Newsletter Datenschutz 01/2026

Mit Urteil vom 11. November 2025 hat der BGH entschieden, dass der Verantwortliche auch nach Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten hat. Er hat in diesem Zusammenhang sicherzustellen, dass grundsätzlich keine personenbezogenen Daten beim Auftragsverarbeiter verbleiben (BGH, Urt. v. 11.11.2025 – Az.: VI ZR 396/24). 

Der Kläger ist Nutzer eines französischen Online-Musikstreamingdienstes. Die Beklagte als Betreiberin hatte für den technischen Betrieb bis Dezember 2019 ein externes Unternehmen als Auftragsverarbeiter beauftragt. Nach dem Vertragsende wurden die personenbezogenen Daten der Nutzer trotz gegenteiliger Ankündigung des Auftragsverarbeiters nicht gelöscht, sondern zunächst in eine Testumgebung verschoben. Im Jahr 2022 wurde bekannt, dass diese Daten, darunter Name, E-Mail-Adresse und weitere persönliche Informationen, im Darknet zum Verkauf angeboten wurden. Die Daten gelangten möglicherweise durch einen Hackerangriff oder unerlaubte Weitergabe durch den Dienstleister in Umlauf. Daraufhin verlangte der Kläger immateriellen Schadensersatz nach Art. 82 DSGVO von der Beklagten.

Der BGH stellte im vorliegenden Fall einen Datenschutzverstoß der Beklagten fest. Nach Auffassung des Gerichts genügt es nicht, sich lediglich auf den Abschluss eines Vertrages mit dem Auftragsverarbeiter zu beschränken, in dem diesem die Pflicht zur Löschung der Daten und zum Nachweis der Löschung bei Auftragsbeendigung auferlegt wird. Der Verantwortliche habe vielmehr das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass der Auftragsverarbeiter seine vertragliche Pflicht erfüllt. Diese Pflicht habe die Beklagte im vorliegenden Fall verletzt, da sie nicht die erforderliche Bestätigung über die Löschung der Daten nach Vertragsende eingefordert hat.

Das OVG Koblenz hat sich in einem Urteil vom 28. November 2025 mit der Frage befasst, ob das Recht auf Datenschutzbeschwerde nach Art. 77 DSGVO eine übergangsfähige Rechtsposition im Sinne von § 1922 Abs. 1 BGB darstellt (OVG Koblenz, Urt. v. 28.11.2025).

Die Klägerin hatte sich bei einer Datenschutzaufsichtsbehörde über die ihre mittlerweile verstorbene Ehefrau betreffende Datenverarbeitung beschwert. Die Behörde stellte das Beschwerdeverfahren nach Prüfung ohne die Feststellung einer rechtswidrigen Datenverarbeitung ein. Gegen diese Beendigung wandte sich die Klägerin im Wege einer gerichtlichen Überprüfung.

Das OVG stellte im Ausgangspunkt fest, dass das Beschwerderecht nach Art. 77 DSGVO nur der betroffenen Person zustehe. Die in Rede stehende Datenverarbeitung betraf allerdings nicht die Klägerin, sondern die verstorbene Ehefrau. Das Recht auf Datenschutzbeschwerde sei nicht vererbbar, da der Schutz der DSGVO grundsätzlich nur lebenden natürlichen Personen zustehe. Zum einen spreche die Herleitung des Rechts auf informationelle Selbstbestimmung als zentrales Schutzgut der DSGVO, welches grundsätzlich dem Einzelnen die Kontrolle über seine Daten sicherstellen soll, gegen dessen Erstreckung auf Verstorbene. Zum anderen stelle Erwägungsgrund 27 klar, dass die DSGVO nicht für die personenbezogenen Daten Verstorbener gilt. Das Beschwerderecht gehe daher mit dem Tod des Betroffenen unter.

Auch wenn sich das Oberverwaltungsgericht im vorliegenden Fall ausschließlich mit dem Beschwerderecht auseinandersetzen musste, lassen sich die dortigen Erwägungen grundsätzlich auf die weiteren Betroffenenrechte übertragen. Deshalb ist regelmäßig davon auszugehen, dass auch die übrigen Betroffenenrechte mit dem Tod der betroffenen Person untergehen.

Das LG Lübeck hat in einem Urteil vom 27. November 2025 Meta im Zusammenhang mit dem Einsatz der Meta Business Tools zu einem weitreichenden Unterlassen verurteilt und einem Nutzer Schadensersatz i. H. v. 5.000 € zugesprochen (LG Lübeck, Urt. v. 27.11.2025 – Az.: 15 O 15/24).

Meta stellt sogenannte Meta Business Tools bereit, die von zahlreichen Drittanbietern in Webseiten und Apps eingebunden werden, um das Nutzungsverhalten der Nutzer zu Werbezwecken zu erfassen. Beim Besuch dieser Drittseiten beziehungsweise bei Nutzung der Dritt-Apps können Daten an Meta fließen. Das Gericht stellte zunächst fest, dass Meta für die Datenerhebung über die von Meta konzipierten Business Tools auch verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO sei, da nach Rechtsprechung des EuGH bereits die Ermöglichung der Datenerhebung und die Einflussnahme auf die Kategorien der erhobenen Daten ausreiche.

Rechtfertigungsgründe nach Art. 6 DSGVO für die in Rede stehende Datenverarbeitung sah das Gericht nicht als gegeben an; insbesondere lag keine Einwilligung des Betroffenen vor. Hierin würden nach Auffassung des Gerichts auch die Einstellungsmöglichkeiten innerhalb von Instagram nichts ändern. Zwar können Nutzer dort beeinflussen, wie Meta Daten aus Aktivitäten außerhalb der Plattformen weiterverwendet, etwa für personalisierte Werbung. Diese Optionen ersetzen jedoch keine vorherige Einwilligung in die Erhebung und Speicherung der Daten selbst. Nach Auffassung des Gerichts durfte daher Meta die personenbezogenen Daten des Klägers nicht verarbeiten. 

Die Datenschutzkonferenz (DSK), ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat sich auf ihrer 110. Konferenz zum geplanten Digitalpaket der EU-Kommission („Digitaler Omnibus“) geäußert. Dabei hat sich die DSK zunächst dafür ausgesprochen, Hersteller und Anbieter von Standardlösungen künftig stärker in die datenschutzrechtliche Verantwortung einzubeziehen (Entschließung v. 12.12.2025). Nach Auffassung der DSK würde dies die Nutzung der Standardlösungen durch kleine und mittlere Unternehmen vereinfachen.

Eine Reform der DSGVO soll genutzt werden, um das Prinzip der Herstellerverantwortung auszubauen und an andere Digitalrechtsakte wie den Cyber Resilience Act oder die KI-Verordnung anzugleichen. Zwar enthält die DSGVO mit Data Protection by Design and by Default (Art. 25 DSGVO) bereits entsprechende Grundsätze, bislang tragen jedoch allein die Anwender die datenschutzrechtliche Verantwortung, auch dann, wenn sie keinen Einfluss auf das Produktdesign haben. Künftig sollen nach Auffassung der DSK Hersteller stärker für datenschutzfreundliche Produktgestaltung und Konformität einstehen und so die Haftungsrisiken der Anwender reduzieren.

Darüber hinaus sieht die DSK Bedarf für neue, spezifische Regelungen für den Betrieb von KI-Modellen und -Systemen (Entschließung v. 12.12.2025). 

Größten Optimierungsbedarf sieht sie bei Schaffung von KI-spezifischen Rechtsgrundlagen. Die DSK benennt drei beispielhafte Anwendungsfälle: Für das Training von KI-Modellen sind dies das Web Scraping sowie die Weiterverarbeitung von für andere Zwecke erhobenen Daten. Daneben könne eine Rechtsgrundlage für die Verarbeitung memorisierter personenbezogener Daten beim Betrieb von KI-Modellen geschaffen werden.

Zudem sieht die DSK Handlungsbedarf bei der Wahrung der Betroffenenrechte, da sich in der Praxis hierbei im Zusammenhang mit dem Einsatz von KI-Systemen oftmals Schwierigkeiten ergäben. Sie plädiert daher für die Schaffung von funktionsäquivalenten oder kompensatorischen Schutzmaßnahmen. So sollen beispielsweise die allgemeine Informationspflicht sowie das Auskunftsrecht des Betroffenen um die Information erweitert werden, ob personenbezogene Daten in KI-Systemen verarbeitet werden.

Der Europäische Datenschutzausschuss (EDSA) hat Empfehlungen zur Rechtsgrundlage im Zusammenhang mit der verpflichtenden Erstellung von Nutzerkonten auf E-Commerce-Webseiten veröffentlicht (Empfehlungen v. 03.12.2025).

Auf E-Commerce-Webseiten müssen Nutzer häufig ein Online-Konto erstellen, bevor sie Waren kaufen oder Dienstleistungen in Anspruch nehmen können. Zwar mag der Verantwortliche ein wirtschaftliches Interesse an der Einrichtung des Nutzerkontos haben, dennoch könne nach Auffassung des EDSA eine solche Kontoerstellung auch mit Risiken für die Rechte und Freiheiten der Betroffenen verbunden sein. Der EDSA beleuchtet in seinen Empfehlungen in Betracht kommende Rechtsgrundlagen des Art. 6 DSGVO im Hinblick auf ihre Tauglichkeit zur Rechtfertigung der verpflichtenden Kontoerstellung. Dabei kommt er zu dem Schluss, dass eine Verpflichtung zur Kontoerstellung nur in sehr begrenzten Fällen, wie beispielsweise bei dem Angebot eines Abonnementdienstes, gerechtfertigt werden kann. Letztlich sei es aus Sicht des EDSA am zweckmäßigsten, den Nutzer die Wahl zu lassen, ob er ein Konto einrichten oder als Gast fortfahren will.

Die spanische Datenschutzbehörde (AEPD) hat ein Bußgeld i. H. v. 750.000 € gegen die Valencian International University wegen der geplanten Nutzung von KI-Erkennungssoftware verhängt (Pressemitteilung v. 21.11.2025).

Die Universität beabsichtigte, im Rahmen von Prüfungen eine KI-gestützte Gesichtserkennungssoftware einzusetzen, um Betrugsversuche bei Prüfungen zu erkennen. Dabei sollten während der gesamten Prüfungsdauer fortlaufend Videoaufnahmen über die Webcam angefertigt werden, um die Identität der Studierenden anhand biometrischer Merkmale zu überprüfen und auffälliges Verhalten zu identifizieren. Die Studierenden wurden im Vorfeld informiert. Eine alternative Lösung ohne Verarbeitung biometrischer Daten wurde seitens der Universität jedoch nicht angeboten.

Die Datenschutzbehörde stellte fest, dass es an einer wirksamen Einwilligung fehle, da ein Machtungleichgewicht zwischen Universität und Studierenden besteht und keine echte Wahlmöglichkeit für eine Alternative bestand. Zudem würden für die beabsichtigten Zwecke der Identitätsfeststellung und Betrugsprävention auch weniger eingriffsintensive Maßnahmen zur Verfügung stehen. 

Die AEPD hat gegen einen Kurierdienst ein Bußgeld i. H. v. 80.000 € verhängt, da bei ihm versendete Dokumente verloren gegangen sind.

Im Rahmen der Registrierung bei einer Bank versendete der Betroffene hierzu erforderliche Unterlagen – wie ein Registrierungsformular und eine Kopie seines Personalausweises –  über einen von der Bank bestellten Kurierdienst. Die Unterlagen erreichten den Empfänger jedoch nie, da der Kurierdienst die Unterlagen verloren hatte. Zudem stellte sich heraus, dass der Kurierdienstleister mit seinem Unterauftragsverarbeiter keine wirksame Vereinbarung zur Auftragsverarbeitung abgeschlossen hatte. 

Die Datenschutzaufsicht ging unmittelbar gegen den Kurierdienstleister und nicht gegen den eigentlich Verantwortlichen, die Bank, vor. Bei der Bemessung des Bußgeldes wurde hervorgehoben, dass zwar nur eine Person betroffen war, die Verstöße jedoch potentiell alle Kunden der Bank betreffen könnten. 

Die Bußgeldentscheidung der spanischen Aufsichtsbehörde zeigt, dass bei der Bemessung von Bußgeldern nicht lediglich konkret eingetretene Schäden und Gefährdungen einbezogen werden, sondern auch die potentielle Gefahr solcher Verstöße.