Datenschutz

Ein Blick in die DSGVO-Absurdität: Warum eine Google-Recherche 250 Euro kosten kann

Wolfgang Riegger

Das Amtsgericht Düsseldorf hat mit seinem Urteil vom 19. August 2025 (Az. 42 C 61/25) eine Entscheidung getroffen, die erneut zeigt, welche absurden Blüten die Datenschutz-Grundverordnung (DSGVO) in der Praxis treiben kann.

Die Fallkonstellation: Recherche im Rechtsstreit

Ein Unternehmen hatte sich gegen eine Klage verteidigt, die von einem Kläger eingereicht wurde, der sich zuvor bei ihm beworben hatte. Um die Glaubwürdigkeit des Klägers zu überprüfen und einen möglichen Missbrauch zu klären, führte das Unternehmen eine Recherche durch – ganz einfach per Google. Dabei stieß es auf Informationen, die es für den Rechtsstreit als relevant ansah und in einem Schriftsatz vor Gericht verwendete. Was das Unternehmen jedoch versäumte: Es informierte den Kläger nicht unmittelbar über die durchgeführte Recherche.

Was das Gericht sagt: Der Recherche ist die Transparenz zu folgen

Das Gericht stellte fest, dass die Recherche an sich zulässig war, da sie der Wahrung berechtigter Interessen des Unternehmens diente, nämlich der Rechtsverteidigung in einem Gerichtsverfahren. Das Amtsgericht Düsseldorf stellte klar, dass dies auch gilt, wenn die Ergebnisse der Google-Suche negative oder abwertende Inhalte über die betroffene Person zutage fördern.

Der entscheidende Haken, der die Verurteilung auslöste, war die fehlende Information des Klägers über die Datenerhebung. Nach Ansicht des Gerichts genügte es nicht, die Recherche-Ergebnisse lediglich im gerichtlichen Schriftsatz zu erwähnen. Das Unternehmen hätte den Kläger vielmehr „unverzüglich“ und „unmittelbar“ nach der Durchführung der Recherche über die Kategorien der verarbeiteten Daten informieren müssen.

Immaterieller Schaden ohne „Erheblichkeit“: Der Kontrollverlust genügt

Das Urteil unterstreicht, dass bereits ein einfacher Verstoß gegen die Informationspflicht einen Anspruch auf immateriellen Schadensersatz auslösen kann. Ein „erheblicher Nachteil“ der betroffenen Person ist dabei nicht erforderlich. Das Gericht beruft sich hierbei auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH), wonach bereits der „Verlust der Kontrolle“ über die eigenen Daten einen ersatzfähigen immateriellen Schaden darstellt, selbst wenn es zu keiner missbräuchlichen Verwendung gekommen ist.

Besonders bemerkenswert ist, dass das Gericht dem Kläger in diesem Fall einen Schadensersatz von 250 Euro zusprach. Zur Begründung wurde darauf hingewiesen, dass die Recherche im Gegensatz zu anderen Fällen keine Außenwirkung hatte, da sie ausschließlich im Rahmen des Rechtsstreits stattfand. Zudem berücksichtigte das Gericht, dass der Kläger nach eigenen Angaben bereits eine Vielzahl vergleichbarer Verfahren geführt hatte und ein Datenschutzverstoß für ihn daher eine geringere „Strahlkraft“ habe.

Ein Fazit, das die Absurditäten der DSGVO offenlegt

Dieses Urteil ist ein beispielhafter Beweis für die Absurditäten der DSGVO. Es macht deutlich, dass selbst ein Unternehmen, das sich in einem Gerichtsverfahren wehrt und dafür im Internet frei verfügbare Informationen über den Kläger recherchiert, in eine DSGVO-Falle tappen kann. Die DSGVO verlangt hier nicht nur Transparenz, sie verlangt sie unverzüglich. Die Folgen sind bekannt: Auch wenn man alles richtig gemacht hat, kann man wegen eines Formfehlers zu Schadensersatz verurteilt werden.

An dieser Stelle drängt sich der Verweis auf unser Blog-Update vom 5. September 2025 auf. Dort haben wir bereits dargelegt, wie die aktuelle Rechtsprechung die DSGVO-Auswüchse weiter befeuert. Insbesondere sei hier auf das jüngste Urteil des EuGH vom 4. September 2025 (Az. C-655/23) verwiesen, das dem Trend des „Schadensersatzes ohne Schaden“ Tür und Tor öffnet und die Situation für Unternehmen noch weiter verschärft.

Gericht: Amtsgericht Düsseldorf
Datum: 19.08.2025
Aktenzeichen: 42 C 61/25
Fundstelle: GRUR-RS 2025, 22886

DSGVO-Schadensersatz: EuGH öffnet die Tore, BGH zeigt die Notbremse für Blogs

Wolfgang Riegger

Die Datenschutz-Grundverordnung (DSGVO) ist für viele Unternehmer ein Feld voller rechtlicher Minen. Besonders die Frage, wann und in welcher Höhe Schadensersatz für Datenschutzverstöße zu zahlen ist, sorgt für massive Unsicherheit. Zwei hochkarätige Urteile des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) stecken das Spielfeld nun neu ab. Das Ergebnis: Die Haftungsrisiken steigen, doch es gibt auch neue, wichtige Verteidigungsmöglichkeiten.

1. EuGH: Jeder Ärger zählt – Die Schwelle für Schadensersatz fällt

In einer grundlegenden Entscheidung hat der EuGH (Urteil vom 4. September 2025, Az. C-655/23) die Hürden für Kläger, die einen immateriellen Schaden nach Art. 82 DSGVO geltend machen, praktisch eingerissen. Der Fall war alltäglich: Eine Bank hatte im Rahmen eines Bewerbungsprozesses eine Nachricht mit Gehaltsdetails versehentlich an einen Dritten geschickt. Der Kläger forderte Schadensersatz für die Sorge, den Kontrollverlust über seine Daten und die empfundene Bloßstellung.

Die Kernaussagen des EuGH sind für Unternehmen alarmierend:

  • Keine „Bagatellgrenze“: Für einen ersatzfähigen Schaden muss keine Erheblichkeitsschwelle überschritten werden. Bloße negative Gefühle wie Ärger, Unmut, Sorge oder Angst, die aus dem Verstoß resultieren, können ausreichen, um einen Schadensersatzanspruch zu begründen.
  • Verschulden irrelevant für die Höhe: Bei der Bemessung der Entschädigungshöhe darf der Grad des Verschuldens (also ob der Fehler fahrlässig oder vorsätzlich geschah) keine Rolle spielen. Der Schadensersatz soll allein den erlittenen Schaden ausgleichen, nicht den Verantwortlichen bestrafen.

Das Urteil öffnet Tür und Tor für eine Klagewelle, die das eigentliche Schutzziel der DSGVO ad absurdum führen könnte. Wenn bereits alltägliche negative Empfindungen, die nach Ansicht des vorlegenden Gerichts zum „allgemeinen Lebensrisiko“ gehören, für einen Anspruch ausreichen, wird aus dem Datenschutzrecht ein Reparaturbetrieb für Befindlichkeiten. Für Unternehmen bedeutet dies eine Rechtsunsicherheit. Jeder noch so kleine Fehler, wie ein falsch adressierter Newsletter, kann nun potenziell zu Schadensersatzforderungen führen.

Zudem hebelt der EuGH damit faktisch die bisherige, differenziertere Rechtsprechung des BGH aus. Dieser hatte zwar jüngst den „Kontrollverlust“ über Daten ebenfalls als Schaden anerkannt, jedoch verlangten deutsche Gerichte bislang oft einen substantiierten Vortrag, worin der Schaden konkret besteht. Diese Anforderung dürfte nach dem Verdikt aus Luxemburg schwer haltbar sein. Der Kläger muss zwar weiterhin nachweisen, dass der Verstoß die negativen Gefühle verursacht hat, die Messlatte dafür liegt nun aber niedrig.

2. BGH: Die Ausnahme für die Öffentlichkeit – Das unterschätzte Medienprivileg

Während der EuGH die Haftung ausweitet, liefert der BGH in einer anderen Entscheidung (Urteil vom 29. Juli 2025, Az. VI ZR 426/24) eine wichtige Einschränkung, die für viele Blogger relevant ist: das Medienprivileg nach Art. 85 DSGVO.

In dem Fall nutzte eine rechtsextreme Kleinstpartei den Namen eines Politikers der Linken auf ihrem Telegram-Kanal, um für eine Demonstration zu werben. Der Politiker klagte unter anderem auf Schadensersatz nach der DSGVO – und scheiterte.

Die Begründung des BGH ist ein Weckruf für alle, die öffentlich kommunizieren:

  • Journalismus ist nicht nur Presse: Die Verarbeitung von Daten „zu journalistischen Zwecken“ ist von vielen strengen DSGVO-Regeln ausgenommen. Der BGH legt diesen Begriff sehr weit aus. Er umfasst jede Tätigkeit, die darauf abzielt, Informationen in der Öffentlichkeit zu verbreiten und an der Meinungsbildung mitzuwirken.
  • Auch Parteien und Unternehmen können „Journalisten“ sein: Dieses Privileg gilt nicht nur für klassische Medien. Auch ein Telegram-Kanal einer politischen Partei kann darunterfallen. Entscheidend ist der Zweck der Veröffentlichung, nicht die Organisationsform.
  • Folge: Kein DSGVO-Anspruch: Unterfällt eine Veröffentlichung dem Medienprivileg, sind zentrale DSGVO-Vorschriften wie Art. 6 (Rechtmäßigkeit) nicht anwendbar. Damit entfällt auch die Grundlage für einen Schadensersatzanspruch nach Art. 82 DSGVO, der auf der Verletzung dieser Vorschriften beruht.

Aber: Der BGH stellte jedoch auch unmissverständlich klar: Nur weil der DSGVO-Anspruch durch das Medienprivileg blockiert ist, bedeutet das keinen Freifahrtschein. Ansprüche aus nationalem Recht, insbesondere wegen der Verletzung des allgemeinen Persönlichkeitsrechts (§ 823 BGB), bleiben davon unberührt und können parallel bestehen. Genau hier nahm der BGH eine entscheidende Weichenstellung vor und erklärte den Unterschied zwischen einem Unterlassungsanspruch (der in erster Instanz bereits erfolgreich war) und einem Anspruch auf Geldentschädigung. Der Unterlassungsanspruch (präventiv): Dieser Anspruch hat eine niedrigere Hürde. Um eine Äußerung für die Zukunft zu verbieten, reicht es bereits aus, wenn sie mehrdeutig ist und eine der möglichen Interpretationen die Rechte einer Person verletzt. Es geht darum, potenziellem Schaden vorzubeugen. Der Schadensersatzanspruch (Sanktion): Hier liegt die Messlatte höher. Da es sich um eine Sanktion für einen bereits entstandenen Schaden handelt, muss bei mehrdeutigen Äußerungen die für den Beklagten günstigste und den Kläger am wenigsten verletzende Deutungsvariante zugrunde gelegt werden.

3. Fazit:

à Risiko-Maximierung bei internen Prozessen: Nach dem EuGH-Urteil muss jeder interne Prozess, bei dem personenbezogene Daten verarbeitet werden (HR, Marketing, Vertrieb), absolut wasserdicht sein. Die Verteidigung, ein Fehler habe „keinen echten Schaden“ verursacht, ist massiv geschwächt.

-> Risiko-Minimierung bei öffentlicher Kommunikation: Wenn Ihr Unternehmen öffentlich kommuniziert – sei es über einen Corporate Blog, Pressemitteilungen oder Social-Media-Kanäle – und damit zur öffentlichen Meinungsbildung beiträgt, könnten Sie sich auf das Medienprivileg berufen. Dies kann ein starker Schutzschild gegen Schadensersatzforderungen nach der DSGVO sein.

-> Nationales Recht bleibt bestehen: Achtung: Das Medienprivileg schützt nur vor den Ansprüchen aus der DSGVO. Ansprüche aus anderen Gesetzen, wie dem allgemeinen Persönlichkeitsrecht, bleiben davon unberührt.

Gericht, Datum, Aktenzeichen:

Europäischer Gerichtshof (EuGH), Urteil vom 4. September 2025, Az. C-655/23

Bundesgerichtshof (BGH), Urteil vom 29. Juli 2025, Az. VI ZR 426/24

Datenschutz beim Einsatz externer Terminverwaltungs- und KI-Dienstleister – nicht nur für Ärzte relevant

Wolfgang Riegger

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 16. Juni 2025 ein Positionspapier zum datenschutzkonformen Einsatz externer Terminverwaltungsdienste veröffentlicht. Anlass war die zunehmende Auslagerung der Terminorganisation in Arzt- und Zahnarztpraxen. Die darin formulierten Anforderungen lassen sich jedoch in weiten Teilen auf andere Berufsgruppen wie Rechtsanwälte, Steuerberater, Architekten sowie Unternehmen übertragen, die personenbezogene Daten verarbeiten oder KI-gestützte Systeme nutzen.

Das Papier stellt klar, unter welchen Voraussetzungen die Beauftragung externer Anbieter zulässig ist und welche Pflichten bestehen.

Zulässigkeit der Beauftragung

Die Einbindung eines externen Dienstleisters zur Terminorganisation stellt regelmäßig eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO dar. Eine gesonderte Einwilligung der betroffenen Personen ist nicht erforderlich, sofern die Datenverarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen notwendig ist. Maßgeblich ist der Grundsatz der Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für die Organisation des jeweiligen Termins erforderlich sind.

Datenminimierung und Zweckbindung

Eine pauschale Übermittlung sämtlicher Stammdaten aller Mandanten oder Kunden ist unzulässig. Für die Terminvereinbarung erforderlich sind in der Regel Name, Kontaktdaten, Terminart und gegebenenfalls die Zuordnung zu einem konkreten Vorgang oder Aktenzeichen. Eine weitergehende Speicherung darf nur erfolgen, wenn sie für die Erfüllung gesetzlicher Aufbewahrungspflichten oder Dokumentationspflichten erforderlich ist.

Keine Nutzung zu eigenen Zwecken

Die vom Dienstleister verarbeiteten Daten dürfen ausschließlich im Rahmen des Auftrags und nach Weisung der verantwortlichen Stelle verwendet werden. Eine Nutzung zu eigenen Zwecken, etwa zur Profilbildung oder für Marketingmaßnahmen, ist unzulässig. Im Falle eines Verstoßes besteht für die verantwortliche Stelle die Pflicht, unverzüglich Maßnahmen zur Herstellung eines datenschutzkonformen Zustands zu treffen.

Erinnerungs- und Servicenachrichten

Die Versendung von Terminerinnerungen oder Servicehinweisen per SMS oder E-Mail stellt eine zusätzliche Verarbeitung dar, für die regelmäßig eine ausdrückliche Einwilligung der betroffenen Personen erforderlich ist. Diese Einwilligung sollte dokumentiert werden.

Löschung nach Zweckerfüllung

Nach Durchführung des Termins sind die erhobenen Daten grundsätzlich zeitnah zu löschen, soweit sie nicht in die Pflichtdokumentation übernommen werden. Die Einträge in einem Online-Terminkalender unterliegen in der Regel keiner gesonderten Aufbewahrungspflicht und sind daher nach Ablauf des Zwecks zu entfernen.

Technisch-organisatorische Maßnahmen

Verantwortliche müssen sicherstellen, dass geeignete technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Dazu zählen insbesondere eine verschlüsselte Datenübertragung, Zugriffsbeschränkungen, Protokollierung von Zugriffen, Mandantentrennung beim Anbieter sowie Maßnahmen zur Verfügbarkeit und Integrität der Systeme. Diese Vorkehrungen sind vertraglich festzulegen.

Besonderheiten bei KI-Assistenzsystemen und Cloud-Lösungen

Der Einsatz KI-gestützter Systeme oder cloudbasierter Terminverwaltungsdienste unterliegt denselben Vorgaben der Auftragsverarbeitung. Dabei ist zusätzlich zu prüfen, ob der Anbieter Daten in Drittstaaten verarbeitet. Ist dies der Fall, müssen geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen, beispielsweise Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission.

Informationspflichten

Nach Art. 13 DSGVO besteht die Pflicht, betroffene Personen transparent über die Datenverarbeitung zu informieren. Hierzu gehört insbesondere die namentliche Benennung des Dienstleisters, die Darstellung der Zwecke der Verarbeitung sowie der Rechtsgrundlagen und der Speicherdauer.

Übertragbarkeit auf andere Berufsgruppen

Die im Positionspapier beschriebenen Grundsätze gelten nicht nur für Arztpraxen, sondern in vergleichbarer Weise auch für andere Berufsgruppen mit besonderen Verschwiegenheitspflichten. Rechtsanwälte, Steuerberater, Wirtschaftsprüfer oder Architekten müssen bei der Nutzung von Terminportalen oder KI-Assistenzsystemen sicherstellen, dass Vertraulichkeit und Datenschutz jederzeit gewahrt bleiben. Die datenschutzrechtlichen Pflichten bestehen unabhängig von der Unternehmensgröße und auch dann, wenn moderne digitale Werkzeuge eingesetzt werden.

Fazit

Das aktuelle Positionspapier der Datenschutzkonferenz verdeutlicht die hohen Anforderungen an eine datenschutzkonforme Einbindung externer Dienstleister und KI-gestützter Systeme. Verantwortliche sollten bestehende Verträge, Prozesse und Informationspflichten prüfen und anpassen, um die rechtlichen Vorgaben umzusetzen und das Vertrauen der Mandanten, Kunden oder Patienten zu wahren.

Verarbeitung von Nutzerdaten für KI-Training: OLG Köln weist Verfügungsantrag gegen Meta-Tochter ab

Wolfgang Riegger

Nachdem Meta im April 2025 ankündigte, öffentlich zugängliche Inhalte von Facebook- und Instagram-Nutzern für das Training eines KI-Modells verwenden zu wollen, wurde dies bereits breit diskutiert. Nun liegt die vollständige Entscheidung des OLG Köln vor.

Ein Verbraucherschutzverband beantragte im Eilverfahren:

  1. Untersagung des KI-Trainings mit öffentlich zugänglichen personenbezogenen Daten aus Facebook und Instagram – gestützt auf berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
  2. Hilfsweise Verbot der Zusammenführung solcher Daten aus beiden Diensten ohne Einwilligung – gemäß Art. 5 Abs. 2 DMA.

Der „Digital Markets Act“ (DMA) ist eine EU-Verordnung, die faire Wettbewerbsbedingungen auf digitalen Plattformmärkten schaffen soll. Sie richtet sich an besonders mächtige Internetunternehmen (sog. „Torwächter“) und legt ihnen spezifische Verhaltenspflichten auf. Unter anderem verbietet der DMA das Zusammenführen personenbezogener Daten aus verschiedenen Plattformdiensten, wenn keine wirksame Einwilligung der Nutzer vorliegt.

OLG Köln: Gesamtabweisung der Anträge

Das Gericht lehnte beide Anträge ab:

  • Kein DMA-Verstoß: Eine rein unspezifische Einbindung in einen KI-Datensatz stellt keine „gezielte Zusammenführung“ im Sinne des DMA dar.
  • DSGVO – berechtigtes Interesse bejaht: Meta verfolge legitime Zwecke beim KI-Training; die Mittel seien angemessen und keine mildere Alternative gegeben.
  • Transparenz & Opt-out: Ab 26. Juni 2024 sei die Nutzung öffentlich bewusst erfolgt und Nutzer konnten per Widerspruch oder Profiländerung aktiv intervenieren.

Gerichtliche Schwerpunktsetzung

  • Sensible Daten: Selbst sensible Infos aus öffentlichen Beiträgen könne nach Art. 9 Abs. 2 lit. e DSGVO zulässig sein – sofern solche Daten aktiv veröffentlicht wurden.
  • Rolle der Aufsichtsbehörden: Im Verfahren wurden die irische Datenschutzaufsicht, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sowie der Europäische Datenschutzausschuss angehört. Keine dieser Behörden hatte Einwände gegen das aktualisierte Konzept von Meta.

Bewertung für Unternehmer & Plattformbetreiber

  • Leitlinie für KI-Projekte: Öffentlich zugängliche Inhalte dürfen – unter Bedingungen – auch ohne Einwilligung genutzt werden.
  • Erforderliche Voraussetzungen: Vollständige Transparenz, leicht umsetzbares Opt-out, technische Maßnahmen zur De-Identifikation.
  • Rechtliche Grenzen: Das Urteil ist einstweilig; im Hauptsacheverfahren könnten strengere Anforderungen folgen, besonders bei sensiblen Informationen oder Profilbildung.
  • DMA bleibt im Fokus: Höhere instanzliche Klärung nötig, wenn Gerätearten aus verschiedenen Plattformen individuell personalisiert zusammengeführt werden.

Fazit

Das OLG Köln stärkt temporär die Position von KI-Anbietern, indem es öffentlich verwendete Nutzer-Daten unter klaren Bedingungen erlaubt. Dennoch bleibt Wachsamkeit geboten: Hauptsacheverfahren, künftige Gesetzgebung (s. AI-VO) und mögliche Entwicklungen in Bezug auf sensible Daten oder Profiling können die Rechtslage erneut verschärfen. Dieses Urteil liefert einen plausiblen Rahmen – aber keine umfassende Legalisierung.

Es ist zudem wichtig zu beachten, dass sich das Gericht in dieser Entscheidung ausschließlich mit datenschutzrechtlichen und DMA-rechtlichen Fragen befasst hat. Urheberrechtliche Aspekte – etwa ob die Verwendung von Fotos, Texten oder Videos für KI-Training zulässig ist – waren nicht Gegenstand der Entscheidung und bleiben daher unbeantwortet. Das OLG Köln stärkt temporär die Position von KI-Anbietern, indem es öffentlich verwendete Nutzer-Daten unter klaren Bedingungen erlaubt. Dennoch bleibt Wachsamkeit geboten: Hauptsacheverfahren, künftige Gesetzgebung (s. AI-VO) und mögliche Entwicklungen in Bezug auf sensible Daten oder Profiling können die Rechtslage erneut verschärfen. Dieses Urteil liefert einen plausiblen Rahmen – aber keine umfassende Legalisierung.

Nachtrag zum Blogbeitrag vom 28. Mai 2025 – Korrektur und Analyse zum Urteil des VG Hannover zur Cookie-Banner-Gestaltung und zum Einsatz des Google Tag Managers

Wolfgang Riegger

In unserem Blogbeitrag vom 28. Mai 2025 berichteten wir über das Urteil des Verwaltungsgerichts (VG) Hannover zur datenschutzkonformen Gestaltung von Cookie-Bannern und dem Einsatz des Google Tag Managers (GTM). Damals stützten wir uns auf die Pressemitteilung des Gerichts. Inzwischen liegt das Urteil im Volltext vor, und es gibt wichtige Klarstellungen durch den Klägervertreter, Rechtsanwalt Stephan Hansen-Oest.

Klarstellung durch den Klägervertreter

Rechtsanwalt Stephan Hansen-Oest, der die Klägerin – ein Verlagshaus – in dem Verfahren vertritt, hat in seinem aktuellen Newsletter mitgeteilt, dass die Pressemitteilung des Gerichts wichtige Differenzierungen nicht abbildet. Insbesondere stellt er klar, dass die Vertreterinnen der Aufsichtsbehörde während der mündlichen Verhandlung erklärten, dass der Einsatz des Google Tag Managers nicht pauschal einwilligungspflichtig sei. Es gäbe Konfigurationen, die keine Einwilligung erforderten. Im konkreten Fall sei jedoch aufgrund der Ergebnisse des IT-Prüflabors eine Einwilligung erforderlich gewesen. Diese Differenzierung fehlt im Urteil, was zu Missverständnissen führen kann. RA Hansen-Oest hat daher für seine Mandantin einen Antrag auf Zulassung der Berufung gestellt. Das Verfahren ist nun beim Niedersächsischen Oberverwaltungsgericht anhängig.

Wesentliche Inhalte des Urteils

1. Gestaltung des Cookie-Banners

Das VG Hannover stellte fest, dass die Gestaltung des Cookie-Banners der Klägerin nicht den Anforderungen an eine informierte, freiwillige und eindeutige Einwilligung gemäß § 25 TTDSG und Art. 6 Abs. 1 lit. a DSGVO entspricht. Kritisiert wurden insbesondere:

  • Fehlende „Alles ablehnen“-Schaltfläche auf der ersten Ebene des Banners.
  • Irreführende Beschriftungen wie „optimales Nutzungserlebnis“ und „akzeptieren und schließen“.
  • Unklare Anzahl der eingebundenen Partner und Drittdienste.
  • Wesentliche Informationen, wie das Widerrufsrecht und Datenverarbeitung in Drittstaaten, waren erst nach Scrollen sichtbar.

Diese Gestaltung führte dazu, dass Nutzer keine informierte, freiwillige und eindeutige Einwilligung geben konnten.

2. Einsatz des Google Tag Managers

Das Gericht entschied, dass der Einsatz des Google Tag Managers einer ausdrücklichen Einwilligung bedarf. Der Dienst greife auf Endgeräte zu, indem er Skripte und Cookies setze, was eine ausdrückliche Zustimmung notwendig mache. Der Zweck des Dienstes sei allein, andere Dienste leichter einzubinden, was jedoch nur ein Vorteil für den Websitebetreiber und nicht für den Nutzer sei. Da es an einer Zustimmung fehle, sei der Einsatz rechtswidrig.

3. Zuständigkeit der Datenschutzbehörde

Das VG Hannover bestätigte die Zuständigkeit des Landesbeauftragten für den Datenschutz Niedersachsen für die Überwachung und Einhaltung von § 25 TTDSG. Es handele sich um eine „andere datenschutzrechtliche Bestimmung“ im Sinne des § 20 Abs. 1 NDSG, wodurch die Behörde befugt sei, die Einhaltung des § 25 TTDSG zu überwachen.

Fazit

Das Urteil des VG Hannover betont die Bedeutung einer klaren Gestaltung von Cookie-Bannern und die Notwendigkeit einer Einwilligung für bestimmte Dienste wie den Google Tag Manager. Allerdings zeigt die Kritik von RA Hansen-Oest, dass eine pauschale Bewertung des Einsatzes des Google Tag Managers nicht angemessen ist. Es kommt auf die konkrete Konfiguration an. Webseitenbetreiber sollten daher sorgfältig prüfen, ob und in welcher Form der Dienst eingesetzt wird und ob eine Einwilligung erforderlich ist.

Cookie-Banner müssen fair sein: Verwaltungsgericht Hannover stärkt Datenschutz durch Pflicht zur „Alles ablehnen“-Schaltfläche

Wolfgang Riegger

Nahezu jede Webseite konfrontiert Nutzerinnen und Nutzer heute mit einem sogenannten Cookie-Banner. Oft dominieren diese durch die prominente Platzierung einer „Alle akzeptieren“-Schaltfläche, während eine Option zur Ablehnung nur versteckt oder gar nicht angeboten wird. Dass dies nicht dem geltenden Datenschutzrecht entspricht, stellte das Verwaltungsgericht Hannover nun klar.

Hintergrund des Verfahrens

Gegenstand des Urteils war eine Anordnung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gegenüber einem Medienhaus, das mittels eines Cookie-Banners Einwilligungen einholte – jedoch ohne echte Wahlmöglichkeit. Der LfD beanstandete dies als Verstoß gegen § 25 TDDDG (ehemals TTDSG) sowie Art. 4 Nr. 11 und Art. 7 DSGVO.

Die Entscheidung des Gerichts

Das Verwaltungsgericht Hannover bestätigte die Sichtweise der Aufsichtsbehörde. Webseitenbetreiber, so das Gericht, müssen bei Einwilligungsbannern eine gleichwertig sichtbare „Alles ablehnen“-Schaltfläche auf derselben Ebene wie die „Alle akzeptieren“-Option anbieten.

Zudem erkannte das Gericht mehrere Verstöße:

  • Das Ablehnen war umständlicher als das Akzeptieren.
  • Wiederholende Banner zwangen zur Einwilligung.
  • Irreführende Begriffe wie „optimales Nutzungserlebnis“ und „akzeptieren und schließen“.
  • Fehlender Begriff der „Einwilligung“.
  • Unklare Anzahl an Drittanbietern.
  • Wesentliche Informationen (z. B. Widerrufsrecht, Datenübertragung in Drittstaaten) nur nach Scrollen sichtbar.

Diese Ausgestaltung führte dazu, dass keine informierte, freiwillige und eindeutige Einwilligung im Sinne der DSGVO vorlag – und die Nutzung personenbezogener Daten somit rechtswidrig war.

Bedeutung für Webseitenbetreiber

Das Urteil hat weitreichende Bedeutung für alle Betreiber von Webseiten, die auf Nutzertracking oder Online-Werbung setzen. Es macht deutlich, dass manipulative Gestaltung von Cookie-Bannern nicht zulässig ist. Eine echte Wahlmöglichkeit – insbesondere durch eine gleichwertige „Alles ablehnen“-Schaltfläche – ist zwingend.

Fazit

Die Entscheidung stärkt die Rechte der Nutzerinnen und Nutzer im digitalen Raum und gibt den Datenschutzaufsichtsbehörden Rückenwind bei der Durchsetzung datenschutzkonformer Gestaltung von Einwilligungsprozessen. Für Unternehmen bedeutet dies: Cookie-Banner müssen neu gedacht werden – klar, transparent und fair.

Gericht: Verwaltungsgericht Hannover
Datum der Entscheidung: 19. März 2025
Aktenzeichen: 10 A 5385/22

Aktuell liegt die Entscheidung im Volltext noch nicht vor, nur die Pressemitteilung des Gerichts.

LG München I: Google muss Identität hinter Kununu-Bewertungen offenlegen

Wolfgang Riegger

Das Landgericht München I (Beschluss vom 19.02.2025 – 25 O 9210/24, GRUR-RS 2025, 3167) hat entschieden, dass auch der Betreiber eines E-Mail-Dienstes – hier: Google mit seinem Dienst Gmail – zur Auskunft über Nutzerdaten verpflichtet ist, wenn über die jeweilige E-Mail-Adresse rechtsverletzende Inhalte auf anderen Plattformen verbreitet wurden. Es geht um sogenannte „Kettenauskünfte“, die bei anonymen Onlinebewertungen auf Portalen wie Kununu eine zentrale Rolle spielen können.

Hintergrund

Ein mittelständisches Unternehmen aus der Automobilbranche sah sich im Juni und Juli 2022 mehreren negativen Bewertungen auf dem Arbeitgeber-Bewertungsportal Kununu ausgesetzt. Zwei davon waren besonders rufschädigend: Unter den Überschriften „Außen hui innen pfui“ und „Traumschiff Surprise, planlos durch all Geschäftsleitung schreibt die positiven Bewertungen“ wurden dem Unternehmen unter anderem Umweltverstöße sowie altersdiskriminierende Kündigungen vorgeworfen.

Kununu konnte dem Unternehmen lediglich die hinterlegten Gmail-Adressen der Verfasser mitteilen, da keine weiteren Daten gespeichert waren. Um die Identität der Bewertenden festzustellen und mögliche zivilrechtliche Ansprüche durchzusetzen, beantragte das Unternehmen beim LG München I die Gestattung und Verpflichtung zur Auskunft gegenüber Google LLC.

Das Unternehmen beantragte u.a., die Gestattung und Verpflichtung zur Auskunft über

  • – Name,
  • – Anschrift sowie
  • – Geburtsdatum der Gmail-Nutzer, deren Adressen Kununu mitgeteilt hatte.

    Die Entscheidung

    Das Gericht entschied wie folgt:

    • – Google muss Name und Anschrift der Gmail-Nutzer herausgeben, soweit diese Daten gespeichert sind.
    • – Die Herausgabe des Geburtsdatums wurde abgelehnt.

    Wesentliche Erwägungen

    1. Anwendung des TDDDG auf Gmail: Gmail ist ein „digitaler Dienst“ im Sinne des § 21 TDDDG. Dass es sich auch um einen Telekommunikationsdienst i.S.d. TKG handelt, steht der parallelen Anwendung des TDDDG nicht entgegen.
    2. Kettenauskunft zulässig: Der Auskunftsanspruch erfordert keine unmittelbare Verbreitung der rechtsverletzenden Inhalte über den Dienst von Google. Maßgeblich ist allein, dass Google als Anbieter der zur Identifikation notwendigen E-Mail-Adresse auftritt.
    3. Rechtswidrigkeit der Bewertungen: Das Gericht stufte bestimmte Passagen der Kununu-Bewertungen – etwa über das angebliche Kippen von Ölen in Abflüsse oder die Entlassung älterer Mitarbeiter – als unwahre Tatsachenbehauptungen ein, die den Tatbestand der §§ 185, 186 StGB verwirklichen.
    4. Kein Anspruch auf Geburtsdatum: Für die zivilrechtliche Anspruchsverfolgung reichten Name und Anschrift aus. Das Geburtsdatum sei hierfür nicht erforderlich.

    Fazit

    Diese Entscheidung stärkt die Position von Unternehmen im Kampf gegen anonyme, potenziell rufschädigende Online-Bewertungen. Sie zeigt, dass über § 21 TDDDG eine lückenlose Identifizierung auch dann möglich ist, wenn Plattformen wie Kununu nur E-Mail-Adressen speichern. Besonders praxisrelevant ist die Feststellung, dass auch Google als Betreiber von Gmail zur Auskunft verpflichtet werden kann – selbst wenn Gmail selbst nicht zur Veröffentlichung der Bewertungen genutzt wurde.

    Datenschutz im Internet: TTDSG tritt ab 01.12.2021 in Kraft

    Wolfgang Riegger

    Ab 01. Dezember 2021 tritt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel des Gesetzes ist es, die bereichspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz zu überführen und diese den Vorgaben der DSGVO und der sog. ePrivacy-Richtlinie anzupassen.

    Einer der Schwerpunkte des neuen Gesetzes ist – bezogen auf den Datenschutz bei Webseiten – die (Neu-)Regelung von Cookies bzw. Cookie-Bannern.

    Jeder Internetnutzer kennt die Cookie-Banner, die auf das Setzen sog. Cookies hinweisen. Die wenigsten Nutzer beschäftigten sich auch wirklich mit dem Inhalt der entsprechenden Cookie-Banner und klicken auf „Zustimmen“ oder ähnliche vorformulierte Einwilligungserklärungen, um die Webseite auch nutzen zu können. Gerade auch wegen dieses typischen Nutzerverhaltens waren diverse Gestaltungen von Cookie-Bannern in den letzten zwei bis drei Jahren vermehrt Gegenstand gerichtlicher Entscheidungen.

    Das neue TTDSG erlaubt nun explizit den Einsatz sog. „Personal Information Management-Systeme“ (kurz „PIMS“). „PIMS“ ist eine Software, die Nutzern mehr Kontrolle über ihre Daten geben soll. Der Anwender kann mithilfe von „PIMS“ auf seinem jeweiligen Endgerät abspeichern, welche Einwilligungen er erteilen möchte und welche nicht. Es können also Voreinstellungen für die Nutzung von Cookies für alle Webseiten festgelegt werden, so dass nicht auf jeder Webseite eine gezielte Auswahl der zu setzenden Cookies getroffen werden muss. Die Webseite erkennt beim Aufrufen der Webseite das benutzte „PIMS“, so dass der für viele lästige Cookie-Banner erst gar nicht erscheint und weggeklickt werden muss.

    Allerdings wird nicht jedes „PIMS“ vom neuen TTDSG akzeptiert. Das Gesetz sieht ein Anerkenntnisverfahren für solche Software vor. Das bedeutet, dass der jeweilige Softwareanbieter eines „PIMS“ künftig ein Anerkennungsverfahren durchlaufen muss. Dieses kann nur erfolgreich durchlaufen werden, wenn bestimmte Anforderungen an das „PIMS“ erfüllt werden: So muss die Software insbesondere wettbewerbsneutral und unabhängig von den Tools sein, für die die Einwilligung erfolgen soll. Das genaue Verfahren dazu soll in einer Rechtsverordnung geregelt werden.

    Damit die lästigen Cookie-Banner tatsächlich verschwinden, muss die Bundesregierung also zunächst eine (wirksame) Verordnung erlassen, in der die verschiedenen Voraussetzungen festgelegt werden. Sodann muss es natürlich ausreichend Anbieter solcher Software geben, die auch bereit sind, das Anerkennungsverfahren zu durchlaufen. Und schließlich müssen die Nutzer die „PIMS“ auch tatsächlich nutzen. Es dürfte also noch eine Weile dauern, bis die lästigen Cookie-Banner tatsächlich verschwinden.

    Sofern kein „PIMS“ eingesetzt wird, enthält das TTDSG die Vorgabe, dass Cookies nur mit Einwilligung des Nutzers gesetzt werden dürfen.

    § 25 Abs. 1 Satz 1 TTDSG bestimmt dies explizit. Allerdings gibt es auch Ausnahmen. § 25 Abs. 2 TTDSG regelt, dass eine Einwilligung nicht erforderlich ist, wenn der alleinige Zweck der Speicherung die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder – dies ist die wichtige Ausnahme für die Webseitenbetreiber – die Speicherung von Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

    Letztgenannte Ausnahme sind die “technisch notwendigen Cookies“.

    Dies sind z.B. Cookies, die einen Login auf eine Seite ermöglichen oder die für die Nutzung eines Warenkorbs eines Onlineshops nötig sind. Eine konkrete Definition im Gesetz, wann ein Cookie „unbedingt erforderlich“ ist, findet sich allerdings nicht.

    Hier wird es also weiterhin Aufgabe der Gerichte sein, die „unbedingte Erforderlichkeit“ von Cookies zu bestimmen. Mit sehr großer Wahrscheinlichkeit gehören allerdings Tracking-Cookies, die lediglich Marketingzwecken dienen oder personalisierte Werbung ermöglichen sollen, nicht dazu.

    Kein immaterieller Schadenersatz nach DSGVO bei unerlaubter E-Mail-Werbung

    Wolfgang Riegger

    Das Amtsgericht Hamburg-Bergedorf musste über die Frage entscheiden, ob die unerlaubte Zusendung eines Werbe-E-Mails einen immateriellen Schadenersatzanspruch nach DSGVO auslöst (Urteil vom 07.12.2020, Az.: 410d C 197/20).

    Art. 82 Abs. 1 DSGVO regelt, dass bei Verstößen gegen die DSGVO ein Anspruch auf materiellen oder immateriellen Schadenersatz bestehen kann.

    Da in aller Regel der Nachweis eines tatsächlichen materiellen Schadens in der Praxis sehr schwierig ist, stellt sich nun die Frage, unter welchen Voraussetzungen ein sog. immaterieller Schadenersatz – auch landläufig als Schmerzensgeld bezeichnet – geltend gemacht werden kann.

    Der Datenschutz wird abgeleitet aus dem sog. informationellen Selbstbestimmungsrecht einer Person und ist somit Teil des allgemeinen Persönlichkeitsrechts. Bis zum Inkrafttreten der DSGVO gewährte die Rechtsprechung nur dann einen Anspruch auf immateriellen Schadenersatz – im Persönlichkeitsrecht als Geldentschädigung bezeichnet -, wenn eine besonders schwere Persönlichkeitsrechtsverletzung vorlag.

    Nachdem nach Inkrafttreten der DSGVO das Gesetz für Datenschutzverstöße einen solchen Anspruch auf Zahlung eines immateriellen Schadenersatzes dem Grunde nach vorsieht, stellt sich die Frage, unter welchen Voraussetzungen ein solcher immaterieller Schadenersatz zu gewähren ist.

    Der Großteil der juristischen Fachliteratur und zum Teil auch der Gerichte vertritt dabei die Auffassung, dass – anders als noch nach altem deutschem Recht – für die Gewährung eines solchen immateriellen Schadenersatzes bei Datenschutzverstößen keine besonders schwere Persönlichkeitsrechtsverletzung vorliegen muss.

    Allerdings wird auch das Problem gesehen, dass nicht jeglicher Datenschutzverstoß – quasi automatisch – einen immateriellen Schadenersatz nach sich ziehen kann. Die genauen Voraussetzungen dafür, wann ein solcher immaterieller Schadenersatz zu gewähren ist und wann nicht, sind im Einzelnen aber umstritten.

    Das Amtsgericht hat sich nun in seinem Urteil der Rechtsauffassung angeschlossen, dass jedenfalls derjenige, der einen immateriellen Schadenersatzanspruch geltend macht, darlegen und gegebenenfalls auch beweisen muss, dass er einen solchen Schaden tatsächlich erlitten habe. Ob dann ein immaterieller Schadenersatz zu gewähren sei, hänge sodann von den objektiv benennbaren Beeinträchtigungen des Geschädigten ab, so das Amtsgericht. Ein bloßer Ärger oder Unannehmlichkeiten genügen nach Auffassung des Amtsgerichtes dafür nicht.

    Da es im vorliegenden Fall lediglich um die unerlaubte Zusendung eines Werbe-E-Mails ging, stufte das Amtsgericht den Verstoß als nicht schwer genug ein. Eine solche Werbe-E-Mail sei zwar eventuell belästigend, jedoch sei dies keine Beeinträchtigung, die für einen immateriellen Schadenersatzanspruches ausreiche, so das Amtsgericht.

    Den gleichzeitig geltend gemachten Unterlassungsanspruch bejahte das Gericht aber.

    Die Frage, wann und unter welchen Voraussetzungen ein immaterieller Schadenersatz zu gewähren ist und v.a. auch, in welcher Höhe immaterieller Schadensersatz zu gewähren ist, wird sicherlich auch noch in den nächsten Jahren, und zwar bis zu einer grundlegenden Entscheidung durch den Europäischen Gerichtshof sicherlich noch lange umstritten sein.

    Neues zur DSGVO

    Wolfgang Riegger

    Zwei aktuelle Urteile gibt es zu Fragen des Datenschutzes auf Grundlage der DSGVO, die unterschiedlicher nicht sein könnten:

    Zum einen ein Urteil des Europäischen Gerichtshofes (EuGH), der zur Frage der Haftung für die Integrierung des Facebook-Like-Buttons auf die eigene Webseite sehr strenge Maßstäbe anlegt. Zum anderen ein Urteil des Oberlandesgerichts (OLG) Frankfurt/Main, in dem insbesondere ein Instrument aus dem Online-Marketing nach wie vor für zulässig erachtet wird.

    Mit Urteil vom 29.07.2019, Az.: C-40/17, hat der EuGH – eigentlich wenig überraschend – klargestellt, dass der Betreiber einer Webseite, welcher den Facebook-Like-Button auf seine Seite einbindet, für Datenschutzverstöße, die von Facebook begangen werden, mithaftet.

    Dies bedeutet also, dass der Webseitenbetreiber in Fällen, in denen er den Facebook-Like-Button auf seine Webseite einbindet, den Nutzer über den Umfang der Nutzung seiner Daten aufklären und insbesondere auch eine Einwilligung für die Übertragung der Daten an Facebook in die USA einholen muss. Das Problem: Da Facebook nicht aufklärt, was genau mit den Nutzerdaten dort geschieht, kann natürlich auch ein Webseitenbetreiber nicht korrekt aufklären. Dies hat zur Folge, dass ein Unternehmen den Facebook-Like-Button auf seine eigene Webseite am besten nicht einbindet. Was natürlich möglich ist, ist die Verlinkung auf die eigene Facebook-Seite, wobei allerdings auch hier gewisse Zweifel daran bestehen, ob derzeit überhaupt ein Unternehmen auf Facebook eine entsprechende Seite betreiben kann, ohne gegen die DSGVO zu verstoßen. Insoweit bleibt es bei der bisherigen Unsicherheit.

    Aus dem EuGH-Urteil gehen noch zwei weitere Punkte hervor, die bislang umstritten waren und die sicherlich auch nicht zugunsten eines Unternehmens entschieden worden sind:

    So hat der EuGH klargestellt, dass für sog. Tracking-Cookies der Webseitenbetreiber immer eine Einwilligung einzuholen hat. Alleine der Hinweis auf die Verwendung entsprechender Cookies auf der eigenen Webseite und das typische „Wegklicken“ des Cookie-Hinweises dürfte also wohl nicht mehr ausreichen.

    Darüber hinaus hat der EuGH klargestellt, dass ein Verbraucherschutzverband einen Verstoß gegen die DSGVO abmahnen darf. Dies könnte natürlich dazu führen, dass sich Wettbewerbs- und Verbraucherschutzverbände nun vermehrt um solche möglichen DSGVO-Verstöße kümmern werden und also Abmahnungen drohen.

    Ein Lichtblick dagegen ist das Urteil des OLG Frankfurt für den Bereich des Online-Marketings:

    Bei der Entscheidung ging es u.a. um das in der Vergangenheit typische verwendete „datenschutzrechtliche Geben und Nehmen“: Der Nutzer darf an einem Gewinnspiel des Unternehmens teilnehmen, gibt dafür im Gegenzug seine Einwilligung zum Erhalt von Newslettern.

    Nach Inkrafttreten der DSGVO war vielfach die Meinung zu lesen, dass eine solche Kopplung zwischen Teilnahme an einem Gewinnspiel gegen Einwilligung zum Newsletter-Erhalt eine unzulässige Kopplung sei, weil eine Einwilligung stets freiwillig erteilt werden müsse und es in einem solchen Fall an der Freiwilligkeit fehle.

    Das OLG Frankfurt hat mit Urteil vom 27.06.2019, Az.: 6 U 6/19, jedoch den Deal „Daten gegen Leistung“ nicht grundsätzlich verboten, sondern erlaubt. In dem vorliegenden Fall hatte ein Energieunternehmen ein Gewinnspiel angeboten. Der Nutzer konnte daran teilnehmen, musste allerdings dafür eine Einwilligung in Werbeanrufe des Energieversorgers erteilen. Zwar wurde dem Energieunternehmen diese Praxis untersagt. In diesem Fall allerdings nur deshalb, weil das Unternehmen die Einwilligung des Nutzers nicht nachweisen konnte.

    Da es im vorliegenden Fall um einen Werbeanruf ging und keine Verifikation der Telefonnummer erfolgte, untersagte das OLG diese Praxis, urteilte jedoch auch, dass eine typische Einwilligung im Wege des Double-Opt-Ins (wie sie insbesondere bei der Newsletter-Werbung verwendet wird) in Ordnung sei. Auch hatte das OLG grundsätzlich keine Probleme mit der Freiwilligkeit. Das Gericht stellte klar, dass jeder Nutzer freiwillig entscheiden könne, ob er seine Daten preisgibt, um am Gewinnspiel teilzunehmen oder eben nicht.

    Wichtig ist aber weiterhin zweierlei:

    Zum einen muss die Einwilligungserklärung für den Nutzer klar formuliert sein und er muss wissen, in welche Art der Werbung er einwilligt, ob seine E-Mail-Adresse an Dritte weitergegeben wird, wenn ja, an wen etc.

    Des Weiteren muss die Einwilligung im Wege des Douple-Opt-Ins erfolgen, damit nachher eine Einwilligung auch für das Unternehmen nachweisbar ist.