Newsletter Datenschutz 05/2026

Der Bundesgerichtshof (BGH) hat mit Urteil vom 18. Februar 2026 entschieden, dass hinsichtlich solcher personenbezogener Daten im Handelsregister, die nicht eintragungspflichtig sind (sog. überobligatorische Daten) ein Löschungsanspruch nach Art. 17 DSGVO besteht (BGH, Urt. v. 18.02.2026 – Az.: II ZB 2/25). 

Die Antragssteller – beide Geschäftsführer innerhalb der Struktur einer GmbH & Co. KG – begehrten den Austausch von Dokumenten, die im Registerordner des Handelsregisters hinterlegt sind und personenbezogene Daten wie Privatanschriften und Unterschriften enthalten. Die neuen Dokumente beinhalten statt dieser Informationen nunmehr die Geschäftsanschriften der Gesellschaften und „gez“-Vermerke inklusive Namen in Maschinenschrift. Hintergrund des begehrten Austauschs war die Befürchtung der Antragssteller, Opfer von Straftaten zu werden. Datensätze aus den Handelsregistern sind nämlich kostenlos einsehbar und werden seit Inkrafttreten des Gesetzes zur Umsetzung der Digitalisierungsrichtlinie (DiRUG) auch vielfach abgerufen. 

In seiner Entscheidungsbegründung führte der BGH aus, dass eine Löschung der Daten nicht mit der Begründung verweigert werden könne, dass die Privatanschriften und Unterschriften sich auch in Dokumenten befinden, die in den Registerordnern von anderen Gesellschaften abgelegt sind. Art. 17 DSGVO verlangt nämlich nicht, dass die jeweiligen personenbezogenen Daten aus allen Speicherquellen gelöscht werden können. Mit dem Widerruf der Einwilligung der Antragsteller sei die Datenverarbeitung nicht mehr rechtmäßig, da auch keine gesetzliche Pflicht besteht, die Privatadressen und Unterschriften weiterhin zu speichern. 

In seinem Urteil vom 24. Februar 2026 hat sich der BGH mit der Frage beschäftigt, ob der Auskunftsanspruch aus Art. 15 DSGVO ein Hilfsrecht darstellt, welches im Falle einer Abtretung analog § 401 BGB auf den neuen Gläubiger übergeht. Der BGH verneinte dies (BGH, Urt. v. 24.02.2026 – Az.: VI ZR 430/24).

Geklagt hatte eine Gesellschaft, die geschäftsmäßig Forderungen kauft, um diese im eigenen Namen geltend zu machen. Beklagte war eine Anbieterin von privaten Kranken- und Pflegeversicherungen, gegen welche die Gesellschaft insbesondere Schadens- und Erstattungsansprüche geltend machte, die ihr zuvor von mehreren Versicherungsnehmern abgetreten wurden. Die Klägerin behauptete, dass die Beklagte die Versicherungsprämien in der Vergangenheit mehrfach unwirksam erhöht hatte. Neben den Erstattungs- und Schadensersatzansprüchen machte die Klägerin auch den Auskunftsanspruch nach Art. 15 DSGVO geltend.

Der BGH hatte sich nur mit der Frage nach dem Bestehen des Auskunftsanspruchs auseinanderzusetzen. Dieser stellte zunächst fest, dass Auskunftsansprüche nicht bereits aufgrund der Abtretungsvereinbarung zwischen den Versicherten und der Gesellschaft übergegangen waren, da die Vereinbarung ihrem Wortlaut nach keine Auskunfts- und Datenübertragungsansprüche erfasst hat. Auch sind die Auskunftsansprüche nicht analog § 401 BGB übergangen. Hiernach gehen auch sog. Hilfsrechte auf den neuen Gläubiger über, wenn diese zur Geltendmachung oder Durchsetzung einer Forderung erforderlich sind oder deren Trennung die Durchsetzung der Rechte gemäß der wirtschaftlichen Vermögenszuordnung oder in anderer Weise die Rechtssicherheit gefährden würde. Dies treffe auf den Anspruch aus Art. 15 DSGVO nicht zu. Vielmehr sei der Anspruch geschaffen worden, damit betroffene Personen sich der Verarbeitung ihrer Daten bewusst werden können und deren Rechtmäßigkeit überprüfen können. Die Frage, ob der Auskunftsanspruch überhaupt abgetreten werden kann, hat der BGH offen gelassen.

In der Praxis kommt es vor, dass Versicherte oder Gesellschaften, die deren Forderungen erworben haben,  versuchen, über den Auskunftsanspruch an Informationen über Beitragsanpassungen zu gelangen, um auf dieser Grundlage Rückforderungen geltend zu machen, etwa wenn die Beitragsanpassungen formell fehlerhaft waren. Zu der Frage, unter welchen Voraussetzungen Informationen zu Beitragsanpassungen als personenbezogene Daten zu qualifizieren sind, hat sich der BGH ebenfalls kürzlich geäußert. Hierüber haben wir in unserer Februar-Ausgabe unseres Newsletters berichtet.

Am 23. April 2026 hat der BGH zu der Frage verhandelt, ob in heimlichen Videoaufnahmen eines Familienmitglieds in einer privaten Wohnung ein Verstoß gegen die DSGVO liegt (Pressemitteilung v. 05.02.2026). Die Entscheidung soll am 17. September 2026 ergehen.

Die Klägerin – eine Mutter, die gemeinsam mit ihrer Tochter und deren Ehemann wohnt – wehrt sich gegen die heimliche Anfertigung von Videoaufnahmen in der gemeinsam genutzten Küche. Die Videoaufnahmen, in denen die Klägerin erkennbar war, wurden zur Aufklärung eines möglichen Diebstahls von Geldmünzen von der Tochter an die Polizei und möglicherweise auch an ihre Schwester übermittelt.

Das vorinstanzliche LG Celle hatte die Klage mit der Begründung abgewiesen, dass der Anwendungsbereich der DSGVO für die private Wohnung nach Art. 2 Abs. 2 lit. c) DSGVO ausgeschlossen sei. Danach gilt die Verordnung nicht für Datenverarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. An dieser Bewertung zweifelt nun der BGH, immerhin wurde das Videomaterial zwecks der Erstattung einer Strafanzeige aufgenommen. Zudem sei der Begriff der familiären Tätigkeit nicht klar definiert. Bei den Empfängern der Videoaufnahmen seien besondere Maßstäbe anzulegen; an die Polizei dürften auch rechtwidrig erlangte Beweismittel weitergeleitet werden und die Schwester als enges Familienmitglied stehe in einem ehrschutzfreien Raum. Ist der Ausschlussgrund des Art. 2 Abs. 2 lit. c) DSGVO nicht einschlägig, müsste selbst innerhalb von Privatwohnungen auf eine Videoüberwachung hingewiesen werden und eine Einwilligung eingeholt werden. Der BGH wird nun entscheiden, ob er diese Auslegungsfragen dem EuGH vorlegt.

Das VG Düsseldorf hat mit einem Urteil vom 2. April 2026 entschieden, dass eine Transportverschlüsselung von E-Mails, die nicht-sensible Personendaten enthalten, ausreichend ist (VG Düsseldorf, Urt. v. 02.04.2026 - Az.: 29 K 7351/23). Hingegen ist eine Ende-zu-Ende-Schlüsselung nicht erforderlich.

Der Kläger war in einen Unfall mit einem Busfahrer verwickelt. Aufgrund von Gefahren für Leib und Leben ist für den Kläger eine Sperre im Bundesmelderegister, die seine persönlichen Daten vor der Weitergabe schützt, angeordnet. Deshalb wies der Kläger das Busunternehmen darauf hin, dass die Kommunikation schriftlich erfolgen solle und eine elektronische Verarbeitung seiner Daten umfangreiche Schutzmaßnahmen erfordere. Um den Unfall der Haftpflichtversicherung anzuzeigen, übermittelte das Busunternehmen zwei E-Mails mit dem Vor- und Nachnamen des Klägers.

Nach Ansicht des VG kann die Übermittlung der personenbezogenen Daten des Klägers auf das berechtigte Interesse des Busunternehmens an der Meldung des Namens vom Unfallgeschädigten zum Zwecke der Schadensabwicklung des Unfalls nach Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Dabei hat der Verantwortliche technische und organisatorische Maßnahmen zu implementieren, die ein risikoangemessenes Schutzniveau gewährleisten – wie etwa Verschlüsselungen. Das Risiko bemisst sich nach der Eintrittswahrscheinlichkeit und Schwere eines Schadens für die betroffene Person.

Bei der vom Beklagten vorgenommenen Transportverschlüsselung der E-Mails wird zwischen dem E-Mail-Programm und dem E-Mail-Server eine Verbindung aufgebaut und verschlüsselt, wodurch die ausgetauschten Daten während des Versands verschlüsselt sind. Allerdings wird die E-Mail über Knotenpunkte im Web weitergeleitet und liegt somit beim E-Mail-Anbieter und an den Knotenpunkten im Klartext vor. Demgegenüber wird bei der Ende-zu-Ende-Verschlüsselung die E-Mail selbst verschlüsselt.

Das VG bewertete den Vor- und Nachnamen des Klägers als nicht-sensible Daten, die keines besonderen Schutzes bedürfen. Der Name sei im Internet frei zugänglich und werde nicht erst durch einen unbefugten Zugriff durch Dritte bekannt. In Verbindung mit dem Sitz seiner Firma könne auch der Aufenthaltsort des Betroffenen ohne Weiteres ermittelt werden. Eine andere Bewertung ergebe sich auch nicht aus der im Melderegister angeordneten Sperre. Damit sei eine Transportverschlüsselung für die in diesem Fall übermittelten Personendaten ausreichend gewesen.

Am 23. März 2026 hat das LSG Niedersachsen-Bremen entschieden, dass ein Versicherungsnehmer keinen Anspruch auf Akteneinsicht über einen Hinweisgeber hat (LSG Niedersachsen-Bremen, Urt. v. 23.03.2026 – Az.: L 16 KR 1/26). 

Der Kläger war in den Jahren 2018 und 2019 arbeitsunfähig erkrankt und bezog Krankengeld in Höhe von über 17 Tausend Euro bei der beklagten Krankenkasse. Im Jahr 2022 erhielt die Krankenkasse einen Hinweis darüber, dass der Kläger in der Zeit seiner Arbeitsunfähigkeit entgeltlichen Nebentätigkeiten nachgegangen sei. Auf Nachforschungen und Anhörung des Versicherungsnehmers folgte die Zurücknahme der Krankengeldbewilligung und die Aufforderung zur Erstattung des gezahlten Krankengeldes durch die Beklagte. Hiergegen legte der Versicherungsnehmer Widerspruch ein und beantragte Einsicht in die Verwaltungsakte.

Das LSG befand die Ausführungen des vorinstanzlichen SG Hannover für zutreffend. Ein Anspruch auf Akteneinsicht bestehe nicht außerhalb des Verwaltungsverfahrens. Dort stehe die Entscheidung, Akteneinsicht zu gewähren, im Ermessen der Behörde – hier also der beklagten Krankenkasse. Ermessensfehler wurden indes nicht vorgetragen. Die Krankenkasse kann Angaben des Hinweisgebers anonym entgegennehmen, ohne zu einer Auskunft gegenüber der betroffenen Person verpflichtet zu sein.

Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) veröffentlichten am 18. März 2026 eine gemeinsame Stellungnahme zum Vorschlag für einen Cybersecurity Act 2 und Anpassungen der NIS-2-Richtlinie. Anlass für die Stellungnahme war ein neues Cybersicherheitspaket der EU-Kommission, mit dem die Leistungs- und Widerstandsfähigkeit der EU im Hinblick auf Cyberbedrohungen erhöht werden soll. In ihrer Stellungnahme verfolgen EDSA und EDSB das Ziel, die Einführung von Cybersicherheitszertifizierungen zu erleichtern und die Rolle der EU-Cybersicherheitsagentur (ENISA) als Informations- und Kompetenzzentrum zu stärken. In Anlehnung an ihren digitalen Omnibus fordern die Behörden eine einheitliche Anlaufstelle für die Meldung von Sicherheits- und Datenschutzvorfällen und mehr Harmonisierung der verschiedenen Meldepflichten innerhalb der EU. 

Eine Ausnahmeregelung erlaubte es bisher Messengerdiensten, zur Bekämpfung und Meldung von Kindesmissbrauch Chatverläufe zu durchsuchen. Die Ausnahme war bis zum 3. April 2026 befristet und wurde nicht verlängert, denn Unterhändler der EU-Staaten und des EU-Parlaments konnten keinen Kompromiss schließen (Pressemitteilung v. 17.03.2026).

Ursprünglich hatte die EU-Kommission verpflichtende Kontrollen und automatische Scans vorgeschlagen. Die EU-Staaten wollten indes freiwillige Kontrollen. Erneute Abstimmungen des EU-Parlaments im März 2026 sahen eine erneute Befristung der Ausnahmeregelung bis zum 3. August 2026 sowie eine Beschränkung der Chatkontrollen auf verdächtige Nutzer vor, könnten sich aber nicht durchsetzen. Birgit Sippel – Abgeordnete des EU-Parlaments – plädiert daher für eine Stärkung des Bewusstseins der Nutzer „für diese Online-Brutalität“ und erweiterte Kapazitäten für Strafverfolgungsbehörden.

Die italienische Datenschutzbehörde (GPDP) hat am 26. Februar 2026 ein Bußgeld in Höhe von 31,8 Millionen Euro gegen die Großbank Intesa Sanpaolo verhängt, da die implementierten technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten unzureichend waren (Pressemitteilung v. 30.03.2026).

Eine Untersuchung der italienischen Datenschutzbehörde ergab, dass ein Mitarbeiter ohne triftigen Grund Zugriff auf die Bankdaten von über 3500 Kunden hatte. Die durchgeführten Abfragen des Mitarbeiters, welche auch „Hochrisikokunden“ wie Personen in öffentlichen Ämtern betrafen, wurden nicht von dem internen Kontrollsystem erkannt. 

Hierauf basierend stellte die Behörde Verstöße gegen den Grundsatz der Integrität und Vertraulichkeit personenbezogener Daten und gegen die Rechenschaftspflicht fest. Zudem rügte die Behörde, dass die Meldung der Datenschutzverletzung unvollständig und verspätet erfolgte.

Die rumänische Datenschutzbehörde hat am 25. März 2026 gegen eine Tochtergesellschaft von Renault ein Bußgeld in Höhe von 125.000 € verhängt, da das Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen getroffen hat (Pressemitteilung v. 25.03.2026).

Infolge eines Cyber-Angriffs gegenüber dem Unternehmen wurden personenbezogene Daten von einer Vielzahl von Personen unbefugt abgerufen und durch Veröffentlichung auf einer Plattform offengelegt. 

Neben dem Umstand, dass die bisherigen technischen und organisatorischen Maßnahmen kein angemessenes Sicherheitsniveau gewährleisteten, warf die Datenschutzbehörde dem Unternehmen des Weiteren vor, dass kein Verfahren zur regelmäßigen Prüfung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen existiere. Außerdem stellte die Behörde fest, dass das Unternehmen Auftragsverarbeiter eingesetzt hat, die keine ausreichenden Garantien für die Umsetzung von technischen und organisatorischen Maßnahmen bieten.