Newsletter Datenschutz 03/2026

Das OLG Dresden hat in einem Urteil vom 3. Februar 2026 entschieden, dass die Verarbeitung sogenannter Off-Site-Daten mit Hilfe der von Meta zur Verfügung gestellten „Business-Tools” ohne wirksame Einwilligung nicht zulässig ist (OLG Dresden, Urt. v. 03.02.2026 – Az.: 4 U 292/25). Meta muss auf die weitere Verarbeitung der ohne Einwilligung gewonnenen personenbezogenen Daten verzichten und die betroffenen Instagram-Nutzer können jeweils 1.500 Euro immateriellen Schadensersatz gemäß Art. 82 DSGVO geltend machen. 

Der Entscheidung gingen vier parallele Verfahren von Instagram-Nutzern voraus. Hintergrund war die Integration von Meta-Business-Tools als Programmierschnittstellen auf Webseiten und Apps von Drittanbietern, über die personenbezogene Daten (sog. Off-Site-Daten) ohne wirksame Einwilligung oder sonstige Rechtsgrundlage im Sinne der DSGVO mit der Meta-Gruppe geteilt wurden. Off-Site-Daten (oft als „Off-Facebook-Aktivitäten“ oder mit ähnlichen Begriffen bezeichnet) sind Informationen zu Nutzeraktivitäten, die außerhalb der eigentlichen Social-Media-Plattform (etwa Facebook oder Instagram) stattfinden, nämlich auf Webseiten oder in Apps von Drittanbietern, aber dennoch von der Plattformbetreiberin erfasst, gesammelt und verknüpft werden. Dadurch können Plattformbetreiberinnen wie Meta ein detailliertes Profil des Online-Verhaltens ihrer Nutzer erstellen, auch wenn diese gerade nicht auf ihrer Webseite oder in ihrer App aktiv sind. In diesem Zusammenhang hat die 4. Zivilkammer des OLG Dresden nun klargestellt, dass die Betreiberin der Social-Media-Plattform grundsätzlich die sekundäre Beweislast hinsichtlich der Reichweite der zulässigen Verarbeitung von Offsite-Daten trägt. Demgegenüber kann von der betroffenen Person nicht verlangt werden, anzugeben, welche Webseiten sie besucht hat und inwieweit sie der Übermittlung von Daten an das soziale Netzwerk zugestimmt hat.  

Meta speicherte die Off-Site-Daten zumindest beim Abgleich mit den im Nutzerkonto gespeicherten Daten der betroffenen Personen vorübergehend selbst, worin das OLG Dresden eine Datenverarbeitung in eigener Verantwortung von Meta sah, die einer Rechtfertigung im Sinne der DSGVO bedurfte. Meta berief sich auf ihre berechtigten Sicherheits- und Integritätsinteressen (gemäß Art. 6 Abs. 1 lit. f) DSGVO), die das OLG Dresden jedoch mit Verweis auf die eigene Datenschutzerklärung von Meta für nicht ausreichend hielt. Nach Ansicht des Gerichts erfolgte die Datenverarbeitung durch Meta daher ohne Rechtsgrundlage und führte zu einem Kontrollverlust seitens der Instagram-Nutzer. Das OLG argumentierte, dass dies zu einem allgemeinen Unsicherheitsgefühl hinsichtlich einer kontinuierlichen Überwachung führe, weshalb bereits der Kontrollverlust einen immateriellen Schadensersatzanspruch in Höhe von 1.500 Euro gemäß Art. 82 DSGVO rechtfertige, und zwar auch ohne weiteren Vortrag zu psychischen Beeinträchtigungen. Neben diesen Ansprüchen nach der DSGVO können die Anspruchsteller auch einen Unterlassungsanspruch nach deutschem Recht geltend machen. 

Die Revision wurde vom OLG Dresden nicht zugelassen. Die Urteile sind daher rechtskräftig.

Das Landgericht Frankenthal hat für sein Urteil vom 7. Juli 2025 Video-Aufnahmen einer Tesla-Kamera als Beweismittel zugelassen, da in dem konkreten Fall das Interesse des Klägers an der Durchsetzung seiner Ansprüche das Persönlichkeitsrecht des Beklagten überwiege und keine schwerwiegenden datenschutzrechtlichen Bedenken beständen (LG Frankenthal, 07.07.2025 – Az.: 5 O 4/25).

Die Parteien stritten um Schadensersatz aus einem Verkehrsunfall: Der Beklagte kollidierte mit der offenstehenden Tür des geparkten Fahrzeugs des Klägers. Zur objektiven Feststellung des Hergangs trugen die Videoaufnahmen des klägerischen Fahrzeugs bei, durch die nach Auffassung des Gerichts nachgewiesen werden konnte, dass der Beklagte die bereits offenstehende Tür des klägerischen Fahrzeugs hätte erkennen und unfallfrei daran vorbeifahren können. 

Die Videoaufzeichnung dürfe als Beweismittel verwertet werden, da hier nur neutrale Verkehrsvorgänge dokumentiert worden seien und das Interesse des Klägers an der Wahrheitsfindung und Durchsetzung zivilrechtlicher Ansprüche im Einzelfall schwerer wiege als die datenschutzrechtlichen und persönlichkeitsrechtlichen Interessen des Beklagten.

Die Entscheidung ist noch nicht rechtskräftig. Es wurde Berufung zum Pfälzischen Oberlandesgericht Zweibrücken eingelegt.

In seinem Bescheid vom 21. Januar 2026 hatte sich das VG Düsseldorf mit der Konstellation einer frühzeitigen Löschung von zu beauskunftenden Daten auseinanderzusetzen (VG Düsseldorf, Bescheid v. 21.01.2026 – Az.: 29 K 7470/24). Das Gericht bestätigte, dass eine Erfüllung der Informationspflicht des Verantwortlichen – und damit der Zweckfortfall der Verarbeitung – frühestens eintritt, nachdem die betroffene Person die begehrte Auskunft vollständig und fristgerecht erhalten hat.

Gegenstand des Verfahrens war eine in einem Beschwerdeverfahren ausgesprochene datenschutzrechtliche Verwarnung gegen die Klägerin. Diese hatte eine Werbe-E-Mail an den Beschwerdeführer gesandt, woraufhin der Beschwerdeführer eine Auskunft gem. Art. 15 DSGVO geltend machte und unter anderem um Mitteilung bat, wie die Klägerin an seine Daten gekommen sei. Die Klägerin übersandte in Reaktion ein mehrseitiges Dokument mit dem Titel „Dokumentation Gewinnspiel gutscheinplus.com“ und bestätigte die Löschung der Daten des Beschwerdeführers, die dieser jedoch nie gefordert hatte. Auch sah der Beschwerdeführer die Auskunft als unzureichend an. Die Aufsichtsbehörde verwarnte die Klägerin wegen einer fehlenden Berechtigung zur Löschung und der Einschränkung des Auskunftsrechts durch die Löschung. Mit der Klage vor dem VG Düsseldorf richtet sich die Klägerin gegen den entsprechenden Verwarnungsbescheid.

Das Gericht stellte zunächst fest, dass es sich bei der Löschung der Daten um einen Verarbeitungsvorgang i. S. v. Art. 4 Nr. 5 DSGVO handelt, welcher eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erfordert. In Betracht käme insofern nur eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO, welche sich jedoch ersichtlich nicht aus dem Auskunftsersuchen ergebe, sowie die Erfüllung einer rechtlichen Verpflichtung gem. Art. 6 Abs. 1 lit. c) DSGVO. Eine solche rechtliche Verpflichtung könne sich gem. Art. 17 Abs. 1 lit. a) DSGVO insbesondere ergeben, wenn die personenbezogenen Daten für die Zwecke, zu denen sie erhoben oder verarbeitet wurden, nicht mehr notwendig seien. Konkret zweifelt das Gericht schon an dem Entfall des ursprünglich auf E-Mail-Marketing gerichteten Zwecks aufgrund einer angeblich hierzu erteilten Einwilligung. Insbesondere wäre die Datenverarbeitung nach Stellung des Auskunftsantrags für die Zwecke der Erfüllung der Auskunftsverpflichtung notwendig. Dieser Zweck entfalle frühstens mit vollständiger und fristgerechter Auskunftserteilung, vgl. Art. 12 Abs. 1 und 3 S. 1 DSGVO. Das Löschen der Daten durch die Klägerin bereits vor Auskunftserteilung sei somit in jedem Fall – unabhängig von der Vollständigkeit der Auskunft – unzulässig. Offen lässt das Gericht in seiner Entscheidung, wie lange die Daten zur Erfüllung eines Auskunftsbegehrens tatsächlich gespeichert werden müssen.

Im Rahmen eines weiteren Urteils entschied das VG Düsseldorf am 28. Januar 2026, dass der Verantwortliche bei Geltendmachung eines Anspruchs auf Datenkopie berechtigt ist, Daten ohne Bezug zu der betroffenen Person in der Datenkopie unkenntlich zu machen (VG Düsseldorf, Urt. v. 28.01.2026 – Az.: 29 K 9469/23).

Die Klägerin begehrte eine datenschutzrechtliche Auskunft in Bezug auf sie betreffende Akten des Gesundheitsamts, insbesondere zwei darin enthaltene Gesprächsprotokolle. Nach Ablauf der einmonatigen Frist erhob sie diesbezüglich Klage. Im Folgenden wurde zunächst eine datenschutzrechtliche Auskunft erteilt und zu einem späteren Zeitpunkt wurden ebenfalls die Akten und Gesprächsprotokolle teilweise geschwärzt zur Verfügung gestellt. Unkenntlich gemacht wurden unter anderem die Daten von Behördenmitarbeitern. Dennoch hielt die Klägerin an ihrem Begehren fest, die Akten vollumfänglich und ungeschwärzt zu erhalten.

Die Klage wurde von dem VG Düsseldorf bereits als unzulässig abgewiesen. Es fehle an einem Rechtsschutzbedürfnis, weil die begehrte Auskunft inzwischen erteilt wurde. Anhaltspunkte für eine unvollständige Auskunftserteilung lägen nicht vor. Zu beachten sei insoweit, dass sich das Recht der betroffenen Person auf eine Kopie der sie selbst betreffenden personenbezogenen Daten beschränkt. Der Verantwortliche sei daher berechtigt gewesen, Daten ohne Bezug zu der Klägerin in demselben Dokument vor Herausgabe der Kopie zu schwärzen. Auch wurde der Aussagegehalt der Dokumente, welche die Klägerin betreffen, weder verkürzt noch verfälscht durch die Schwärzung.

Am 9. Oktober 2025 entschied das Verwaltungsgericht Berlin, dass das Auskunftsverweigerungsrechtgemäß § 40 Abs. 4 Satz 2 BDSG nur natürlichen Personen zusteht. Der Schutz vor Selbstbelastung gelte im öffentlichen Auskunftsverfahren gegenüber juristischen Personen nicht. Gemäß Art. 58 Abs. 1 lit. a) DSGVO und § 40 Abs. 4 BDSG dürfe die Aufsichtsbehörde die zur Aufgabenerfüllung erforderlichen Informationen verlangen (VG Berlin, 09.10.2025 – Az.: VG 1 K 607/22).

Die Klägerin, ein Verlag und Kunstbuchversandhandel in Berlin, wandte sich gegen einen Auskunftsheranziehungsbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Die Aufsichtsbehörde hatte aufgrund eines Datenschutzverstoßes der Klägerin eine Verwarnung ausgesprochen und diese in der Folge um weitere Auskünfte ersucht. Der Verstoß betraf die Vermietung von Kundendaten im Rahmen des sogenannten Lettershop-Verfahrens ohne entsprechende Einwilligungen der Kunden. Nachdem die Klägerin Auskünfte zum Umfang der Datenweitergabe an Werbepartner nicht wie gefordert erteilt hatte, erließ die Behörde einen verpflichtenden Bescheid zur Auskunftserteilung.

Das Verwaltungsgericht Berlin bestätigte die Rechtmäßigkeit dieses Auskunftsersuchens. Gemäß Art. 58 Abs. 1 lit. a) DSGVO und § 40 Abs. 4 BDSG dürfe die Aufsichtsbehörde die zur Aufgabenerfüllung erforderlichen Informationen verlangen. Die Auskunftspflichten beschränken sich nicht darauf, einen einmal festgestellten Datenschutzverstoß zu klären, sondern umfassen auch die Ermittlung des Ausmaßes und potentiell weiterer beteiligter datenschutzrechtlich verantwortlicher Personen. Die Formulierung des Auskunftsersuchens sei auch hinreichend bestimmt. 

Die Berufung der Klägerin auf ein Auskunftsverweigerungsrecht gemäß § 40 Abs. 4 Satz 2 BDSG blieb erfolglos. 

Am 26. Januar 2026 hat die EU-Kommission einen Angemessenheitsbeschluss für Brasilien gefasst. Damit stellt die Kommission fest, dass das brasilianische Datenschutzgesetz “Lei Geral de Proteção de Dados” (LGPD) ein Schutzniveau gewährleistet, das dem der DSGVO im Wesentlichen entspricht (Durchführungsbeschl. v. 26.01.2026). 

Der Angemessenheitsbeschluss ist auch im Kontext mit dem EU-Mercosur-Abkommen zu sehen, das die Zusammenarbeit und Handelsbeziehungen der EU mit den MERCOSUR-Staaten (Argentinien, Brasilien, Paraguay und Uruguay) vertieft.

Mit dem Angemessenheitsbeschluss entfallen bislang erforderliche zusätzliche Absicherungen, etwa durch Standardvertragsklauseln oder Binding Corporate Rules. Unternehmen können personenbezogene Daten künftig rechtssicher nach Brasilien übermitteln, was die grenzüberschreitende Zusammenarbeit erheblich vereinfacht.

Die EU-Kommission plant im Rahmen des Digitalen Omnibus eine umfassende Vereinfachung und Reduzierung der Digitalregulierung (hierzu haben wir bereits in unserer Dezember-Ausgabe des Datenschutz-Newsletters berichtet). Zu den vorgeschlagenen Änderungen an der DSGVO und der ePrivacy-Richtline haben der EDSA und der Europäische Datenschutzbeauftragte (EDSB) jüngst eine gemeinsame Stellungnahme abgeben (Stellungnahme v. 10.02.2026).

Grundsätzlich begrüßen die Aufsichtsbehörden alle Änderungsvorschläge, die zu mehr Harmonisierung und Rechtssicherheit führen und unnötigen Verwaltungsaufwand abbauen. Positiv hervorgehoben werden unter anderem die Einführung einer Definition für wissenschaftlichen Forschung sowie die neuen Möglichkeiten für biometrische Authentifizierung unter voller Kontrolle der Betroffenen.

Einige geplante Änderungen bewerten EDSA und der EDSB allerdings kritisch. Insbesondere befürchten sie, dass die angedachte Neudefinition des Begriffs der personenbezogenen Daten das Grundrecht auf Datenschutz schwächen könnte. Auch bei der Vereinfachung der Informationspflichten und den Ausnahmen vom Verbot der automatisierten Entscheidung sehen sie noch Nachbesserungsbedarf und weisen auf Risiken für den Betroffenenschutz hin.

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat gegen zehn Gemeinden Bußgelder in Höhe von insgesamt 250.000 Euro (Pressemitteilung v. 05.02.2026) verhängt. Der Grund dafür war, dass mehrere Gemeinden gegen die DSGVO verstoßen haben, indem sie ohne Rechtsgrundlage sensible Daten über islamische Einwohner erhoben – darunter Angaben zur Religionszugehörigkeit und teils zu politischen Präferenzen – und diese teils an die Polizei, den Nationalen Koordinator für Terrorismusbekämpfung und Sicherheit (NCTV) und das Ministerium für Soziales und Arbeit weitergaben. 

Vor dem Hintergrund landesweiter Sorgen über Extremismus ließen die Kommunen externe Analysen islamischer Gemeinschaften erstellen. Die Berichte enthielten unter anderem Angaben zur religiösen Ausrichtung, Fotos mit Namensnennungen und ausführliche Personenprofile. Die AP bewertete die Verstöße als gravierend, würdigte jedoch das komplexe politisch-administrative Umfeld und die Bereitschaft der Gemeinden, Verantwortung zu übernehmen und Vertrauen wiederherzustellen. Berichte wurden teilweise vernichtet; im Übrigen ordnete die AP eine strikte Zweckbindung an. Die Aufbewahrung und Nutzung seien ausschließlich zur Wahrnehmung der Betroffenenrechte und für die Verwendung in (potenziellen) Gerichtsverfahren gestattet, jede anderweitige Verarbeitung bleibe aber untersagt.

Die französische Datenschutzaufsichtsbehörde CNIL hat am 22. Januar 2026 ein Bußgeld in Höhe von 5 Millionen Euro gegen FRANCE TRAVAIL (vormals Pôle Emploi) verhängt, da die vom Unternehmen getroffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten von Arbeitssuchenden als unzureichend bewertet wurden (Pressemitteilung v. 29.01.2026).

Hintergrund der Sanktion war ein im ersten Quartal 2024 erfolgter Angriff, bei dem es einem oder mehreren Tätern mittels sogenanntem „Social Engineering“ gelang, in das Informationssystem von FRANCE TRAVAIL einzudringen. Insbesondere wurden die Zugangsdaten von CAP EMPLOI-Beratern kompromittiert, die für die Unterstützung von Personen mit Behinderung am Arbeitsmarkt zuständig sind. In der Folge konnten die Angreifer auf die Daten sämtlicher Personen zugreifen, die in den vergangenen 20 Jahren bei FRANCE TRAVAIL registriert waren oder einen Kandidatenaccount auf francetravail.fr besaßen, darunter Sozialversicherungsnummern, E-Mail- und Postadressen sowie Telefonnummern. Die vollständigen Akten der Arbeitssuchenden, die auch Gesundheitsdaten enthalten könnten, wurden jedoch nach derzeitigen Erkenntnissen nicht kompromittiert.

Die von der CNIL durchgeführte Untersuchung ergab, dass FRANCE TRAVAIL grundlegende Sicherheitsprinzipien missachtet hatte. So waren insbesondere die Authentifizierungsverfahren für die CAP EMPLOI-Berater unzureichend abgesichert, was den Zugriff erleichterte. Zudem waren die Protokollierungs- und Überwachungsmaßnahmen, mit denen ungewöhnliche Aktivitäten hätten erkannt werden können, nicht ausreichend umgesetzt. Darüber hinaus wurden die Zugriffsberechtigungen zu weit gefasst, sodass Berater auf Daten von Personen zugreifen konnten, die nicht in ihrer Betreuung waren, was das Risiko eines weitreichenden Datenabflusses zusätzlich erhöhte. Besonders schwer wog in der Bewertung der CNIL auch, dass FRANCE TRAVAIL zwar im Rahmen der im Vorfeld durchgeführten Datenschutz-Folgenabschätzungen angemessene Schutzmaßnahmen identifiziert hatte, diese jedoch nicht in die Praxis umsetzte. Dazu wäre das Unternehmen aber gemäß Art. 32 DSGVO verpflichtet gewesen. 

Angesichts des Umfangs der betroffenen Personendaten, der Sensibilität der gespeicherten Informationen sowie der festgestellten gravierenden Versäumnisse beim Schutz der Daten verhängte die CNIL die Geldbuße in Höhe von 5 Millionen Euro. Zudem wurde FRANCE TRAVAIL verpflichtet, geeignete Abhilfemaßnahmen nachzuweisen und deren konkrete Umsetzung anhand eines verbindlichen Zeitplans zu dokumentieren. Für den Fall eines Verzugs wurde ein Zwangsgeld von 5.000 Euro je Tag angedroht. 

Am 30. Dezember 2025 hat die französische Datenschutzbehörde CNIL gegen ein Unternehmen ein Bußgeld in Höhe von 3,5 Millionen Euro verhängt, weil es personenbezogene Daten von Mitgliedern seines Treueprogramms ohne wirksame Einwilligung für Werbezwecke an ein soziales Netzwerk übermittelt hatte (Pressemitteilung v. 22.01.2026).  Die CNIL stellte fest, dass das Unternehmen seit Februar 2018 E-Mail-Adressen und/oder Telefonnummern von Treueprogramm-Mitgliedern an das soziale Netzwerk weitergegeben hatte, um dort gezielt Werbung für die eigenen Produkte zu schalten.

Im Rahmen der Untersuchungen wurde festgestellt, dass das Unternehmen gegen verschiedene zentrale Vorgaben der DSGVO und des französischen Datenschutzrechts verstoßen hat. Die Sanktion wurde unter Berücksichtigung der Schwere der Verstöße und der hohen Zahl (über 10,5 Millionen) betroffener Personen verhängt. Die Entscheidung wurde in Zusammenarbeit mit 16 europäischen Datenschutzbehörden getroffen und veröffentlicht, um die Öffentlichkeit über die geltenden Regeln im Zusammenhang mit gezielter Werbung auf sozialen Netzwerken aufzuklären.

Nach Ansicht der Behörde fehlte insbesondere eine gültige Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSGVO für die Datenübermittlung. Die behauptete Einwilligung war nicht wirksam, da das Anmeldeformular für das Treueprogramm und die auf der Webseite verfügbare Datenschutzerklärung keine ausreichenden Informationen über die konkret beabsichtigte Datenübermittlung und deren Zwecke enthielten. Auch die Transparenzanforderungen der Art. 12 und 13 DSGVO wurden nicht erfüllt, da die Zwecke und Rechtsgrundlagen der Verarbeitung unklar waren, Speicherfristen fehlten und auf das inzwischen ungültige „Privacy Shield“ verwiesen wurde. Darüber hinaus waren die Maßnahmen zur Passwortsicherheit angesichts des in Art. 32 DSGVO festgelegten Standards unzureichend, und die verwendete Hash-Funktion (SHA-256) bot keinen ausreichenden Schutz. Das Unternehmen hatte auch die nach Art. 35Abs. 1 DSGVO erforderliche Datenschutz-Folgenabschätzung nicht durchgeführt, obwohl erhebliche Datenmengen und Verknüpfungen verarbeitet wurden. Schließlich wurden im Widerspruch zu Art. 82 des französischen Datenschutzrechts “La loi informatique et libertés” schon beim Aufruf der Webseite elf zustimmungspflichtige Cookies gesetzt, die auch nach Ablehnung weiterhin ausgelesen wurden.

Angesichts der Vielzahl, Schwere und des Umfangs der festgestellten Verstöße sah die CNIL das Bußgeld von 3,5 Millionen Euro als gerechtfertigt an.