So unter anderem das Gericht in seinem Endurteil vom 18.Dezember 2025 (Az.: 14 U 1068/25 e) in einem Rechtsstreit, in dem unter anderem auch ein Anspruch auf Schadensersatz nach Art. 82 DSGVO geltend gemacht worden war. Das Gericht begründet unter anderem wie folgt:
„…4.1.3.4.1. Die Verarbeitung der personenbezogenen Daten ist für die Erfüllung des Nutzungsvertrages nicht erforderlich i.S.v. Art. 6 Abs. 1 UABs.1 lit. b DSGVO:
4.1.3.4.1.1. Die auch insoweit darlegungs- und beweisbelastete (EuGH GRUR 2023, 1131 Rn. 98) Beklagte hat nicht hinreichend konkret dargestellt, weshalb die Verarbeitung der Daten „objektiv unerlässlich [war], um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist“ (EuGH a.a.O.).
4.1.3.4.1.2. Es erscheint bereits zweifelhaft, ob die von der Beklagten in der Berufung angesprochene Personalisierung von Funktionen, Inhalten und Vorschlägen zu Personen, Gruppen und Veranstaltungen (Berufungsbegründung, S. 25 ff., 28 = Bl. 85 ff., 88 d. BerA) notwendiger Bestandteil der Vertragsleistung seitens der Beklagten ist. Jedenfalls aber ist die streitgegenständliche Verarbeitung von Daten zur Erreichung dieses Zweckes nicht „objektiv unerlässlich“, sondern ließe sich eine hinreichende Personalisierung schon durch OnsiteDaten erreichen.
4.1.3.4.1.3. Die von der Beklagten weiter ins Feld geführten Sicherheits- und Integritätszwecke wurden bis zur mündlichen Berufungsverhandlung nur an einer Stelle näher erläutert (Abgleich von IP-Adressen, s. Berufungsbegründung, S. 35 = Bl. 95 d.A.). Auch insoweit aber fehlt es an hinreichend präzisem Vortrag zu konkreten, die Klägerin betreffenden Datenverarbeitungsvorgängen (z.B.: Wann wurde welche IP-Adresse verarbeitet und weshalb war die Verarbeitung im konkreten Fall aus Sicherheitsgründen notwendig?). Sollte der Vortrag der Beklagten zu so verstehen sein, dass IP-Adressen immer ausgewertet werden, wäre eine solche Vorgehensweise nicht unerlässlich, um den Nutzungsvertrag mit der Klägerin zu erfüllen. Die Beklagte erklärt im Übrigen weder, wie der Pool verdächtiger IP-Adressen zustande kommt, noch, welche Folgen eine Übereinstimmung nach sich zieht, weshalb der Nutzer also im Ergebnis von der angeblich erforderlichen Datenverarbeitung profitiert (durch einen Gewinn an Datensicherheit) und nicht etwa unter ihr leidet, weil er in den möglicherweise unbegründeten Verdacht krimineller Aktivität geraten kann.
4.1.3.4.2. Den ergänzenden Vortrag im Schriftsatz vom 09.12.2025 konnte der Senat nach § 296a ZPO nicht berücksichtigen. Unabhängig davon unternimmt die Beklagte aber auch in diesem Schriftsatz nicht den Versuch, konkrete Datenverarbeitungsvorgänge zu rechtfertigen. Die Verarbeitung der personenbezogenen Daten ist auch nicht zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, Art. 6 Abs. 1 UABs.1 lit. f) DSGVO.
4.1.3.4.2.1. Nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO ist eine Verarbeitung personenbezogener Daten unter den folgenden drei Voraussetzungen rechtmäßig: „Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen“ (EuGH GRUR 2023, 1131 Rn. 106).
4.1.3.4.2.2. Indem die Beklagte im vorliegenden Verfahren nicht hinreichend genau bezeichnet, welche Daten sie zu welchem Zweck erhoben und verarbeitet hat, ermöglicht sie es dem Senat nicht, eine Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO zu prüfen. Das bestätigt den Befund des Bundeskartellamtes, wonach der Vortrag der Beklagten keine hinreichend klare Artikulation der berechtigten Interessen darstellt, die der Abwägungsprüfung mit den Interessen und Rechten der betroffenen Personen zugänglich wäre (BKartA, Beschluss v. 19.02.2019 in Bezug auf … [B6-22/16], Rn. 727 ff., 736 ff., 796 ff.). Unabhängig davon ist angesichts von Art und Umfang der verarbeiteten Daten mehr als zweifelhaft, ob die von der Beklagte in allgemeiner Form dargestellten Verarbeitungszwecke gegenüber den Interessen und Grundrechten des Nutzers (Art. 7, 8 GRCharta) Vorrang beanspruchen können (vgl. EuGH GRUR 2023, 1131 Rn. 123 bezogen auf das Ziel der Produktverbesserung)…
4.1.6. Der Senat folgt der Auffassung des Bundesgerichtshofes (NJW 2025, 298 Rn. 96), wonach „eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als ‚vollständig und wirksam‘ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 I DS-GVO dagegen nicht erfüllen (vgl. EuGH […]). Folglich darf weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen (EuGH […]) und ob er vorsätzlich gehandelt hat […].“ Der Senat schätzt, dass vorliegend ein Betrag von 750,- € erforderlich, aber auch ausreichend ist, um den eingetretenen Kontrollverlust auszugleichen, § 287 ZPO:
− Die Klägerin ist aufgrund ihrer gesundheitlichen Probleme überdurchschnittlich empfindlich, und ihre Probleme wurden durch den streitgegenständlichen Vorfall „befeuert“.
− Da die Klägerin „viele Symptome“ googelt, ist nach der Lebenserfahrung davon auszugehen, dass ihr Surfverhalten sensible Daten erzeugt.
− Der Empfängerkreis der Daten ist vorliegend begrenzt: Er umfasst die Beklagte und solche Dritte, mit denen sie bestimmte Informationen teilt. Frei im Internet verfügbar sind die Daten danach nicht.
− Ausweislich der Datenschutzrichtlinie der Beklagten (Anlage K1, S. 67 ff.) behält die Beklagte Daten so lange, wie sie benötigt werden, um die Produkte der Beklagten bereitzustellen, rechtliche Verpflichtungen zu erfüllen oder bestimmte Interessen zu schützen. Dies wird am Beispiel einer Suche auf … erläutert: Der Suchverlauf wird dabei gespeichert, bis der Nutzer ihn löscht, nur die Informationen zum verwendeten Gerät oder einem Standort werden nach sechs Monaten gelöscht. Es ist damit – auch in zeitlicher Hinsicht – von einem erheblichen Kontrollverlust auszugehen.
− Der Senat hat weiter berücksichtigt, welchen Zwecken die Verarbeitung der Daten dient (vgl. oben, 4.1.3.2), wobei er sich insoweit auf die Datenschutzrichtlinie der Beklagten stützt.
− Eine Überzeugung dahingehend, dass die Klägerin die Möglichkeit hätte, die Kontrolle über ihre Daten selbständig zurückzuerlangen, hat sich der Senat schon deshalb nicht bilden können, weil die Beklagte die bei ihr vorhandenen Daten nicht benannt hat. Der pauschale Hinweis auf die Möglichkeit, bestimmte Einstellungen vorzunehmen oder Aktivitäten zu trennen (vgl. Anlage B7) führt deshalb nicht weiter.
− Bei der Schätzung des Schadens hat der Senat den Grad des Verschuldens ebenso wenig berücksichtigt wie die Tatsache, dass der Klägerin ein Unterlassungsanspruch zugesprochen wurde (BGH a.a.O.; zuletzt EuGH NJW 2025, 3137 Rn. 73 und Rn. 83)…“
Hinweis des Autors:
Zum Zeitpunkt der Erstellung des Beitrages ist dem Autor nicht bekannt, ob die zugelassene Revision gegen das Urteil eingelegt wurde. Zu dem ergingen am gleichen Tag weitere Entscheidungen in ähnlichen Sachverhalten zu folgenden Aktenzeichen:
Endurteil vom 18. Dezember 2025, Az.: 14 U 1068/25 e
Endurteil vom 18. Dezember 2025, Az.: 14 U 881/25 e
Endurteil vom 18. Dezember 2025, Az.: 14 U 2300/25 e
