Wichtige Urteile zur DSGVO

Kategorien: Recht, Datenschutz, Übersicht und Urteile

Schadenersatz für unberechtigte Cookies

Bezeichnung: OLG Frankfurt am Main, Urteil vom 11.12.2025 – 6 U 81/23

Beschreibung: Einem Besucher einer Webseite wurden 100 € immaterieller Schadensersatz zugesprochen, weil ohne Rechtsgrundlage (insbesondere ohne Einwilligung) Cookies auf dem Endgerät des Nutzers platziert wurden.

Google Tag Manager erst nach Einwilligung erlaubt

Bezeichnung: VG Hannover, Urteil vom 19.03.2025 – 10 A 5385/22

Beschreibung: Das Gericht hat aufgrund eines Antrags des niedersächsischen Datenschutzbeauftragten entschieden, dass der Google Tag Manager erst nach Einwilligung des Website-Besuchers genutzt (geladen) werden darf. Weiterhin wurde entschieden, dass ein "Alle ablehnen" Button auf der Einwilligungsabfrage ("Cookie Popup") angeboten werden muss.

Kontrollverlust für Schadenersatz ausreichend

Bezeichnung: EuGH, Urteil vom 04.10.2024 – C-200/23

Beschreibung: Der EuGH hat entschieden, dass Kontrollverlust über die eigenen Daten einen immateriellen Schaden bedeutet, den eine Person gegenüber einem Verantwortlichen geltend machne kann. Die Höhe des Schadens ist irrelevant. Der Kontrollverlust muss lediglich gezeigt werden. Anmerkung: Dies ist insbesondere bei Real-Time Bidding (Online-Werbeplattformen wie Google Ads, Criteo etc.) der Fall.

Renitenter Verstoß gegen Pflicht zur Auskunftserteilung nach Art. 15 DSGVO

Bezeichnung: VG Ansbach, Urteil vom 12.06.2024 – AN 14 K 20.00941

Beschreibung: Eine Datenauskunft wurde nicht erteilt. Daraufhin wurde das Bayerischen Landesamtes für Datenschutzaufsicht informiert. Es sollte der Sache nachgehen. Die Datenschutzaufsicht wurde nicht tätig. Dafür wurde sie verurteilt und muss nun tätig werden. Einen Ermessensspielraum bei der Behörde sieht das Gericht nicht. Die Auskunft muss erteilt werden, die Behörde muss dem nachgehen.

Verstoß gegen Informationspflichen ist rechtsverletzende Datenverarbeitung

Bezeichnung: EuGH, Urteil vom 11.07.2024 – C‑757/22

Beschreibung: Der bloße Verstoß gegen die Informationspflichten, die sich aus Art. 13 und 14 DSGVO ergeben, stellt eine rechtsverletzende Datenverarbeitung dar, die nach Art. 80 Abs. 2 DSGVO belangt werden kann.

Das bedeutet, dass eine Datenverarbeitung dann rechtswidrig ist, wenn nicht spätestens zum Zeitpunkt der ersten Datenverarbeitung die Informationspflichten erfüllt werden. Zu spät, falsch oder gar nicht vorhandene Datenschutzhinweise sorgen also für eine rechtswidrige Datenverarbeitung.

Für Cookies haftet (auch) der Dienstanbieter

Bezeichnung: OLG Frankfurt am Main, Urteil vom 27.6.2024 – 6 U 192/23

Beschreibung: Auf einer Webseite wurden bei deren Besuch einwilligungspflichtige Cookies eines Microsoft-Dienstes erzeugt und ausgelesen, obwohl keine Einwilligung des Website-Besuchers vorlag. Das Gericht bestätigte, dass der Dienstanbieter für diese rechtswidrige Verwendung von Cookies haftet. Microsoft wird nicht dadurch entlastet, dass Microsoft die Website-Betreiber in den AGB dazu verplichte, die Einwilligung für diese Cookies einzuholen.

Anmerkung: Ein zugrunde liegendes Gutachten in diesem Verfahren stammt von Dr. Klaus Meffert (Dr. DSGVO).

Transfer von IP-Adressen an Google ist problematisch

Bezeichnung:  LG Köln, Urteil vom 23.03.2023 – 33 O 376/22

Beschreibung: Die Verbraucherzentrale hat ein Urteil gegen die Telekom erstritten. Das Gericht sieht ein Problem, wenn der Datentransfer von IP-Adressen an Google in die USA ohne weitere Legitimation stattfindet. IP-Adressen werden immer an Google übertragen, wenn Google Dienste auf Webseiten eingebunden werden.

Unterlassungsanspruch betroffener Personen

Bezeichnung: BGH-Urteil vom 21.01.2021 – I ZR 207/19 – „Sascha Hehn“

Beschreibung: Betroffene Personen haben einen Anspruch auf Unterlassung, wenn ihre personenbezogenen Daten nicht gemäß DSGVO und somit rechtswidrig verarbeitet werden.

Zusendung von unverschlüsselten Mails

Bezeichnung: SG Hamburg, Urteil vom 30.06.2023 – S 39 AS 517/23

Beschreibung: Ein Schwerbehinderter wollte vom zuständigen Jobcenter Unterlagen per Mail erhalten. Die Behörde verweigerte dies, weil die Mails nur verschlüsselt versandt werden dürften. Das Gericht entschied, dass der Kläger einen Anspruch auf Erhalt der Unterlagen in barrierefreier Form, hier per Mail, hat. Auf Wunsch des Klägers hat dies in unverschlüsselter Form zu erfolgen.

Speicherdauer von Überwachungsvideos auf Privatgrund

Bezeichnung: VG Hannover, Urteil vom 13.03.2023 – 10 A 1443/19

Beschreibung: Der Betreiber einer SB-Tankstelle, die 24/7 geöffnet ist, zeichnet den Tankstellenbereich per Video auf. Er darf die Videos anlasslos aber nur 72 Stunden lang aufheben (Ausnahme: Feiertage oder sonstiger wichtiger Grund). Er muss in dieser Zeit mögliche Vorfälle sichten, die eine längere Aufbewahrung rechtfertigen. Zur Abwehr von Ansprüchen von Tankstellenkunden, etwa weil diese behaupten, es wäre kein Kraftstoff aus der Zapfsäule gekommen, darf (jedenfalls nicht ohne innerhalb der 72 Stunden erkennbaren Anlass) die Aufzeichnung nicht aufgehoben werden.

Cookiebot: Nutzung auf Webseiten ist rechtswidrig

Bezeichnung: VG Wiesbaden, Beschluss vom 01.12.2021 – 6 L 738/21.WI

Beschreibung: Das Consent-Tool Cookiebot verarbeitet personenbezogene Daten und gibt sie in die USA weiter, wo sie dann gespeichert werden. Dies sah das Gericht als gegeben an und untersagte der Hochschule RheinMain den Einsatz von Cookiebot. Aktuell ist der Beschluss in Prüfung.

Google Fonts: Nutzung auf Webseiten ist rechtswidrig

Bezeichnung: LG München, Urteil vom 20.01.2022 – 3 O 17493/20

Beschreibung: Das Einbetten von sogenannten Google Schriften, so dass diese von einem Google Server geladen werden, ist laut dem Urteil rechtswidrig. Das Urteil wurde am 10.03.2022 rechtskräftig. Haben Sie eine Google Fonts Abmahnung erhalten, hilft Ihnen womöglich mein Beitrag mit Google Fonts Empfehlungen.

Schmerzensgeld wegen erhaltener Werbe-E-Mail (1)

Bezeichnung: AG Pfaffenhofen a.d. Ilm, Urteil vom 09.09.2021 – 2 C 133/21

Beschreibung: Wegen unerlaubt zugesandter Mails mit werblichem Inhalt wurde der betroffenen Person aufgrund von Art. 82 DSGVO ein Schmerzensgeld in Höhe von 300 Euro zugesprochen. Auch das Auskunftsrecht aus Art. 14 DSGVO und Art. 15 DSGVO wurde verletzt.

Schmerzensgeld wegen erhaltener Werbe-E-Mail (2)

Bezeichnung: LG Heidelberg, Urteil vom 16.03.2022 – 4 S 1/21

Beschreibung: Der Kläger erhielt 25 Euro Schmerzensgeld zugesprochen. Der Schaden soll ihm dadurch entstanden sein, "[…] dass er sich mit den unerwünschten Werbemails der Beklagten auseinandersetzen, deren Herkunft ermitteln, sich um eine Auskunft von der Beklagten mittels eines Schreibens bemühen und die unerwünschten E-Mails löschen musste."

Belgien gegen Facebook: Welche Behörde ist zuständig?

Bezeichnung: EuGh-Urteil vom 15.06.2021 – C-645/19

Beschreibung: Die belgische Datenschutzaufsicht GBA wollte wissen, ob auch andere Behörden als diejenige im Land des EU-Hauptsitzes eines Unternehmens zuständig sein können. Der EuGH (Curia) bejahte dies. Auch gilt die Richtlinie 95/46/EG weiter, sofern ein Verstoß früher als bei Einführung der DSGVO begangen wurde. Ebenso gilt die DSGVO im jeweiligen Staat, auch wenn noch keine nationale gesetzliche Umsetzung erfolgte.

Privacy Shield (Schrems II)

Bezeichnung: EuGH-Urteil vom 16.07.2020 – C-311/18

Beschreibung: Der EuGH hat festgestellt, dass das Privacy Shield ungültig ist. Das Privacy Shield war ein informelles Datenschutzabkommen zwischen Europa und den USA.

Probleme auf Webseiten vermeiden:
Online Website-Check

Cookies (Planet49)

Bezeichnung: EuGH-Urteil vom 01.10.2019 – C-673/17

Beschreibung: Der EuGH hat festgestellt, dass für Cookies, die technisch nicht notwendig sind, eine Einwilligung vom Nutzer einzuholen ist und dass die Einwilligung durch aktives Handeln des Nutzers erfolgen muss. Eine voraktivierte Checkbox für die Einwilligung ist unzulässig. Ebenso stellte der EuGH fest, dass es unerheblich ist, ob personenbezogene Daten in Cookies gehalten werden oder andere Daten.

Auch hatte der EuGH festgestellt, dass zu den Pflichtinformationen auch die Angabe der Funktionsdauer und der Zwecke für Cookies gehören.

Cookies (Planet49, Cookie-Einwilligung II)

Bezeichnung: BGH-Urteil vom 28.05.2020 – I ZR 7/16

Beschreibung: Der BGH hat das Urteil des EuGH bestätigt. Außerdem stellte der BGH fest, dass § 15 Abs. 3 des TMG richtlinienkonform auszulegen ist und dass die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) insbesondere in Form des Art. 5 Abs. 3 ebenda somit auch in Deutschland anzuwenden ist. Seit Mai 2024 ist das TMG in das DDG übergegangen.

Setzen von Cookies ohne Einwilligung ist Wettbewerbsverstoß

Bezeichnung: Urteil des LG Köln vom 29.10.2020 – Az.: 31 O 194/20

Beschreibung: Ein Wettbewerber kann gegen den Betreiber einer Webseite vorgehen, wenn letzterer Cookies ohne Einwilligung verwendet, die einwilligungspflichtig sind. Das TMG gilt und wird nicht durch die DSGVO verdrängt. § 15 Abs. 3 TMG ist gemäß ePrivacy Richtlinie auszulegen (vgl. BGH-Urteil zu Cookies vom 28.05.2020).

Cloudflare Dienste sind nichtfunktional

Bezeichnung: Urteil des OLG Köln vom 09.10.2020 – Az.: 6 U 32/20

Beschreibung: Das Gericht stellte fest, dass Cloudflare Dateien nicht nur so verarbeitet, wie dies durch das TMG legitimiert werde, sondern sei als Mithörer einzustufen und haftet bei Urheberrechtsverstößen mit. Insbesondere verwende Cloudflare Daten, um Werbung zu betreiben.

Facebook Plugins (Fashion ID)

Bezeichnung: EuGH-Urteil vom 29.07.2019 – C‑40/17

Beschreibung: Bindet eine Webseite Social Media Plugins von Facebook o. ä. ein, liegt eine gemeinsame Verantwortlichkeit von Webseitenbetreiber und Anbieter des Plugins vor. Vgl. hierzu auch meine Untersuchung zur Twitter Plattform.

Facebook Fanpages (Wirtschaftsakademie)

Bezeichnung: EuGH-Urteil vom 05.06.2018 – C‑210/16

Beschreibung: Auch der Betreiber einer Facebook Fanpage ist verantwortlich für die beim Besuch einer Fanpage verarbeiteten Daten. Es liegt somit eine gemeinsame Verantwortlichkeit von Facebook und dem Fanpage Betreiber vor. Auch Aufsichtsbehörden am Sitz einer Nebenniederlassung von Facebook können zuständig sein.

Verarbeitung personenbezogener Daten (Lindqvist)

Bezeichnung: EuGH-Urteil vom 06.03.2003 – C-101/01

Beschreibung: Die Veröffentlichung von Angaben zu Personen auf einer Internetseite stellt eine Handlung dar, die als Verarbeitung personenbezogener Daten angesehen werden kann. Als Angabe können Freizeitaktivitäten ausreichend sein. Die Angabe zu einer Krankschreibung zählt zu den Gesundheitsdaten.

E-Mail-Verschlüsselung bei Berufsgeheimnisträgern

Bezeichnung: Urteil des VG Mainz vom 17.12.2020 – 1 K 778/19.MZ

Beschreibung: Die Transportverschlüsselung von E-Mails, wie sie heutzutage Standard ist, reicht als Schutz der verschickten Daten aus. Eine zusätzliche Verschlüsselung sei auch für Anwälte, Steuerberater oder Notare nicht notwendig. Ein Verstoß gegen Artikel 32 DSGVO liegt nicht vor, wenn die reine Transportverschlüsselung verwendet werde. Vgl. hierzu auch meinen Beitrag zu Emails.

Gemeinsame Verantwortlichkeit (Zeugen Jehovas)

Bezeichnung: EuGH-Urteil vom 10.07.2018 – C-25/17

Beschreibung: Mitglieder einer Religionsgemeinschaft, die durch eine Verkündigungstätigkeit von Tür zu Tür personenbezogene Daten verarbeiten, sind gemeinsame Verantwortliche. Hierzu ist es nicht erforderlich, dass die Gemeinschaft Zugriff auf diese Daten hat.

Safe Harbor (Schrems I)

Bezeichnung: EuGH-Urteil vom 06.10.2015 – C‑362/14

Beschreibung: Der EuGH hat die Angemessenheitsentscheidung der Europäischen Kommission hinsichtlich der Datenübermittlungen an Organisationen in den USA, die sich den Safe Harbor Prinzipien unterwerfen, für ungültig erklärt.

Einwilligung durch Cookie-Banner

Bezeichnung: Urteil des LG Rostock vom 15.09.2020 – 3 O 762/19

Beschreibung: Das Gericht stellte fest, dass eine Widerspruchsmöglichkeit gegenüber einer Einwilligungsmöglichkeit nicht in den Hintergrund treten darf. Dies entspricht dem gesunden Menschenverstand, wonach es nicht freiwillig sein kann, eine Einwilligung mit nur einem Klick zu gestatten, eine Ablehnung aber mehr als einen Klick erfordert oder visuell absichtlich zurückgestellt ist.

Einwilligung bei Cookies (Orange Romania)

Bezeichnung: EuGH-Urteil vom 11.11.2020 – C-61/19

Beschreibung: Eine Vorauswahl einwilligungspflichtiger Datenverarbeitungsvorgänge vor Zustimmung durch den Nutzer ist rechtswidrig. Konkret ging es um die Zulässigkeit einer Voraktivierung einer Checkbox bei einer Einwilligungsabfrage für zu setzende Cookies. Ferner nannte das Urteil Anforderungen an den Nachweis einer wirksamen Datenschutz-Einwilligung.

Tracking in E-Mails durch Google Analytics

Bezeichnung: Beschluss des LG Wiesbaden vom 14.05.2020 – 8 O 94/19

Beschreibung: Das LG Wiesbaden hat den Streitwert für Tracking durch Google Analytics in Newsletter-Mails ohne Einwilligung auf 15.000 Euro festgelegt. Hierbei wurden die Anzahl der verschickten Mails und die Zeitspanne berücksichtigt.

IP-Adressen (Breyer)

Bezeichnung: EuGH-Urteil vom 19.10.2016 – C-582/14

Beschreibung: IP-Adressen sind personenbezogene Daten. Dies gilt auch für dynamische IP-Adressen. Es spielt keine Rolle, ob der Empfänger von IP-Adressen selbst in der Lage ist, den Personenbezug herzustellen. Es reicht, dass Dritte dies können.

IP-Adressen (Breyer)

Bezeichnung: BGH-Urteil vom 16.05.2017 – VI ZR 135/13

Beschreibung: Siehe EuGH-Urteil zu IP-Adressen.

SSL-Verschlüsselung bei Kontaktformularen

Bezeichnung: Urteil des LG Würzburg vom 13.09.2018 – 11 O 1741/18

Beschreibung: Wegen einer fehlenden SSL-Verschlüsselung sind übermittelte Daten eines Kontaktformulars nicht ausreichend geschützt. Es wurde ein Bußgeld in Höhe von 2000 Euro festgelegt. Ich weise darauf hin, dass m. E. ein SSL-Zertifikat für Webseiten nicht grundsätzlich erforderlich ist, nämlich insbesondere dann nicht, weil keine Adressdaten oder kritischere Daten an Dritte weitergegeben werden.

Auslistungsansprüche in Internet-Suchmaschinen

Bezeichnung: BGH-Urteil vom 27.07.2020 – VI ZR 405/18

Beschreibung: Der BGH hat entschieden, dass das Recht auf Löschung auch für Suchmaschineneinträge gilt.

Erreichbarkeit von Impressum und Datenschutzerklärung

Bezeichnung: BGH-Urteil vom 20.07.2006 – I ZR 228/03

Beschreibung: Der BGH entschied über die Erreichbarkeit des Impressums. Es ist erlaubt, wenn dieses mit maximal zwei Schritten (also Klicks) erreichbar ist. Gleiches gilt dann (automatisch) für die Datenschutzerklärung, sage ich.

Ein weiteres Gericht hat Analoges festgestellt, diesmal aus dem DDG heraus:

Bezeichnung: Urteil des OLG Braunschweig vom 28.05.2025 – 2 U 16/25

Beschreibung: Das Gericht entschied dass ein Impressum auf einer Dritt-Webseite bei Verlinkung auf der Hompage-Startseite nicht gemäß § 5 DDG leicht erkennbar ist, wenn mehr als zwei Klicks erforderlich sind.

Vorratsdatenspeicherung (Privacy International)

Bezeichnung: EuGH-Urteil vom 06.10.2020 – C‑623/17

Beschreibung: Der EuGH hat Fragen zur Zulässigkeit der Vorratsdatenspeicherung beantwortet. Unzulässig ist eine solche etwa ohne Anlass.

Abmahnbarkeit von Datenschutzverstößen durch Privatpersonen

Bezeichnung: Urteil des LG Dresden vom 11.01.2019 – 1a O 1582/18

Beschreibung: Verstöße gegen Persönlichkeitsrechte, etwa, wenn ein Webseiten-Betreiber Google Analytics ohne Rechtsgrundlage einsetzt, dürfen auch von Privatperson abgemahnt werden. Das Urteil bezog sich auf das TMG. § 15 Abs. 3 TMG gemäß BGH-Urteil (28.05.2020 – I ZR 7/16) gemäß Art. 5 Abs. 3 der ePrivacy Richtlinie auszulegen. Auch auf die DSGVO nimmt das Urteil Bezug.

Unterlassungsanspruch wegen Übermittlung personenbezogener Daten

Bezeichnung: Urteil des LG Lüneburg vom 14.07.202 – 9 O 145/19

Beschreibung: Bei Übermittlung personenbezogener Daten ohne Rechtsgrundlage begründet einen Unterlassungsanspruch gemäß § 1004 BGB ("Beseitigungs- und Unterlassungsanspruch").

Die Erforderlichkeit einer Datenverarbeitung ist streng zu prüfen

Bezeichnung: Urteil des Bundesverwaltungsgerichts Österreich vom 04.12.2020 – W274 2233705-1/3E

Beschreibung: Die in Artikel 6 DSGVO genannte Erforderlichkeit der Datenverarbeitung ist eng auszulegen. Insofern ist ein berechtigtes Interesse höchstens dann durchsetzbar, wenn die Datenverarbeitung quasi unumgänglich ist. Vgl. hierzu die Einwilligungspflicht für Tools und Cookies.