Newsletter Datenschutz 12/2025

im vergangenen Monat gab es wichtige Neuigkeiten auf politischer Ebene. Der Rat der Europäischen Union verabschiedete am 17. November 2025 eine Änderung der DSGVO zur verbesserten Zusammenarbeit von Aufsichtsbehörden, was unter anderem eine Verstärkung von Betroffenenrechten zur Folge hat. Im letzten Monat legte die Europäische Kommission außerdem ein Digitalpaket vor, mit dem Ziel, Innovation in den Bereichen Künstliche Intelligenz (KI) und Datenschutz zu fördern sowie den unternehmerischen Verwaltungsaufwand zu senken. Durch die Einführung sogenannter European Business Wallets sollen künftig datenschutzrechtliche Vorgänge und Interaktionen innerhalb der EU digitalisiert werden, auch soll ein digitaler Omnibus die Vorschriften zu KI, Cybersicherheit und Daten vereinfachen.

In unserem Schwerpunktthema untersuchen wir die Datenschutzanforderungen, die sich für Unternehmen bei dem GPS-Tracking von Dienstfahrzeugen stellen, und erläutern, wie eine datenschutzkonforme Ausgestaltung aussehen könnte. Ferner berichten wir von Urteilen des Bundesgerichtshofs (BGH) und des Verwaltungsgerichts Berlin (VG Berlin) zum Begriff und den Voraussetzungen der datenschutzrechtlichen Verantwortlichkeit. Beide Gerichte nahmen Bezug auf die Rechtsprechung des EuGH, der bereits mehrfach zu dem in Art. 4 Nr. 7 DSGVO definierten Begriff Stellung genommen hat. Der BGH hatte sich nunmehr damit zu beschäftigen, ob auch Arbeitnehmer Verantwortliche sein können. In seiner Entscheidung verneinte der BGH diese Frage, sodass grundsätzlich davon auszugehen ist, dass Unternehmen für Datenschutzverstöße ihrer Beschäftigten haften. Eine Ausnahme besteht bei dem Mitarbeiterexzess. Was unter einem Mitarbeiterexzess zu verstehen ist und welche Folgen sich bei einem solchen ergeben, beleuchteten wir bereits in unserer Oktober-Ausgabe. Demgegenüber beschäftigte sich das VG Berlin mit der gemeinsamen Verantwortlichkeit im Rahmen von Werbekampagnen. Auch wenn der Werbetreibende den Zweck der Datenverarbeitung festlege, sei – so das VG Berlin – das Unternehmen, welches die Werbekampagne mit eigenen personenbezogenen Adressdaten und in einem eigenen Verfahren durchführe, durch die Bestimmung der Mittel der Verarbeitung ausschließlich verantwortlich.

GPS-Tracking von Dienstfahrzeugen

Unternehmen stellen regelmäßig einem Teil ihrer Belegschaft, beispielsweise Führungskräften oder Beschäftigten im Außendienst, Dienstfahrzeuge zur Verfügung. Dies kann als besondere Wertschätzung, als geldwerter Vorteil oder für bestimmte Zwecke wie Geschäftsreisen oder den Transport von Arbeitsgeräten geschehen.

Daraus können sich datenschutzrechtliche Fallstricke ergeben, wenn diese Fahrzeuge mit Global-Positioning-System-Sendern (im Folgenden „GPS-Sendern“) ausgestattet sind, wie es bei neueren Fahrzeugmodellen ab Werk üblich ist, sodass ihr Standort per App oder auf andere Weise verfolgt werden kann.

Nicht selten wird hierbei übersehen, dass der sachliche Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) greift, wenn personenbezogene Daten in einem Dateisystem gespeichert sind oder ganz oder teilweise automatisiert verarbeitet werden sollen (Art. 2 Abs. 1 DSGVO). Nach Art. 4 Nr. 1 DSGVO sind Daten personenbezogen, wenn sie sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; es reicht aus, wenn die betroffene Person direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einem Identifikator wie Standortdaten. GPS-Tracking erfasst zunächst nur Daten zum Standort des GPS-Senders. Sobald jedoch ein Dienstfahrzeug bestimmten Beschäftigten oder einer begrenzten Gruppe von Personen zugewiesen wird, werden die Standortdaten personenbezogen. Diese Standortdaten lassen sich somit nutzen, um Rückschlüsse auf den Aufenthaltsort und das Fahrverhalten des jeweiligen Beschäftigten zu ziehen. So kann ein umfassendes Bewegungsprofil des Beschäftigten entstehen.

Sind Dienstfahrzeuge mit GPS-Sendern ausgestattet und haben Unternehmen Zugriff auf diese (personenbezogenen) Daten, sind sie daher verpflichtet, eine tragfähige Rechtsgrundlage für die Verarbeitung dieser Daten zu finden und die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 DSGVO einzuhalten.   

Weitere Themen in diesem Newsletter

Newsletter als Direktwerbung

In seinem Urteil vom 13.11.2025 hat der EuGH sich mit dem Verhältnis der ePrivacy-Richtlinie zur DSGVO beschäftigt. Konkret ging es darum, unter welchen Voraussetzungen ein Newsletter Direktwerbung darstellt und ob dessen Versand auf eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO gestützt werden muss. Letztere Frage verneinte der EuGH (EuGH, Urt. v. 13.11.2025 – Az.: C-654/23).

Dem Urteil gingen Verfahren zwischen der Inteligo Media SA und der rumänischen Aufsichtsbehörde voraus. Die Inteligo Media SA ist Herausgeberin eines Online-Pressemediums, das über Gesetzesänderungen informiert. Um auf zusätzliche Inhalte zugreifen zu können, können die Nutzer ein kostenloses Benutzerkonto eröffnen, bei dessen Erstellung auch die E-Mail-Adresse abgefragt wird. Neben dem Zugriff auf zusätzliche Artikel erhalten die Nutzer automatisch einen Newsletter, der über neue Artikel auf der Internetseite informiert, sofern sie bei der Accounterstellung nicht widersprechen (sog. „Opt-out“). Einen Zugriff auf sämtliche Artikel erhalten die Nutzer erst gegen Bezahlung. Da für den Versand des Newsletters keine ausdrückliche Einwilligung der Nutzer vorläge, verhängte die Aufsichtsbehörde ein Bußgeld gegen das Unternehmen.

Grundsätzlich bedarf es nach Art. 13 Abs. 1 ePrivacy-Richtlinie für den Versand von E-Mails für die Zwecke der Direktwerbung der vorherigen Einwilligung des Empfängers. Eine Ausnahme besteht allerdings dann, wenn der Versender die E-Mail-Adresse des Empfängers „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“ erhalten habe, die Werbung ähnliche Produkte oder Dienstleistungen betreffe und der Empfänger die Möglichkeit habe, dem Versand zu widersprechen. Da der Versand des Newsletters der Förderung der ggf. kostenpflichtigen Artikel (nämlich dann, wenn der Nutzer sein Kontigent an kostenlosen Artikeln verbraucht habe) und damit einem kommerziellen Ziel diene, liegt nach Auffassung des Gerichtshofs ein Fall der Direktwerbung vor. Auch die übrigen Voraussetzungen sah der EuGH als gegeben an. Das Vorliegen einer Rechtsgrundlage aus der DSGVO sei nicht erforderlich, da die ePrivacy-Richtlinie insoweit besondere Pflichten im Sinne von Art. 95 DSGVO begründet.

Diese Sichtweise des EuGH kann durchaus als gewisse Aufweichung der bisher sehr strengen Interpretation angesehen werden, wonach wegen des Verweises auf einen „Verkauf“ immer ein entgeltlicher Vertrag für die werbliche Ansprache von Kunden per E-Mail vorliegen musste.

Übermittlung von Positivdaten an Auskunftei rechtmäßig

Mit Urteil vom 14. Oktober 2025 entschied der BGH, dass die Übermittlung von personenbezogenen Positivdaten an eine Wirtschaftsauskunftei durch das Interesse an einer Betrugsprävention gerechtfertigt sein kann (BGH, Urt. v. 14.10.2025 – Az.: VI ZR 431/24).

Die Beklagte, ein Telekommunikationsunternehmen, übermittelte bei sog. Postpaid-Mobilfunkverträgen nach Abschluss des Vertrags Positivdaten von Kunden an die SCHUFA Holding AG. Bei den übermittelten Daten handelte es sich für die zum Identitätsabgleich erforderlichen Stammdaten sowie die Information darüber, ob ein Vertragsverhältnis begründet oder beendet wurde. Aufgrund dieses Vorgehens der Beklagten machte der Kläger einen Anspruch auf Unterlassung sowie Auslageerstattung für ein Abmahnschreiben geltend.

Nachdem das Landgericht Düsseldorf die Klage abgewiesen und das Oberlandesgericht Düsseldorf die dagegen gerichtete Berufung zurückgewiesen hatte, hat nun auch der BGH die Revision als unbegründet verworfen. Die Übermittlung der Daten lasse sich nach Ansicht des BGH auf Art. 6 Abs. 1 lit. f) DSGVO stützen. Danach ist die Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte des Betroffenen überwiegen. Die Übermittlung der Daten habe der Betrugsprävention gedient; dies sei ein berechtigtes Interesse, wie Erwägungsgrund 47 der DSGVO zeige. Weder mildere, gleich wirksame Mittel zur Erreichung des Zwecks noch ein unzumutbarer Eingriff in die Grundrechte des Betroffenen seien ersichtlich. Bei den in Rede stehenden Positivdaten handele es sich auch – im Gegensatz zu Negativdaten – nicht um sensible Daten.

Arbeitnehmer sind regelmäßig keine Verantwortlichen 

Im Beschluss vom 7. Oktober 2025 hat der BGH betont, dass Arbeitnehmer in der Regel keine Verantwortlichen im Sinne der DSGVO sind (BGH, Beschl. v. 07.10.2025 – Az.: VI ZR 294/24). Der BGH beruft sich dabei auf mehrere Entscheidungen des EuGH, in denen dieser urteilte, dass die Mitarbeitenden des Verantwortlichen regelmäßig auf Grundlage von Weisungen des Verantwortlichen handeln und daher diesem unterstellt sind (etwa EuGH, Urt. v. 11.4.2024 – Az.: C-741/21).

Die Entscheidung reiht sich in die bisherige Linie der nationalen und europäischen Rechtsprechung zur datenschutzrechtlichen Verantwortlichkeit ein. Für Unternehmen bedeutet dies unter anderem, dass sie als datenschutzrechtlich Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO grundsätzlich für die Datenschutzverstöße ihrer Mitarbeitenden haften. Eine Ausnahme bilden die Fälle des Mitarbeiterexzesses. Unter welchen Voraussetzungen ein solcher Mitarbeiterexzess vorliegt und welche Konsequenzen hieraus folgen, haben wir in der Oktober-Ausgabe unseres Newsletters besprochen.

Nutzer einer Falschparker-App müssen erkennbare Personen verpixeln

Das OLG Dresden entschied mit seinem Urteil vom 9. September 2025, dass Nutzer, die Bildaufnahmen über eine Falschparker-App hochladen, erkennbare Personen verpixeln müssen. (OLG Dresden, Urt. v. 09.09.2025 – Az.: 4 U 464/25).

Der Beklagte fotografierte ein Fahrzeug, das in einem Parkverbot geparkt war und stellte das Foto in der Falschparker-App „weg.li“ ein. Auf dem Foto waren nicht nur Uhrzeit, Standort und Fahrzeugdetails zu sehen, sondern auch der deutlich erkennbare in dem Fahrzeug sitzende Beifahrer (der Kläger).

Indem der Beklagte durch die Aufnahme und das Hochladen des Fotos über die Zwecke und Mittel der Datenverarbeitung entschied, sei dieser auch datenschutzrechtlich Verantwortlicher. Die App-Betreiber hingegen würden das Foto ausschließlich in dem Auftrag des Beklagten verarbeiten. Die Datenverarbeitung könne nach Ansicht des OLG nicht auf die Wahrnehmung öffentlicher Aufgaben nach Art. 6 Abs. 1 lit. e) DSGVO gestützt werden, welche dem Verantwortlichen durch einen Rechtsakt hätten übertragen sein müssen. Dem berechtigten Interesse des Beklagten an dem Erhalt des Rechtsfriedens und an der Aufklärung von Straftaten stehe das Recht des Beifahrers am eigenen Bild entgegen. Immerhin sei dieser ohne sein Wissen in einem geparkten Fahrzeug und damit nicht im öffentlichen Raum fotografiert worden. Zudem ist das Fotografieren von Fahrzeuginsassen, die nicht Fahrer sind, weder zur Anzeige von Parkverstößen noch für Beweiszwecke erforderlich. Hingegen sei es dem Beklagten möglich gewesen, den Parkverstoß ohne eine Personenbezug anzuzeigen, beispielsweise durch die Wahl einer anderen Perspektive, einer erheblichen Entfernung oder durch nachträgliches Verpixeln des Beifahrers.

Der Beklagte muss nun das Foto löschen, einen Schadensersatz i. H. v. 100 € an den Kläger zahlen, sowie dessen vorgerichtliche Anwaltskosten erstatten.

Keine gemeinsame Verantwortlichkeit zwischen Werbetreibenden und Adresshändlerin

Das VG Berlin hat am 14. Oktober 2025 entschieden, dass zwischen einer Adresshändlerin und einem Werbetreibenden, der keinen Zugriff auf die genutzten Adressen erhält, keine gemeinsame Verantwortlichkeit nach Art. 4 Nr. 7, Art. 26 Abs. 1 S. 1 DSGVO besteht (VG Berlin, Urt. v. 14.10.2025 – Az.: 1 K 74/24).

Die Klägerin – ein Revuetheater in Berlin – wollte mit einer Weihnachtswerbekampagne Personen erreichen, die bisher noch keine Kunden waren. Für den Versand der Werbung beauftragte sie eine Adresshändlerin und gab dieser die Gestaltung des Werbeschreibens und Zielgruppenmerkmale vor. Die Adresshändlerin wählte sodann Empfänger aus ihrem eigenen Adressdatenbestand und nach ihrem eigenen sogenannten Lettershop-Verfahren aus. Eine Empfängerin reichte daraufhin Beschwerde bei der zuständigen Aufsichtsbehörde ein, welche unter Annahme einer gemeinsamen Verantwortlichkeit eine Verwarnung gegen das Revuetheater aussprach.

Das VG lehnte eine gemeinsame Verantwortlichkeit unter Rückgriff auf die Rechtsprechung des EuGH, wonach ein Unternehmen für die gemeinsame Verantwortlichkeit tatsächlich im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung Einfluss nehmen muss, ab. Das Revuetheater habe zwar mit ihren Vorgaben den Zweck der Datenverarbeitung festgesetzt und durch das wirtschaftliche Gewinnstreben sei auch ein Eigeninteresse zu bejahen. Allerdings hatte das Revuetheater keine Möglichkeit, Einfluss auf die Mittel der Datenverarbeitung auszuüben. Die gesamte Datenverarbeitung wurde von der Adresshändlerin nach dem von ihr entwickelten Lettershop-Verfahren und mit ihrem eigenen Datenbestand durchgeführt. Eine organisatorische Mitwirkung seitens des Revuetheaters habe nicht stattgefunden. Im Ergebnis sei nach Ansicht des VG allein die Adresshändlerin datenschutzrechtlich verantwortlich und die Verwarnung der Aufsichtsbehörde damit rechtswidrig.

Digitaler Omnibus soll Digitalregulierung abbauen

Die EU-Kommission hat am 19. November 2025 ein Digitalpaket veröffentlicht, das einen sogenannten Digitalen Omnibus, eine Strategie für die Datenunion und die Einführung von European Business Wallets umfasst (Pressemitteilung v. 19.11.2025). Ziel sei die Förderung von Innovation und die Senkung von unternehmerischen Verwaltungskosten.

Mithilfe eines digitalen Omnibusses sollen die bestehenden Vorschriften für Künstliche Intelligenz, Cybersicherheit und Daten vereinfacht werden. Die Anwendung der Vorschriften für Hochrisiko-KI-Systeme sollen mit der Verfügbarkeit von Unterstützungsinstrumenten verknüpft werden. Ferner soll durch einen Single-Entry-Point die Meldung von Cybersicherheitsvorfällen einheitlich möglich sein; bisher mussten Unternehmen Vorfälle nach verschiedenen Gesetzen melden. Zur Förderung von Innovation sollen gezielt Vorschriften der Datenschutz- und der KI-Verordnung geändert werden sowie der Zugang zu Daten verbessert werden. Auch sollen die Regelungen zum Cookie-Banner modernisiert und Nutzern ermöglicht werden, mit einem Klick zuzustimmen und Cookie-Präferenzen in Betriebssystemen zu speichern.

Die Strategie für die Datenunion umfasst Maßnahmen zur Erschließung hochwertiger Daten für KI durch Ausweitung des Zugangs zu diesen Daten. Durch die Einführung von Maßnahmen, wie etwa einer Anti-Leakage-Toolbox, von Schutzmaßnahmen für sensible nicht-personenbezogene Daten und von Leitlinien zur Bewertung der fairen Behandlung von EU-Daten im Ausland soll auch die Datensouveränität Europas gestärkt werden.

Schließlich unterbreitete die Kommission den Vorschlag, ein European Business Wallet einzuführen. Dadurch sollen Vorgänge und Interaktionen innerhalb Europas digitalisiert werden, was zu einer Senkung von Verwaltungsaufwand und -kosten führe. Dabei werden jährliche Einsparungen i. H. v. 150 Milliarden € erwartet.

Verbesserung der Zusammenarbeit zwischen Datenschutzbehörden

Der Rat der EU hat eine Änderung der DSGVO verabschiedet, auf die er sich bereits im Juni mit Vertretern der Kommission und des Parlaments geeinigt hatte. Durch diese Überarbeitung soll insbesondere die Zusammenarbeit der nationalen Datenschutzbehörden verbessert werden (Pressemitteilung v. 17.11.2025).

Hintergrund ist das bisherige System der Zusammenarbeit der nationalen Datenschutzbehörden. Diese sind verpflichtet bei der Durchsetzung der DSGVO zusammenzuarbeiten, wenn eine grenzüberschreitende Datenschutzbeschwerde vorliegt. Federführend bei der Untersuchung ist jedoch die zuständige nationale Behörde. Vielen Verfahren sammeln sich daher insbesondere bei der irischen Datenschutzbehörde (DPC), da viele Digitalkonzerne wie Google oder Meta in Irland ihren europäischen Hauptsitz haben.

Wesentlicher Bestandteil der Änderungen ist die Harmonisierung der Anforderungen an die Zulässigkeit grenzüberschreitender Beschwerden. Zudem sollen die Rechte von Beschwerdeführern gestärkt, das Kooperationsverfahren zwischen den Datenschutzbehörden vereinfacht sowie verbindliche Fristen für die Untersuchungen eingeführt werden.

Bußgeld wegen Übermittlung von Daten an ein Drittland 

Die kroatische Datenschutzbehörde hat ein Bußgeld i. H. v. 4,5 Millionen € gegen ein Telekommunikations­unternehmen wegen der Übermittlung personenbezogener Daten an ein Drittland verhängt (Pressemitteilung v. 14.11.2025).

Das Telekommunikations­unternehmen übermittelte personenbezogene Daten seiner Kunden und Mitarbeiter – darunter Personalausweiskopien und Führungszeugnisse – an einen Auftrags­verarbeiter in dem Drittstaat Serbien, ohne Rechtgrundlage und Schutzmaßnahmen. Der Auftragsverarbeiter ist Teil der Unternehmensgruppe des Telekommunikations­unternehmens und für die Verwaltung der Software zuständig. Damit hatte dieser einen uneingeschränkten Zugriff auf die gesamte Datenbank, in der Informationen über 847.862 Kunden gespeichert waren. Im Zeitraum von April 2020 bis Dezember 2022 wurde die Datenübermittlung noch auf Standard­vertrags­klauseln gestützt. Nach diesem Datum bestanden keine Standard­vertrags­klauseln zwischen den Akteuren mehr, auch ein Angemessen­heitsbeschluss seitens der EU-Kommission besteht für Serbien nicht. Eine Risikobewertung wurde von dem Unternehmen nicht vorgenommen und die Anmerkung des Datenschutz­beauftragten ignoriert. Infolgedessen hat die Datenübermittlung gegen die Regelung des Art. 44 i. V. m. Art. 46 Abs. 1 DSGVO verstoßen, welche die Implementierung geeigneter Garantien für die Drittstaaten­übermittlung vorschreibt. Zudem wurden die betroffenen Kunden nicht über die Datenübermittlung in einen Drittstaaten gem. Art. 13 Abs. 1 lit. f) DSGVO informiert. Außerdem hatte der Auftrags­verarbeiter keine ausreichenden Schutzmaßnahmen getroffen, was das Telekommunikations­unternehmen gemäß Art. 28 Abs. 1 DSGVO zu überprüfen gehabt hätte.  

Bußgeld wegen dem Hinzufügen von Kunden in eine WhatsApp-Gruppe

Die spanische Datenschutzbehörde (AEPD) hat ein Bußgeld i. H. v. 30.000 € gegen THE RED KIWI wegen einer Datenoffenlegung durch das Hinzufügen von Kunden in eine WhatsApp-Gruppe verhängt (Pressemitteilung v. 14.11.2025).

Das dem Gesundheitssektor angehörige Unternehmen hatte alle 90 Kunden zu einer WhatsApp-Gruppe hinzugefügt, um für ästhetische Dienstleistungen zu werben. Dadurch waren die Namen und Nummern sowie die Gesundheitsdaten der Kunden gegenseitig einsehbar. Die Datenschutzbehörde wurde infolge der Beschwerde eines Kunden auf den Datenschutzverstoß aufmerksam und bewertete das Vorgehen als einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DSGVO, wonach personenbezogene Daten mit einem angemessenen Sicherheitsniveau verarbeitet werden müssen und insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung geschützt werden müssen.

Bußgeld wegen unterlassener Meldung nach fehlerhaftem Versand von Gesundheitsdaten

Die polnische Datenschutzbehörde verhängte ein Bußgeld i. H. v. 40.000 PLN gegen ein medizinisches Zentrum, welches die Meldung eines Datenschutzverstoßes an die zuständige Aufsichtsbehörde unterlassen hatte (Pressemitteilung v. 27.10.2025).

Der Mitarbeiter des medizinischen Zentrums versendete versehentlich eine Rücküberweisungsbestätigung an eine falsche Patientin. Das Dokument enthielt den Namen, die Kontonummer, die Adresse und mit Informationen über die Durchführung einer pränatalen Diagnostik auch Gesundheitsdaten. Das Zentrum war der Ansicht, dass der Vorfall keine Rechte oder Freiheiten einer natürlichen Person verletzen könnte und unterließ sowohl eine Meldung an die Aufsichtsbehörde wie auch an den betroffenen Patienten. Nach Auffassung der Datenschutzbehörde beinhaltete der Vorfall aufgrund des möglichen Rückschlusses auf den Gesundheitszustand des Patienten eine Verletzung der Integrität und Vertraulichkeit personenbezogener Daten und begründe ein hohes Risiko für persönliche und diskriminierende Folgen. Infolgedessen sei eine Meldung an die Aufsichtsbehörde und den betroffenen Patienten notwendig gewesen. Dabei betonte der Präsident der Aufsichtsbehörde, Mirosław Wróblewski, dass die Meldung datenschutzrechtlicher Verstöße eine wirksame Maßnahme zur Verbesserung der Sicherheit von der Verarbeitung personenbezogener Daten sei.