Datenschutzrecht

Aktuelle Entscheidungen im Datenschutzrecht

Hier finden Sie aktuelle Urteile und Beschlüsse im Datenschutzrecht – kurz, verständlich und praxisnah zusammengefasst. Im Mittelpunkt stehen typische Fragen zu Verarbeitung personenbezogener Daten, Einwilligung, Auskunftsansprüchen, Schadensersatz, Datenschutzverletzungen und Pflichten von Unternehmen und Verantwortlichen. Die Beiträge helfen bei einer ersten rechtlichen Einordnung und zeigen, welche Punkte bei der praktischen Umsetzung der Datenschutzvorgaben besonders wichtig sind.

 

Worum geht es?

Behandelt werden insbesondere Entscheidungen zu:

Verarbeitung personenbezogener Daten (Rechtsgrundlagen, Zweckbindung)

Einwilligung (Voraussetzungen, Widerruf, Wirksamkeit)

Auskunfts- und Löschungsansprüchen betroffener Personen

Schadensersatz nach Datenschutzverstößen (insbesondere immaterieller Schaden)

Datenschutzverletzungen und Meldepflichten

Pflichten von Verantwortlichen und Auftragsverarbeitern

Technischen und organisatorischen Maßnahmen (TOM)

Datenschutz im Arbeitsverhältnis

Cookies, Tracking und Online-Dienste

Beweislast und Dokumentation bei Datenschutzverstößen

 

Bedeutung

Das Datenschutzrecht regelt, wie personenbezogene Daten erhoben, verarbeitet und genutzt werden dürfen. In der Praxis geht es häufig darum, ob eine Datenverarbeitung rechtmäßig erfolgt ist, ob Betroffenenrechte beachtet wurden und welche Pflichten Unternehmen im Umgang mit Daten treffen. Besonders relevant sind Transparenz, Dokumentation und die Einhaltung gesetzlicher Vorgaben, insbesondere der DSGVO. Bereits kleine Verstöße können zu erheblichen Konsequenzen führen, etwa zu Bußgeldern oder Schadensersatzansprüchen.

 

So nutzen Sie die Entscheidungen

Durchsuchen Sie die Liste nach Gericht, Aktenzeichen, Stichwort oder betroffener Datenverarbeitung.

Öffnen Sie einen Eintrag, um den Entscheidungstext zu lesen.

Prüfen Sie die Definition, um die zugrunde liegende Frage einzuordnen.

Nutzen Sie das Ergebnis als Orientierung, welche Maßnahmen, Dokumentationen und Prozesse typischerweise entscheidend sind.

 

Häufige Fragen

 

Sind das individuelle Rechtsberatungen?

Nein. Die Inhalte dienen der allgemeinen Information und ersten Einordnung. Für eine verbindliche Prüfung kommt es immer auf die Details Ihres Falls an.

 

Wie aktuell sind die Entscheidungen?

Die Liste wird fortlaufend erweitert. Maßgeblich ist jeweils das im Eintrag angegebene Entscheidungsdatum.

 

Warum ist die Beweislast so wichtig?

Im Datenschutzrecht kommt es häufig darauf an, dass Unternehmen die Einhaltung der gesetzlichen Vorgaben nachweisen können. Fehlt eine ausreichende Dokumentation, wirkt sich dies oft zulasten des Verantwortlichen aus.

 

Was sind typische Fehler in der Praxis?

 

Häufige Probleme sind unklare Einwilligungen, fehlende oder unvollständige Datenschutzerklärungen, unzureichende technische Schutzmaßnahmen oder verspätete Reaktionen auf Betroffenenanfragen. Solche Fehler können schnell zu rechtlichen Risiken führen.

Urteile zum Datenschutzrecht

Bundesgerichtshof (BGH) · · AZ VI ZR 370/22

Name des Datenschutzbeauftragten muss nicht offengelegt werden

Hintergrund: In dem Fall verlangte eine Kundin von ihrer Bank nicht nur Auskunft über ihre gespeicherten personenbezogenen Daten, sondern auch die namentliche Nennung des Datenschutzbeauftragten (DSB).

Mehr →
OLG Dresden · · AZ 4 U 940/24

Haftung des Verantwortlichen bei fehlender vertraglicher Bindung und Genehmigung von Unterauftragsverarbeitern

Genehmigungspflicht – Nur mit Zustimmung des Verantwortlichen Das OLG Dresden hat klargestellt, dass ein Auftragsverarbeiter Unterauftragnehmer (weitere Auftragsverarbeiter) nur dann einschalten darf, wenn der Verantwortliche dies vorher ausdrücklich genehmigt hat.

Mehr →
OLG Köln · · AZ 6 U 80/23

Cookie-Banner: Einwilligung nur wirksam bei gleichwertiger Auswahl und klarer Gestaltung

Gleichwertigkeit der Auswahlmöglichkeiten Das OLG Köln hat entschieden, dass eine Einwilligung für Cookies und Tracking nur dann wirksam eingeholt wird, wenn Nutzer die Möglichkeit zur Zustimmung und Ablehnung gleichwertig und leicht zugänglich erhalten.

Mehr →
OLG Stuttgart · · AZ 4 U 20/23

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen nach Art. 25 DSGVO – Anforderungen an Unternehmen

Kernaussage: Das OLG Stuttgart hat in seinem Urteil vom 22.11.2023 (4 U 20/23) klargestellt, dass Unternehmen verpflichtet sind, den Datenschutz durch Technikgestaltung (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) aktiv umzusetzen.

Mehr →
OLG Köln · · AZ 6 U 58/23

Angemessenheitsbeschluss schützt nicht automatisch vor unzulässiger Drittlandübermittlung

Hintergrund: Das OLG Köln hatte über eine Klage der Verbraucherzentrale NRW gegen den Einsatz von Google-Analyse- und Marketingdiensten auf einer Website einer Deutschen-Telekom-Tochter zu entscheiden. Dabei ging es um die Übermittlung personenbezogener Daten in die USA.

Mehr →
Amtsgericht Lörrach · · AZ 3 C 1099/24

Beweiswert muss konkret dargelegt werden – Pauschale Aufbewahrung rechtfertigt keine Datenspeicherung

Kontext: In diesem aktuellen Fall verlangte eine betroffene Person von einem Unternehmen Auskunft und die Löschung ihrer personenbezogenen Daten. Das Unternehmen verweigerte die Löschung mit dem Argument, die Daten könnten für eine spätere Beweisführung in möglichen Rechtsstreitigkeiten noch relevant sein.

Mehr →
Landgericht Köln · · AZ 14 O 472/23

Verantwortlicher haftet für unzureichende Kontrolle des Auftragsverarbeiters nach Art. 28 DSGVO

Sachverhalt – Musikstreamingdienst und Datenleck Ein großer Online-Musikstreamingdienst hatte einen externen Dienstleister als Auftragsverarbeiter für Nutzerdaten eingesetzt. Nach Vertragsende sicherte der Dienstleister die Löschung aller gespeicherten Daten zu, setzte diese aber nicht ordnungsgemäß um.

Mehr →
Landgericht Paderborn · · AZ 2 O 325/23

Widerspruch gegen Direktwerbung muss unverzüglich umgesetzt werden – Monatsfrist des Art. 12 Abs. 3 DSGVO gilt nicht

Klarer Hinweis auf das Widerspruchsrecht Das Landgericht Paderborn entschied, dass Unternehmen ihre Kunden deutlich und verständlich über das Recht zum Widerspruch gegen Direktwerbung informieren müssen. Ein versteckter Hinweis in langen Datenschutzerklärungen reicht nicht aus.

Mehr →
Landgericht Köln · · AZ 33 O 376/22

Versteckte Ablehnungsoption bei Cookie-Bannern ist unzulässig

Sachverhalt: Das Landgericht Köln hat am 23. März 2023 entschieden, dass Cookie-Banner, bei denen die Ablehnung nicht notwendiger Cookies nur versteckt oder erschwert möglich ist, gegen die Anforderungen an eine wirksame Einwilligung nach DSGVO und TTDSG verstoßen.

Mehr →
Verwaltungsgericht Hannover · · AZ 10 A 4017/23

Verarbeitungsverzeichnis muss aktuelle und zweckgebundene Verarbeitungstätigkeiten abbilden

Begriff der Verarbeitungstätigkeit: Das Verwaltungsgericht Hannover hat klargestellt, dass nicht jede einzelne Datenverarbeitung (wie etwa jede Übermittlung oder Löschung) einzeln im Verzeichnis nach Art. 30 DSGVO stehen muss.

Mehr →
Amtsgericht München · · AZ 241 C 10374/23

Cyberangriff und Datenpanne: Kein Schadensersatz ohne konkreten Nachweis

Sachverhalt: Ein Unternehmen wurde Opfer eines Cyberangriffs, bei dem personenbezogene Kundendaten kompromittiert wurden. Die betroffenen Kunden wurden über den Vorfall informiert. Rund zwei Jahre später verlangte ein Kunde mindestens 1.000 Euro Schadensersatz, da er einen Kontrollverlust über seine Daten empfand.

Mehr →
Bundesarbeitsgericht (BAG) · · AZ 8 AZR 209/21

§ 26 Abs. 1 S. 1 BDSG ist nach EuGH-Rechtsprechung für Standardverarbeitungen von Beschäftigtendaten unanwendbar – Art. 6 DSGVO gilt unmittelbar

Hintergrund: Das Bundesarbeitsgericht (BAG) hat nach dem Urteil des Europäischen Gerichtshofs (EuGH, C-34/21) entschieden, dass die zentrale deutsche Vorschrift für den Beschäftigtendatenschutz (§ 26 Abs. 1 S. 1 BDSG) für die meisten Standardfälle nicht mehr als eigenständige Rechtsgrundlage genutzt werden kann.

Mehr →
AEPD (Spanische Datenschutzbehörde) · · AZ GETECCU 2025/03/11

Unvollständiger Auftragsverarbeitungsvertrag führt zu Bußgeld und Rechtswidrigkeit der Verarbeitung

Rollenklärung: In einem spanischen Forschungsprojekt mit sensiblen Gesundheitsdaten wurde ein externer IT-Dienstleister als Auftragsverarbeiter eingesetzt. Die Parteien schlossen zwar einen Auftragsverarbeitungsvertrag (AVV), dieser erfüllte jedoch nicht alle Anforderungen der DSGVO.

Mehr →
Europäischer Gerichtshof (EuGH) · · AZ C-203/22

Bonitätsauskunft durch automatisiertes Profiling: EuGH stärkt Rechte der Betroffenen nach Art. 22 DSGVO

Sachverhalt: Die Dun & Bradstreet Austria GmbH erstellte automatisiert Bonitätsbewertungen (Scores) über Verbraucher und übermittelte diese an Geschäftspartner, zum Beispiel Mobilfunkanbieter. Einer Verbraucherin wurde daraufhin ein Mobilfunkvertrag verweigert, weil ihr Score negativ ausfiel.

Mehr →
Europäischer Gerichtshof (EuGH) · · AZ C-394/23

Transparenzpflicht als Voraussetzung für die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO

Transparenz – Information bei Datenerhebung Der EuGH hat im Fall „Mousse“ (C-394/23) entschieden, dass Unternehmen und Organisationen bei der Erhebung personenbezogener Daten zwingend das konkrete berechtigte Interesse offenlegen müssen, wenn sie sich auf Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung) stützen wollen.

Mehr →
Arbeitsgericht Düsseldorf · · AZ 8 Ca 3409/24

Schadensersatz bei unterlassener Auskunft und Datenlöschung trotz laufendem Auskunftsersuchen

Sachverhalt: Ein Bewerber verlangte nach einer Absage vom Unternehmen Auskunft über seine gespeicherten Daten und eine Datenkopie gemäß Art. 15 DSGVO. Das Unternehmen reagierte zunächst gar nicht, erinnerte wurde es erfolglos.

Mehr →
Europäischer Gerichtshof (EuGH) · · AZ C-169/23

Ausnahme von Informationspflichten nach Art. 14 Abs. 5 lit. c DSGVO nur bei gleichwertigem nationalem Schutzniveau

Anwendungsbereich – Wann gilt Art. 14 DSGVO? Der EuGH hat entschieden, dass Art. 14 DSGVO immer dann zur Anwendung kommt, wenn personenbezogene Daten nicht direkt bei der betroffenen Person erhoben werden.

Mehr →
Europäischer Gerichtshof (EuGH) · · AZ C-446/21

EuGH: Unternehmen müssen Löschfristen und dokumentierte Löschkonzepte für personenbezogene Daten vorweisen

Hintergrund: Der Europäische Gerichtshof (EuGH) hat im Oktober 2024 über die Verarbeitung personenbezogener Daten durch Meta für Werbezwecke entschieden. Im Zentrum stand die Frage, wie lange Unternehmen personenbezogene Daten speichern und wie sie deren Löschung organisieren müssen.

Mehr →
Europäischer Gerichtshof (EuGH) · · AZ C-757/22

Verstoß gegen Informationspflichten ist bereits eine rechtswidrige Datenverarbeitung

Informationspflichten – Pflichtverletzung wird zur Datenverarbeitung Der EuGH hat am 11.07.2024 entschieden, dass bereits der bloße Verstoß gegen die Informationspflichten nach Art. 13 und 14 DSGVO eine eigene Form der Datenverarbeitung darstellt, die als rechtswidrig gilt.

Mehr →
Europäischer Gerichtshof (EuGH) · · AZ C-604/22

Gemeinsame Verantwortlichkeit nach DSGVO auch ohne Art.-26-Vereinbarung – Adtech-Standard TCF

Hintergrund: Ein Branchenverband (IAB Europe) entwickelte für die Online-Werbebranche das sogenannte 'Transparency & Consent Framework' (TCF). Dieses Regelwerk gibt vor, wie Unternehmen Einwilligungen für die Verarbeitung personenbezogener Daten im Adtech-Bereich einholen und verwalten.

Mehr →