Newsletter Datenschutz 06/2026

Mit Urteil vom 12. Mai 2026 hat das OLG Hamm entschieden, dass Falschangaben eines KI-Chatbots der Betreiberin zuzurechnen sind. Das Gericht hat die Betreiberin entsprechend zur Unterlassung der Verwendung bestimmter Facharztbezeichnungen verurteilt (OLG Hamm, Urt. v. 12.05.2026 – Az.: 4 UKI 3/25). Die Klägerseite wurde in dem Verfahren von Dr. Christoph Rempe und Dr. Carina Thull vertreten.

Die Beklagte bietet minimal invasive Beautybehandlungen an und hat auf ihrer Webseite einen KI-Chatbot für Patienten implementiert, mit dem Arzttermine gebucht und Fragen beantwortet werden können. Die hinter der Beklagten stehenden Ärzte seien laut den unzutreffenden Antworten des Chatbots „Fachärzte für plastische und ästhetische Chirurgie“, „Fachärzte für ästhetische Medizin“ und „Fachärzte für ästhetische Behandlungen“.

Das OLG bewertete die Falschangaben des KI-Chatbots als unzulässige geschäftliche Handlung der Betreiberin nach § 5 Abs. 1 und Abs. 2 Nr. 3 UWG, da diese hinreichend Einfluss auf das System hat. Indem die Falschangaben nach Ansicht des OLG zur Täuschung über die fachliche Befähigung der Ärzte geeignet sei, seien die Facharztbezeichnungen auch irreführend. Der KI-Chatbot sei kein Dritter im Sinne des UWG, sodass nicht auf die wettbewerbsrechtlichen Verkehrssicherheitspflichten zurückgegriffen werden könne. Für die Bewertung komme es nicht darauf an, ob die Betreiberin den KI-Chatbot ausschließlich mit korrekten Datensätzen programmiert habe. Damit sind KI-generierte Falschausgaben dem Unternehmen selbst zurechenbar und die Betreiberin wurde vom OLG zur Unterlassung der Falschaussagen sowie zur Zahlung von Abmahnkosten in Höhe von 260 Euro verurteilt.

Die Entscheidung ist noch nicht rechtskräftig, die Revision zum BGH wurde zugelassen.

Das VG Berlin hat in einem Urteil vom 6. Mai 2026 entschieden, dass die Einführung flächendeckender Ausweiskontrollen und punktueller Videoüberwachung im Eingangsbereich bestimmter Bäder aufgrund der angespannten Sicherheitslage datenschutzkonform war (VG Berlin, Urt. v. 06.05.2026 – Az.: VG 42 K 73/25; Pressemitteilung v. 06.05.2026).

Im Jahr 2023 gab es in den Sommerbädern der kommunalen Berliner Bäder-Betriebe – der Klägerin – mehrfach sicherheitsrelevante Vorfälle, wie etwa verbale und körperliche Angriffe von Badegästen untereinander oder gegenüber dem Personal, sowie Drohungen. Die Vorfälle gingen so weit, dass insgesamt dreimal Sommerbäder geräumt werden mussten. Aus diesem Anlass führten die Berliner Bäder-Betriebe noch in demselben Sommer ein Paket von Sicherheitsmaßnahmen – einschließlich der Ausweiskontrollen und Videoüberwachung – ein. Die Sicherheitsmaßnahmen wurden von der Berliner Datenschutzbeauftragten als Verstoß gegen die DSGVO gewertet, da sie für die Gewährleistung der Sicherheit der Bäder weder geeignet noch erforderlich seien. Es folgte eine Verwarnung, gegen welche die Berliner Bäder-Betriebe sodann klagten.

Nach Ansicht des VG sei die Einschätzung der Klägerin, mit dem Maßnahmenpaket das aggressive Verhalten in den Sommerbädern zurückdrängen zu können, berechtigt gewesen, was sich durch die deutlich entspanntere Sicherheitslage im darauffolgenden Sommer 2024 bestätigt habe. In der Interessenabwägung überwiege der mit Ausweiskontrollen und Videoüberwachung herbeigeführte Schutz von Leben, Gesundheit und Freiheit den geringen Eingriff in das datenschutzrechtlich geschützte Recht auf informationelle Selbstbestimmung. Zudem werde die Ausweiskontrolle nicht dokumentiert und die Videoüberwachung finde ohne Live-Beobachtung und mit einer Speicherdauer von 72 Stunden statt und sei damit verhältnismäßig. Dass die Wirksamkeit der Einzelmaßnahmen nicht konkret beziffert werden könne, sei unerheblich.

Am 30. April 2026 hat das KG Berlin eine Verbandsklage gegen die Betreiberin des sozialen Netzwerks X als unzulässig abgewiesen, da die geltend gemachten Schadensersatzansprüche nicht für eine kollektive Rechtsverfolgung geeignet seien (KG Berlin, Urt. v. 30.04.2026 – Az.: 20 VKI 1/25; Pressemitteilung v. 30.04.2026). 

Die niederländische Stichting Onderzoek Marktinformatie (SOMI) forderte mit einer Abhilfeklage mindestens 750 Euro Schadensersatz für jeden in Deutschland registrierten Nutzer sowie zusätzlich mindestens 250 Euro für jeden Nutzer, der konkret von einem Datenleck betroffen war. Der Betreiberin von X wurde vorgeworfen, dass das soziale Netzwerk zur Schaltung personalisierter Werbung, zur Beeinflussung der Nutzer sowie zur Erstellung umfassender Persönlichkeitsprofile Nutzerdaten ohne wirksame Einwilligung sammle, zusammenführe und auswerte.

Verbraucherverbände können mithilfe einer Abhilfeklage im Wesentlichen gleichartige Ansprüche von Verbrauchern geltend machen. Ansprüche sind dann gleichartig, wenn es im Kern um denselben Sachverhalt geht und die Ansprüche der Verbraucher von den gleichen Sach- und Rechtsfragen abhängen.

Das KG verneinte die Gleichartigkeit der von SOMI geltend gemachten Schadensersatzansprüche. Der datenschutzrechtliche Schadensersatzanspruch setze voraus, dass die betroffene Person einen Schaden durch einen Verstoß gegen die DSGVO erlitten hat. Ob und in welchem Umfang bei den einzelnen Verbrauchern tatsächlich ein Schaden – durch Kontrollverlust oder einen unberechtigten Zugriff Dritter – bestehe, unterliege aber der Einzelfallprüfung. Die Entscheidung ist noch nicht rechtskräftig.

Das Parlament der Europäischen Union und der Rat der Europäischen Union haben Änderungen an der KI-VO beschlossen, die im Rahmen des „Digitalen Omnibus“ von der Europäischen Kommission vorgeschlagen wurden (Pressemitteilung v. 07.05.2026). Die Änderungen betreffen die gestaffelten Fristen für die Umsetzung der KI-VO, ein Verbot sogenannter Nudifier-Apps sowie den Abbau von Doppelregulierungen. Die Änderungen sollen noch vor dem 2. August 2026 verabschiedet werden.

Die Regelungen über Hochrisiko-KI-Systeme müssen nun bis zum 2. Dezember 2027 umgesetzt werden. Die Umsetzungsfrist über KI-Systeme, die als Sicherheitskomponenten eingesetzt werden und unter sektoralen EU-Rechtsvorschriften zu Sicherheit und Marktüberwachung fallen, ist der 2. August 2028. Zudem wird auch die Kennzeichnungspflicht für KI-generierte Inhalte auf den 2. Dezember 2026 verschoben. Die Gesetzgebungsorgane haben somit insgesamt eine Verlängerung der Fristen beschlossen.

Eine weitere Einigung der europäischen Gesetzgebungsorgane ist das Verbot von KI-Systemen, die Material über sexuellen Kindesmissbrauch erstellen oder die Intimzonen einer identifizierbaren Person oder diese bei sexuellen Handlungen ohne deren Einwilligung darstellen. Auch für diese Anpassung haben Unternehmen eine Frist bis zum 2. Dezember 2026.

Künftig sollen die sich überschneidenden Anforderungen an KI in der Maschinenproduktion aufgelöst werden, indem klargestellt wurde, dass dort ausschließlich die branchenspezifischen Vorschriften – anstatt sowohl diese als auch die der KI-VO – gelten, einschließlich der Schutzmaßnahmen, die ein vergleichbares Gesundheits- und Sicherheitsniveau gewährleisten. Außerdem wird der Begriff „Sicherheitskomponente“ insoweit eingegrenzt, als dass Produkte mit KI-Funktionen, die lediglich den Nutzer unterstützen oder die Leistung optimieren, nicht automatisch den Verpflichtungen von Hochrisiko-KI-Systemen unterliegen, sofern ihr Ausfall oder ihre Fehlfunktion nicht mit Gesundheits- oder Sicherheitsrisiken einhergeht. Die Verarbeitung von personenbezogenen Daten in KI-Systemen soll unter Anwendung angemessener Schutzvorkehrungen möglich sein, sofern dies zur Erkennung und Korrektur von Verzerrungen unbedingt erforderlich ist. Zudem werden die Ausnahmen für kleine und mittelständische Unternehmen (KMU) ausgeweitet.

Nach einem Datenschutzvorfall im April 2025 hat die Berliner Beauftragte für Datenschutz und Informationssicherheit (BlnBDI) eine Verwarnung gegen die Berliner Verkehrsbetriebe (BVG) ausgesprochen (Pressemitteilung v. 04.05.2026).

Bereits am 17. April 2025 wurde der BVG von einem beauftragten Dienstleister ein erfolgreicher Angriff auf deren IT-Systeme mitgeteilt. Der Dienstleister hatte zur Versendung von Briefen und E-Mails rund 180.000 Datensätze von BVG-Kunden verarbeitet. Dabei war der Auftrag zum Zeitpunkt des Angriffs bereits abgeschlossen und die Kundendaten hätten nicht mehr bei dem Dienstleister gespeichert sein dürfen. Die BVG hat nicht kontrolliert, ob die Daten vom Dienstleister nach Auftragsabschluss gelöscht wurden. Nach Ansicht der BlnBDI lag der erste Datenschutzverstoß in der Verletzung der Kontrollpflicht, die sich nach Auffassung der Behörde aus Art. 5 Abs. 2 i. V. m. Abs. 1 lit. c), lit. e) und lit. f) i. V. m. Art. 32 Abs. 1 Hs. 1 DSGVO ergibt.

Erst am 30. April 2025 – weit nach Ablauf der 72-Stunden-Frist – meldete die BVG den Datenschutzvorfall der BlnBDI und benachrichtigte die betroffenen Kunden. Die Untersuchungen wurden unter anderem wegen fehlender organisatorischer Maßnahmen nicht unverzüglich nach dem ersten Hinweis am 17. April 2025 eingeleitet. Trotz verspäteter Untersuchungen bestanden aber spätestens am 25. April 2025 ausreichende Anhaltspunkte für einen meldepflichtigen Datenschutzvorfall. 

Ferner war in dem Auftragsverarbeitungsvertrag mit dem Dienstleister kein Verfahren für den Umgang mit Datenschutzvorfällen festgelegt worden, was einen Verstoß gegen Art. 28 Abs. 3 S. 2 lit. f) DSGVO bedeute.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationssicherheit, nahm wie folgt Stellung zu dem Vorfall: „Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen. Wenn Unternehmen Datenverarbeitungen im Wege der Auftragsverarbeitung auslagern, darf dies nicht dazu führen, dass Untersuchungen oder Meldeprozesse verzögert werden.“

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) übergab vor kurzem seinen 54. Tätigkeitsbericht zum Datenschutz an den Landtag (Pressemitteilung v. 14.04.2026).

Dem Tätigkeitsbereich ist ein starker Anstieg von Beschwerden wegen Verletzung des Datenschutzgrundrechts im vergangenen Jahr zu entnehmen, insbesondere in den Bereichen Auskunfteien und Videoüberwachung. Auch die Zahl der bekannten Cyberangriffe stieg im Berichtszeitraum um fast ein Drittel, die sich vermehrt auf Dienstleister, die für Unternehmen und Behörden arbeiten, fokussieren und stets professioneller werden. Außerdem würden sich Unternehmen und Behörden verstärkt mit Beratungsfragen an den HBDI richten, um eine höhere Rechtssicherheit für sich zu schaffen.

Darüber hinaus berichtet der HBDI über interessante Fälle im Beschäftigtendatenschutz, darunter eine Beschwerde über die konzerninterne Weitergabe von personenbezogenen Daten einer Mitarbeiterin wegen Verdachts auf Versicherungsbetrug. Die DSGVO kenne zwar kein sogenanntes „großes Konzernprivileg“, allerdings kann durchaus ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO an der Datenübermittlung innerhalb eines Konzerns bestehen – so auch beim Schutz vor illoyalen Mitarbeitern und der Verhinderung von Betrug. Zudem können versicherungsrechtliche Verpflichtungen aus § 30 Abs. 1 VAG die Datenverarbeitung nach Art. 6 Abs. 1 lit. c) DSGVO legitimieren. Der Art. 10 DSGVO erfasst hingegen nur Daten über strafrechtliche Verurteilungen und Straftaten, nicht Daten über Handlungen von potenziellen Straftätern.

Aber auch die Mitwirkung des HBDI an einer Orientierungshilfe für Retrival Augmented Generation (RAG) und die Einsichtnahme in personenbezogene Daten bei Online-Bestelldiensten für Restaurants waren Thema des Tätigkeitsberichts.

Die spanische Datenschutzbehörde (AEPD) hat am 13. Mai 2026 ein Bußgeld in Höhe von 200.000 Euro gegen die Wirtschaftsauskunftei ASNEF-EQUIFAX wegen eines Verstoßes gegen das Löschungsrecht verhängt (Pressemitteilung v. 13.05.2026).

Untersuchungen der AEPD anlässlich einer Beschwerde ergaben, dass die Wirtschaftsauskunftei personenbezogene Daten zu einer Schuld auch nach Gewährung einer endgültigen Rechtschuldbefreiung verarbeitete. Obwohl mehrfach Anträge auf Datenlöschung erfolgten und die Restschuldbefreiung im öffentlichen Insolvenzregister eingetragen war, wurden von der Wirtschaftsauskunftei neue Dateneinträge vorgenommen.

Die Anträge auf Löschung waren nach Ansicht der Wirtschaftsauskunftei an den Gläubiger der Schuld zu richten, da eine Regelung in der von dem Gläubiger und ASNEF-EQUIFAX getroffenen Vereinbarung zur gemeinsamen Verantwortlichkeit diesem die Entscheidung über Löschanträge auferlegt. Nachdem dieser untätig blieb, hätte die Wirtschaftsauskunftei nach Ansicht der AEPD im Rahmen der proaktiven Verantwortung nach Art. 24 DSGVO die erforderlichen Schritte zur Überprüfung der Tilgung vornehmen müssen. Entscheidungen, die grundlegende Rechte, wie das Recht auf Löschung nach Art. 15 DSGVO, betreffen, könnten nicht an den Gläubiger delegiert werden. Betroffene Personen können sich nach Art. 26 Abs. 3 DSGVO unabhängig solcher Vereinbarungen an jeden der gemeinsam Verantwortlichen wenden. Auch weitere Eintragungen hätte die Wirtschaftsauskunftei bis zum Nachweis über das Bestehen der Schuld aussetzen können.

Die AEPD hat am 13. Mai 2026 gegen den IT-Dienstleister PROYECTPS VISUALES ZARAGOZA SL ein Bußgeld in Höhe von 200.000 Euro verhängt, da grundlegende Schutzmaßnahmen vernachlässigt wurden (Pressemitteilung v. 12.05.2025).

Der IT-Dienstleister war als Auftragsverarbeiter für einen Fitnessstudio-Betreiber tätig. Cyberkriminelle hatten personenbezogene Daten von über 800.000 aktiven und ehemaligen Kunden des Fitnessstudio-Betreibers entwendet und im Internet zum Verkauf angeboten – darunter Geburtsdaten, DNI-Nummern und IBAN-Daten. Ursache des Angriffs war eine SQL-Injection-Schwachstelle des Auftragsverarbeiters sowie die fehlende Verschlüsselung der Daten und damit das Versäumnis, grundlegende Sicherheitsmaßnahmen zu treffen. Da beide Maßnahmen nach der abgeschlossenen Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO vorgesehen waren, habe der IT-Dienstleister nach Ansicht der Behörde bei dieser Datenverarbeitung nicht mehr auf Weisung des Fitnessstudio-Betreibers gehandelt und sei für den Datenschutzverstoß verantwortlich.

Das Bußgeld war ursprünglich auf 500.000 Euro angesetzt, ein Schuldanerkenntnis und die fristgerechte Zahlung durch den IT-Dienstleister wurden mildernd berücksichtigt.

Die niederländische Datenschutzbehörde (AP) hat am 08. Mai 2026 ein Bußgeld in Höhe von einer Million Euro gegen MLU B. V. – den Betreiber der Taxi-App Yango – verhängt, da das Unternehmen Daten von Kunden und Fahrern auf Servern in Russland gespeichert hatte (Pressemitteilung v. 08.05.2026). Dies ergab eine Untersuchung in Zusammenarbeit mit der norwegischen und der finnischen Datenschutzbehörde.

Über die Taxi-App Yango können Personen in Norwegen und Finnland Taxifahrten buchen. Der in den Niederlanden ansässige App-Betreiber übermittelte personenbezogene Daten von Kunden und Taxifahrern – darunter auch sensible Daten wie Kontonummern, Fotos von Führerscheinen oder Sozialversicherungsnummern – an Unternehmen in Russland.

Werden Daten in einen Drittstaat – also einen Staat außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums – übermittelt, muss ein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden. Hierfür sehen Art. 44 ff. DSGVO verschiedene Schutzmaßnahmen vor, die von MLU B. V. nicht ergriffen wurden.

Aleid Wolfsen, Vorsitzender der AP, äußerte sich wie folgt: „In Russland sind personenbezogene Daten nicht so gut geschützt wie in Europa. Auf diese Weise kann die russische Regierung möglicherweise auf diese Daten zugreifen. Daher hätten die sensiblen Daten sowohl von Kunden als auch von Fahrern besonders gut geschützt sein müssen, insbesondere angesichts des Fehlens einer unabhängigen Datenschutzbehörde in Russland […].“