Newsletter Datenschutz 02/2026

In seinem Urteil vom 18. Dezember  2025 hat sich der Bundesgerichtshof (BGH) mit der Frage befasst, ob Informationen zum Beitragsverlauf in der privaten Krankenversicherung als personenbezogene Daten nach der DSGVO zu bewerten sind. Der BGH stellte klar, dass dies nur solche Informationen betrifft, die mit einer bestimmten Person verknüpft sind; betreffen die Informationen lediglich einen Sachverhalt, der Auswirkungen auf eine bestimmte Person hat, genügt dies nicht für die Annahme eines personenbezogenen Datums (BGH, Urt. v. 18.12.2025 – Az.: I ZR 115/25). 

Der Kläger, privat bei der Beklagten versichert, verlangte auf Grundlage von Art. 15 DSGVO eine Kopie der personenbezogenen Daten zum Beitragsverlauf des Versicherungsvertrages, aus der unter anderem die Zeitpunkte der Beitragsanpassungen und Tarifwechsel hervorgehen. Der BGH entschied, dass es sich bei den Begründungsschreiben zu den Beitragsanpassungen jedenfalls nicht in ihrer Gesamtheit um personenbezogene Daten handelt. Insbesondere auslösende Faktoren für Prämienanpassungen sind nach Ansicht des Gerichts gerade nicht mit einer bestimmten Person verknüpft und ermöglichen auch in der Regel keinen Rückschluss auf die Identität oder die individuellen Vertragsverhältnisse eines konkreten Versicherungsnehmers. Eben diese konkrete Personenzuordnung sei jedoch notwendige Voraussetzung für die Annahme eines personenbezogenen Datums.

Viele Versicherte verlangen solche Auskünfte, um gegebenenfalls Rückforderungen, etwa wegen formeller Fehler bei Beitragsanpassungen, gegen ihre ehemalige oder bestehende Versicherung vorzubereiten. Das Urteil dürfte daher Signalwirkung für die Versicherungsbranche haben, da es die Reichweiten und Grenzen des Auskunftsanspruchs in vergleichbaren Fällen definiert.

Im Dezember 2025 befasste sich der Erste Zivilsenat des BGH mit der Frage, ob private Auskunfteien – wie die SCHUFA – Schuldnerdaten über Zahlungsstörungen, die sie aufgrund von Meldungen ihrer Vertragspartner speichern, um sie als Grundlage für Bonitätsprüfungen zu verwenden, sofort löschen müssen, sobald die jeweilige ausstehende Forderung ausgeglichen ist (BGH, Urt. v. 18.12.2025 – Az.: I ZR 97/25). Der BGH verneinte dies und stellte – auch im Gegensatz zu einer früheren Entscheidung des EuGH – klar, dass die maximal mögliche Speicherdauer insoweit nicht durch die Löschfrist für andere Arten von Einträgen zu der jeweiligen Forderung in einem öffentlichen Register – hier dem öffentlichen Schuldnerregister – bestimmt wird. Vielmehr könne sich die maximal zulässige Speicherdauer an Verhaltensregeln orientieren, die von einer Aufsichtsbehörde genehmigt worden seien, sofern diese Regeln einen angemessenen Interessenausgleich darstellten und die besonderen Umstände des Einzelfalls bei der Abwägung der beteiligten Interessen ausreichend berücksichtigt würden. 

Konkret speicherte die Beklagte – die SCHUFA Holding AG – drei Forderungen gegen den Kläger noch mehrere Jahre nach deren Ausgleich und verwendete diese Daten als Grundlage für die Berechnung der Bonität des Klägers, die sie angesichts des Forderungsausfallrisikos als „sehr kritisch“ einstufte. Der Kläger sah in der Speicherung dieser Daten einen Verstoß gegen die DSGVO und erhob in erster Instanz vor dem Landgericht Bonn Klage auf Löschung, Schadensersatz und Erstattung seiner außergerichtlichen Rechtsverfolgungskosten. Nachdem die Daten inzwischen von der Beklagten gelöscht worden waren, erklärten die Parteien den Rechtsstreit hinsichtlich der Löschungsansprüche für erledigt. Der Kläger forderte jedoch weiterhin die Zahlung von immateriellem Schadensersatz sowie die Erstattung seiner außergerichtlichen Kosten für die Rechtsverfolgung.     

Ohne Erfolg, wie nun aus der Entscheidung des BGH hervorgeht. Die Regelung des § 882e Abs. 3 Nr. 1 der deutschen Zivilprozessordnung (ZPO) besagt zwar, dass Einträge im Schuldnerregister unverzüglich zu löschen sind, sobald die vollständige Befriedigung des Gläubigers nachgewiesen ist. Diese Regelung gilt nach Ansicht des Gerichts jedoch nicht für die Speicherung anderer Daten über Zahlungsstörungen natürlicher Personen (wie Angaben zu Gläubigern, Höhe und Inhalt der zugrunde liegenden Forderungen) durch Wirtschaftsauskunfteien. Dies liege daran, dass sich die hier in Rede stehende Datenspeicherung in erheblichem Maße von derjenigen im Urteil des EuGH vom 7. Dezember 2023 in der Rechtssache „SCHUFA Holding (Restschuldentlastung)“ (EuGH, Urt. v. 7.12.2023, Rechtssachen C-634/21, C-26/22 und C-64/22) unterscheide, da der Beklagte in jenem Fall Daten aus dem öffentlichen Register – den Insolvenzbekanntmachungen – übernommen und parallel gespeichert hatte, während er im vorliegenden Fall keine Daten aus dem Schuldnerregister verwendet, sondern Angaben seiner Vertragspartner über Zahlungsstörungen gespeichert hat. Der Gedanke, dass die für die ursprüngliche Datenspeicherung geltende Löschfrist nicht durch eine längere Speicherung an anderer Stelle unterlaufen werden sollte, sei daher für den vorliegenden Fall ohne Bedeutung.

Das OLG Frankfurt hat in seinem Urteil vom 11. Dezember 2025 klargestellt, dass nicht nur Webseitenbetreiber, sondern auch Drittanbieter haften, wenn sie ohne ausdrückliche Einwilligung Cookies auf Endgeräten speichern oder auslesen (OLG Frankfurt, Urt. v. 11.12.2025).

Im dem zugrundeliegenden Rechtsstreit stritten die Parteien über die Zulässigkeit der Speicherung und des Auslesens von Cookies durch das beklagte Technologie- und Analyseunternehmen zu werblichen Zwecken auf den Endgeräten des Klägers ohne dessen Einwilligung. 

Im Zentrum der Auseinandersetzung stand die Auslegung von § 25 TDDDG, der das Setzen und Auslesen von Informationen auf Endgeräten ohne ausdrückliche Einwilligung des Nutzers untersagt. Das OLG Frankfurt entschied, dass sich diese Vorschrift nicht ausschließlich an Webseitenbetreiber richtet. Adressiert sei vielmehr jede natürliche oder juristische Person, die die konkrete Speicher- oder Zugriffshandlung auslöst, worunter vorliegend auch die Beklagte falle. Auch das Argument, man habe vertraglich dem Seitenbetreiber das Setzen von Cookies ohne Einwilligung untersagt, entlaste die Beklagte nicht; maßgeblich sei allein das objektive Vorliegen einer Einwilligung.

Am 18. Dezember 2025 entschied das OLG München, dass Meta personenbezogene Daten, die auf Webseiten und Apps von Drittanbietern mithilfe der Meta Business Tools erhoben wurden, nicht ohne eine informierte Einwilligung verarbeiten darf (OLG München, Urt. v. 18.12.2025 - Az.: 14 U 1068/25 e). Der Klägerin wurde ein Schadensersatz von 750 € zugesprochen.

Hat ein Drittanbieter die Meta Business Tools in seinem Online-Angebot eingebunden, können Informationen über das Nutzerverhalten der Nutzer erhoben und an Meta übersendet werden (sog. Offsite-Daten). Dabei seien Meta und der Drittanbieter ausweislich der Nutzungsbedingungen gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO für die Erhebung und Übermittlung der personenbezogenen Daten an Meta. Eine Nutzer des Meta Dienstes „Facebook“ klagte nun gegen Meta aufgrund der Datenverarbeitung über Meta Business Tools.

Indem die Datenverarbeitung durch Meta Business Tools nach Ansicht des OLG potenziell unbegrenzte Daten betreffe und erhebliche Auswirkungen auf den Nutzer habe, bestehe ein Verstoß gegen den Grundsatz der Datenminimierung. Eine Rechtsgrundlage – auch durch Einwilligung – bestehe mangels hinreichender Informationen über die erhobenen Daten und die Verarbeitungszwecke nicht. Ebenso rechtfertige ein allgemeiner Verweis auf die Datenschutzrichtlinie von Meta die Datenverarbeitung nicht. Zwar haben Nutzer die Möglichkeit, durch die Einstellungen die Verwendung personenbezogener Daten für personalisierte Zwecke zu verhindern, die Übermittlung der über Drittanbieter generierten Daten kann aber nicht verhindert werden.

Am 28. November 2025 entschied das Oberverwaltungsgericht Rheinland-Pfalz, dass das Schutzregime der DSGVO grundsätzlich nur für den Schutz von Daten lebender Personen gilt und dass das Recht auf Datenschutzbeschwerde gemäß Art. 77 Abs. 1 DSGVO mit dem Tod der betroffenen Person erlischt (OVG Rheinland-Pfalz, 28.11.2025 - Az.: 10 A 11059/23.OVG). 

Die Klägerin machte das Beschwerderecht ihrer an Krebs verstorbenen Ehefrau gemäß DSGVO geltend, weil die personenbezogenen Daten unbefugt an deren Onkologen geschickt worden seien. Zur Aufklärung hatte sich die Witwe an die zuständige Datenschutzaufsichtsbehörde gewandt, wo man allerdings keinen Datenschutzverstoß feststellen konnte und das Beschwerdeverfahren einstellte. Dagegen wehrte sich die Witwe im Wege der Klage. 

Das in der ersten Instanz zuständige VG Mainz hatte die Klage mangels Klagebefugnis als unzulässig abgewiesen. Die hiergegen gerichtete Berufung der Klägerin vor dem OVG Rheinland-Pfalz blieb nunmehr ebenfalls erfolglos. Das OVG Rheinland-Pfalz wies die Klage der Klägerin mit der Begründung ab, dass die in der DSGVO vorgesehenen Rechte eine gewisse „Betroffenheit“ voraussetzten und damit solche höchstpersönlicher Art seien. Denn die DSGVO bezwecke – so der 10. Senat des OVG Rheinland-Pfalz – ausschließlich den Schutz lebender Personen. Es sei damit schon von vornherein ausgeschlossen, dass DSGVO-Rechte nach dem Tod der betroffenen Person im Wege der Gesamtrechtsnachfolge auf den Erben übergehen könnten. Dies gelte auch dann, wenn ein Beschwerderecht bereits zu Lebzeiten der betroffenen Person entstehe. Mit dem Tod der Ehefrau sei vorliegend daher auch ihr Beschwerderecht nach Art. 77 DSGVO erloschen. 

Die französische Datenschutzbehörde CNIL hat am 13. Januar 2026 zwei Bußgelder i. H. v. insgesamt 42 Millionen €  gegen die Telekommunikationsanbieter Free S.A.S. und Free Mobile S.A.S. verhängt, weil die von den Unternehmen zum Schutz der personenbezogenen Daten der Kunden ergriffenen technischen und organisatorischen Maßnahmen unzureichend waren (Pressemitteilung v. 14.01.2026). 

Im Oktober 2024 gelang es einem Angreifer in das Informationssystem der Unternehmen einzudringen und Zugang zu persönlichen Informationen aus 24 Millionen Kundenverträgen – darunter sensible Bankverbindungsdaten – zu erhalten, von Personen, die Kunden beider Unternehmen gewesen sind. 

Nach einer Vielzahl von Beschwerden (bis heute mehr als 2.500) von Personen, die von dieser Datenschutzverletzung betroffen waren, führte die CNIL eine Untersuchung durch, die Verstöße gegen mehrere Verpflichtungen aus der DSGVO durch Free Mobile und Free aufdeckte. Die CNIL stellte fest, dass die Unternehmen am Tag der Datenpanne bestimmte grundlegende Sicherheitsmaßnahmen nicht umgesetzt hatten, die den Angriff hätten erschweren können. Insbesondere stellte sie fest, dass das Authentifizierungsverfahren für die Verbindung mit den VPNs von Free Mobile und Free – das insbesondere für die Remote-Arbeit der Beschäftigten der Unternehmen genutzt wird – nicht ausreichend robust war. Darüber hinaus waren die von Free Mobile und Free eingesetzten Maßnahmen zur Erkennung von abnormalem Verhalten in ihren Informationssystemen unwirksam. Angesichts der Menge und Art der verarbeiteten Daten kam die CNIL zu dem Schluss, dass die von den Unternehmen zur Gewährleistung der Vertraulichkeit eingesetzten Sicherheitsmaßnahmen unzureichend waren. Sie wies darauf hin, dass es zwar unmöglich sei, alle Risiken auszuschließen, diese Maßnahmen jedoch deren Wahrscheinlichkeit verringern und gegebenenfalls deren Schwere begrenzen können. Außerdem hätten die Unternehmen auch gegen ihre Pflicht verstoßen, die betroffenen Personen über die Datenschutzverletzung zu informieren (Art. 34 DSGVO). Free Mobile habe ferner gegen den Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DSGVO verstoßen, indem die personenbezogene Daten der Kunden für einen zu langen Zeitraum aufbewahrt worden seien. 

Infolgedessen verhängte die CNIL eine Geldbuße in Höhe von 27 Millionen € gegen Free Mobile und eine Geldbuße in Höhe von 15 Millionen € gegen Free, wobei insbesondere deren finanzielle Leistungsfähigkeit, ihre Unkenntnis grundlegender Sicherheitsprinzipien, die Anzahl der betroffenen Personen und der „hohe” Grad an Persönlichkeitsschutz der betroffenen Daten sowie die Risiken berücksichtigt wurden, die durch die Verletzung bestimmter Daten (u. a. die IBAN) entstanden sind.

Am 11. Dezember 2025 verhängte die französische Datenschutzbehörde (CNIL) ein Bußgeld i. H. v. 1 Million € gegen die Mobius Solutions Ltd, den Auftragsverarbeiter, der für eine Datenpanne beim Musikstreaming-Dienst Deezer verantwortlich war (Pressemitteilung v. 19.12.2025).

Im November 2022 informierte Deezer S.A. die CNIL darüber, dass die personenbezogenen Daten zahlreicher Nutzer im Dark Web veröffentlicht worden waren und dass sein ehemaliger Auftragsverarbeiter Mobius Solutions Ltd, dessen Dienste das Unternehmen zur Durchführung personalisierter Werbekampagnen für seine Kunden genutzt hatte, daran beteiligt war.  

Die daraufhin von der CNIL gegen Mobius Solutions Ltd eingeleitete Untersuchung ergab, dass das Unternehmen als Auftragsverarbeiter mehrere Verpflichtungen aus der DSGVO verletzt hatte. Unter anderem wirft die CNIL dem Unternehmen vor, die Daten von mehr als 46 Millionen Deezer-Kunden auch nach Beendigung des Vertragsverhältnisses mit Deezer behalten zu haben, obwohl es gemäß Art. 28 Abs. 3 lit. g) DSGVO verpflichtet gewesen wäre, diese zu löschen. Nicht nur erfolgte keine Löschung, sondern das Unternehmen nutzte die Daten der Deezer-Kunden auch zur Verbesserung seiner eigenen Dienste, ohne dazu vom Verantwortlichen angewiesen worden zu sein, und verletzte damit Art. 29 DSGVO. Darüber hinaus hielt Mobius Solutions Ltd auch seine Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten im Sinne von Art. 30 DSGVO nicht ein.

Die CNIL verhängte daher eine Geldbuße in Höhe von 1 Million € und veröffentliche die zugrunde liegende Entscheidung. Die Höhe der Geldbuße wurde unter Berücksichtigung der Schwere der Verstöße, der Anzahl der von der Datenschutzverletzung betroffenen Personen und des Umsatzes von Mobius Solutions Ltd festgelegt.

Die spanische Datenschutzbehörde (AEPD) hat gegen die ING Bank N. V. ein Bußgeld i. H. v. 400.000 € verhängt, da die Verarbeitung personenbezogener Daten durch deren externen Dienstleister nicht ausreichend geschützt wurde (Pressemitteilung v. 7.1.2026).

Die ING Bank beauftragte für den Versand sensibler Kundendaten einen Kurierdienst. Eine Kundin, die sich als Mitinhaberin eines Bankkontos registrieren wollte, erhob Beschwerde bei der Aufsichtsbehörde, nachdem ihre personenbezogenen Daten durch den beauftragten Kurierdienst verloren gingen und nicht bei der ING Bank ankamen.

Da keine ausreichenden Sicherheits- und Kontrollmaßnahmen zur Nachverfolgbarkeit und zum Schutz der personenbezogenen Daten implementiert worden waren, sah die AEPD einen Verstoß gegen Art. 32 DSGVO begründet. Die ING Bank sei trotz Einschaltung eines externen Dienstleisters verantwortlich für die Datensicherheit. Das ursprüngliche Bußgeld i. H. v. 500.000 € wurde nach freiwilliger Zahlung auf 400.000 € reduziert.

Die AEPD hat ein Bußgeld i. H. v. 1,2 Millionen € gegen die IDCQ HOSPITALES Y SANIDAD S.L.U. wegen der vorzeitigen Löschung von MRT-Bildern verhängt (Pressemitteilung v. 12.01.2026).

Der Betroffene war für eine MRT-Untersuchung in einer Klinik, die von dem Unternehmen IDCQ HOSPITALES Y SANIDAD S.L.U. betrieben wurde. Im Rahmen der Untersuchung hatte er eine CD abgegeben, die Untersuchungsergebnisse der vorangegangenen Jahre enthielt. Einige Monate nach der Untersuchung bat er um die Aushändigung der alten und neuen Aufnahmen. Die Klink teilte dem Betroffenen daraufhin mit, dass diese – wie im Untersuchungsvertrag festgelegt – nach einem Monat gelöscht worden seien.

Die Klinik argumentierte, dass die Auswertungsdaten von dem behandelnden Arzt in die Patientenakte eingepflegt wurden und daher eine Aufbewahrung der MRT-Bilder nicht notwendig sei. Weiter war das Krankenhaus der Ansicht, dass die Aufnahmen keiner medizinisch notwendigen Dokumentation unterliegen und die Speicherpflichten insoweit irrelevant sind. Die AEPD folgte der Argumentation nicht. Die MRT-Bilder müssten als medizinische Dokumente in der Patientenakte abgelegt und gespeichert werden. Zudem hätte der Patient über den Verlust der von ihm bereitgestellten CD informiert werden müssen.