Datenschutzwoche
Nach Datenschutzverstoß: Facebook muss Entschädigung zahlen
Das Landgericht (LG) Leipzig hat am 4. Juli 2025 einem Facebook-Nutzer eine Entschädigung in Höhe von 5.000 Euro zugesprochen. Zahlreiche Betreiber nutzen auf ihren Webseiten und Apps von Metas „Business Tools“, die jeden “Nutzer für Meta zu jeder Zeit individuell erkennbar [machen], sobald er sich auf Drittwebseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Instagram- oder Facebook-Account angemeldet hat“, so das Gericht.
Die Höhe des Schmerzensgeldes nach Art. 82 DSGVO müsse demnach über die in der nationalen Rechtsprechungspraxis etablierten Beträge hinausgehen. Bei der Schadensschätzung wurde der Wert der personenbezogenen Daten für personalisierte Werbung bei Meta zugrunde gelegt.
Die hohe Entschädigung soll dem Gewicht des Eingriffs in das Grundrecht auf Datenschutz Rechnung tragen – unabhängig vom konkreten Einzelfall. Es stellte auf die allgemeine Betroffenheit eines verständigen Durchschnittsnutzers ab.
Das Urteil ist nicht zuletzt deswegen überraschend, da der BGH in einem Scraping-Fall unlängst 100 Euro als ausreichend angesehen hatte. Auch die Berechnung des Schadens wirft Zweifel auf. So statuierte der BGH im selben Urteil übereinstimmend mit dem EuGH, dass Art. 82 Abs. 1 DSGVO ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion erfüllt. Das Urteil ist nicht rechtskräftig.
Landesdatenschutzbehörden fordern vereinfachte Meldewege für IT-Sicherheitsvorfälle
Die Datenschutzaufsichtsbehörden der Länder sprechen sich für eine Vereinfachung der Meldepflichten im Rahmen der NIS-2-Richtlinie aus. Unternehmen sollen künftig IT-Sicherheitsvorfälle und Datenschutzverstöße in einem einheitlichen Verfahren melden können. Ein entsprechender Vorschlag wurde am 4. Juli 2025 im Zuge der Länder- und Verbändebeteiligung an das Bundesinnenministerium übermittelt. Ziel ist es, Betreiber kritischer Infrastrukturen zu entlasten, indem Meldungen nach der NIS-2-Richtlinie und der DSGVO gebündelt erfolgen können.
Die Berliner Landesdatenschutzbeauftragte, Meike Kamp, betont: „Statt Meldungen doppelt einreichen zu müssen, sollten Unternehmen alle Meldungen in einem Schritt erledigen können.“ Vorgesehen ist, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Meldestelle für NIS-2-Vorfälle fungiert. Gemeinsam mit den Datenschutzaufsichtsbehörden soll ein digitales Meldesystem entstehen, das die rechtlichen Anforderungen beider Rechtsakte abdeckt.
Internationale Nachrichten
EDSA: Am 2. Juli 2025 hat der Europäische Datenschutzausschuss (EDSA) in Helsinki das „Helsinki Statement“ angenommen. Die Erklärung enthält konkrete Maßnahmen zur Stärkung der DSGVO-Anwendung, insbesondere für kleine und mittlere Unternehmen. Ziel ist es, die Einhaltung der Datenschutzvorgaben zu erleichtern, Innovation verantwortungsvoll zu fördern und die Wettbewerbsfähigkeit in Europa zu unterstützen.
Geplant sind unter anderem leicht zugängliche Hilfsmittel wie Vorlagen, Checklisten und FAQs sowie ein einheitliches Muster für Datenschutzverletzungs-Meldungen. Diese sollen bestehende nationale Lösungen harmonisieren und den administrativen Aufwand für Unternehmen verringern. Die Zusammenarbeit mit anderen Regulierungsbehörden soll gestärkt werden, um einen kohärenten Umgang mit rechtlichen Schnittstellen sicherzustellen
Zur besseren Durchsetzung der DSGVO plant der EDSA gemeinsame Standards, koordinierte Maßnahmen sowie besser abgestimmte Leitlinien. Nationale und europäische Vorgaben sollen bei Bedarf angeglichen werden.
Aktuelle Gerichtsentscheidungen
- OLG Stuttgart, Beschluss vom 25.02.2025, Az. 2 ORbs 16 Ss 336/24 (Volltext): Mitarbeiterexzess – Die nicht dienstlich veranlasste Datenbankabfrage durch Behördenmitarbeiter (hier: Polizeiauskunftssystem "POLAS") begründet eine Verantwortlichkeit gem. Art. 4 Nr. 7 DSGVO und stellt eine (unzulässige) Verarbeitung gem. Art. 4 Nr. 2 DSGVO dar.
- AG Lörrach, Urteil vom 03.03.2025, Az. 3 C 1099/24 (Volltext): Anspruch auf Löschung von Foto- und Videoaufnahmen – Der Kläger hat gegen den Beklagten einen Anspruch auf Löschung der angefertigten Bilder und Videos nach Art. 17 Abs. 1 lit. d) DSGVO. [...] Soweit der Beklagte ein berechtigtes Interesse hat, einen unzulässigen Gewerbebetrieb in einem reinen Wohngebiet zu dokumentieren, muss sich die Verarbeitung der personenbezogenen Daten auch darauf beschränken.
- OLG Frankfurt am Main, Beschluss vom 16.06.2025, Az. 6 W 75/25 (Volltext): Streitwert bei Positivdaten – Ist ein Antrag auf Zahlung von Entschädigung wegen eines Verstoßes gegen die DSGVO beziffert, ist auch bei offensichtlicher Überhöhung für eine niedrigere Festsetzung des Streitwertes kein Raum. Der Wert des Unterlassungsantrages in Fällen der Übermittlung von Positivdaten ist im Regelfall mit nicht mehr als 1.000 € zu bemessen.
- OLG Bamberg, Beschluss vom 16.06.2025; Az. 6 W 6/25 e (Volltext): Auskunftsanspruch nach § 21 Abs. 2 Satz 2 TDDDG – Im Streitfall ist zwischen der Meinungsfreiheit und der „Geschäftsehre“ abzuwägen [...]. Der Senat schließt sich insoweit den überzeugenden Ausführungen des Landgerichts an, dass jedenfalls nicht die Antragstellerin Verletzte einer Beleidigung ist, denn ehrenrührige Teile der beanstandeten Bewertung beziehen sich auf den oder die Vorgesetzte des Bewerters und dessen Vorgesetzten, die „nichts taugen“ oder „unfähig“ sind. Insoweit fehlt es an einem Angriff gerade auf die „Geschäftsehre“ der Antragstellerin.
Neuigkeiten aus den Aufsichtsbehörden:
- Datenschutzaufsicht Mecklenburg-Vorpommern: „Zum heutigen Welttag sozialer Medien: Kein Licht ohne Schatten“ – Pressemitteilung vom 30.06.2025
- Datenschutzaufsicht Niedersachsen: „Gute Nachricht für den Datenschutz: Niedersachsen beschließt Haushaltsmittel zur Finanzierung von Schultablets“ – Pressemitteilung vom 01.07.2025
- Datenschutzaufsicht Hessen:„4. Datenschutztag Hessen & RLP zeigt auf, wie menschenzentrierte Digitalisierung gelingen kann“ – Pressemitteilung vom 02.07.2025
- Datenschutzaufsicht Berlin: „NIS-2: Meldewege für IT-Sicherheitsvorfälle und Datenpannen vereinheitlichen“ – Pressemitteilung vom 04.07.2025
- Datenschutzaufsicht Sachsen-Anhalt: „Zwischen Pandemie und Fortschritt: Rückblick auf 2020. Die Landesbeauftragte für den Datenschutz in Sachsen-Anhalt, Maria Christina Rost, legt den ersten der vier Tätigkeitsberichte für die Jahre 2020 bis 2023 vor. Aufgrund der Vakanz in der Leitung war für diese Jahre bisher kein Tätigkeitsbericht vorgelegt worden.“ – Pressemitteilung vom 07.07.2025. Zum Bericht