BECKMANN UND NORDA - Rechtsanwälte Bielefeld (Artikel mit Tag spam)

LG Krefeld: Kein Schadensersatz aus Art. 82 DSGVO bei Hackerangriff (hier: Zero-Day-Exploit) ohne Nachweis unzureichender Sicherheitsmaßnahmen des Unternehmens

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 17 Mar 2026 11:51:00 +0100

LG Krefeld
Urteil vom 06.11.2025
3 O 93/24

Das LG Krefeld hat entschieden, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei einem Hackerangriff – im vorliegenden Fall ein Zero-Day-Exploit – nicht besteht, wenn der Nachweis unzureichender Sicherheitsmaßnahmen des Unternehmens fehlt und ein konkreter Schaden nicht substantiiert dargelegt wurde.

Aus den Entscheidungsgründen:
Gemäß Art. 82 Abs. 4 DSGVO haften sowohl der Verantwortliche (hier die Beklagte zu 1) gemäß Art. 4 Nr. 7 DSGVO) als auch der Auftragsverarbeiter (hier die Beklagte zu 2) gemäß Art. 4 Nr. 8 DSGVO) gesamtschuldnerisch für einen verursachten Schaden. Soweit die Klägerin ein wirksames Auftragsverarbeitungsverhältnis zwischen den Beklagten mit Nichtwissen bestreitet (Bl. 162 d. A.), ist dieses Bestreiten gemäß § 138 Abs. 4 ZPO unbeachtlich, da er im Widerspruch zu ihrem vorherigen Vortrag (z.B. auf Bl. 8 f. d. A) steht. Denn die Klägerin trägt selbst vor, dass die Daten durch die Beklagte zu 2) als Dienstleister der Beklagten zu 1) verarbeitet worden sind.

Zudem kann das Gericht keinen schuldhaften Verstoß der Beklagten gegen die DSGVO annehmen. Insbesondere kann ein schuldhafter Verstoß gegen Art. 5 Abs. 1 lit. f), 24, 32 DSGVO nicht angenommen werden.

Nach Art. 5 Abs. 1 f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, wobei dies der Verantwortliche nach Art. 5 Abs. 2 DSGVO nachzuweisen hat. Nach Art. 24 Abs. 1 S. 1 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Nach Art. 24 Abs. 2 DSGVO müssen diese Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und zwar unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Die DSGVO verlangt ein Risikomanagementsystem einzuführen, aber nicht die Beseitigung des Risikos von Verletzungen des Schutzes personenbezogener Daten (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Aus dem Wortlaut der Art. 24 und 32 DSGVO ergibt sich, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf geeignet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 30, juris). Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Dabei steht dem Verantwortlichen ein gewisser Entscheidungsspielraum zu (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 43, juris).

Die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 f) und Art. 32 DSGVO gewährleisten, obliegt dem für die betreffende Verarbeitung Verantwortlichen (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 52, juris). Wenn eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 f), Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 71, juris). Hackerangriffe oder Datenlecks entlasten (nur), wenn der Verantwortliche die übliche Sorgfalt zum Schutz der Daten angewendet hat, wobei zu berücksichtigen ist, dass die DSGVO nicht erfordert, alle theoretisch möglichen Schutzvorkehrungen vorzusehen (Quaas, in: BeckOK DatenschutzR, 51. Edition Stand: 01.02.2025, Art. 82, Rn. 18).

Ein pflichtwidriger Verstoß der Beklagten gegen die DSGVO kann vor diesem Hintergrund nicht festgestellt werden. Die Beklagten haben die Einhaltung ihrer datenschutzrechtlichen Pflichten substantiiert und ausführlich dargelegt, dies vermag die Klägerin mit ihrem bloßen Bestreiten nicht zu entkräften. Die Klägerin unterliegt vielmehr irrig der Annahme, der erfolgreiche Angriff liefere ein belastbares Indiz für unzureichende technische und organisatorische Maßnahmen im Vorfeld. Ein derartiger Rückschluss ist jedoch verfehlt (vgl. dazu OLG Stuttgart, BeckRS 2021, 6282 Rn. 52). Soweit sie darauf abstellt, dass die Beklagten weitere technische Maßnahmen hätten ergreifen können, wovon sie einige aufzählt, ergibt sich hieraus keine Umsetzungspflicht, deren Nichteinhaltung einen datenschutzrechtlichen Verstoß begründen kann. Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern (vgl. EuGH ZD 2024, 150, 152 Rn. 30 f.). Dies ist nicht gleichbedeutend mit sämtlichen, den Stand der Technik erschöpfenden Maßnahmen. Unzureichend wären die von den Beklagten beschriebenen TOM nur dann, wenn sich zuvor konkrete Anhaltspunkte für die Fehleranfälligkeit der - zum Zeitpunkt des Vorfalls - marktführenden G.-Anwendung ergeben hätten. Die Klägerin behauptet insoweit pauschal und ohne nähere Darlegung. Sie verweist hierzu auf einen unergiebigen öffentlichen Beitrag sowie auf sog. CVE-Einträge einer Fehlerdatenbank. Daraus ergibt sich indes nicht, ob die Beklagten diese Umstände vor dem Cyberangriff konkret wahrgenommen haben oder hätten wahrnehmen müssen, da insbesondere die letztgenannte Quelle vielmehr dafür spricht, dass das Programm seitens des Herstellers regelmäßig überprüft und sicherheitstechnisch weiterentwickelt wurde und wird. Gegen die Annahme, dass die Beklagten entsprechende Bedenken hätten haben müssen, spricht der Umstand, dass weltweit ca. 2.500 Unternehmen und Institutionen dem - insoweit unvorhergesehenen - sog. „zero-day-exploit“ zum Opfer fielen. Die Beklagte zu 1) hatte keinen Anlass zur verstärkten Kontrolle der Beklagten zu 2), Zweifel an der Eignung der Beklagten zu 2) als Auftragsverarbeiterin wurden nicht vorgetragen.

Selbst wenn man einen Verstoß unterstellen würde, würde dies vorliegend nicht zu einem Schmerzensgeldanspruch führen. Den der Vortrag bzgl. der Sorgen, Ängste und des Gefühls eines Kontrollverlustes bleibt vollkommen unsubstantiiert. Auch fehlt hinreichender Vortrag zur Kausalität der behaupteten Datenschutzverstöße für die Schäden. Der Anspruch auf Schadensersatz gemäß Art. 82 Art. 1, 2 DSGVO resultiert nicht allein aus einem - mit dem Vorfall eines Datenmissbrauchs stets einhergehenden - Kontrollverlust. Erforderlich ist vielmehr ein konkreter, tatsächlicher und darüberhinausgehender Schaden. Die von der Klägerin vorgetragenen Sorgen und Ängste um ihre erhöhte Risikoanfälligkeit sind innere Vorgänge, die unter Heranziehung von Beweiszeichen objektiver Art näher darzulegen sind (vgl. LG Mainz GRUR-RS 2024, 42662 Rn. 28; OLG Hamm GRUR 2023, 1791). Alltägliche, negative Empfindungen allein begründen keinen ersatzfähigen (psychischen) Schaden. Der Vortrag der Klägerin, sie erhielte seit dem Vorfall vermehrt unerwünschte Anrufe, SMS sowie Spam-E-Mails, ist unschlüssig, da sie eine Betroffenheit dieser Datentypen bereits nicht hinreichend darlegt und derartige Kontaktversuche - wie allgemein bekannt - auch anlasslose, unregelmäßige Vorkommnisse des Alltags sein können. Es entspricht der allgemeinen Lebenswirklichkeit, dass man von derartigen Kontaktversuchen betroffen ist. Im Übrigen hat die Klägerin auch nicht vorgetragen, ihre E-Mail oder Telefonnummer in Reaktion hierauf ausgetauscht, oder ihr Verhalten im Internet anderweitig angepasst zu haben, was diese Vorfälle - als objektives Beweiszeichen - hätte plausibilisieren können.

In der Folge besteht auch kein Zinsanspruch.

Der Klageantrag zu 2) ist bereits unzulässig. Er ist weder hinreichend bestimmt noch besteht ein Feststellungsinteresse.

Ein Klageantrag ist i.S.v. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, VersR 2021, 795 Rn. 15). Dabei ist die Verwendung auslegungsbedürftiger Begriffe im Klageantrag zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteile vom 2. Juni 2022 - I ZR 140/15, BGHZ 234, 56 Rn. 26; vom 9. September 2021 - I ZR 113/20, GRUR 2021, 1425 Rn. 12 mwN). Bei einem - wie vorliegend - auf Vornahme einer Handlung gerichteten Antrag muss deren Art und Umfang bestimmt bezeichnet sein (Anders, in: Anders/Gehle, ZPO, 83. Aufl. 2025, § 253 Rn. 48).

Daran gemessen ist der Klageantrag zu 1) nicht hinreichend bestimmt. Die begehrte Feststellung bezieht sich auf die Verpflichtung, den „unbefugten Zugriff Dritter (…) zu verhindern“. Es ist jedoch auch unter Zugrundelegung des Vortrages der Klägerin nicht ersichtlich, in welchen Fällen konkret von einem unbefugten Zugriff durch Dritte auszugehen ist und welche Voraussetzungen eine „geeignete Datentransfer Software“ dementsprechend zu erfüllen hätte. Dies gilt insbesondere vor dem Hintergrund, dass die DSGVO ein risikobasiertes Maßnahmenkonzept vorschreibt und gerade nicht die Beseitigung jedweden Risikos von Verletzungen der personenbezogenen Daten verlangt (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Der Klageantrag lässt sich damit nicht in einer Weise auslegen, dass die Klägerin eine nach Art und Umfang hinreichend bestimmte Handlung begehrt, was den Streit in unzulässiger Weise in die Zwangsvollstreckung verlagern würde (vgl. zum Begriff „unbefugter Dritter“ auch BGH, Urteil v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910, Rn. 56, 58).

Überdies ist der Klageantrag zu 2) auch mangels Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO unzulässig. Ein Interesse an der Feststellung einer Ersatzpflicht für künftige Schäden rein materieller Art - wie sie die Klägerin vorliegend mit dem Antrag zu 2) geltend macht - hängt von der Wahrscheinlichkeit des ausstehenden Schadenseintritts ab (OLG Brandenburg BeckRS 2020, 42937 Rn. 3). Ist hingegen bei verständiger Würdigung des Einzelfalls nicht mit dem Eintritt eines künftigen Schadens zu rechnen, so ist bereits eine derartige Möglichkeit zu verneinen (OLG Hamm GRUR 2023, 1793, 1803 Rn. 192ff.). Die Klägerin hat vorliegend keine Umstände vorgetragen, die den Eintritt künftiger Schäden über eine bloß theoretische Befürchtung hinaus wahrscheinlich werden lassen. Die Sicherheitslücke konnte durch ein Herstellerupdate am 02.06.2023 behoben werden. Seit dem knapp 2 ½ Jahre zurückliegenden Vorfall vom 31.05.2023 hat die Klägerin keine materiellen Schäden erlitten. Dabei verringert sich eine solche Möglichkeit stetig mit fortschreitendem Zeitablauf (OLG Köln GruR-RS 2023, 36757 Rn. 54). Die pauschalen Ausführungen der Klägerin zu hypothetisch erhöhten Risiken - die sich teilweise auf Daten beziehen, die dem Angriff bereits nicht anheimfielen - ändern hieran nichts. Gegen die Annahme, dass die Klägerin selbst mit künftigen Vermögensschäden rechnet, spricht auch, dass die Klägerin nicht vorträgt, entsprechende Schutzvorkehrungen getroffen zu haben, etwa durch Änderung ihrer Rufnummer, E-Mail-Adresse oder Bankverbindung. Schließlich trägt die Klägerin selbst vor, zum jetzigen Zeitpunkt noch nicht absehen zu können, welche Folgen durch die entwendeten persönlichen Daten eintreten werden.

Den Volltext der Entscheidung finden Sie hier:

VG Düsseldorf: DSGVO-Verstoß durch Löschung der Daten vor Erfüllung eines bereits geltend gemachten Auskunftsanspruchs gemäß Art. 15 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 18 Feb 2026 18:31:00 +0100

VG Düsseldorf
Gerichtsbescheid vom 21.01.2026
29 K 7470/24

Das VG Düsseldorf hat entschieden, dass ein DSGVO-Verstoß durch Löschung der Daten vor Erfüllung eines bereits geltend gemachten Auskunftsanspruchs gemäß Art. 15 DSGVO vorliegt.

Aus den Entscheidungsgründen:
Der angefochtene Bescheid erweist sich auch in materieller Hinsicht als rechtmäßig.

Die Voraussetzungen von Art. 58 Abs. 2 Buchst. b DSGVO liegen vor. Nach dieser Vorschrift verfügt jede Aufsichtsbehörde über die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die Datenschutz-Grundverordnung verstoßen hat.

Die tatbestandlichen Voraussetzungen für die ausgesprochene Verwarnung liegen vor. Die Klägerin hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die personenbezogenen Daten des Beschwerdeführers nach der Stellung des Auskunftsantrags nicht weiter gespeichert hat. Die Löschung der Daten trotz der Verpflichtung der Klägerin zur Auskunftserteilung war rechtswidrig.

Die Löschung von Daten stellt einen Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 DSGVO. Die Verarbeitung betrifft personenbezogene Daten nach Art. 4 Nr. 1 DSGVO, nämlich solche, die sich auf eine identifizierte natürliche Person, den Beschwerdeführer, beziehen.

Die Klägerin hat die personenbezogenen Daten als Verantwortliche im Sinne von Art. 58 Abs. 2 b, Art. 4 Nr. 7 Halbsatz 1 DSGVO verarbeitet. Sie hat sowohl die Versendung der an die E-Mail-Adresse des Beschwerdeführers gerichteten Werbe-E-Mails als auch die Löschung von dessen personenbezogenen Daten veranlasst.

Als Verantwortliche muss die Klägerin nach Art. 5 Abs. 2 DS-GVO iVm Art. 5 Abs. 1 lit. a DS-GVO sicherstellen, dass die von ihr durchgeführte Datenverarbeitung rechtmäßig ist.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 54.

Die Rechtmäßigkeit der Verarbeitung wird in Art. 6 DSGVO geregelt. Die Liste der darin genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend, sodass eine Verarbeitung unter einen der in Art. 6 Abs. 1 UAbs. 1 DSGVO vorgesehenen Fälle subsumierbar sein muss, um als rechtmäßig angesehen werden zu können.

Vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22 -, ZD 2023,606, Rn. 56.

Danach war die Löschung der personenbezogenen Daten rechtswidrig, weil für diese Verarbeitung keine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt waren. In Betracht kommen dabei allein die Tatbestände in Art. 6 Abs. 1 UAbs. 1 lit. a) und lit. c) DSGVO. Die Verarbeitung in Form der Löschung ist weder für die Erfüllung eines Vertrages (lit. b)) noch zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich (lit.d)). Die Klägerin nimmt auch keine Aufgabe wahr, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihr übertragen wurde) (lit. e)). Schließlich liegen auch keinerlei Anhaltspunkte dafür vor, dass die Löschung zur Wahrnehmung der berechtigten Interessen der Klägerin erforderlich gewesen sein könnte (lit. f)).

Eine Einwilligung des betroffenen Beschwerdeführers zu der Verarbeitung in Form der Löschung seiner personenbezogenen Daten gemäß Art. 6 Abs. 1 UAbs. lit. a) DSGVO liegt nicht vor. Sein ausdrücklich als Bitte um Auskunftserteilung bezeichnetes Schreiben vom 26. August 2022 kann ersichtlich nicht als Einwilligung zur Löschung seiner Daten nicht verstanden werden. Dasselbe gilt für die Erinnerung an das Auskunftsersuchen vom 26. September 2022.

Die Löschung war auch nicht zur Erfüllung einer rechtlichen Verpflichtung der Klägerin erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. c)). Ein Löschungsbegehren hat der Beschwerdeführer nicht geäußert. Es traf auch keiner der Gründe zu, die nach Art. 17 Abs. 1 DSGVO zu einer Verpflichtung des Verantwortlichen zur unverzüglichen Löschung personenbezogener Daten führen.

Die personenbezogenen Daten waren für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, weiter notwendig (Art. 17 Abs. 1 lit. a) DSGVO. Aus dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO, dem - wie die anderen Grundsätze des Art. 5 DSGVO auch - jede Datenverarbeitung entsprechen muss, kann die Klägerin daher nichts für sich herleiten.

Der ursprünglich auf E-Mail-Marketing gerichtete Zweck der Datenverarbeitung dürfte bereits nicht entfallen sein. Der Beschwerdeführer hat lediglich einen Auskunftsantrag gestellt und mit seinen Schreiben, anders als die Klägerin behauptet, an keiner Stelle kundgetan, dass er keine Werbemails mehr wünsche. Ausgehend von der angeblich erteilten Einwilligung des Beschwerdeführers in die Nutzung und Verarbeitung seiner personenbezogenen Daten für Werbezwecke per E-Mail (Bl. 75 der Beiakte Heft 1) durfte die Klägerin im Gegenteil davon ausgehen, weiter Werbemails versenden zu dürfen. Das zeigt, dass es sich um eine reine Schutzbehauptung handelt.

Ungeachtet dessen war die Datenverarbeitung aber nach Stellung des Auskunftsantrags für die Zwecke der Erfüllung der Auskunftsverpflichtung notwendig. Zum Zeitpunkt der Löschung war das Auskunftsverlangen des Beschwerdeführers noch nicht erfüllt.

Die Erfüllung der Pflicht aus Art. 12 Abs. 1 bis 3 DSGVO setzt die fortgesetzte Datenverarbeitung in Form der Speicherung der personenbezogenen Daten bis zur Erfüllung des Auskunftsbegehrens voraus. Die Mitteilungen gemäß Art. 15 DSGVO z.B. zu den Bearbeitungszwecken oder den Kategorien der verarbeiteten personenbezogenen Daten können nur übermittelt werden, wenn der Verantwortliche noch über die personenbezogenen Daten verfügt. Es spricht viel dafür, dass die personenbezogenen Daten, auf die die Auskunft zielt, so lange gespeichert werden müssen, bis die betroffene Person Gelegenheit hatte, die Rechtmäßigkeit der Verarbeitung zu überprüfen (vgl. Erwägungsgrund 63). Wie lange personenbezogene Daten zur Erfüllung eines Auskunftsbegehrens gespeichert werden müssen, braucht hier jedoch nicht entschieden zu werden. Denn jedenfalls tritt Erfüllung der Informationspflicht des Verantwortlichen und mit ihr der Wegfall des Zwecks der Verarbeitung frühestens ein, nachdem dem Antragsteller die begehrten Informationen vollständig und innerhalb der maßgeblichen Frist zur Verfügung gestellt wurden (Art. 12 Abs. 1, Abs. 3 Satz 1 DSGVO). Die Klägerin hat vorliegend die Daten aber bereits gelöscht, bevor dem Beschwerdeführer die Auskunft übermittelt worden ist. Mit Übersendung der als Datenschutzauskunft bezeichneten Daten hat die Klägerin bereits die Löschung der Daten in ihrer Datenbank bestätigt.

Einen Widerspruch gegen die Verarbeitung (Art. 17 Abs. 1 lit. c) DSGVO) hat der Beschwerdeführer ebenfalls nicht eingelegt, auch wenn die Klägerin die Schreiben des Beschwerdeführers als solchen bezeichnet. Das nur aus konkreten Fragen bestehende Schreiben vom 26. August 2022 sowie die Erinnerung an das Auskunftsersuchen vom 26. September 2022 enthalten keinerlei Anhaltspunkte dafür, dass der Beschwerdeführer keine Werbemails mehr wünscht oder dass er der Verarbeitung widerspricht.

Auch die anderen in Art. 17 Abs. 1 DSGVO genannten Gründe treffen nicht zu. Ein Widerruf der Einwilligung ist nicht ersichtlich (Art. 17 Abs. 1 lit. b) DSGVO). Die personenbezogenen Daten wurden aus Sicht der Klägerin auch nicht unrechtmäßig verarbeitet (Art. 17 Abs. 1 lit. d) DSGVO). Vielmehr stützt sie sich, wie die „Datenschutzauskunft“ zeigt, gerade auf eine angebliche Einwilligung des Beschwerdeführers in die Verarbeitung seiner personenbezogenen Daten. Eine rechtliche Verpflichtung nach Art. 17 Abs. 1 lit. e) DSGVO ist nicht ersichtlich. Ebenso wenig wurden die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 erhoben (Art. 17 Abs. 1 lit. f) DSGVO).

Die Klägerin kann die vorgenommene Löschung der personenbezogenen Daten des Beschwerdeführers schließlich nicht auf Art. 5 Abs. 1 lit. d) DSGVO und eine angebliche sachliche Unrichtigkeit der Daten stützen. Die personenbezogenen Daten des Beschwerdeführers waren im Gegenteil sachlich richtig, und zwar sowohl im Hinblick auf Werbezwecke als auch zum Zwecke der Informationserteilung. Wie die Klägerin den beiden der Löschung vorangegangenen Schreiben des Beschwerdeführers entnommen haben will, dass die Daten nicht von ihm sein könnten, ist nicht nachvollziehbar und offensichtlich vorgeschoben.

Die Verwarnung begegnet auch auf der Rechtsfolgenseite keinen durchgreifenden rechtlichen Bedenken. Die Beklagte hat das ihr nach Art. 58 Abs. 2 DSGVO eingeräumte Ermessen fehlerfrei ausgeübt (§ 114 Satz 1 VwGO). Insbesondere ist ein Verstoß gegen den Grundsatz der Verhältnismäßigkeit, der bei der Auswahl der nach Art. 58 Abs. 2 DSGVO zur Verfügung stehenden Maßnahmen zu beachten ist,

vgl. OVG NRW, Urteil vom 15. Juni 2022 - 16 A 857/21 -, juris Rn. 147,

nicht zu erkennen. Die Verwarnung dient dem Zweck der Datenschutz-Grundverordnung, eine einheitliche Überwachung und Durchsetzung der Verordnung in der gesamten Union sicherzustellen (vgl. Erwägungsgrund 129 Satz 1 DSGVO). Durch die ihr zukommende Warnfunktion ist sie auch geeignet, datenschutzkonforme Zustände herzustellen. Sie ist des Weiteren auch erforderlich. Mit der Verwarnung hat die Beklagte das mildeste Abhilfeinstrumentarium im Maßnahmenkatalog des Art. 58 Abs. 2 DSGVO gewählt. Die Anordnung ist schließlich auch angemessen, d. h. verhältnismäßig im engeren Sinn. Die Verwarnung stellt sich als geringfügiger Eingriff in die Rechte der Klägerin dar, da mit ihr insbesondere keine unmittelbaren finanziellen Nachteile verbunden sind.

Vorsorglich weist das Gericht darauf hin, dass in Fällen wie dem vorliegenden auch die Verhängung eines Bußgeldes gemäß Art. 58 Abs. 2 i DSGVO gerechtfertigt sein dürfte. Denn es ist zu berücksichtigen, dass die Klägerin mit der Löschung nicht nur die Überprüfung der Richtigkeit und Vollständigkeit der Datenschutzauskunft, sondern auch die Überprüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten des Beschwerdeführers vereitelt hat. Es spricht alles dafür, dass dies beabsichtigt war. Die Klägerin hat die personenbezogenen Daten des Beschwerdeführers angeblich mit dessen Einwilligung verarbeitet, und durfte damit von der Rechtmäßigkeit der Datenverarbeitung ausgehen. Es gab also keinen Grund zur Löschung, es sei denn, die Daten sind tatsächlich rechtswidrig erhoben worden.

Den Volltext der Entscheidung finden Sie hier:

AG Düsseldorf: Vernetzung bei Linkedin oder anderen sozialen Netzwerken ist keine Einwilligung in die Zusendung von E-Mail-Werbung

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 15 Jan 2026 16:48:00 +0100

AG Düsseldorf
Urteil vom 20.11.2025
23 C 120/25

Das AG Düsseldorf hat entschieden, dass die Vernetzung bei Linkedin oder anderen sozialen Netzwerken ist keine Einwilligung in die Zusendung von E-Mail-Werbung

Aus den Enstcheidungsgründen:
Die nach § 7 Abs. 2 Nr. 2 UWG genannten Maßnahmen der Direktwerbung sind stets als unzumutbare Belästigung anzusehen, wenn nicht eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt. An das Vorliegen einer solchen Einwilligung sind – wie bei der Telefonwerbung – strenge Anforderungen zu stellen.

Eine solche Maßnahme der Direktwerbung liegt vor, da die Werbung mittels elektronischer Post erfolgt.

Die Anforderungen an die Einwilligung, ist durch eine unionsrechtskonforme Auslegung zu ermitteln.

Gem. Art. 2 Abs. 2 lit. f RL 2002/58/EG ist unter „Einwilligung“ eines Nutzers oder Teilnehmers die Einwilligung der betroffenen Person iSd RL 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zu verstehen. Nach Art. 2 lit. h RL 95/46/EG ist eine „Einwilligung der betroffenen Person“ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.

Die RL 95/46/EG ist gem. Art. 94 Abs. 1 VO (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (DS-GVO) aufgehoben worden. Gem. Art. 94 Abs. 2 DS-GVO gelten nunmehr Verweise auf die aufgehobene RL als Verweise auf die DS-GVO. Nach Art. 4 Nr. 11 DS-GVO bezeichnet der Ausdruck „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (vgl. BGH, Urt. v. 13.1.2022 – I ZR 25/19).

Eine ausdrückliche Einwilligung liegt nicht vor.

Mit dem Erfordernis der ausdrücklichen Einwilligung soll zum Ausdruck gebracht werden, dass eine konkludente Einwilligung nicht ausreicht. Eine mutmaßliche Einwilligung reicht ebenfalls nicht aus (vgl. Köhler, in: Köhler/Feddersen, UWG, § 7 Rn. 250). Es kann demnach dahinstehen, welche Rückschlüsse auf das Bestehen einer mutmaßlichen Einwilligung aus einem (indirekten) Kontakt auf LinkedIn gezogen werden können.

c. Auch liegen die Voraussetzungen des § 7 Abs. 3 UWG nicht vor. Eine unzumutbare Belästigung mit einer Werbung unter Verwendung von elektronischer Post ist nicht anzunehmen, wenn er (1) die elektronische Postadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat, (2) er diese Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet, (3) der Kunde der Verwendung nicht widersprochen hat und (4) der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Die Voraussetzungen liegen nicht vor, da der Beklagte die E-Mail-Adresse unstreitig nicht im Zusammenhang mit dem Verkauf von Ware oder Dienstleistung erhalten hat.

d. Der Eingriff in das Recht der Klägerin am eingerichteten und ausgeübten Gewerbebetrieb ist auch im Übrigen rechtswidrig.

Die Abwägung der widerstreitenden Interessen der Parteien geht zulasten des Beklagten aus, wie sich aus der Wertung des § 7 Abs. 2 UWG ergibt. Das Interesse der Klägerin überwiegt das Interesse des Beklagten, der Klägerin Werbung mit elektronischer Post ohne ihr Einverständnis zuzuleiten. Der Schutz der geschäftlichen Sphäre, so auch die Ungestörtheit der Betriebsabläufe, ist vorrangig gegenüber dem ökonomischen Interessen von anderen Gewerbetreibenden. Eine andere Beurteilung ergibt sich auch nicht daraus, dass sich die Klägerin auf sozialen Netzwerken präsentiert und verknüpft. Unstreitig erfolgte die Werbung nicht über das soziale Netzwerk, sondern mittels eines anderen Kommunikationsweges – nämlich der E-Mail. Dass die Präsentation auf sozialen Netzwerken den Eingriff in die Betriebsabläufe durch die ungewollte Werbung auf einem anderen Kommunikationskanal weniger intensiv macht, ist nicht ersichtlich.

e. Die für den Unterlassungsanspruch erforderliche Wiederholungsgefahr wird durch das festgestellte rechtsverletzende Verhalten der Beklagten indiziert (vgl. BGH, NJW 2016, 870). Die Wiederholungsgefahr hätte nur durch Abgabe einer strafbewehrten Unterlassungserklärung ausgeräumt werden können (vgl. BGH GRUR 1985, 155, 156). Die gegenüber der Klägerin abgegebene Unterlassungserklärung im Rahmen des Prozesses ist nicht geeignet, die Wiederholungsgefahr zu beseitigen, da sie nicht strafbewehrt ist. Die Wiederholungsgefahr entfällt deshalb auch nicht durch die behauptete Entnahme der Klägerin aus dem Verteiler, da der Klägerin keine Sanktionsmöglichkeit für den Fall der Zuwiderhandlung gegenüber dem Beklagten zusteht.

2. Der Klägerin steht ein Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten gem. § 823 BGB in Höhe von 453,87 € zu.

Ebenso wie im Wettbewerbsrecht hat der Verletzte, der seinen Unterlassungsanspruch auf §§ 823 Abs. 1, 1004 Abs. 1 S. 2 BGB stützt, grundsätzlich einen Anspruch auf Erstattung der Abmahnkosten, wenn die Abmahnung begründet war. Lässt sich der Verletzte bei der Abmahnung anwaltlich vertreten, so hat der Verletzer die gesetzlichen Gebühren des Rechtsanwalts nach dem Rechtsanwaltsvergütungsgesetz zu tragen, wenn die Beauftragung eines Rechtsanwalts zur Wahrnehmung der Rechte erforderlich und zweckmäßig war (vgl. BGH, GRUR 2013, 1259). Die Abmahnung diente der vorgerichtlichen Rechtsverfolgung und sollte die entstandene Wiederholungsgefahr im Wege der Aufforderung zur Abgabe einer strafbewehrten Unterlassungserklärung ausräumen. Eine eigene Sachkunde des Abmahnenden, die die Beauftragung eines Rechtsanwalts nicht notwendig erscheinen lassen könnte, ist weder ersichtlich noch dargelegt. Die Einschaltung des Rechtsanwalts war auch erforderlich, denn die vom Beklagten aufgezeigten Alternativen in Form der Abmeldung vom Newsletter oder der Einschaltung der Bundesnetzagentur führen nicht dazu, dass die Klägerin einen Anspruch aus der strafbewehrten Unterlassungserklärung im direkten Verhältnis zum Beklagten erhält.

Auch die Höhe der vorgerichtlichen Rechtsanwaltskosten ist nicht zu beanstanden. Die Kosten sind der Höhe nach auf den Streitwert von 3.500 € erforderlich (Geschäftsgebühr Nr. 2300 VV RVG 361,40 €; Auslagen Nr. 7001, 7002 VV RVG 20 €, Umsatzsteuer 72,47 €).

Bei einem Anspruch auf Unterlassen des Zusendens von Werbe-Emails bemisst sich der Streitwert anhand des Interesses des Klägers, nicht von Werbe-Emails belästigt zu werden. Die Kontaktaufnahme mit der Klägerin auf ihrer beruflichen E-Mail-Adresse stellt eine nicht unwesentliche Belästigung in ihrem Geschäftsbetrieb dar. Es handelt sich um zwei Verstöße, sodass die Streitwertfestsetzung von 3.500 € angemessen ist (vgl. AG Düsseldorf, Urt. v. 09.05.2025 – 230 C 288/24, OLG Dresden K&R 2024, 673).

Es kann dabei dahinstehen, ob eine Rechnung durch den klägerischen Prozessbevollmächtigten erstellt wurde.

Nach § 10 Abs. 1 Satz 1 RVG kann der Rechtsanwalt die Vergütung nur aufgrund einer von ihm unterzeichneten und dem Auftraggeber mitgeteilten Berechnung einfordern. Eine Mitteilung der Berechnung in der Vergütungsklageschrift oder einem anderen Prozessschriftsatz reicht aber aus. Für diese kommt es nur darauf an, dass die Berechnung dem Mandanten eine Überprüfung ermöglicht und damit gegebenenfalls Grundlage einer gerichtlichen Auseinandersetzung sein kann (vgl. OLG Düsseldorf, Urt. v. 08.02.2011 24 U 112/09). Diese erforderlichen Informationen sind der Klageschrift beigefügt und der Klägerin damit bekannt. Darüber hinaus kann sich der Dritte nicht darauf berufen, dass der Rechtsanwalt gegenüber dem Mandanten noch keine Kostennote i.S.d. § 10 RVG gestellt hat, da § 10 RVG nur das Verhältnis des Mandanten zum Rechtsanwalt betrifft (vgl. OLG München, Urt. v. 23.05.2014 – 10 U 5007/13).

Ebenfalls dahinstehen kann, ob die Klägerin die Forderung bereits beglichen hat. Der Befreiungsanspruch, der sodann zunächst gegen den Beklagten bestand, hat sich in einen Zahlungsanspruch umgewandelt. Der Beklagte hat die Erfüllung dieses Anspruchs spätestens durch ihr Verhalten im Prozess ernsthaft und endgültig verweigert (vgl. BGH, Urt. v. 09.07.2015 – I ZR 224/13).

Den Volltext der Entscheidung finden Sie hier:

EuGH: Art. 13 Abs. 2 ePrivacy-Richtlinie geht Art. 6 DSGVO vor - Einrichtung eines kostenlosen Nutzerkontos ist "Verkauf" i.S.d. ePrivacy-Richtlinie

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 18 Nov 2025 16:00:00 +0100

EuGH
Urteil vom 13.11.2025
C‑654/23

Der EuGH hat entschieden, dass Art. 13 Abs. 2 ePrivacy-Richtlinie in seinem Geltungsbreicht Vorrang vor Art. 6 DSGVO hat. Zudem hat der EuGH entschieden, dass bereits die Einrichtung eines kostenlosen Nutzerkontos ein "Verkauf" i.S.d. ePrivacy-Richtlinie ist.

Tenor der Entscheidung:
1. Art. 13 Abs. 1 und 2 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung

ist dahin auszulegen, dass

die E‑Mail-Adresse eines Nutzers vom Herausgeber eines Onlinemediums „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“ im Sinne von Art. 13 Abs. 2 erhalten worden ist, wenn dieser Nutzer ein kostenloses Konto auf seiner Online-Plattform einrichtet, das ihm das Recht gibt, kostenlos auf eine bestimmte Anzahl von Artikeln dieses Mediums zuzugreifen, kostenlos per E‑Mail einen täglichen Newsletter zu erhalten, der eine Zusammenfassung der in Artikeln dieses Mediums behandelten gesetzgeberischen Neuerungen einschließlich Hyperlinks zu diesen Artikeln enthält, und gegen Bezahlung auf zusätzliche Artikel und Analysen dieses Mediums zuzugreifen. Die Übermittlung eines solchen Newsletters stellt eine Verwendung elektronischer Post „zur Direktwerbung“ für „ähnliche Produkte oder Dienstleistungen“ im Sinne von Art. 13 Abs. 2 dar.

2. Art. 13 Abs. 2 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 95 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass

die in Art. 6 Abs. 1 dieser Verordnung vorgesehenen Voraussetzungen für die Rechtmäßigkeit der Verarbeitung nicht gelten, wenn der Verantwortliche die E‑Mail-Adresse eines Nutzers verwendet, um ihm eine unerbetene Nachricht gemäß diesem Art. 13 Abs. 2 zu senden.

3. Die dritte von der Curtea de Apel Bucureşti (Berufungsgericht Bukarest, Rumänien) gestellte Frage ist unzulässig.

Den Volltext der Entscheidung finden Sie hier:

Volltext BVerwG liegt vor: Verarbeitung von Telefonnummern aus allgemein zugänglichen Verzeichnissen für unzulässige Telefonwerbung nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckt

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 17 Apr 2025 12:07:00 +0200

BVerwG
Urteil vom 29.01.2025
6 C 3.23
Verarbeitung der Kontaktdaten von Zahnarztpraxen zum Zweck der Telefonwerbung ohne Einwilligung

Wir hatten bereits in dem Beitrag BVerwG: Verarbeitung von Telefonnummern aus allgemein zugänglichen Verzeichnissen zum Zweck von nach § 7 UWG unzulässiger Telefonwerbung nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckt über die Entscheidung berichtet.

Leitsätze des Bundesverwaltungsgerichts:
1. Im Rahmen der Entscheidung über die Begründetheit eines Antrags auf Wiederaufgreifen des Verfahrens nach § 51 Abs. 1 Nr. 1 Alt. 2 SVwVfG hat das Gericht grundsätzlich abschließend zu prüfen, ob an dem unanfechtbaren Verwaltungsakt auf der Grundlage der neuen Rechtslage festzuhalten ist.

2. Bei der Beurteilung, ob die Verarbeitung personenbezogener Daten zum Zweck der Telefonwerbung zur Wahrung eines "berechtigten Interesses" im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO erfolgt, sind die Wertungen des § 7 Abs. 2 Nr. 1 UWG, der die Vorgaben des Art. 13 der Richtlinie 2002/58/EG umsetzt, zu berücksichtigen.

Den Volltext der Entscheidung finden Sie hier:

LG Erfurt legt EuGH Fragen zum Schadensersatz aus Art. 82 DSGVO bei Kontrollverlust im Zusammenhang mit Facebook-Scraping vor

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Fri, 11 Apr 2025 19:06:00 +0200

LG Erfurt
Beschluss vom 03.04.2025
8 O 895/23

Das LG Erfurt hat dem EuGH Fragen zum Schadensersatz aus Art. 82 DSGVO bei Kontrollverlust im Zusammenhang mit Facebook-Scraping zur Vorabentscheidung vorgelegt.

Tenor:
Das Ausgangsverfahren wird ausgesetzt. Dem Gerichtshof der Europäischen Union werden gemäß Art. 267 AEUV die folgenden Fragen zur Auslegung von Art. 56 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) und der Datenschutz-Grundverordnung (DSGVO) vorgelegt:

Frage 1
Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass ein nationales Gericht bei einem Verstoß gegen die DSGVO einer betroffenen Person Schadensersatz zusprechen muss, die lediglich nachgewiesen hat, dass ein Dritter (und nicht der beklagte datenschutzrechtlich Verantwortliche) ihre personenbezogenen Daten im Internet veröffentlicht hat? Mit anderen Worten: Stellt der bloße und ggf. nur kurzzeitige Verlust der Kontrolle über eigene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO dar?

Frage 2
Falls Frage 1 bejaht wird: Inwieweit unterscheidet sich die Antwort oder macht es einen Unterschied, wenn die veröffentlichten Daten nur aus bestimmten personenbezogenen Daten bestehen (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), welche die betroffene Person bereits selbst im Internet veröffentlicht hatte, in Verbindung mit der Telefonnummer der betroffenen Person, die ein Dritter (bei dem es sich nicht um den beklagten datenschutzrechtlich Verantwortlichen handelt) mit diesen personenbezogenen Daten verknüpft hat?

Aus den Entscheidungsgründen:
I. Gegenstand des Ausgangsverfahrens und zugrundeliegender Sachverhalt

Mit ihrer beim Landgericht Erfurt eingereichten Klage - einem Scraping-Fall - macht die Klägerin immateriellen Schadensersatz und eine Reihe weiterer Ansprüche aufgrund von Verstößen der Beklagten gegen die Datenschutz-Grundverordnung („DSGVO“) geltend. Die Beklagte, deren Sitz in Irland ist, betreibt die Social-Media-Plattform Facebook in Europa („Plattform der Beklagten”).

Die Klägerin unterhält ein Nutzerkonto auf der Plattform der Beklagten. Im Rahmen der Registrierung auf der Plattform der Beklagten müssen Nutzer bestimmte Informationen wie Name und Geschlecht angeben. Diese Informationen (zusammen mit der von der Beklagten generierten Nutzer-ID) sind im Rahmen des Nutzerprofils stets öffentlich einsehbar, worüber Nutzer in Kenntnis gesetzt werden. Diese öffentlichen Nutzerinformationen erleichtern die Kontaktaufnahme mit anderen Menschen. Dies entspricht dem Unternehmenszweck der Plattform der Beklagten, nämlich Menschen die Möglichkeit zu geben, Gemeinschaften zu bilden und die Welt näher zusammenzubringen.

Neben den immer öffentlichen Nutzerinformationen können Nutzer in ihrem Profil nach ihrer individuellen Präferenz weitere Informationen angeben. In diesem Zusammenhang können sie festlegen, welche anderen Gruppen von Nutzern diese Informationen sehen können („Freunde“, [auch] „Freunde von Freunden“, „Öffentlich“). Die Beklagte stellt hierfür Privatsphäre-Einstellungen zur Verfügung, durch die Nutzer bestimmen können, inwieweit von ihnen bereitgestellte Informationen öffentlich einsehbar sein sollen (sog. „Zielgruppenauswahl“). Über die Funktion und Bedeutung dieser Privatsphäre-Einstellungen informierte die Beklagte ihre Nutzer in ihrem Hilfebereich.

Entschied sich ein Nutzer - wie die Klägerin - dafür, seine Telefonnummer anzugeben, war die Standard-Zielgruppenauswahl während des relevanten Zeitraums „Freunde“. Die Telefonnummer war demnach nicht öffentlich einsehbar. Im Hinblick auf die Sichtbarkeit ihrer Handynummer hatte die Klägerin es bei der Standardeinstellung der Beklagten belassen, sodass diese nicht öffentlich sichtbar war.

Die Privatsphäre-Einstellungen auf der Plattform der Beklagten ermöglichten es den Nutzern auch, festzulegen, wer ihre Profile anhand ihrer Telefonnummern suchen kann (sog. „Suchbarkeits-Einstellungen“). Entschied sich ein Nutzer dafür, seine Telefonnummer anzugeben, war die Standard-Suchbarkeitseinstellung während des relevanten Zeitraums „Alle“. Nutzer konnten jedoch ihre Suchbarkeitseinstellungen jederzeit auf „Freunde“, „Freunde von Freunden“ oder (ab Mai 2019) auf „Nur ich“ festlegen. Die letztgenannte Einstellung verhinderte, dass andere Nutzer das betreffende Profil über die Telefonnummer finden konnten.

Die Möglichkeit, das Profil eines Nutzers anhand einer Telefonnummer zu finden, sollte ebenfalls dem Ziel dienen, Menschen miteinander zu verbinden. Die Plattform der Beklagten hat weltweit Milliarden von Nutzern. Die Suche nach einem Nutzerprofil allein anhand des Namens mag daher nicht ausreichen, um einen anderen Nutzer sicher zu identifizieren.

Die Klägerin entschloss sich dazu, ihre Telefonnummer auf der Plattform der Beklagten anzugeben, wobei sie die Standard-Suchbarkeitseinstellung „Alle“ nicht änderte.

Bis September 2019 ermöglichte die sog. Kontakt-Importer-Funktion Nutzern, Kontakte von ihren Mobilgeräten auf der Plattform der Beklagten hochzuladen. Hierdurch konnten die Nutzer diese Kontakte auf der Plattform der Beklagten finden und mit ihnen in Kontakt treten, sofern die Suchbarkeitseinstellungen des gesuchten Nutzers auf „Alle“ eingestellt waren (so wie dies bei der Klagepartei der Fall war).

Über einen bestimmten Zeitraum hinweg haben unbekannte Dritte (sog. „Scraper“), die in keiner Verbindung zur Beklagten standen, über die Kontakt-Importer-Funktion Mobiltelefonnummern hochgeladen. Die Mobiltelefonnummern hatten die Scraper bereits vorher anderweitig (d. h. nicht auf der Plattform der Beklagten) erlangt oder generiert. Wurden beim Hochladen der Telefonnummern Nutzerprofile gefunden, sammelten die unbekannten Dritten die Daten, die in den Profilen der Nutzer öffentlich einsehbar waren, und machten sich diese nutzbar.

Bei der Kontakt-Importer-Funktion handelte es sich um eine regulär vorgesehene Funktion der Plattform der Beklagten. Die Scraper wandten automatisierte Tools an, um diese Funktion auszunutzen und um auf Daten zuzugreifen, die in diesem Fall öffentlich einsehbar waren. Diese ohne Erlaubnis erfolgte Datenerhebung mit automatisierten Tools und Methoden fand während des relevanten Zeitraums statt und war (und ist immer noch) durch die Nutzungsbedingungen der Beklagten untersagt.

Die Scraper sammelten unzulässigerweise öffentlich einsehbare Daten zahlreicher Nutzer, fügten diese den Telefonnummern dieser Nutzer hinzu und veröffentlichten diese Daten in einer Datenbank im Internet bzw. Darknet. Dieses Vorgehen umfasste auch personenbezogene Daten der Klägerin, nämlich deren Telefonnummer in Verbindung mit den aus ihrem öffentlich einsehbaren Profil abgegriffenen Informationen (Nutzer-ID, Vorname, Nachname und Geschlecht).

Die Klägerin fordert unter anderem immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO. Sie bringt vor, sie habe allein aufgrund der Tatsache, dass ihre Daten abgegriffen und in einer Datenbank veröffentlicht wurden, die Kontrolle über diese Daten verloren. Nach Ansicht der Klägerin stellt dieser Kontrollverlust schon als solcher einen immateriellen Schaden dar.

Die Beklagte macht demgegenüber geltend, dass Art. 82 DSGVO nicht dazu diene, vom Scraping betroffenen Personen Schadensersatz zu gewähren, die zwar von Datenschutzverletzungen betroffen sind, aber keinen konkreten, über den bloßen Kontrollverlust hinausgehenden Schaden erlitten haben. Dabei ist die Beklagte der Auffassung, dass der Scraping-Sachverhalt bereits keinen „Datenschutzverstoß“ darstelle. Die Beklagte macht ferner geltend, dass die bloße erneute Veröffentlichung der Daten der Klagepartei – die gemäß ihren individuellen Privatsphäre-Einstellungen bereits vorher öffentlich einsehbar waren – keinen immateriellen Schadensersatz begründen könne.

II. Einschlägige unionsrechtliche Bestimmungen

Art. 82 DSGVO (Haftung und Recht auf Schadensersatz)

Erwägungsgrund 75 DSGVO (Risiken für die Rechte und Freiheiten natürlicher Personen)

Erwägungsgrund 83 S. 3 DSGVO (Sicherheit der Verarbeitung)

Erwägungsgrund 85 S. 1 DSGVO (Pflicht zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde)

III. Relevante nationale Rechtsprechung

Die deutsche Rechtsprechung divergiert zu der Frage, ob der bloße Kontrollverlust einen immateriellen Schaden darstellt. Die bereits vorliegenden Entscheidungen des Gerichtshofes der Europäischen Union werden unterschiedlich interpretiert.

In nahezu identischen Verfahren haben mehrere deutsche Oberlandesgerichte Klagen auf immateriellen Schadensersatz abgewiesen. Sie haben dabei festgestellt, dass die auf Scraping beruhende erneute oder erstmalige Veröffentlichung von Daten und der damit einhergehende Kontrollverlust allein nicht ausreichen, um einen immateriellen Schaden zu begründen.

Der Bundesgerichtshof hat allerdings kürzlich in einem Verfahren wegen des unzulässigen Datenscrapings judiziert, dass ein bloßer und selbst kurzzeitiger Verlust der Kontrolle über eigene personenbezogene Daten schon an sich als immaterieller Schaden im Sinne von Art. 82 DSGVO einzuordnen ist und zu einem, wenn auch überschaubaren, Geldanspruch führt (BGH, Urteil vom 18.11.2024 - VI ZR 10/24). Dies soll somit unabhängig davon gelten, ob die Klagepartei individuelle immaterielle Beeinträchtigungen und Nachteile aufgrund des Kontrollverlusts darlegt und nachweist. Weder muss eine konkrete missbräuchliche Verwendung der Daten zum Nachteil des Betroffenen erfolgt sein, wie ein Identitätsdiebstahl, noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.

Zu dem jedenfalls erforderlichen „Kontrollverlust“ fehlt es allerdings an einer Definition oder näheren Maßgaben.

IV. Entscheidungserheblichkeit und Erläuterung der Vorlagefragen

Die Antworten des Gerichtshofes der Europäischen Union zu den Vorlagefragen sind entscheidungserheblich. Das vorlegende Gericht geht von einem Datenschutzverstoß der Beklagten mit negativen Folgen aus. Es ist jedoch zweifelhaft, ob ein immaterieller Schaden zu bejahen ist. Abhängig davon, ob die bloße - erneute oder erstmalige - Veröffentlichung von personenbezogenen Daten im Internet als immaterieller Schaden eingestuft wird oder nicht, kann das Gericht dem Klageantrag auf immateriellen Schadenersatz entweder (zumindest teilweise) stattgeben oder ihn abweisen.

Insbesondere hält das Gericht eine Klarstellung des Gerichtshofs für erforderlich, ob Art. 82 Abs. 1 DSGVO es einem nationalen Gericht ermöglicht, einer betroffenen Person Schadensersatz zuzusprechen, obwohl diese keinen konkreten und individuellen materiellen oder immateriellen Schaden nachgewiesen hat, wie begründete Befürchtungen eines Missbrauchs oder andere psychische Beeinträchtigungen, sondern sich lediglich darauf beruft, dass ihre Daten im Internet veröffentlicht wurden und sie somit die Kontrolle hierüber verloren habe. Dieser Klarstellung dient die Vorlagefrage zu 1.

Für den Fall, dass die Vorlagefrage zu 1 bejaht wird, ersucht das Gericht mit der Vorlagefrage zu 2. den Gerichtshof um Klärung, ob der Gerichtshof zu einer anderen Einschätzung gelangt, wenn die (erneut) veröffentlichten Daten lediglich aus solchen personenbezogenen Daten bestehen, deren Veröffentlichung im Internet die betroffene Person vorher selbst veranlasst hatte (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), sowie der Telefonnummer der betroffenen Person.

Bei dieser Bewertung könnte zu berücksichtigen sein, dass die unzulässiger Weise abgegriffenen Daten der Klägerin auf deren Nutzerprofil öffentlich einsehbar waren, während die Mobiltelefonnummer der Klägerin weder abgegriffen noch anderweitig aus dem Nutzerprofil der Klagepartei abgerufen wurde. Damit unterscheidet sich dieser Sachverhalt wohl von den Fällen, die bisher Gegenstand von Vorabentscheidungsverfahren zu Art. 82 DSGVO waren. Es stellt sich die Frage, ob die Klägerin nicht bereits vor dem Datenschutzverstoß die Kontrolle über ihre vom Scraping betroffenen personenbezogenen Daten verloren hatte, was zu einem Ausschluss von Ersatzansprüchen führen könnte.

Nach alledem bestehen Zweifel, ob es sich bei der Problematik des „bloßen Kontrollverlustes“ bereits um einen „acte éclairé“ handelt. Die bisherigen Urteile des Gerichtshofes könnten jedenfalls so verstanden werden, dass ein bloßer Kontrollverlust als solcher noch keinen Schaden darstellt, vielmehr - mit höherem Begründungs- und Beweisaufwand - weitere Voraussetzungen und Umstände hinzutreten müssen, wie etwa psychische Beeinträchtigungen oder ein tatsächlicher Missbrauch von Daten (s. nur EuGH, Urteil vom 25.01.2024, C-687/21, Rn. 67, EuGH, Urteil vom 14.12.2023, C-340/21, Rn. 84, und EuGH, Urteil vom 14.12.2023, C-456/22, Rn. 22).

Den Parteien des Ausgangsverfahrens wurde ausgiebig rechtliches Gehör gewährt. Die Befugnis des Einzelrichters, unionsrechtliche Fragestellungen zu würdigen und vor den Gerichtshof zu bringen, beruht auf Art. 267 AEUV (eingehend LG Erfurt, Hinweisbeschluss vom 4. Februar 2025 - 8 O 211/24, juris). Ein Einzelrichter ist nicht gehalten, gemäß § 348 Abs. 3 ZPO seine Kammer zur Entscheidung über eine Übernahme anzurufen. Dies hat Generalanwalt Rantos in einem Dieselfall herausgestellt (EuGH, Schlussanträge des Generalanwalts vom 2. Juni 2022, C-100/21, Rn. 75 ff.):

„Daher bin ich der Ansicht, dass Art. 267 AEUV einer nationalen Regelung entgegensteht, die, wenn ein Einzelrichter meint, dass sich im Rahmen einer bei ihm anhängigen Rechtssache eine Frage nach der Auslegung oder der Gültigkeit des Unionsrechts stellt, die eine Entscheidung des Gerichtshofs erfordert, diesem vorschreibt, diese Frage einer Zivilkammer vorzulegen, und er folglich daran gehindert ist, den Gerichtshof um Vorabentscheidung zu ersuchen.“

Den Volltext der Entscheidung finden Sie hier:

OLG Celle: Widerlegung der Dringlichkeitsvermutung nach § 12 Abs. 1 UWG durch Beantragung und Ausschöpfen einer Fristverlängerung für die Berufungsbegründungsfrist

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Mon, 31 Mar 2025 19:08:00 +0200

OLG Celle
Beschluss vom 17.02.2025
13 U 67/24

Das OLG Celle hat entschieden, dass die Dringlichkeitsvermutung nach § 12 Abs. 1 UWG durch Beantragung und Ausschöpfen einer Fristverlängerung für die Berufungsbegründungsfrist widerlegt wird.

Aus den Entscheidungsgründen:
Das angefochtene Urteil beruht weder auf einem Rechtsfehler (§ 513 Abs. 1, 1. Alt., § 546 ZPO) noch rechtfertigen die nach § 529 ZPO zugrundezulegenden Tatsachen eine andere Entscheidung (§ 529 Abs. 1, 2. Alt. ZPO).

Es dürfte dahingestellt bleiben können, ob in Bezug auf die beiden im Berufungsverfahren noch streitgegenständlichen Äußerungen ein Verfügungsanspruch besteht. Denn jedenfalls dürfte kein Verfügungsgrund (§ 935 ZPO) gegeben sein, weil die insoweit erforderliche Eilbedürftigkeit der Sache nicht anzunehmen ist. Zwar wird für lauterkeitsrechtliche Unterlassungsansprüche die Dringlichkeit gemäß § 12 Abs. 1 UWG vermutet. Die Dringlichkeitsvermutung dürfte jedoch durch die Prozessführung der Verfügungsklägerin in der Berufungsinstanz widerlegt sein.

1. Die Dringlichkeit kann auch noch während des Verfahrens entfallen, wenn der Antragsteller das Verfahren verzögert (Köhler/Feddersen/Köhler/Feddersen, 43. Aufl. 2025, UWG § 12 Rn. 2.16, beck-online). Um die Dringlichkeitsvermutung nicht zu widerlegen, muss der Antragsteller nicht nur das Verfügungsverfahren zügig - nach der Rechtsprechung des Senats binnen Monatsfrist nach Kenntniserlangung vom Verstoß und vom Verletzer - einleiten, sondern gerade auch das Verfügungsverfahren beschleunigt weiter betreiben, soweit er nicht bereits durch eine einstweilige Verfügung gesichert ist (OLG Hamm, Urteil vom 15. März 2011 - 4 U 200/10 -, Rn. 15, juris). Der Antragsteller hat insofern alles in seiner Macht Stehende zu tun, um einen möglichst baldigen Erlass der einstweiligen Verfügung zu erreichen. Von ihm verursachte Verfahrensverzögerungen bei der Erwirkung der einstweiligen Verfügung lassen regelmäßig darauf schließen, dass ihm die Sache nicht so eilig ist (aaO m.w.N.). Dringlichkeitsschädliche Verfahrensverzögerungen können insbesondere vom Antragsteller beantragte Fristverlängerungen oder Terminsverlegungen um einen nicht unerheblichen Zeitraum sein (MüKoUWG/Schlingloff, 3. Aufl. 2022, § 12 Rn. 88).

Streitig ist insoweit, ob es bereits dringlichkeitsschädlich sein kann, wenn der Berufungsführer die gesetzlichen Berufungseinlegungs- und -begründungsfristen voll ausschöpft (vgl. Teplitzky, WRP 2013, 1414 ff.; aA Köhler/Feddersen/Köhler/Feddersen, 43. Aufl. 2025, UWG § 12 Rn. 2.16, beck-online). Nach überwiegender Auffassung in der obergerichtlichen Rechtsprechung ist es aber jedenfalls als grundsätzlich dringlichkeitsschädlich anzusehen, wenn für die Berufungsbegründung eine weitreichende Fristverlängerung beantragt und die gewährte Fristverlängerung vollständig ausgenutzt wird (Senat, Beschluss vom 17. September 2015 - 13 U 72/15, Rn. 7, juris; OLG Düsseldorf, Beschluss vom 15. Juli 2002 - 20 U 74/02, Rn. 5, juris; KG Berlin, Beschluss vom 16. April 2009 - 8 U 249/08, Rn. 4, juris, m.w.N.; OLG Nürnberg, Hinweisbeschluss v. 7.11.2017 - 3 U 1206/17, BeckRS 2017, 153630 Rn. 12, beck-online; OLG München, Urteil vom 30. Juni 2016 - 6 U 531/16, Rn. 95, juris, bereits bei einer Überschreitung der gesetzlichen Berufungsbegründungsfrist um 2 Tage; s.a. Schüttpelz in: Berneke/Schüttpelz, Die Einstweilige Verfügung in Wettbewerbssachen, 4. Aufl. 2018, Rn. 206, beck-online, m.w.N.).

Dass eine Fristverlängerung für die Berufungsbegründungsfrist antragsgemäß gewährt wurde, steht der Selbstwiderlegung der Dringlichkeitsvermutung nicht entgegen. Die Verlängerung der Berufungsbegründungsfrist unterliegt anderen Voraussetzungen als die Annahme einer nicht dringlichkeitsschädlichen zügigen Verfahrensführung (s. hierzu auch OLG Hamm aaO). An die Darlegung eines erheblichen Grundes für die Notwendigkeit der Fristverlängerung dürfen bei einem ersten Antrag auf Verlängerung der Berufungsbegründungsfrist keine hohen Anforderungen gestellt werden (ständige Rechtsprechung des Bundesgerichtshofs, vgl. NJW 2017, 2041 [BGH 09.05.2017 - VIII ZB 69/16] Rn. 12). Demgegenüber sind im einstweiligen Rechtsschutz deutlich höhere Anforderungen zu stellen, damit eine vom Antragsteller verursachte Verfahrensverzögerung die Dringlichkeitsvermutung nicht widerlegt.

2. Nach dieser Maßgabe ist im Streitfall von einer Widerlegung der Dringlichkeitsvermutung auszugehen. Die Verfügungsklägerin hat - trotz einer übersichtlichen Sach- und Rechtslage - nach der Zustellung des angefochtenen Urteils drei Monate benötigt, um die Berufung zu begründen. Die für die Fristverlängerung angeführten Gründe - andere fristgebundene Angelegenheiten sowie die Weihnachtsfeiertage - stehen der Dringlichkeitsschädlichkeit dieser verzögerten Verfahrensführung nicht entgegen.

Den Volltext der Entscheidung finden Sie hier:

BGH: Zusendung einer Werbe-E-Mail allein genügt nicht zur Begründung eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Fri, 28 Feb 2025 12:44:00 +0100

BGH
Urteil vom 28.01.2025
VI ZR 109/23
DSGVO Art. 82 Abs. 1

Der BGH hat entschieden, dass die Zusendung einer Werbe-E-Mail allein nicht zur Begründung eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO genügt.

Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.

BGH, Urteil vom 28. Januar 2025 - VI ZR 109/23 - LG Rottweil - AG Tuttlingen

Aus den Entscheidungsgründen:
a) Die Ablehnung einer Erheblichkeitsschwelle durch den Gerichtshof bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 27 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 29; jeweils mwN). Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 25 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN).

b) Das Berufungsgericht hat den Vortrag des Klägers - auch den Vortrag in der Klageschrift, auf den die Revision verweist - zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens des Klägers angesehen. Deshalb bedarf es keiner Entscheidung, ob überhaupt ein Verstoß gegen die Datenschutz-Grundverordnung vorlag (Art. 95 DSGVO, Art. 13 Abs. 2 der Richtlinie 2002/58/EG, § 7 Abs. 3 UWG).

Die Revision ist der Ansicht, der Kläger habe ausreichend zu einem immateriellen Schaden vorgetragen, der ihm aus dem gerügten Verstoß gegen die Datenschutz-Grundverordnung entstanden sei. So habe er bereits in der Klageschrift darauf hingewiesen, durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien, eben weil die Daten unbefugt verwendet worden seien. Der Kläger habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe. Außerdem habe der Beklagte nach dem Verstoß zunächst einmal nicht reagiert; darin komme eine erneute Missachtung des Klägers zum Ausdruck.

Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor (hierzu unter aa)), noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt (unter bb)). Das Berufungsgericht hat auch keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe. Die Revision zeigt insoweit keinen übergangenen Vortrag auf (unter cc)).

aa) Der Gerichtshof hat in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137 - Agentsia po vpisvaniyata; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 30 mwN)

Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31 mwN). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31).

Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail am 20. März 2020 einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall (zu den Voraussetzungen eines Kontrollverlusts auch BAG, DB 2024, 3114 Rn. 18).

bb) Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 67 - MediaMarktSaturn; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 36 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 C-590/22, DB 2024, 1676 Rn. 35 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN).

Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die - im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare - Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht.

cc) Das Berufungsgericht hat ausgeführt, der Kläger habe zu einer objektiv nachvollziehbaren Beeinträchtigung persönlichkeitsbezogener Belange nicht hinreichend vorgetragen. Demgegenüber macht die Revision geltend, ein immaterieller Schaden liege in der Missachtung des Klägers, die sich auch in der fehlenden Reaktion des Beklagten auf die E-Mail des Klägers vom 20. März 2020 und auf ein gleichlautendes Fax vom 20. April 2020 zeige.

Die Übersendung der Werbe-E-Mail begründet allenfalls den gerügten Verstoß gegen die Datenschutz-Grundverordnung. Dieser reicht allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, VersR 2024, 1147 Rn. 18 f., 30, 37, 43 - juris, zur Direktwerbung per E-Mail trotz Widerspruchs). Die - durch Übersendung der Werbe-E-Mail erfolgte - Kontaktaufnahme als solche ist nicht ehrverletzend (vgl. Senatsurteil vom 10. Juli 2018 - VI ZR 225/17, BGHZ 219, 233 Rn. 14 mwN). Die unterbliebene Reaktion des Beklagten auf die E-Mail vom 20. April 2019 und das Fax vom 6. April 2020 könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen.

Den Volltext der Entscheidung finden Sie hier:

BVerwG: Verarbeitung von Telefonnummern aus allgemein zugänglichen Verzeichnissen zum Zweck von nach § 7 UWG unzulässiger Telefonwerbung nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckt

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Wed, 29 Jan 2025 18:16:00 +0100

BVerwG
Urteil vom 29.01.2025
6 C 3.23

Das BVerwG hat entschieden, dass die Verarbeitung von Telefonnummern aus allgemein zugänglichen Verzeichnissen zum Zweck von nach § 7 UWG unzulässiger Telefonwerbung nicht von Art. 6 Abs. 1 lit. f DSGVO gedeckt und damit unzulässig ist.

Die Pressemitteilung des Gerichts:
Verarbeitung der Kontaktdaten von Zahnarztpraxen zum Zweck der Telefonwerbung ohne (mutmaßliche) Einwilligung unzulässig

Wer in allgemein zugänglichen Verzeichnissen veröffentlichte Telefonnummern von Zahnarztpraxen erhebt und speichert, um unter Nutzung dieser Daten Telefonwerbung zu betreiben, kann sich nicht auf den in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO geregelten Erlaubnistatbestand der Wahrung berechtigter Interessen berufen, sofern nicht eine zumindest mutmaßliche Einwilligung der betroffenen Zahnärzte im Sinne des § 7 Abs. 2 Nr. 1 UWG vorliegt. Dies hat das Bundesverwaltungsgericht in Leipzig heute entschieden.

Die Klägerin kauft Edelmetallreste von Zahnarztpraxen an. Hierzu erhebt sie aus öffentlich zugänglichen Verzeichnissen - wie z.B. den Gelben Seiten - Namen und Vornamen des Praxisinhabers sowie die Praxisanschrift nebst Telefonnummer. Die von ihr gespeicherten Kontaktdaten nutzt sie, um durch Telefonanrufe bei den Zahnarztpraxen in Erfahrung zu bringen, ob die Angerufenen Edelmetalle an sie verkaufen möchten.

Im Januar 2017 ordnete die beklagte saarländische Landesbeauftragte für Datenschutz und Informationsfreiheit auf der Grundlage des Bundesdatenschutzgesetzes in der damals geltenden Fassung gegenüber der Klägerin an, die für den Zweck einer telefonischen Werbeansprache erfolgende Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten von Inhabern von Zahnarztpraxen einzustellen, sofern nicht eine Einwilligung des Betroffenen vorliegt oder bereits ein Geschäftsverhältnis mit ihm besteht. Nach rechtskräftiger Abweisung ihrer Klage beantragte die Klägerin bei der Beklagten unter Hinweis auf die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung erfolglos die Aufhebung des Bescheids vom Januar 2017.

Die hierauf vor dem Verwaltungsgericht des Saarlandes erhobene Verpflichtungsklage hatte keinen Erfolg. Das Oberverwaltungsgericht des Saarlandes wies die Berufung der Klägerin mit der Begründung zurück, ein Wiederaufnahmegrund nach § 51 Abs. 1 Nr. 1 SVwVfG liege nicht vor. Durch die Datenschutzgrundverordnung habe sich die Rechtslage nicht zu Gunsten der Klägerin geändert. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, der nunmehr eine Interessenabwägung vorsehe, könne nicht als Rechtsgrundlage für die Datenverarbeitung herangezogen werden. Denn die telefonische Werbeansprache entspreche mangels einer zumindest mutmaßlichen Einwilligung der angesprochenen Zahnärzte nicht den Anforderungen des § 7 Abs. 2 Nr. 1 UWG. Werde die Anwendbarkeit des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO unterstellt, bestünde unter Berücksichtigung der Wertungen des § 7 Abs. 2 Nr. 1 UWG kein berechtigtes Interesse der Klägerin.

Das Bundesverwaltungsgericht hat die Revision der Klägerin zurückgewiesen. Zwar ist der Erlaubnistatbestand des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO entgegen der Auffassung der Vorinstanz hier grundsätzlich anwendbar. Bei der Beurteilung, ob die Datenverarbeitung zur Wahrung eines „berechtigten Interesses" im Sinne dieser Bestimmung erfolgt, sind jedoch die Wertungen des § 7 Abs. 2 Nr. 1 UWG zu berücksichtigen. Ob dies generell für Bestimmungen des nationalen Rechts gilt, die keinen datenschutzspezifischen Gehalt haben, musste das Bundesverwaltungsgericht nicht entscheiden. Denn mit § 7 UWG hat der deutsche Gesetzgeber die in Art. 13 der Richtlinie 2002/58/EG enthaltenen Vorgaben zum Schutz der Privatsphäre der Betroffenen vor unverlangt auf elektronischem Weg zugesandter Werbung umgesetzt. Es widerspräche daher dem Grundsatz der Einheit der Unionsrechtsordnung, wenn diese lauterkeitsrechtlichen Wertungen bei der Konkretisierung des berechtigten Interesses im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO außer Betracht bleiben müssten.

Hiervon ausgehend fehlt es der Klägerin an einem berechtigten Interesse im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, weil der von ihr verfolgte Zweck der Datenverarbeitung gegen § 7 Abs. 2 Nr. 1 UWG verstößt. Bei den Telefonanrufen, mit denen die Klägerin die Bereitschaft der angerufenen Zahnärzte zum Verkauf von Edelmetallen in Erfahrung zu bringen sucht, handelt es sich um Werbung im Sinne dieser Bestimmung. Da die von der Klägerin angesprochenen Inhaber von Zahnarztpraxen in dem hier vorliegenden Kontext als sonstige Marktteilnehmer zu qualifizieren sind, ist eine zur Unzulässigkeit der Werbeanrufe führende unzumutbare Belästigung nach § 7 Abs. 2 Nr. 1 UWG anzunehmen, wenn nicht zumindest eine mutmaßliche Einwilligung vorliegt. Diese wird durch ein sachliches Interesse der Anzurufenden an der Telefonwerbung indiziert. Auf der Grundlage der für das Bundesverwaltungsgericht bindenden tatsächlichen Feststellungen des Oberverwaltungsgerichts ist diese Voraussetzung nicht erfüllt. Denn danach dient die Veröffentlichung der Telefonnummern der Zahnärzte in öffentlich zugänglichen Verzeichnissen ausschließlich dazu, die Erreichbarkeit für Patienten zu gewährleisten. Zudem hat das Oberverwaltungsgericht festgestellt, dass der Verkauf von Edelmetallresten zur Gewinnerzielung weder typisch noch wesentlich für die Tätigkeit eines Zahnarztes ist.

Schließlich hat die Klägerin nicht deshalb einen Anspruch auf eine erneute Sachentscheidung, weil es an einer auf die nunmehr geltende Rechtslage bezogenen Ermessensausübung der Beklagten fehlen würde. Denn das der Aufsichtsbehörde hinsichtlich der Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO grundsätzlich eingeräumte Ermessen ist im vorliegenden Fall dahingehend reduziert, dass nur ein Verbot gemäß Art. 58 Abs. 2 Buchst. f DSGVO geeignet, erforderlich und verhältnismäßig ist, um dem festgestellten Verstoß gegen die DSGVO abzuhelfen.

BVerwG 6 C 3.23 - Urteil vom 29. Januar 2025

Vorinstanzen:

OVG Saarlouis, OVG 2 A 111/22 - Urteil vom 20. April 2023 -

VG Saarlouis, VG 5 K 461/20 - Urteil vom 15. Dezember 2021 -

BGH: Zur Bemessung des Streitwerts in Facebook-Scraping-Fällen für Ansprüche auf Unterlassung, Zahlung, Auskunft und Feststellung

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 16 Jan 2025 15:12:00 +0100

BGH
Beschluss vom 10.12.2024
VI ZR 7/24

Der BGH hat sich in diesem Beschluss zur Bemessung des Streitwerts in Facebook-Scraping-Fällen für Ansprüche auf Unterlassung, Zahlung, Auskunft und Feststellung geäußert.

Aus den Entscheidungsgründen:
Der Senat hat den Streitwert für das Revisionsverfahren auf die Gebührenstufe bis 4.000 € festgesetzt und die Klageanträge dabei - wie zuvor das Berufungsgericht - wie folgt bemessen: 1.000 € (Zahlungsantrag) + 500 € (Feststellungsantrag) + 1.500 € (Unterlassungsanträge) + 500 € (Auskunftsantrag) = 3.500 €. Der Prozessbevollmächtigte des Klägers wendet sich allein gegen die Wertfestsetzung für die Unterlassungsanträge, die er - wie zuvor das Landgericht - mit insgesamt 5.000 € (2 x 2.500 €) bemessen haben möchte.

Eine Höherfestsetzung des Streitwerts für die Unterlassungsanträge ist nicht veranlasst. Der Streitwert ist nach allgemeinen Regeln unter Berücksichtigung aller Umstände des Einzelfalls, insbesondere des Umfangs und der Bedeutung der Sache und der Vermögens- und Einkommensverhältnisse der Parteien, nach Ermessen zu bestimmen (§ 48 Abs. 2 Satz 1, Abs. 1 GKG, § 3 ZPO). Maßgeblich bei einem Unterlassungsantrag nach - wie im Streitfall geltend gemacht - bereits erfolgter Verletzungshandlung ist das Interesse des Anspruchstellers an der Unterbindung weiterer gleichartiger Verstöße, welches maßgeblich durch die Art des Verstoßes, insbesondere seine Gefährlichkeit und Schädlichkeit für den Inhaber des verletzten Rechts bestimmt wird. Allerdings kann auch anderen, von der bereits erfolgten Verletzungshandlung unabhängigen Faktoren - etwa dem Grad der Wahrscheinlichkeit künftiger Zuwiderhandlungen - Rechnung zu tragen sein (vgl. BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 33 ff. mwN). Das Gefährdungspotential ist dabei allein mit Blick auf das konkrete Streitverhältnis zu bestimmen. Für generalpräventive Erwägungen ist bei der Bewertung eines zivilrechtlichen Unterlassungsanspruchs ebenso wenig Raum (BGH, Urteil vom 12. Mai 2016 - I ZR 1/15, NJW 2017, 814 Rn. 42 mwN) wie für eine Orientierung an einem etwaigen (Gesamt-)Schaden unter Einbeziehung anderer Betroffener (vgl. Senat, Beschluss vom 30. November 2004 - VI ZR 65/04, juris Rn. 2; OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 277; OLG Frankfurt/M., K&R 2024, 673). Schließlich darf das Gesamtgefüge der Bewertung nichtvermögensrechtlicher Streitgegenstände nicht aus den Augen verloren werden (BGH, Beschluss vom 26. November 2020 - III ZR 124/20, K&R 2021, 127 Rn. 11).

Nach diesen Grundsätzen ist die erfolgte Festsetzung des Wertes der Unterlassungsanträge auf insgesamt 1.500 € (2 x 750 €) sachgerecht (vgl. zu Parallelfällen auch OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23, juris Rn. 279 ff.; OLG Frankfurt/M., K&R 2024, 673: jeweils insgesamt 1.000 €). Der Kläger selbst hat seinen Zahlungsanspruch auf Ersatz des bereits eingetretenen Schadens auf 1.000 € beziffert. Der Senat hat hierzu in einem weiteren Parallelverfahren näher ausgeführt, dass er auch eine Bemessung in der Größenordnung von 100 € für den bloßen Kontrollverlust von Rechts wegen nicht beanstanden würde (Urteil vom 18. November 2024 - VI ZR 10/24, juris Rn. 100). Seinen Antrag auf Feststellung hinsichtlich etwaiger zukünftiger Schäden hat auch der Kläger mit 500 € bewertet; dies erscheint angesichts der absehbaren Schwierigkeiten beim Nachweis der Ursächlichkeit künftiger Schäden auch sachgerecht. Die Verletzungshandlung liegt bereits fünf Jahre zurück, ohne dass es bislang jenseits des bloßen Kontrollverlustes zum Eintritt nachweisbarer Schäden oder einer weiteren Verletzungshandlung gekommen wäre; die Beklagte hat die Suchbarkeitsfunktion in der dem Streitfall inmitten stehenden Ausgestaltung vielmehr zwischenzeitlich deaktiviert. Beide Unterlassungsanträge nehmen ihren Ausgangspunkt in derselben Verletzungshandlung und hängen in der Sache eng zusammen.

Den Volltext der Entscheidung finden Sie hier: