Aktuelles aus der Rechtsprechung
1. EuGH: Verantwortlichkeit des Betreibers einer Online-Marktplatz-Website im Sinne des Art. 4 Nr. 7 DSGVO
Der Gerichtshof der Europäischen Union (EuGH) hat entschieden, dass der Betreiber einer Online-Marktplatz-Website für die Verarbeitung von personenbezogenen Daten verantwortlich ist, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind (EuGH, Urteil vom 2. Dezember 2025 – C-492/23). Den Verantwortlichen treffe insbesondere auch vor der Veröffentlichung die Pflicht, jene Anzeigen zu identifizieren, die sensible Daten enthalten, und zu überprüfen, ob der Inserent wirklich mit der Person übereinstimmt, deren Daten in der Anzeige enthalten sind, oder ob dieser über die ausdrückliche Einwilligung der betroffenen Person verfügt. Liegt eine solche Einwilligung nicht vor, ist die Veröffentlichung der Anzeige zu verweigern. Die genannten Pflichten sind dem EuGH zufolge durch geeignete TOM zu gewährleisten. Die unabhängigen Datenschutzbeauftragten von Berlin und Hamburg haben die Entscheidung des EuGH in einer Pressemitteilung begrüßt und geben eine Einordnung des Falls vor dem Hintergrund der DSGVO und des DSA. Diese Entscheidung des EuGH hat weitreichende Bedeutung für Betreiber von Online-Marktplätzen, da es ihre datenschutzrechtlichen Pflichten erheblich ausweitet und klare Vorgaben für den Umgang mit (sensiblen) personenbezogenen Daten macht. Damit setzt der EuGH neue Standards für die Kontrolle und Prävention auf digitalen Plattformen und erhöht die Anforderungen an TOM.
2. EuGH: Zum sog. "Soft Opt-In"
Mit Urteil vom 13. November 2025 in der Rechtssache C‑654/23 hat der EuGH eine wichtige Entscheidung zur Zulässigkeit von Newslettern im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung, dem sog. "Soft Opt-In" gefällt. Zum einen legt der EuGH den Begriff der "Direktwerbung" weit aus, sodass eine E-Mail-Adresse auch dann "im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung" erhalten wurde, wenn der Service für den Nutzer kostenlos erfolgt, aber über diesen weitere kostenpflichtige Services bestellt werden können. Dasselbe gelte, wenn der Service durch Werbung finanziert ist. Zum anderen hat der EuGH in diesem Fall entschieden, dass insbesondere die Voraussetzungen zur Verarbeitungsgrundlage aus Art. 6 DSGVO keine (parallele) Anwendung zu Art. 13 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation finden, da diese die DSGVO als speziellere Norm verdrängt. Die in Art. 6 Abs. 1 DSGVO vorgesehenen Voraussetzungen für die Rechtmäßigkeit der Verarbeitung sollen dem EuGH zufolge nicht gelten, wenn der Verantwortliche die E‑Mail-Adresse eines Nutzers verwendet, um ihm eine unerbetene Nachricht gemäß Art. 13 Abs. 2 Datenschutzrichtlinie für elektronische Kommunikation zu senden. Art. 13 der sog. ePrivacy-Richtlinie wurde in Deutschland in § 7 UWG umgesetzt.
3. EuGH: Klage auf Nichtigerklärung des Rahmens für die Übermittlung personenbezogener Daten zwischen der EU und den USA
Nachdem das Gericht der Europäischen Union (EuG) die Klage auf Nichtigerklärung des EU-Angemessenheitsbeschlusses zur Übermittlung personenbezogener Daten zwischen der EU und den USA mit Urteil vom 3. September 2025 (T-553/23) und u.a. dem Hinweis, dass die USA zum Zeitpunkt des Beschlusses ein angemessenes Datenschutzniveau gewährleisteten, abgewiesen hat, steht nun fest, dass in der Sache der EuGH entscheiden wird. Der EU-Abgeordnete und Kläger in der Sache Latombe hat Rechtsmittel zum EuGH gegen die Entscheidung des EuG eingelegt. Die Rechtssache Latombe ./. Kommission ist nun unter dem Aktenzeichen C-703/25 P beim EuGH anhängig. Bemerkenswert an der Entscheidung des EuG ist, dass das Gericht nicht über die Zulässigkeit, namentlich die Klagebefugnis des Klägers, entschieden, sondern diese Frage ausdrücklich offen gelassen und ausschließlich zur Begründetheit der Klage entschieden hat. Die Klagebefugnis ist in diesem Verfahren fraglich, da hier eine Einzelperson gegen einen Angemessenheitsbeschluss vorgeht. Abzuwarten bleibt, wie der EuGH zur Zulässigkeit und zur Begründetheit der Klage entscheiden wird.
4. BGH: Zulässigkeit der Übermittlung sog. Positivdaten an SCHUFA
Zuletzt hat eine Vielzahl von Verfahren die Gerichte beschäftigt, in denen die Kläger wegen der Weitergabe personenbezogener Daten durch ein Telekommunikationsunternehmen an eine Auskunftei Schadensersatz nach Art. 82 DSGVO von dem Telekommunikationsunternehmen verlangten. Die Mehrzahl der Klagen wurde mangels DSGVO-Verstoßes und/oder mangels Schadens abgewiesen (vgl. hier in unserem Blog). Vielmehr sahen die meisten Gerichte die Verarbeitung von Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO gedeckt.
Diese Einschätzung bestätigte der Bundesgerichtshof (BGH) nun mit Urteil vom 14. Oktober 2025 (VI ZR 431/24). In dem durch den BGH zu entscheidenden Verfahren ging es zwar nicht um Schadensersatz gemäß Art. 82 DSGVO, wohl aber um die Zulässigkeit der Datenverarbeitung. Geklagt hatte in dem Verfahren kein Betroffener, sondern ein Verbraucherverband, der sich gegen die Übermittlung der Positivdaten gewandt hat. Dessen Unterlassungsklage wurde von der Vorinstanz abgewiesen, was der BGH bestätigte. Der BGH sieht die Übermittlung der zum Identitätsabgleich erforderlichen Stammdaten der Verbraucher sowie die Übermittlung der Information, dass ein Vertragsverhältnis begründet oder beendet wurde, an die Auskunftei gemäß Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO als gerechtfertigt an. Rechtfertigendes Interesse der Beklagten sei eine hinreichende Betrugsprävention. Diese Entscheidung des BGH wird Auswirkungen auf die Schadensersatzverfahren in ähnlichen Sachverhalten haben.
5. VG Berlin: Keine gemeinsame Verantwortlichkeit von Unternehmer und Adresshändlerin im sog. Lettershop-Verfahren
Mit Urteil vom 14. Oktober 2025 (1 K 74/24) hat das VG Berlin entschieden, dass ein Unternehmen, für das eine Adresshändlerin im sog. Lettershop-Verfahren Direktwerbung versendet und wofür der Werbetreibende zwar Kundenkategorien vorgibt, aber keinen Zugriff auf die genutzten Adressen erhält, datenschutzrechtlich für die Datenverarbeitung in Gestalt des Auswählens und Verwendens der Adressdaten nicht gemeinsam mit dem Adresshändler gemäß Art. 4 Nr. 7 und Art. 26 Abs. 1 S. 1 DSGVO verantwortlich ist.
6. Rückblick zum DSGVO-Schadensersatz
Auch dieses Jahr hat der Schadensersatz gemäß Art. 82 DSGVO die Gerichte beschäftigt. In den knapp 180 in unsere Übersicht aufgenommenen Verfahren wurden unserer Auswertung zufolge im bisherigen Verlauf des Jahres 2025 ca. 120 Klagen abgewiesen. Bei den zugesprochenen Schadensersatzansprüchen beläuft sich der zu leistende Betrag auf EUR 100 bis EUR 5.000.
|