Newsletter Datenschutz 09/2025

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Nutzerinhalte als Trainingsdaten von KI

KI-Modelle, insbesondere die Sprachmodelle wie ChatGPT (OpenAI) oder Gemini (Google), sind auf Trainingsdaten angewiesen. Bereits das Erheben und Sammeln von Trainingsdaten ist eine Datenverarbeitung. Je umfangreicher und vielfältiger diese Daten sind, desto leistungsfähiger werden die Modelle. Die Anbieter greifen dabei auf unterschiedliche Mittel zurück, um an die Daten zu gelangen. Unproblematisch ist der Rückgriff auf eigene Daten oder von Dritten lizenzierte Daten. Ein besonders umstrittener Weg ist hingegen die Verwendung von Inhalten, die Nutzer von Online-Diensten selbst online teilen. Dabei kann das Datenmaterial regelmäßig auch personenbezogene Daten umfassen, sodass dann die Anforderungen der Datenschutzgrundverordnung (DSGVO) zu beachten sind. Aus diesem Grund stellen sich bei der Verwendung von Inhalten, die Nutzer von Online-Diensten veröffentlichen, vor allem Fragen nach den datenschutzrechtlichen Rahmenbedingungen, insbesondere der einschlägigen Rechtsgrundlagen und Betroffenenrechte.

Zum vollständigen Schwerpunktthema

BGH: Anspruch auf Schadensersatz wegen unbegründetem SCHUFA-Eintrag

Mit Urteil vom 13. Mai 2025 entschied der BGH, dass die aus einem unbegründeten SCHUFA-Eintrag rührende Beeinträchtigung der Kreditwürdigkeit einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (BGH, Urt. v. 13.05.2025 – Az. VI ZR 67/23).

Die beklagte Betreiberin eines Inkassounternehmens hatte eine titulierte Forderung des Stromlieferanten des Klägers bei der SCHUFA gemeldet, ohne den Ablauf der Einspruchsfrist gegen die Entscheidung über die Forderung abzuwarten. Aufgrund der Meldung erfolgte ein Negativeintrag für den Kläger bei der SCHUFA. Der Kläger machte daraufhin gerichtlich geltend, durch den Negativeintrag massive wirtschaftliche Nachteile erlitten zu haben, und verlangte Schadensersatz. Das mit der Berufung befasste Gericht wies den Antrag des Klägers mit der Begründung ab, er habe keinen hinreichenden immateriellen Schaden dargelegt.

Dieses Urteil wurde vom BGH nun (teilweise) aufgehoben. Der BGH verweist zunächst auf die ständige Rechtsprechung des EuGH (vgl. etwa EuGH Urt. v. 20.06.2024 – Az. C-590/22, Urt. v. 04.05.23 – Az. C-741/21, Urt. v. 04.05.2023 – Az. C-300/21), wonach der bloße Verstoß gegen die DSGVO nicht ausreiche, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen, sondern vielmehr ein tatsächlicher (immaterieller) Schaden nachzuweisen sei, der allerdings keine Erheblichkeitsschwelle erreichen müsse und auch im bloßen Kontrollverlust über die Daten liegen könne. Das Berufungsgericht habe hinsichtlich der Darlegung eines solchen immateriellen Schadens zu hohe Anforderungen an den Kläger gestellt. Insbesondere das Vorbringen des Klägers, ihm sei aufgrund des SCHUFA-Negativeintrags seine Kreditkarte gesperrt worden und durch eine bankeigene Bewertung seiner Kreditwürdigkeit in Anknüpfung an den SCHUFA-Eintrag auch der Vertragsschluss über eine neue Kreditkarte nicht möglich gewesen, habe den Eintritt eines immateriellen Schadens in Form der Beeinträchtigung seiner Kreditwürdigkeit und seines wirtschaftlich guten Rufs hinreichend dargelegt. Ferner drohten die Kündigung der gesamten Geschäftsbeziehung seitens der Bank und das Scheitern einer Immobilienfinanzierung. Die Argumentation des Berufungsgerichts, der Kläger könne möglicherweise weitere Kreditkarten gehabt haben, sei aus der Luft gegriffen. Für die Darlegung eines Schadens sei auch nicht erforderlich, dass der Kläger durch den Verlust der Kreditkarte in seiner allgemeinen Lebensführung darüber hinaus beeinträchtigt wurde.

(Gesche Kracht)

OLG Dresden: SCHUFA-Speicherung getilgter Forderungen

Ebenfalls um Datenschutzfragen in Zusammenhang mit dem SCHUFA-Scoring – konkret die Löschfristen getilgter Forderungen – ging es in dem Urteil des OLG Dresden vom 1. Juli 2025 (OLG Dresden, Urt. v. 01.07.2025 – Az. 4 U 177/25, zu finden unter: Justiz Sachsen).

Die Klägerin nahm die SCHUFA Holding AG – Betreiberin eines Bonitätsauskunftssystems – unter anderem in Anspruch hinsichtlich der Löschung von Einträgen über erledigte Forderungen, der Berichtigung ihres Score-Werts und Unterlassung einer erneuten Speicherung. Hinsichtlich der Löschung käme ein Anspruch aus Art. 17 Abs. 1 DSGVO in Betracht.

Das mit der Berufung befasste OLG Dresden entschied, dass der Klägerin ein solcher Löschungsanspruch aus Art. 17 Abs. 1 DSGVO nicht zustehe. Die Daten hinsichtlich der Forderungen wurden zunächst im Rahmen eines berechtigten Interesses – dem wirtschaftlichen Interesse der SCHUFA als Teil ihres Geschäftsmodells bonitätsrelevante Informationen zu sammeln – gespeichert. Hinsichtlich der Löschung sehe die DSGVO selbst keine expliziten Speicherfristen vor, sondern orientiere sich am Kriterium der Notwendigkeit der Speicherung für die Zwecke der Datenverarbeitung, vgl. Art. 17 Abs. 1 lit. a) DSGVO. Die seitens des Unternehmens vorgesehene dreijährige Speicherfrist ab Tilgung der Forderungen sei nach Auffassung des OLG notwendig in diesem Sinne. Dies ergebe sich allerdings nicht allein aus dem selbstauferlegten „Code of Conduct“, wobei die Genehmigung desselben durch den hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) ein Indiz für die Rechtmäßigkeit sei. Die Kreditwirtschaft in Form potenzieller Gläubiger habe außerdem auch ein Interesse an bereits getilgten Forderungen und der daran abzuleitenden Erkenntnis, ob sich ein Schuldner seitdem finanziell stabilisiert habe und wie lange. Demgegenüber stehe zwar das Interesse der betroffenen Schuldner an der ungehinderten Teilnahme am Wirtschaftsleben, vorliegend habe die Klägerin allerdings langjährige Zahlungsschwierigkeiten gehabt, sodass ihr Interesse erst ab ihrer wirtschaftlichen Stabilisierung überwiegen könne, wofür der vorgesehene Zeitraum von drei Jahren angemessen sei.

(Gesche Kracht)

OLG Nürnberg: Anlasslose SCHUFA-Meldung zur Betrugsprävention erlaubt

Auch das OLG Nürnberg war in einem Fall mit SCHUFA-Bezug befasst und stellte fest, dass die anlasslose Positivmeldung eines Mobilfunkvertrags an die SCHUFA durch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO gedeckt sei (OLG Nürnberg, Beschl. v. 17.07.2025 - Az. 16 U 540/25).

Der Kläger schloss mit der beklagten Anbieterin von Telekommunikationsdienstleistungen einen sog. Postpaid-Mobilfunkvertrag. Hierbei wies die Beklagte bereits auf die beabsichtigte Übermittlung von sog. Positivdaten über den Vertrag an die SCHUFA Holding AG hin. Eine Einwilligung durch den Kläger erfolgte nicht. Nach Ablauf von drei Jahren kündigte die SCHUFA die Löschung der Daten an, eine zuvor eingeholte Selbstauskunft des Klägers enthielt noch den Eintrag über den Mobilfunkvertrag.

Der Kläger ist der Auffassung, die Datenübermittlung an die SCHUFA sei rechtswidrig und habe bei ihm Angst hinsichtlich eines Kontrollverlustes über Angaben zur eigenen Bonität ausgelöst. Hierauf gestützt verlangt er Schadensersatz von der Beklagten. Das OLG Nürnberg stellt - ebenso wie das erstinstanzliche Gericht - fest, dass dem Kläger kein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGVO zustehe. Es liege bereits kein Verstoß gegen die DSGVO vor, denn die Datenübermittlung sei aufgrund eines berechtigten Interesses gem. Art. 6 Abs. 1 lit. f) DSGVO in Form der Betrugsprävention gerechtfertigt. Im Zusammenhang mit sog. Postpaid-Mobilfunkverträgen käme es aufgrund der nachträglichen Abrechnung immer wieder zu Fällen, in denen potenzielle Kunden in kurzer Zeit sehr viele Mobilfunkverträge – meist zusammen mit der Lieferung eines Mobiltelefons – abschließen. Die Meldung bei der SCHUFA als umfassende Datenbank diene dazu, solche Mehrfachabschlüsse zu erkennen und zu unterbinden. Überdies sei kein Schaden des Klägers erkennbar. Die (hier sogar zulässige) Datenübermittlung sei nicht mit einem Kontrollverlust gleichzusetzen und bei der SCHUFA als führender Wirtschaftsauskunftei sei eine missbräuchliche Verwendung nicht zu befürchten. Das OLG Nürnberg urteilt damit auf der Linie weiterer OLG (OLG München, Urt. v. 03.04.2025 – Az. 6 U 2414/23 e, ZD 2025, 463; OLG Düsseldorf, Urt. v. 31.10.2024 – Az. 20 U 51/24), die ebenfalls die Übermittlung von Positivdaten datenschutzkonform für zulässig erachteten. Insoweit bleiben allerdings aktuelle Entwicklungen abzuwarten, da das Thema derzeit beim BGH anhängig ist.

(Gesche Kracht)

OLG Hamburg: Kein Schadensersatz bei vorherigem Kontrollverlust über Daten

Das OLG Hamburg entschied mit Urteil vom 30. Juli 2025 in einem Fall von Daten-Scraping, dass kein Anspruch auf Schadensersatz besteht, wenn über das betroffene Datum schon vor dem Vorfall keine Kontrolle mehr bestand (OLG Hamburg, Urt. v. 30.07.2025 – Az. 13 U 42/24, GRUR-RS 2025, 18931).

Aufgrund eines Daten-Scraping-Vorfalls bei Facebook verlangte der Kläger Schadensersatz gem. Art. 82 Abs. 1 DSGVO. Das OLG wies diesen Antrag ab. Zunächst habe der Kläger schon nicht belegt, von dem Scraping-Vorfall betroffen zu sein. Auch wäre kein ersatzfähiger immaterieller Schaden entstanden. Grundsätzlich könne zwar auch der Verlust der Kontrolle über Daten einen immateriellen Schaden darstellen. Das möglicherweise betroffene Datum – die im Facebook-Account des Klägers hinterlegte Mobilfunknummer – war allerdings dessen Firmennummer und ihm seit 20 Jahren zugewiesen. Die Nummer stünde im Adressbuch seines Arbeitgebers, auf welches ca. 100.000 Mitarbeiter Zugriff hätten, und wäre darüber hinaus 300-400 privaten Kontakten bekannt. Bei dieser Vielzahl von Zugriffsmöglichkeiten könne nicht angenommen werden, der Kläger hätte noch Kontrolle über seine Mobilfunknummer, vielmehr läge bereits vor dem streitigen Scraping-Vorfall schon ein Kontrollverlust vor. Die vom Kläger vorgebrachten Fake-Anrufe und –SMS mit Phishing-Versuchen könnten nicht kausal auf den Scraping-Vorfall zurückgeführt werden. Weitergehende schadensbegründende Beeinträchtigungen seien nicht ersichtlich.

(Gesche Kracht)

OLG Nürnberg: Kein Schadensersatz bei Verwendung eines Fantasienamens

In einem weiteren Fall von Facebook-Daten-Scraping entschied das OLG Nürnberg. Mit Urteil vom 27. Juni 2025 lehnte das Gericht einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO ab, weil es sich bei dem betroffenen Datum um einen Fantasienamen handelte (OLG Nürnberg, Urt. v. 27.06.2025 - Az. 15 U 2230/23).

Die betroffene Klägerin macht einen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGVO geltend, mit der Begründung, sie habe infolge des Daten-Scrapings einen Kontrollverlust über ihre personenbezogenen Daten erlitten. Ein Datensatz der Klägerin mit Nutzer-ID, Name, Geschlecht und Mobilfunknummer wäre im Darknet einsehbar.

Die Betroffenheit der Klägerin von dem Verstoß gegen die DSGVO sah das Gericht als hinreichend dargelegt an, ebenso einen Kontrollverlust – der nach ständiger Rechtsprechung des BGH bereits einen immateriellen Schaden darstellen könne – über ihre Daten. Gegen das Vorliegen eines konkreten Schadens spreche allerdings, dass sich die Klägerin nicht mit ihrem richtigen Namen, sondern einem Fantasienamen bei Facebook angemeldet habe. Der Vorname sei zwar lediglich eine Abkürzung, der Nachname habe hingegen keine Ähnlichkeit mit dem tatsächlichen Nachnamen der Klägerin. Die betroffene Mobilfunknummer könne daher lediglich mit der Nutzer-ID, nicht jedoch mit dem Namen der Klägerin verknüpft werden. Eine weitere Verknüpfung mit der Klägerin zugeordneten Daten würde zu einem vollkommen rudimentären Datensatz führen, weswegen das Missbrauchsrisiko so gering sei, dass es keinen ausgleichspflichtigen Schaden darstelle.

(Gesche Kracht)

LDI NRW informiert über Umgang mit Gesundheitsdaten von Beschäftigten

Die Landesdatenschutzbeauftragte (LDI) in NRW, Bettina Gayk, gibt Unternehmen eine Hilfestellung an die Hand und erklärt, wann die Verarbeitung von Gesundheitsdaten erlaubt ist und inwieweit Arbeitgeber Einblick in den Gesundheitszustand der bei ihnen Beschäftigten nehmen dürfen (Mitteilung v. 17.07.2025).

Um beurteilen zu können, ob ein Arbeitnehmer weiterhin einen Anspruch auf Entgeltfortzahlung hat, ist häufig eine Verarbeitung von Gesundheitsdaten durch den Arbeitgeber erforderlich. Betroffen können unter anderem Informationen wie Diagnosen oder andere chronische Leiden sein. Da es sich bei Gesundheitsdaten um besonders sensible Daten handelt, sehen die DSGVO und das BDSG besonders strenge Regelungen für ihre Verarbeitung vor. Als Rechtsgrundlage kommen nach Auffassung der LDI NRW insbesondere § 26 Abs. 3 BDSG i.V.m. Art. 9 Abs. 2 lit. b) DSGVO und die Vorschriften aus dem Entgeltfortzahlungsgesetz (EFZG) sowie Art. 6 Abs. 1 S. 1 lit. b) i.V.m. dem Arbeitsvertrag in Betracht. Eine Einwilligung scheide angesichts der Drucksituation in der Regel aus.

Die LDI NRW führt hierzu aus, dass Arbeitgeber insoweit häufig einem Irrtum unterliegen. Die Verarbeitung sei nämlich nur zulässig, als sie tatsächlich erforderlich sei. Der bloße Verdacht, dass es sich um eine Fortsetzungserkrankung handeln könne, reiche nicht aus. Es müsse vielmehr eine konkrete Vermutung vorliegen. Es sei grundsätzlich zu überlegen, ob auf mildere Mittel, etwa Erkundigungen bei der Krankenkasse oder die Einschaltung eines Betriebsarztes, zurückgegriffen werden könne.

An den Umgang mit Gesundheitsdaten bei Entgeltfortzahlungsansprüchen seien zudem hohe Anforderungen zu stellen. Insbesondere seien die Daten getrennt von der Personalakte und den üblichen ärztlichen Arbeitsunfähigkeitsbescheinigungen aufzubewahren. Es könne insoweit eine Parallele zum betrieblichen Eingliederungsmanagement gezogen werden. Die Aufbewahrungsdauer der Daten richte sich nach den Fristen des EFZG. Daneben könne sich eine Speicherfrist aus tarifvertraglichen oder gesetzlichen Verjährungs- und Ausschlussfristen ergeben.

(Christina Prowald)

LfD Niedersachsen: Zahl der Datenschutzbeschwerden im ersten Halbjahr 2025 stark angestiegen

Der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat mitgeteilt, dass sich in der ersten Jahreshälfte 2025 deutlich mehr Personen über mögliche Datenschutzverstöße beschwerten als im gleichen Vorjahreszeitraum. Die Behörde habe von Januar bis Juni 2025 1.689 Datenschutzbeschwerden verzeichnet, während es im Vorjahr lediglich 1.186 gewesen seien. Dies entspreche einem Anstieg von rund 42 Prozent (Pressemitteilung Nr. 12/2025).

Zugenommen hätten vor allem Beschwerden über die Videoüberwachung im privaten Bereich sowie Beschwerden die Immobilienbranche, Auskunfteien, die Finanzwirtschaft und den Adresshandel betreffend. Auf konstant hohem Niveau lägen die gemeldeten Datenschutzverletzungen. Im ersten Halbjahr 2025 seien 507 Meldungen von nicht-öffentlichen Stellen wie Unternehmen oder Verbänden eingegangen, während die Zahl an Beschwerden im Vorjahr bei 421 für den Zeitraum von Januar bis Juni gelegen habe.

Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen, äußerte sich hierzu wie folgt: „Wenn mehr personenbezogene Daten fließen, steigt auch das Risiko von Datenschutzverletzungen. Zurecht nimmt auch die Sensibilität der Menschen in Niedersachsen dafür zu. Umso wichtiger ist es, bereits in der Entwicklungsphase von digitalen Systemen und Prozessen den Datenschutz mitzudenken.“

(Christina Prowald)

Spanien: Bußgeld wegen Verstoß gegen Grundsatz der Datenminimierung im Bewerbungsprozess

Die spanische Datenschutzbehörde (AEPD) verhängte ein Bußgeld in Höhe von 100.000 € gegen ein Logistikunternehmen, welches im Bewerbungsprozess den Grundsatz der Datenminimierung missachtet hatte (Bescheid v. 01.07.2025).

Der Entscheidung zugrunde liegt eine Beschwerde gegen das betroffene Unternehmen Plataforma Cabanillas SA. Der Beschwerdeführer gab an, dass er zur Teilnahme an einem Vorstellungsgespräch ein Führungszeugnis habe vorlegen müssen und außerdem Angaben zum Familienstand und zu Kindern abgefragt wurden.

Die Beklagte begründet die Abfrage des Führungszeugnisses damit, dass ein Zusammenhang der Tätigkeit zum Luftfrachtbereich bestehen könne und deswegen geprüft werden müsse, ob Bewerber die Anforderungen der Luftsicherheitsvorschriften erfüllten könnten. Dem hält die Behörde entgegen: Zwar gäbe es eine europäische Verordnung für Arbeitnehmer im Luftfahrbereich, die ein Führungszeugnis vorschreibt, allerdings nur für „ausgewählte Personen“, die Abfrage von allen Bewerbern sei nach Auffassung der AEPD daher unangemessen und beschränke sich nicht auf das erforderliche Maß insbesondere hinsichtlich der besonderen Sensibilität der Daten.

Die Abfrage von Familienstand und Anzahl der Kinder sei ebenfalls nicht für die Überprüfung der Qualifikation der Bewerber erforderlich, sondern könne nur für bereits angestellte Personen zu steuerlichen Zwecken gerechtfertigt sein. Insgesamt läge daher ein Verstoß gegen Art. 5 Abs. 1 lit. c) DSGVO vor, wonach personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke notwendige Maß beschränkt verarbeitet werden müssen.

(Gesche Kracht)

Italien: Bußgeld wegen Befragung zum Gesundheitszustand von rückkehrenden Mitarbeitern

Die italienische Datenschutzbehörde hat ein Bußgeld in Höhe von 50.000 € verhängt, da das betroffene Unternehmen für länger erkrankte Mitarbeiter nach ihrer Rückkehr verpflichtend eine Befragung über ihren Gesundheitszustand vorgesehen hat (Maßnahme vom 10.07.2025). In den Gesprächen wurde sowohl der mentale als auch der körperliche Zustand der Beschäftigten erfasst. Die aus den Befragungen resultierenden Daten wurden sodann an einen Arzt weitergeleitet, um gegebenenfalls Anpassungen am Arbeitsplatz vorzunehmen. Die Behörde stellte fest, dass die Mitarbeiter nicht hinreichend über die stattfindende Datenverarbeitung informiert wurden und das Unternehmen die Daten ohne Rechtsgrundlage verarbeitete; etwaig erteilte Einwilligungen scheiterten aufgrund des im Rahmen des Arbeitsverhältnisses bestehenden Machtgefälles regelmäßig an der Freiwilligkeit.

(Hendrik Verst)