BECKMANN UND NORDA - Rechtsanwälte Bielefeld (Artikel mit Tag datenschutz)

BMJV: Entwurf eines Gesetzes zur Einführung einer IP-Adressspeicherung und Weiterentwicklung der Befugnisse zur Datenerhebung im Strafverfahren

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 22 Apr 2026 18:40:00 +0200

Das BMJV hat den Entwurf eines Gesetzes zur Einführung einer IP-Adressspeicherung und Weiterentwicklung der Befugnisse zur Datenerhebung im Strafverfahrenvorgelegt.

Aus dem Entwurf:
A. Problem und Ziel
Straftaten weisen häufig digitale Bezüge auf, zum Beispiel bei der Kommunikation von Tatverdächtigen über Messengerdienste, der Verbreitung von Kinderpornographie, bei kriminellen Handelsplattformen, die Betäubungsmittel oder Cybercrime-as-a-Service (CaaS) anbieten, sowie bei echt wirkenden Onlineshops, die Waren verkaufen, die gar nicht existieren (sogenannte Fakeshops). Die Täter hinterlassen dabei digitale Spuren, zum Beispiel die von ihnen verwendete Internetprotokoll-Adresse (IP-Adresse). Diese Spuren sind nicht selten flüchtig, da die Internetzugangsdiensteanbieter die IP-Adressen – wenn überhaupt – nur wenige Tage speichern. Eine Abfrage der Strafverfolgungsbehörden und Polizeibehörden bei den Internetzugangsdiensteanbietern hat deshalb nur dann Erfolg, wenn die abgefragten Daten noch gespeichert sind. Ferner ist nach einer Entscheidung des Bundesgerichtshofs eine Funkzellenabfrage nicht mehr bei Straftaten von erheblicher Bedeutung möglich. Ziel des Entwurfs ist, die Erfolgsaussichten der Abfragen der Strafverfolgungsbehörden und Polizeibehörden zu verbessern und der Strafverfolgungspraxis die Funkzellenabfrage im Umfang wie vor der Entscheidung des Bundesgerichtshofs zu ermöglichen.

B. Lösung
Es wird erstens eine Pflicht zur Speicherung von IP-Adressen eingeführt, um den Strafverfolgungsbehörden und Polizeibehörden die zuverlässige Identifikation eines Anschlussinhabers anhand einer IP-Adresse zu ermöglichen. Die Behörden können damit ein Instrument nutzen, das es ihnen erlaubt, dem häufig einzigen, aber nahezu immer effizientesten Ermittlungsansatz zu folgen. Zweitens wird im Bereich der Strafverfolgung für Verkehrsdaten das Instrument der Sicherungsanordnung geschaffen. Damit können die Strafverfolgungsbehörden die Sicherung von Verkehrsdaten veranlassen, sofern und solange die rechtlichen oder tatsächlichen Voraussetzungen einer Datenerhebung noch nicht vorliegen. Für den Bereich der Gefahrenabwehr sieht der Entwurf eine entsprechende Befugnis für das Bundeskriminalamt vor. Drittens wird der Strafverfolgungspraxis wieder ermöglicht, bei Straftaten von erheblicher Bedeutung, insbesondere solchen nach § 100a Absatz 2 der Strafprozessordnung, eine Funkzellenabfrage durchzuführen.

VG Ansbach: Für Schadensersatzansprüche aus Art. 82 DSGVO gegen Behörden und öffentliche Stellen ist der ordentliche Rechtsweg und nicht der Verwaltungsrechtsweg eröffnet

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 21 Apr 2026 15:59:00 +0200

VG Ansbach
Beschluss vom 01.04.2026
AN 14 K 26.1164

Das VG Ansbach hat entschieden, dass für Schadensersatzansprüche aus Art. 82 DSGVO gegen Behörden und öffentliche Stellen der ordentliche Rechtsweg und nicht der Verwaltungsrechtsweg eröffnet ist.

Aus den Enstcheidungsgründen:
Das Verfahren ist nach Anhörung der Beteiligten gemäß § 173 Satz 1 VwGO i.V.m. § 17a Abs. 2 Satz 1 GVG an das Amtsgericht Nürnberg zu verweisen.

Der Kläger fordert im Klagewege von der Beklagten Schadensersatz nach Art. 82 DS-GVO in Höhe von zuletzt mindestens 20.000 EUR wegen rechtswidriger Speicherung seiner personenbezogenen Daten durch das Bundesamt für Migration und Flüchtlinge. Diese Klage wurde mit Beschluss vom 1. April 2026 von der zeitgleich erhobenen Klage auf Löschung der personenbezogenen Daten abgetrennt.

1. Der hinsichtlich der Schadensersatzklage beschrittene Verwaltungsrechtsweg ist im Sinne des § 173 Satz 1 VwGO, § 17a Abs. 2 Satz 1 GVG unzulässig. Bei dem geltend gemachten Anspruch aus Art. 82 DS-GVO handelt es sich um einen Schadensersatzanspruch aus der Verletzung öffentlichrechtlicher Pflichten im Sinne des § 40 Abs. 2 Satz 1 Halbs. 1 VwGO, sodass demnach der ordentliche Rechtsweg gegeben ist (im Ergebnis ebenso: VG Köln U.v. 23.2.2023 – 13 K 278/21 –, BeckRS 2023, 16294 Rn. 14; VG Stade Verweisungsbeschluss v. 7.8.2025 – 10 A 624/24 –, BeckRS 2025, 22882 Rn. 3; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 –, BeckRS 2025, 36628 Rn. 3).

Eine Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DS-GVO, da diese Vorschrift nur die internationale Zuständigkeit regelt (vgl. VG Köln U.v. 23.2.2023 – 13 K 278/21 –, BeckRS 2023, 16294 Rn. 15 m.w.N.; VG Stade Verweisungsbeschluss v. 7.8.2025 – 10 A 624/24 –, BeckRS 2025, 22882 Rn. 5; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 –, BeckRS 2025, 36628 Rn. 4; Quaas in BeckOK Datenschutzrecht, 54. Ed. Stand: 1.11.2025, DS-GVO Art. 82 Rn. 46-46.3).

2. Damit ist der Rechtsstreit an das Amtsgericht Nürnberg als sachlich und örtlich zuständiges Gericht des ordentlichen Rechtswegs zu verweisen, § 173 Satz 1 VwGO i.V.m. § 17a Abs. 2 Satz 1 GVG.

Der Schadensersatzanspruch aus Art. 82 DS-GVO ist kein Amtshaftungsanspruch im Sinne des Art. 34 Satz 2 GG, sodass eine ausschließliche sachliche Zuständigkeit der Landgerichte gemäß § 71 Abs. 2 Nr. 2 GVG nicht gegeben ist (vgl. BFH, B.v. 28.6.2022 – II B 93/21 –, juris Rn. 14 ff.; BSG, B.v. 6.3.2023 – B 1 SF 1/22 R –, juris Rn. 19 ff.; VG Stuttgart, U.v. 20.6.2024 – 14 K 870/22 –, juris Rn. 23 ff.; VG Osnabrück Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25, BeckRS 2025, 36628 Rn. 13 ff.).

Die sachliche Zuständigkeit richtet sich vielmehr nach § 1 ZPO i.V.m. §§ 23 Nr. 1, 71 Abs. 1 GVG, wonach Streitigkeiten über Ansprüche, deren Gegenstand an Geld oder Geldeswert die Summe von zehntausend Euro nicht übersteigt, von der Zuständigkeit der Amtsgerichte umfasst sind. Insoweit ist das mit der Klage verfolgte wirtschaftliche Interesse zu ermitteln, wobei den Wertangaben der Parteien, insbesondere des Klägers (§§ 253 Abs. 3, 495 ZPO), wenn sie nicht offensichtlich unzutreffend sind, erhebliches Gewicht zukommt, diese aber für das Gericht nicht bindend sind (vgl. Wendtland in BeckOK ZPO, 59. Ed. Stand: 1.12.2025, § 3 Rn. 1).

Der Kläger bezifferte die begehrte Schadensersatzhöhe in der Klageschrift vom 25. Dezember 2025 mit 1.000 EUR, in späteren Schriftsätzen mit mindestens 20.000 EUR. Die ausgeurteilten Schadensersatzansprüche aus Art. 82 DS-GVO bewegen sich bislang im unteren bis mittleren vier- oder dreistelligen Bereich (vgl. Quaas in BeckOK Datenschutzrecht, 54. Ed. Stand: 1.11.2025, DS-GVO Art. 82 Rn. 34 f.). Angesichts dessen erscheint die Angabe von 20.000 EUR offensichtlich unzutreffend, zumal Anhaltspunkte für eine Atypik des Falls des Klägers, die eine derart gravierend von der bisherigen Rechtsprechung abweichende Schadensersatzhöhe rechtfertigen könnten, weder vorgetragen noch erkennbar sind. Das objektive wirtschaftliche Interesse des Klagebegehrens liegt nach Auffassung des Gerichts jedenfalls unter 10.000 EUR, sodass die sachliche Zuständigkeit der Amtsgerichte eröffnet ist.

Örtlich zuständig ist vorliegend im Hinblick auf den Sitz des Bundesamts für Migration und Flüchtlinge in Nürnberg das Amtsgericht Nürnberg nach §§ 12, 17 Abs. 1 ZPO i.V.m. Art. 5 Abs. 2 Nr. 53 GerOrgG.

Die Entscheidung über die Kosten bleibt gemäß § 173 Satz 1 VwGO i.V.m. § 17b Abs. 2 Satz 1 GVG der Endentscheidung des Amtsgerichts Nürnberg vorbehalten.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf: Transportverschlüsselung reicht zur Absicherung beim Versand von E-Mails nach Art. 32 DSGVO aus - Keine Ende-zu-Ende-Verschlüsselung erforderlich

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Mon, 20 Apr 2026 09:29:00 +0200

VG Düsseldorf
Urteil vom 02.04.2026
29 K 7351/23

Das Verwaltungsgericht Düsseldorf hat entschieden, dass die Versendung von E-Mails unter Verwendung einer Transportverschlüsselung (z. B. TLS) keinen Verstoß gegen die DSGVO darstellt. Eine Ende-zu-Ende-Verschlüsselung ist zur Einhaltung der Anforderungen an die Sicherheit der Verarbeitung nach Art. 32 DSGVO für die Kommunikation von nicht sensiblen Daten nicht zwingend erforderlich.

Aus den Entscheidungsgründen:
Die Einzelrichterin ist für die Entscheidung zuständig, nachdem ihr der Rechtsstreit durch Beschluss der Kammer vom 23. Februar 2026 gemäß § 6 Abs. 1 Satz 1 Verwaltungsgerichtsordnung (VwGO) zur Entscheidung übertragen worden ist.

Das Gericht kann gemäß § 101 Abs. 2 VwGO ohne mündliche Verhandlung entscheiden, weil die Beteiligten hierzu ihr Einverständnis erklärt haben.

Die insgesamt zulässige Klage hat nur in dem aus dem Tenor ersichtlichen Umfang Erfolg. Hinsichtlich der Klageanträge zu 1. und 2. ist die Klage unbegründet. Soweit der Kläger mit dem Hilfsklageantrag zu 3. bezüglich der Nichtmeldung des Datenschutzverstoßes und bezüglich des Datenschutzverstoßes selbst die Verpflichtung zur Neubescheidung über seine Beschwerde begehrt, ist die Klage ebenfalls unbegründet. Im Übrigen ist sie mit ihrem Hilfsklageantrag zu 3. begründet. Der Kläger hat einen Anspruch auf Neubescheidung seiner Beschwerde, soweit sie die verspätete Datenschutzauskunft durch die Beschwerdegegnerin zum Gegenstand hat (§ 113 Abs. 5 Satz 2 VwGO).

Die Klage ist zulässig, insbesondere als Verpflichtungsklage gemäß § 42 Abs. 1 Alt. 2 VwGO statthaft.

Die von dem Kläger begehrte andere Entscheidung über seine Beschwerde stellt - ebenso wie das Schreiben der Beklagten vom 16. November 2022 - einen Verwaltungsakt im Sinne von § 35 Satz 1 des Verwaltungsverfahrensgesetzes (VwVfG) dar. Insbesondere zielt es auf die Herbeiführung unmittelbarer Rechtswirkungen ab. Aus der Begründung ergibt sich, dass die Beklagte das Schreiben als Aufsichtsbehörde im Rahmen ihrer Befugnisse nach Art. 58 DSGVO erstellt hat. Dabei ist unschädlich, dass dieses weder als „Bescheid“ noch als „Verfügung“ oder in ähnlicher Weise bezeichnet wird. Denn inhaltlich stellt es eine auf unmittelbare Rechtswirkung nach außen gerichtete Entscheidung der Beklagten über den weiteren Fortgang - nämlich die Beendigung - des Beschwerdeverfahrens dar.

Vgl. zur Einordnung der abschließenden Beschwerdeentscheidung der Aufsichtsbehörde als Verwaltungsakt: VG Düsseldorf, Urteil vom 20. November 2025 - 29 K 3939/23 -, juris Rn 20 m.w.N.; VG Mainz, Urteil vom 16. Januar 2020 - 1 K 129/19.MZ -, juris Rn. 26 f. Vgl. auch zur Rechtsverbindlichkeit der Beschlüsse einer Aufsichtsbehörde: EuGH, Urteil vom 07.12.2023 - C-26/22 -, juris Rn. 50.

Die Klage ist rechtzeitig innerhalb der gemäß § 58 Abs. 2 VwGO geltenden Jahresfrist erhoben worden. Der Bescheid vom 16. November 2022 enthält keine Rechtsbehelfsbelehrung.

Der Kläger ist klagebefugt im Sinne von § 42 Abs. 2 VwGO, weil es nach seinem Vorbringen jedenfalls möglich ist, dass er durch die Einstellung des Beschwerdeverfahrens in eigenen subjektiv-öffentlichen Rechten nach Art. 57 Abs. 1 Buchst. f, 77 Abs. 1 DSGVO verletzt ist.

Vgl. VG Hamburg, Urteil vom 1. Juni 2021 - 17 K 2977/19 -, Rn. 41 ff.; VG Ansbach, Urteil vom 7. Dezember 2020 - An 14 K 18.02503 -, juris Rn. 25; OVG Rheinland-Pfalz, Urteil vom 26. Oktober 2020 - 10 A 10613/20 -, juris Rn. 29.

Die Klage ist mit ihren Klageanträgen zu 1. und 2. aber unbegründet. Der Bescheid vom 16. November 2022 ist insoweit rechtmäßig und verletzt den Kläger nicht in seinen Rechten. Der Kläger hat gegenüber der Beklagten keinen Anspruch auf das Ergreifen der begehrten Aufsichtsmaßnahmen (§ 113 Abs. 5 Satz 1 VwGO).

Rechtsgrundlage für die streitgegenständliche Beschwerdeentscheidung ist Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO.

Nach Art. 77 Abs. 1 DSGVO hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Vorschriften über den Datenschutz verstößt. Als Datenschutzaufsichtsbehörde muss sich die Beklagte im Rahmen ihrer Zuständigkeit mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten (Art. 57 Abs. 1 Buchst. f DSGVO).

Bei dem Recht auf Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO i. V. m. Art. 77 Abs. 1 DSGVO handelt es sich um ein subjektiv-öffentliches Recht, aus dem sich ein gerichtlich überprüfbarer, zweistufiger Anspruch ergibt.

Zunächst ist zu prüfen, ob die Aufsichtsbehörde in angemessenem Umfang überprüft hat, ob ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Die Aufsichtsbehörde ist nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, eine Beschwerde mit aller gebotenen Sorgfalt zu bearbeiten. Hierzu verleiht ihr Art. 58 Abs. 1 DSGVO weitreichende Untersuchungsbefugnisse.

Vgl. EuGH, Urteil vom 16. Juli 2020 - C-311/18 -, juris Rn.109, 111.

Über den Einsatz der sich aus Art. 58 Abs. 1 DSGVO ergebenden Untersuchungsbefugnisse sowie den Umfang der Untersuchung entscheidet die Aufsichtsbehörde nach pflichtgemäßem Ermessen entsprechend der Sachlage im Einzelfall.

Vgl. Matzke, in: BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 49. Edition, Stand 01.02.2026, DSGVO Art. 57 Rz 17.

Stellt die Aufsichtsbehörde sodann am Ende ihrer Untersuchung einen Verstoß gegen die Bestimmungen dieser Verordnung fest, ist sie verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen, wobei alle Maßnahmen insbesondere im Hinblick auf die Gewährleistung der Einhaltung der Verordnung geeignet, erforderlich und verhältnismäßig sein sollten und die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind. Zu diesem Zweck werden in Art. 58 Abs. 2 DSGVO die verschiedenen der Aufsichtsbehörde zur Verfügung stehenden Abhilfebefugnisse aufgezählt.

Vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22 -, juris Rn. 47 ff.

Hiervon ausgehend richtet sich die gerichtliche Prüfung der Beschwerdeentscheidung nach § 114 Abs. 1 VwGO.
Bei Ermessensentscheidungen hat das Gericht nur zu prüfen, ob die Verwaltung den ihr eingeräumten Ermessensspielraum ausgeschöpft hat, ob sie die nach dem Zweck der Ermessensermächtigung für die Entscheidung relevanten Gesichtspunkte bei ihrer Entscheidung berücksichtigt hat und ob sie die gesetzlichen Grenzen der Ermessensbetätigung überschritten hat. Das Gericht darf die getroffene Entscheidung nur anhand derjenigen Erwägungen überprüfen, die die Behörde tatsächlich angestellt hat, wozu auch in Einklang mit § 114 Satz 2 VwGO nachgeschobene Erwägungen zählen.

Vgl. BVerwG, Urteil vom 11. Mai 2016 - 10 C 8/15 -, juris Rn. 13 m.w.N.

Nach diesem Maßstab sind Ermessensfehler bei der Entscheidung der Beklagten, das Beschwerdeverfahren einzustellen, nicht erkennbar.

Dies ergibt sich für den mit dem Klageantrag zu 1. geltend gemachten Sachverhalt bereits daraus, dass ein Datenschutzverstoß nicht vorliegt. Die Datenverarbeitung durch die verarbeitende Beschwerdegegnerin war rechtmäßig. Eine Ende-zu-Ende-Verschlüsselung bei elektronischer Kommunikation mit dem Kläger war weder allgemein noch in der Unfallsache geboten.

Die Datenverarbeitung der personenbezogenen Daten des Klägers durch die Verantwortliche in Form der Offenlegung durch die Anzeige des Verkehrsunfalls mit E-Mail vom 21. Januar 2022 sowie in Form der Übermittlung des an sie gerichteten Schreibens der Prozessbevollmächtigten des Klägers vom 2. März 2022 an die KFZ-Haftpflichtversicherung bzw. den für diese tätigen Versicherungsvertreter war gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO zulässig. Nach dieser Bestimmung ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen der Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ein berechtigtes Interesse der Verantwortlichen liegt vor. Als Versicherungsnehmerin durfte das verantwortliche Busunternehmen den Namen des Klägers als Unfallgeschädigtem zum Zwecke der Schadensabwicklung des Verkehrsunfalls ihrer Versicherung melden. Soweit im E-Mail-Verteiler neben der „SVG-Kravag“ auch „SVG“ aufgeführt wird, handelt es sich angesichts des identischen Namens „Claus Vennemann“ ersichtlich um ein- und denselben Adressaten. Herr Vennemann scheint der bei der KRAVAG zuständige Versicherungsvertreter für die Beschwerdegegnerin zu sein.

Die Übermittlung der personenbezogenen Daten des Klägers per E-Mail war auch hinsichtlich der Sicherheit der Datenverarbeitung datenschutzkonform und verstößt nicht gegen Art. 5 Abs. 1 Buchst. f DSGVO. Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dieser Grundsatz wird in Art. 32 DSGVO konkretisiert. Diese Vorschrift sieht vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem risikoangemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 1. HS DSGVO). Diese Maßnahmen schließen gegebenenfalls unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten ein (Art. 32 Abs. 1 2. HS Buchst. a DSGVO).

Als Maßnahme zur Gewährleistung der Datensicherheit hat die Beschwerdegegnerin eine solche Verschlüsselung vorgenommen. Mangels gegenteiliger Anhaltspunkte durfte die Beklagte bei ihrer Prüfung davon auszugehen, dass die bei der Kommunikation zwischen der Beschwerdegegnerin und ihrer Versicherung beteiligten E-Mail-Anbieter eine Transportverschlüsselung einsetzen und dadurch die personenbezogenen Daten des Klägers in Form seines Namens und Vornamens während des Versands verschlüsselt worden sind.

Nachrichten, die per E-Mail versendet werden, unterliegen einer Transportverschlüsselung. Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt. Dies wird von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt. Allerdings werden E-Mails beim Versand über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.

Vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt.

Diese Technik gewährleistete im vorliegenden Fall gleichwohl ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 Abs. 1 1. HS DSGVO.

Bei der Beurteilung des angemessenen Schutzniveaus sind gemäß Art. 32 Abs. 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Das Risiko bestimmt sich nach der möglichen Schwere des Schadens und nach der Wahrscheinlichkeit, mit der der Schaden eintritt.

Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 4. Auflage 2026, Art. 32 DSGVO, Rn. 50.
Anders als bei einer Ende-zu-Ende-Verschlüsselung, bei der nicht die einzelnen Abschnitte des Versandkanals verschlüsselt werden, sondern die E-Mails selbst, so dass weder die beteiligten E-Mail-Anbieter die E-Mail lesen können, noch potentielle Angreifer die Möglichkeit haben, die E-Mails unterwegs zu lesen oder zu manipulieren,

vgl. Bundesamt für Sicherheit in der Informationstechnik, E-Mail-Verschlüsselung, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung.html#:~:text=Vertraulichkeit%20der%20E%2DMail:%20Verschl%C3%BCsselung%20nutzen%20Bei%20E%2DMail%2DVerschl%C3%BCsselung,entscheidende%20Unterschied%20liegt%2C%20wird%20im%20Folgenden%20erkl%C3%A4rt,

Bei einer Transportverschlüsselung ein unbefugter Zugang zu personenbezogenen Daten nicht vollständig ausgeschlossen werden. Das birgt für den Kläger aber kein erhöhtes Risiko. Im Raum stand, dass ein unbefugter Dritter Kenntnis von dem in beiden E-Mails enthaltenen Namen des Klägers erlangt. Diese Daten sind nicht sensibel und bedürfen keines besonderen Schutzes. Die im Melderegister für ihn angeordnete Auskunftssperre ändert daran nichts. Der Name des Klägers ist nicht geheim, sondern im Internet frei zugänglich. Dasselbe gilt für seine Firma. Der Kläger verwendet kein Pseudonym. Sein Name wird daher nicht erst bei unbefugtem Zugang Dritter zu den E-Mails bekannt. Auch die Wahrscheinlichkeit, dass ein Dritter dadurch weitere Informationen über den Kläger erlangt, ist äußerst gering. Ein Bezug zur privaten Anschrift des Klägers kann nicht hergestellt werden. Denn die für den Kläger eingetragene Auskunftssperre nach § 51 BMG bewirkt, dass Dritte keinen Zugang zu den Meldedaten erhalten. Es ist auch nicht ersichtlich, wie ein Unbefugter über die Kanzlei der Prozessbevollmächtigten des Klägers nähere Informationen über den Kläger herausfinden könnte. Diese sind hinreichend sensibilisiert. Vielmehr kann der mögliche Aufenthaltsort des Klägers bereits jetzt mit seinem Namen in Verbindung mit seiner Firma und deren Sitz im Internet auf einfache Weise ermittelt werden. Die vom Kläger angenommene Gefahr, Dritte könnten ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen, hat sich durch die Nennung seines Namens in den beiden streitgegenständlichen E-Mails nicht erhöht.

Da die Datenverarbeitung durch das Busunternehmen kein hohes Risiko für die Rechte und Freiheiten des Klägers zur Folge hat, bedurfte es auch keiner Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO.

Kann ein Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung nicht festgestellt werden, ist die Beklagte nicht gehalten, mit dem Ziel der Abstellung des Verstoßes die mit dem Klageantrag zu 1. begehrten Maßnahmen nach Art. 58 Abs. 2 DSGVO Maßnahmen zu ergreifen.

Der Klageantrag zu 2., mit dem der Kläger die Verpflichtung der Beklagten begehrt, gegenüber dem Verarbeiter eine angemessene Geldbuße zu verhängen für die Verspätung der Auskunft, die Nichtmeldung des Datenschutzverstoßes und der Datenschutzverstoß selbst, ist ebenfalls unbegründet. Der Kläger hat keinen Anspruch auf die Verhängung einer Geldbuße gemäß Art. 58 Abs. 2 Buchst. i DSGVO gegenüber der Beschwerdegegnerin. Dies ergibt sich hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst bereits daraus, dass nach den obigen Ausführungen kein Datenschutzverstoß vorliegt, und infolgedessen keine Meldung nach Art. 33 DSGVO an die Beklagte erfolgen musste. Aus diesem Grund bleibt auch dem Hilfsantrag zu 3., soweit er auf die Neubescheidung des Klägers hinsichtlich der Nichtmeldung des Datenschutzverstoßes und des Datenschutzverstoßes selbst zielt, der Erfolg versagt.

In Bezug auf die Verspätung der Auskunft nach Art. 15 DSGVO liegt zwar ein Datenschutzverstoß vor. Der auf die Verhängung eines Bußgelds gerichtete Klageantrag zu 2. ist gleichwohl unbegründet.

Die Beklagte hat nicht in angemessenem Umfang überprüft, ob hinsichtlich der verspäteten Auskunftserteilung ein Verstoß gegen die Datenschutzgrundverordnung gegeben ist. Dass die gewünschte E-Mail-Auskunft zum Zeitpunkt der Entscheidung der Beklagten vorlag, ist für die Frage der fristgerechten Erfüllung des Antrags des Klägers auf Auskunft über seine personenbezogenen Daten ohne Belang. Soweit sich die Beklagte in ihrem Bescheid vom 16. November 2022 auf die Einlassung der Verantwortlichen stützt, es sei keine Identifikation für ein Auskunftsbegehren möglich gewesen, schließt dies einen Verstoß gegen Art. 12 Abs. 3 Satz 1 DSGVO nicht aus.

Der Antrag des Klägers auf Auskunft über seine personenbezogenen Daten gemäß Art. 15 Abs. 1 DSGVO an die Beschwerdegegnerin datiert vom 12. April 2022. Auskunft erteilt wurde mit der anwaltlichen Stellungnahme der Beschwerdegegnerin vom 26. Oktober 2022. Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die einmonatige Frist hat die Beschwerdegegnerin nicht eingehalten. Sie hat den Kläger auch nicht über eine Fristverlängerung oder die Gründe für die Verzögerung unterrichtet (Art. 12 Abs. 3 Satz 3 DSGVO). Anders als die Verantwortliche geltend macht, war der Kläger auch identifizierbar. Der Antrag vom 12. April 2022 wurde weder anonym noch unter einem Pseudonym gestellt. Zwar wird nur der Name des Klägers ohne Privatanschrift angegeben. Das Schreiben wurde jedoch von den Prozessbevollmächtigten des Klägers übersendet, die sich bereits Schreiben vom 2. März 2022 an die Beschwerdegegnerin gewendet und darin neben dem Namen des Klägers auch den zugrunde liegenden Sachverhalt (Verkehrsunfall in F. am 20. Januar 2022) benannt haben. Damit war der Verantwortlichen eine Zuordnung des Klägers ohne weiteres möglich.

Der auf Verhängung einer Geldbuße gerichtete Klageantrag zu 2. hat dennoch keinen Erfolg. Ein gerichtlich im Wege der Verpflichtungsklage durchsetzbarer Anspruch gegen die Beklagte auf Ergreifen der Maßnahme nach Art. 58 Abs. 2 Buchst. i DSGVO besteht in Anbetracht des der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zustehenden Auswahlermessens nur, wenn das Ermessen der Beklagten auf null reduziert ist. Dies ist vorliegend nicht der Fall, zumal von drei behaupteten Datenschutzverstößen nur einer gegeben ist, der zudem angesichts der später erteilten Auskunft nicht schwer wiegt.

Der Kläger hat aber, soweit er sich über die verspätete Auskunft beschwert hat, gegenüber der Beklagten einen Anspruch auf ermessensfehlerfreie Entscheidung über das Ergreifen von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO unter Beachtung der Rechtsauffassung des Gerichts (§ 113 Abs. 5 Satz 2 VwGO) mit der Folge, dass der Hilfsantrag zu 3. insoweit Erfolg hat. Die Beklagte konnte ihre Ermessenserwägungen dazu im gerichtlichen Verfahren nicht wirksam nachholen, weil sie die nicht fristgerechte Erteilung der begehrten Datenschutzauskunft im Bescheid nicht als Verstoß erkannt und deshalb ihr Auswahlermessen nicht ausgeübt hat.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: Datenschutzbehörde ist selbst Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO im Rahmen von Beschwerdeverfahren nach Art. 77 DSGVO und muss nach Art. 15 DSGVO Auskunft erteilen

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Sat, 18 Apr 2026 12:07:00 +0200

EuGH-Generalanwalt
Schlussanträge vom 16.04.2026
C‑205/25
J.L. gegen Bayerisches Landesamt für Datenschutzaufsicht

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass eine Datenschutzbehörde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist, wenn sie im Rahmen eines Beschwerdeverfahrens gemäß Art. 77 DSGVO tätig wird. Der Betroffene hat somit einen Auskunftsanspruch aus Art. 15 DSGVO. Nationale Rechtsvorschriften, wie etwa Art. 20 Abs. 2 des Bayerischen Datenschutzgesetzes (BayDSG), die diesen Auskunftsanspruch gegenüber der Datenschutzbehörde ausschließen, widersprechen Art. 23 DSGVO.

Ergebnis der Schlussanträge:
1. Art. 15 in Verbindung mit Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) st dahin auszulegen, dass eine Aufsichtsbehörde im Sinne von Art. 4 Nr. 21 dieser Verordnung, wenn sie im Rahmen eines Beschwerdeverfahrens gemäß deren Art. 77 tätig wird, auch die Eigenschaft eines „Verantwortlichen“ im Sinne der genannten Verordnung aufweist und somit verpflichtet ist, der betroffenen Person das in Art. 15 der Verordnung vorgesehene Auskunftsrecht zu garantieren.

2. Art. 23 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Vorschrift wie der in Art. 20 Abs. 2 des Bayerischen Datenschutzgesetzes vorgesehenen entgegensteht, die das Bestehen eines auf Art. 15 dieser Verordnung gestützten Auskunftsrechts gegenüber der bayerischen Datenschutzbehörde als solches ausschließt.

Die vollständigen Schlussanträge finden Sie hier:

BMJV: Entwurf eines Gesetzes zur Änderung der Strafprozessordnung – digitale Ermittlungsmaßnahmen

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Fri, 20 Mar 2026 18:35:00 +0100

Das BMJV den Entwurf eines Gesetzes zur Änderung der Strafprozessordnung – digitale Ermittlungsmaßnahmen

Aus dem Entwurf:
A. Problem und Ziel Der Entwurf verfolgt das Ziel, Strafverfolgungsbehörden mit neuen Befugnissen auszustatten, um die Effektivität der Strafverfolgung zu steigern.

Bislang gibt es keine ausdrückliche Ermächtigungsgrundlage, die den automatisierten Abgleich biometrischer Daten aus einem Strafverfahren mit im Internet öffentlich zugänglichen Daten regelt. Daher dürfen die Ermittlungsbehörden einen solchen Abgleich derzeit nur manuell, also ohne den Einsatz einer speziellen, für den Abgleich entwickelten Software, unter Einsatz gängiger Internet-Suchmaschinen, vornehmen, um Personen zu identifizieren, lokalisieren oder Tat-Täter-Zusammenhänge zu erschließen. Dies kann insbesondere im Falle großer Datenmengen im Einzelfall zur Erfolglosigkeit von Ermittlungsmaßnahmen führen und außerdem in erheblichem Umfang Personal der Strafverfolgungsbehörden binden. Aus der am 1. August 2024 in Kraft getretenen Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rats vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz) (ABl. L, 2024/1689, 12.7.2024) ergibt sich die Notwendigkeit, spezielle Regelungen für den Einsatz von Systemen künstlicher Intelligenz im Sinne von Artikel 3 Nummer 1 (KI-Systeme) zu schaffen, wenn sie zur biometrischen Fernidentifizierung eingesetzt werden sollen.

Gegenwärtig gibt es auch keine Ermächtigungsgrundlage für den Einsatz verfahrensübergreifender Recherche- und Analyseplattformen zur Strafverfolgung. Das Bundesverfassungsgericht hat in dem zur Gefahrenabwehr ergangenen Urteil vom 16. Februar 2023 – 1 BvR 1547/19 und andere – deutlich gemacht, dass deren Nutzung einer ausdrücklichen Ermächtigungsgrundlage bedarf. Derzeit beruht die operative IT-Infrastruktur der Polizeibehörden teilweise noch auf einem unverbundenen Nebeneinander zahlreicher automatisierter Dateien und Datenquellen, die zur Strafverfolgung noch jeweils einzeln mit einem bestimmten personenbezogenen Datum abgeglichen werden müssen. Dies bindet zum einen personelle Ressourcen, zum anderen birgt dies ein Risiko von Übertragungsfehlern, Informationsverlusten oder paralleler Datenhaltung, zumal jede neue Fragestellung erneut unter den vorangestellten Einschränkungen und Aufwänden bearbeitet werden muss. Mit dem Einsatz verfahrensübergreifender Recherche- und Analyseplattformen könnten bisher unverbundene Dateien und Datenquellen der Polizei, die sowohl die Daten aus der Gefahrenabwehr als auch aus der Strafverfolgung enthalten, in einer Analyseplattform vernetzt werden und durch Suchfunktionen systematisch erschlossen und analysiert werden.

B. Lösung
Für den automatisierten Abgleich biometrischer Daten aus einem Strafverfahren mit biometrischen Daten aus im Internet öffentlich zugänglichen Daten soll eine klare Rechtsgrundlage geschaffen werden. Des Weiteren wird den Strafverfolgungsbehörden die Befugnis eingeräumt, zur Strafverfolgung verfahrensübergreifende Recherche- und Analyseplattformen einzusetzen.

EuGH: Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch Polizeibehörden nur bei unbedingter Erorderlichkeit

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 19 Mar 2026 16:18:00 +0100

EuGH
Urteil vom 19.03.2026
C-371/24

Der EuGH hat entschieden, dass die Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch Polizeibehörden nur bei unbedingter Erorderlichkeit zulässig ist.

Die Pressemitteilung des EuGH:
Die Erhebung biometrischer Daten im Rahmen eines strafrechtlichen Ermittlungsverfahrens durch eine Polizeibehörde kann nur mit einer unbedingten Erforderlichkeit gerechtfertigt werden

Erkennungsdienstliche Maßnahmen dürfen nicht systematisch angeordnet werden, sondern müssen klar begründet werden, andernfalls ist die strafrechtliche Sanktion für die Verweigerung, sich ihnen zu unterziehen, unwirksam.

Im Mai 2020 wurde HW in Paris wegen der Organisation einer nicht angemeldeten Demonstration und wegen Aufruhrs festgenommen. Während seines Polizeigewahrsams weigerte er sich, sich erkennungsdienstlichen Maßnahmen (Abnahme von Fingerabdrücken und Anfertigung von Fotografien) zu unterziehen.

HW wurde wegen dieser Weigerung verurteilt2, obwohl er wegen des Vergehens, das der beabsichtigten erkennungsdienstlichen Behandlung zugrunde lag, freigesprochen wurde. Er wandte sich gegen seinen Schuldspruch und trug vor, dass die anwendbare französische Regelung nicht mit den europäischen Rechtsvorschriften über den Schutz personenbezogener Daten im Bereich des Strafrechts vereinbar sei.

n diesem Zusammenhang hat sich das Berufungsgericht Paris an den Gerichtshof gewandt. Es möchte im Wesentlichen wissen, ob das Unionsrecht nationalen Behörden gestattet, von jeder Person, die einer Straftat verdächtigt wird, systematisch Fingerabdrücke abzunehmen und Fotografien anzufertigen, ohne diese Maßnahme im Einzelfall rechtfertigen zu müssen. Es möchte auch wissen, ob eine Person für die Weigerung, sich erkennungsdienstlichen Maßnahmen zu unterziehen, selbst dann strafrechtlich verfolgt werden darf, wenn sie für die Straftat, derer sie verdächtigt wurde, letztlich nicht verfolgt wird.

Der Gerichtshof konkretisiert in seinem Urteil die Anforderungen, die an die nationalen Behörden gestellt werden, wenn sie biometrische Daten (Fingerabdrücke, Fotografien) für strafrechtliche Ermittlungsverfahren erheben.

Zunächst weist der Gerichtshof darauf hin, dass biometrische Daten zu den sensiblen personenbezogenen Daten im Sinne des Unionsrechts gehören, die einem verstärkten Schutz unterliegen: Ihre Verarbeitung ist nur erlaubt, wenn sie unbedingt erforderlich4 ist und geeignete Garantien für die Rechte und Freiheiten der betroffenen Person bestehen.

Das bloße Vorliegen eines oder mehrerer plausibler Gründe für den Verdacht einer Straftat reicht nicht aus, um die Erhebung biometrischer Daten zu rechtfertigen. Jede Entscheidung, erkennungsdienstliche Maßnahmen durchzuführen, muss daher mit einer klaren Begründung versehen sein, die auch summarisch sein kann und es der betroffenen Person ermöglicht, die Gründe der Maßnahme zu verstehen und ihr Recht auf Einlegung eines Rechtsbehelfs auszuüben. Da die Erhebung nicht systematisch erfolgen darf, stellt diese Begründungspflicht keine unverhältnismäßige Belastung für die Behörde dar.

Der Gerichtshof stellt außerdem klar, dass eine nationale Regelung, die eine systematische Erhebung vorschriebe, ohne dass die zuständige Polizeibehörde die Möglichkeit hätte, die Erforderlichkeit im Einzelfall zu prüfen, mit dem Unionsrecht unvereinbar wäre, da sie zu einer unterschiedslosen und allgemeinen Erhebung biometrischer Daten führen würde. Das nationale Recht muss daher die konkreten Zwecke der Erhebung festlegen.

Zur Rechtmäßigkeit einer Sanktion für die Weigerung, sich einer Erhebung biometrischer Daten zu unterziehen, entscheidet der Gerichtshof, dass sie davon abhängt, ob die zugrunde liegende Erhebung die Voraussetzung der unbedingten Erforderlichkeit erfüllt: Erfüllt sie diese Voraussetzung, verstößt die Sanktion nicht gegen das Unionsrecht, sofern sie dem in der Charta der Grundrechte der Europäischen Union vorgesehenen Grundsatz der Verhältnismäßigkeit genügt.

Tenor der Entscheidung:
1. Art. 10 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c und Art. 8 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die die systematische Erhebung biometrischer Daten jeder Person vorsieht, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat, eine Straftat zu begehen, es sei denn, dass das nationale Recht die mit dieser Erhebung verfolgten speziellen und konkreten Zwecke angemessen und hinreichend genau definiert und die zuständige Behörde verpflichtet ist, in jedem Einzelfall zu prüfen, ob die Erhebung zur Erreichung dieser Zwecke unbedingt erforderlich ist, so dass sie nicht systematisch erfolgt.

2. Art. 10 in Verbindung mit Art. 4 Abs. 4 und Art. 54 der Richtlinie 2016/680 ist unter erücksichtigung von Art. 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die für die zuständige Behörde keine Verpflichtung vorsieht, in jedem Einzelfall angemessen zu begründen, dass es im Sinne von Art. 10 der Richtlinie „unbedingt erforderlich“ ist, die biometrischen Daten jeder Person zu erheben, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat, eine Straftat zu begehen.

3. Art. 10 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c und Art. 8 der Richtlinie 2016/680 ist unter Berücksichtigung von Art. 49 Abs. 3 der Charta der Grundrechte dahin auszulegen, dass
er einer nationalen Regelung, die es erlaubt, eine Person wegen einer eigenständigen Straftat zu verfolgen und zu verurteilen, mit der ihre Weigerung, die Erhebung ihrer biometrischen Daten zu gestatten, geahndet wird, obwohl sie wegen der Straftat, die der beabsichtigten Datenerhebung zugrunde lag, nicht verfolgt oder verurteilt wurde, nicht entgegensteht, sofern die Erhebung „unbedingt erforderlich“ im Sinne von Art. 10 der Richtlinie ist und die insoweit verhängte strafrechtliche Sanktion dem Verhältnismäßigkeitsgrundsatz genügt.

Den Volltext der Entscheidung finden Sie hier:

LG Krefeld: Kein Schadensersatz aus Art. 82 DSGVO bei Hackerangriff (hier: Zero-Day-Exploit) ohne Nachweis unzureichender Sicherheitsmaßnahmen des Unternehmens

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 17 Mar 2026 11:51:00 +0100

LG Krefeld
Urteil vom 06.11.2025
3 O 93/24

Das LG Krefeld hat entschieden, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei einem Hackerangriff – im vorliegenden Fall ein Zero-Day-Exploit – nicht besteht, wenn der Nachweis unzureichender Sicherheitsmaßnahmen des Unternehmens fehlt und ein konkreter Schaden nicht substantiiert dargelegt wurde.

Aus den Entscheidungsgründen:
Gemäß Art. 82 Abs. 4 DSGVO haften sowohl der Verantwortliche (hier die Beklagte zu 1) gemäß Art. 4 Nr. 7 DSGVO) als auch der Auftragsverarbeiter (hier die Beklagte zu 2) gemäß Art. 4 Nr. 8 DSGVO) gesamtschuldnerisch für einen verursachten Schaden. Soweit die Klägerin ein wirksames Auftragsverarbeitungsverhältnis zwischen den Beklagten mit Nichtwissen bestreitet (Bl. 162 d. A.), ist dieses Bestreiten gemäß § 138 Abs. 4 ZPO unbeachtlich, da er im Widerspruch zu ihrem vorherigen Vortrag (z.B. auf Bl. 8 f. d. A) steht. Denn die Klägerin trägt selbst vor, dass die Daten durch die Beklagte zu 2) als Dienstleister der Beklagten zu 1) verarbeitet worden sind.

Zudem kann das Gericht keinen schuldhaften Verstoß der Beklagten gegen die DSGVO annehmen. Insbesondere kann ein schuldhafter Verstoß gegen Art. 5 Abs. 1 lit. f), 24, 32 DSGVO nicht angenommen werden.

Nach Art. 5 Abs. 1 f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, wobei dies der Verantwortliche nach Art. 5 Abs. 2 DSGVO nachzuweisen hat. Nach Art. 24 Abs. 1 S. 1 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Nach Art. 24 Abs. 2 DSGVO müssen diese Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und zwar unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Die DSGVO verlangt ein Risikomanagementsystem einzuführen, aber nicht die Beseitigung des Risikos von Verletzungen des Schutzes personenbezogener Daten (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Aus dem Wortlaut der Art. 24 und 32 DSGVO ergibt sich, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf geeignet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 30, juris). Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Dabei steht dem Verantwortlichen ein gewisser Entscheidungsspielraum zu (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 43, juris).

Die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 f) und Art. 32 DSGVO gewährleisten, obliegt dem für die betreffende Verarbeitung Verantwortlichen (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 52, juris). Wenn eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 f), Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 71, juris). Hackerangriffe oder Datenlecks entlasten (nur), wenn der Verantwortliche die übliche Sorgfalt zum Schutz der Daten angewendet hat, wobei zu berücksichtigen ist, dass die DSGVO nicht erfordert, alle theoretisch möglichen Schutzvorkehrungen vorzusehen (Quaas, in: BeckOK DatenschutzR, 51. Edition Stand: 01.02.2025, Art. 82, Rn. 18).

Ein pflichtwidriger Verstoß der Beklagten gegen die DSGVO kann vor diesem Hintergrund nicht festgestellt werden. Die Beklagten haben die Einhaltung ihrer datenschutzrechtlichen Pflichten substantiiert und ausführlich dargelegt, dies vermag die Klägerin mit ihrem bloßen Bestreiten nicht zu entkräften. Die Klägerin unterliegt vielmehr irrig der Annahme, der erfolgreiche Angriff liefere ein belastbares Indiz für unzureichende technische und organisatorische Maßnahmen im Vorfeld. Ein derartiger Rückschluss ist jedoch verfehlt (vgl. dazu OLG Stuttgart, BeckRS 2021, 6282 Rn. 52). Soweit sie darauf abstellt, dass die Beklagten weitere technische Maßnahmen hätten ergreifen können, wovon sie einige aufzählt, ergibt sich hieraus keine Umsetzungspflicht, deren Nichteinhaltung einen datenschutzrechtlichen Verstoß begründen kann. Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern (vgl. EuGH ZD 2024, 150, 152 Rn. 30 f.). Dies ist nicht gleichbedeutend mit sämtlichen, den Stand der Technik erschöpfenden Maßnahmen. Unzureichend wären die von den Beklagten beschriebenen TOM nur dann, wenn sich zuvor konkrete Anhaltspunkte für die Fehleranfälligkeit der - zum Zeitpunkt des Vorfalls - marktführenden G.-Anwendung ergeben hätten. Die Klägerin behauptet insoweit pauschal und ohne nähere Darlegung. Sie verweist hierzu auf einen unergiebigen öffentlichen Beitrag sowie auf sog. CVE-Einträge einer Fehlerdatenbank. Daraus ergibt sich indes nicht, ob die Beklagten diese Umstände vor dem Cyberangriff konkret wahrgenommen haben oder hätten wahrnehmen müssen, da insbesondere die letztgenannte Quelle vielmehr dafür spricht, dass das Programm seitens des Herstellers regelmäßig überprüft und sicherheitstechnisch weiterentwickelt wurde und wird. Gegen die Annahme, dass die Beklagten entsprechende Bedenken hätten haben müssen, spricht der Umstand, dass weltweit ca. 2.500 Unternehmen und Institutionen dem - insoweit unvorhergesehenen - sog. „zero-day-exploit“ zum Opfer fielen. Die Beklagte zu 1) hatte keinen Anlass zur verstärkten Kontrolle der Beklagten zu 2), Zweifel an der Eignung der Beklagten zu 2) als Auftragsverarbeiterin wurden nicht vorgetragen.

Selbst wenn man einen Verstoß unterstellen würde, würde dies vorliegend nicht zu einem Schmerzensgeldanspruch führen. Den der Vortrag bzgl. der Sorgen, Ängste und des Gefühls eines Kontrollverlustes bleibt vollkommen unsubstantiiert. Auch fehlt hinreichender Vortrag zur Kausalität der behaupteten Datenschutzverstöße für die Schäden. Der Anspruch auf Schadensersatz gemäß Art. 82 Art. 1, 2 DSGVO resultiert nicht allein aus einem - mit dem Vorfall eines Datenmissbrauchs stets einhergehenden - Kontrollverlust. Erforderlich ist vielmehr ein konkreter, tatsächlicher und darüberhinausgehender Schaden. Die von der Klägerin vorgetragenen Sorgen und Ängste um ihre erhöhte Risikoanfälligkeit sind innere Vorgänge, die unter Heranziehung von Beweiszeichen objektiver Art näher darzulegen sind (vgl. LG Mainz GRUR-RS 2024, 42662 Rn. 28; OLG Hamm GRUR 2023, 1791). Alltägliche, negative Empfindungen allein begründen keinen ersatzfähigen (psychischen) Schaden. Der Vortrag der Klägerin, sie erhielte seit dem Vorfall vermehrt unerwünschte Anrufe, SMS sowie Spam-E-Mails, ist unschlüssig, da sie eine Betroffenheit dieser Datentypen bereits nicht hinreichend darlegt und derartige Kontaktversuche - wie allgemein bekannt - auch anlasslose, unregelmäßige Vorkommnisse des Alltags sein können. Es entspricht der allgemeinen Lebenswirklichkeit, dass man von derartigen Kontaktversuchen betroffen ist. Im Übrigen hat die Klägerin auch nicht vorgetragen, ihre E-Mail oder Telefonnummer in Reaktion hierauf ausgetauscht, oder ihr Verhalten im Internet anderweitig angepasst zu haben, was diese Vorfälle - als objektives Beweiszeichen - hätte plausibilisieren können.

In der Folge besteht auch kein Zinsanspruch.

Der Klageantrag zu 2) ist bereits unzulässig. Er ist weder hinreichend bestimmt noch besteht ein Feststellungsinteresse.

Ein Klageantrag ist i.S.v. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, VersR 2021, 795 Rn. 15). Dabei ist die Verwendung auslegungsbedürftiger Begriffe im Klageantrag zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteile vom 2. Juni 2022 - I ZR 140/15, BGHZ 234, 56 Rn. 26; vom 9. September 2021 - I ZR 113/20, GRUR 2021, 1425 Rn. 12 mwN). Bei einem - wie vorliegend - auf Vornahme einer Handlung gerichteten Antrag muss deren Art und Umfang bestimmt bezeichnet sein (Anders, in: Anders/Gehle, ZPO, 83. Aufl. 2025, § 253 Rn. 48).

Daran gemessen ist der Klageantrag zu 1) nicht hinreichend bestimmt. Die begehrte Feststellung bezieht sich auf die Verpflichtung, den „unbefugten Zugriff Dritter (…) zu verhindern“. Es ist jedoch auch unter Zugrundelegung des Vortrages der Klägerin nicht ersichtlich, in welchen Fällen konkret von einem unbefugten Zugriff durch Dritte auszugehen ist und welche Voraussetzungen eine „geeignete Datentransfer Software“ dementsprechend zu erfüllen hätte. Dies gilt insbesondere vor dem Hintergrund, dass die DSGVO ein risikobasiertes Maßnahmenkonzept vorschreibt und gerade nicht die Beseitigung jedweden Risikos von Verletzungen der personenbezogenen Daten verlangt (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Der Klageantrag lässt sich damit nicht in einer Weise auslegen, dass die Klägerin eine nach Art und Umfang hinreichend bestimmte Handlung begehrt, was den Streit in unzulässiger Weise in die Zwangsvollstreckung verlagern würde (vgl. zum Begriff „unbefugter Dritter“ auch BGH, Urteil v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910, Rn. 56, 58).

Überdies ist der Klageantrag zu 2) auch mangels Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO unzulässig. Ein Interesse an der Feststellung einer Ersatzpflicht für künftige Schäden rein materieller Art - wie sie die Klägerin vorliegend mit dem Antrag zu 2) geltend macht - hängt von der Wahrscheinlichkeit des ausstehenden Schadenseintritts ab (OLG Brandenburg BeckRS 2020, 42937 Rn. 3). Ist hingegen bei verständiger Würdigung des Einzelfalls nicht mit dem Eintritt eines künftigen Schadens zu rechnen, so ist bereits eine derartige Möglichkeit zu verneinen (OLG Hamm GRUR 2023, 1793, 1803 Rn. 192ff.). Die Klägerin hat vorliegend keine Umstände vorgetragen, die den Eintritt künftiger Schäden über eine bloß theoretische Befürchtung hinaus wahrscheinlich werden lassen. Die Sicherheitslücke konnte durch ein Herstellerupdate am 02.06.2023 behoben werden. Seit dem knapp 2 ½ Jahre zurückliegenden Vorfall vom 31.05.2023 hat die Klägerin keine materiellen Schäden erlitten. Dabei verringert sich eine solche Möglichkeit stetig mit fortschreitendem Zeitablauf (OLG Köln GruR-RS 2023, 36757 Rn. 54). Die pauschalen Ausführungen der Klägerin zu hypothetisch erhöhten Risiken - die sich teilweise auf Daten beziehen, die dem Angriff bereits nicht anheimfielen - ändern hieran nichts. Gegen die Annahme, dass die Klägerin selbst mit künftigen Vermögensschäden rechnet, spricht auch, dass die Klägerin nicht vorträgt, entsprechende Schutzvorkehrungen getroffen zu haben, etwa durch Änderung ihrer Rufnummer, E-Mail-Adresse oder Bankverbindung. Schließlich trägt die Klägerin selbst vor, zum jetzigen Zeitpunkt noch nicht absehen zu können, welche Folgen durch die entwendeten persönlichen Daten eintreten werden.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf: DSGVO-Verstoß wenn Reiseveranstalter Videos von Badegästen ohne deren Einwilligung bei Facebook veröffentlicht - Kein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Sat, 14 Mar 2026 12:30:00 +0100

VG Düsseldorf
Urteil vom 05.03.2026
29 L 4014/25

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß vorliegt, wenn ein Reiseveranstalter Videos von Badegästen ohne deren Einwilligung zu Werbezwecken bei Facebook veröffentlicht. Insbesondere kann sich der Reiseveranstalter nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen.

Aus den Entscheidungsgründen:
Auch in materieller Hinsicht begegnet der angegriffene Bescheid hinsichtlich Ziffer I. keinen rechtlichen Bedenken. Beurteilungszeitpunkt für die Rechtmäßigkeit der angefochtenen Anordnung ist die Sach- und Rechtslage, die zum Zeitpunkt der letzten Behördenentscheidung am 29. Oktober 2025 galt.

Vgl. BVerwG, Urteil vom 29. Januar 2025 - 6 C 3.23 -, juris Rn. 21.

Dies folgt daraus, dass für die Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht ein Ermessensspielraum für das daran angeknüpfte Vorgehen besteht.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung bezieht sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergibt. Die Verwaltungsgerichte prüfen diese Auswahlentscheidungen nach Maßgabe des § 114 Satz 1 VwGO. Insbesondere sind sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließt es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen einbeziehen konnte, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorlagen.

Vgl. BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11.

Nach dem Regelungsgehalt des Art. 58 Abs. 2 lit. d DSGVO ist kein anderer Beurteilungszeitpunkt geboten.

Vgl. VG Bremen, Urteil vom 23. April 2025 - 4 K 2873/23 -, juris Rn. 37 unter Bezugnahme auf BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11 sowie Rn. 38 f. (dort noch zu § 38 Abs. 5 Satz 1 des Bundesdatenschutzgesetzes a.F.).

Durchgreifende Bedenken gegen die Bestimmtheit im Sinne von § 37 Abs. 1 VwVfG NRW der in Ziffer I. des Bescheides enthaltenen Anordnung bestehen nicht.

Danach verlangt eine inhaltliche Bestimmtheit, dass der Inhalt der von der Behörde getroffenen Regelung für die Beteiligten, insbesondere für den oder die Adressaten des Verwaltungsakts, so vollständig, klar und unzweideutig erkennbar ist, dass sie ihr Verhalten danach richten können.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 25; Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 16 unter Verweis auf VG Ansbach, Urteil vom 12. August 2014 - AN 4 K 13.01634 -, SVR 2015, 235, 239.

Die Erkennbarkeit des Inhalts der Regelung ist aufgrund einer Auslegung des Verwaltungsakts entsprechend §§ 133, 157 des Bürgerlichen Gesetzbuchs ausgehend vom Wortlaut unter Berücksichtigung der weiteren Umstände des Einzelfalls und nach Treu und Glauben zu ermitteln. Dabei ist nicht erforderlich, dass sich der Inhalt des Verwaltungsakts allein aus dem verfügenden Teil präzise ergibt; vielmehr sind die den Beteiligten bekannten oder ohne Weiteres erkennbaren Umstände sowie vor allem die dem Verwaltungsakt beigefügte Begründung zur Auslegung des Regelungsinhalts heranzuziehen.

Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Zulässig sind auch Bezugnahmen im Verwaltungsakt auf gegenüber den Beteiligten früher ergangene Verwaltungsakte, ihnen bekannte und ihnen vorliegende oder jederzeit zugänglich Unterlagen, Pläne, technische Regelwerke usw.
Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Diesen Anforderungen genügt der angegriffene Bescheid. Dies gilt zunächst hinsichtlich des Einwandes, der Antragstellerin werde durch die Anordnung, sämtliche auf der Facebook-Plattform „E.“ veröffentlichten Filmaufnahmen so zu verändern, „[…] dass eine Identifizierung von Personen […] nicht möglich ist, […]“, unzulässigerweise die Auswahl aufgegeben. Die Antragsgegnerin hat mit Verwendung des Einschubes „[…] unter Berücksichtigung aller Mittel, die von Ihnen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, […]“ das Ziel der geforderten Handlung hinreichend bestimmt angegeben. Mit dieser Konkretisierung kann die Antragstellerin ohne Weiteres beurteilen, in welchen Fällen sie eine Veränderung eines Videos vorzunehmen hat. Die getroffene Regelung berücksichtigt, dass die Frage, wann eine Person identifizierbar ist, stets aus verschiedenen Wahrnehmungsperspektiven erfolgen kann. Damit übereinstimmend stellt Erwägungsgrund 26 Satz 3 zur DSGVO darauf ab, dass zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Nach Erwägungsgrund 26 Satz 4 zur DSGVO sollten bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Soweit die Antragstellerin vorträgt, damit werde ihr in unzulässiger Weise eine Auswahlentscheidung übertragen, betrifft dies nicht die Frage der Bestimmtheit, sondern der Verhältnismäßigkeit (dazu sogleich).

Für die Antragstellerin ist auch ohne weiteres erkennbar, dass sie Adressatin des Bescheides und insbesondere der in Ziffer I. enthaltenen Anweisung ist. Der angegriffene Bescheid ist ausweislich des Adressfeldes an die „L. GmbH, z. Hd. des Geschäftsführers, H.-straße 0, N01 P.“ gerichtet. Daraus ergibt sich als Inhaltsadressatin die Antragstellerin als juristische Person des Privatrechts. Damit übereinstimmend heißt es in der Einleitung des Schreibens „Sehr geehrter Herr Z., gegenüber der L. GmbH […] ergeht folgende Anweisung […]“. Die Formulierung „von Ihnen oder einer anderen Person“ bezieht sich allein auf die Mittel, die von dem Verantwortlichen oder einer anderen Person wahrscheinlich zur Identifizierung genutzt werden und nimmt damit auf Erwägungsgrund 26 Satz 3 zur DSGVO Bezug. Die Antragsgegnerin hat in diesem Zusammenhang dargelegt, dass im vorliegenden Fall einer weltweiten Veröffentlichung hinsichtlich der Möglichkeiten zur Identifizierung etwaiges Zusatzwissen dritter Personen zu berücksichtigen sei. Es ist auch nicht Aufgabe der Antragsgegnerin, die Mittel zur Identifizierung abschließend zu eruieren und sodann gegenüber der Antragstellerin zu benennen. Vielmehr ist die Antragstellerin als Verantwortliche nach Art. 5 Abs. 2 DSGVO für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss dies auch nachweisen können. Hat die Antragstellerin über die Veröffentlichung der Videos einem weltweit bestehenden und damit potentiell unbegrenzten Personenkreis die Möglichkeit der Identifizierung von betroffenen Personen eröffnet, ist es auch ihre Aufgabe festzustellen, ob eine natürliche Person identifizierbar ist.

Schließlich steht der Bestimmtheit der Anordnung in Ziffer I. nicht entgegen, dass sich die Regelung auf sämtliche veröffentlichte Videos auf der Facebook-Internetseite der Antragstellerin bezieht, wobei das streitgegenständliche Video nicht mehr vorhanden ist und auch alle weiteren Live-Videos infolge einer geänderten Facebook-Policy nach 30 Tagen gelöscht bzw. heruntergeladen werden. Denn die Formulierung „sämtliche“ in Ziffer I. bezieht sich auf eine genau bestimmbare Gruppe von Videos, nämlich die bis zum Zeitpunkt des Bescheiderlasses veröffentlichten Aufnahmen und nicht etwa die noch zu veröffentlichenden bzw. von der Antragstellerin beabsichtigten Videos. Letztere wären von der Antragsgegnerin ggf. in einer gesonderten Anweisung zu erfassen. Auch die in Ziffer I. des Bescheides enthaltene Frist ändert nichts an der Bestimmtheit der Regelung, da es sich hierbei lediglich um die Umsetzungsfrist für die von der Antragsgegnerin angeordnete Maßnahme handelt.

Auch im Übrigen begegnet Ziffer I. des angegriffenen Bescheids keinen materiellen Bedenken. Die Anordnung lässt sich auf Art. 58 Abs. 2 lit. d DSGVO stützen, wonach jede Aufsichtsbehörde - und damit auch die Antragsgegnerin - den Verantwortlichen oder den Auftragsverarbeiter anweisen kann, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen. Voraussetzung für die Ausübung von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO ist, dass ein Datenschutzverstoß vorliegt oder unmittelbar bevorsteht.

Vgl. Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 2; Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Dies ist hier der Fall. Dadurch, dass die Antragstellerin auf ihrer Facebook-Internetseite „E.“ Filmaufnahmen wie das Video „N.“ veröffentlicht hat, hat sie gegen Art. 5 Abs. 1 lit. a DSGVO verstoßen. Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Diesen Anforderungen wird die Tätigkeit der Antragstellerin auf ihrer Facebook-Seite nicht gerecht.

Die Antragstellerin kann sich nicht auf eine Datenverarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO berufen. Eine Einwilligung der betroffenen Personen im Sinne von Art. 6 Abs. 1 lit. a DSGVO liegt nicht vor. Die Antragstellerin kann sich auch nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Diese Voraussetzungen sind nicht erfüllt. Ob eine Verarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 lit. f DSGVO vorliegt, erfolgt anhand einer dreistufigen Prüfung.

Vgl. Datenschutzkonferenz, Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021, Stand: 20. Dezember 2021, S. 31; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146, m.w.N.

Auf der ersten Stufe ist zu klären, ob zum Zeitpunkt der Verarbeitung überhaupt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Auf einer zweiten Stufe geht es sodann um die Frage der Erforderlichkeit der Datenverarbeitung zur Verwirklichung dieses berechtigten Interesses und auf einer dritten Stufe dürfen die Grundrechte und Grundfreiheiten der von der Datenverarbeitung betroffenen Person nicht das wahrgenommene berechtigte Interesse überwiegen.

Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146.

Die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO verlangt eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten und muss auf den konkreten Einzelfall bezogen sein.

Als Vermittlerin von Kreuzfahrten verschiedener Reedereien und damit verbundener Reiseleistungen kann sich die Antragstellerin auf ein wirtschaftliches Interesse berufen.

Vgl. auch Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147.

Die Veröffentlichung eines Videos, auf dem viele der anwesenden Personen ohne weiteres erkennbar sind, ist zur Wahrung der wirtschaftlichen Interessen der Antragstellerin aber nicht erforderlich. Voraussetzung einer Erforderlichkeit ist, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 40; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

h der Rechtsprechung des EuGH muss eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO innerhalb der Grenzen dessen erfolgen, was zur Verwirklichung der berechtigten Interessen „unbedingt notwendig“ ist.

Vgl. EuGH, Urteile vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1141 Rn. 126 und vom 11. Dezember 2019 - C-708/17 -, ZD 2020, 148, 149 Rn. 46.

Entsprechend kann die Erforderlichkeit nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 41; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

Danach hat die Antragstellerin nicht dargelegt, warum in den von ihr veröffentlichten Filmaufnahmen unbeteiligte Personen zur Verfolgung des genannten Werbezwecks identifizierbar bleiben müssen. Sie schildern weder ihre Reiseeindrücke noch tragen sie in sonstiger Weise zum Inhalt des Videos bei.

Darüber hinaus ergibt eine Abwägung der betroffenen Interessen auf der dritten Stufe, dass die von der Antragstellerin verfolgten Zwecke hinter die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten gewährleisten, zurücktreten. Dabei ist zu berücksichtigen, dass im Rahmen der abschließenden Interessenabwägung grundsätzlich von einer Schutzwürdigkeit der Betroffeneninteressen auszugehen ist. Sinn und Zweck des Rechts auf informationelle Selbstbestimmung ist es gerade, den Einzelnen vor den Registrierungs- und Verfügungsmöglichkeiten automatisierter Datenverarbeitung zu schützen.

Vgl. bereits BGH, Urteil vom 17. Dezember 1985 - VI ZR 244/84 -, NJW 1986, 2505, 2506; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 148.

Dabei folgt aus der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass der Verantwortliche - hier die Antragstellerin - die Darlegungslast dafür trägt, dass die Interessen der betroffenen Person nicht überwiegen.

Vgl. EuGH, Urteil vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1139 Rn. 95; Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, Art. 6 Abs. 1 DSGVO Rn. 106.

Vorliegend überwiegen die Betroffeneninteressen. Die aufgezeichneten Personen befinden sich im Urlaub und damit in ihrer Freizeit. Dieser Umstand ist besonders schutzbedürftig, da Menschen nicht davon ausgehen müssen, dass sie ohne ihre Kenntnis und Einwilligung zu Werbezwecken aufgenommen werden. Insoweit folgt aus Erwägungsgrund 47 Satz 4 zur DSGVO, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen können.
Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 152.

Ebenso überwiegen die Interessen der betroffenen Person auch dann, wenn zwischen dieser und dem Verantwortlichen keine vertraglichen oder geschäftlichen Verbindungen bestehen, die die konkrete Datenverarbeitung vernünftigerweise absehbar machen.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 595 Rn. 22.

Besonderes Gewicht kommt hier dem Umstand zu, dass ein auf Facebook veröffentlichtes Video weltweit potentiell Millionen Inhabern eines Accounts zugänglich ist. Auch die von der Antragstellerin dargelegte Lösch-Policy von Facebook ändert daran nichts, da auf Facebook veröffentlichte Filmaufnahmen jedenfalls für eine gewisse Zeit einsehbar sind und in dieser Zeit auch Inhalte extrahiert bzw. heruntergeladen werden können. Dass die Aufnahmen auch von solchen Örtlichkeiten stammen, an denen sich sogenannte Influencer aufhalten und Filmaufnahmen produzieren, führt ebenfalls zu keinem anderen Ergebnis. Allein mit dem Besuch einer solchen Örtlichkeit liegt noch kein Einverständnis in die Datenverarbeitung der jeweils aufgezeichneten Person vor. Auch begeben sich Personen nicht des durch die DSGVO gewährleisteten Schutzes, sobald sie solche Örtlichkeiten aufsuchen. Hinzu kommt, dass diese Personen in keiner geschäftlichen oder sonstigen Beziehung zur Antragstellerin stehen.

Ohne Bedeutung ist auch, dass sich die Antragstellerin auf § 23 Abs. 1 Nr. 2 KUG bzw. eine Wertung im Sinne dieser Vorschrift beruft, wonach ohne die nach § 22 KUG erforderliche Einwilligung Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, verbreitet und zur Schau gestellt werden dürfen. Denn das Kunsturhebergesetz findet in der vorliegenden Konstellation bereits keine Anwendung.

Nach Art. 85 Abs. 2 DSGVO sehen die Mitgliedstaaten für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen oder Ausnahmen unter anderem von Kapitel II (Grundsätze) vor, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DSGVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DSGVO durch nationale Regelungen wie etwa das Kunsturhebergesetz ausgenommen worden.

Vgl. BGH, Urteil vom 27. Mai 2025 - VI ZR 337/22 -, juris Rn. 12, m.w.N.

Eine Zweckbestimmung im vorgenannten Sinne ist nach der Rechtsprechung des EuGH nicht allein deshalb ausgeschlossen, weil damit zugleich auch eine Gewinnerzielungsabsicht verfolgt wird.

Vgl. EuGH, Urteil vom 16. Dezember 2008 - C-73/07 -, EuZW 2009, 108, 110 Rn. 59; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 15.

Allerdings liegen journalistische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO nur dann vor, wenn die Verarbeitung im Zusammenhang mit der journalistisch-redaktionellen und damit meinungsrelevanten Tätigkeit eines Medienredakteurs steht.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39; Lauber-Rönsberg, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 85 DSGVO Rn. 20; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 17a.

Demgegenüber enthält Art. 85 Abs. 2 DSGVO kein allgemeines Meinungsprivileg und findet somit nicht auf alle Meinungsäußerungen im Internet Anwendung. Auch ist Journalismus nicht stets allein schon deshalb anzunehmen, weil sich jemand mit Informationen an die Öffentlichkeit wendet.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39.

Danach handelt es sich bei den von der Antragstellerin auf ihrer Facebook-Internetseite veröffentlichten Filmaufnahmen nicht um Journalismus im Sinne von Art. 85 Abs. 2 DSGVO. Das zwischenzeitlich von ihr entfernte Video „N.“ diente ausschließlich Werbezwecken. Die Antragstellerin vermittelt nach eigenen Angaben Kreuzfahrten verschiedener Reedereien und damit verbundene Reiseleistungen. Auf ihrer Facebook-Internetseite „E.“ heißt es in der Rubrik „Beiträge“ unter der Überschrift „Intro“ etwa: „[…] Entdecke die ganze Welt des Reisens mit E.. Wir sind 365 Tage im Jahr persönlich für dich da […]“.

Vgl. https://www.facebook..[..........]_DE (zuletzt aufgerufen am 5. März 2026).

Unter der Rubrik „Info“ und „Seitentransparenz“ lässt sich über die Schaltfläche „Zur Werbebibliothek“ eine Aufstellung diverser aktiver Werbeanzeigen der Antragstellerin abrufen.

Vgl. https://www.facebook....[.........] (zuletzt aufgerufen am 2. März 2026).

Dass die Antragsgegnerin von ihrer Abhilfebefugnis nach Art. 58 Abs. 2 lit. d DSGVO Gebrauch gemacht hat, begegnet keinen rechtlichen Bedenken. Die Entscheidung für die geeignete Maßnahme im Sinne von Art. 58 Abs. 2 DSGVO liegt im pflichtgemäßen Ermessen der Behörde, wobei die Sachlage im Einzelfall zu berücksichtigen ist.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die in Ziffer I. des Bescheides enthaltene Anordnung ist ermessensgerecht und verhältnismäßig. Ermessensfehler der Antragsgegnerin liegen nicht vor. Anhaltspunkte dafür, dass sich die Antragsgegnerin durch die Petentin des Beschwerdeverfahrens hat instrumentalisieren lassen, sind nicht ansatzweise ersichtlich. Es gehört im Gegenteil zu den Aufgaben der Aufsichtsbehörde, sich mit Beschwerden einer betroffenen Person zu befassen (Art. 58 Abs. 1 lit. f DSGVO).

Die von der Antragsgegnerin gewählte Abhilfemaßnahme nach Art 58 Abs. 2 lit. d DSGVO ist geeignet, erforderlich und angemessen. Es ist insbesondere nicht unverhältnismäßig, dass sich die Anweisung auf sämtliche veröffentlichte Filmaufnahmen auf der Facebook-Internetseite bezieht, auch wenn die Antragsgegnerin nur einen Datenschutzverstoß bei einem Verarbeitungsvorgang festgestellt hat.

Die in Art. 58 Abs. 2 lit. d DSGVO enthaltene grundlegende Anweisungsbefugnis der Aufsichtsbehörde, die alle Verarbeitungsvorgänge und deren Vereinbarkeit mit den Vorgaben der DSGVO betrifft, umfasst die Behebung materiellrechtlicher, aber auch technischer oder organisatorischer Mängel.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 23.

Gemessen daran konnte die Antragsgegnerin ausgehend von dem festgestellten Datenschutzverstoß und dem Geschäftsgebaren der Antragstellerin - Hochladen selbsterstellter Videos aus dem öffentlichen Raum zum Zwecke der Bewerbung der von ihr vermittelten Reisen - davon ausgehen, dass auch bei anderen Videos entsprechende Datenschutzverstöße anzunehmen sind. Die Antragstellerin bestärkte diesen Eindruck, indem sie im Verwaltungsverfahren - etwa mit Schreiben vom 24. Juli 2024 und 6. November 2024 - auch auf Hinweise der Antragsgegnerin weiterhin die Auffassung vertrat, es bestehe keine Veranlassung, das Video „N.“ oder andere Videoaufnahmen zu löschen oder durch Verwischen/Verschwimmen oder den Einsatz eines anderen Filters zu bearbeiten.

Auch im Übrigen bestehen keine Bedenken an der Verhältnismäßigkeit der Anordnung. Es ist nicht Aufgabe der Antragsgegnerin, den Bestand der auf der Facebook-Internetseite der Antragstellerin veröffentlichten Videos, der sich nach ihren Angaben über einen Zeitraum von etwa vier Jahren erstreckt, durchzuarbeiten und hinsichtlich jedes einzelnen Videos Bearbeitungsanweisungen gegenüber der Antragstellerin zu erlassen, denen diese unter Umständen entgegentreten würde. Vielmehr folgt aus der Rechenschaftspflicht der Antragstellerin nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass sie bereits mit Veröffentlichung der Filmaufnahmen auf ihrem Facebook-Account die Einhaltung der Vorgaben der DSGVO hätte sicherstellen müssen. Dies nachträglich zur Aufgabe der Antragsgegnerin zu machen, würde die in der DSGVO geregelte Verantwortung des für die Verarbeitung Verantwortlichen in ihr Gegenteil verkehren. Dass infolge der Entfernung eines Videos die damit verbundenen „Likes“ und Kommentare entfallen, führt in Anbetracht der überwiegenden Betroffeneninteressen zu keinem anderen Ergebnis. Im Übrigen hat die Antragstellerin vorgetragen, dass infolge der geänderten Lösch-Policy von Facebook, die sich auch auf Altvideos erstrecke, jedenfalls sogenannte Facebook-Live-Videos ohnehin nur für eine Zeit von 30 Tagen gespeichert würden.

Den Volltext der Entscheidung finden Sie hier:

BVerwG: Klage der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gegen den Bundesnachrichtendienst (BND) auf Einsicht in Anordnungen des BND-Präsidenten unzulässig

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 05 Mar 2026 18:45:00 +0100

BVerwG
Urteil vom 04.03.2026
6 A 2.24

Das BVerwG hat emtschieden, dass die Klage der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gegen den Bundesnachrichtendienst (BND) auf Einsicht in Anordnungen des BND-Präsidenten unzulässig ist.

Die Pressemitteilung des Gerichts:
Klage der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit auf Einsicht in Anordnungen des Präsidenten des Bundesnachrichtendienstes unzulässig

Die von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erhobene Klage gegen den Bundesnachrichtendienst (BND) auf Einsicht in Anordnungen individueller Aufklärungsmaßnahmen des BND-Präsidenten ist unzulässig. Dies hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Der BND darf gemäß § 34 Abs. 1 BNDG zur Erfüllung seiner Aufgaben ohne Wissen des Betroffenen mit technischen Mitteln in von Ausländern im Ausland genutzte informationstechnische Systeme eingreifen und auf ihnen gespeicherte personenbezogene Daten erheben (sog. Computer Network Exploitation- bzw. CNE-Maßnahmen). Derartige individuelle Aufklärungsmaßnamen bedürfen nach § 37 Abs. 1 BNDG der vorherigen Anordnung durch den BND-Präsidenten.

Der BND speicherte die Daten, die er mit CNE-Maßnahmen bis 2023 gewonnen hatte, in der Datei S. Ende 2023 verlangte die BfDI zur Kontrolle der Einhaltung der Datenschutzvorschriften durch den BND, ihr gemäß § 63 BNDG i. V. m. § 28 Abs. 3 Satz 2 Nr. 1 BVerfSchG Einsicht in die Anordnungen des BND-Präsidenten zu gewähren, die den mit der Datei S. bis zum 1. Juni 2023 durchgeführten Maßnahmen zu Grunde liegen. Der BND lehnte die Einsichtnahme ab. Daraufhin beanstandete die BfDI gemäß § 64 Nr. 1 Buchst. a BNDG i. V. m. § 16 Abs. 2 Satz 1 BDSG die Verweigerung der Einsichtnahme gegenüber dem Bundeskanzleramt als der für den BND zuständigen obersten Bundesbehörde. Das Bundeskanzleramt wies die Beanstandung zurück. Denn die Kontrolle der umstrittenen Anordnungen durch den Unabhängigen Kontrollrat (UKR) habe Vorrang vor einer solchen durch die BfDI.

Die BfDI hat daraufhin Klage gegen den BND vor dem hierfür erst- und letztinstanzlich zuständigen Bundesverwaltungsgericht erhoben. Das Gericht hat bereits die Zulässigkeit der Klage verneint. Zu der zwischen den Beteiligten umstrittenen Abgrenzung der Kompetenzen der BfDI und des UKR bei der datenschutzrechtlichen Kontrolle des BND hat es deshalb nicht Stellung genommen.

Der Vorschrift des § 63 BNDG i. V. m. § 28 Abs. 3 Satz 2 Nr. 1 BVerfSchG, auf die sich die BfDI für die von ihr verlangte Einsichtnahme in die Anordnungen stützt, lässt sich eine im Wege einer verwaltungsgerichtlichen Klage durchsetzbare wehrfähige Rechtsposition nicht entnehmen. Gegenüber der Verweigerung der Einsichtnahme durch den BND steht der BfDI allein die - tatsächlich ergriffene - Maßnahme einer Beanstandung gegenüber dem Bundeskanzleramt zu. Mit dieser sind nach dem eindeutigen Willen des Gesetzgebers keine unmittelbar durchsetzbaren Abhilfe- bzw. Durchgriffsbefugnisse verbunden. Diese gesetzgeberische Entscheidung darf nicht durch die Einräumung einer wehrfähigen Rechtsposition der BfDI unterlaufen werden.

BVerwG 6 A 2.24 - Urteil vom 04. März 2026

VG Düsseldorf: DSGVO-Verstoß durch Löschung der Daten vor Erfüllung eines bereits geltend gemachten Auskunftsanspruchs gemäß Art. 15 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 18 Feb 2026 18:31:00 +0100

VG Düsseldorf
Gerichtsbescheid vom 21.01.2026
29 K 7470/24

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß durch Löschung der Daten vor Erfüllung eines bereits geltend gemachten Auskunftsanspruchs gemäß Art. 15 DSGVO vorliegt.

Aus den Entscheidungsgründen:
Der angefochtene Bescheid erweist sich auch in materieller Hinsicht als rechtmäßig.

Die Voraussetzungen von Art. 58 Abs. 2 Buchst. b DSGVO liegen vor. Nach dieser Vorschrift verfügt jede Aufsichtsbehörde über die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die Datenschutz-Grundverordnung verstoßen hat.

Die tatbestandlichen Voraussetzungen für die ausgesprochene Verwarnung liegen vor. Die Klägerin hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die personenbezogenen Daten des Beschwerdeführers nach der Stellung des Auskunftsantrags nicht weiter gespeichert hat. Die Löschung der Daten trotz der Verpflichtung der Klägerin zur Auskunftserteilung war rechtswidrig.

Die Löschung von Daten stellt einen Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 DSGVO. Die Verarbeitung betrifft personenbezogene Daten nach Art. 4 Nr. 1 DSGVO, nämlich solche, die sich auf eine identifizierte natürliche Person, den Beschwerdeführer, beziehen.

Die Klägerin hat die personenbezogenen Daten als Verantwortliche im Sinne von Art. 58 Abs. 2 b, Art. 4 Nr. 7 Halbsatz 1 DSGVO verarbeitet. Sie hat sowohl die Versendung der an die E-Mail-Adresse des Beschwerdeführers gerichteten Werbe-E-Mails als auch die Löschung von dessen personenbezogenen Daten veranlasst.

Als Verantwortliche muss die Klägerin nach Art. 5 Abs. 2 DS-GVO iVm Art. 5 Abs. 1 lit. a DS-GVO sicherstellen, dass die von ihr durchgeführte Datenverarbeitung rechtmäßig ist.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 54.

Die Rechtmäßigkeit der Verarbeitung wird in Art. 6 DSGVO geregelt. Die Liste der darin genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend, sodass eine Verarbeitung unter einen der in Art. 6 Abs. 1 UAbs. 1 DSGVO vorgesehenen Fälle subsumierbar sein muss, um als rechtmäßig angesehen werden zu können.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 56.

Danach war die Löschung der personenbezogenen Daten rechtswidrig, weil für diese Verarbeitung keine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt waren. In Betracht kommen dabei allein die Tatbestände in Art. 6 Abs. 1 UAbs. 1 lit. a) und lit. c) DSGVO. Die Verarbeitung in Form der Löschung ist weder für die Erfüllung eines Vertrages (lit. b)) noch zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich (lit.d)). Die Klägerin nimmt auch keine Aufgabe wahr, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihr übertragen wurde) (lit. e)). Schließlich liegen auch keinerlei Anhaltspunkte dafür vor, dass die Löschung zur Wahrnehmung der berechtigten Interessen der Klägerin erforderlich gewesen sein könnte (lit. f)).

Eine Einwilligung des betroffenen Beschwerdeführers zu der Verarbeitung in Form der Löschung seiner personenbezogenen Daten gemäß Art. 6 Abs. 1 UAbs. lit. a) DSGVO liegt nicht vor. Sein ausdrücklich als Bitte um Auskunftserteilung bezeichnetes Schreiben vom 26. August 2022 kann ersichtlich nicht als Einwilligung zur Löschung seiner Daten nicht verstanden werden. Dasselbe gilt für die Erinnerung an das Auskunftsersuchen vom 26. September 2022.

Die Löschung war auch nicht zur Erfüllung einer rechtlichen Verpflichtung der Klägerin erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. c)). Ein Löschungsbegehren hat der Beschwerdeführer nicht geäußert. Es traf auch keiner der Gründe zu, die nach Art. 17 Abs. 1 DSGVO zu einer Verpflichtung des Verantwortlichen zur unverzüglichen Löschung personenbezogener Daten führen.

Die personenbezogenen Daten waren für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, weiter notwendig (Art. 17 Abs. 1 lit. a) DSGVO. Aus dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO, dem - wie die anderen Grundsätze des Art. 5 DSGVO auch - jede Datenverarbeitung entsprechen muss, kann die Klägerin daher nichts für sich herleiten.

Der ursprünglich auf E-Mail-Marketing gerichtete Zweck der Datenverarbeitung dürfte bereits nicht entfallen sein. Der Beschwerdeführer hat lediglich einen Auskunftsantrag gestellt und mit seinen Schreiben, anders als die Klägerin behauptet, an keiner Stelle kundgetan, dass er keine Werbemails mehr wünsche. Ausgehend von der angeblich erteilten Einwilligung des Beschwerdeführers in die Nutzung und Verarbeitung seiner personenbezogenen Daten für Werbezwecke per E-Mail (Bl. 75 der Beiakte Heft 1) durfte die Klägerin im Gegenteil davon ausgehen, weiter Werbemails versenden zu dürfen. Das zeigt, dass es sich um eine reine Schutzbehauptung handelt.

Ungeachtet dessen war die Datenverarbeitung aber nach Stellung des Auskunftsantrags für die Zwecke der Erfüllung der Auskunftsverpflichtung notwendig. Zum Zeitpunkt der Löschung war das Auskunftsverlangen des Beschwerdeführers noch nicht erfüllt.

Die Erfüllung der Pflicht aus Art. 12 Abs. 1 bis 3 DSGVO setzt die fortgesetzte Datenverarbeitung in Form der Speicherung der personenbezogenen Daten bis zur Erfüllung des Auskunftsbegehrens voraus. Die Mitteilungen gemäß Art. 15 DSGVO z.B. zu den Bearbeitungszwecken oder den Kategorien der verarbeiteten personenbezogenen Daten können nur übermittelt werden, wenn der Verantwortliche noch über die personenbezogenen Daten verfügt. Es spricht viel dafür, dass die personenbezogenen Daten, auf die die Auskunft zielt, so lange gespeichert werden müssen, bis die betroffene Person Gelegenheit hatte, die Rechtmäßigkeit der Verarbeitung zu überprüfen (vgl. Erwägungsgrund 63). Wie lange personenbezogene Daten zur Erfüllung eines Auskunftsbegehrens gespeichert werden müssen, braucht hier jedoch nicht entschieden zu werden. Denn jedenfalls tritt Erfüllung der Informationspflicht des Verantwortlichen und mit ihr der Wegfall des Zwecks der Verarbeitung frühestens ein, nachdem dem Antragsteller die begehrten Informationen vollständig und innerhalb der maßgeblichen Frist zur Verfügung gestellt wurden (Art. 12 Abs. 1, Abs. 3 Satz 1 DSGVO). Die Klägerin hat vorliegend die Daten aber bereits gelöscht, bevor dem Beschwerdeführer die Auskunft übermittelt worden ist. Mit Übersendung der als Datenschutzauskunft bezeichneten Daten hat die Klägerin bereits die Löschung der Daten in ihrer Datenbank bestätigt.

Einen Widerspruch gegen die Verarbeitung (Art. 17 Abs. 1 lit. c) DSGVO) hat der Beschwerdeführer ebenfalls nicht eingelegt, auch wenn die Klägerin die Schreiben des Beschwerdeführers als solchen bezeichnet. Das nur aus konkreten Fragen bestehende Schreiben vom 26. August 2022 sowie die Erinnerung an das Auskunftsersuchen vom 26. September 2022 enthalten keinerlei Anhaltspunkte dafür, dass der Beschwerdeführer keine Werbemails mehr wünscht oder dass er der Verarbeitung widerspricht.

Auch die anderen in Art. 17 Abs. 1 DSGVO genannten Gründe treffen nicht zu. Ein Widerruf der Einwilligung ist nicht ersichtlich (Art. 17 Abs. 1 lit. b) DSGVO). Die personenbezogenen Daten wurden aus Sicht der Klägerin auch nicht unrechtmäßig verarbeitet (Art. 17 Abs. 1 lit. d) DSGVO). Vielmehr stützt sie sich, wie die „Datenschutzauskunft“ zeigt, gerade auf eine angebliche Einwilligung des Beschwerdeführers in die Verarbeitung seiner personenbezogenen Daten. Eine rechtliche Verpflichtung nach Art. 17 Abs. 1 lit. e) DSGVO ist nicht ersichtlich. Ebenso wenig wurden die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 erhoben (Art. 17 Abs. 1 lit. f) DSGVO).

Die Klägerin kann die vorgenommene Löschung der personenbezogenen Daten des Beschwerdeführers schließlich nicht auf Art. 5 Abs. 1 lit. d) DSGVO und eine angebliche sachliche Unrichtigkeit der Daten stützen. Die personenbezogenen Daten des Beschwerdeführers waren im Gegenteil sachlich richtig, und zwar sowohl im Hinblick auf Werbezwecke als auch zum Zwecke der Informationserteilung. Wie die Klägerin den beiden der Löschung vorangegangenen Schreiben des Beschwerdeführers entnommen haben will, dass die Daten nicht von ihm sein könnten, ist nicht nachvollziehbar und offensichtlich vorgeschoben.

Die Verwarnung begegnet auch auf der Rechtsfolgenseite keinen durchgreifenden rechtlichen Bedenken. Die Beklagte hat das ihr nach Art. 58 Abs. 2 DSGVO eingeräumte Ermessen fehlerfrei ausgeübt (§ 114 Satz 1 VwGO). Insbesondere ist ein Verstoß gegen den Grundsatz der Verhältnismäßigkeit, der bei der Auswahl der nach Art. 58 Abs. 2 DSGVO zur Verfügung stehenden Maßnahmen zu beachten ist,

vgl. OVG NRW, Urteil vom 15. Juni 2022 - 16 A 857/21 -, juris Rn. 147,

nicht zu erkennen. Die Verwarnung dient dem Zweck der Datenschutz-Grundverordnung, eine einheitliche Überwachung und Durchsetzung der Verordnung in der gesamten Union sicherzustellen (vgl. Erwägungsgrund 129 Satz 1 DSGVO). Durch die ihr zukommende Warnfunktion ist sie auch geeignet, datenschutzkonforme Zustände herzustellen. Sie ist des Weiteren auch erforderlich. Mit der Verwarnung hat die Beklagte das mildeste Abhilfeinstrumentarium im Maßnahmenkatalog des Art. 58 Abs. 2 DSGVO gewählt. Die Anordnung ist schließlich auch angemessen, d. h. verhältnismäßig im engeren Sinn. Die Verwarnung stellt sich als geringfügiger Eingriff in die Rechte der Klägerin dar, da mit ihr insbesondere keine unmittelbaren finanziellen Nachteile verbunden sind.

Vorsorglich weist das Gericht darauf hin, dass in Fällen wie dem vorliegenden auch die Verhängung eines Bußgeldes gemäß Art. 58 Abs. 2 i DSGVO gerechtfertigt sein dürfte. Denn es ist zu berücksichtigen, dass die Klägerin mit der Löschung nicht nur die Überprüfung der Richtigkeit und Vollständigkeit der Datenschutzauskunft, sondern auch die Überprüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten des Beschwerdeführers vereitelt hat. Es spricht alles dafür, dass dies beabsichtigt war. Die Klägerin hat die personenbezogenen Daten des Beschwerdeführers angeblich mit dessen Einwilligung verarbeitet, und durfte damit von der Rechtmäßigkeit der Datenverarbeitung ausgehen. Es gab also keinen Grund zur Löschung, es sei denn, die Daten sind tatsächlich rechtswidrig erhoben worden.

Den Volltext der Entscheidung finden Sie hier: