Newsletter Datenschutz 04/2026

In einem Urteil vom 25. Februar 2026 hat der BGH bestätigt, dass der im nationalen Verfahrensrecht vorgesehene Anwaltszwang vor den Landgerichten und Oberlandesgerichten auch für Klagen nach der DSGVO gilt (BGH, Urt. v. 25.02.2026 - Az.: I ZB 36/25).

Ein Facharzt für Psychiatrie und Psychotherapie erstellte im Auftrag des Amtsgerichts Sonneberg ein Sachverständigengutachten in einer Familiensache, an der die spätere Klägerin beteiligt war. Die Klägerin reichte gegen die mit dem Gutachten eingehergehende Datenverarbeitung eine Klage gestützt auf Art. 79 DSGVO ein. Nachdem die Klage abgewiesen wurde legte die Klägerin – vertreten durch einen eingetragenen Verein – Berufung ein.

Nach § 78 Abs. 1 S. 1 ZPO besteht vor Landgerichten und Oberlandesgerichten in Deutschland Anwaltszwang. Das heißt, die Parteien müssen sich durch einen Rechtsanwalt vertreten lassen. Etwas anderes ergibt sich nach Ansicht des BGH auch nicht aus Art. 80 Abs. 1 DSGVO. Danach können Einrichtungen, Organisationen und Vereinigungen im Namen der betroffenen Person Beschwerde einlegen oder die in Art. 77 ff. DSGVO genannten Rechte wahrnehmen. Eine Postulationsfähigkeit – also vor Gericht aufzutreten und wirksam Prozesshandlungen vorzunehmen – werde für den hier beauftragten Verein hingegen nicht begründet. Die Erwägungsgründe der DSGVO verlangen die Förderung der Stärkung und Durchsetzbarkeit von Betroffenenrechten sowie ein hohes Datenschutzniveau. Dies deute aber nicht darauf, dass ein Anwaltszwang im nationalen Verfahrensrecht im Widerspruch zu der europäischen DSGVO stehe. 

Am 6. März 2026 hat das Bundesverwaltungsgericht (BVerwG) entschieden, dass die Analyse von Abrechnungs- und Diagnosedaten zur gezielten Ansprache von Versicherten für Versorgungs- bzw. Vorsorgeprogramme ohne deren ausdrückliche Einwilligung rechtswidrig ist (Pressemitteilung v. 06.03.2026).

Die Beklagte – eine private Krankenversicherung – hatte zur Vermittlung von sogenannten Versorgungs- bzw. Vorsorgeprogrammen die Abrechnungsdaten von Versicherten ausgewertet, darunter Informationen zu Diagnosen und Behandlungsabläufen. Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), beanstandete diese Praxis als Verstoß gegen das Datenschutzrecht, soweit die Auswertungen ohne Einwilligung der betroffenen Versicherten erfolgten. Er erteilte eine Verwarnung und ordnete die Einholung von Einwilligungen an.

Das BVerwG stellte klar, dass jedenfalls die praktizierte Auswertung von Gesundheitsdaten als besonders sensible Datenkategorie zum Zweck der Vermittlung der Programme grundsätzlich nicht ohne Einwilligung erfolgen dürfe und bestätigte damit die Verwarnung des LfDI RLP. Die Entscheidung verhindert nicht die Umsetzung wichtiger Instrumente der Gesundheitsvorsorge, sondern legt qualitative Anforderungen an diese fest und stärkt so den Schutz der Gesundheitsdaten von Versicherten.

Das BVerwG hat mit einem Urteil vom 4. März 2026 entschieden, dass die Bundesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) kein Einsichtsrecht in die Unterlagen des Bundesnachrichtendienstes (BND) hat (Pressemitteilung v. 04.03.2026). 

Der BND darf zur Erfüllung seiner Aufgaben ohne Wissen der betroffenen Person in von Ausländern im Ausland genutzte informationstechnische Systeme eingreifen und die darauf gespeicherten personenbezogenen Daten erheben. Diese sogenannte Computer Network Exploitation bedarf der vorherigen Anordnung durch den BND-Präsidenten. Die im Rahmen eines Kontrollganges vom ehemaligen BfDI angeforderte Einsicht in die Unterlagen wurde vom BND abgelehnt. Eine gegen die Ablehnung vom BfDI erhobene Beanstandung wies das Bundeskanzleramt mit der Begründung zurück, dass die Kontrolle durch den Unabhängigen Kontrollrat vorrangig sei.

Die darauffolgende Klage des ehemaligen BfDI vor dem erst- und letztinstanzlich zuständigen BVerwG scheiterte bereits an der Zulässigkeit. Die BfDI habe keine einklagbare Rechtsposition, ihr stehe allein die Maßnahme der Beschwerde beim Bundeskanzleramt zu. Der § 63 BNDG i. V. m. § 28 Abs. 3 S. 2 Nr. 1 BVerfSchG sehe nach dem eindeutigen Willen des Gesetzgebers keine unmittelbar durchsetzbaren Abhilfe- oder Durchgriffsbefugnisse vor.

Prof. Dr. Louisa Specht-Riemschneider äußerte als derzeitige BfDI Bedenken an dieser Rechtslage: „Die kontrollierte Stelle kann nunmehr faktisch selbst darüber entscheiden, was mir zur Einsicht gegeben und was damit durch mich kontrolliert wird. Die Gesetzeslage ist absurd und muss korrigiert werden." 

Am 5. März 2026 hat das VG Düsseldorf entschieden, dass das Hochladen von Videos auf Facebook mit leicht bekleideten Personen durch eine Reisevermittlerin ohne deren Einwilligung gegen Art. 6 Abs. 1 DSGVO verstößt (VG Düsseldorf, Beschl. v. 05.03.2026 - Az.: 29 L 4014/25).

Die Antragsstellerin – eine Reisevermittlerin für Kreuzfahrten – betreibt einen Facebook-Account, auf welchem unter anderem Videos von dem Aura-Skypool in Dubai veröffentlicht wurden. Die auf den Videos abgebildeten Personen waren teilweise erkennbar. Aufgrund einer Beschwerde wurde die zuständige Aufsichtsbehörde auf die Videos aufmerksam und forderte die Antragsstellerin auf, die Videos zu überprüfen und gegebenenfalls zu löschen oder eine Identifizierung der betroffenen Personen zu verhindern. Hiergegen erhob die Antragsstellerin am 24. November 2025 Klage und beantragte vorläufigen Rechtsschutz.

Nach Ansicht des VG ist die Veröffentlichungen der Videos nicht von einer Rechtsgrundlage gedeckt. Eine Einwilligung sei nicht abgefragt worden und bei einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO würden die Interessen und Grundfreiheiten der betroffenen Personen überwiegen. Die Reisevermittlerin verfolge zwar ein wirtschaftlichen Interesse, zur Wahrung des wirtschaftlichen Interesses sei die Erkennbarkeit der betroffenen Personen bei Veröffentlichung der Videos aber nicht erforderlich. Auch würden sich die Personen in ihrer Freizeit befinden und in keiner vertraglichen oder geschäftlichen Verbindung zur Antragsstellerin stehen. Somit sei die Datenverarbeitung für die betroffenen Personen nicht absehbar. Darüber hinaus sei ein auf Facebook veröffentlichtes Video weltweit und damit potenziell unbegrenzt zugänglich. Folglich bestehe eine besondere Schutzwürdigkeit für die betroffenen Personen.

Mit seinem Urteil vom 11. März 2026 hat das VG Berlin entschieden, dass die Partei Alternative für Deutschland (AfD) der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) Auskunft über ihre Werbeauftritte in sozialen Medien im Bundestagswahlkampf 2021 gewähren muss (Pressemitteilung v. 11.03.2026).

Im Bundestagswahlkampf 2021 schaltete die AfD eine Werbeanzeige auf dem sozialen Netzwerk Facebook. Ein Nutzer beschwerte sich bei der BlnBDI unter dem Vorwurf, die AfD habe für die Verbreitung der Werbeanzeige unrechtmäßig auf personenbezogene Daten von Facebook-Nutzern zugegriffen. Dies sei darauf zu stützen, dass die Werbeanzeige nur in Deutschland wohnenden Männern zwischen elf und 48 Jahren angezeigt worden sei. Daraufhin forderte die BlnBDI die AfD auf, die vollständigen Auswertungen und Abrechnungen bezüglich dieser Werbeanzeige zu übersenden. Darüber hinaus sollte die AfD mitteilen, ob im Jahr 2021 weitere Werbeanzeigen in sozialen Medien veröffentlicht wurden, und gegebenenfalls Inhalt, Reichweite und Merkmale der Zielgruppen auflisten.

Die AfD ist nach Ansicht des VG nach der DSGVO verpflichtet, die angeforderten Auskünfte zu erteilen. Die Anforderung von Informationen sei für die BlnBDI auch dann möglich, wenn sie über Risiken bestimmter Verarbeitungsvorgänge aufklären und sich vergewissern wollte, ob überhaupt personenbezogene Daten verarbeitet würden. Dafür seien insbesondere zur Aufklärung von datengetriebener, individualisierte Ansprache von Wählern in den sozialen Medien umfassende Informationen erforderlich. Hinzu kommt, dass die BlnBDI diese Informationen von allen Parteien mit Sitz in Berlin, die im Jahr 2021 im Bundestag vertreten waren, verlangt. Die Auffassung der AfD, die weiteren Informationen seien eine uferlose Ausforschung, teilte das VG nicht.

Eine repräsentative Befragung des Telekommunikationsanbieters O2 Telefónica ergab, dass zwei Drittel der Internetnutzer europäische Anbieter für digitale Dienste bevorzugen (Pressemitteilung v. 04.03.2026).

Das Ergebnis der Umfrage wurde im Zuge der Mobilfunk-Messe Mobile World Congress in Barcelona von Santiago Argelich Hesse – dem Vorstandsvorsitzenden von O2 Telefónica – vorgestellt. Befragt wurden 1.000 Mobilfunknutzer im Alter von 18 bis 75 Jahren. Darunter nutzen gegenwärtig bereits 33 % die Dienste von europäischen Anbietern, weitere 32 % der Mobilfunknutzer möchten in der Zukunft stärker auf europäische oder deutsche Diensteanbieter zurückgreifen. 

Angesichts der Dominanz großer amerikanischer Technologieanbieter zeige das Ergebnis der Umfrage ein Streben nach digitaler Souveränität der Europäischen Union. Die Telekommunikationsbranche ist laut Hesse „eine kritische Infrastruktur, die wir gemeinsam intelligent nutzen müssen“. Er plädierte für strategische Investitionen in die Branche und eine länderübergreifende Zusammenarbeit. 

Die italienische Datenschutzbehörde (GPDP) hat am 12. Februar 2026 ein Bußgeld in Höhe von 2 Millionen Euro gegen Acea Energia verhängt, da das Unternehmen keine hinreichenden technischen und organisatorischen Maßnahmen bei dem Einsatz von Auftragsverarbeitern getroffenen habe (Pressemitteilung v. 10.03.2026).

Das Unternehmen betraute Auftragsverarbeiter mit der Kundengewinnung im Zusammenhang mit der Lieferung von Strom und Gas.

Dabei wurden keine hinreichenden technischen und organisatorischen Maßnahmen durch das Unternehmen implementiert, um die Auftragsverarbeiter zu überwachen. Diese Schutzlücke ermöglichte den Auftragsverarbeitern, gefälschte Verträge im Namen von 1.200 Personen abzuschließen. Erst nachdem die betroffenen Personen Post von Acea Energia erhielten, erfuhren sie von den Verträgen mit gefälschter Unterschrift. 

Die GPDP forderte das Unternehmen auf, Korrekturmaßnahmen zu ergreifen, die Richtigkeit der gewonnenen Informationen zu überprüfen sowie die bestimmten Speicherzeiten von Kundendaten zu identifizieren.

Am 12. Februar 2026 hat die GPDP gegen Sportitalia Società Sportiva Dilettantistica (GetFIT) ein Bußgeld in Höhe von 30 Tausend Euro verhängt, weil wiederholt unerwünschte Werbe-E-Mails verschickt wurden (Pressemitteilung v. 12.03.2026).

Beschwert hatte sich ein ehemaliges Mitglied eines von GetFIT betriebenen Fitnessstudios, das auch nach ausdrücklich erklärtem Widerspruch und Löschungsantrag wiederholt Werbe-E-Mails erhielt. GetFIT verwaltet die Daten seiner Mitglieder - einschließlich der Zustimmungen zum Erhalt kommerzieller Mitteilungen - mithilfe eines Customer Relationship Systems (CRM) in einer Cloud. Hingegen wird die kommerzielle Kommunikation im Rahmen einer Marketing-Plattform durch einen Dienstleister auch an ehemalige Mitglieder versendet, die eine schriftliche Genehmigung erteilt haben. Die Abstimmung zwischen den Daten im CRM-System und der Marketing-Plattform fand dabei nicht automatisiert statt. Bei einem Wechsel des Dienstanbieters wurden versehentlich die Daten aller ehemaligen Mitglieder wiederhergestellt, was zu dem Versand der Werbe-Mails führte.

Die gute Zusammenarbeit und die Mitteilung von GetFIT, einen automatischen Mechanismus zur Abstimmung zwischen den Datenbanken zu implementieren, wurden bei der Festsetzung des Bußgeldes mildernd von der GPDP berücksichtigt.