Urteile zum Datenschutzrecht

Name des Datenschutzbeauftragten muss nicht offengelegt werden

Bundesgerichtshof (BGH) · Urteil vom 14.05.2024 · AZ VI ZR 370/22

Hintergrund: In dem Fall verlangte eine Kundin von ihrer Bank nicht nur Auskunft über ihre gespeicherten personenbezogenen Daten, sondern auch die namentliche Nennung des Datenschutzbeauftragten (DSB). Sie berief sich auf die Datenschutz-Grundverordnung (DSGVO), die vorschreibt, dass Betroffene über die Kontaktdaten des DSB informiert werden müssen. Die Frage war, ob damit auch der Name gemeint ist.

Kernaussage: Der Bundesgerichtshof entschied, dass Unternehmen und Behörden zwar einen DSB benennen und dessen Kontaktdaten bereitstellen müssen, aber nicht verpflichtet sind, den Namen des DSB mitzuteilen. Es reicht, wenn die Funktion und eine erreichbare Kontaktmöglichkeit (z.B. E-Mail-Adresse) angegeben werden.

Begründung: Die DSGVO unterscheidet bewusst zwischen Fällen, in denen der Name einer Person mitgeteilt werden muss, und solchen, in denen nur Kontaktdaten erforderlich sind. Für den DSB genügt es, dass Betroffene die Möglichkeit haben, die Funktion zu erreichen – unabhängig davon, welche natürliche Person diese aktuell ausübt. Eine Namensnennung sei sogar nachteilig, weil sie bei Personalwechsel zu veralteten Informationen führen kann.

Praxisfolgen: Für Unternehmen bedeutet das Urteil Rechtssicherheit: Sie müssen in Datenschutzerklärungen und Auskünften nach Art. 15 DSGVO nicht den Namen, sondern nur die Kontaktdaten des DSB angeben. Wichtig bleibt aber, dass intern eindeutig festgelegt ist, wer die Aufgaben des DSB wahrnimmt. Die Entscheidung betrifft ausschließlich die externe Kommunikation – die formelle und materielle Wirksamkeit der Benennung (z.B. Interessenkonflikte, Fachkunde, Unabhängigkeit) muss weiterhin sichergestellt sein.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Haftung des Verantwortlichen bei fehlender vertraglicher Bindung und Genehmigung von Unterauftragsverarbeitern

OLG Dresden · Urteil vom 15.10.2024 · AZ 4 U 940/24

Genehmigungspflicht – Nur mit Zustimmung des Verantwortlichen Das OLG Dresden hat klargestellt, dass ein Auftragsverarbeiter Unterauftragnehmer (weitere Auftragsverarbeiter) nur dann einschalten darf, wenn der Verantwortliche dies vorher ausdrücklich genehmigt hat. Diese Genehmigung kann entweder einzeln für jeden Unterauftragnehmer oder allgemein mit Informationspflicht und Widerspruchsrecht erteilt werden. Ohne diese schriftliche oder elektronische Genehmigung ist der Einsatz von Unterauftragnehmern datenschutzrechtlich unzulässig.

Vertragliche Bindung – Durchgehende AVV-Kette erforderlich Das Gericht betont, dass für jede Weitergabe personenbezogener Daten an einen (Unter-)Auftragsverarbeiter eine eigene Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO bestehen muss. Eine AVV mit einem Konzernunternehmen erstreckt sich nicht automatisch auf andere Konzerngesellschaften. Gibt der Verantwortliche selbst Daten an eine Konzerngesellschaft als Unterauftragsverarbeiter weiter, muss eine eigene AVV zwischen den Parteien abgeschlossen werden. Fehlt diese vertragliche Bindung, ist die Weitergabe der Daten rechtswidrig.

Haftung und Überwachungspflicht Kommt es beim (Unter-)Auftragsverarbeiter zu einem Datenschutzverstoß, haftet der Verantwortliche, wenn keine wirksame AVV-Kette besteht. Nach Vertragsende bleibt der Verantwortliche zudem verpflichtet, die Löschung der Daten beim (Unter-)Auftragsverarbeiter konkret nachzuweisen. Eine bloße Zusage zur Löschung reicht nicht aus; es muss eine schriftliche Bestätigung vorliegen. Andernfalls bleibt der Verantwortliche für Verstöße auch nach Vertragsende haftbar.

Praxisbedeutung Das Urteil unterstreicht die Notwendigkeit, sowohl die Genehmigung als auch die vertragliche Einbindung von Unterauftragnehmern sorgfältig zu dokumentieren und zu überwachen. Unternehmen sollten AVVs und Genehmigungen regelmäßig prüfen und die Überwachungspflichten auch nach Vertragsende ernst nehmen, um Haftungsrisiken zu vermeiden.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen nach Art. 25 DSGVO – Anforderungen an Unternehmen

OLG Stuttgart · Urteil vom 22.11.2023 · AZ 4 U 20/23

Kernaussage: Das OLG Stuttgart hat in seinem Urteil vom 22.11.2023 (4 U 20/23) klargestellt, dass Unternehmen verpflichtet sind, den Datenschutz durch Technikgestaltung (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) aktiv umzusetzen. Dies bedeutet, dass bereits bei der Planung und beim Betrieb von IT-Systemen technische und organisatorische Maßnahmen getroffen werden müssen, die den Grundsätzen der Datenminimierung und Zugriffsbeschränkung entsprechen.

Sachverhalt: Im entschiedenen Fall ging es um den Einsatz einer Software in einem Unternehmen, die personenbezogene Daten von Kunden verarbeitete. Die Software war nicht auf dem aktuellen Stand der Technik und ermöglichte es, dass mehr Daten als notwendig erhoben und diese zu lange gespeichert wurden. Außerdem waren die Zugriffsrechte nicht ausreichend beschränkt, sodass unbefugte Mitarbeiter Zugriff auf sensible Daten hatten.

Begründung: Das Gericht betonte, dass Art. 25 DSGVO eine aktive Prüfung und Umsetzung geeigneter Maßnahmen verlangt. Unternehmen dürfen sich nicht auf Standardkonfigurationen verlassen, sondern müssen gezielt prüfen, welche Einstellungen für die jeweilige Verarbeitung erforderlich und datenschutzfreundlich sind. Veraltete oder unsichere Software stellt einen Verstoß gegen die DSGVO dar, wenn dadurch der Schutz personenbezogener Daten nicht mehr gewährleistet ist. Auch die Dokumentationspflicht wurde hervorgehoben: Verantwortliche müssen nachweisen können, warum sie bestimmte Technik- und Voreinstellungen gewählt haben.

Folgen: Das Urteil unterstreicht, dass Verstöße gegen Art. 25 DSGVO nicht nur zu behördlichen Bußgeldern führen können, sondern auch zivilrechtliche Ansprüche (z.B. Schadensersatz) nach sich ziehen. Unternehmen sind daher gut beraten, ihre Systeme regelmäßig zu überprüfen und datenschutzfreundliche Einstellungen konsequent umzusetzen.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Angemessenheitsbeschluss schützt nicht automatisch vor unzulässiger Drittlandübermittlung

OLG Köln · Urteil vom 03.11.2023 · AZ 6 U 58/23

Hintergrund: Das OLG Köln hatte über eine Klage der Verbraucherzentrale NRW gegen den Einsatz von Google-Analyse- und Marketingdiensten auf einer Website einer Deutschen-Telekom-Tochter zu entscheiden. Dabei ging es um die Übermittlung personenbezogener Daten in die USA.

Transfergrundlage erforderlich: Das Gericht stellte klar, dass jede Übermittlung in ein Drittland – wie die USA – eine eigenständige und zulässige Transfergrundlage nach Art. 44 ff. DSGVO benötigt. Dies kann etwa ein Angemessenheitsbeschluss oder geeignete Garantien wie Standardvertragsklauseln sein. Fehlt eine solche Grundlage, ist die Übermittlung rechtswidrig.

DPF nicht immer ausreichend: Obwohl inzwischen der neue Angemessenheitsbeschluss (EU-US Data Privacy Framework, DPF) existiert, prüfte das OLG Köln, ob dieser im konkreten Fall tatsächlich ein angemessenes Schutzniveau gewährleistet. Das Gericht kam zu dem Ergebnis, dass trotz DPF weiterhin Zweifel an effektiven Rechtsschutzmöglichkeiten für Betroffene gegen US-Überwachungsmaßnahmen bestehen. Deshalb sei die konkrete Datenübermittlung an Google LLC in die USA weiterhin unzulässig.

Wichtige Konsequenz: Gerichte prüfen nicht nur formal, ob ein Angemessenheitsbeschluss vorliegt. Entscheidend ist, ob im Einzelfall der Schutz der personenbezogenen Daten tatsächlich gewährleistet ist. Unternehmen dürfen sich daher nicht blind auf den DPF verlassen, sondern müssen im Zweifel nachweisen, dass ein angemessenes Schutzniveau besteht und Betroffene wirksame Rechtsbehelfe haben.

Fazit: Drittlandübermittlungen sind nur mit wirksamer Transfergrundlage zulässig. Selbst ein Angemessenheitsbeschluss kann im Einzelfall nicht ausreichen, wenn der tatsächliche Schutz der Daten nicht gewährleistet ist.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Beweiswert muss konkret dargelegt werden – Pauschale Aufbewahrung rechtfertigt keine Datenspeicherung

Amtsgericht Lörrach · Urteil vom 15.03.2026 · AZ 3 C 1099/24

Kontext: In diesem aktuellen Fall verlangte eine betroffene Person von einem Unternehmen Auskunft und die Löschung ihrer personenbezogenen Daten. Das Unternehmen verweigerte die Löschung mit dem Argument, die Daten könnten für eine spätere Beweisführung in möglichen Rechtsstreitigkeiten noch relevant sein.

Gerichtliche Prüfung: Das Amtsgericht Lörrach stellte klar, dass ein bloß allgemeines oder abstraktes Interesse an der Beweissicherung nicht genügt, um die weitere Speicherung personenbezogener Daten zu rechtfertigen. Nach Art. 17 Abs. 3 lit. e DSGVO dürfen Daten zwar zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gespeichert werden – aber nur, wenn tatsächlich ein konkreter Anlass oder ein plausibler Bezug zu einem möglichen Verfahren besteht.

Begründung: Im entschiedenen Fall konnte das Unternehmen nicht nachvollziehbar darlegen, warum die streitigen Daten noch einen realen Beweiswert hatten. Es handelte sich um alte interne Notizen und Gesprächsprotokolle, deren Inhalt für zukünftige Rechtsstreitigkeiten offensichtlich keine Rolle mehr spielen würde. Das Gericht war überzeugt, dass den Daten kein relevanter Beweiswert mehr zukam.

Folge: Das Löschbegehren der betroffenen Person war damit rechtmäßig. Das Unternehmen wurde verpflichtet, die Daten zu löschen.

Praxisbedeutung: Das Urteil verdeutlicht, dass Verantwortliche bei Löschbegehren konkret begründen müssen, warum bestimmte Daten noch gespeichert werden sollen. Pauschale Hinweise auf mögliche Beweiszwecke oder allgemeine Aufbewahrungsinteressen reichen nicht aus. Betroffene haben ein durchsetzbares Recht auf Löschung, wenn keine konkreten Gründe für die weitere Speicherung bestehen. Gerichte prüfen diese Begründungen zunehmend streng.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Verantwortlicher haftet für unzureichende Kontrolle des Auftragsverarbeiters nach Art. 28 DSGVO

Landgericht Köln · Urteil vom 07.01.2025 · AZ 14 O 472/23

Sachverhalt – Musikstreamingdienst und Datenleck Ein großer Online-Musikstreamingdienst hatte einen externen Dienstleister als Auftragsverarbeiter für Nutzerdaten eingesetzt. Nach Vertragsende sicherte der Dienstleister die Löschung aller gespeicherten Daten zu, setzte diese aber nicht ordnungsgemäß um. In der Folge kam es zu einem Hackerangriff, bei dem personenbezogene Daten eines Nutzers im Darknet veröffentlicht wurden.

Pflichten nach Art. 28 DSGVO – Auswahl und Kontrolle Das Landgericht Köln stellte klar: Der Dienstleister war ein klassischer Auftragsverarbeiter im Sinne von Art. 28 DSGVO, da er die Daten ausschließlich im Auftrag und nach Weisung des Musikstreamingdienstes verarbeitete. Der Verantwortliche (hier: der Musikstreamingdienst) ist verpflichtet, nicht nur die sorgfältige Auswahl des Auftragsverarbeiters sicherzustellen, sondern auch dessen Tätigkeit fortlaufend zu überwachen. Besonders kritisch ist die Kontrolle bei der Löschung von Daten nach Vertragsende.

Pflichtverletzung und Haftung Im konkreten Fall hatte der Musikstreamingdienst die tatsächliche Löschung der Daten nicht ausreichend kontrolliert. Das Gericht wertete dies als Pflichtverletzung nach Art. 28 und 32 DSGVO. Die bloße Zusicherung des Dienstleisters reichte nicht aus; der Verantwortliche hätte sich aktiv vergewissern müssen, dass die Löschung tatsächlich erfolgt ist (zum Beispiel durch eine aussagekräftige Löschbestätigung).

Schadensersatz und Bedeutung für die Praxis Das Gericht sprach dem betroffenen Nutzer einen immateriellen Schadensersatz von 100 Euro zu und stellte fest, dass der Verantwortliche auch für zukünftige Schäden haftet. Für Unternehmen bedeutet das Urteil: Wer Datenverarbeitung an Dienstleister auslagert, muss die Einhaltung aller Datenschutzpflichten aktiv und dokumentiert überwachen – insbesondere bei der Beendigung des Dienstleistervertrags.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Widerspruch gegen Direktwerbung muss unverzüglich umgesetzt werden – Monatsfrist des Art. 12 Abs. 3 DSGVO gilt nicht

Landgericht Paderborn · Urteil vom 12.03.2024 · AZ 2 O 325/23

Klarer Hinweis auf das Widerspruchsrecht Das Landgericht Paderborn entschied, dass Unternehmen ihre Kunden deutlich und verständlich über das Recht zum Widerspruch gegen Direktwerbung informieren müssen. Ein versteckter Hinweis in langen Datenschutzerklärungen reicht nicht aus. Es muss ein klar erkennbarer Hinweis, zum Beispiel eine Checkbox und eine konkrete Kontaktadresse, angeboten werden.

Unverzügliche Umsetzung des Widerspruchs Wenn ein Kunde der Nutzung seiner Daten für Werbezwecke widerspricht, muss das Unternehmen diesen Widerspruch sofort beachten. Das Gericht stellte klar, dass die Monatsfrist aus Art. 12 Abs. 3 DSGVO nicht für Werbewidersprüche gilt. Diese Frist betrifft nur die allgemeine Auskunft oder andere Betroffenenrechte, nicht aber die Frage, wie lange nach einem Widerspruch noch Werbung verschickt werden darf. Nach Art. 21 Abs. 3 DSGVO dürfen personenbezogene Daten nach einem Widerspruch nicht mehr für Werbung verwendet werden – und zwar umgehend.

Rechtsfolge bei Verstoß Im konkreten Fall hatte ein Reiseanbieter auch nach Zugang des Widerspruchs noch rund 10 Tage lang Werbemails verschickt. Das Gericht wertete dies als klaren Verstoß gegen das Datenschutzrecht und das Gesetz gegen unlauteren Wettbewerb (§ 7 UWG). Die Kundin hatte Anspruch auf Unterlassung weiterer Werbung und auf Erstattung der Abmahnkosten.

Fazit für Verbraucher und Unternehmen Unternehmen müssen technisch-organisatorisch sicherstellen, dass Werbewidersprüche sofort umgesetzt werden. Eine Bearbeitungszeit von mehreren Tagen oder gar Wochen ist nicht zulässig. Verbraucher können sich darauf verlassen, dass ihr Widerspruch gegen Werbung sofort Wirkung entfalten muss.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Versteckte Ablehnungsoption bei Cookie-Bannern ist unzulässig

Landgericht Köln · Urteil vom 23.03.2023 · AZ 33 O 376/22

Sachverhalt: Das Landgericht Köln hat am 23. März 2023 entschieden, dass Cookie-Banner, bei denen die Ablehnung nicht notwendiger Cookies nur versteckt oder erschwert möglich ist, gegen die Anforderungen an eine wirksame Einwilligung nach DSGVO und TTDSG verstoßen.

Gleichwertigkeit der Auswahl: Das Gericht stellte klar, dass Nutzerinnen und Nutzer beim erstmaligen Besuch einer Website eine echte und gleichwertige Wahlmöglichkeit zwischen Zustimmung und Ablehnung nicht notwendiger Cookies haben müssen. Konkret beanstandete das Gericht, dass der Link zur Ablehnung im Fließtext „versteckt“ und optisch weniger hervorgehoben war als der Zustimmungsbutton. Auch genügte es nicht, dass die Ablehnung erst über einen weiteren Klick auf „Einstellungen ändern“ auf einer zweiten Ebene möglich war.

Begründung: Nach Ansicht des Gerichts ist eine Einwilligung nur dann freiwillig und informiert, wenn sie ohne Druck, Täuschung oder unnötige Hürden abgegeben werden kann. Ein Cookie-Banner, das die Ablehnung faktisch erschwert oder versteckt, beeinflusst die Entscheidung der Nutzer unzulässig („Nudging“). Damit fehlt es an der Freiwilligkeit und Transparenz, die für eine wirksame Einwilligung nach Art. 4 Nr. 11 DSGVO und § 25 TTDSG erforderlich sind.

Folgen für Webseitenbetreiber: Betreiber von Webseiten müssen sicherstellen, dass die Ablehnung nicht notwendiger Cookies genauso einfach und sichtbar ist wie die Zustimmung. Die Option „Alle ablehnen“ oder eine gleichwertige Ablehnungsfunktion muss auf der ersten Ebene des Banners klar erkennbar und erreichbar sein. Andernfalls riskieren sie Abmahnungen und Bußgelder wegen datenschutzwidriger Gestaltung ihrer Cookie-Banner.

Fazit: Das Urteil konkretisiert die Anforderungen an die Gestaltung von Cookie-Bannern und stärkt die Rechte der Nutzer auf eine freie, informierte Entscheidung über Tracking und Datenverarbeitung.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Verarbeitungsverzeichnis muss aktuelle und zweckgebundene Verarbeitungstätigkeiten abbilden

Verwaltungsgericht Hannover · Urteil vom 05.06.2025 · AZ 10 A 4017/23

Begriff der Verarbeitungstätigkeit: Das Verwaltungsgericht Hannover hat klargestellt, dass nicht jede einzelne Datenverarbeitung (wie etwa jede Übermittlung oder Löschung) einzeln im Verzeichnis nach Art. 30 DSGVO stehen muss. Entscheidend ist, dass ein "Bündel gleichartiger Verarbeitungen" mit gemeinsamem Zweck und über eine gewisse Zeitdauer als eigene Verarbeitungstätigkeit dokumentiert wird. Beispiel: Eine EPA-Auditierung, bei der über einen Zeitraum hinweg mehrfach Daten an externe Prüfer übermittelt werden, gilt als solche Verarbeitungstätigkeit und muss im Verzeichnis auftauchen.

Einmalige Vorgänge: Das Gericht betont, dass rein punktuelle, einmalige Datenverarbeitungen (ohne Wiederholung oder Dauer) nicht zwingend als eigene Verarbeitungstätigkeit ins Verzeichnis müssen. Nur wenn es sich um einen Prozess mit wiederkehrenden oder längeren Verarbeitungen handelt, entsteht eine Dokumentationspflicht.

Aktualitätspflicht: Das Verzeichnis muss stets die tatsächlichen Verhältnisse abbilden. Schon bei Beginn einer neuen Verarbeitungstätigkeit ist das Verzeichnis zu ergänzen. Es reicht nicht, neue Prozesse erst später oder bei Gelegenheit einzutragen. Die Dokumentation muss fortlaufend gepflegt und bei Änderungen angepasst werden.

Praktische Folgen: Unternehmen müssen ihr Verzeichnis von Verarbeitungstätigkeiten so führen, dass alle laufenden, zweckgebundenen Prozesse aktuell und nachvollziehbar dokumentiert sind. Ein veraltetes oder lückenhaftes Verzeichnis kann als eigener Datenschutzverstoß gewertet werden. Die Anforderungen sind hoch: Das Verzeichnis ist ein zentrales Kontrollinstrument für die Datenschutz-Compliance und wird von Behörden und Gerichten streng geprüft.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Cyberangriff und Datenpanne: Kein Schadensersatz ohne konkreten Nachweis

Amtsgericht München · Urteil vom 03.08.2023 · AZ 241 C 10374/23

Sachverhalt: Ein Unternehmen wurde Opfer eines Cyberangriffs, bei dem personenbezogene Kundendaten kompromittiert wurden. Die betroffenen Kunden wurden über den Vorfall informiert. Rund zwei Jahre später verlangte ein Kunde mindestens 1.000 Euro Schadensersatz, da er einen Kontrollverlust über seine Daten empfand.

Meldepflicht und Frist: Das Urteil bestätigt, dass es sich bei dem Cyberangriff um eine meldepflichtige Datenpanne nach Art. 33 DSGVO handelt. Die Betroffenen wurden informiert, was darauf hindeutet, dass zumindest die Benachrichtigung nach Art. 34 DSGVO erfolgte. Ob die Meldung an die Aufsichtsbehörde fristgerecht innerhalb von 72 Stunden erfolgte, lässt sich aus der Urteilszusammenfassung nicht sicher entnehmen. Die zentrale Frage des Gerichts war jedoch nicht die Fristeinhaltung, sondern der Schadensersatz.

Schadensersatz: Das Gericht stellte klar, dass ein bloßer Kontrollverlust oder die abstrakte Sorge um die eigenen Daten keinen Anspruch auf Schadensersatz nach Art. 82 DSGVO begründet. Es schloss sich damit der Rechtsprechung des Europäischen Gerichtshofs an, wonach ein tatsächlicher, nachweisbarer Schaden vorliegen muss. Ein reiner DSGVO-Verstoß, auch wenn eine Meldung verspätet oder formal unvollständig war, reicht für einen Zahlungsanspruch nicht aus.

Fazit: Auch wenn eine meldepflichtige Datenpanne vorliegt und die Informationspflichten erfüllt wurden, besteht ohne einen konkreten, belegbaren Schaden kein Anspruch auf Schadensersatz. Die Einhaltung der 72-Stunden-Frist bleibt wichtig für die Unternehmenscompliance und kann bußgeldrelevant sein, ist aber für zivilrechtliche Ansprüche nicht allein entscheidend.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

§ 26 Abs. 1 S. 1 BDSG ist nach EuGH-Rechtsprechung für Standardverarbeitungen von Beschäftigtendaten unanwendbar – Art. 6 DSGVO gilt unmittelbar

Bundesarbeitsgericht (BAG) · Urteil vom 31.03.2023 · AZ 8 AZR 209/21

Hintergrund: Das Bundesarbeitsgericht (BAG) hat nach dem Urteil des Europäischen Gerichtshofs (EuGH, C-34/21) entschieden, dass die zentrale deutsche Vorschrift für den Beschäftigtendatenschutz (§ 26 Abs. 1 S. 1 BDSG) für die meisten Standardfälle nicht mehr als eigenständige Rechtsgrundlage genutzt werden kann.

EuGH-Vorgabe: Der EuGH verlangt, dass nationale Gesetze im Beschäftigtendatenschutz über die DSGVO hinausgehen und spezielle Schutzmaßnahmen vorsehen. Die Generalklausel des § 26 Abs. 1 S. 1 BDSG wiederholt aber im Wesentlichen nur die DSGVO und bietet keine zusätzlichen Schutzmechanismen.

Folge: Das BAG folgt dieser Linie und stellt klar, dass Unternehmen und Behörden für die Verarbeitung von Beschäftigtendaten (z.B. Lohnabrechnung, Zeiterfassung, Organisation des Arbeitsablaufs) ab sofort direkt die DSGVO, insbesondere Art. 6 Abs. 1 lit. b, c oder f, als Rechtsgrundlage nutzen müssen. § 26 Abs. 1 S. 1 BDSG ist in diesen Fällen nicht mehr anwendbar.

Was bleibt: Die spezielleren Absätze des § 26 BDSG (z.B. zu Einwilligung, Gesundheitsdaten, Straftaten, Betriebsvereinbarungen) können weiterhin genutzt werden, da sie zusätzliche Schutzvorgaben enthalten.

Praxis-Tipp: Unternehmen und Behörden sollten ihre Datenschutzhinweise, Verarbeitungsverzeichnisse und Betriebsvereinbarungen prüfen und die Rechtsgrundlage für Standardverarbeitungen auf die DSGVO umstellen. Nur so ist die Datenverarbeitung rechtssicher und entspricht den aktuellen Vorgaben der Gerichte.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Unvollständiger Auftragsverarbeitungsvertrag führt zu Bußgeld und Rechtswidrigkeit der Verarbeitung

AEPD (Spanische Datenschutzbehörde) · Urteil vom 11.03.2025 · AZ GETECCU 2025/03/11

Rollenklärung: In einem spanischen Forschungsprojekt mit sensiblen Gesundheitsdaten wurde ein externer IT-Dienstleister als Auftragsverarbeiter eingesetzt. Die Parteien schlossen zwar einen Auftragsverarbeitungsvertrag (AVV), dieser erfüllte jedoch nicht alle Anforderungen der DSGVO. Insbesondere fehlten ausreichende und konkrete Regelungen zu technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der Daten.

Fehlende Mindestinhalte: Die Datenschutzbehörde stellte fest, dass der Vertrag keine vollständigen Angaben zu Sicherheitsmaßnahmen, zur Unterstützung bei Betroffenenrechten und zum Umgang mit Datenpannen enthielt. Auch die Prüfung und Dokumentation, ob der Dienstleister tatsächlich DSGVO-konform arbeitet, war lückenhaft. Der Verantwortliche hatte sich auf den „Papiervertrag“ verlassen, ohne die tatsächliche Umsetzung zu kontrollieren.

Folgen: Die AEPD bewertete den AVV als inhaltlich mangelhaft und damit als nicht wirksam im Sinne der DSGVO. Die Verarbeitung der Gesundheitsdaten war somit rechtswidrig. Die Behörde verhängte ein Bußgeld gegen den Verantwortlichen und forderte Nachbesserungen. Kernaussage: Ein AVV muss alle gesetzlichen Mindestinhalte konkret regeln und die praktische Umsetzung muss dokumentiert werden. Fehlt dies, drohen Bußgelder und die gesamte Datenverarbeitung kann als unrechtmäßig gelten.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Bonitätsauskunft durch automatisiertes Profiling: EuGH stärkt Rechte der Betroffenen nach Art. 22 DSGVO

Europäischer Gerichtshof (EuGH) · Urteil vom 27.02.2025 · AZ C-203/22

Sachverhalt: Die Dun & Bradstreet Austria GmbH erstellte automatisiert Bonitätsbewertungen (Scores) über Verbraucher und übermittelte diese an Geschäftspartner, zum Beispiel Mobilfunkanbieter. Einer Verbraucherin wurde daraufhin ein Mobilfunkvertrag verweigert, weil ihr Score negativ ausfiel. Sie verlangte Auskunft über die Datenverarbeitung und wandte sich gegen die automatisierte Entscheidung.

Automatisierte Entscheidung und Profiling: Der EuGH stellte klar, dass die Erstellung eines Bonitätsscores im Regelfall Profiling im Sinne der DSGVO ist. Wird auf Basis dieses Scores eine Entscheidung getroffen, die rechtliche Wirkung entfaltet oder die betroffene Person erheblich beeinträchtigt (wie die Ablehnung eines Vertrags), greift Art. 22 DSGVO. Das gilt insbesondere, wenn die Entscheidung ausschließlich automatisiert erfolgt, also ohne echte menschliche Prüfung.

Transparenz und Auskunftsanspruch: Die betroffene Person hat Anspruch auf aussagekräftige Informationen über die Logik, Tragweite und angestrebten Auswirkungen der automatisierten Verarbeitung. Es reicht nicht, nur allgemeine Hinweise zu geben; die Informationen müssen verständlich und nachvollziehbar sein, damit die Person ihre Rechte (z.B. Anfechtung, menschliches Eingreifen) ausüben kann. Geschäftsgeheimnisse begrenzen das Auskunftsrecht nicht absolut: Im Zweifel müssen diese Informationen zumindest gegenüber Behörden oder Gerichten offengelegt werden.

Bedeutung für die Praxis: Der EuGH macht deutlich, dass viele gängige Scoring- und Bonitätsprüfungsverfahren unter Art. 22 DSGVO fallen. Unternehmen müssen sicherstellen, dass sie entweder eine tragfähige Ausnahme (z.B. ausdrückliche Einwilligung) nachweisen können oder die Entscheidung nicht ausschließlich automatisiert treffen. Verbraucher haben ein starkes Recht auf Transparenz und effektiven Rechtsschutz gegen solche Entscheidungen.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Transparenzpflicht als Voraussetzung für die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO

Europäischer Gerichtshof (EuGH) · Urteil vom 09.01.2025 · AZ C-394/23

Transparenz – Information bei Datenerhebung

Der EuGH hat im Fall „Mousse“ (C-394/23) entschieden, dass Unternehmen und Organisationen bei der Erhebung personenbezogener Daten zwingend das konkrete berechtigte Interesse offenlegen müssen, wenn sie sich auf Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung) stützen wollen. Diese Information muss direkt zum Zeitpunkt der Datenerhebung erfolgen, etwa in der Datenschutzerklärung oder beim Ausfüllen eines Kontaktformulars. Ein nachträgliches Nachschieben der Information reicht nicht aus.

Rechtsfolge bei fehlender Information

Wird das berechtigte Interesse nicht klar und rechtzeitig kommuniziert, ist die gesamte Datenverarbeitung rechtswidrig – selbst wenn im Nachhinein ein berechtigtes Interesse tatsächlich bestehen würde. Der EuGH betont, dass diese Transparenzpflicht eine echte Zulässigkeitsvoraussetzung ist: Ohne sie kann die Interessenabwägung nicht durchgeführt werden und die Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO entfällt.

Praktische Bedeutung

Für Unternehmen bedeutet das Urteil: Wer personenbezogene Daten auf Grundlage einer Interessenabwägung verarbeitet, muss seine Interessen konkret und verständlich benennen und die betroffenen Personen bei Erhebung der Daten darüber informieren. Fehlt diese Information, drohen Bußgelder und die Untersagung der Verarbeitung. Die Entscheidung stärkt die Rechte der Betroffenen und zwingt Verantwortliche zu mehr Transparenz und Sorgfalt beim Umgang mit personenbezogenen Daten.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Schadensersatz bei unterlassener Auskunft und Datenlöschung trotz laufendem Auskunftsersuchen

Arbeitsgericht Düsseldorf · Urteil vom 04.12.2024 · AZ 8 Ca 3409/24

Sachverhalt: Ein Bewerber verlangte nach einer Absage vom Unternehmen Auskunft über seine gespeicherten Daten und eine Datenkopie gemäß Art. 15 DSGVO. Das Unternehmen reagierte zunächst gar nicht, erinnerte wurde es erfolglos. Erst nach Ablauf der Monatsfrist meldete sich der externe Datenschutzbeauftragte und erklärte, die Daten seien bereits wenige Tage nach der Absage gelöscht worden – eine Auskunft könne daher nicht mehr erteilt werden.

Verstoß gegen die DSGVO: Das Gericht stellte klar, dass die Auskunft nicht fristgerecht erfolgte und die Daten trotz laufendem Auskunftsersuchen gelöscht wurden. Nach Art. 12 Abs. 3 DSGVO hätte spätestens nach einem Monat eine Antwort erfolgen müssen, eine Fristverlängerung wurde nicht mitgeteilt. Zudem dürfen Daten während eines offenen Auskunftsersuchens nicht gelöscht werden, da die Auskunftspflicht Vorrang vor der Löschpflicht hat (Art. 17 Abs. 3 lit. b DSGVO).

Immaterieller Schaden: Das Arbeitsgericht bejahte einen immateriellen Schaden. Der Bewerber habe durch die unterlassene Auskunft und die Datenlöschung die Kontrolle über seine Daten verloren. Angesichts des Verhaltens des Unternehmens durfte er objektiv begründet befürchten, dass mit seinen Daten unsachgemäß umgegangen wurde. Das Gericht sah darin einen konkreten Kontrollverlust und eine nachvollziehbare Verunsicherung.

Schadenshöhe: Das Gericht sprach dem Kläger 750 Euro immateriellen Schadensersatz zu. Die Höhe wurde nach § 287 ZPO geschätzt und als geringfügig, aber über eine bloße Lappalie hinausgehend bewertet. Maßgeblich war der Zeitraum zwischen Antragstellung und gerichtlicher Entscheidung sowie die Schwere des Verstoßes.

Fazit: Das Urteil zeigt, dass bei einer vollständigen Nichtreaktion und Löschung der Daten trotz laufenden Auskunftsersuchens ein Schadensersatzanspruch nach Art. 82 DSGVO bestehen kann – insbesondere, wenn der Betroffene einen konkreten Kontrollverlust nachvollziehbar darlegt.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Ausnahme von Informationspflichten nach Art. 14 Abs. 5 lit. c DSGVO nur bei gleichwertigem nationalem Schutzniveau

Europäischer Gerichtshof (EuGH) · Urteil vom 28.11.2024 · AZ C-169/23

Anwendungsbereich – Wann gilt Art. 14 DSGVO?

Der EuGH hat entschieden, dass Art. 14 DSGVO immer dann zur Anwendung kommt, wenn personenbezogene Daten nicht direkt bei der betroffenen Person erhoben werden. Das gilt unabhängig davon, ob die Daten von Dritten stammen oder vom Verantwortlichen selbst generiert wurden, wie etwa bei der Ausstellung von COVID-19-Immunitätszertifikaten durch eine Behörde. Entscheidend ist allein, dass die Daten nicht unmittelbar beim Betroffenen abgefragt wurden.

Ausnahme – Wann entfällt die Informationspflicht?

Die Ausnahme nach Art. 14 Abs. 5 lit. c DSGVO greift nur, wenn eine konkrete nationale Vorschrift die Datenerhebung oder -offenlegung regelt und dabei ein Schutzniveau bietet, das mindestens dem der DSGVO entspricht. Das bedeutet: Die nationale Regelung muss die Informationsrechte der Betroffenen tatsächlich wirksam ersetzen. Ein bloßer Hinweis darauf, dass auf gesetzlicher Grundlage gehandelt wird, reicht nicht aus. Die Aufsichtsbehörden dürfen und müssen prüfen, ob das nationale Recht diesen Schutz tatsächlich bietet.

Praktische Folgen – Was müssen Verantwortliche tun?

Verantwortliche müssen entweder den vollen Informationskatalog nach Art. 14 DSGVO (Zwecke, Rechtsgrundlage, Rechte, Empfänger, Herkunft der Daten etc.) bereitstellen oder nachweisen, dass eine rechtssichere Ausnahme nach Art. 14 Abs. 5 lit. c tatsächlich und nachprüfbar greift. Auch Daten, die im eigenen System neu erzeugt werden (z.B. interne IDs, Scores), fallen unter diese Pflicht, sofern sie nicht direkt beim Betroffenen erhoben wurden. Die Informationspflichten sind also sehr weit zu verstehen und können nur in eng begrenzten Ausnahmefällen entfallen.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

EuGH: Unternehmen müssen Löschfristen und dokumentierte Löschkonzepte für personenbezogene Daten vorweisen

Europäischer Gerichtshof (EuGH) · Urteil vom 04.10.2024 · AZ C-446/21

Hintergrund: Der Europäische Gerichtshof (EuGH) hat im Oktober 2024 über die Verarbeitung personenbezogener Daten durch Meta für Werbezwecke entschieden. Im Zentrum stand die Frage, wie lange Unternehmen personenbezogene Daten speichern und wie sie deren Löschung organisieren müssen.

Löschfristen und Zweckbindung: Der EuGH stellte klar, dass personenbezogene Daten nicht unbegrenzt gespeichert werden dürfen. Unternehmen müssen für jede Datenkategorie eine klare Löschfrist festlegen, die sich am jeweiligen Verarbeitungszweck orientiert. Ist der Zweck entfallen, müssen die Daten gelöscht werden. Ein "Verfallsdatum" für Daten ist verpflichtend.

Dokumentiertes Löschkonzept: Die Richter betonen, dass Unternehmen ihre Löschregeln und -fristen schriftlich dokumentieren und technisch-organisatorisch umsetzen müssen. Ohne ein systematisches, dokumentiertes Löschkonzept ist es praktisch unmöglich, die Anforderungen der DSGVO zu erfüllen. Unternehmen sollen ihre Datenbestände regelmäßig überprüfen und nicht mehr benötigte Daten konsequent löschen.

Nachweis und Kontrolle: Bei Anfragen von Aufsichtsbehörden oder Gerichten müssen Unternehmen ihr Löschkonzept vorlegen und den Nachweis erbringen, dass Löschfristen tatsächlich eingehalten werden. Fehlen solche Nachweise oder existiert kein aktuelles Löschkonzept, drohen Bußgelder und Schadensersatzforderungen.

Fazit: Das Urteil verschärft die Anforderungen an Unternehmen deutlich. Es reicht nicht mehr, die Löschung nur zu behaupten. Vielmehr müssen Löschprozesse dokumentiert, regelmäßig überprüft und bei Bedarf nachgewiesen werden. Unternehmen, die kein dokumentiertes und gelebtes Löschkonzept haben, riskieren empfindliche Strafen.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Verstoß gegen Informationspflichten ist bereits eine rechtswidrige Datenverarbeitung

Europäischer Gerichtshof (EuGH) · Urteil vom 11.07.2024 · AZ C-757/22

Informationspflichten – Pflichtverletzung wird zur Datenverarbeitung

Der EuGH hat am 11.07.2024 entschieden, dass bereits der bloße Verstoß gegen die Informationspflichten nach Art. 13 und 14 DSGVO eine eigene Form der Datenverarbeitung darstellt, die als rechtswidrig gilt. Das heißt: Wenn personenbezogene Daten verarbeitet werden, ohne dass die betroffene Person ordnungsgemäß über die Verarbeitung informiert wird (z.B. über Zwecke, Empfänger, Rechte), liegt nicht nur eine Verletzung der Transparenzpflichten vor, sondern eine eigenständige, rechtswidrige Verarbeitung.

Konsequenz für Unternehmen und Behörden

Das Urteil macht deutlich, dass es für die Einordnung als Datenverarbeitung nicht darauf ankommt, ob die Daten rechtmäßig, sicher oder transparent verarbeitet werden. Schon das reine Fehlen oder die Unvollständigkeit der vorgeschriebenen Informationen an Betroffene führt dazu, dass die laufende Verarbeitung als rechtswidrig eingestuft werden kann. Dies kann nach Art. 80 Abs. 2 DSGVO auch von Verbänden oder Organisationen verfolgt und sanktioniert werden.

Praktische Bedeutung

Für die Praxis bedeutet das: Die Schwelle, ab der eine Datenverarbeitung vorliegt, ist extrem niedrig. Unternehmen und öffentliche Stellen müssen daher nicht nur auf die Rechtmäßigkeit der Verarbeitung achten, sondern auch darauf, dass alle Informationspflichten vollständig und verständlich erfüllt werden. Andernfalls drohen Bußgelder und rechtliche Schritte – selbst dann, wenn die eigentliche Verarbeitung technisch und organisatorisch korrekt abläuft.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026

Gemeinsame Verantwortlichkeit nach DSGVO auch ohne Art.-26-Vereinbarung – Adtech-Standard TCF

Europäischer Gerichtshof (EuGH) · Urteil vom 07.03.2024 · AZ C-604/22

Hintergrund: Ein Branchenverband (IAB Europe) entwickelte für die Online-Werbebranche das sogenannte 'Transparency & Consent Framework' (TCF). Dieses Regelwerk gibt vor, wie Unternehmen Einwilligungen für die Verarbeitung personenbezogener Daten im Adtech-Bereich einholen und verwalten. Die Datenschutzaufsicht stellte die Frage, ob der Verband gemeinsam mit seinen Mitgliedern für die Datenverarbeitung verantwortlich ist – auch wenn keine formelle Vereinbarung nach Art. 26 DSGVO besteht.

Wann liegt gemeinsame Verantwortlichkeit vor? Der EuGH entschied: Eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO besteht bereits dann, wenn mehrere Akteure – wie hier der Verband und die teilnehmenden Unternehmen – gemeinsam oder komplementär über die Zwecke und wesentlichen Mittel der Datenverarbeitung bestimmen. Es reicht aus, dass der Verband durch das TCF maßgeblichen Einfluss auf das 'Wie' und 'Warum' der Datenverarbeitung nimmt, auch wenn er selbst keinen Zugriff auf die konkreten personenbezogenen Daten hat.

Ist eine Art.-26-Vereinbarung notwendig? Der EuGH stellte klar: Für die rechtliche Einordnung als gemeinsam Verantwortliche ist es NICHT erforderlich, dass eine förmliche Vereinbarung über Zwecke und Mittel oder über die Bedingungen der Zusammenarbeit vorliegt. Die gemeinsame Verantwortlichkeit ergibt sich allein aus den tatsächlichen Einflussmöglichkeiten und der Zusammenarbeit – unabhängig von vertraglichen Regelungen.

Folgen: Sobald eine gemeinsame Verantwortlichkeit vorliegt, sind die Beteiligten verpflichtet, eine Art.-26-Vereinbarung abzuschließen. Fehlt diese, bleibt die gemeinsame Verantwortlichkeit trotzdem bestehen. Das Fehlen der Vereinbarung ist ein Datenschutzverstoß und kann zu Bußgeldern führen. Wichtig: Die Betroffenenrechte müssen auch ohne Vereinbarung gewahrt werden. Fazit: Die Praxis muss zuerst die tatsächliche Zusammenarbeit prüfen – die Vereinbarung ist Pflicht, aber nicht Voraussetzung für die Verantwortlichkeit.

Redaktion: TerminusAI Chung Rechtsanwaltskanzlei Stand: 17.03.2026 Zuletzt aktualisiert: 17.03.2026
Impressum Über uns Update-Log: Erstveröffentlichung am 17.03.2026
Hinweis: Die Beiträge ersetzen keine individuelle Rechtsberatung, helfen aber bei der ersten Einordnung nach einem Verkehrsunfall.