BECKMANN UND NORDA - Rechtsanwälte Bielefeld (Artikel mit Tag dsgvo)

VG Düsseldorf: DSGVO-Verstoß wenn Reiseveranstalter Videos von Badegästen ohne deren Einwilligung bei Facebook veröffentlicht - Kein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Sat, 14 Mar 2026 12:30:00 +0100

VG Düsseldorf
Urteil vom 05.03.2026
29 L 4014/25

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß vorliegt, wenn ein Reiseveranstalter Videos von Badegästen ohne deren Einwilligung zu Werbezwecken bei Facebook veröffentlicht. Insbesondere kann sich der Reiseveranstalter nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen.

Aus den Entscheidungsgründen:
Auch in materieller Hinsicht begegnet der angegriffene Bescheid hinsichtlich Ziffer I. keinen rechtlichen Bedenken. Beurteilungszeitpunkt für die Rechtmäßigkeit der angefochtenen Anordnung ist die Sach- und Rechtslage, die zum Zeitpunkt der letzten Behördenentscheidung am 29. Oktober 2025 galt.

Vgl. BVerwG, Urteil vom 29. Januar 2025 - 6 C 3.23 -, juris Rn. 21.

Dies folgt daraus, dass für die Aufsichtsbehörde bei Feststellung eines Verstoßes gegen Datenschutzrecht ein Ermessensspielraum für das daran angeknüpfte Vorgehen besteht.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die gerichtliche Nachprüfung einer behördlichen Ermessensentscheidung bezieht sich auf den Zeitpunkt der Ausübung des Ermessens, wenn sich aus dem materiellen Recht nichts Abweichendes ergibt. Die Verwaltungsgerichte prüfen diese Auswahlentscheidungen nach Maßgabe des § 114 Satz 1 VwGO. Insbesondere sind sie daran gehindert, ihre eigenen Auswahlerwägungen an die Stelle derjenigen der Behörde zu setzen. Dies schließt es grundsätzlich aus, Ermessensentscheidungen anhand von tatsächlichen und rechtlichen Erkenntnissen nachzuprüfen, die die Behörde nicht in ihre Erwägungen einbeziehen konnte, weil sie zum Zeitpunkt der Ermessensausübung noch nicht vorlagen.

Vgl. BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11.

Nach dem Regelungsgehalt des Art. 58 Abs. 2 lit. d DSGVO ist kein anderer Beurteilungszeitpunkt geboten.

Vgl. VG Bremen, Urteil vom 23. April 2025 - 4 K 2873/23 -, juris Rn. 37 unter Bezugnahme auf BVerwG, Urteil vom 27. März 2019 - 6 C 2/18 -, juris Rn. 11 sowie Rn. 38 f. (dort noch zu § 38 Abs. 5 Satz 1 des Bundesdatenschutzgesetzes a.F.).

Durchgreifende Bedenken gegen die Bestimmtheit im Sinne von § 37 Abs. 1 VwVfG NRW der in Ziffer I. des Bescheides enthaltenen Anordnung bestehen nicht.

Danach verlangt eine inhaltliche Bestimmtheit, dass der Inhalt der von der Behörde getroffenen Regelung für die Beteiligten, insbesondere für den oder die Adressaten des Verwaltungsakts, so vollständig, klar und unzweideutig erkennbar ist, dass sie ihr Verhalten danach richten können.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 25; Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 16 unter Verweis auf VG Ansbach, Urteil vom 12. August 2014 - AN 4 K 13.01634 -, SVR 2015, 235, 239.

Die Erkennbarkeit des Inhalts der Regelung ist aufgrund einer Auslegung des Verwaltungsakts entsprechend §§ 133, 157 des Bürgerlichen Gesetzbuchs ausgehend vom Wortlaut unter Berücksichtigung der weiteren Umstände des Einzelfalls und nach Treu und Glauben zu ermitteln. Dabei ist nicht erforderlich, dass sich der Inhalt des Verwaltungsakts allein aus dem verfügenden Teil präzise ergibt; vielmehr sind die den Beteiligten bekannten oder ohne Weiteres erkennbaren Umstände sowie vor allem die dem Verwaltungsakt beigefügte Begründung zur Auslegung des Regelungsinhalts heranzuziehen.

Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Zulässig sind auch Bezugnahmen im Verwaltungsakt auf gegenüber den Beteiligten früher ergangene Verwaltungsakte, ihnen bekannte und ihnen vorliegende oder jederzeit zugänglich Unterlagen, Pläne, technische Regelwerke usw.
Vgl. Ramsauer, in: Kopp/Ramsauer, VwVfG, 25. Auflage 2024, § 37 Rn. 5.

Diesen Anforderungen genügt der angegriffene Bescheid. Dies gilt zunächst hinsichtlich des Einwandes, der Antragstellerin werde durch die Anordnung, sämtliche auf der Facebook-Plattform „E.“ veröffentlichten Filmaufnahmen so zu verändern, „[…] dass eine Identifizierung von Personen […] nicht möglich ist, […]“, unzulässigerweise die Auswahl aufgegeben. Die Antragsgegnerin hat mit Verwendung des Einschubes „[…] unter Berücksichtigung aller Mittel, die von Ihnen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, […]“ das Ziel der geforderten Handlung hinreichend bestimmt angegeben. Mit dieser Konkretisierung kann die Antragstellerin ohne Weiteres beurteilen, in welchen Fällen sie eine Veränderung eines Videos vorzunehmen hat. Die getroffene Regelung berücksichtigt, dass die Frage, wann eine Person identifizierbar ist, stets aus verschiedenen Wahrnehmungsperspektiven erfolgen kann. Damit übereinstimmend stellt Erwägungsgrund 26 Satz 3 zur DSGVO darauf ab, dass zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Nach Erwägungsgrund 26 Satz 4 zur DSGVO sollten bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Soweit die Antragstellerin vorträgt, damit werde ihr in unzulässiger Weise eine Auswahlentscheidung übertragen, betrifft dies nicht die Frage der Bestimmtheit, sondern der Verhältnismäßigkeit (dazu sogleich).

Für die Antragstellerin ist auch ohne weiteres erkennbar, dass sie Adressatin des Bescheides und insbesondere der in Ziffer I. enthaltenen Anweisung ist. Der angegriffene Bescheid ist ausweislich des Adressfeldes an die „L. GmbH, z. Hd. des Geschäftsführers, H.-straße 0, N01 P.“ gerichtet. Daraus ergibt sich als Inhaltsadressatin die Antragstellerin als juristische Person des Privatrechts. Damit übereinstimmend heißt es in der Einleitung des Schreibens „Sehr geehrter Herr Z., gegenüber der L. GmbH […] ergeht folgende Anweisung […]“. Die Formulierung „von Ihnen oder einer anderen Person“ bezieht sich allein auf die Mittel, die von dem Verantwortlichen oder einer anderen Person wahrscheinlich zur Identifizierung genutzt werden und nimmt damit auf Erwägungsgrund 26 Satz 3 zur DSGVO Bezug. Die Antragsgegnerin hat in diesem Zusammenhang dargelegt, dass im vorliegenden Fall einer weltweiten Veröffentlichung hinsichtlich der Möglichkeiten zur Identifizierung etwaiges Zusatzwissen dritter Personen zu berücksichtigen sei. Es ist auch nicht Aufgabe der Antragsgegnerin, die Mittel zur Identifizierung abschließend zu eruieren und sodann gegenüber der Antragstellerin zu benennen. Vielmehr ist die Antragstellerin als Verantwortliche nach Art. 5 Abs. 2 DSGVO für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss dies auch nachweisen können. Hat die Antragstellerin über die Veröffentlichung der Videos einem weltweit bestehenden und damit potentiell unbegrenzten Personenkreis die Möglichkeit der Identifizierung von betroffenen Personen eröffnet, ist es auch ihre Aufgabe festzustellen, ob eine natürliche Person identifizierbar ist.

Schließlich steht der Bestimmtheit der Anordnung in Ziffer I. nicht entgegen, dass sich die Regelung auf sämtliche veröffentlichte Videos auf der Facebook-Internetseite der Antragstellerin bezieht, wobei das streitgegenständliche Video nicht mehr vorhanden ist und auch alle weiteren Live-Videos infolge einer geänderten Facebook-Policy nach 30 Tagen gelöscht bzw. heruntergeladen werden. Denn die Formulierung „sämtliche“ in Ziffer I. bezieht sich auf eine genau bestimmbare Gruppe von Videos, nämlich die bis zum Zeitpunkt des Bescheiderlasses veröffentlichten Aufnahmen und nicht etwa die noch zu veröffentlichenden bzw. von der Antragstellerin beabsichtigten Videos. Letztere wären von der Antragsgegnerin ggf. in einer gesonderten Anweisung zu erfassen. Auch die in Ziffer I. des Bescheides enthaltene Frist ändert nichts an der Bestimmtheit der Regelung, da es sich hierbei lediglich um die Umsetzungsfrist für die von der Antragsgegnerin angeordnete Maßnahme handelt.

Auch im Übrigen begegnet Ziffer I. des angegriffenen Bescheids keinen materiellen Bedenken. Die Anordnung lässt sich auf Art. 58 Abs. 2 lit. d DSGVO stützen, wonach jede Aufsichtsbehörde - und damit auch die Antragsgegnerin - den Verantwortlichen oder den Auftragsverarbeiter anweisen kann, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen. Voraussetzung für die Ausübung von Abhilfebefugnissen nach Art. 58 Abs. 2 DSGVO ist, dass ein Datenschutzverstoß vorliegt oder unmittelbar bevorsteht.

Vgl. Nguyen, in: Gola/Heckmann, DSGVO BDSG, 3. Auflage 2022, Art. 58 DSGVO Rn. 2; Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Dies ist hier der Fall. Dadurch, dass die Antragstellerin auf ihrer Facebook-Internetseite „E.“ Filmaufnahmen wie das Video „N.“ veröffentlicht hat, hat sie gegen Art. 5 Abs. 1 lit. a DSGVO verstoßen. Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Diesen Anforderungen wird die Tätigkeit der Antragstellerin auf ihrer Facebook-Seite nicht gerecht.

Die Antragstellerin kann sich nicht auf eine Datenverarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO berufen. Eine Einwilligung der betroffenen Personen im Sinne von Art. 6 Abs. 1 lit. a DSGVO liegt nicht vor. Die Antragstellerin kann sich auch nicht auf Art. 6 Abs. 1 lit. f DSGVO berufen. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Diese Voraussetzungen sind nicht erfüllt. Ob eine Verarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 lit. f DSGVO vorliegt, erfolgt anhand einer dreistufigen Prüfung.

Vgl. Datenschutzkonferenz, Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021, Stand: 20. Dezember 2021, S. 31; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146, m.w.N.

Auf der ersten Stufe ist zu klären, ob zum Zeitpunkt der Verarbeitung überhaupt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt. Auf einer zweiten Stufe geht es sodann um die Frage der Erforderlichkeit der Datenverarbeitung zur Verwirklichung dieses berechtigten Interesses und auf einer dritten Stufe dürfen die Grundrechte und Grundfreiheiten der von der Datenverarbeitung betroffenen Person nicht das wahrgenommene berechtigte Interesse überwiegen.

Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 146.

Die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO verlangt eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten und muss auf den konkreten Einzelfall bezogen sein.

Als Vermittlerin von Kreuzfahrten verschiedener Reedereien und damit verbundener Reiseleistungen kann sich die Antragstellerin auf ein wirtschaftliches Interesse berufen.

Vgl. auch Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147.

Die Veröffentlichung eines Videos, auf dem viele der anwesenden Personen ohne weiteres erkennbar sind, ist zur Wahrung der wirtschaftlichen Interessen der Antragstellerin aber nicht erforderlich. Voraussetzung einer Erforderlichkeit ist, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 40; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

h der Rechtsprechung des EuGH muss eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO innerhalb der Grenzen dessen erfolgen, was zur Verwirklichung der berechtigten Interessen „unbedingt notwendig“ ist.

Vgl. EuGH, Urteile vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1141 Rn. 126 und vom 11. Dezember 2019 - C-708/17 -, ZD 2020, 148, 149 Rn. 46.

Entsprechend kann die Erforderlichkeit nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt.

Vgl. VG Ansbach, Urteil vom 23. Februar 2022 - AN 14 K 20.00083 -, juris Rn. 41; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 147c.

Danach hat die Antragstellerin nicht dargelegt, warum in den von ihr veröffentlichten Filmaufnahmen unbeteiligte Personen zur Verfolgung des genannten Werbezwecks identifizierbar bleiben müssen. Sie schildern weder ihre Reiseeindrücke noch tragen sie in sonstiger Weise zum Inhalt des Videos bei.

Darüber hinaus ergibt eine Abwägung der betroffenen Interessen auf der dritten Stufe, dass die von der Antragstellerin verfolgten Zwecke hinter die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten gewährleisten, zurücktreten. Dabei ist zu berücksichtigen, dass im Rahmen der abschließenden Interessenabwägung grundsätzlich von einer Schutzwürdigkeit der Betroffeneninteressen auszugehen ist. Sinn und Zweck des Rechts auf informationelle Selbstbestimmung ist es gerade, den Einzelnen vor den Registrierungs- und Verfügungsmöglichkeiten automatisierter Datenverarbeitung zu schützen.

Vgl. bereits BGH, Urteil vom 17. Dezember 1985 - VI ZR 244/84 -, NJW 1986, 2505, 2506; Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 148.

Dabei folgt aus der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass der Verantwortliche - hier die Antragstellerin - die Darlegungslast dafür trägt, dass die Interessen der betroffenen Person nicht überwiegen.

Vgl. EuGH, Urteil vom 4. Juli 2023 - C-252/21 -, GRUR 2023, 1131, 1139 Rn. 95; Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Auflage 2025, Art. 6 Abs. 1 DSGVO Rn. 106.

Vorliegend überwiegen die Betroffeneninteressen. Die aufgezeichneten Personen befinden sich im Urlaub und damit in ihrer Freizeit. Dieser Umstand ist besonders schutzbedürftig, da Menschen nicht davon ausgehen müssen, dass sie ohne ihre Kenntnis und Einwilligung zu Werbezwecken aufgenommen werden. Insoweit folgt aus Erwägungsgrund 47 Satz 4 zur DSGVO, dass insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen können.
Vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 6 DSGVO Rn. 152.

Ebenso überwiegen die Interessen der betroffenen Person auch dann, wenn zwischen dieser und dem Verantwortlichen keine vertraglichen oder geschäftlichen Verbindungen bestehen, die die konkrete Datenverarbeitung vernünftigerweise absehbar machen.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 595 Rn. 22.

Besonderes Gewicht kommt hier dem Umstand zu, dass ein auf Facebook veröffentlichtes Video weltweit potentiell Millionen Inhabern eines Accounts zugänglich ist. Auch die von der Antragstellerin dargelegte Lösch-Policy von Facebook ändert daran nichts, da auf Facebook veröffentlichte Filmaufnahmen jedenfalls für eine gewisse Zeit einsehbar sind und in dieser Zeit auch Inhalte extrahiert bzw. heruntergeladen werden können. Dass die Aufnahmen auch von solchen Örtlichkeiten stammen, an denen sich sogenannte Influencer aufhalten und Filmaufnahmen produzieren, führt ebenfalls zu keinem anderen Ergebnis. Allein mit dem Besuch einer solchen Örtlichkeit liegt noch kein Einverständnis in die Datenverarbeitung der jeweils aufgezeichneten Person vor. Auch begeben sich Personen nicht des durch die DSGVO gewährleisteten Schutzes, sobald sie solche Örtlichkeiten aufsuchen. Hinzu kommt, dass diese Personen in keiner geschäftlichen oder sonstigen Beziehung zur Antragstellerin stehen.

Ohne Bedeutung ist auch, dass sich die Antragstellerin auf § 23 Abs. 1 Nr. 2 KUG bzw. eine Wertung im Sinne dieser Vorschrift beruft, wonach ohne die nach § 22 KUG erforderliche Einwilligung Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, verbreitet und zur Schau gestellt werden dürfen. Denn das Kunsturhebergesetz findet in der vorliegenden Konstellation bereits keine Anwendung.

Nach Art. 85 Abs. 2 DSGVO sehen die Mitgliedstaaten für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen oder Ausnahmen unter anderem von Kapitel II (Grundsätze) vor, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DSGVO sind Datenverarbeitungen zu journalistischen Zwecken von den die Rechtmäßigkeit der Datenverarbeitung betreffenden Vorschriften in Art. 6 und Art. 7 DSGVO durch nationale Regelungen wie etwa das Kunsturhebergesetz ausgenommen worden.

Vgl. BGH, Urteil vom 27. Mai 2025 - VI ZR 337/22 -, juris Rn. 12, m.w.N.

Eine Zweckbestimmung im vorgenannten Sinne ist nach der Rechtsprechung des EuGH nicht allein deshalb ausgeschlossen, weil damit zugleich auch eine Gewinnerzielungsabsicht verfolgt wird.

Vgl. EuGH, Urteil vom 16. Dezember 2008 - C-73/07 -, EuZW 2009, 108, 110 Rn. 59; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 15.

Allerdings liegen journalistische Zwecke im Sinne von Art. 85 Abs. 2 DSGVO nur dann vor, wenn die Verarbeitung im Zusammenhang mit der journalistisch-redaktionellen und damit meinungsrelevanten Tätigkeit eines Medienredakteurs steht.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39; Lauber-Rönsberg, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 85 DSGVO Rn. 20; Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 4. Auflage 2024, Art. 85 DSGVO Rn. 17a.

Demgegenüber enthält Art. 85 Abs. 2 DSGVO kein allgemeines Meinungsprivileg und findet somit nicht auf alle Meinungsäußerungen im Internet Anwendung. Auch ist Journalismus nicht stets allein schon deshalb anzunehmen, weil sich jemand mit Informationen an die Öffentlichkeit wendet.

Vgl. OVG Lüneburg, Beschluss vom 19. Januar 2021 - 11 LA 16/20 -, MMR 2021, 593, 597 Rn. 39.

Danach handelt es sich bei den von der Antragstellerin auf ihrer Facebook-Internetseite veröffentlichten Filmaufnahmen nicht um Journalismus im Sinne von Art. 85 Abs. 2 DSGVO. Das zwischenzeitlich von ihr entfernte Video „N.“ diente ausschließlich Werbezwecken. Die Antragstellerin vermittelt nach eigenen Angaben Kreuzfahrten verschiedener Reedereien und damit verbundene Reiseleistungen. Auf ihrer Facebook-Internetseite „E.“ heißt es in der Rubrik „Beiträge“ unter der Überschrift „Intro“ etwa: „[…] Entdecke die ganze Welt des Reisens mit E.. Wir sind 365 Tage im Jahr persönlich für dich da […]“.

Vgl. https://www.facebook..[..........]_DE (zuletzt aufgerufen am 5. März 2026).

Unter der Rubrik „Info“ und „Seitentransparenz“ lässt sich über die Schaltfläche „Zur Werbebibliothek“ eine Aufstellung diverser aktiver Werbeanzeigen der Antragstellerin abrufen.

Vgl. https://www.facebook....[.........] (zuletzt aufgerufen am 2. März 2026).

Dass die Antragsgegnerin von ihrer Abhilfebefugnis nach Art. 58 Abs. 2 lit. d DSGVO Gebrauch gemacht hat, begegnet keinen rechtlichen Bedenken. Die Entscheidung für die geeignete Maßnahme im Sinne von Art. 58 Abs. 2 DSGVO liegt im pflichtgemäßen Ermessen der Behörde, wobei die Sachlage im Einzelfall zu berücksichtigen ist.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 18.

Die in Ziffer I. des Bescheides enthaltene Anordnung ist ermessensgerecht und verhältnismäßig. Ermessensfehler der Antragsgegnerin liegen nicht vor. Anhaltspunkte dafür, dass sich die Antragsgegnerin durch die Petentin des Beschwerdeverfahrens hat instrumentalisieren lassen, sind nicht ansatzweise ersichtlich. Es gehört im Gegenteil zu den Aufgaben der Aufsichtsbehörde, sich mit Beschwerden einer betroffenen Person zu befassen (Art. 58 Abs. 1 lit. f DSGVO).

Die von der Antragsgegnerin gewählte Abhilfemaßnahme nach Art 58 Abs. 2 lit. d DSGVO ist geeignet, erforderlich und angemessen. Es ist insbesondere nicht unverhältnismäßig, dass sich die Anweisung auf sämtliche veröffentlichte Filmaufnahmen auf der Facebook-Internetseite bezieht, auch wenn die Antragsgegnerin nur einen Datenschutzverstoß bei einem Verarbeitungsvorgang festgestellt hat.

Die in Art. 58 Abs. 2 lit. d DSGVO enthaltene grundlegende Anweisungsbefugnis der Aufsichtsbehörde, die alle Verarbeitungsvorgänge und deren Vereinbarkeit mit den Vorgaben der DSGVO betrifft, umfasst die Behebung materiellrechtlicher, aber auch technischer oder organisatorischer Mängel.

Vgl. Matzke, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Stand: 1. August 2025, Art. 58 DSGVO Rn. 23.

Gemessen daran konnte die Antragsgegnerin ausgehend von dem festgestellten Datenschutzverstoß und dem Geschäftsgebaren der Antragstellerin - Hochladen selbsterstellter Videos aus dem öffentlichen Raum zum Zwecke der Bewerbung der von ihr vermittelten Reisen - davon ausgehen, dass auch bei anderen Videos entsprechende Datenschutzverstöße anzunehmen sind. Die Antragstellerin bestärkte diesen Eindruck, indem sie im Verwaltungsverfahren - etwa mit Schreiben vom 24. Juli 2024 und 6. November 2024 - auch auf Hinweise der Antragsgegnerin weiterhin die Auffassung vertrat, es bestehe keine Veranlassung, das Video „N.“ oder andere Videoaufnahmen zu löschen oder durch Verwischen/Verschwimmen oder den Einsatz eines anderen Filters zu bearbeiten.

Auch im Übrigen bestehen keine Bedenken an der Verhältnismäßigkeit der Anordnung. Es ist nicht Aufgabe der Antragsgegnerin, den Bestand der auf der Facebook-Internetseite der Antragstellerin veröffentlichten Videos, der sich nach ihren Angaben über einen Zeitraum von etwa vier Jahren erstreckt, durchzuarbeiten und hinsichtlich jedes einzelnen Videos Bearbeitungsanweisungen gegenüber der Antragstellerin zu erlassen, denen diese unter Umständen entgegentreten würde. Vielmehr folgt aus der Rechenschaftspflicht der Antragstellerin nach Art. 5 Abs. 2, 24 Abs. 1 Satz 1 DSGVO, dass sie bereits mit Veröffentlichung der Filmaufnahmen auf ihrem Facebook-Account die Einhaltung der Vorgaben der DSGVO hätte sicherstellen müssen. Dies nachträglich zur Aufgabe der Antragsgegnerin zu machen, würde die in der DSGVO geregelte Verantwortung des für die Verarbeitung Verantwortlichen in ihr Gegenteil verkehren. Dass infolge der Entfernung eines Videos die damit verbundenen „Likes“ und Kommentare entfallen, führt in Anbetracht der überwiegenden Betroffeneninteressen zu keinem anderen Ergebnis. Im Übrigen hat die Antragstellerin vorgetragen, dass infolge der geänderten Lösch-Policy von Facebook, die sich auch auf Altvideos erstrecke, jedenfalls sogenannte Facebook-Live-Videos ohnehin nur für eine Zeit von 30 Tagen gespeichert würden.

Den Volltext der Entscheidung finden Sie hier:

OLG Jena: 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 03 Mar 2026 11:52:00 +0100

OLG Jena
Urteil vom 02.03.2026
3 U 31/25

Das OLG Jena hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools zugesprochen.

Die Pressemitteilung des Gerichts:
Meta-Konzern zu Schadensersatz verurteilt

Der 3. Zivilsenat des Oberlandesgerichts Jena hat durch ein heute verkündetes Urteil den Meta-Konzern zur Zahlung von Schadensersatz wegen Datenschutzverstößen verurteilt.

Nach den Feststellungen des Senats ermöglichen dem Konzern die von ihm an Webseiten- und App-Betreibern verteilten Business Tools eine weitreichende Nachverfolgung der Internetnutzung durch die Mitglieder seiner sozialen Netzwerke. Dabei fallen auch sensible personenbezogene Daten wie etwa zu Gesundheitsfragen an, beispielsweise wenn ein Nutzer zu psychischen Störungen recherchiert, über Arztportale nach therapeutischer Hilfe sucht oder in einer Online-Apotheke Medikamente bestellt. Die Erfassung und Speicherung solcher Daten findet dabei grundsätzlich auch dann statt, wenn die Betroffenen nicht im sozialen Netzwerk eingeloggt sind und keine wirksame Einwilligung in die Datenübermittlung erteilt haben.

Der Senat ist zu dem Schluss gekommen, dass diese Datenverarbeitung durch Meta nicht gerechtfertigt ist, sondern ein System anlassloser Datensammlung darstellt, das Grundprinzipien des europäischen Datenschutzrechts wie Transparenz, Zweckbindung und Datenminimierung widerspricht. Er hat dem klagenden Verbraucher 3.000 € Schadensersatz zugesprochen, wobei er die Höhe mit einer langanhaltenden und weitreichenden Aufzeichnung eines beträchtlichen Teils seines Privatlebens begründet.

Neben Schadensersatz ist der Meta-Konzern auch zu einer umfassenden Erteilung einer Auskunft über die von ihm gesammelten personenbezogenen Daten des Klägers sowie zu deren Löschung verurteilt worden.

Das Urteil ist noch nicht rechtskräftig. Der Senat hat die Revision zum Bundesgerichtshof zugelassen.

LG Berlin II: Weitergabe personenbezogener Daten von WhatsApp-Nutzern sowie Daten Dritter die WhatsApp nicht nutzen an Facebook mit unzreichender Einwilligung unzulässig

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 26 Feb 2026 17:53:00 +0100

LG Berlin II
Urteil vom 23.02.2026
52 O 22/17

Das LG Berlin II hat entschieden, dass die Weitergabe personenbezogener Daten von WhatsApp-Nutzern sowie Daten Dritter die WhatsApp nicht nutzen an Facebook mit unzureichender Einwilligung unzulässig ist.

Die Pressemitteilung des Gerichts:
In einem Verfahren des Verbraucherzentrale Bundesverbands (vzbv) gegen die in den USA ansässige WhatsApp Inc. hat die Zivilkammer 52 des Landgerichts Berlin II gestern Nachmittag über Ansprüche auf Unterlassung und Beseitigung im Zusammenhang mit einer im Jahr 2016 angekündigten Aktualisierung der Nutzungsbedingungen und der Datenschutzrichtlinie des Messengerdienstes „WhatsApp“ entschieden.

Entscheidung
Die Kammer hat WhatsApp verurteilt, es zu unterlassen, im Geschäftsverkehr mit Verbrauchern mit gewöhnlichem Aufenthalt in Deutschland personenbezogene Daten von WhatsApp-Nutzern sowie Daten Dritter, die „WhatsApp“ nicht nutzen, an Dritte (hier: Facebook) weiterzugeben, wenn die hierzu eingeholte Einwilligung in der im Verfahren angegriffenen Weise gestaltet ist.

Ferner hat die Kammer WhatsApp verurteilt, es zu unterlassen, einzelne Bestimmungen der damaligen WhatsApp-Datenschutzrichtlinie in Verträge über die Nutzung des Dienstes „WhatsApp“ mit Verbrauchern mit gewöhnlichem Aufenthalt in Deutschland einzubeziehen und sich bei der Abwicklung der Verträge hierauf zu berufen.

Den Antrag des vzbv, WhatsApp zu verpflichten, Facebook zur Löschung bereits übermittelter Daten zu veranlassen und dies nachzuweisen, hat das Gericht hingegen abgewiesen.
Die schriftlichen Entscheidungsgründe liegen noch nicht vor.

Hintergrund
Der Messengerdienst „WhatsApp“ wurde im Jahr 2014 von der Facebook-Unternehmensgruppe übernommen. Im August 2016 informierte WhatsApp seine Nutzer auf seiner Webseite und über eine Push-Nachricht auf ihren Mobiltelefonen über eine Änderung der Nutzungsbedingungen und der Datenschutzrichtlinie und bat hierzu um deren Zustimmung. Danach sollten die Nutzer WhatsApp und Facebook standardmäßig den Zugriff auf alle im Adressbuch ihres Mobiltelefons gespeicherten Account-Daten gewähren, einschließlich der eigenen Telefonnummer und der in den Kontakten gespeicherten Telefonnummern anderer Personen. Zugleich sollten die Nutzer bestätigen, dass sie befugt seien, die fremden Telefonnummern zur Verfügung zu stellen.

Am 23. September 2016 untersagte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Facebook, personenbezogene Daten deutscher WhatsApp-Nutzer zu erheben und zu speichern. Vor diesem Hintergrund hat WhatsApp unter anderem geltend gemacht, dass tatsächlich keine personenbezogenen Daten von WhatsApp an Facebook übermittelt worden seien.

Soweit die geänderten Nutzungsbedingungen ursprünglich auch Gegenstand des Verfahrens waren, haben die Parteien den Rechtsstreit übereinstimmend für erledigt erklärt, nachdem WhatsApp insoweit Unterlassungserklärungen abgegeben hatte.

Rechtsmittel
Das Urteil ist noch nicht rechtskräftig. Gegen dieses Urteil können beide Seiten nach Maßgabe der gesetzlichen Bestimmungen Berufung einlegen.

Landgericht Berlin II, Urteil vom 23. Februar 2026, Aktenzeichen 52 O 22/17

LG Berlin II: Freunde-Finden-Funktion von Facebook / Meta rechtswidrig - Verarbeitung personenbezoger Daten Dritter ohne Account verstößt gegen DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 24 Feb 2026 11:51:00 +0100

LG Berlin II
Urteil vom 02.12.2025
15 O 569/18

Das LG Berlin II hat entschieden, dass dei Freunde-Finden-Funktion von Facebook / Meta rechtswidrig ist. Die Verarbeitung personenbezoger Daten Dritter ohne Account verstöß gegen die DSGVO.

Den Volltext der Entscheidung finden Sie hier:

BGH: Kein Auskunftsanspruch aus Art. 15 DSGVO gegen einen Richter sondern gegen die Behördenleitung als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Fri, 20 Feb 2026 11:23:00 +0100

BGH
Beschluss vom 05.02.2026
I ZB 98/25

Der BGH hat entschieden, dass kein Auskunftsanspruch aus Art. 15 DSGVO gegen einen Richter sondern gegen die Behördenleitung als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO besteht.

Aus den Entscheidungsgründen:
Der gegen Vorsitzenden Richter Prof. Dr. K. geltend gemachte, auf Art. 15 Abs. 1 DSGVO gestützte Auskunftsanspruch besteht nicht. Soweit die Verarbeitung personenbezogener Daten in Rede steht, richtet sich ein etwaiger Anspruch aus Art. 15 Abs. 1 DSGVO gegen die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidende Behördenleitung
als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf: DSGVO-Verstoß durch Löschung der Daten vor Erfüllung eines bereits geltend gemachten Auskunftsanspruchs gemäß Art. 15 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 18 Feb 2026 18:31:00 +0100

VG Düsseldorf
Gerichtsbescheid vom 21.01.2026
29 K 7470/24

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß durch Löschung der Daten vor Erfüllung eines bereits geltend gemachten Auskunftsanspruchs gemäß Art. 15 DSGVO vorliegt.

Aus den Entscheidungsgründen:
Der angefochtene Bescheid erweist sich auch in materieller Hinsicht als rechtmäßig.

Die Voraussetzungen von Art. 58 Abs. 2 Buchst. b DSGVO liegen vor. Nach dieser Vorschrift verfügt jede Aufsichtsbehörde über die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die Datenschutz-Grundverordnung verstoßen hat.

Die tatbestandlichen Voraussetzungen für die ausgesprochene Verwarnung liegen vor. Die Klägerin hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die personenbezogenen Daten des Beschwerdeführers nach der Stellung des Auskunftsantrags nicht weiter gespeichert hat. Die Löschung der Daten trotz der Verpflichtung der Klägerin zur Auskunftserteilung war rechtswidrig.

Die Löschung von Daten stellt einen Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 DSGVO. Die Verarbeitung betrifft personenbezogene Daten nach Art. 4 Nr. 1 DSGVO, nämlich solche, die sich auf eine identifizierte natürliche Person, den Beschwerdeführer, beziehen.

Die Klägerin hat die personenbezogenen Daten als Verantwortliche im Sinne von Art. 58 Abs. 2 b, Art. 4 Nr. 7 Halbsatz 1 DSGVO verarbeitet. Sie hat sowohl die Versendung der an die E-Mail-Adresse des Beschwerdeführers gerichteten Werbe-E-Mails als auch die Löschung von dessen personenbezogenen Daten veranlasst.

Als Verantwortliche muss die Klägerin nach Art. 5 Abs. 2 DS-GVO iVm Art. 5 Abs. 1 lit. a DS-GVO sicherstellen, dass die von ihr durchgeführte Datenverarbeitung rechtmäßig ist.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 54.

Die Rechtmäßigkeit der Verarbeitung wird in Art. 6 DSGVO geregelt. Die Liste der darin genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend, sodass eine Verarbeitung unter einen der in Art. 6 Abs. 1 UAbs. 1 DSGVO vorgesehenen Fälle subsumierbar sein muss, um als rechtmäßig angesehen werden zu können.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 56.

Danach war die Löschung der personenbezogenen Daten rechtswidrig, weil für diese Verarbeitung keine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt waren. In Betracht kommen dabei allein die Tatbestände in Art. 6 Abs. 1 UAbs. 1 lit. a) und lit. c) DSGVO. Die Verarbeitung in Form der Löschung ist weder für die Erfüllung eines Vertrages (lit. b)) noch zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich (lit.d)). Die Klägerin nimmt auch keine Aufgabe wahr, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihr übertragen wurde) (lit. e)). Schließlich liegen auch keinerlei Anhaltspunkte dafür vor, dass die Löschung zur Wahrnehmung der berechtigten Interessen der Klägerin erforderlich gewesen sein könnte (lit. f)).

Eine Einwilligung des betroffenen Beschwerdeführers zu der Verarbeitung in Form der Löschung seiner personenbezogenen Daten gemäß Art. 6 Abs. 1 UAbs. lit. a) DSGVO liegt nicht vor. Sein ausdrücklich als Bitte um Auskunftserteilung bezeichnetes Schreiben vom 26. August 2022 kann ersichtlich nicht als Einwilligung zur Löschung seiner Daten nicht verstanden werden. Dasselbe gilt für die Erinnerung an das Auskunftsersuchen vom 26. September 2022.

Die Löschung war auch nicht zur Erfüllung einer rechtlichen Verpflichtung der Klägerin erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. c)). Ein Löschungsbegehren hat der Beschwerdeführer nicht geäußert. Es traf auch keiner der Gründe zu, die nach Art. 17 Abs. 1 DSGVO zu einer Verpflichtung des Verantwortlichen zur unverzüglichen Löschung personenbezogener Daten führen.

Die personenbezogenen Daten waren für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, weiter notwendig (Art. 17 Abs. 1 lit. a) DSGVO. Aus dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO, dem - wie die anderen Grundsätze des Art. 5 DSGVO auch - jede Datenverarbeitung entsprechen muss, kann die Klägerin daher nichts für sich herleiten.

Der ursprünglich auf E-Mail-Marketing gerichtete Zweck der Datenverarbeitung dürfte bereits nicht entfallen sein. Der Beschwerdeführer hat lediglich einen Auskunftsantrag gestellt und mit seinen Schreiben, anders als die Klägerin behauptet, an keiner Stelle kundgetan, dass er keine Werbemails mehr wünsche. Ausgehend von der angeblich erteilten Einwilligung des Beschwerdeführers in die Nutzung und Verarbeitung seiner personenbezogenen Daten für Werbezwecke per E-Mail (Bl. 75 der Beiakte Heft 1) durfte die Klägerin im Gegenteil davon ausgehen, weiter Werbemails versenden zu dürfen. Das zeigt, dass es sich um eine reine Schutzbehauptung handelt.

Ungeachtet dessen war die Datenverarbeitung aber nach Stellung des Auskunftsantrags für die Zwecke der Erfüllung der Auskunftsverpflichtung notwendig. Zum Zeitpunkt der Löschung war das Auskunftsverlangen des Beschwerdeführers noch nicht erfüllt.

Die Erfüllung der Pflicht aus Art. 12 Abs. 1 bis 3 DSGVO setzt die fortgesetzte Datenverarbeitung in Form der Speicherung der personenbezogenen Daten bis zur Erfüllung des Auskunftsbegehrens voraus. Die Mitteilungen gemäß Art. 15 DSGVO z.B. zu den Bearbeitungszwecken oder den Kategorien der verarbeiteten personenbezogenen Daten können nur übermittelt werden, wenn der Verantwortliche noch über die personenbezogenen Daten verfügt. Es spricht viel dafür, dass die personenbezogenen Daten, auf die die Auskunft zielt, so lange gespeichert werden müssen, bis die betroffene Person Gelegenheit hatte, die Rechtmäßigkeit der Verarbeitung zu überprüfen (vgl. Erwägungsgrund 63). Wie lange personenbezogene Daten zur Erfüllung eines Auskunftsbegehrens gespeichert werden müssen, braucht hier jedoch nicht entschieden zu werden. Denn jedenfalls tritt Erfüllung der Informationspflicht des Verantwortlichen und mit ihr der Wegfall des Zwecks der Verarbeitung frühestens ein, nachdem dem Antragsteller die begehrten Informationen vollständig und innerhalb der maßgeblichen Frist zur Verfügung gestellt wurden (Art. 12 Abs. 1, Abs. 3 Satz 1 DSGVO). Die Klägerin hat vorliegend die Daten aber bereits gelöscht, bevor dem Beschwerdeführer die Auskunft übermittelt worden ist. Mit Übersendung der als Datenschutzauskunft bezeichneten Daten hat die Klägerin bereits die Löschung der Daten in ihrer Datenbank bestätigt.

Einen Widerspruch gegen die Verarbeitung (Art. 17 Abs. 1 lit. c) DSGVO) hat der Beschwerdeführer ebenfalls nicht eingelegt, auch wenn die Klägerin die Schreiben des Beschwerdeführers als solchen bezeichnet. Das nur aus konkreten Fragen bestehende Schreiben vom 26. August 2022 sowie die Erinnerung an das Auskunftsersuchen vom 26. September 2022 enthalten keinerlei Anhaltspunkte dafür, dass der Beschwerdeführer keine Werbemails mehr wünscht oder dass er der Verarbeitung widerspricht.

Auch die anderen in Art. 17 Abs. 1 DSGVO genannten Gründe treffen nicht zu. Ein Widerruf der Einwilligung ist nicht ersichtlich (Art. 17 Abs. 1 lit. b) DSGVO). Die personenbezogenen Daten wurden aus Sicht der Klägerin auch nicht unrechtmäßig verarbeitet (Art. 17 Abs. 1 lit. d) DSGVO). Vielmehr stützt sie sich, wie die „Datenschutzauskunft“ zeigt, gerade auf eine angebliche Einwilligung des Beschwerdeführers in die Verarbeitung seiner personenbezogenen Daten. Eine rechtliche Verpflichtung nach Art. 17 Abs. 1 lit. e) DSGVO ist nicht ersichtlich. Ebenso wenig wurden die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 erhoben (Art. 17 Abs. 1 lit. f) DSGVO).

Die Klägerin kann die vorgenommene Löschung der personenbezogenen Daten des Beschwerdeführers schließlich nicht auf Art. 5 Abs. 1 lit. d) DSGVO und eine angebliche sachliche Unrichtigkeit der Daten stützen. Die personenbezogenen Daten des Beschwerdeführers waren im Gegenteil sachlich richtig, und zwar sowohl im Hinblick auf Werbezwecke als auch zum Zwecke der Informationserteilung. Wie die Klägerin den beiden der Löschung vorangegangenen Schreiben des Beschwerdeführers entnommen haben will, dass die Daten nicht von ihm sein könnten, ist nicht nachvollziehbar und offensichtlich vorgeschoben.

Die Verwarnung begegnet auch auf der Rechtsfolgenseite keinen durchgreifenden rechtlichen Bedenken. Die Beklagte hat das ihr nach Art. 58 Abs. 2 DSGVO eingeräumte Ermessen fehlerfrei ausgeübt (§ 114 Satz 1 VwGO). Insbesondere ist ein Verstoß gegen den Grundsatz der Verhältnismäßigkeit, der bei der Auswahl der nach Art. 58 Abs. 2 DSGVO zur Verfügung stehenden Maßnahmen zu beachten ist,

vgl. OVG NRW, Urteil vom 15. Juni 2022 - 16 A 857/21 -, juris Rn. 147,

nicht zu erkennen. Die Verwarnung dient dem Zweck der Datenschutz-Grundverordnung, eine einheitliche Überwachung und Durchsetzung der Verordnung in der gesamten Union sicherzustellen (vgl. Erwägungsgrund 129 Satz 1 DSGVO). Durch die ihr zukommende Warnfunktion ist sie auch geeignet, datenschutzkonforme Zustände herzustellen. Sie ist des Weiteren auch erforderlich. Mit der Verwarnung hat die Beklagte das mildeste Abhilfeinstrumentarium im Maßnahmenkatalog des Art. 58 Abs. 2 DSGVO gewählt. Die Anordnung ist schließlich auch angemessen, d. h. verhältnismäßig im engeren Sinn. Die Verwarnung stellt sich als geringfügiger Eingriff in die Rechte der Klägerin dar, da mit ihr insbesondere keine unmittelbaren finanziellen Nachteile verbunden sind.

Vorsorglich weist das Gericht darauf hin, dass in Fällen wie dem vorliegenden auch die Verhängung eines Bußgeldes gemäß Art. 58 Abs. 2 i DSGVO gerechtfertigt sein dürfte. Denn es ist zu berücksichtigen, dass die Klägerin mit der Löschung nicht nur die Überprüfung der Richtigkeit und Vollständigkeit der Datenschutzauskunft, sondern auch die Überprüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten des Beschwerdeführers vereitelt hat. Es spricht alles dafür, dass dies beabsichtigt war. Die Klägerin hat die personenbezogenen Daten des Beschwerdeführers angeblich mit dessen Einwilligung verarbeitet, und durfte damit von der Rechtmäßigkeit der Datenverarbeitung ausgehen. Es gab also keinen Grund zur Löschung, es sei denn, die Daten sind tatsächlich rechtswidrig erhoben worden.

Den Volltext der Entscheidung finden Sie hier:

VG Osnabrück: Schadensersatzansprüche aus Art. 82 DSGVO sind keine Amtshaftungsansprüche

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 17 Feb 2026 14:21:00 +0100

VG Osnabrück
Beschluss vom 12.12.2025
7 A 230/25

Das VG Osnabrück hat entschieden, dass Schadensersatzansprüche aus Art. 82 DSGVO keine Amtshaftungsansprüche sind.

Aus den Entscheidungsgründen:
Die Verweisung konkret an das Amtsgericht Osnabrück beruht auf §§ 23 Nr. 1, 71 GVG und §§ 12, 17 Abs.1 ZPO.

Insbesondere besteht demgegenüber keine Zuständigkeit des Landgerichts nach § 71 Abs. 2 Nr. 2 GVG. Danach sind die Landgerichte ohne Rücksicht auf den Wert des Streitgegenstandes ausschließlich zuständig für die Ansprüche gegen Richter und Beamte wegen Überschreitung ihrer amtlichen Befugnisse oder wegen pflichtwidriger Unterlassung von Amtshandlungen, also für Ansprüche aus § 839 BGB, auch wenn sie sich nach Art. 34 GG gegen den Dienstherrn richten (vgl. Nordmeyer, in: Anders/Gehle, 84. Aufl. 2026, GVG § 71 Rn. 11, beck-online).

Einen solchen Amtshaftungsanspruch macht der Kläger hier aber nicht geltend (so auch ausdrücklich im Schriftsatz vom 09.11.2025). Er beruft sich vielmehr auf einen Schadenersatzanspruch aus § 82 Abs. 1 DS-GVO. Dieser stellt selbst keinen Amtshaftungsanspruch dar. Denn bei ihm handelt es sich nicht - wie im Falle von § 839 BGB i.V.m. Art. 34 GG - um eine auf den Hoheitsträger übergeleitete, im Ausgangspunkt aber persönliche Haftung des Beamten, sondern um eine originäre Haftung des Hoheitsträgers. Er richtet sich gegen den Verantwortlichen oder den Auftragsverarbeiter. Verantwortlicher ist nach Art. 4 Nr. 7 DS-GVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sowohl der Begriff des Verantwortlichen als auch des Auftragsverarbeiters ist mithin institutionell zu verstehen. Soweit in einer Behörde Daten verarbeitet werden, ist damit nicht der jeweilige Amtsträger persönlich Verantwortlicher i.S.d. DS-GVO und folglich auch nicht Adressat des Anspruchs. Eine solche unmittelbare Staatshaftung erfasst die Rechtsweggarantie des Art. 34 Satz 3 GG nicht. Zwar kann der Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO neben einen Amtshaftungsanspruch nach § 839 BGB i.V.m. Art. 34 GG treten, sodass Anspruchskonkurrenz besteht. Das führt jedoch nicht dazu, dass die Zuständigkeit des Landgerichts für die Entscheidung über einen - denkbaren, hier gerade nicht geltend gemachten - Amtshaftungsanspruch auch auf die Zuständigkeit für die Entscheidung über einen Anspruch aus Art. 82 Abs. 1 DS-GVO durchschlägt (vgl. BFH, Beschluss vom 28.06.2022 - II B 93/21 -, juris Rn. 14-17, m.w.N.; BSG, Beschluss vom 06.03.2023 - B 1 SF 1/22 R -, juris Rn. 19-24; OLG Hamm, Urteil vom 20.01.2023 - I-11 U 88/22 -, juris Rn. 73; VG Stuttgart, Urteil vom 20.06.2024 - 14 K 870/22 -, juris, Rn. 23-25; zustimmend auch Lorenz, jurisPR-ITR 11/2023 Anm. 3).

Gegen dieses Ergebnis wird eingewandt, das Zusammenspiel von haftungsbegründender (§ 839 BGB) und haftungsüberleitender Norm (Art. 34 S. 1 GG) beim Amtshaftungsanspruch sei historisch begründet und für die materielle Rechtsqualität des Anspruchs nicht entscheidend. Zudem knüpfe der Schadensersatzanspruch aus Art. 82 DS-GVO ebenfalls an ein konkretes Fehlverhalten eines einzelnen Amtswalters an, das der verantwortlichen öffentlichen Stelle zugerechnet werde. Inhaltlich bestehe somit zwischen beiden Ansprüchen kein Unterschied, der es rechtfertigen könne, die Ansprüche unterschiedlichen Gerichten zuzuweisen (vgl. Meyer, ZD 2025, 200 [203]; für einen Amtshaftungsanspruch auch FG Berl.Bbg., Beschluss vom 27.10.2021 - 16 K 16155/21 -, juris Rn. 10-12 [durch den o.g. Beschluss des BFH aufgehoben]; Hess. LSG, Beschluss vom 26.01.2022 - L 6 SF 7/21 DS -, juris, Rn. 22-24 [durch den o.g. Beschluss des BSG aufgehoben], mit zustimmender Besprechung durch Brehm, NZS 2022, 559; Bieresborn, Die Auswirkungen der DSGVO auf das gerichtliche Verfahren, DRiZ 2019, 18 [23]; Korves, Zivilrechtliche Haftung für Datenlecks in Zivilprozessen, RDi 2023, 571 [574-576]).

Diese Erwägungen mögen zwar rechtspolitisch plausibel sein, ebenso wie angesichts heute unabhängiger Fachgerichtsbarkeiten der Sinn der Rechtswegzuweisung des Art. 34 Satz 3 GG zweifelhaft erscheinen (vgl. etwa v. Danwitz, in: Huber/Voßkuhle, 8. Aufl. 2024, GG Art. 34 Rn. 149, beck-online) und es überdies Schwierigkeiten erzeugen mag, wenn ein an sich einheitlicher Streitgegenstand durch zwei unterschiedliche Gerichte zu beurteilen ist (vgl. Korves, RDi 2023, 571 [576]). Dies sind indes sich an den Gesetzgeber richtende Fragen, die nicht schon rechtfertigen können, den Begriff des Amtshaftungsanspruchs über seine (historisch gewachsenen) Grenzen hinaus auch auf solche (im obigen Sinne) anderen Ansprüche auszudehnen.

Den Volltext der Entscheidung finden Sie hier:

LAG Rheinland-Pfalz: Kein Beweisverwertungsverbot nach der DSGVO im Kündigungsschutzprozess für Aufnahmen aus offener Videoüberwachung

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 12 Feb 2026 19:11:00 +0100

LAG Rheinland-Pfalz
Urteil vom 29.10.2025
7 SLa 252/24

Das LAG Rheinland-Pfalz hat entschieden, dass sich aus der DSGVO kein Beweisverwertungsverbot im Kündigungsschutzprozess für Aufnahmen aus offener Videoüberwachung ergibt.

Aus den Entscheidungsgründen:
cc) Die Kammer durfte die Videoaufzeichnungen bei ihrer Entscheidungsfindung berücksichtigen. Die Frage, ob die Gerichte für Arbeitssachen erhebliches Prozessvorbringen der Parteien bzw. deren Beweisantritte bei ihrer Entscheidungsfindung berücksichtigen dürfen bzw. müssen, beantwortet sich nach Inkrafttreten der DSGVO nach deren Vorschriften. Die DSGVO regelt die Zulässigkeit von Datenverarbeitungen auch im Verfahren vor den nationalen Zivilgerichten (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 23).

(1) Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Gemäß Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO kann die Rechtsgrundlage für entsprechende Verarbeitungen durch das Recht des Mitgliedstaats festgelegt werden, dem der Verantwortliche unterliegt. Dieses muss nach Art. 6 Abs. 3 Satz 4 DSGVO ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. Davon ist auszugehen, wenn die Zivilgerichte - zu denen nach unionsrechtlichem Verständnis auch die Gerichte für Arbeitssachen gehören - die ihnen durch das nationale Recht übertragenen gerichtlichen Befugnisse ausüben (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 24 mwN.).

(2) Erfolgt diese Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist das nach Art. 6 Abs. 4 DSGVO iVm. deren Erwägungsgrund 50 insbesondere dann zulässig, wenn die zweckändernde Verarbeitung auf dem Recht eines Mitgliedstaats beruht und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt. Ausweislich des Erwägungsgrundes 50 ist der Verantwortliche zum Schutz dieser wichtigen Ziele des allgemeinen öffentlichen Interesses berechtigt, die personenbezogenen Daten ungeachtet dessen weiterzuverarbeiten, ob sich die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbaren ließ (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 25 mwN.). Zu den in Art. 6 Abs. 4 DSGVO normierten Zielen gehören nach Art. 23 Abs. 1 Buchst. f DSGVO der "Schutz der Unabhängigkeit der Justiz und der Schutz von Gerichtsverfahren", wobei dieses Ziel nicht nur den Schutz der Rechtspflege vor internen und externen Eingriffen, sondern auch eine ordnungsgemäße Rechtspflege gewährleistet. Darüber hinaus stellt nach Art. 23 Abs. 1 Buchs. j DSGVO die Durchsetzung zivilrechtlicher Ansprüche ebenfalls ein Ziel dar, das eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als demjenigen rechtfertigen kann, zu dem sie erhoben wurden (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 25 mwN.). Den vorstehenden unionsrechtlichen Vorgaben genügen die §§ 138, 286, 355 ff. ZPO. Diese Vorschriften des nationalen Rechts verpflichten die Parteien zu einem substantiierten und wahrheitsgemäßen Vorbringen und das Gericht zu dessen vollständiger Berücksichtigung und gegebenenfalls einer tatrichterlichen Würdigung auch im Hinblick auf eine etwaige Beweisaufnahme. Sie stellen nach Art. 6 Abs. 3 Satz 1 Buchst. b DSGVO erforderliche Rechtsgrundlagen für entsprechende Verarbeitungen im gerichtlichen Verfahren dar (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 25).

(3) Die - gegebenenfalls zweckändernde - Verarbeitung von personenbezogenen Daten durch das Gericht kommt selbst dann in Betracht, wenn die vor- oder außergerichtliche Erhebung dieser Daten durch eine Prozesspartei sich nach Maßgabe der DSGVO oder des nationalen Datenschutzrechts als rechtswidrig darstellt (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 26). Dies folgt aus Art. 17 DSGVO (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 26). Selbst wenn Art. 17 Abs. 3 Buchst. e DSGVO keine Rechtsgrundlage für die weitere Verarbeitung in diesen Fällen darstellte, läge der notwendige Erlaubnistatbestand in Art. 6 Abs. 1 Unterabs. 1 Buchst. e iVm. Abs. 3 und gegebenenfalls Abs. 4 iVm. Art. 23 Abs. 1 Buchst. f und j DSGVO iVm. § 3 BDSG iVm. §§ 138, 286, 355 ff. ZPO (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 26).

dd) Ein Sachvortrags- oder Beweisverwertungsverbot kommt - gerade auch im Geltungsbereich der DSGVO - nur in Betracht, wenn die Nichtberücksichtigung von Vorbringen oder eines Beweismittels wegen einer durch Unionsrecht oder Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG geschützten Rechtsposition des Arbeitnehmers zwingend geboten ist. Dies ist bei einer von ihm vorsätzlich begangenen Pflichtverletzung, die von einer offenen Überwachungsmaßnahme erfasst wurde, regelmäßig nicht der Fall (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 27).

Ein auf Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG gestütztes Verwertungsverbot scheidet - selbst unter Berücksichtigung der zugunsten des Arbeitnehmers unterstellten Vorgaben aus Art. 17 Abs. 3 Buchst. e DSGVO - regelmäßig in Bezug auf solche Bildsequenzen aus einer offenen Videoüberwachung aus, die vorsätzlich begangene Pflichtverletzungen zu Lasten des Arbeitgebers zeigen (sollen), ohne dass es auf die Rechtmäßigkeit der gesamten Überwachungsmaßnahme ankäme (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 31). In diesem Fall wurde der Arbeitnehmer durch die vorangegangene Überwachung und Auszeichnung seines Verhaltens nicht daran gehindert, selbstbestimmt zu handeln. Er hat sich vielmehr - trotz seiner Kenntnis von der Überwachung - für die Begehung einer Vorsatztat zu Lasten des Arbeitgebers entschieden. Zwar wurde dieses Verhalten dokumentiert und damit eine Verbreitung ermöglicht. Doch muss der Arbeitnehmer diese - von ihm angesichts der Offenheit der Überwachung erkennbare - Folge hinnehmen, soweit die betreffende Bildsequenz dazu verwendet wird, den "Tatbeweis" in einem Kündigungsschutzprozess zu führen, also lediglich der Durchsetzung rechtlich geschützter Belange des Arbeitnehmers dienen soll (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 32 mwN.). Das grundgesetzlich verbürgte Recht auf informationelle Selbstbestimmung kann nicht zu dem alleinigen Zweck in Anspruch genommen werden, sich der Verantwortung für vorsätzlich rechtswidriges Handeln zu entziehen (BAG 29.06.2023 - 2 AZR 296/22 - Rn. 32 mwN.). Eine Beweiserhebung darf auch nicht auf die bloße Möglichkeit ihrer Grundrechtswidrigkeit hin - weil sie womöglich gar kein Verhalten des Arbeitnehmers zeigt, das eine vorsätzliche Verletzung der Rechtsgüter des Arbeitgebers darstellt oder doch auf eine solche hindeutet, unterbleiben, weil Art. 103 Abs. 1 GG und Art. 47 Abs. 2 GRC grundsätzlich gebieten, einem erheblichen Beweisantritt nachzugehen (vgl. BAG 29.06.2023 - 2 AZR 296/22 - Rn. 34).

ee) Danach waren die Erkenntnisse des Beklagten aus der Videoüberwachung vom Abend des 13.04.2024 zu berücksichtigen.

Es handelte sich unstreitig um eine offene Videoüberwachung. Der Kläger wusste, dass eine Aufzeichnung und Speicherung seines Verhaltens im Thekenbereich mit Kasse erfolgt. Er wurde nicht heimlich "ausgespäht", sondern hat sich einer Erfassung seiner möglichen vorsätzlichen Pflichtverletzung "sehenden Auges" ausgesetzt.

Da nicht das gesamte Restaurant, sondern nur der Thekenbereich mit der Kasse überwacht wurde, ist das Vorliegen einer zu einem ständigen Anpassungs- und Leistungsdruck führenden Dauer- oder Totalüberwachung auszuschließen. Die Intim- oder Privatsphäre des Klägers wurde dabei nicht tangiert. Eine schwere Grundrechtsverletzung folgt auch nicht daraus, dass der Beklagte möglicherweise mit der erstmaligen Sichtung des Bildmaterials zugewartet und es bis dahin vorgehalten hat (vgl. BAG 29.06.2023 - 2 AZR 296/22 - Rn. 37 f. mwN.). Der rechtmäßig gefilmte Vorsatztäter ist in Bezug auf die Aufdeckung und Verfolgung seiner materiell-rechtlich noch verfolgbaren Tat nicht schutzwürdig. Er wird dies auch nicht durch bloßen Zeitablauf. Das allgemeine Persönlichkeitsrecht kann nicht zu dem alleinigen Zweck in Anspruch genommen werden, sich vor dem Eintritt von Verfall, Verjährung oder Verwirkung der Verantwortung für vorsätzlich rechtswidriges Handeln zu entziehen (BAG 23.08.2018 - 2 AZR 133/18 - Rn. 30 mwN.). Zugleich verliert das in Bezug auf vorsätzliche Schädigungshandlungen beträchtliche, durch Art. 12 und Art. 14 GG geschützte Verarbeitungs- und Nutzungsinteresse des Arbeitgebers nicht an Gewicht, solange die Rechtsverfolgung materiell-rechtlich nicht ausgeschlossen ist (BAG 23.08.2018 - 2 AZR 133/18 - Rn. 30). Überdies ist zu beachten, dass gedeihliche Arbeitsvertragsbeziehungen von beiderseitigem Vertrauen getragen sein müssen. Dem widerspräche es, wenn der Arbeitgeber gezwungen wäre, die Aufzeichnungen aus einer offenen, vorrangig zu präventiven (Verhinderung von Pflichtverletzungen) und nur bei Verfehlung dieses Primärziels zu repressiven Zwecken (Aufklärung und Verfolgung von Pflichtverletzungen) eingesetzten Videoüberwachung laufend vollumfänglich einzusehen, um relevante Sequenzen weiterverarbeiten zu dürfen. Das hielte ihn zu ständigem Misstrauen an. Zugleich würde durch einen faktischen Zwang zu zeitnaher Aufdeckung und „Sanktionierung“ von Pflichtverletzungen der Arbeitnehmerschutz durch die Vorgaben des Datenschutzrechts in sein Gegenteil verkehrt. Die Speicherung - nach wie vor - erforderlicher Sequenzen kann deshalb nur unangemessen sein, wenn das Verhalten des Arbeitgebers objektiv den Schluss zulässt, er wolle diese Passagen nicht allein zur Rechtsverfolgung verwenden. Es muss die greifbare Gefahr eines Missbrauchs personenbezogener Daten bestehen BAG 23.08.2018 - 2 AZR 133/18 - Rn. 30 mwN.).

Für eine solches Aufsparen von möglichen Kündigungsgründen bestehen vorliegend keine Anhaltspunkte.

Mit der Verwertung der betreffenden Bildsequenzen im vorliegenden Rechtsstreit ist keine Zweckänderung im Sinn von Art. 6 Abs. 4 DSGVO verbunden. Der maßgebliche abstrakte Zweck der Datenerhebung (Schutz der berechtigten Interessen des Beklagten und widrigenfalls Durchsetzung zivilrechtlicher Ansprüche) stimmt mit dem Zweck der Datenverarbeitung im vorliegenden Verfahren (Durchsetzung zivilrechtlicher Ansprüche) überein (vgl. BAG 29.06.2023 - 2 AZR 296/22 - Rn. 38 mwN.). Selbst wenn eine Zweckänderung vom Eigentums- hin zum Vermögensschutz vorläge, ergibt die Abwägung der wechselseitigen Interessen, dass die Grundrechtspositionen des Klägers aus Art. 7 und Art. 8 GRC nicht das durch Art. 47 Abs. 2 GRC garantierte, in concreto besonders hoch zu bewertende Recht des Beklagten auf effektiven gerichtlichen Rechtsschutz gegenüber einem - vermeintlich - vorsätzlichen Fehlverhalten seines Arbeitnehmers überwiegen (vgl. BAG 29.06.2023 - 2 AZR 296/22 - Rn. 38).

Den Volltext der Entscheidung finden Sie hier:

EuGH: Klage von WhatsApp Ireland gegen verbindlichen Beschluss des Europäischen Datenschutzausschusses (EDSA) zulässig

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 11 Feb 2026 11:26:00 +0100

EuGH
Urteil vom 10.02.2026
C-97/23 P
WhatsApp Ireland / Europäischer Datenschutzausschuss

Der EuGH hat entschieden, dass die Klage von WhatsApp Ireland gegen den streitgegenständlichen verbindlichen Beschluss des Europäischen Datenschutzausschusses (EDSA) zulässig ist.

Die Pressemitteilung des EuGH:
DSGVO: Die Klage von WhatsApp Ireland gegen den verbindlichen Beschluss 1/2021 des Europäischen Datenschutzausschusses ist zulässig

Da dieser Beschluss eine anfechtbare Handlung darstellt, die dieses Unternehmen unmittelbar betrifft, hebt der Gerichtshof den Beschluss des Gerichts auf und verweist die Rechtssache zur Entscheidung in der Sache an das Gericht zurück.

Der Gerichtshof stellt fest, dass ein verbindlicher Beschluss des Europäischen Datenschutzausschusses (EDSA), mit dem eine Streitigkeit zwischen mehreren nationalen Aufsichtsbehörden darüber beigelegt wird, ob ein für die Verarbeitung Verantwortlicher gegen die Datenschutz-Grundverordnung (DSGVO) 1 verstoßen hat und gegebenenfalls die Abhilfemaßnahmen, die ihm auferlegt werden sollen, abzuändern sind, eine vor den Gerichten der Union anfechtbare Handlung darstellt. Dieser verbindliche Beschluss stammt nämlich von einer Einrichtung der Union und soll Rechtswirkungen gegenüber Dritten entfalten. Darüber hinaus entscheidet der Gerichtshof im vorliegenden Fall, dass die WhatsApp Ireland Ltd (im Folgenden: WhatsApp) von dem streitigen Beschluss des EDSA unmittelbar betroffen ist. Da die Nichtigkeitsklage von WhatsApp zulässig ist, das Gericht der Europäischen Union jedoch noch nicht in der Sache entschieden hat, hebt der Gerichtshof den Beschluss des Gerichts auf und verweist die Sache an das Gericht zurück.

Nach dem Inkrafttreten der DSGVO gingen bei der irischen Aufsichtsbehörde, der Data Protection Commission, Beschwerden von Nutzern und Nichtnutzern des Messengerdienstes „WhatsApp“ in Bezug auf die Verarbeitung personenbezogener Daten durch dieses Unternehmen ein. Die irische Aufsichtsbehörde leitete im Dezember 2018 von Amts wegen eine allgemeine Untersuchung über die Einhaltung der Transparenz- und Informationspflichten durch WhatsApp gegenüber Privatpersonen ein.

Im Dezember 2022 legte die irische Aufsichtsbehörde allen betroffenen nationalen Aufsichtsbehörden einen Beschlussentwurf vor, um ihre Stellungnahmen dazu einzuholen . Da über bestimmte Punkte dieses Entwurfs kein Konsens erzielt werden konnte, befasste sie den EDSA. Dieser sollte die Streitigkeit zwischen den betroffenen Aufsichtsbehörden beilegen und zu den Fragen, die Gegenstand maßgeblicher und begründeter Einsprüche waren, Stellung nehmen.

Der EDSA erließ einen für alle betroffenen Aufsichtsbehörden verbindlichen Beschluss , nämlich den Beschluss 1/2021, in dem er u. a. einen Verstoß gegen bestimmte Vorschriften der DSGVO feststellte und die irische Aufsichtsbehörde dazu verpflichtete, die geplanten Abhilfemaßnahmen, einschließlich der Höhe der Geldbußen, zu ändern. Auf dieser Grundlage erließ die irische Aufsichtsbehörde ihren endgültigen Beschluss, der an WhatsApp gerichtet war und mit dem sie gegen WhatsApp insbesondere Geldbußen in Höhe von insgesamt 225 Millionen Euro verhängte.

WhatsApp erhob gegen den Beschluss des EDSA eine Nichtigkeitsklage beim Gericht . Mit seinem Beschluss vom 7. Dezember 20225 wies das Gericht diese Klage jedoch als unzulässig ab und begründete dies damit, dass der Beschluss des EDSA keine anfechtbare Handlung sei und WhatsApp von diesem Beschluss nicht unmittelbar betroffen sei. Nach Ansicht des Gerichts handelte es sich bei dem Beschluss des EDSA lediglich um eine Zwischenmaßnahme, und WhatsApp könne nur den endgültigen Beschluss der irischen Aufsichtsbehörde vor einem nationalen Gericht anfechten. WhatsApp legte daraufhin gegen den Beschluss des Gerichts ein Rechtsmittel beim Gerichtshof ein.

In seinem heutigen Urteil stellt der Gerichtshof fest, dass der Beschluss des EDSA sehr wohl eine vor den Unionsgerichten anfechtbare Handlung darstellt. Denn dieser Beschluss ist eine Handlung, die von einer Einrichtung der Union stammt und für Dritte, d. h. im vorliegenden Fall für die federführende irische Aufsichtsbehörde und alle anderen betroffenen Aufsichtsbehörden, verbindlich ist.

Darüber hinaus legt dieser Beschluss endgültig die Position dieser Einrichtung fest und behandelt alle ihr vorgelegten Fragen erschöpfend. Daher kann ein solcher Beschluss nicht als eine Zwischenmaßnahme angesehen werden, die nicht mit einer Klage anfechtbar ist. Darüber hinaus stellt der Gerichtshof fest, dass WhatsApp von diesem Beschluss unmittelbar betroffen war, da er die Rechtslage dieses Unternehmens in qualifizierter Weise geändert hat, ohne den Adressaten einen Ermessensspielraum zu lassen. Dieser Beschluss ist für die betroffenen Aufsichtsbehörden nämlich unbedingt verbindlich, insbesondere hinsichtlich der Feststellung eines Verstoßes gegen bestimmte Vorschriften der DSGVO, und diese Behörden können das Ergebnis nicht abändern.

Die Klage von WhatsApp wird daher für zulässig erklärt, und der Beschluss des Gerichts wird aufgehoben. Der Gerichtshof verweist die Sache an das Gericht zurück, damit dieses in der Sache entscheidet, einschließlich der Frage, ob WhatsApp gegen die betreffenden Bestimmungen der DSGVO verstoßen hat.

Den Volltext der Entscheidung finden Sie hier:

OLG Naumburg: DSGVO-Verstoß durch Meta Business Tools - Anspruch gegen Meta auf 1.200 EURO bzw. 1.250 EURO Schadensersatz aus Art. 82 DSGVO und Unterlassungsanspruch

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Mon, 09 Feb 2026 18:06:00 +0100

OLG Naumburg
Urteil vom 05.02.2026 - 9 U 124/24
Urteil vom 05.02.2036 - 9 U 44/25

Das OLG Naumburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool seitens Meta gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.200 EURO bzw. 1.250 EURO Schadensersatz aus Art. 82 DSGVO und auch einen Unterlassungsanspruch bejaht.

Die Pressemitteilung des Gerichts:
Schadensersatz wegen unerlaubter Datenverarbeitung durch Meta

Der 9. Zivilsenat des Oberlandesgerichts Naumburg hat durch zwei am heutigen Tage verkündete Urteile den Klägern Schadensersatz wegen unerlaubter Datenverarbeitung durch Unternehmen des Meta-Konzerns zugesprochen.

Meta konnte nach den Feststellungen des Senats bis zum 3. November 2023 mithilfe seiner Business Tools jeden Klick, jede Suche und jeden Kauf auf Tausenden von Webseiten und Apps nachverfolgen. Dazu mussten die Betroffenen nicht bei Facebook oder Instagram eingeloggt sein. Meta habe diese Daten unbemerkt und ohne Zustimmung der Nutzer genutzt. Nach Einführung der Abonnement-Variante sei die Datenübertragung je nach Einstellung der Nutzer differenzierter erfolgt. Sie führe jedoch nach wie vor zu einer umfassenden Datennutzung durch die Beklagte. Diese Datenverarbeitung sei rechtswidrig, verstoße gegen den Grundsatz der Datenminimierung und sei nicht von einer Einwilligung oder sonstigen Rechtfertigungs-gründen gedeckt. Der zugesprochene Schadensersatz belief sich in einem Fall auf 1.200 € und im anderen auf 1.250 €.

Neben dem Schadensersatz verurteilte der 9. Zivilsenat den Meta-Konzern zu einer generellen, umfassenden Unterlassung der Datenverarbeitung über die Business Tools sowie zur Löschung aller gesammelten Nutzer-Daten. Außerdem wurde die Rechtswidrigkeit der Datenverarbeitung festgestellt.

Die Urteile sind rechtskräftig, nachdem der Senat die Revision nicht zugelassen hat und die Beschwer der unterliegenden Partei in beiden Fällen den für die Nichtzulassungsbeschwerde erforderlichen Betrag nicht erreicht.