Kollektive Schadensersatzansprüche unzulässig – DS News KW 19/2026

Transkript zur Folge:

Das Verwaltungsgericht Berlin hat eine datenschutzrechtlich,
finde ich, interessante Scheide. Mein Gott.
Die können jetzt auch scheiden lassen im Datenschutzrecht. Herzlich willkommen beim Gossip-Teil.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Heute ist Freitag, der 8. Mai 2026.
Unser Redaktionsschluss war um halb zehn heute Morgen.
Und ja, wir schauen heute gemeinsam mit euch auf die wichtigsten Datenschutzthemen der Woche.
Wir sind Laura Droschinski und Julia Kriwet. Hallo liebe Julia.
Hallo Laura.
Ja, welche Themen hast du denn für heute mitgebracht?
Ich habe heute dabei eine Beschwerde der Neub über LinkedIn,
die irische Datenschutzbehörde, die Xi'ins Datenübertragung nach China unter die Lupe nimmt.
Und zu guter Letzt eine Entscheidung des VG Berlin über die Videoüberwachung
und Ausweiskontrolle in Freibädern. Was hast du denn dabei, Laura?
Ich habe zuallererst mitgebracht eine Pressemitteilung aus Berlin und zwar zu
dem Vorfall bei den Verkehrsbetrieben vor Ort letztes Jahr.
Dann geht es weiter mit einem Urteil, unserem Top-Thema heute,
nämlich zum kollektiven Schadensersatzanspruch.
Und zu guter Letzt habe ich auch noch zwei Veröffentlichungen auf dem Zettel.
Ich glaube, du auch noch eine.
Genau, ich habe auch eine dabei.
Genau, dann leg doch mal los.
Gerne. LinkedIn steht erneut wegen Datenschutzrechten in der Kritik.
Diesmal geht es nicht um Werbung oder Tracking im engeren Sinne,
sondern um das Auskunftsrecht nach Artikel 15 DSGVO.
Die Datenschutzorganisation Neub hat am 5. Mai 2026 mitgeteilt,
dass sie im Namen eines LinkedIn-Nutzers Beschwerde bei der österreichischen
Datenschutzbehörde eingereicht hat.
Der Vorwurf ist, dass LinkedIn Besucher auf Profilseiten erfasst und die daraus
entstehenden Informationen unter anderem als Anreiz für die kostenpflichtige
Premium-Mitgliedschaft nutzt.
Wer also wissen möchte, wer das eigene Profil besucht hat, soll diese Informationen
über Premium-Funktionen erhalten können. Im Rahmen eines kostenlosen Auskunftsersuchens
nach der DSGVO soll LinkedIn diese Daten allerdings nicht vollständig herausgegeben haben.
Wenn ein Unternehmen personenbezogene Daten über eine Person verarbeitet und
diese Daten sogar in einem Produkt sichtbar macht, stellt sich natürlich die
Frage, ob dieselben Informationen nicht auch über das gesetzliche Auskunftsrecht
zugänglich sein sollten.
Neub argumentiert entsprechend, dass solche Daten nach Artikel 15 DSGVO grundsätzlich
kostenlos beauskunftet werden müssten.
LinkedIn beruft sich nach Darstellung von Neub auf das Datenschutzinteresse anderer Personen.
Das ist rechtlich auch nicht von vornherein abwegig. Die Rechte und Freiheiten
Dritter können natürlich eine Rolle spielen.
Der Punkt von Neub ist allerdings ein anderer, denn wenn LinkedIn vergleichbare
Informationen zahlenden Nutzern zugänglich macht, wirkt es aus Sicht der Beschwerdeführer
widersprüchlich, beim kostenlosen Auskunftsanspruch plötzlich auf den Schutz Dritter zu verweisen.
Zusätzlich stellt Neub in Frage, ob das Tracking von Profilbesuchern an sich rechtmäßig ist.
LinkedIn ermöglicht zwar ein Opt-out, sieht aber nach Darstellung der Neub kein aktives Opt-in vor.
Die Beschwerde konzentriert sich vor allem darauf, dass das Auskunftsersuchen
vollständig beantwortet werden soll.
Außerdem fordert Neub eine Geldbuße, um vergleichbare Verstöße künftig zu verhindern.
Der Fall zeigt mal wieder anschaulich,
dass Auskunftsrechte nicht nur ein administrativer Prozess sind,
sie müssen zur tatsächlichen Datenverarbeitung passen und wer Daten intern auswertet,
in Dashboards zeigt oder sogar als Bestandteil eines Produktes monetarisiert,
so wie es hier der Fall ist, sollte genau erklären können,
warum diese Daten beim Auskunftsersuchen nicht oder nur eingeschränkt herausgegeben werden.
Die Berliner Datenschutzbeauftragte verwarnt BVG nach ihrer Datenpanne.
Die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit hat
in dieser Woche eine Pressemitteilung zum Datenschutzvorfall bei den Berliner
Verkehrsbetrieben im April 2025 veröffentlicht.
Hierin macht sie öffentlich, dass sie die BVG wegen mangelhaften Umgangs mit
diesem Datenschutzvorfall verwarnt hat. Ein Dienstleister der BVG war im April
2025 von einem IT-Angriff betroffen.
Dabei gingen rund 180.000 Datensätze von BVG Kundinnen und Kunden verloren,
darunter Name, Anschriften, Vertrags- und Kundennummern sowie teilweise auch die E-Mail-Adressen.
Besonders problematisch bei der Sache war, und darüber haben wir ja auch damals
berichtet, die Daten hätten beim Dienstleister gar nicht mehr gespeichert sein
dürfen, da eben der Auftrag bereits abgeschlossen war.
Die BVG hatte die Löschung jedoch nicht kontrolliert.
Der Fall hat dabei mehrere zentrale Schwachstellen im Datenschutzmanagement
gezeigt, laut der Behörde.
Die Kontrollpflichten bei der Auftragsverarbeitung wurden nicht rechtmäßig eingehalten.
Laut der Aufsicht dürfen Verantwortliche sich eben nicht allein auf vertragliche
Löschpflichten verlassen.
Sie müssen prüfen, ob Dienstleister Daten nach Auftragsende tatsächlich auch gelöscht haben.
Außerdem erhöhen diese unnötig gespeicherten Daten eben auch infolgedessen das Risiko.
Also wären die Daten gelöscht gewesen, wären sie auch von dem Angriff gar nicht
betroffen worden und dementsprechend wäre auch kein Risiko für die betroffenen Personen entstanden.
Hinzu kam noch zu alledem, dass die Meldepflicht nach Artikel 33 DSGVO nicht
ausreichend umgesetzt wurde.
Die BVG meldete den Vorfall erst am 30. April.
Nach Auffassung der Aufsicht lagen spätestens am 25.
April aber ausreichend Anhaltspunkte für eine Meldepflicht vor und damit wurde
auch die 72-Stunden-Frist überschritten.
Und zuletzt fehlten in dem Vertrag zur Auftragsverarbeitung auch konkrete Verfahren
und Prozesse, wie denn mit Datenschutzvorfällen umgegangen wird.
Mittlerweile haben die Verkehrsbetriebe bestätigt, dass sie Maßnahmen umgesetzt
haben, um ähnliche Vorfälle zukünftig zu vermeiden.
Aber was nehmen wir daraus mit? Aus dem Fall der BVG, also Datenschutz endet
eben nicht mit der Vertragsunterzeichnung mit einem Dienstleister oder in dem
Fall Auftragsverarbeiter.
Wer also Daten an Dienstleister, Auftragsverarbeiter auslagert,
bleibt verantwortlich auch eben bei der Kontrolle und Löschung von Daten und
natürlich auch am Ende für die schnelle Reaktion im Krisenfall.
Unternehmen sollten also Dienstleister nach Abschluss eines Auftrags nicht nur
zur Löschung verpflichten, sondern eben auch diese nachweisbar kontrollieren.
Und auch die Verträge sollten klare Prozesse für Sicherheits- und Datenschutzvorfälle
enthalten, inklusive Melde wegen Fristen und Zuständigkeiten.
Ich denke mal, das können wir mitgeben, sollte darin schon mit enthalten sein.
Ja, ich glaube, ganz sinnvoll für die Praxis grundsätzlich, sich das nochmal zu betrachten.
Ich bin dann doch ein bisschen überrascht, dass am Ende des Tages es bei einer
Verwarnung geblieben ist.
Ja, das stimmt.
Aber hat sich die BVG wahrscheinlich auch gefreut.
Die irische Datenschutzaufsicht nimmt den Fast-Fashion-Riesen She-In ins Visier.
Konkret hat die Data Protection Commission, kurz DPC, ein Verfahren gegen Xi'in Irland eröffnet.
Kern geht es dabei um die Frage, ob personenbezogene Daten von Nutzern aus der
EU und dem EWR nach China übertragen wurden und ob dabei die Anforderungen der
DSGVO eingehalten wurden.
Die Behörde will nun prüfen, ob Xi'in die Grundsätze aus Artikel 5 DSGVO,
die Transparenzpflichten nach Artikel 13 DSGVO und die Vorgaben aus Kapitel
5 DSGVO für die Drittlandübermittlung eingehalten hat.
Damit steht ein klassisches, aber weiterhin hochaktuelles Thema im Mittelpunkt.
Wer personenbezogene Daten außerhalb der EU oder des EWR verarbeitet oder zugänglich
macht, muss dafür eine tragfähige rechtliche Grundlage haben.
Bei China kommt hinzu, es gibt keinen Angemessenheitsbeschluss der EU-Kommission.
Unternehmen müssen also über andere Instrumente arbeiten, wie etwa Standardvertragsklauseln
und zusätzlich prüfen, ob das Schutzniveau praktisch tatsächlich gewährleistet
werden kann. Die Behörde verweist darauf, dass Datenübermittlungen nach China
inzwischen besonders im Fokus stehen.
Das Verfahren gegen Xi'in wird als strategisch wichtig eingeordnet und die irische
Aufsicht kündigt eine enge Zusammenarbeit mit anderen europäischen Datenschutzbehörden an.
Xi'in selbst weist die Datenschutzanforderungen nach der Meldung nicht zurück.
Ein Sprecher erklärte, das Unternehmen nehme seine Verpflichtung ernst,
stehe bereits mit der DPC im Austausch und wolle im Verfahren weitere Maßnahmen
zur Datenverarbeitung vorstellen. Für die Praxis ist die Botschaft klar.
Drittlandstransfers bleiben ein Prüfstein für Transparenz, Dokumentation und Nachweisbarkeit.
Gerade wenn Dienstleister, Konzernstrukturen oder Supportzugriffe in Drittstaaten
eine Rolle spielen, reicht es eben nicht, Vertragsklauseln abzulegen.
Entscheidend ist, ob Unternehmen nachvollziehbar erklären und belegen können,
wohin die Daten gehen, wer Zugriff hat und welches Schutzniveau tatsächlich besteht.
Ja, und das alles nachvollziehbar zu dokumentieren, ist ja auch nicht mal so einfach.
Das stimmt.
Das ist richtig. Ja, aber...
Werbung in einer Sache, in einer eigenen Sache. Wenn ihr dazu Hilfe braucht,
wendet euch gerne an uns.
Wir freuen uns dann natürlich auch sehr, wenn da Kontakt entsteht und wir euch
natürlich auch seitens der Migosens sowas unterstützen können.
Ganz genau.
Kommen wir zu unserem Top-Thema von heute. Das Kammergericht Berlin weist die
Verbandsklage gegen X ab.
Das Berliner Kammergericht entschied in einem richtungsweisenden Urteil,
dass Sammelklagen auf DSGVO-Schadensersatz nach dem Verbraucherrechte-Durchsetzungsgesetz unzulässig sind.
Die niederländische Verbraucherstiftung SOMI scheiterte mit einer Abhilfeklage
gegen X vor dem Kammergericht in Berlin.
SOMI verlangte für in Deutschland registrierte X-Nutzerinnen und Nutzer mindestens
750 Euro Schadensersatz.
Betroffene eines konkreten Datenlecks sollten zusätzlich mindestens 250 Euro erhalten.
Der Vorwurf? X sammelt, verknüpft und analysiert Nutzerdaten ohne wirksame Einwilligung,
Insbesondere für personalisierte Werbung und zur Beeinflussung der Nutzerinnen und Nutzer.
Das Kammergericht bies die Klage mit Urteil vom 30.04.2026 als unzulässig ab.
Entscheidend war nicht, ob X gegen Datenschutzrecht verstoßen hat,
sondern ob die Ansprüche für eine kollektive Rechtsverfolgung geeignet sind.
Das Gericht sieht keine wesentliche Gleichartigkeit der Ansprüche.
Schadensersatz nach der DSGVO setzt voraus, dass jeder Nutzer einen Schaden erlitten hat.
Ein Kontrollverlust über personenbezogene Daten kann einen Schaden darstellen.
Ob er vorliegt, wie lange er andauert und wie schwer ist, hängt aber jedoch vom Einzelfall ab.
Ängste, negative Gefühle oder missbräuchliche Nutzung der Daten müssen individuell
geprüft werden, so das Gericht. Was heißt das jetzt für die Praxis?
Also immaterieller Schadensersatz nach DSGVO lässt sich nicht pauschal,
kollektiv durchsetzen.
Klagen müssen genau darlegen, warum Ansprüche gleichartig sind.
Diese Entscheidung erschwert jetzt also Verbänden und Prozessfinanzierern,
massenhafte Entschädigungen für Datenschutzverstöße gerichtlich einzufordern.
Aber auch für Einzelklagen steigen die Hürden, da pauschale Textbausteine zum
Beleg persönlicher Betroffenheit laut dem Gericht nicht mehr ausreichen.
Unternehmen erfahren jetzt eben durch das Urteil,
Durchaus wahrscheinlich eine Entlastung bei der Abwehr von Massenverfahren.
Also es ist nachvollziehbar, dass das jetzt wahrscheinlich eine Entlastung bringen wird.
Aber das müssen wir jetzt auch dazu sagen, kleines Sternchen am Rande,
die endgültige Klärung durch den Bundesgerichtshof, die steht noch aus.
Also aus unserer Sicht begrüßen wir das jetzt natürlich, glaube ich,
schon so ein ganz klein wenig,
dass eben einfach grundsätzlich die Entscheidung da ist, dass die Anforderungen
an kollektive DSGVO-Schadensersatzklagen erhöht wurden und eben auch pauschale
Massenverfahren rechtlich anspruchsvoll bleiben, was ja auch,
glaube ich, auch dem Sinn der Sache dient.
Auf jeden Fall. Ich finde es auch sehr interessant und vor allem sehr begrüßenswert,
aber es bleibt weiterhin spannend, wie das dann endgültig geklärt wird.
Richtig. Das Verwaltungsgericht Berlin hat eine, wie ich finde,
datenschutzrechtlich interessante Entscheidung zu den Sicherheitsmaßnahmen in
Berliner Freibädern getroffen.
Im Mittelpunkt stehen Ausweiskontrollen am Eingang und eine punktuelle Videoüberwachung auf dem Gelände.
Hintergrund ist die Sicherheitslage in den Berliner Sommerbädern im Jahr 2023,
denn es kam damals zu zahlreichen sicherheitsrelevanten Vorfällen.
Darunter Drohungen, verbale und körperliche Angriffe zwischen Badegästen sowie
Angriffe gegenüber Beschäftigten, Drei Sommerbäder mussten sogar geräumt werden.
Die Berliner Bäderbetriebe reagierten darauf mit einem Maßnahmenpaket.
Dazu gehörten Ausweiskontrollen für Badegäste ab 14 Jahren und Videoüberwachung
in bestimmten Bereichen.
Die Berliner Datenschutzbeauftragte sah darin jedoch einen Verstoß gegen die DSGVO.
Nach ihrer Prüfung waren die Maßnahmen weder geeignet noch erforderlich,
um die Sicherheit in den Freibädern zu gewährleisten.
Sie verwarnte die Bäderbetriebe deshalb.
Dagegen klagten die Betreiber und hatten vor dem Verwaltungsgericht Berlin nun
Erfolg. Das Gericht entschied am 6.
Mai 2026, dass die Sicherheitsmaßnahmen nicht gegen die DSGVO verstoßen.
Nach Auffassung des Gerichts durften die Bäderbetriebe im Jahr 2023 davon ausgehen,
dass Ausweiskontrollen und Videoüberwachung geeignet sein können,
aggressives Verhalten in den Sommerbädern deutlich zurückzudrängen.
Wichtig ist dabei, das Gericht verlangte nicht, dass die Wirksamkeit jeder einzelnen
Maßnahmen exakt beziffert wird.
Entscheidend war vielmehr, dass es dokumentierte Vorfälle gab,
dass die Maßnahmen später evaluiert wurden und dass die Sicherheitslage im Jahr
2024 deutlich entspannter war.
Datenschutzrechtlich besonders relevant ist die Abwägung. Die Eingriffe in das
Recht auf informationale Selbstbestimmung mussten die Badegäste nach Ansicht
des Gerichts hinnehmen.
Ausschlaggebend war hier der Schutz von Leben, Gesundheit und Freiheit.
Zugleich verweist das Gericht auf die begrenzte Ausgestaltung der Maßnahmen.
Die Ausweiskontrollen werden nämlich nicht dokumentiert und die Videoüberwachung
erfolgt ohne Live-Beobachtung und die Aufnahmen werden nur für 72 Stunden gespeichert.
Für die Praxis zeigt die Entscheidung, dass Sicherheitsmaßnahmen mit Personenbezug
nicht automatisch unzulässig sein müssen, aber sie brauchen einen konkreten
Anlass, eine nachvollziehbare Zweckbindung.
Und eine begrenzte Ausgestaltung sowie eine belastbare Abwägung, wie es hier der Fall war.
Gerade Videoüberwachung und Zugangskontrollen bleiben natürlich sehr sensible
Instrumente, können aber, wie man hier sieht, im Einzelfall datenschutzrechtlich
tragfähig sein, wenn Risiko, Zweck und Eingriffstiefe sauber zusammenpassen.
Ja, ich finde ein ganz schönes Beispiel, daran gemessen an der Tatsache,
dass es auch eben Einzelfallprüfungen sind.
Also klar, nicht ganz pauschal kann man das jetzt sagen, es ist überall zulässig,
Aber schön hergeleitet auch am Ende, wie wichtig es ist, es auch nochmal zu
betrachten und zu sagen, ja, im Jahr darauf war die Sicherheitslage eine andere.
Also nachweislich haben die Maßnahmen ja wohl ganz offensichtlich funktioniert.
Und ich glaube, das kann man ja auch eben mitgeben, dass es halt auch mit der
einmaligen Bewertung eines Vorhabens gar nicht immer getan ist,
sondern wie wichtig es ist, auch regelmäßig da noch drauf zu schauen, zu schauen,
hat es denn den gewünschten Erfolg gebracht und ist es denn datenschutzrechtlich
denn auch zulässig, weil hat es den Erfolg nicht gebracht?
Wäre hier, gehe ich mal ganz stark davon aus, ja auch durchaus die Entscheidung
des Verwaltungsgerichts auch anders ausgefallen.
Das stimmt. Finde ich auch ein sehr schönes Beispiel für so eine Einzelfallentscheidung
und dass halt auch gerade so sensible Instrumente wie eine Videoüberwachung
in einem Freibad, wo man jetzt erstmal denken würde, das funktioniert nicht,
dann doch auch schön umsetzbar ist, wenn man es richtig macht.
Bleiben wir in Berlin, kommen wir aber zu den Veröffentlichungen,
die wir für heute auf dem Zettel haben.
Denn die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit,
Luisa Specht-Riemenschneider,
hat ihre letzte Bundespressekonferenz im Amt gegeben und dabei den Tätigkeitsbericht
für das letzte Jahr vorgestellt und der Präsidentin des Deutschen Bundestages,
Julia Klöckner, übergeben.
Kurz zusammengefasst, also die Behörde verzeichnete, wie so viele andere Behörden
im Datenschutzbereich auch, sehr viel mehr Beschwerden im Vorher, 36 Prozent.
Aber sie hat auch nochmal betont, dass ja auch viel passiert ist in der Zeit,
denn Regulab-Sandboxes wurden eingeführt, aber auch das Datenbarometer,
genauso wie einige KI-Handreichungen oder auch in vieler Gedächtnis wahrscheinlich
auch noch das 45 Millionen Euro Bußgeld gegen Vodafone.
Genau, Punkt. Also wer in diesen Tätigkeitsbericht schauen möchte, kann das gerne tun.
Legen wir euch hier in den Shownotes natürlich ab. Luisa Specht-Riemenschneider
verabschiedet sich damit.
Ich glaube, wir wünschen ihr nochmal alles Gute für die Zukunft.
Wir sind gespannt, wer der Nachfolger wird und wir halten auch euch,
liebe Zuhörer und Zuhörer, da ganz sicher auf dem Laufenden.
Ich kann einen kurzen Blick auf die aktuellen ETSA-Gutachten zu Binding Corporate Rules empfehlen.
Der Europäische Datenschutzausschuss befasst sich darin mit verbindlichen Unternehmensrichtlinien
von Unternehmen aus den Niederlanden, Belgien und Spanien.
Inhaltlich geht es um Datenübermittlungen in Drittländern nach Artikel 47 DSGVO
und um einheitliche Datenschutzstandards innerhalb internationaler Unternehmensgruppen.
Alles klar. Und zu guter Letzt fühlt sich noch unser Veröffentlichungs-
Säckchen, wollte ich sagen. Also die letzte Veröffentlichung von heute,
der kommt von der Datenschutzkonferenz.
Diese hat nämlich eine Entschließung zum Thema Chatkontrolle veröffentlicht.
Die DSK warnte in der dazugehörigen Pressemitteilung, dass eben eine geplante
Chatkontrolle mit anlasslosem Scannen privater Nachrichten die Grundrechte verletzt.
Und sie appelliert an die Gesetzgebungsorgane der Europäischen Union,
den Vorschlag abzulehnen und stattdessen Kinderrechtsschutzmaßnahmen zu wählen,
die der EU-Grundrechtecharta entsprechen.
Wer also da auch einen Blick reinschauen möchte, das findet ihr auch.
Dann sind wir am Ende angelangt, oder?
Ja, vielen lieben Dank, Julia.
Danke dir, Laura.
Ja, liebe Zuhörer und Zuhörer, schön, dass ihr auch heute dabei wart.
Wir freuen uns schon auf die nächste Woche, wünschen euch bis dahin eine gute
Zeit, ein schönes Wochenende und bis bald.
Ein schönes, sonniges Wochenende. Bis bald.