DSGVO

Ein Blick in die DSGVO-Absurdität: Warum eine Google-Recherche 250 Euro kosten kann

Wolfgang Riegger

Das Amtsgericht Düsseldorf hat mit seinem Urteil vom 19. August 2025 (Az. 42 C 61/25) eine Entscheidung getroffen, die erneut zeigt, welche absurden Blüten die Datenschutz-Grundverordnung (DSGVO) in der Praxis treiben kann.

Die Fallkonstellation: Recherche im Rechtsstreit

Ein Unternehmen hatte sich gegen eine Klage verteidigt, die von einem Kläger eingereicht wurde, der sich zuvor bei ihm beworben hatte. Um die Glaubwürdigkeit des Klägers zu überprüfen und einen möglichen Missbrauch zu klären, führte das Unternehmen eine Recherche durch – ganz einfach per Google. Dabei stieß es auf Informationen, die es für den Rechtsstreit als relevant ansah und in einem Schriftsatz vor Gericht verwendete. Was das Unternehmen jedoch versäumte: Es informierte den Kläger nicht unmittelbar über die durchgeführte Recherche.

Was das Gericht sagt: Der Recherche ist die Transparenz zu folgen

Das Gericht stellte fest, dass die Recherche an sich zulässig war, da sie der Wahrung berechtigter Interessen des Unternehmens diente, nämlich der Rechtsverteidigung in einem Gerichtsverfahren. Das Amtsgericht Düsseldorf stellte klar, dass dies auch gilt, wenn die Ergebnisse der Google-Suche negative oder abwertende Inhalte über die betroffene Person zutage fördern.

Der entscheidende Haken, der die Verurteilung auslöste, war die fehlende Information des Klägers über die Datenerhebung. Nach Ansicht des Gerichts genügte es nicht, die Recherche-Ergebnisse lediglich im gerichtlichen Schriftsatz zu erwähnen. Das Unternehmen hätte den Kläger vielmehr „unverzüglich“ und „unmittelbar“ nach der Durchführung der Recherche über die Kategorien der verarbeiteten Daten informieren müssen.

Immaterieller Schaden ohne „Erheblichkeit“: Der Kontrollverlust genügt

Das Urteil unterstreicht, dass bereits ein einfacher Verstoß gegen die Informationspflicht einen Anspruch auf immateriellen Schadensersatz auslösen kann. Ein „erheblicher Nachteil“ der betroffenen Person ist dabei nicht erforderlich. Das Gericht beruft sich hierbei auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH), wonach bereits der „Verlust der Kontrolle“ über die eigenen Daten einen ersatzfähigen immateriellen Schaden darstellt, selbst wenn es zu keiner missbräuchlichen Verwendung gekommen ist.

Besonders bemerkenswert ist, dass das Gericht dem Kläger in diesem Fall einen Schadensersatz von 250 Euro zusprach. Zur Begründung wurde darauf hingewiesen, dass die Recherche im Gegensatz zu anderen Fällen keine Außenwirkung hatte, da sie ausschließlich im Rahmen des Rechtsstreits stattfand. Zudem berücksichtigte das Gericht, dass der Kläger nach eigenen Angaben bereits eine Vielzahl vergleichbarer Verfahren geführt hatte und ein Datenschutzverstoß für ihn daher eine geringere „Strahlkraft“ habe.

Ein Fazit, das die Absurditäten der DSGVO offenlegt

Dieses Urteil ist ein beispielhafter Beweis für die Absurditäten der DSGVO. Es macht deutlich, dass selbst ein Unternehmen, das sich in einem Gerichtsverfahren wehrt und dafür im Internet frei verfügbare Informationen über den Kläger recherchiert, in eine DSGVO-Falle tappen kann. Die DSGVO verlangt hier nicht nur Transparenz, sie verlangt sie unverzüglich. Die Folgen sind bekannt: Auch wenn man alles richtig gemacht hat, kann man wegen eines Formfehlers zu Schadensersatz verurteilt werden.

An dieser Stelle drängt sich der Verweis auf unser Blog-Update vom 5. September 2025 auf. Dort haben wir bereits dargelegt, wie die aktuelle Rechtsprechung die DSGVO-Auswüchse weiter befeuert. Insbesondere sei hier auf das jüngste Urteil des EuGH vom 4. September 2025 (Az. C-655/23) verwiesen, das dem Trend des „Schadensersatzes ohne Schaden“ Tür und Tor öffnet und die Situation für Unternehmen noch weiter verschärft.

Gericht: Amtsgericht Düsseldorf
Datum: 19.08.2025
Aktenzeichen: 42 C 61/25
Fundstelle: GRUR-RS 2025, 22886

DSGVO-Schadensersatz: EuGH öffnet die Tore, BGH zeigt die Notbremse für Blogs

Wolfgang Riegger

Die Datenschutz-Grundverordnung (DSGVO) ist für viele Unternehmer ein Feld voller rechtlicher Minen. Besonders die Frage, wann und in welcher Höhe Schadensersatz für Datenschutzverstöße zu zahlen ist, sorgt für massive Unsicherheit. Zwei hochkarätige Urteile des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) stecken das Spielfeld nun neu ab. Das Ergebnis: Die Haftungsrisiken steigen, doch es gibt auch neue, wichtige Verteidigungsmöglichkeiten.

1. EuGH: Jeder Ärger zählt – Die Schwelle für Schadensersatz fällt

In einer grundlegenden Entscheidung hat der EuGH (Urteil vom 4. September 2025, Az. C-655/23) die Hürden für Kläger, die einen immateriellen Schaden nach Art. 82 DSGVO geltend machen, praktisch eingerissen. Der Fall war alltäglich: Eine Bank hatte im Rahmen eines Bewerbungsprozesses eine Nachricht mit Gehaltsdetails versehentlich an einen Dritten geschickt. Der Kläger forderte Schadensersatz für die Sorge, den Kontrollverlust über seine Daten und die empfundene Bloßstellung.

Die Kernaussagen des EuGH sind für Unternehmen alarmierend:

  • Keine „Bagatellgrenze“: Für einen ersatzfähigen Schaden muss keine Erheblichkeitsschwelle überschritten werden. Bloße negative Gefühle wie Ärger, Unmut, Sorge oder Angst, die aus dem Verstoß resultieren, können ausreichen, um einen Schadensersatzanspruch zu begründen.
  • Verschulden irrelevant für die Höhe: Bei der Bemessung der Entschädigungshöhe darf der Grad des Verschuldens (also ob der Fehler fahrlässig oder vorsätzlich geschah) keine Rolle spielen. Der Schadensersatz soll allein den erlittenen Schaden ausgleichen, nicht den Verantwortlichen bestrafen.

Das Urteil öffnet Tür und Tor für eine Klagewelle, die das eigentliche Schutzziel der DSGVO ad absurdum führen könnte. Wenn bereits alltägliche negative Empfindungen, die nach Ansicht des vorlegenden Gerichts zum „allgemeinen Lebensrisiko“ gehören, für einen Anspruch ausreichen, wird aus dem Datenschutzrecht ein Reparaturbetrieb für Befindlichkeiten. Für Unternehmen bedeutet dies eine Rechtsunsicherheit. Jeder noch so kleine Fehler, wie ein falsch adressierter Newsletter, kann nun potenziell zu Schadensersatzforderungen führen.

Zudem hebelt der EuGH damit faktisch die bisherige, differenziertere Rechtsprechung des BGH aus. Dieser hatte zwar jüngst den „Kontrollverlust“ über Daten ebenfalls als Schaden anerkannt, jedoch verlangten deutsche Gerichte bislang oft einen substantiierten Vortrag, worin der Schaden konkret besteht. Diese Anforderung dürfte nach dem Verdikt aus Luxemburg schwer haltbar sein. Der Kläger muss zwar weiterhin nachweisen, dass der Verstoß die negativen Gefühle verursacht hat, die Messlatte dafür liegt nun aber niedrig.

2. BGH: Die Ausnahme für die Öffentlichkeit – Das unterschätzte Medienprivileg

Während der EuGH die Haftung ausweitet, liefert der BGH in einer anderen Entscheidung (Urteil vom 29. Juli 2025, Az. VI ZR 426/24) eine wichtige Einschränkung, die für viele Blogger relevant ist: das Medienprivileg nach Art. 85 DSGVO.

In dem Fall nutzte eine rechtsextreme Kleinstpartei den Namen eines Politikers der Linken auf ihrem Telegram-Kanal, um für eine Demonstration zu werben. Der Politiker klagte unter anderem auf Schadensersatz nach der DSGVO – und scheiterte.

Die Begründung des BGH ist ein Weckruf für alle, die öffentlich kommunizieren:

  • Journalismus ist nicht nur Presse: Die Verarbeitung von Daten „zu journalistischen Zwecken“ ist von vielen strengen DSGVO-Regeln ausgenommen. Der BGH legt diesen Begriff sehr weit aus. Er umfasst jede Tätigkeit, die darauf abzielt, Informationen in der Öffentlichkeit zu verbreiten und an der Meinungsbildung mitzuwirken.
  • Auch Parteien und Unternehmen können „Journalisten“ sein: Dieses Privileg gilt nicht nur für klassische Medien. Auch ein Telegram-Kanal einer politischen Partei kann darunterfallen. Entscheidend ist der Zweck der Veröffentlichung, nicht die Organisationsform.
  • Folge: Kein DSGVO-Anspruch: Unterfällt eine Veröffentlichung dem Medienprivileg, sind zentrale DSGVO-Vorschriften wie Art. 6 (Rechtmäßigkeit) nicht anwendbar. Damit entfällt auch die Grundlage für einen Schadensersatzanspruch nach Art. 82 DSGVO, der auf der Verletzung dieser Vorschriften beruht.

Aber: Der BGH stellte jedoch auch unmissverständlich klar: Nur weil der DSGVO-Anspruch durch das Medienprivileg blockiert ist, bedeutet das keinen Freifahrtschein. Ansprüche aus nationalem Recht, insbesondere wegen der Verletzung des allgemeinen Persönlichkeitsrechts (§ 823 BGB), bleiben davon unberührt und können parallel bestehen. Genau hier nahm der BGH eine entscheidende Weichenstellung vor und erklärte den Unterschied zwischen einem Unterlassungsanspruch (der in erster Instanz bereits erfolgreich war) und einem Anspruch auf Geldentschädigung. Der Unterlassungsanspruch (präventiv): Dieser Anspruch hat eine niedrigere Hürde. Um eine Äußerung für die Zukunft zu verbieten, reicht es bereits aus, wenn sie mehrdeutig ist und eine der möglichen Interpretationen die Rechte einer Person verletzt. Es geht darum, potenziellem Schaden vorzubeugen. Der Schadensersatzanspruch (Sanktion): Hier liegt die Messlatte höher. Da es sich um eine Sanktion für einen bereits entstandenen Schaden handelt, muss bei mehrdeutigen Äußerungen die für den Beklagten günstigste und den Kläger am wenigsten verletzende Deutungsvariante zugrunde gelegt werden.

3. Fazit:

à Risiko-Maximierung bei internen Prozessen: Nach dem EuGH-Urteil muss jeder interne Prozess, bei dem personenbezogene Daten verarbeitet werden (HR, Marketing, Vertrieb), absolut wasserdicht sein. Die Verteidigung, ein Fehler habe „keinen echten Schaden“ verursacht, ist massiv geschwächt.

-> Risiko-Minimierung bei öffentlicher Kommunikation: Wenn Ihr Unternehmen öffentlich kommuniziert – sei es über einen Corporate Blog, Pressemitteilungen oder Social-Media-Kanäle – und damit zur öffentlichen Meinungsbildung beiträgt, könnten Sie sich auf das Medienprivileg berufen. Dies kann ein starker Schutzschild gegen Schadensersatzforderungen nach der DSGVO sein.

-> Nationales Recht bleibt bestehen: Achtung: Das Medienprivileg schützt nur vor den Ansprüchen aus der DSGVO. Ansprüche aus anderen Gesetzen, wie dem allgemeinen Persönlichkeitsrecht, bleiben davon unberührt.

Gericht, Datum, Aktenzeichen:

Europäischer Gerichtshof (EuGH), Urteil vom 4. September 2025, Az. C-655/23

Bundesgerichtshof (BGH), Urteil vom 29. Juli 2025, Az. VI ZR 426/24

Kein Schadensersatz nach Art. 82 DSGVO bei rein hypothetischem Risiko

Wolfgang Riegger

Die Datenschutz-Grundverordnung (DSGVO) hat die Haftungsrisiken für Unternehmen und Behörden, die mit personenbezogenen Daten arbeiten, erheblich verschärft. Insbesondere der in Art. 82 DSGVO geregelte Anspruch auf immateriellen Schadensersatz – umgangssprachlich auch Schmerzensgeld genannt – sorgt seit Langem für Unsicherheit. Wann genau liegt ein ersatzfähiger Schaden vor? Der Bundesgerichtshof (BGH), AZ: VI ZR 186/22, hat hierzu eine wichtige Klarstellung getroffen, die für die Praxis von großer Bedeutung ist.

Worum ging es in dem Fall?

Ein Unternehmer, der nach eigener Aussage explosionsgefährliche Stoffe vertreibt und deshalb einem erhöhten, abstrakten Sicherheitsrisiko ausgesetzt ist, hatte gegen eine Stadt geklagt. Die Stadt hatte über einen längeren Zeitraum hinweg gerichtliche Empfangsbekenntnisse per unverschlüsseltem Fax an ein Verwaltungsgericht gesendet. Diese Faxe enthielten lediglich den Nachnamen des Unternehmers und das jeweilige Aktenzeichen.

Der Kläger war der Ansicht, dass die unverschlüsselte Übermittlung seiner Daten ein rechtswidriger Verstoß gegen die DSGVO sei und verlangte eine Geldentschädigung. Er argumentierte, dass die Daten von Dritten hätten abgefangen werden können, was potenzielle Täter in die Lage versetzen würde, seine private Anschrift zu ermitteln und ihn körperlich zu gefährden. Das Landgericht und das Oberlandesgericht hatten ihm teilweise recht gegeben und der Stadt zur Zahlung von 7.000 € verurteilt.

Das Urteil des Bundesgerichtshofs: Ein hypothetisches Risiko reicht nicht aus

Der BGH hob die Urteile der Vorinstanzen auf und wies die Klage des Unternehmers ab. Er stellte klar, dass ein bloßer Verstoß gegen die DSGVO allein nicht automatisch einen Anspruch auf Schadensersatz begründet. Die betroffene Person muss vielmehr einen tatsächlich erlittenen materiellen oder immateriellen Schaden nachweisen. Eine „Befürchtung“ eines möglichen Schadens kann zwar unter bestimmten Umständen einen ersatzfähigen immateriellen Schaden darstellen. Doch dies gilt nicht für ein „rein hypothetisches Risiko“ der missbräuchlichen Verwendung von Daten durch unbefugte Dritte.

Im vorliegenden Fall sah der BGH keine Anhaltspunkte für einen tatsächlichen „Kontrollverlust“ über die Daten. Die bloße theoretische Möglichkeit, dass die Faxe abgefangen werden könnten, reiche nicht aus, um einen ersatzfähigen Schaden zu begründen. Die vom Kläger dargelegten Gefahren für Leib und Leben seien in diesem Kontext lediglich als abstrakt und wenig wahrscheinlich einzustufen.

Auch die Auffassung der Vorinstanzen, der Schadensersatz diene auch dem Schutz vor zukünftigen Verstößen, wurde vom BGH zurückgewiesen. Der BGH betonte, dass der Schadensersatz nach Art. 82 DSGVO keine Straf-, sondern eine Ausgleichsfunktion hat.

Was bedeutet das für Unternehmer und Praxis?

Das Urteil stärkt die Position von datenverarbeitenden Stellen, also Unternehmen und Behörden. Es verdeutlicht, dass nicht jeder, noch so kleine, Datenschutzverstoß sofort zu einer Schadensersatzpflicht führt. Der bloße „Verlust der Kontrolle“ über Daten, der in manchen Fällen bereits als Schaden gewertet wird, liegt nicht automatisch vor, nur weil die Möglichkeit eines unberechtigten Zugriffs besteht.

Für die Geltendmachung eines Schadensersatzanspruchs nach der DSGVO ist es somit entscheidend, dass die betroffene Person konkrete, nachweisbare negative Folgen des Verstoßes darlegen kann. Eine rein spekulative Befürchtung reicht nicht aus.

Fazit

Das Urteil des BGH bringt eine dringend benötigte Rechtssicherheit für alle, die im Geschäftsleben oder in der Verwaltung mit personenbezogenen Daten arbeiten. Es zieht eine klare Linie zwischen einem tatsächlichen Schaden und einem bloß theoretischen Risiko. Dennoch bleibt die Einhaltung der DSGVO-Vorschriften von zentraler Bedeutung, da Verstöße weiterhin mit Bußgeldern geahndet werden können.

Gericht, Datum, Aktenzeichen:

Bundesgerichtshof, Urteil vom 13. Mai 2025 Az.: VI ZR 186/22

Verarbeitung von Nutzerdaten für KI-Training: OLG Köln weist Verfügungsantrag gegen Meta-Tochter ab

Wolfgang Riegger

Nachdem Meta im April 2025 ankündigte, öffentlich zugängliche Inhalte von Facebook- und Instagram-Nutzern für das Training eines KI-Modells verwenden zu wollen, wurde dies bereits breit diskutiert. Nun liegt die vollständige Entscheidung des OLG Köln vor.

Ein Verbraucherschutzverband beantragte im Eilverfahren:

  1. Untersagung des KI-Trainings mit öffentlich zugänglichen personenbezogenen Daten aus Facebook und Instagram – gestützt auf berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
  2. Hilfsweise Verbot der Zusammenführung solcher Daten aus beiden Diensten ohne Einwilligung – gemäß Art. 5 Abs. 2 DMA.

Der „Digital Markets Act“ (DMA) ist eine EU-Verordnung, die faire Wettbewerbsbedingungen auf digitalen Plattformmärkten schaffen soll. Sie richtet sich an besonders mächtige Internetunternehmen (sog. „Torwächter“) und legt ihnen spezifische Verhaltenspflichten auf. Unter anderem verbietet der DMA das Zusammenführen personenbezogener Daten aus verschiedenen Plattformdiensten, wenn keine wirksame Einwilligung der Nutzer vorliegt.

OLG Köln: Gesamtabweisung der Anträge

Das Gericht lehnte beide Anträge ab:

  • Kein DMA-Verstoß: Eine rein unspezifische Einbindung in einen KI-Datensatz stellt keine „gezielte Zusammenführung“ im Sinne des DMA dar.
  • DSGVO – berechtigtes Interesse bejaht: Meta verfolge legitime Zwecke beim KI-Training; die Mittel seien angemessen und keine mildere Alternative gegeben.
  • Transparenz & Opt-out: Ab 26. Juni 2024 sei die Nutzung öffentlich bewusst erfolgt und Nutzer konnten per Widerspruch oder Profiländerung aktiv intervenieren.

Gerichtliche Schwerpunktsetzung

  • Sensible Daten: Selbst sensible Infos aus öffentlichen Beiträgen könne nach Art. 9 Abs. 2 lit. e DSGVO zulässig sein – sofern solche Daten aktiv veröffentlicht wurden.
  • Rolle der Aufsichtsbehörden: Im Verfahren wurden die irische Datenschutzaufsicht, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sowie der Europäische Datenschutzausschuss angehört. Keine dieser Behörden hatte Einwände gegen das aktualisierte Konzept von Meta.

Bewertung für Unternehmer & Plattformbetreiber

  • Leitlinie für KI-Projekte: Öffentlich zugängliche Inhalte dürfen – unter Bedingungen – auch ohne Einwilligung genutzt werden.
  • Erforderliche Voraussetzungen: Vollständige Transparenz, leicht umsetzbares Opt-out, technische Maßnahmen zur De-Identifikation.
  • Rechtliche Grenzen: Das Urteil ist einstweilig; im Hauptsacheverfahren könnten strengere Anforderungen folgen, besonders bei sensiblen Informationen oder Profilbildung.
  • DMA bleibt im Fokus: Höhere instanzliche Klärung nötig, wenn Gerätearten aus verschiedenen Plattformen individuell personalisiert zusammengeführt werden.

Fazit

Das OLG Köln stärkt temporär die Position von KI-Anbietern, indem es öffentlich verwendete Nutzer-Daten unter klaren Bedingungen erlaubt. Dennoch bleibt Wachsamkeit geboten: Hauptsacheverfahren, künftige Gesetzgebung (s. AI-VO) und mögliche Entwicklungen in Bezug auf sensible Daten oder Profiling können die Rechtslage erneut verschärfen. Dieses Urteil liefert einen plausiblen Rahmen – aber keine umfassende Legalisierung.

Es ist zudem wichtig zu beachten, dass sich das Gericht in dieser Entscheidung ausschließlich mit datenschutzrechtlichen und DMA-rechtlichen Fragen befasst hat. Urheberrechtliche Aspekte – etwa ob die Verwendung von Fotos, Texten oder Videos für KI-Training zulässig ist – waren nicht Gegenstand der Entscheidung und bleiben daher unbeantwortet. Das OLG Köln stärkt temporär die Position von KI-Anbietern, indem es öffentlich verwendete Nutzer-Daten unter klaren Bedingungen erlaubt. Dennoch bleibt Wachsamkeit geboten: Hauptsacheverfahren, künftige Gesetzgebung (s. AI-VO) und mögliche Entwicklungen in Bezug auf sensible Daten oder Profiling können die Rechtslage erneut verschärfen. Dieses Urteil liefert einen plausiblen Rahmen – aber keine umfassende Legalisierung.

Cookie-Banner müssen fair sein: Verwaltungsgericht Hannover stärkt Datenschutz durch Pflicht zur „Alles ablehnen“-Schaltfläche

Wolfgang Riegger

Nahezu jede Webseite konfrontiert Nutzerinnen und Nutzer heute mit einem sogenannten Cookie-Banner. Oft dominieren diese durch die prominente Platzierung einer „Alle akzeptieren“-Schaltfläche, während eine Option zur Ablehnung nur versteckt oder gar nicht angeboten wird. Dass dies nicht dem geltenden Datenschutzrecht entspricht, stellte das Verwaltungsgericht Hannover nun klar.

Hintergrund des Verfahrens

Gegenstand des Urteils war eine Anordnung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gegenüber einem Medienhaus, das mittels eines Cookie-Banners Einwilligungen einholte – jedoch ohne echte Wahlmöglichkeit. Der LfD beanstandete dies als Verstoß gegen § 25 TDDDG (ehemals TTDSG) sowie Art. 4 Nr. 11 und Art. 7 DSGVO.

Die Entscheidung des Gerichts

Das Verwaltungsgericht Hannover bestätigte die Sichtweise der Aufsichtsbehörde. Webseitenbetreiber, so das Gericht, müssen bei Einwilligungsbannern eine gleichwertig sichtbare „Alles ablehnen“-Schaltfläche auf derselben Ebene wie die „Alle akzeptieren“-Option anbieten.

Zudem erkannte das Gericht mehrere Verstöße:

  • Das Ablehnen war umständlicher als das Akzeptieren.
  • Wiederholende Banner zwangen zur Einwilligung.
  • Irreführende Begriffe wie „optimales Nutzungserlebnis“ und „akzeptieren und schließen“.
  • Fehlender Begriff der „Einwilligung“.
  • Unklare Anzahl an Drittanbietern.
  • Wesentliche Informationen (z. B. Widerrufsrecht, Datenübertragung in Drittstaaten) nur nach Scrollen sichtbar.

Diese Ausgestaltung führte dazu, dass keine informierte, freiwillige und eindeutige Einwilligung im Sinne der DSGVO vorlag – und die Nutzung personenbezogener Daten somit rechtswidrig war.

Bedeutung für Webseitenbetreiber

Das Urteil hat weitreichende Bedeutung für alle Betreiber von Webseiten, die auf Nutzertracking oder Online-Werbung setzen. Es macht deutlich, dass manipulative Gestaltung von Cookie-Bannern nicht zulässig ist. Eine echte Wahlmöglichkeit – insbesondere durch eine gleichwertige „Alles ablehnen“-Schaltfläche – ist zwingend.

Fazit

Die Entscheidung stärkt die Rechte der Nutzerinnen und Nutzer im digitalen Raum und gibt den Datenschutzaufsichtsbehörden Rückenwind bei der Durchsetzung datenschutzkonformer Gestaltung von Einwilligungsprozessen. Für Unternehmen bedeutet dies: Cookie-Banner müssen neu gedacht werden – klar, transparent und fair.

Gericht: Verwaltungsgericht Hannover
Datum der Entscheidung: 19. März 2025
Aktenzeichen: 10 A 5385/22

Aktuell liegt die Entscheidung im Volltext noch nicht vor, nur die Pressemitteilung des Gerichts.

Veröffentlichung von Gerichtsurteilen mit Klarnamen: Kein Anspruch auf Unterlassung oder Schadensersatz

Wolfgang Riegger

Ein Rechtsanwalt klagte gegen die Betreiberin der juristischen Datenbank „openJur“, weil diese einen verwaltungsgerichtlichen Beschluss unter Nennung seines Klarnamens veröffentlicht hatte. Das Landgericht Hamburg wies die Klage in vollem Umfang ab und stellte fest: Die Veröffentlichung war zulässig – trotz der enthaltenen sensiblen persönlichen Informationen.

Der Kläger hatte in einem verwaltungsgerichtlichen Eilverfahren vor dem Verwaltungsgericht Berlin gegen das Versorgungswerk der Rechtsanwälte geklagt. Der dortige Beschluss vom 5. Mai 2022, der unter anderem seine frühere Arbeitslosigkeit und Zahlungsrückstände offenlegte, wurde von openJur automatisiert aus der Berliner Landesdatenbank übernommen – einschließlich seines Namens. Der Kläger beantragte in der Folge, die Beklagte solle es unterlassen, personenbezogene Daten des Klägers in Zusammenhang mit diesem Beschluss zu veröffentlichen oder öffentlich verfügbar zu halten, mindestens 5.500 € Schmerzensgeld zahlen sowie vorgerichtliche Rechtsanwaltskosten erstatten.

Das Landgericht Hamburg wies alle Klageanträge zurück. Die Veröffentlichung unterfalle nach Auffassung des Gerichts der journalistischen Bereichsausnahme des Art. 85 DSGVO. Diese erlaubt Abweichungen von Datenschutzvorgaben, wenn die Datenverarbeitung journalistischen Zwecken dient. Die Tätigkeit von openJur – einschließlich redaktioneller Auswahl, Schlagwortvergabe und Hervorhebungen – erfülle diese Voraussetzungen. Deshalb sei Art. 17 DSGVO hier nicht anwendbar. Zwar beeinträchtige die Namensnennung das Persönlichkeitsrecht des Klägers, jedoch sei die Veröffentlichung gerechtfertigt. Das Gericht betonte, dass der Kläger selbst das Verfahren initiiert und die zugrundeliegenden Informationen öffentlich gemacht habe. Zudem habe openJur auf eine Veröffentlichung der Berliner Justiz vertraut, einer „privilegierten Quelle“, der ein gesteigertes Vertrauen zukomme.

Auch nach nationalem Recht stehe dem Kläger kein Schadensersatz zu. Die Verarbeitung sei gerechtfertigt und nicht schuldhaft erfolgt. Selbst ein Kontrollverlust über persönliche Daten begründe in diesem Fall keinen ersatzfähigen Schaden. Da die Hauptansprüche unbegründet waren, scheiterte auch der Anspruch auf Erstattung der Anwaltskosten. Die (letztlich erfüllte) Auskunft nach Art. 15 DSGVO sei zwar verspätet gewesen, habe aber keinen eigenständigen Schaden verursacht.

Das Urteil stärkt die Position gemeinnütziger Rechtsprechungsdatenbanken und stellt klar: Solange journalistische Standards gewahrt bleiben und Veröffentlichungen auf offiziellen Quellen beruhen, sind auch personenbezogene Informationen – einschließlich Klarnamen – rechtlich geschützt. Es handelt sich um eine erfreuliche Entscheidung, die zur Rechtssicherheit beiträgt und die Bedeutung des freien Zugangs zu Gerichtsentscheidungen unterstreicht – und hoffentlich auch in höheren Instanzen Bestand haben wird.

LG Hamburg, Urteil vom 09.05.2025 – 324 O 278/23
Fundstelle: openJur 2025, 12723 (nicht rechtskräftig)

Kein Schmerzensgeld für unerwünschte Werbe-E-Mail

Wolfgang Riegger

Der Bundesgerichtshof (BGH) hat mit Urteil vom 28. Januar 2025 (Az. VI ZR 109/23) entschieden, dass eine einzelne unerwünschte Werbe-E-Mail nicht ausreicht, um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Damit wurde die Klage eines Verbrauchers auf Schmerzensgeld in Höhe von 500 Euro zurückgewiesen.

Sachverhalt

Der Kläger hatte im Januar 2019 beim Beklagten Aufkleber für seinen Briefkasten mit der Aufschrift „Betteln und Hausieren verboten“ erworben. Am 20. März 2020 erhielt er vom Beklagten eine Werbe-E-Mail, in der ihm weiterhin Dienstleistungen angeboten wurden. Daraufhin widersprach der Kläger der Nutzung seiner personenbezogenen Daten für Werbezwecke und forderte eine strafbewehrte Unterlassungserklärung sowie ein „Schmerzensgeld“ in Höhe von 500 Euro nach Art. 82 DSGVO.

Der Beklagte erkannte den Unterlassungsanspruch an, verweigerte jedoch die Zahlung des immateriellen Schadensersatzes. Das Amtsgericht Tuttlingen und das Landgericht Rottweil wiesen die Klage insoweit zurück. Der Kläger legte daraufhin Revision beim BGH ein.

Entscheidung des BGH

Der BGH wies die Revision des Klägers zurück und entschied, dass ein bloßer DSGVO-Verstoß allein nicht automatisch einen Anspruch auf immateriellen Schadensersatz auslöst. Ein Schaden muss konkret dargelegt werden.

  1. Kein genereller Anspruch bei Bagatellverstößen: Der EuGH hatte bereits klargestellt, dass es keine Erheblichkeitsschwelle gibt, ein immaterieller Schaden aber nachweisbar sein muss.
  2. Fehlende substantielle Darlegung eines Schadens: Der Kläger habe lediglich subjektive Unannehmlichkeiten beschrieben, aber keine nachweisbaren negativen Folgen erläutert.
  3. Kein Kontrollverlust über personenbezogene Daten: Da die E-Mail-Adresse des Klägers nicht an Dritte weitergegeben wurde, fehle es an einem relevanten Kontrollverlust.
  4. Hypothetische Befürchtungen reichen nicht aus: Eine bloße Sorge um einen möglichen Missbrauch personenbezogener Daten genügt nicht für die Annahme eines immateriellen Schadens.

Fazit

Das Urteil des BGH bestätigt, dass nicht jede ungewollte Nutzung personenbezogener Daten automatisch einen Entschädigungsanspruch nach der DSGVO auslöst. Wer Schadensersatz beansprucht, muss nachweisen, dass ihm ein spürbarer Nachteil entstanden ist. Dies dürfte insbesondere für Unternehmen von Bedeutung sein, die mit DSGVO-basierten Schadensersatzforderungen konfrontiert werden.

Das Urteil stellt eine Klarstellung für den Umgang mit unerwünschter Werbung per E-Mail dar und zeigt, dass nicht jede Datenschutzverletzung automatisch eine finanzielle Entschädigung nach sich zieht.

Datenschutz im Internet: TTDSG tritt ab 01.12.2021 in Kraft

Wolfgang Riegger

Ab 01. Dezember 2021 tritt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel des Gesetzes ist es, die bereichspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz zu überführen und diese den Vorgaben der DSGVO und der sog. ePrivacy-Richtlinie anzupassen.

Einer der Schwerpunkte des neuen Gesetzes ist – bezogen auf den Datenschutz bei Webseiten – die (Neu-)Regelung von Cookies bzw. Cookie-Bannern.

Jeder Internetnutzer kennt die Cookie-Banner, die auf das Setzen sog. Cookies hinweisen. Die wenigsten Nutzer beschäftigten sich auch wirklich mit dem Inhalt der entsprechenden Cookie-Banner und klicken auf „Zustimmen“ oder ähnliche vorformulierte Einwilligungserklärungen, um die Webseite auch nutzen zu können. Gerade auch wegen dieses typischen Nutzerverhaltens waren diverse Gestaltungen von Cookie-Bannern in den letzten zwei bis drei Jahren vermehrt Gegenstand gerichtlicher Entscheidungen.

Das neue TTDSG erlaubt nun explizit den Einsatz sog. „Personal Information Management-Systeme“ (kurz „PIMS“). „PIMS“ ist eine Software, die Nutzern mehr Kontrolle über ihre Daten geben soll. Der Anwender kann mithilfe von „PIMS“ auf seinem jeweiligen Endgerät abspeichern, welche Einwilligungen er erteilen möchte und welche nicht. Es können also Voreinstellungen für die Nutzung von Cookies für alle Webseiten festgelegt werden, so dass nicht auf jeder Webseite eine gezielte Auswahl der zu setzenden Cookies getroffen werden muss. Die Webseite erkennt beim Aufrufen der Webseite das benutzte „PIMS“, so dass der für viele lästige Cookie-Banner erst gar nicht erscheint und weggeklickt werden muss.

Allerdings wird nicht jedes „PIMS“ vom neuen TTDSG akzeptiert. Das Gesetz sieht ein Anerkenntnisverfahren für solche Software vor. Das bedeutet, dass der jeweilige Softwareanbieter eines „PIMS“ künftig ein Anerkennungsverfahren durchlaufen muss. Dieses kann nur erfolgreich durchlaufen werden, wenn bestimmte Anforderungen an das „PIMS“ erfüllt werden: So muss die Software insbesondere wettbewerbsneutral und unabhängig von den Tools sein, für die die Einwilligung erfolgen soll. Das genaue Verfahren dazu soll in einer Rechtsverordnung geregelt werden.

Damit die lästigen Cookie-Banner tatsächlich verschwinden, muss die Bundesregierung also zunächst eine (wirksame) Verordnung erlassen, in der die verschiedenen Voraussetzungen festgelegt werden. Sodann muss es natürlich ausreichend Anbieter solcher Software geben, die auch bereit sind, das Anerkennungsverfahren zu durchlaufen. Und schließlich müssen die Nutzer die „PIMS“ auch tatsächlich nutzen. Es dürfte also noch eine Weile dauern, bis die lästigen Cookie-Banner tatsächlich verschwinden.

Sofern kein „PIMS“ eingesetzt wird, enthält das TTDSG die Vorgabe, dass Cookies nur mit Einwilligung des Nutzers gesetzt werden dürfen.

§ 25 Abs. 1 Satz 1 TTDSG bestimmt dies explizit. Allerdings gibt es auch Ausnahmen. § 25 Abs. 2 TTDSG regelt, dass eine Einwilligung nicht erforderlich ist, wenn der alleinige Zweck der Speicherung die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder – dies ist die wichtige Ausnahme für die Webseitenbetreiber – die Speicherung von Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Letztgenannte Ausnahme sind die “technisch notwendigen Cookies“.

Dies sind z.B. Cookies, die einen Login auf eine Seite ermöglichen oder die für die Nutzung eines Warenkorbs eines Onlineshops nötig sind. Eine konkrete Definition im Gesetz, wann ein Cookie „unbedingt erforderlich“ ist, findet sich allerdings nicht.

Hier wird es also weiterhin Aufgabe der Gerichte sein, die „unbedingte Erforderlichkeit“ von Cookies zu bestimmen. Mit sehr großer Wahrscheinlichkeit gehören allerdings Tracking-Cookies, die lediglich Marketingzwecken dienen oder personalisierte Werbung ermöglichen sollen, nicht dazu.

Unzulässige Datenerhebungen von Onlineshops

Wolfgang Riegger

Laut einer Pressemitteilung des Verwaltungsgerichts Hannover vom 09.11.2021 hat das Verwaltungsgericht mit Urteil vom 09.11.2021 die Klage einer Online-Versandapotheke gegen einen Bescheid des Landesdatenschutzbeauftragten von Niedersachsen abgewiesen.

Der Landesdatenschutzbeauftragte beanstandete zweierlei:

Zum einen die Abfrage der Online-Apotheke nach dem Geburtsdatum des Kunden. Zum anderen die Angabe einer Anrede, weil lediglich die Auswahlmöglichkeiten „Herr/Frau“ zur Verfügung standen.

Das Verwaltungsgericht gab dem Landesdatenschutzbeauftragten Recht:

Da es nicht ersichtlich sei, dass das Geburtsdatum für die Abwicklung einer Bestellung notwendig sei, weil diese nicht eine altersspezifische Beratung erforderten, verstoße die Erhebung des Geburtsdatums gegen das in der DSGVO normierte Prinzip der Datenminimierung. Demzufolge bedürfe es einer expliziten Einwilligung des Kunden in die Erhebung und Verarbeitung des Geburtsdatums, die nicht eingeholt worden sei.

Bezüglich der geschlechterspezifischen Anrede „Herr/Frau“ verständigten sich die Parteien darauf, dass der Onlineshop die zusätzliche Auswahloption „ohne Angabe“ einfügen müsse, woraufhin über diesen Punkt nicht mehr entschieden werden musste.

Auch das Landgericht Frankfurt/Main hatte sich in einem Verfahren wegen Persönlichkeitsrechtsverletzung bereits mit der Frage der gendergerechten Ansprache eines Kunden zu befassen (LG Frankfurt/Main, Urteil vom 03.12.2020, Az.: 2-13 O 131/20, openJur 2020, 79049).

In dem vom Landgericht Frankfurt entschiedenen Fall hatte eine (so in den Urteilsgründen bezeichnete) „klagende Person“ einen Anspruch auf Unterlassung und Zahlung einer Geldentschädigung wegen Persönlichkeitsrechtverletzung gegen einen Onlineshop geltend gemacht. Wer dort bestellen wollte, musste bei dem Bestellformular ebenfalls die Anrede auswählen, wobei auch hier lediglich die Auswahlmöglichkeiten „Herr“ oder „Frau“ zur Verfügung gestanden hatten. Da die in diesem Verfahren „klagende Person“ eine „nicht binäre Geschlechtsidentität“ besaß, sah sie sich in ihrem Persönlichkeitsrecht verletzt und klagte auf Unterlassung, Zahlung einer Geldentschädigung und Erstattung von Abmahnkosten.

Das Landgericht bejahte zwar eine Persönlichkeitsrechtsverletzung, war jedoch der Auffassung, dass darin keine schwere Persönlichkeitsrechtsverletzung liege, die einen Anspruch auf Ersatz eines immateriellen Schadens gewähre, egal, ob dieser Anspruch auf das Allgemeine Gleichbehandlungsgesetz (AGG) oder auf Persönlichkeitsrechtsverletzung gestützt werde. Gleichwohl musste der Onlineshop zumindest einen Teil der Abmahnkosten erstatten.

Onlineshops sollten daher dringend prüfen, ob sie im Rahmen des Bestellprozesses

– > unnötige Daten, wie z.B. das Geburtsdatum, eines Bestellers erheben, obwohl das Geburtsdatum für die Bestellung nicht erforderlich ist

und

-> entweder komplett auf die Auswahl einer Anredemöglichkeit verzichten oder zumindest eine dritte Möglichkeit z.B. „ohne Angabe“ oder „Neutral“ einfügen.

Beide oben genannten Fälle zeigen, dass dies sowohl Ansprüche von potentiellen Kunden wie aber auch vor allem ein Vorgehen von Landesdatenschutzbeauftragten auslösen können.

Rechtswidriger Cookie-Banner

Wolfgang Riegger

Das Landgericht Köln hat mit Beschluss vom 13.04.2021, Az.: 31 O 36/21, entschieden, dass die „alten“, aber zum Teil immer noch gebräuchlichen Cookie-Banner rechtswidrig sind.

Bei dem Beschluss handelt es sich um eine einstweilige Verfügung des Landgerichts Köln, welche nur kurz begründet ist. Aus der Begründung geht hervor, dass ein nach dem Unterlassungsklagegesetz berechtigter Verband einen Unterlassungsanspruch gegen einen Webseitenbetreiber geltend gemacht hatte. Dieser nutzte noch einen – zwischenzeitlich veralteten – Cookie-Banner mit folgendem Text:

„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung.“

Nach dem Urteil des BGH zur Gestaltung von Cookie-Bannern aus dem Mai 2020 war klar, dass eine solche Cookie-Banner-Gestaltung nicht mehr den gesetzlichen Erfordernissen entspricht, weswegen das Landgericht im Wege der einstweiligen Verfügung die weitere Nutzung eines solchen Banners untersagt hatte. Der Streitwert wurde auf EUR 2.500,00 festgesetzt, so dass zumindest die dadurch entstehenden Kosten einigermaßen übersichtlich blieben.