

Auch im Übrigen begegnet Ziffer I. des angegriffenen Bescheids keinen materiellen Bedenken. Die Anordnung lässt sich auf Art. 58 Abs. 2 lit. d DSGVO stützen, wonach jede Aufsichtsbehörde - und damit auch die Antragsgegnerin - den Verantwortlichen oder den Auftragsverarbeiter anweisen kann, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen. Voraussetzung für die Ausübung von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO ist, dass ein Datenschutzverstoß vorliegt oder unmittelbar bevorsteht.

Vgl. Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 2; Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Dies ist hier der Fall. Dadurch, dass die Antragstellerin auf ihrer Facebook-Internetseite „E.“ Filmaufnahmen wie das Video „N.“ veröffentlicht hat, hat sie gegen Art. 5 Abs. 1 lit. a DSGVO verstoßen. Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Diesen Anforderungen wird die Tätigkeit der Antragstellerin auf ihrer Facebook-Seite nicht gerecht.

Die Antragstellerin kann sich nicht auf eine Datenverarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO berufen. Eine Einwilligung der betroffenen Personen im Sinne von Art. 6 Abs. 1 lit. a DSGVO liegt nicht vor. Die Antragstellerin kann sich auch nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Diese Voraussetzungen sind nicht erfüllt. Ob eine Verarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 lit. f DSGVO vorliegt, erfolgt anhand einer dreistufigen Prüfung.

Vgl. Datenschutzkonferenz, Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021, Stand: 20. Dezember 2021, S. 31; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146, m.w.N.

Auf der ersten Stufe ist zu klären, ob zum Zeitpunkt der Verarbeitung überhaupt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Auf einer zweiten Stufe geht es sodann um die Frage der Erforderlichkeit der Datenverarbeitung zur Verwirklichung dieses berechtigten Interesses und auf einer dritten Stufe dürfen die Grundrechte und Grundfreiheiten der von der Datenverarbeitung betroffenen Person nicht das wahrgenommene berechtigte Interesse überwiegen.

Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146.

Die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO verlangt eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten und muss auf den konkreten Einzelfall bezogen sein.

Als Vermittlerin von Kreuzfahrten verschiedener Reedereien und damit verbundener Reiseleistungen kann sich die Antragstellerin auf ein wirtschaftliches Interesse berufen.

Vgl. auch Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147.

Die Veröffentlichung eines Videos, auf dem viele der anwesenden Personen ohne weiteres erkennbar sind, ist zur Wahrung der wirtschaftlichen Interessen der Antragstellerin aber nicht erforderlich. Voraussetzung einer Erforderlichkeit ist, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 40; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

h der Rechtsprechung des EuGH muss eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO innerhalb der Grenzen dessen erfolgen, was zur Verwirklichung der berechtigten Interessen „unbedingt notwendig“ ist.

Vgl. EuGH, Urteile vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1141 Rn. 126 und vom 11. Dezember 2019 - C-708/17 -, ZD 2020, 148, 149 Rn. 46.

Entsprechend kann die Erforderlichkeit nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 41; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

Danach hat die Antragstellerin nicht dargelegt, warum in den von ihr veröffentlichten Filmaufnahmen unbeteiligte Personen zur Verfolgung des genannten Werbezwecks identifizierbar bleiben müssen. Sie schildern weder ihre Reiseeindrücke noch tragen sie in sonstiger Weise zum Inhalt des Videos bei.

Darüber hinaus ergibt eine Abwägung der betroffenen Interessen auf der dritten Stufe, dass die von der Antragstellerin verfolgten Zwecke hinter die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten gewährleisten, zurücktreten. Dabei ist zu berücksichtigen, dass im Rahmen der abschließenden Interessenabwägung grundsätzlich von einer Schutzwürdigkeit der Betroffeneninteressen auszugehen ist. Sinn und Zweck des Rechts auf informationelle Selbstbestimmung ist es gerade, den Einzelnen vor den Registrierungs- und Verfügungsmöglichkeiten automatisierter Datenverarbeitung zu schützen.

Vgl. bereits BGH, Urteil vom 17. Dezember 1985 - VI ZR 244/84 -, NJW 1986, 2505, 2506; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 148.

Dabei folgt aus der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass der Verantwortliche - hier die Antragstellerin - die Darlegungslast dafür trägt, dass die Interessen der betroffenen Person nicht überwiegen.

Vgl. EuGH, Urteil vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1139 Rn. 95; Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, Art. 6 Abs. 1 DSGVO Rn. 106.

Vorliegend überwiegen die Betroffeneninteressen. Die aufgezeichneten Personen befinden sich im Urlaub und damit in ihrer Freizeit. Dieser Umstand ist besonders schutzbedürftig, da Menschen nicht davon ausgehen müssen, dass sie ohne ihre Kenntnis und Einwilligung zu Werbezwecken aufgenommen werden. Insoweit folgt aus Erwägungsgrund 47 Satz 4 zur DSGVO, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen können.
Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 152.

Ebenso überwiegen die Interessen der betroffenen Person auch dann, wenn zwischen dieser und dem Verantwortlichen keine vertraglichen oder geschäftlichen Verbindungen bestehen, die die konkrete Datenverarbeitung vernünftigerweise absehbar machen.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 595 Rn. 22.

Besonderes Gewicht kommt hier dem Umstand zu, dass ein auf Facebook veröffentlichtes Video weltweit potentiell Millionen Inhabern eines Accounts zugänglich ist. Auch die von der Antragstellerin dargelegte Lösch-Policy von Facebook ändert daran nichts, da auf Facebook veröffentlichte Filmaufnahmen jedenfalls für eine gewisse Zeit einsehbar sind und in dieser Zeit auch Inhalte extrahiert bzw. heruntergeladen werden können. Dass die Aufnahmen auch von solchen Örtlichkeiten stammen, an denen sich sogenannte Influencer aufhalten und Filmaufnahmen produzieren, führt ebenfalls zu keinem anderen Ergebnis. Allein mit dem Besuch einer solchen Örtlichkeit liegt noch kein Einverständnis in die Datenverarbeitung der jeweils aufgezeichneten Person vor. Auch begeben sich Personen nicht des durch die DSGVO gewährleisteten Schutzes, sobald sie solche Örtlichkeiten aufsuchen. Hinzu kommt, dass diese Personen in keiner geschäftlichen oder sonstigen Beziehung zur Antragstellerin stehen.

Ohne Bedeutung ist auch, dass sich die Antragstellerin auf § 23 Abs. 1 Nr. 2 KUG bzw. eine Wertung im Sinne dieser Vorschrift beruft, wonach ohne die nach § 22 KUG erforderliche Einwilligung Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, verbreitet und zur Schau gestellt werden dürfen. Denn das Kunsturhebergesetz findet in der vorliegenden Konstellation bereits keine Anwendung.

Nach Art. 85 Abs. 2 DSGVO sehen die Mitgliedstaaten für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen oder Ausnahmen unter anderem von Kapitel II (Grundsätze) vor, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DSGVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DSGVO durch nationale Regelungen wie etwa das Kunsturhebergesetz ausgenommen worden.

Vgl. BGH, Urteil vom 27. Mai 2025 - VI ZR 337/22 -, juris Rn. 12, m.w.N.

Eine Zweckbestimmung im vorgenannten Sinne ist nach der Rechtsprechung des EuGH nicht allein deshalb ausgeschlossen, weil damit zugleich auch eine Gewinnerzielungsabsicht verfolgt wird.

Vgl. EuGH, Urteil vom 16. Dezember 2008 - C-73/07 -, EuZW 2009, 108, 110 Rn. 59; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 15.

Allerdings liegen journalistische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO nur dann vor, wenn die Verarbeitung im Zusammenhang mit der journalistisch-redaktionellen und damit meinungsrelevanten Tätigkeit eines Medienredakteurs steht.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39; Lauber-Rönsberg, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 85 DSGVO Rn. 20; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 17a.

Demgegenüber enthält Art. 85 Abs. 2 DSGVO kein allgemeines Meinungsprivileg und findet somit nicht auf alle Meinungsäußerungen im Internet Anwendung. Auch ist Journalismus nicht stets allein schon deshalb anzunehmen, weil sich jemand mit Informationen an die Öffentlichkeit wendet.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39.

Danach handelt es sich bei den von der Antragstellerin auf ihrer Facebook-Internetseite veröffentlichten Filmaufnahmen nicht um Journalismus im Sinne von Art. 85 Abs. 2 DSGVO. Das zwischenzeitlich von ihr entfernte Video „N.“ diente ausschließlich Werbezwecken. Die Antragstellerin vermittelt nach eigenen Angaben Kreuzfahrten verschiedener Reedereien und damit verbundene Reiseleistungen. Auf ihrer Facebook-Internetseite „E.“ heißt es in der Rubrik „Beiträge“ unter der Überschrift „Intro“ etwa: „[…] Entdecke die ganze Welt des Reisens mit E.. Wir sind 365 Tage im Jahr persönlich für dich da […]“.

Vgl. https://www.facebook..[..........]_DE (zuletzt aufgerufen am 5. März 2026).

Unter der Rubrik „Info“ und „Seitentransparenz“ lässt sich über die Schaltfläche „Zur Werbebibliothek“ eine Aufstellung diverser aktiver Werbeanzeigen der Antragstellerin abrufen.

Vgl. https://www.facebook....[.........] (zuletzt aufgerufen am 2. März 2026).

Dass die Antragsgegnerin von ihrer Abhilfebefugnis nach Art. 58 Abs. 2 lit. d DSGVO Gebrauch gemacht hat, begegnet keinen rechtlichen Bedenken. Die Entscheidung für die geeignete Maßnahme im Sinne von Art. 58 Abs. 2 DSGVO liegt im pflichtgemäßen Ermessen der Behörde, wobei die Sachlage im Einzelfall zu berücksichtigen ist.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die in Ziffer I. des Bescheides enthaltene Anordnung ist ermessensgerecht und verhältnismäßig. Ermessensfehler der Antragsgegnerin liegen nicht vor. Anhaltspunkte dafür, dass sich die Antragsgegnerin durch die Petentin des Beschwerdeverfahrens hat instrumentalisieren lassen, sind nicht ansatzweise ersichtlich. Es gehört im Gegenteil zu den Aufgaben der Aufsichtsbehörde, sich mit Beschwerden einer betroffenen Person zu befassen (Art. 58 Abs. 1 lit. f DSGVO).

Die von der Antragsgegnerin gewählte Abhilfemaßnahme nach Art 58 Abs. 2 lit. d DSGVO ist geeignet, erforderlich und angemessen. Es ist insbesondere nicht unverhältnismäßig, dass sich die Anweisung auf sämtliche veröffentlichte Filmaufnahmen auf der Facebook-Internetseite bezieht, auch wenn die Antragsgegnerin nur einen Datenschutzverstoß bei einem Verarbeitungsvorgang festgestellt hat.

Die in Art. 58 Abs. 2 lit. d DSGVO enthaltene grundlegende Anweisungsbefugnis der Aufsichtsbehörde, die alle Verarbeitungsvorgänge und deren Vereinbarkeit mit den Vorgaben der DSGVO betrifft, umfasst die Behebung materiellrechtlicher, aber auch technischer oder organisatorischer Mängel.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 23.

Gemessen daran konnte die Antragsgegnerin ausgehend von dem festgestellten Datenschutzverstoß und dem Geschäftsgebaren der Antragstellerin - Hochladen selbsterstellter Videos aus dem öffentlichen Raum zum Zwecke der Bewerbung der von ihr vermittelten Reisen - davon ausgehen, dass auch bei anderen Videos entsprechende Datenschutzverstöße anzunehmen sind. Die Antragstellerin bestärkte diesen Eindruck, indem sie im Verwaltungsverfahren - etwa mit Schreiben vom 24. Juli 2024 und 6. November 2024 - auch auf Hinweise der Antragsgegnerin weiterhin die Auffassung vertrat, es bestehe keine Veranlassung, das Video „N.“ oder andere Videoaufnahmen zu löschen oder durch Verwischen/Verschwimmen oder den Einsatz eines anderen Filters zu bearbeiten.

Auch im Übrigen bestehen keine Bedenken an der Verhältnismäßigkeit der Anordnung. Es ist nicht Aufgabe der Antragsgegnerin, den Bestand der auf der Facebook-Internetseite der Antragstellerin veröffentlichten Videos, der sich nach ihren Angaben über einen Zeitraum von etwa vier Jahren erstreckt, durchzuarbeiten und hinsichtlich jedes einzelnen Videos Bearbeitungsanweisungen gegenüber der Antragstellerin zu erlassen, denen diese unter Umständen entgegentreten würde. Vielmehr folgt aus der Rechenschaftspflicht der Antragstellerin nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass sie bereits mit Veröffentlichung der Filmaufnahmen auf ihrem Facebook-Account die Einhaltung der Vorgaben der DSGVO hätte sicherstellen müssen. Dies nachträglich zur Aufgabe der Antragsgegnerin zu machen, würde die in der DSGVO geregelte Verantwortung des für die Verarbeitung Verantwortlichen in ihr Gegenteil verkehren. Dass infolge der Entfernung eines Videos die damit verbundenen „Likes“ und Kommentare entfallen, führt in Anbetracht der überwiegenden Betroffeneninteressen zu keinem anderen Ergebnis. Im Übrigen hat die Antragstellerin vorgetragen, dass infolge der geänderten Lösch-Policy von Facebook, die sich auch auf Altvideos erstrecke, jedenfalls sogenannte Facebook-Live-Videos ohnehin nur für eine Zeit von 30 Tagen gespeichert würden.

Den Volltext der Entscheidung finden Sie hier:

OLG Jena: 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 03 Mar 2026 11:52:00 +0100

OLG Jena
Urteil vom 02.03.2026
3 U 31/25

Das OLG Jena hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools zugesprochen.

Die Pressemitteilung des Gerichts:
Meta-Konzern zu Schadensersatz verurteilt

Der 3. Zivilsenat des Oberlandesgerichts Jena hat durch ein heute verkündetes Urteil den Meta-Konzern zur Zahlung von Schadensersatz wegen Datenschutzverstößen verurteilt.

Nach den Feststellungen des Senats ermöglichen dem Konzern die von ihm an Webseiten- und App-Betreibern verteilten Business Tools eine weitreichende Nachverfolgung der Internetnutzung durch die Mitglieder seiner sozialen Netzwerke. Dabei fallen auch sensible personenbezogene Daten wie etwa zu Gesundheitsfragen an, beispielsweise wenn ein Nutzer zu psychischen Störungen recherchiert, über Arztportale nach therapeutischer Hilfe sucht oder in einer Online-Apotheke Medikamente bestellt. Die Erfassung und Speicherung solcher Daten findet dabei grundsätzlich auch dann statt, wenn die Betroffenen nicht im sozialen Netzwerk eingeloggt sind und keine wirksame Einwilligung in die Datenübermittlung erteilt haben.

Der Senat ist zu dem Schluss gekommen, dass diese Datenverarbeitung durch Meta nicht gerechtfertigt ist, sondern ein System anlassloser Datensammlung darstellt, das Grundprinzipien des europäischen Datenschutzrechts wie Transparenz, Zweckbindung und Datenminimierung widerspricht. Er hat dem klagenden Verbraucher 3.000 € Schadensersatz zugesprochen, wobei er die Höhe mit einer langanhaltenden und weitreichenden Aufzeichnung eines beträchtlichen Teils seines Privatlebens begründet.

Neben Schadensersatz ist der Meta-Konzern auch zu einer umfassenden Erteilung einer Auskunft über die von ihm gesammelten personenbezogenen Daten des Klägers sowie zu deren Löschung verurteilt worden.

Das Urteil ist noch nicht rechtskräftig. Der Senat hat die Revision zum Bundesgerichtshof zugelassen.