Datenschutzrecht für Digitale Technologien in Frankfurt am Main

DSGVO-Compliance, Cloud-Transfers und DSFA für datenintensive Branchen

Rechtsanwalt für Datenschutzrecht und digitale Technologien in Frankfurt am Main

Aktuelle Urteile aus Frankfurt am Main und Umgebung (Stand 2026)

DSGVO

Schadensersatz

Kein automatischer Schadensersatz bei verspäteter DSGVO-Auskunft im HR-Prozess (Hess. LAG)

Sachverhalt: Ein Kandidat bewarb sich per E-Mail aus C kommend auf eine Stelle im Forderungsmanagement bei der Zentrale der Beklagten in A (Gerichtsstand Frankfurt am Main). Nachdem er wochenlang keine Rückmeldung erhielt, zog er die Bewerbung zurück und forderte unter Fristsetzung eine umfassende Datenauskunft nach Art. 15 DSGVO. Ein Personaler las die E-Mail zwar, ignorierte sie jedoch aufgrund von Arbeitsüberlastung. Erst Monate später, im laufenden Verfahren vor dem Arbeitsgericht Frankfurt am Main, erteilte die Beklagte die geforderte Auskunft. Der Kläger verlangte daraufhin einen immateriellen Schadensersatz wegen des erlittenen Kontrollverlusts und eines temporären Transparenzdefizits.

Wesentliche Normen:

Art. 12 Abs. 3 DSGVO
Art. 15 DSGVO
Art. 82 Abs. 1 DSGVO

Entscheidung: Das Hessische Landesarbeitsgericht wies den Schadensersatzanspruch ab und hob das anderslautende erstinstanzliche Urteil auf. Das Gericht urteilte, dass eine bloße Verspätung bei der Auskunftserteilung keinen automatischen immateriellen Schaden auslöste. Der Kläger musste einen konkret erlittenen, tatsächlichen Schaden nachweisen. Da die Bewerbungsunterlagen unstreitig lediglich im E-Mail-Postfach eines einzigen Mitarbeiters verblieben und nicht unbefugt weiterverarbeitet wurden, bestand zu keinem Zeitpunkt eine objektiv begründete Gefahr eines Datenmissbrauchs. Ein rein subjektives Ungewissheitsgefühl begründete keine Zahlungspflicht.

Fazit & Praxis-Empfehlung: Dieses Urteil wirkte wie ein rettender Anker für die Personalabteilungen. Eine bloße Fristüberschreitung bei DSGVO-Auskünften führt nicht mehr zwingend zu Schmerzensgeldzahlungen, solange kein echter Datenverlust droht. Dennoch sollten Unternehmen der Digitalwirtschaft ihre Betroffenenanfragen ernst nehmen und professionell strukturieren. Es empfiehlt sich dringend, den Posteingang für Bewerberdaten und Auskunftsersuchen durch den Einsatz von Künstlicher Intelligenz oder spezialisierten Legal-Tech-Tools automatisiert zu überwachen und zu triagieren, um Fristverletzungen und die damit einhergehenden, vermeidbaren Prozesskosten von vornherein auszuschließen.

Hess. LAG · Urteil · 10.4.2025 · 3 SLa 623/24

DSGVO

Unterlassungsanspruch

Kein genereller Unterlassungsanspruch bei DSGVO-Verstößen durch Einbindung von Drittdiensten (OLG Frankfurt)

Sachverhalt: Ein Nutzer bestellte in einem Online-Shop Waren und rügte anschließend, dass die Website der Beklagten beim Aufruf seine IP-Adresse sowie weitere Daten ohne seine Einwilligung an verschiedene Drittdienste (wie Google Fonts, Google Analytics, YouTube und Facebook) übermittelte. Die Daten landeten unter anderem auf Servern in den USA. Der Kläger verlangte zunächst vor dem Landgericht Wiesbaden und später in der Berufung vor dem Oberlandesgericht Frankfurt am Main, der Beklagten diese Datenübermittlungen gerichtlich zu untersagen.

Wesentliche Normen:

Art. 17 DSGVO
Art. 79 DSGVO
Art. 82 DSGVO
§ 823 Abs. 2 BGB
§ 1004 Abs. 1 S. 2 BGB

Entscheidung: Das OLG Frankfurt am Main wies die Klage ab. Das Gericht stellte klar, dass die DSGVO keinen generellen Individualanspruch auf Unterlassung einer Datenübermittlung an Dritte vorsah. Aus Art. 17 DSGVO ließe sich zwar ein Löschungsanspruch und damit ein Verbot der weiteren Speicherung ableiten, jedoch kein Verbot der reinen Datenweitergabe. Ein Unterlassungsanspruch aus Art. 82 DSGVO scheiterte daran, dass der Kläger keinen konkreten, andauernden Schaden nachgewiesen hatte. Zudem entfaltete die europäische DSGVO eine Sperrwirkung für das nationale Recht: Unterlassungsansprüche auf Basis des Bürgerlichen Gesetzbuches (§§ 1004, 823 BGB) waren ausgeschlossen, da die Verordnung den Datenschutz unionsweit abschließend harmonisierte. Die Sanktionierung derartiger Verstöße oblag vielmehr primär den Datenschutzbehörden.

Fazit & Praxis-Empfehlung: Die DSGVO erweist sich für isolierte, private Unterlassungsklagen gegen übliche Website-Einbindungen als zahnloser Tiger, solange Betroffene keinen handfesten materiellen oder immateriellen Schaden belegen können. Für Shop-Betreiber und die digitale Wirtschaft bedeutet das Urteil eine erhebliche rechtliche Erleichterung bei der Abwehr von Nutzerklagen beim Einsatz von Tracking- und Analyse-Tools. Dennoch sollten Unternehmen das Thema US-Datentransfers und Consent-Management nicht vernachlässigen: Die Aufsichtsbehörden haben weiterhin die Befugnis, fehlerhafte Einbindungen auf behördlichem Wege abzumahnen und mit hohen Bußgeldern zu sanktionieren.

OLG Frankfurt · Urteil · 30.3.2023 · 16 U 22/22

DSGVO

Schadensersatz

DSGVO-Schmerzensgeld wegen fehlerhafter Algorithmen: Kontrollverlust bei automatisierter Datenmigration (OLG Frankfurt)

Sachverhalt: Im Zuge einer automatisierten Datenmigration zweier verschmolzener Banken in Frankfurt am Main (mit Registergericht in Stadt3) kam es zu einem schwerwiegenden Zuordnungsfehler. Die Bank versendete den Kontoabschluss des in Stadt2 wohnhaften Klägers an einen namensgleichen, unbeteiligten Dritten in Stadt1. Zudem meldete die Bank die falsche Adresse in Stadt1 an die SCHUFA. Der Fehler basierte auf einer unzureichenden automatisierten Verknüpfung der Kundenprofile. Der Kläger forderte Unterlassung und immateriellen Schadensersatz wegen des eingetretenen Kontrollverlusts über seine Finanzdaten.

Wesentliche Normen:

Art. 6 DSGVO
Art. 79 DSGVO
Art. 82 DSGVO

Entscheidung: Das OLG Frankfurt am Main verurteilte die Bank zur Unterlassung und zur Zahlung eines Schmerzensgeldes in Höhe von 500 Euro. Das Gericht betonte, dass fehlerhafte automatisierte Datenverarbeitungen (ebenso wie künftige KI-gestützte Systeme), die zu einem Kontrollverlust über personenbezogene Daten führen, einen ersatzfähigen immateriellen Schaden nach Art. 82 DSGVO begründen. Eine strenge Bagatellgrenze existierte hier nicht; bereits das ungute Gefühl der unrechtmäßigen Offenlegung und der Aufwand für die SCHUFA-Korrektur reichten für einen Schadensersatz aus. Die Bank konnte sich nicht entlasten, da ihre Algorithmen zur Datenmigration unzureichende Legitimationsdaten abglichen.

Fazit & Praxis-Empfehlung: Die fehlerhafte Datenzusammenführung wirkte hier wie ein unkontrollierbares Lauffeuer im System. Für die digitale Wirtschaft belegt dieses Urteil: Wenn Unternehmen Massendaten automatisiert migrieren oder Künstliche Intelligenz zum Matching von Nutzerprofilen einsetzen, müssen die Identifikationsparameter zwingend trennscharf konfiguriert sein (z. B. Abgleich zusätzlicher Datenpunkte wie Geburtsort). Wer sich auf fehleranfällige Automatismen verlässt, haftet bei Verwechslungen schnell auf DSGVO-Schadensersatz, da bereits der bloße Datenkontrollverlust der Betroffenen hierfür ausreicht.

OLG Frankfurt · Urteil · 14.4.2022 · 3 U 21/20

DSGVO

Schadensersatz

Kein DSGVO-Schadensersatz bei versehentlicher XING-Nachricht ohne konkreten Schaden (OLG Frankfurt)

Sachverhalt: Ein Bewerber rügte eine Datenschutzverletzung durch eine Privatbank. Der Bewerbungsprozess lief über die Plattform XING. Eine Mitarbeiterin der Beklagten versendete versehentlich eine für den Bewerber bestimmte Nachricht mit konkreten Gehaltsinformationen („80k + variable Vergütung“) über den XING-Messenger an einen unbeteiligten Dritten. Dieser kannte den Kläger und leitete ihm den Chatverlauf weiter. Vor dem Landgericht Darmstadt forderte der Kläger daraufhin Unterlassung und immateriellen Schadensersatz, woraufhin der Fall in die Berufung vor das Oberlandesgericht Frankfurt am Main ging.

Wesentliche Normen:

Art. 4 DSGVO
Art. 17 Abs. 1 DSGVO
Art. 82 Abs. 1 DSGVO

Entscheidung: Das Gericht sprach dem Kläger den Unterlassungsanspruch zu, wies die Forderung nach immateriellem Schadensersatz jedoch ab. Die Richter stellten klar, dass der Verarbeitungsbegriff der DSGVO extrem weit zu fassen ist: Er erfasst sowohl durch Künstliche Intelligenz oder Algorithmen gesteuerte, automatisierte Verfahren als auch rein manuelle Vorgänge. Dementsprechend stellte bereits das versehentliche „Verklicken“ durch einen Menschen eine unrechtmäßige Datenverarbeitung dar. Ein Schadensersatzanspruch scheiterte indes an einem fehlenden Nachweis. Ein bloßer DSGVO-Verstoß ohne einen konkret erlittenen, tatsächlichen Schaden begründete keine Zahlungspflicht. Das bloße subjektive Empfinden einer „Schmach“ reichte hierfür nicht aus.

Fazit & Praxis-Empfehlung: Messenger-Dienste in Karriere-Netzwerken erweisen sich im HR-Alltag als digitaler Stolperdraht. Unternehmen sollten ihre Kommunikationswege im Recruiting kanalisieren und Mitarbeiter aktiv im Umgang mit Bewerberdaten auf Plattformen wie XING oder LinkedIn schulen. Nur durch explizite, dokumentierte Sensibilisierungsmaßnahmen lässt sich im Verletzungsfall die Wiederholungsgefahr für Unterlassungsansprüche widerlegen. Zugleich beruhigt das Urteil die Praxis: Nicht jeder manuelle Flüchtigkeitsfehler führt automatisch zu Schmerzensgeldern, solange der Betroffene keinen handfesten Schaden belegen kann.

OLG Frankfurt · Urteil · 2.3.2022 · 13 U 206/20

Datenschutzrecht

Auftragsverarbeitung

Zulässige Datenweitergabe an externe Dienstleister: Kein DSGVO- oder Urheberrechtsverstoß bei externer Schadensprüfung (OLG Frankfurt)

Sachverhalt: Ein in einen Verkehrsunfall in Stadt1 verwickelter Kfz-Sachverständiger (Kläger) erstellte in der Region Delmenhorst für sein eigenes beschädigtes Fahrzeug ein Gutachten inklusive Lichtbildern. Er reichte dieses zur Regulierung bei der gegnerischen Haftpflichtversicherung ein. Die Versicherung übermittelte das Gutachten ohne explizite Einwilligung des Klägers an ein externes Prüfunternehmen (A GmbH in Stadt2), um die Kalkulation zu kontrollieren. Daraufhin kürzte die Versicherung die Auszahlung. Der Kläger machte datenschutzrechtliche Ansprüche (Löschung, Unterlassung, Schmerzensgeld) sowie urheberrechtliche Ansprüche bezüglich der weitergegebenen Fotos geltend.

Wesentliche Normen:

Art. 17 DSGVO
Art. 82 DSGVO
§ 11 BDSG a.F.
§ 15 UrhG
§ 97 UrhG

Entscheidung: Das OLG Frankfurt am Main wies die Klage ab. Das Gericht entschied, dass die Weitergabe der Daten an den externen Prüfdienstleister eine rechtmäßige Auftragsverarbeitung darstellte. Die Versicherung besaß ein berechtigtes Interesse, die geltend gemachten Schadensersatzansprüche im Detail zu überprüfen. Ein urheberrechtlicher Verstoß lag ebenfalls nicht vor: Die rein zweckgebundene, interne Übermittlung des Gutachtens an das Prüfunternehmen zur Rechnungskontrolle stellte weder eine unzulässige öffentliche Zugänglichmachung noch eine unzulässige Verbreitung der geschützten Lichtbilder dar.

Fazit & Praxis-Empfehlung: Die Auslagerung von internen Prüfprozessen an externe Dienstleister erwies sich als datenschutzrechtlich zulässig, solange wirksame Verträge zur Auftragsverarbeitung (AVV) vorlagen. Für die digitale Wirtschaft ist dies essenziell: Werden zur Effizienzsteigerung externe Tools oder Künstliche Intelligenz zur automatisierten Rechnungs- und Vertragsprüfung eingesetzt, bedarf es hierfür keiner separaten Einwilligung des Betroffenen. Die Datenverarbeitung zur Wahrung berechtigter Interessen bietet hierfür ein rechtssicheres Fundament.

OLG Frankfurt · Urteil · 12.2.2019 · 11 U 114/17