BECKMANN UND NORDA - Rechtsanwälte Bielefeld (Artikel mit Tag verarbeitung)

OLG Jena: 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 03 Mar 2026 11:52:00 +0100

OLG Jena
Urteil vom 02.03.2026
3 U 31/25

Das OLG Jena hat dem Betroffenen 3.000 EURO Schadensersatz aus Art. 82 DSGVO gegen Meta wegen Betreiben eines Systems anlassloser Datensammlung durch Meta Business Tools zugesprochen.

Die Pressemitteilung des Gerichts:
Meta-Konzern zu Schadensersatz verurteilt

Der 3. Zivilsenat des Oberlandesgerichts Jena hat durch ein heute verkündetes Urteil den Meta-Konzern zur Zahlung von Schadensersatz wegen Datenschutzverstößen verurteilt.

Nach den Feststellungen des Senats ermöglichen dem Konzern die von ihm an Webseiten- und App-Betreibern verteilten Business Tools eine weitreichende Nachverfolgung der Internetnutzung durch die Mitglieder seiner sozialen Netzwerke. Dabei fallen auch sensible personenbezogene Daten wie etwa zu Gesundheitsfragen an, beispielsweise wenn ein Nutzer zu psychischen Störungen recherchiert, über Arztportale nach therapeutischer Hilfe sucht oder in einer Online-Apotheke Medikamente bestellt. Die Erfassung und Speicherung solcher Daten findet dabei grundsätzlich auch dann statt, wenn die Betroffenen nicht im sozialen Netzwerk eingeloggt sind und keine wirksame Einwilligung in die Datenübermittlung erteilt haben.

Der Senat ist zu dem Schluss gekommen, dass diese Datenverarbeitung durch Meta nicht gerechtfertigt ist, sondern ein System anlassloser Datensammlung darstellt, das Grundprinzipien des europäischen Datenschutzrechts wie Transparenz, Zweckbindung und Datenminimierung widerspricht. Er hat dem klagenden Verbraucher 3.000 € Schadensersatz zugesprochen, wobei er die Höhe mit einer langanhaltenden und weitreichenden Aufzeichnung eines beträchtlichen Teils seines Privatlebens begründet.

Neben Schadensersatz ist der Meta-Konzern auch zu einer umfassenden Erteilung einer Auskunft über die von ihm gesammelten personenbezogenen Daten des Klägers sowie zu deren Löschung verurteilt worden.

Das Urteil ist noch nicht rechtskräftig. Der Senat hat die Revision zum Bundesgerichtshof zugelassen.

OLG Naumburg: DSGVO-Verstoß durch Meta Business Tools - Anspruch gegen Meta auf 1.200 EURO bzw. 1.250 EURO Schadensersatz aus Art. 82 DSGVO und Unterlassungsanspruch

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Mon, 09 Feb 2026 18:06:00 +0100

OLG Naumburg
Urteil vom 05.02.2026 - 9 U 124/24
Urteil vom 05.02.2036 - 9 U 44/25

Das OLG Naumburg hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool seitens Meta gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.200 EURO bzw. 1.250 EURO Schadensersatz aus Art. 82 DSGVO und auch einen Unterlassungsanspruch bejaht.

Die Pressemitteilung des Gerichts:
Schadensersatz wegen unerlaubter Datenverarbeitung durch Meta

Der 9. Zivilsenat des Oberlandesgerichts Naumburg hat durch zwei am heutigen Tage verkündete Urteile den Klägern Schadensersatz wegen unerlaubter Datenverarbeitung durch Unternehmen des Meta-Konzerns zugesprochen.

Meta konnte nach den Feststellungen des Senats bis zum 3. November 2023 mithilfe seiner Business Tools jeden Klick, jede Suche und jeden Kauf auf Tausenden von Webseiten und Apps nachverfolgen. Dazu mussten die Betroffenen nicht bei Facebook oder Instagram eingeloggt sein. Meta habe diese Daten unbemerkt und ohne Zustimmung der Nutzer genutzt. Nach Einführung der Abonnement-Variante sei die Datenübertragung je nach Einstellung der Nutzer differenzierter erfolgt. Sie führe jedoch nach wie vor zu einer umfassenden Datennutzung durch die Beklagte. Diese Datenverarbeitung sei rechtswidrig, verstoße gegen den Grundsatz der Datenminimierung und sei nicht von einer Einwilligung oder sonstigen Rechtfertigungs-gründen gedeckt. Der zugesprochene Schadensersatz belief sich in einem Fall auf 1.200 € und im anderen auf 1.250 €.

Neben dem Schadensersatz verurteilte der 9. Zivilsenat den Meta-Konzern zu einer generellen, umfassenden Unterlassung der Datenverarbeitung über die Business Tools sowie zur Löschung aller gesammelten Nutzer-Daten. Außerdem wurde die Rechtswidrigkeit der Datenverarbeitung festgestellt.

Die Urteile sind rechtskräftig, nachdem der Senat die Revision nicht zugelassen hat und die Beschwer der unterliegenden Partei in beiden Fällen den für die Nichtzulassungsbeschwerde erforderlichen Betrag nicht erreicht.

AG München: Kein DSGVO-Verstoß und keine rechtswidrige Verletzung des allgemeinen Persönlichkeitsrechts durch Drohnenaufnahmen zur Feststellung des Dachaufmaßes

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Sat, 07 Feb 2026 16:53:00 +0100

AG München
Beschluss vom 05.01.2026
222 C 2/26

Das AG München hat entschieden, dass kein DSGVO-Verstoß und keine rechtswidrige Verletzung des allgemeinen Persönlichkeitsrechts durch Drohnenaufnahmen zur Feststellung des Dachaufmaßes vorliegt.

Aus den Entscheidungsgründen:
Ein solcher Anspruch ergibt sich nicht aus §§ 823 Abs. 1, 1004 BGB analog, da die Erstellung der Aufnahmen keinen rechtswidrigen Eingriff in das Allgemeine Persönlichkeitsrecht darstellt.

Das Allgemeine Persönlichkeitsrecht stellt ein Rahmenrecht dar. Die Rechtswidrigkeit des Verhaltens wird dabei durch die Beeinträchtigung von Persönlichkeitsinteressen nicht indiziert, sondern der Schutzbereich ist durch eine Interessenabwägung zu konturieren und für den Einzelfall zu konkretisieren. Rechtswidrig ist der Eingriff nur, wenn das Schutzinteresse des Geschädigten die schutzwürdigen Belange des Schädigers überwiegt. Dies ist vorliegend nicht der Fall.

Bei dieser Interessenabwägung ist auf Seiten des Antragsgegners einzustellen, dass durch die Erstellung der Aufnahmen mittels Drohnenflugs das Dachaufmaß ohne risikoreiche Dachbegehungen ermöglicht wird. Dem gegenüber steht die Befürchtung des Antragstellers auf Verletzung der Integrität seiner Wohnung.

Bei der Abwägung ist zu berücksichtigen, dass der Drohnenflug nur wenige Minuten dauern wird und vorher angekündigt wurde, an welchem Tag er erfolgen wird, sodass von Seiten der betroffenen Bewohner*innen des Anwesens Maßnahmen ergriffen werden können, um Aufnahmen vom Inneren der Wohnungen von vornherein auszuschließen. Auch wenn an den Fenstern keine Rollos vorhanden sind, wie vom Antragsteller vorgetragen, so können die betroffenen Fenster auch anderweitig für einen Tag blickdicht verhängt werden, beispielsweise durch das Einklemmen von Handtüchern oder Decken in die Fenster.

Überdies wäre es laut Aushang des Antragstellers erforderlich, das Gebäude einzurüsten und das Dach zu begehen, wäre eine Erstellung von Aufnahmen mittels Drohnenflug nicht möglich. Dies würde einen deutlich intensiveren Eingriff darstellen, da die Beeinträchtigung dann deutlich länger als für einige Minuten an einem Tag bestehen würde. Demnach stellt die Erstellung der Aufnahmen mittels Drohnenflug das mildere Mittel dar.

II. Es besteht auch kein Verfügungsanspruch aus Art. 17, 21 DSGVO.

Die Verarbeitung der Daten ist rechtmäßig gem. Art. 6 Abs. 1 lit. f DSGVO. Demnach ist die Verarbeitung der Daten zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordert, überwiegen. Es ist also auch hier eine Interessenabwägung erforderlich, um die Rechtmäßigkeit der Datenverarbeitung zu beurteilen. Diese Abwägung führt auch hier zu dem Ergebnis, dass die Verarbeitung rechtmäßig ist (s.o. unter I.).

Den Volltext der Entscheidung finden Sie hier:

OLG Dresden: DSGVO-Verstoß durch Meta Business Tools - Anspruch gegen Meta auf 1.500 EURO Schadensersatz aus Art. 82 DSGVO und Unterlassungsanspruch

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 05 Feb 2026 16:58:00 +0100

OLG Dresden
Urteile vom 03.02.2026
4 U 196/25, 4 U 292/25, 4 U 293/25 und 4 U 296/25

Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tool gegen die Vorgaben der DSGVO verstößt. Das Gericht hat den Betroffenen 1.500 EURO Schadensersatz aus Art. 82 DSGVO und einen Unterlassungsanspruch zugesprochen.

Die Pressemitteilung des Gerichts:
Meta Konzern zu Schadensersatz und Unterlassung verurteilt

Der 4. Zivilsenat hat am 03.02.2026 in den ersten vier Parallelverfahren zu den sog. Business-Tools den Meta Konzern zur Zahlung von immateriellem Schadensersatz in Höhe von jeweils 1500,- € sowie zur Unterlassung der Weiterverarbeitung hiermit gewonnener personenbezogener Daten an Nutzer des sozialen Netzwerks "Instagram" verurteilt.

Bei diesen "Business-Tools" handelt sich um Programmschnittstellen, die der Meta-Konzern Unternehmen zur Installation auf deren Webseiten anbietet. Sie dienen dazu, personenbezogene Daten der Webseitennutzer zu sammeln, die die Unternehmen dann mit dem Meta-Konzern teilen. Der 4. Zivilsenat hat sich in den entschiedenen Verfahren die Überzeugung verschafft, dass hierzu die zu einer Datenverarbeitung erforderlichen Einwilligungserklärungen der Nutzer nicht vorgelegen haben und sich die Beklagte hierfür auch nicht auf einen weiteren der nach der Datenschutzgrundverordnung möglichen Rechtfertigungsgründe berufen könne. Durch eine solche Verarbeitung personenbezogener Daten entstehe ein Kontrollverlust, der bei betroffenen Nutzern ein Gefühl der umfassenden Überwachung hervorrufen könne. Dies rechtfertige es, einen immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO auch dann zuzusprechen, wenn der einzelne Nutzer hierdurch keine psychische Beeinträchtigung erlitten habe. Nicht erforderlich sei es hierfür, dass der Nutzer nachweist, Webseiten besucht zu haben, die seine personenbezogenen Daten mit Hilfe dieser Business Tools an den Meta-Konzern weiterleiten.

Die Revision wurde nicht zugelassen. Die Urteile sind damit rechtskräftig.

OLG München: DSGVO-Verstoß durch Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke - 750 EURO Schadensersatz aus Art. 82 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 13 Jan 2026 16:20:00 +0100

OLG München
Urteil vom 18.12.2025
14 U 1068/25

Das OLG München hat entschieden, dass die Verarbeitung personenbezogener Daten durch die Meta Business Tools im Zusammenhang mit Drittseiten und Apps außerhalb der Meta-Netzwerke gegen die Vorgaben der DSGVO verstößt. Das Gericht hat dem Betroffenen 750 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Die Anwendung deutschen Rechts folgt vorliegend aus der Rechtswahl der Parteien (Art. 3 Abs. 1, 6 Abs. 2 Rom I-VO – vgl. die Nutzungsvereinbarung in Anlage B2), sie ergäbe sich im Übrigen aus Art. 6 I lit. b Rom I-VO, weil ein Verbrauchervertrag vorliegt.

Der Klägerin steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von 750,- € zu (dazu sogleich 4.1.), daneben ein Anspruch auf Feststellung eines Verstoßes gegen den Nutzungsvertrag (dazu 4.2.), Ansprüche auf Unterlassung einer Verarbeitung bestimmter personenbezogener Daten (dazu 4.3.) und auf Erstattung vorgerichtlicher Rechtsanwaltskosten (dazu 4.4.).

Die Datenschutz-Grundverordnung (im Folgenden DSGVO) ist vorliegend sachlich (Art. 2), räumlich (Art. 3) und auch zeitlich (vgl. Art. 99 Abs. 2) anwendbar.

4.1. Der Senat geht davon aus, dass die Klägerin einen einheitlichen Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DSGVO (vgl. hierzu BGH NJW 2025, 298 Rn. 55) geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Beklagten stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. ... ... Tools) wurzelt (s. Klageschrift S. 29: "der Verstoß").

Mit den Worten des BGH (a.a.O., Rn. 21) erfordert ein derartiger Anspruch nach der Rechtsprechung des EuGH "einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind [...] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DSGVO den Ersatz eines (immateriellen) Schadens verlangt [...]. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruchs nach Art. 82 I DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DSGVO dem Verantwortlichen [...]."

Ein solcher Anspruch besteht vorliegend in Höhe von 750,- €.

4.1.1. Für den Senat steht fest, dass die Beklagte mithilfe der ... ... Tools eine potenziell unbegrenzte Menge an Daten der Klägerin verarbeitet, indem sie die Aktivitäten der Klägerin auf Dritt-Webseiten und Dritt-Apps verfolgt (so auch EuGH GRUR 2023, 1131 Rn. 118 betr. ...#).

4.1.1.1. Technische Grundlage und Datenschutzeinstellungen

4.1.1.1.1. Über die sog. ... ... Tools ("u.a. ...-Pixel, C# ... (vormals bekannt als ...I), das ... für App Events, Offline-C# ... und die App ...", s. Anlage B5) erhält die Beklagte ...Tool-Daten, d.h. Kontaktinformationen und/oder Event-Daten (z.B. Besuche auf einer Webseite, Installation einer App, Kauf eines Produkts) von ihren Vertragspartnern, den (hier) sog. Drittanbietern.

4.1.1.1.2. Bestimmte technische Standarddaten (s. hierzu z.B. Duplik, Rz. 31 = Bl. 308 f. LGA) gelangen automatisch an die Beklagte, wenn die Klägerin eine Webseite aufruft, deren Anbieter die ... ... Tools in seine Webseite eingebettet hat. Nach einer vereinfachten Darstellung des EuGH (BeckRS 2019, 15831 – Fashion ID; näher Duplik, Rz. 23 ff. = Bl. 304 ff. LGA) ist es "eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. [...] Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. [...]"

4.1.1.1.3. Weitere (sog. Event-) Daten werden dann automatisch an die Beklagte übertragen, wenn der Drittanbieter bei der Einbettung der ... ... Tools in seine Webseite oder App eine entsprechende Einstellung vorgenommen hat (Duplik, Rz. 35 f. = Bl. 310 f. LGA). Die ... Tools Nutzungsbedingungen verlangen in diesem Fall von dem Drittanbieter, die erforderlichen Angaben und Datenschutzbelehrungen zu erteilen und die notwendige Einwilligung einzuholen (Anlage B5). Die Beklagte überprüft dies nicht.

4.1.1.1.4. Wie die Beklagte mit den bei ihr eingegangenen Informationen weiter verfährt, hängt von den Datenschutz-Einstellungen des jeweiligen Nutzers ab.

4.1.1.1.4.1. Erlaubt der Nutzer der Beklagten nicht, Cookies und vergleichbare Technologien in anderen Apps und auf anderen Webseiten zu nutzen, so kann er sich dort nicht mehr mit seinem ...-Konto anmelden und die dort erhobenen Daten werden nicht verwendet, um relevante Werbung zu zeigen. Sie werden aber in eingeschränktem Umfang genutzt, um für Sicherheit und Integrität zu sorgen und es kann sein, dass die Beklagte aggregierte Informationen zu Aktivitäten erhält, nicht aber die persönliche Cookie-Information des Nutzers (Anlage B7, S. 41).

4.1.1.1.4.2. Entscheidet sich der Nutzer dafür, Werbung mithilfe der Informationen von Werbepartnern zu seinen Aktivitäten relevanter zu machen, erhält er stärker personalisierte Werbung. Entscheidet er sich dagegen, (s. Anlage B7, S. 43), werden die Daten dennoch – für andere Zwecke – verarbeitet (Duplik, Rz. 62 = Bl. 322 LGA), z.B. zum Schutz der Sicherheit und Integrität der Server (a.a.O. Rz. 63) oder zur Messung der Effektivität von Werbekampagnen (Anlage K11, S. 23: "die C# ... ist nötig, um die Events von Nutzer*innen zu aggregieren, die sich gegen die Nutzung ihrer Daten entschieden haben"; hierzu Duplik, Rz. 60 = Bl. 321 LGA.).

4.1.1.1.4.3. Der Nutzer hat weiter die Möglichkeit, die Verknüpfung künftiger Aktivitäten mit seinem Konto aufzuheben und frühere Aktivitäten zu löschen (Anlage B7, S. 44 ff.). In diesem Fall erhält die Beklagte aber weiterhin Informationen zu seinen Aktivitäten, die für Messungen sowie zur Verbesserung der Werbesysteme verwendet werden (Anlage B7, S. 56).

4.1.1.2. Die Klägerin hat im Rahmen ihrer erstinstanzlich erfolgten persönlichen Anhörung erklärt, ihr sei aufgefallen, dass ihr zu zuvor gegoogelten Themen Werbung angezeigt wurde. Sie habe schon zuvor unter einer generalisierten Angststörung gelitten und sei auch schon in psychologischer Behandlung gewesen. Sie google viele Symptome und möchte nicht, dass ein Dritter wisse, wie es um ihre Gesundheit bestellt sei. Ihre generalisierte Angststörung sei dadurch "befeuert" worden (Protokoll der erstinstanzlichen mündlichen Verhandlung vom 06.02.2025, Bl. 482 – 484, dort S. 2 = Bl. 483 LGA).

Die Beklagte hat insoweit mit Nichtwissen bestritten, dass der streitgegenständliche Sachverhalt Thema der Behandlung der Klägerin gewesen wäre (ebd.). Nicht bestritten und damit vom Senat zugrunde zu legen ist die restliche Erklärung der Klägerin, sie google viele Symptome, ihr sei zu gegoogelten Themen Werbung angezeigt worden und ihre bereits zuvor vorhandene generalisierte Angststörung sei durch ihre Aufklärung über den streitgegenständlichen Sachverhalt "befeuert" worden.

4.1.1.2.1. Die Klägerin kann und muss nicht wissen, auf welchen (Dritt-) Webseiten und Apps ... ... Tools Verwendung finden, sie darf sich insoweit auf Vermutungen stützen (vgl. z.B. BGH BeckRS 2015, 10851). Die Beklagte kann sich hingegen nicht auf ein pauschales Bestreiten beschränken, sie müsste konkret vortragen, weil (nur) sie es kann (§ 138 Abs. 1, Abs. 2 ZPO).

4.1.1.2.2. Dass die Klägerin sich um eine gewisse Plausibilisierung ihrer Vermutung bemüht, indem sie – gestützt auf Nachforschungen ihrer Prozessbevollmächtigten – vorträgt, dass allein "der ... Pixel [...] auf 30 – 40% aller Internetseiten und der ganz überwiegenden Mehrzahl der meistbesuchten 100 Webseiten Deutschlands verbaut" sei (Replik, S. 49 = Bl. 191 d.A.; vgl. auch Anlage K2), gereicht ihr nicht zum Nachteil. Das pauschale Bestreiten dieses Vortrags als unsubstantiiert ist unwirksam.

4.1.2. Nachdem der Klägerin unstreitig Werbung zu gegoogelten Themen gezeigt wurde (s.o. unter Punkt 4.1.1.2.), liegt ein Verstoß gegen den Grundsatz der Datenminimierung, der in Art. 5 Abs. 1 lit. b), lit. c), Art. 25 Abs. 2 S. 1, 3 DSGVO verankert ist, vor.

4.1.2.1. Der Grundsatz der Datenminimierung sichert die Verhältnismäßigkeit der Datenverarbeitung und besagt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen (EuGH NZA 2024, 1407 Rn. 49 f.; NZA 2023, 1523). Der Verantwortliche darf die Daten nicht allgemein und unterschiedslos erheben, sondern muss von der Erhebung solcher Daten absehen, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (EuGH NZA 2024, 1407 Rn. 59). In zeitlicher Hinsicht ist der Zeitraum der Datenerhebung als solcher und der Zeitraum, in dem die Möglichkeit besteht, den Betroffenen zu identifizieren, auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (sog. Speicherbegrenzung, s. EuGH a.a.O. Rn. 52 f.; EuZW 2022, 527).

4.1.2.2. Zwischen den Parteien ist unstreitig, dass die von den (Dritt-) Webseiten und Apps stammenden "Kontaktinformationen" und/oder "Event-Daten" (Anlage B5) ungefiltert und damit – in den Worten des EuGH (s.o.) – allgemein und unterschiedslos von der Beklagten verarbeitet werden. Der Senat sieht hierin – wie der EuGH (NZA 2024, 1407 Rn. 62 ff.) in einem ... betreffenden Fall – einen unverhältnismäßigen Eingriff in die durch Art. 7, 8 GRCharta geschützten Rechte der Klägerin auf Achtung des Privatlebens und auf Schutz ihrer personenbezogenen Daten. Der EuGH weist zurecht darauf hin, "dass eine solche Verarbeitung besonders umfassend [ist], da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von ... aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird" (EuGH NZA 2024, 1407 Rn. 62; NZA 2023, 1523).

4.1.2.3. Personenbezogen i.S.v. Art. 4 Nr. 1 DSGVO sind die verarbeiteten Daten schon deshalb, weil die Beklagte unstreitig in der Lage ist, diese Daten (z.B. über die verwendete IPAdresse oder individuelle Geräteinformationen) dem Benutzerkonto der Klägerin zuzuordnen (vgl. Erwägungsgrund 26 zur DSGVO: "Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren [...]"; s. auch EuGH BeckRS 2016, 82520 zu dynamischen IP-Adressen).

4.1.2.4. Die Beklagte ist zur Überzeugung des Senats für die Erhebung, Übermittlung, Speicherung und Verwertung dieser Daten verantwortlich i.S.v. Art. 4 Nr. 7 DSGVO.

4.1.2.4.1. Die Verantwortlichkeit für die Speicherung und Verarbeitung liegt auf der Hand.

4.1.2.4.2. Die Beklagte ist – gemeinsam mit dem jeweiligen Drittanbieter – auch für die Erhebung und Übermittlung verantwortlich (EuGH BeckRS 2019, 15831 Rn. 79, 96 – Fashion ID). Das liegt daran, dass durch die Einbettung der ... ... Tools in eine Webseite oder App quasi eine "dynamische Verweisung" auf die jeweils aktuelle Version des Tools entsteht. Die Kontrolle über die Programmierung und in der Folge über die Funktionalität des Tools verbleibt damit bei der Beklagten. Diese entscheidet (mit), welche Daten erhoben und übermittelt werden. Dass eine "gemeinsame Verantwortlichkeit für die Datenverarbeitung mit dem jeweiligen Drittunternehmen gem. der DSGVO betreffend die Erhebung und Übermittlung zusätzlicher Daten an ... über gewisse ... ... Tools" besteht, hat die Beklagte eingeräumt (Duplik, Rz. 41, 45 = Bl. 313 f. LGA, vgl. auch die Nutzungsbedingungen für die ... ... Tools in Anlage B5, dort S. 5).

4.1.3. Die Datenverarbeitung seitens der Beklagten ist nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt.

4.1.3.1. Von Bedeutung ist dabei zunächst, "dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten unter anderem für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 I Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren" (EuGH GRUR 2023, 1131 Rn. 95). Anders als die Beklagte meint, muss nicht die Klägerin bestimmte Verarbeitungszwecke in Frage stellen, sondern hat die Beklagte zu erklären, zu welchem Zweck sie welche Daten erhoben hat und weshalb die Verarbeitung der Daten rechtmäßig sein soll. Die Beklagte verweist in der Berufungsbegründung (S. 23, Fn. 10) selbst auf die sog. Einwilligungsleitlinien des Europäischen Datenschutzausschusses (dort, Rz. 118), in denen es heißt: "[Es ist] sehr wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. [...] Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht."

Den Volltext der Entscheidung finden Sie hier:

OLG Jena: Nutzung von Gesichtserkennungssoftware durch Universität zur Authentifizierung bei einer Online-Prüfung nur mit Einwilligung zulässig - 200 EURO Schadensersatz aus Art. 82 DSGVO

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Mon, 12 Jan 2026 16:26:00 +0100

OLG Jena
Urteil vom 17.11.2025
3 U 885/24

Das LG Jena hat entschieden, dass die Nutzung einer Gesichtserkennungssoftware durch eine Universität zur Authentifizierung bei einer Online-Prüfung nur mit Einwilligung zulässig ist. Vorliegend hat das Gericht dem Betroffenen 200 EURO Schadensersatz aus Art. 82 DSGVO zugesprochen.

Aus den Entscheidungsgründen:
Der Klägerin steht gemäß Art. 82 Abs. 1 DSGVO ein Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens aufgrund der rechtswidrigen Verarbeitung biometrischer Daten der Kläger durch die Beklagte zu.

Bei der Nutzung der Gesichtserkennungssoftware des Anbieters Uniwise sind biometrische Daten der Klägerin im Sinne von Art. 4 Nr. 14 DSGVO verarbeitet worden. Durch den automatisierten Abgleich der während der Online-Prüfungen aufgenommenen Bilder vom Gesicht der Klägerin mit dem am 09.07.2020 erstellten Referenzbild wurden mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen der Klägerin, die ihre eindeutige Identifizierung ermöglichen oder bestätigen, zur Feststellung möglicher Täuschungsversuche verwendet. Diese Verarbeitung der biometrischen Daten der Klägerin war unter den hier vorliegenden Umständen auch rechtswidrig. Gemäß Art 9 Abs. 1 DSGVO ist die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person grundsätzlich untersagt, es sei denn es liegt ein in Art. 9 Abs. 2 DSGVO geregelter Ausnahmefall vor. Ein solcher Ausnahmefall kann hier jedoch nicht angenommen werden.

Der in § 9 Abs. 2 Buchst. a DSGVO geregelte Fall einer ausdrücklichen Einwilligung der von der Verarbeitung ihrer biometrischen Daten betroffenen Person ist hier nicht gegeben. Eine solche ausdrückliche Einwilligung kann insbesondere nicht durch den Umstand angenommen werden, dass die Klägerin aus dem Katalog der möglichen Durchführung von Prüfungen während der Corona-Pandemie die Möglichkeit 1 (Absolvierung der Prüfung außerhalb des Unicampus) ausgewählt hat. In der Wahl dieser Prüfungsart liegt weder eine konkludente noch eine von der genannten Norm erforderte ausdrückliche Einwilligung der Klägerin mit der Verarbeitung ihrer biometrischen Daten. Der Umstand, dass nach der entsprechenden Auswahl durch die Klägerin ein Referenzbild von ihr angefertigt wurde, konnte zwar die Vermutung der Klägerin begründen, dass bei der Online-Prüfung eine automatisierte Gesichtserkennungssoftware zum Einsatz kommt. Durch die bloße Hinnahme dieses Procederes hat sie jedoch nicht ihr Einverständnis mit der konkreten Verarbeitung ihrer biometrischer Daten durch die zum Einsatz gebrachte Gesichtserkennungssoftware erklärt. Jedenfalls fehlt es insoweit an der im Gesetz vorgeschriebenen Ausdrücklichkeit der Einwilligungserklärung. Hierzu hätte es einer expliziten Belehrung der Klägerin über die durch die Nutzung der Gesichtserkennungssoftware ermöglichte Verarbeitung ihrer biometrischen Daten und einer hierauf bezogenen konkreten Einwilligungserklärung der Klägerin bedurft. Eine solche ausdrückliche Einwilligungserklärung hat sie nicht abgegeben. Auch die Möglichkeit, sich bei Auskunftsstellen der Universität näher über den Prüfungsablauf informieren zu können, ersetzt das Erfordernis einer solchen ausdrücklichen Einwilligungserklärung nicht.

Die Zulässigkeit der Verarbeitung der biometrischen Daten der Klägerin ergibt sich auch nicht aus Art. 9 Abs. 2 Buchst. e DSGVO. Durch die Veröffentlichung von Gesichtsbildern in den sozialen Medien seit dem Jahr 2015 hat die Klägerin keine biometrischen Daten veröffentlicht, sondern lediglich die Möglichkeit geschaffen, dass Dritte biometrische Daten aus diesen Bildern gewinnen können. Ob die Klägerin durch die vorherige Veröffentlichung ihrer Bilder im Internet bereits die Kontrolle über diese personenbezogenen Daten verloren hat, spielt in diesem Zusammenhang keine Rolle, sondern ist erst für die Frage relevant, inwieweit ihr durch den Datenschutzverstoß ein Schaden entstanden ist.

Auch aus der Norm des Art. 9 Abs. 2 Buchst. g DSGVO kann keine Rechtfertigung für die Verarbeitung der biometrischen Daten hergeleitet werden. Zwar mag die Durchführung von Fernprüfungen während der Corona-Pandemie zwecks Aufrechterhaltung des Lehr- und Prüfungsbetriebes in den Hochschulen einem gewissen öffentlichen Interesse entsprochen haben. Dieses öffentliche Interesse erforderte es jedoch nicht wie geschehen eine Verarbeitung biometrischer Daten, durch die nicht unerheblich in das informationelle Selbstbestimmungsrecht des Betroffenen eingegriffen wird, ohne Einholung einer ausdrücklichen Einwilligungserklärung des Betroffenen vorzunehmen, zumal auch andere Möglichkeiten der Prüfungsdurchführung während der Pandemie zur Verfügung standen.

Durch die unzulässige Verarbeitung der biometrischen Daten der Klägerin bei der Durchführung der Online-Prüfungen ist dieser auch ein wenn auch eher als nicht allzu intensiv einzuschätzender Schaden in Form einer psychischen Beeinträchtigung entstanden, für den die Beklagte gemäß Art. 82 Abs. 1 DSGVO Ersatz zu leisten hat.

Die Klägerin hat bei ihrer Anhörung durch das Landgericht erklärt, dass sie während der Fernprüfungen aufgrund der Nutzung der Gesichtserkennungssoftware dauerhaft befürchtet habe, durch bestimmte Bewegungen ihres Kopfes den Übereinstimmungsreferenzwert zwischen aktuellem Bild und dem Referenzbild zu unterschreiten und hierdurch infolge der Softwarefunktion dem Prüfer automatisch Veranlassung zur Überprüfung eines Täuschungsversuches ihrerseits bieten könnte. Der Senat hält diese Bekundungen auch für plausibel. Insbesondere der Umstand, dass eine automatisierte Erkennungssoftware zum Einsatz gekommen ist, lässt das wenn auch vielleicht diffuse Gefühl, dass ohne eigene Einflussmöglichkeit ständig die Möglichkeit besteht, dem Vorwurf eines Täuschungsversuches ausgesetzt zu sein, durchaus nachvollziehbar erscheinen. Entgegen dem Vorbringen der Beklagten ist die Behauptung auch nicht deshalb unglaubhaft, weil sie erst im späteren Verlauf des Verfahrens aufgestellt wurde. Vielmehr hat die Klägerin bereits in der Klageschrift vorgetragen, dass die automatische Überwachung sie während der Prüfungssituation unter erheblichen Stress gesetzt habe und in ihr die Angst ausgelöst habe, dem unbegründeten Verdacht eines Täuschungsversuchs ausgesetzt zu sein. Dass das Landgericht diese Bekundung der Klägerin für unglaubhaft gehalten hat, ergibt sich aus den Ausführungen im Urteil nicht. Vielmehr meinte das Landgericht, hieraus nicht den Schluss ziehen zu können, dass der Klägerin ein immaterieller Schaden entstanden ist. Soweit das Landgericht damit argumentiert hat, dass der Umstand, dass sich die Klägerin vor den Prüfungen nicht bei Auskunftsstellen der Beklagten über den genauen Ablauf der Fernprüfungen informiert habe, gegen die Annahme eines immateriellen Schadens spreche, handelt es sich nach Auffassung des Senats letztlich um die unbewusste Anwendung des Erfordernisses einer Erheblichkeitsschwelle für die Annahme eines immateriellen Schadens durch das Landgericht, da dieses Argument nicht geeignet ist, die Befürchtungen der Klägerin als solche zu widerlegen, sondern die Annahme begründet, dass die Befürchtungen nicht allzu intensiv gewesen sein können. Die weitere Schlussfolgerung des Landgerichts, dass die psychische Beeinträchtigung nicht spezifisch auf die Verarbeitung biometrischer Daten zurückzuführen ist, da anzunehmen sei, dass diese auch bei der Durchführung herkömmlicher videoüberwachter Prüfungen aufgetreten sei, vermag der Senat nicht zu teilen. Zwischen diesen Prüfungssituationen besteht ein erheblicher Unterschied. Während bei einer bloß videoüberwachten Prüfung für den Prüfer nur dann Anlass besteht, Ermittlungen wegen eines möglichen Täuschungsversuchs aufzunehmen, wenn er durch eigene Anschauung entsprechende Anhaltspunkte hierfür gewonnen hat, wird die entsprechende Verdachtsprüfung durch den automatisierten Einsatz der Gesichtserkennungssoftware ausgelöst. Für den Prüfling besteht hierdurch ein Gefühl, „der Technik ausgeliefert zu sein“ und das Auslösen eines Verdachts der Täuschung letztlich nicht beeinflussen zu können. Die von der Klägerin geschilderten Befürchtungen sind also gerade auf die Verwendung der Gesichtserkennungssoftware und die hierdurch erfolgte Verarbeitung biometrischer Daten zurückzuführen.

Eine nochmalige Anhörung der Klägerin war entgegen der Auffassung der Beklagten nicht erforderlich, um bezüglich der Beweiswürdigung in Bezug auf den Eintritt einer psychischen Beeinträchtigung zu einem anderen Ergebnis zu kommen als das Landgericht. Die von derjenigen des Landgerichts abweichende Beweiswürdigung des Senats beruht nicht auf einer unterschiedlichen Einschätzung der Glaubhaftigkeit der Aussage der Klägerin, sondern auf divergierenden Schlussfolgerungen, die aus den Bekundungen der Klägerin im Hinblick auf den Eintritt eines ersatzfähigen Schadens gezogen wurden.

Der Senat bewertet den der Klägerin durch die erlittene psychische Beeinträchtigung entstandenen immateriellen Schaden mit einem Betrag von 200 EUR. Dabei war zu beachten, dass es sich nach Einschätzung durch den Senat vorliegend um eine eher geringfügige Beeinträchtigung von nicht sehr hoher Intensität handelt. Die Befürchtungen bestanden vorliegend nicht dauerhaft, wie das etwa bei der Veröffentlichung personenbezogener Daten im Internet der Fall ist, sondern nur punktuell während der Zeit der Fernprüfungen. Darüber hinaus drohten der Klägerin bei einem Auslösen des „Alarms“ durch die Software bei Unterschreitung des Referenzwertes noch keine unmittelbar nachteiligen Konsequenzen, sondern lediglich Maßnahmen zur Überprüfung des Grundes für das Auslösen der Software. Ein solche Überprüfung ist zwar für den Prüfling nachvollziehbarerweise mit unangenehmen Gefühlen verbunden, stellt aber noch kein so gravierendes Übel dar, dass von einer hohen psychischen Beeinträchtigung ausgegangen werden kann. Hinzu kommt, dass mit der Absolvierung mehrerer Fernprüfungen, bei denen der „Alarm“ durch die Software gerade nicht ausgelöst worden war, bei der Klägerin ein Gewöhnungseffekt eingetreten sein dürfte, der bei den später absolvierten Klausuren die Intensität der Befürchtungen, wenn sie überhaupt noch vorhanden waren, deutlich verringert haben dürfte. Der Senat hält daher die Bewertung des Schmerzensgeldbetrages mit einem im unteren Bereich der Bemessungsskala angesiedelten Betrag für gerechtfertigt.

Ein weitergehender Schaden in Form eines Kontrollverlustes über ihre biometrischen Schaden ist der Klägerin nicht entstanden. Allerdings hat der BGH in seiner nach Erlass des Urteils des Landgerichts ergangenen Leitentscheidung vom 18.11.2024, Az.:VI ZR 10/24, juris entschieden, dass der bloße Kontrollverlust über personenbezogene Daten bei dem von einem Datenschutzverstoß Betroffenen bereits einen ersatzfähigen Schaden darstellt. Jedoch muss der Betroffene den Eintritt eines solchen Kontrollverlusts darlegen und gegebenenfalls beweisen. Der Datenschutzverstoß als solcher stellt noch keinen Nachweis eines Kontrollverlusts dar.

Vorliegend hat die Klägerin durch die Verarbeitung ihrer biometrischen Daten schon deshalb keinen Kontrollverlust erlitten, weil sie zum Zeitpunkt der Datenverarbeitung bereits keine Kontrolle mehr über ihre ihr Gesicht betreffenden biometrischen Daten gehabt hat. Die Klägerin hat unstreitig Fotos von ihrem Gesicht seit 2015 auf stark besuchten Internetplattformen, insbesondere Instagram, veröffentlicht und erst 2022 die Sichtbarkeit dieser Bilder zumindest auf einen beschränkten Personenkreis reduziert. Damit bestand für eine unbegrenzte Vielzahl von Nutzern der Plattform Instagram über eine lange Zeitdauer die potentielle Möglichkeit, aus den Gesichtsfotos der Klägern biometrische Daten zu gewinnen. Dieses Vorbringen der Beklagten hat die Klägerin nicht bestritten. Die Generierung und Nutzung der biometrischen Daten der Klägerin war somit für eine unbegrenzte Vielzahl von Internetnutzern auf aller Welt gegeben, so dass die Klägerin nicht mehr die Kontrolle über ihre biometrischen Daten, soweit sie ihr Gesicht betreffen, besaß. Der Umstand, dass die Generierung und Nutzung von biometrischen Daten aus den von ihr veröffentlichten Bildern regelmäßig rechtswidrig sein dürfte, ändert am Eintritt des Kontrollverlusts nichts. Einem Kontrollverlust über personenbezogene Daten ist es gerade immanent, dass deren - insbesondere missbräuchliche - Verwendung durch Dritte durch den Betroffenen nicht mehr verhindert werden kann. Die Annahme der Klägerin, dass der von einem vor dem Datenschutzverstoß bereits eingetretenen Kontrollverlust Betroffene der Verwendung seiner Daten schutzlos ausgeliefert sei, ist unzutreffend. Selbstverständlich kann der Betroffene bei einer rechtswidrigen Generierung oder Verwendung seiner biometrischen (oder sonstigen personenbezogenen) Daten Schadensersatz geltend machen, wenn ihm hierdurch ein materieller oder immaterieller Schaden entstanden ist. Er kann lediglich keinen Schadensersatz wegen des (bloßen) Kontrollverlusts über seine personenbezogenen Daten mehr verlangen.

Schadensersatz wegen eines etwaigen Kontrollverlusts über ihre biometrischen Daten, der sich angesichts der Rechtsprechung des BGH im Urteil vom 18.11.2024, Az.: VI 10/24, wonach selbst der Kontrollverlust über dauerhaft im Darknet veröffentlichte personenbezogene Daten mit einem Schadensbetrag von etwa 100 EUR zu bewerten ist, ohnehin in einem eher symbolischen Bereich bewegen dürfte, kann die Klägerin somit nicht geltend machen.

Ein Verstoß gegen Art. 22 DSGVO liegt nicht vor. In dem Umstand, dass das Unterschreiten oder Nichtunterschreiten des Referenzwertes die Grundlage für eine Überprüfung des Vorliegens eines Täuschungsversuches bildet, sieht der Senat wie das Landgericht weder eine rechtliche wirksame Entscheidung für die Klägerin noch diese hierdurch „in ähnlicher Weise beeinträchtigt“. Das ist auch dann der Fall, wenn man wie angeblich in anderen Sprachversionen eine „beträchtliche Auswirkung“ fordert. Selbst wenn man einen Verstoß gegen Art. 22 DSGVO bejahen würde, stünde der Klägerin kein weitergehender Ersatz eines Schadens, den sie nicht bereits durch den Verstoß gegen Art. 9 Abs. 1 DSGVO verlangen kann, zu. Aus demselben Grund kann auch dahinstehen, ob dem Grunde nach Schadensersatzansprüche aus § 823 Abs. 2 BGB aus § 839 BGB i.V.m. Art. 34 GG oder aus § 25 TMMG gegeben sind.

Ein Verstoß gegen Art. 44 DSGVO (Übermittlung von Daten in Staaten außerhalb der EU) begründet ebenfalls keinen Schadensersatzanspruch, da eine entsprechende Datenschutzverletzung schon nicht feststeht. Insbesondere steht nicht fest, dass Daten an die in den USA ansässigen Gesellschaften der Mutterkonzerne Amazon bzw. Google übermittelt wurden. Darüber hinaus wäre die Klägerin durch die Übermittlung von Daten an den in den USA ansässigen Mutterkonzern Amazon aufgrund des bereits zuvor eingetretenen Kontrollverlust über ihre biometrischen Daten nicht zusätzlich geschädigt.

Ein Verstoß gegen die Verpflichtung der Beklagten, gemäß Art. 28 Abs. 3 und 4 DSGVO Verträge mit dem dort geregelten Inhalt mit den Auftrags- bzw. Unterauftragsverarbeitern zu schließen, dürfte zwar vorliegen, da die Beklagte solche Verträge trotz ausdrücklichen Bestreitens der Behauptung durch die Klägerin, dass solche existieren, nicht vorgelegt hat. Auch diesbezüglich hat die Klägerin jedoch keinen weitergehenden Schaden erlitten.

Auf die Geltendmachung von Schadensersatz wegen der Übermittlung von IP-Adressen der Klägerin an den Google-Konzern im Zusammenhang mit der Verwendung der Software WISEflow hat diese im Laufe des Verfahrens verzichtet. Die streitige Rechtsfrage (vgl. den Vorlagebeschluss des BGH an den EuGH vom 28.08.2025, Az.: VI ZR 258/24), in welchen Konstellationen an Dritte übermittelte IP-Adressen als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO anzusehen sind, kann somit offenbleiben.

Die Klägerin kann ebenfalls keinen Schadensersatz wegen der Verwendung des Lock-Down-Browsers der Firma Respondus verlangen. Hierbei handelt es sich nicht um einen Datenschutzverstoß durch die Beklagte. Dass durch den Zugriff auf das seitens der Klägerin auf ihrem Laptop installierte Programm auf auf dem Endgerät gespeicherte Daten zugegriffen wurde, die über die Programmbibliotheken des Lock-Down-Programms selbst hinausgehen, hat die Klägerin weder substantiiert vorgetragen noch hierzu Beweis angetreten. Der Zugriff auf die Daten des Programms, welches die Klägerin selbst auf Veranlassung der Beklagten zur Verhinderung der Inanspruchnahme unerlaubter Hilfsmittel bei den Fernprüfungen installiert hat, ist nicht rechtswidrig. Die Klägerin hat sich durch die Installation des Programms zwecks Teilnahme an der Fernprüfung mit dem Zugriff auf die Programmdaten während der Prüfung zumindest konkludent einverstanden erklärt. Zudem ist nicht ersichtlich, dass die Klägerin durch den Zugriff auf die Programmbibliotheken des Lock-Down-Programms einen Schaden erlitten hat.

Die Klägerin hat gegen die Beklagte daher einen Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens in Höhe von 200 EUR, so dass das Urteil des Landgerichts entsprechend abzuändern war.

Den Volltext der Entscheidung finden Sie hier:

Volltext BGH liegt vor: Schufa muss erledigte Zahlungsstörungen nicht unverzüglich löschen - kürzere Speicherdauer bei besonderem Löschungsinteresse

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Mon, 05 Jan 2026 15:34:00 +0100

BGH
Urteil vom 18.12.2025
I ZR 97/25
Löschungsfrist bei Zahlungsstörungen
Verordnung (EU) 2016/679 Art. 6 Abs. 1 Unterabs. 1 Buchst. f; Art. 82

Wir hatten bereits in dem Beitrag BGH: Schufa muss erledigte Zahlungsstörungen nicht unverzüglich löschen - kürzere Speicherdauer bei besonderem Löschungsinteresse des Betroffenen über die Entscheidung berichtet.

Leitsätze des BGH:
a) Die längstmögliche Speicherungsdauer von Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien durch Einmeldungen ihrer Vertragspartner sammeln, um sie zur Grundlage von Bonitätsbeurteilungen zu machen, wird nicht durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register - hier im Schuldnerverzeichnis - vorgegeben (Abgrenzung zu EuGH, Urteil vom 7. Dezember 2023 - C-26/22 und C-64/22, NJW 2024, 417 [juris Rn. 113] - SCHUFA Holding [Restschuldbefreiung]).

b) Verhaltensregeln im Sinn von Art. 40 DSGVO können im Interesse der Rechtssicherheit und auch mit Blick auf das von Wirtschaftsauskunfteien betriebene Massengeschäft als Orientierung für die nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorzunehmende Interessenabwägung herangezogen werden, soweit sie typisiert zu einem angemessenen Interessenausgleich führen - wie das bei der vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum 1. Januar 2025 genehmigten Ziffer IV.1. Buchst. b der Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien grundsätzlich der Fall ist - und die Besonderheiten des Einzelfalls bei der konkret vorzunehmenden Interessenabwägung hinreichend berücksichtigt werden (Abgrenzung zu EuGH, NJW 2024, 417 [juris Rn. 104 f.] - SCHUFA Holding [Restschuldbefreiung]).

BGH, Urteil vom 18. Dezember 2025 - I ZR 97/25 - OLG Köln - LG Bonn

Den Volltext der Entscheidung finden Sie hier:

EuGH: Informationspflichten nach der DSGVO beim Einsatz von Bodycams im Zusammenhang mit Fahrscheinkontrollen

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 18 Dec 2025 10:55:00 +0100

EuGH
Urteil vom 18.12.2025
C-422/24
Storstockholms Lokaltrafik

Der EuGH hat sich vorliegend mit den Informationspflichten nach der DSGVO beim Einsatz von Bodycams im Zusammenhang mit Fahrscheinkontrollen befasst.

Die Pressemitteilung des EuGH:
DSGVO: Beim Einsatz einer Körperkamera anlässlich der Fahrscheinkontrolle müssen dem betroffenen Fahrgast bestimmte Informationen unmittelbar zur Verfügung gestellt werden

Die wichtigsten Informationen können auf einem Hinweisschild angezeigt werden, während die weiteren an einem leicht zugänglichen Ort zur Verfügung gestellt werden könne.

Ein öffentlicher Verkehrsbetrieb in Stockholm (Schweden) stattet seine Fahrkartenkontrolleure mit Körperkameras aus, um anlässlich der Fahrkartenkontrollen die Fahrgäste zu filmen.

Die schwedische Datenschutzbehörde verhängte gegen dieses Unternehmen wegen Verstößen gegen mehrere Bestimmungen der Datenschutz-Grundverordnung (DSGVO)1 eine Geldbuße. Unter anderem ist sie der Auffassung, dass der Einsatz von Körperkameras die Erhebung personenbezogener Daten unmittelbar bei den gefilmten Personen, die hierüber nur mangelhaft unterrichtet worden seien, ermöglicht habe.

Das Unternehmen bestreitet eine Verletzung der Informationspflicht. Die personenbezogenen Daten seien indirekt erhoben worden, und bei einer solchen Art der Erhebung würden Zeitpunkt und Umfang dieser Verpflichtung anders definiert, so dass die Geldbuße ungerechtfertigt sei.

Das mit diesem Rechtsstreit befasste schwedische Gericht hat den Gerichtshof um Auslegung der DSGVO ersucht.

Nach Auffassung des Gerichtshofs müssen betroffene Personen bestimmte Informationen unmittelbar erhalten, da die mit Körperkameras erlangten Daten unmittelbar4 bei diesen Personen erhoben werden.

Die Einstufung einer Datenerhebung als „unmittelbar“ setzt nämlich weder voraus, dass die betroffene Person Daten wissentlich zur Verfügung stellt, noch bedarf es einer besonderen Handlung dieser Person. Daten, die bei der Beobachtung der Person, die die Quelle dieser Daten ist, gewonnen wurden, werden daher als unmittelbar bei dieser Person erhoben angesehen.

Die zweite Fallgestaltung, in der Daten indirekt erhoben werden, findet Anwendung, wenn der Verantwortliche keinen direkten Kontakt zur betroffenen Person hat und die Daten aus einer anderen Quelle erhält.

Werden die Daten unmittelbar bei der betroffenen Person erhoben, können die Informationspflichten im Rahmen eines mehrstufigen Verfahrens erfüllt werden. Die wichtigsten Informationen können auf einem Hinweisschild angezeigt werden. Die weiteren obligatorischen Informationen können der betroffenen Person in geeigneter und vollständiger Weise an einem leicht zugänglichen Ort zur Verfügung gestellt werden.

Den Volltext der Entscheidung finden Sie hier:

BGH: Schufa muss erledigte Zahlungsstörungen nicht unverzüglich löschen - kürzere Speicherdauer bei besonderem Löschungsinteresse des Betroffenen

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Thu, 18 Dec 2025 09:38:00 +0100

BGH
Urteil vom 18.12.2025
I ZR 97/25

Der BGH hat entschieden, dass Wirtschaftsauskunfteien wie die Schufa erledigte Zahlungsstörungen nicht unverzüglich löschen müssen. Ein Anspruch auf vorzeitige Löschung kann aber bei einem besonderem Löschungsinteresse des Betroffenen bestehen.

Die Pressemitteilung des BGH:
Von Vertragspartnern einer Wirtschaftsauskunftei eingemeldete Daten über Zahlungsstörungen müssen
nicht sofort nach dem Forderungsausgleich gelöscht werden

Die längstmögliche Speicherungsdauer von Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien durch Einmeldungen ihrer Vertragspartner sammeln, wird nicht durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register vorgegeben. Daher müssen solche Daten nicht - wie für die im öffentlichen Schuldnerverzeichnis gespeicherten Daten vorgesehen - sofort mit dem Nachweis des Ausgleichs der betreffenden Forderung gelöscht werden. Das hat der unter anderem für Rechtsstreitigkeiten aus dem Datenschutzrecht zuständige I. Zivilsenat des Bundesgerichtshofs heute entschieden und eine Abgrenzung zu einem vom Gerichtshof der Europäischen Union entschiedenen Fall der Übernahme von Daten aus einem öffentlichen Register vorgenommen. Für die Festlegung der Speicherungsdauer bei nicht aus einem öffentlichen Register übernommenen Daten können von der Aufsichtsbehörde genehmigte Verhaltensregeln herangezogen werden, soweit sie typisiert zu einem angemessenen Interessenausgleich führen und die Besonderheiten des Einzelfalls bei der konkret vorzunehmenden Interessenabwägung hinreichend berücksichtigt werden.

Sachverhalt:

Die beklagte SCHUFA Holding AG betreibt eine Wirtschaftsauskunftei. Sie bewertet die Gefahr eines Zahlungsausfalls der von ihr erfassten natürlichen Personen mit einem Scorewert und gewährt der kreditgebenden Wirtschaft gegen Entgelt Einsicht in ihre Datenbanken. Unter anderem speichert die Beklagte auch Daten zu erledigten Forderungen ihrer Einmelder automatisiert ab.

Die Beklagte speicherte drei gegen den Kläger gerichtete Forderungen für die Dauer von mehreren Jahren nach dem Ausgleich dieser Forderungen. Auf dieser Grundlage ermittelte die Beklagte für den Kläger einen Score-Wert, der die Gefahr eines Zahlungsausfalls als "sehr kritisch" einstufte.

Der Kläger ist der Auffassung, die Beklagte habe mit dieser Datenspeicherung gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Hinsichtlich der Löschungsansprüche haben die Parteien den Rechtsstreit nach der zwischenzeitlich erfolgten Datenlöschung durch die Beklagte für erledigt erklärt. Der Kläger nimmt die Beklagte weiterhin auf Zahlung eines immateriellen Schadensersatzes sowie auf Erstattung von außergerichtlichen Rechtsverfolgungskosten in Anspruch.

Bisheriger Prozessverlauf:

Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat das landgerichtliche Urteil teilweise abgeändert und die Beklagte zur Zahlung von 1.040,50 € nebst Zinsen verurteilt.

Mit ihrer vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihren Antrag auf vollständige Klageabweisung weiter.

Entscheidung des Bundesgerichtshofs:

Die Revision der Beklagten hat Erfolg. Sie führt zur Aufhebung des Berufungsurteils und Zurückverweisung der Sache an das Berufungsgericht.

Wirtschaftsauskunfteien wie die der Beklagten werden zur Wahrung von berechtigten Interessen im Sinn von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO tätig. Dem stehen gewichtige Interessen einer von dieser Datenspeicherung betroffenen Person wie dem Kläger gegenüber.

In seinem Urteil "SCHUFA Holding (Restschuldbefreiung)" vom 7. Dezember 2023 - C- 26/22 und C-64/22 - hat der Gerichtshof der Europäischen Union entschieden, dass Art. 5 Abs. 1 Buchst. a DSGVO in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

Entgegen der Ansicht des Berufungsgerichts folgt daraus nicht, dass bei Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien aufgrund von Einmeldungen ihrer Vertragspartner speichern, um sie zur Grundlage von Bonitätsbeurteilungen zu machen, die längstmögliche Speicherungsdauer durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register - hier im Schuldnerverzeichnis - vorgegeben wird. Die Regelung des § 882e Abs. 3 Nr. 1 ZPO, die bei Nachweis der vollständigen Befriedigung des Gläubigers eine sofortige Löschung von Einträgen im Schuldnerverzeichnis (zu deren Inhalt vgl. § 882b Abs. 2 und 3 ZPO) anordnet, ist nicht auf die Speicherung anderer Daten über Zahlungsstörungen natürlicher Personen (wie Informationen über Gläubiger, Höhe und Inhalt der zugrundeliegenden Forderungen) durch Wirtschaftsauskunfteien anzuwenden. Die vorliegend in Rede stehende Datenspeicherung der Beklagten unterscheidet sich bereits dadurch wesentlich von derjenigen im Vorlageverfahren an den Gerichtshof der Europäischen Union, dass die Beklagte dort Daten aus dem öffentlichen Register - den Insolvenzbekanntmachungen - übernommen und parallel gespeichert hatte, während sie hier nicht auf Daten aus dem Schuldnerverzeichnis zurückgegriffen, sondern von ihren Vertragspartnern gemeldete Daten über Zahlungsstörungen gespeichert hat. Die Erwägung, dass die für die ursprüngliche Datenspeicherung geltende Löschungsfrist nicht durch eine längere Speicherung an anderer Stelle konterkariert werden soll, greift daher im Streitfall nicht.

Für das wiedereröffnete Berufungsverfahren weist der Senat darauf hin, dass es ihm möglich erscheint, bestimmte Speicherungsfristen als Ergebnis einer typisierten Abwägung festzulegen, soweit dabei die Besonderheiten des Einzelfalls hinreichend berücksichtigt werden. Die vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum 1. Januar 2025 genehmigte Ziffer IV.1. Buchst. b der Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien nimmt aus Sicht des Senats grundsätzlich einen angemessenen Interessenausgleich vor. Im Ausgangspunkt (Satz 1) sieht diese Regelung eine Speicherung von personenbezogenen Daten über ausgeglichene Forderungen für drei Jahre vor. Die Speicherung endet jedoch abweichend davon bereits nach 18 Monaten (Satz 2), wenn (1) der Auskunftei bis zu diesem Zeitpunkt keine weiteren Negativdaten gemeldet worden sind, (2) keine Informationen aus dem Schuldnerverzeichnis oder aus Insolvenzbekanntmachungen vorliegen und (3) der Ausgleich der Forderung innerhalb von 100 Tagen nach Einmeldung erfolgte. Dem Schuldner muss es zudem möglich sein, besondere Umstände vorzubringen, die seinem Löschungsinteresse ein wesentlich überdurchschnittliches Gewicht verleihen. In diesem Fall kann die Interessenabwägung ausnahmsweise dazu führen, dass allein eine noch kürzere Speicherungsdauer als angemessen anzusehen ist.

War die von der Beklagten vorgenommene Datenspeicherung nicht über ihren gesamten Zeitraum rechtmäßig, kommt ein Schadensersatzanspruch des Klägers nach Art. 82 Abs. 1 DSGVO grundsätzlich in Betracht und sind dessen weitere Voraussetzungen zu prüfen.

Vorinstanzen:

Landgericht Bonn - Urteil vom 21. Juni 2024 - 20 O 10/24

Oberlandesgericht Köln - Urteil vom 10. April 2025 - 15 U 249/24

EuGH: Betreiber eines Online-Marktplatzes ist für Verarbeitung der personenbezogenen Daten die in veröffentlichenten Angeboten / Anzeigen enthalten sind verantwortlich

nospam@example.com (Rechtsanwalt Marcus Beckmann) — Tue, 02 Dec 2025 15:14:00 +0100

EuGH
Urteil vom 02.12.2025
C-492/23
Russmedia Digital und Inform Media Press

Der EuGH hat entschieden, dass der Betreiber eines Online-Marktplatzes ist für die Verarbeitung der personenbezogenen Daten, die in veröffentlichenten Angeboten / Anzeigen enthalten sind, verantwortlich ist.

Die Pressemitteilung des EuGH:
Datenschutz: Der Betreiber einer Online-Marktplatz-Website ist für die Verarbeitung der personenbezogenen Daten verantwortlich, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind.

In diesem Zusammenhang muss er insbesondere vor der Veröffentlichung die Anzeigen identifizieren, die sensible Daten enthalten, und überprüfen, ob der Inserent tatsächlich die Person ist, deren Daten in einer solchen Anzeige enthalten sind, oder ob er über die ausdrückliche Einwilligung dieser Person verfügt.

Das Unionsrecht verpflichtet den Betreiber einer Online-Marktplatz-Website, im Einklang mit der DSGVO die Verantwortung für die personenbezogenen Daten zu übernehmen, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind. Er muss insbesondere geeignete technische und organisatorische Maßnahmen treffen, um vor der Veröffentlichung diejenigen Anzeigen zu identifizieren, die sensible Daten enthalten, und überprüfen, ob der Inserent tatsächlich die Person ist, deren Daten in einer solchen Anzeige enthalten sind. Ist dies nicht der Fall, hat der Betreiber die Veröffentlichung der Anzeige zu verweigern, es sei denn, der Inserent kann nachweisen, dass die betroffene Person ausdrücklich in diese Veröffentlichung eingewilligt hat oder dass die Veröffentlichung unter eine der anderen nach der DSGVO vorgesehenen Ausnahmen fällt . Außerdem muss der Betreiber Maßnahmen durchführen, um zu verhindern, dass solche Anzeigen, wenn sie auf seiner Plattform veröffentlicht werden, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden. Im Übrigen kann er sich diesen Verpflichtungen auch nicht unter Berufung auf die Richtlinie 2000/31/EG3 entziehen, die u. a. Artikel enthält, die sich auf Sachlagen beziehen, in denen Anbieter von Diensten der Informationsgesellschaft nicht verantwortlich gemacht werden können.

Das Unionsrecht verpflichtet den Betreiber einer Online-Marktplatz-Website, im Einklang mit der DSGVO die Verantwortung für die personenbezogenen Daten zu übernehmen, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind. Er muss insbesondere geeignete technische und organisatorische Maßnahmen treffen, um vor der Veröffentlichung diejenigen Anzeigen zu identifizieren, die sensible Daten enthalten, und überprüfen, ob der Inserent tatsächlich die Person ist, deren Daten in einer solchen Anzeige enthalten sind. Ist dies nicht der Fall, hat der Betreiber die Veröffentlichung der Anzeige zu verweigern, es sei denn, der Inserent kann nachweisen, dass die betroffene Person ausdrücklich in diese Veröffentlichung eingewilligt hat oder dass die Veröffentlichung unter eine der anderen nach der DSGVO vorgesehenen Ausnahmen fällt . Außerdem muss der Betreiber Maßnahmen durchführen, um zu verhindern, dass solche Anzeigen, wenn sie auf seiner Plattform veröffentlicht werden, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden. Im Übrigen kann er sich diesen Verpflichtungen auch nicht unter Berufung auf die Richtlinie 2000/31/EG entziehen, die u. a. Artikel enthält, die sich auf Sachlagen beziehen, in denen Anbieter von Diensten der Informationsgesellschaft nicht verantwortlich gemacht werden können.

Russmedia Digital, eine Gesellschaft rumänischen Rechts, ist Eigentümerin der Website www.publi24.ro, Diese Website ist ein Online-Marktplatz, auf dem Anzeigen kostenlos oder kostenpflichtig veröffentlicht werden können.

Diese Anzeigen betreffen u. a. den Verkauf von Waren oder die Erbringung von Dienstleistungen in Rumänien. Am 1. August 2018 veröffentlichte eine nicht identifizierte Person auf dieser Website eine Nachricht, in der behauptet wurde, dass eine Frau sexuelle Dienstleistungen anbiete. Die Anzeige enthielt Fotos von ihr, die ohne ihre Einwilligung verwendet wurden, sowie ihre Telefonnummer. Die Frau hielt die Anzeige für irreführend und schadensstiftend; sie forderte daher den Eigentümer der Website auf, sie zu entfernen. Innerhalb einer Stunde nach dieser Aufforderung entfernte Russmedia Digital die Veröffentlichung. Die betreffende Anzeige war jedoch bereits auf anderen Websites verbreitet worden, auf denen sie verfügbar blieb.

Unter diesen Umständen ging die Frau, die der Ansicht war, dass die Anzeige ihre Rechte am eigenen Bild, auf Schutz der Ehre, des guten Rufs und des Privatlebens verletze sowie gegen die Vorschriften über die Verarbeitung personenbezogener Daten verstoße, in Rumänien vor Gericht. Das Gericht erster Instanz Cluj-Napoca (Klausenburg) gab ihr Recht und verurteilte Russmedia Digital zur Zahlung von 7 000 Euro als immateriellem Schadensersatz. In der Berufungsinstanz sprach das Fachgericht Cluj das Unternehmen jedoch von seiner Verantwortlichkeit frei und stufte es als einen bloßen Hosting-Anbieter ein, der nicht für den von seinen Nutzern veröffentlichten Inhalt verantwortlich sei.

Das Opfer legte daraufhin ein Rechtsmittel beim Berufungsgericht Cluj ein. Dieses Gericht beschloss, den Gerichtshof anzurufen, um Klarheit über die Auslegung des Unionsrechts zu erhalten, insbesondere zu den Verpflichtungen, die einem Betreiber eines Online-Marktplatzes nach der DSGVO obliegen, sowie zu der Frage, ob dieser sich aufgrund der in der Richtlinie 2000/31 vorgesehenen Haftungsbefreiung für Anbieter von Diensten der Informationsgesellschaft diesen Verpflichtungen entziehen kann.

In seinem heutigen Urteil entscheidet der Gerichtshof, dass der Betreiber eines Online-Marktplatzes wie Russmedia Digital im Sinne der DSGVO für die Verarbeitung der personenbezogenen Daten verantwortlich ist, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden. Denn auch wenn die Anzeige von einem Nutzer platziert wird, wird sie nur dank dem Online-Marktplatz im Internet veröffentlicht und den Internetnutzern somit zugänglich gemacht.

Daher muss der Betreiber eines Online-Marktplatzes vor der Veröffentlichung dieser Anzeigen durch geeignete technische und organisatorische Maßnahmen diejenigen Anzeigen identifizieren, die sensible Daten enthalten, wie jene, um die es sich in der vorliegenden Rechtssache handelt, und überprüfen, ob der Nutzer, der im Begriff ist, eine solche Anzeige zu platzieren, die Person ist, deren sensible Daten darin enthalten sind.

Ist dies nicht der Fall, muss er überprüfen, ob die Person, deren Daten veröffentlicht werden, in die Veröffentlichung ausdrücklich eingewilligt hat. Ohne diese Einwilligung hat der Betreiber eines OnlineMarktplatzes die Veröffentlichung der fraglichen Anzeige zu verweigern, es sei denn, diese fällt unter eine der anderen nach der DSGVO vorgesehenen Ausnahmen. Außerdem muss sich der Betreiber eines Online-Marktplatzes bemühen zu verhindern, dass Anzeigen mit sensiblen Daten, die auf seiner Website veröffentlicht werden, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden. Zu diesem Zweck muss er geeignete technische und organisatorische Schutzmaßnahmen treffen.

Schließlich stellt der Gerichtshof klar, dass sich der Betreiber eines Online-Marktplatzes nicht unter Berufung auf die in der Richtlinie 2000/31 vorgesehene Haftungsbefreiung diesen Verpflichtungen, die ihm gemäß der DSGVO obliegen, entziehen kann.

Den Volltext der Entscheidung finden Sie hier: