Zurück

ctrl + law | Ausgabe 6

ctrl + law – zum Jahresauftakt: Aktuelle Entwicklungen im digitalen Recht | Gernot Fritz

Mit Ausgabe 6 startet ctrl + law in das neue Jahr. Auch diese erste Ausgabe 2026 zeigt, wie dynamisch sich das Digital-, IP- und Wettbewerbsrecht weiterentwickeln.

Der Themen reichen von neuen Leitlinien zum AI Act und der praktischen Umsetzung von Fundamental Rights Impact Assessments über aktuelle Impulse zum europäischen Designschutz, offene Grundsatzfragen rund um DSGVO-Abmahnungen, dass bereits der Kontrollverlust über Daten einen immateriellen Schaden begründen kann, bis hin zu Greenwashing und eine neue FAQ der Kommission, die für Unternehmen wichtige Klarstellungen zur Umweltkommunikation bringt.

Zwischen den Ausgaben haben wir zudem am E+H News Portal einen umfassenden Beitrag zum ersten Entwurf des europäischen Code of Practice zur KI-Transparenz veröffentlicht.

Wir wünschen eine anregende Lektüre und einen guten Start ins neue Jahr.

Trennstrich bunt

Fundamental Rights Impact Assessments: Neuer Praxisleitfaden zum AI Act | Tanja Pfleger

Das Danish Institute for Human Rights und das European Centre for Not-for-Profit Law haben im Dezember 2025 einen umfassenden Leitfaden zur Durchführung von Fundamental Rights Impact Assessments (FRIA) veröffentlicht. Der Leitfaden umfasst eine strukturierte Anleitung in fünf Phasen, eine verlinkte separate Excel-Vorlage sowie weitere Links zum Thema KI und Grundrechte.

Der AI Act verpflichtet bestimmte Organisationen, die Hochrisiko-KI-Systeme einsetzen, zur Durchführung eines FRIA vor der ersten Nutzung: öffentliche Behörden, die Hochrisiko-KI-Systeme in den in Anhang 3 des AI Act aufgelisteten Bereichen einsetzen und private Anbieter wesentlicher öffentlicher Dienstleistungen, sowie Versicherungs- und Bankunternehmen, die KI zur Preisgestaltung von Lebens- und Krankenversicherungen und zur Bewertung der Kreditwürdigkeit natürlicher Personen einsetzen.

Der Leitfaden warnt ausdrücklich vor typischen Fallstricken bei der Durchführung von Impact Assessments: unzureichende Ressourcenallokation und mangelnde Unterstützung durch das Management, inadäquate oder pro forma Stakeholder-Einbindung, fehlende organisatorische Nachverfolgung und Überwachung von Minderungsmaßnahmen, unzureichende öffentliche Transparenz sowie problematisches Timing der Bewertung, wenn wichtige operative Entscheidungen bereits getroffen wurden. Wenn eine Organisation ein FRIA als reine Schreibtischübung ohne externe Inputs oder Konsultation durchführt, könnten Stakeholder die Glaubwürdigkeit der Ergebnisse anzweifeln.

Die fünf Phasen des Leitfadens adressieren unterschiedliche Aspekte einer FRIA. Phase 1 umfasst Planung und Scoping, wobei Betreiber die FRIA vor der ersten Nutzung des Hochrisiko-KI-Systems durchführen müssen. Das FRIA-Team sollte aus Experten verschiedener Disziplinen bestehen, etwa Grundrechte, Ingenieurwesen, KI-Sicherheit und KI-Ethik sowie interne Funktionen wie Rechtskonformität, Datenschutz, Beschaffung, IT und Betrieb. Die Kontextanalyse umfasst drei Fragenkategorien: den Einsatzkontext des KI-Systems, die technischen Merkmale des Systems sowie die KI-System-Governance.

In Phase 2 soll das FRIA-Team kurze Szenarien entwickeln, die darlegen, wie das KI-System Menschen negativ beeinträchtigen könnte, und identifiziert für jedes Szenario alle Grundrechte, die negativ betroffen sein könnten. Die Schwere wird anhand mehrerer Parameter bewertet: Ausmaß des Eingriffs, Umfang der Auswirkung, Schwere des Schadens und Irreversibilität. Nach Beantwortung der Fragen zu Wahrscheinlichkeit und Schwere generiert die Excel-Vorlage ein Priorisierungsergebnis und eine Risikomatrix-Visualisierung, die eine vergleichende Bewertung der Auswirkungen auf verschiedene Rechte ermöglicht.

In Phase 3 sollte das FRIA-Team nach der Bewertung negativer Auswirkungen und Identifizierung von Präventions- und Minderungsmaßnahmen eine Empfehlung für oder gegen den Einsatz des KI-Systems abgeben.

Phase 4 etabliert einen Prozess im laufenden Betrieb, der festlegt, was genau überwacht werden soll, wann und wie oft im laufenden Betrieb Überwachungsaktivitäten stattfinden sollen, und wer intern oder extern die Überwachung durchführen soll.

Phase 5 betont, dass die Durchführung eines FRIA auch eine angemessene Einbindung und Konsultation mit den Gruppen und Gemeinschaften erfordert, deren Rechte durch das KI-System betroffen sein könnten.

Zum Verhältnis zwischen Datenschutz-Folgenabschätzungen nach DSGVO und FRIAs stellt der Leitfaden klar, dass beide als eigenständige, aber komplementäre Bewertungen zu betrachten sind. Während die meisten DPIAs primär Auswirkungen auf den Datenschutz adressieren, soll eine FRIA Auswirkungen auf alle Grundrechte abdecken.

Über den Grundrechtsschutz hinaus bietet ein gut konzipiertes und umgesetztes FRIA zahlreiche Vorteile: Es kann Organisationen bei der Entwicklung verantwortungsvoller KI-Governance­-Rahmen unterstützen, Vertrauen und regelmäßige Kommunikationskanäle mit externen Stakeholdern aufbauen und potenzielle Reputations- und Prozesskosten minimieren.

Key Take-Aways

  • FRIAs dürfen nicht als reine Compliance-Übung verstanden werden – typische Fallstricke wie pro forma Stakeholder-Einbindung oder nachträgliches Timing untergraben die Legitimität und Glaubwürdigkeit der Bewertung.
  • Gut durchgeführte FRIAs bieten über Compliance hinaus strategische Vorteile durch verbesserte KI-Governance, Vertrauensaufbau mit Stakeholdern und Minimierung von Reputations- und Prozesskosten.
Trennstrich bunt

Kein Mindestmaß an Gestaltung erforderlich: EuGH stärkt niedrigschwelligen Designschutz | Hannah Kercz

Beim Design handelt es sich um ein für Unternehmen besonders attraktives Schutzrecht: Es schützt die äußere Erscheinungsform eines Produkts EU-weit, wird rasch eingetragen und ohne materielle Prüfung von Neuheit und Eigenart registriert. Gerade deshalb stellt sich in der Praxis immer wieder die Frage, wie “hoch” die Anforderungen an den Designschutz tatsächlich sind – insbesondere im modegetriebenen Umfeld, in dem sich Produkte häufig nur geringen Nuancen unterscheiden.

Vor diesem Hintergrund ist die aktuelle Reform des europäischen Designrechts besonders relevant: Bereits seit Mai 2025 ist Phase I der Verordnung 2024/2822 zur Änderung der Unionsgeschmacks­musterverordnung VO (EG) 6/2002 in Kraft. Phase II folgt im Juli 2026. Ziel der Reform ist vor allem die Modernisierung und Vereinfachung des Designschutzes; insbesondere durch stärker digitalisierte Verfahren und eine Öffnung für neue Designformen (zB digitale/virtuelle Designs und Animationen).

Mit Phase I wurden vor allem das Anmelde- und Gebührenregime modernisiert, insbesondere durch die verpflichtend digitale Einreichung beim EUIPO, eine vereinheitlichte Gebührenstruktur sowie erleichterte Sammelanmeldungen ohne Klassenbindung.

Mit Phase II werden die technischen Umsetzungsdetails nachgeschärft (insbesondere zur digitalen Darstellung und Einreichung von Designs, etwa bei dynamischen bzw. animierten Wiedergaben) und damit die praktische Handhabung im EUIPO-Verfahren weiter vereinheitlicht. Trotz dieser Neuerungen bleibt das Grundprinzip unverändert: Das Design ist ein schnell verfügbares Schutzrecht, das keine “kreative Mindesthöhe” verlangt. Für Unternehmen steigt damit der strategische Nutzen von Designregistrierungen. Zugleich bleibt entscheidend, dass Portfolios sauber dokumentiert und im Streitfall konsequent verteidigt werden.

Gerade in dieser Übergangsphase kommt der Entscheidung des EuGH vom 18. Dezember 2025 (C-323/24, Deity Shoes) besondere Bedeutung zu: Der EuGH hatte den Sachverhalt zwar noch nach der bisherigen Fassung der Unionsgeschmacksmusterverordnung zu beurteilen, setzt mit seiner Begründung jedoch bereits Leitlinien, die auch im reformierten Designrecht maßgeblich bleiben. Indem er den niedrigschwelligen Charakter des Designschutzes und das Fehlen zusätzlicher kreativer Mindestanforderungen ausdrücklich hervorstreicht, greift der EuGH zentrale Reformgedanken auf und liefert damit wichtige Orientierung für die künftige Praxis.

Laut EuGH ist die geltende Gesetzeslage nämlich so auszulegen, dass der Anmelder kein zusätzliches Mindestmaß an Gestaltung nachzuweisen hat. Wer ein Design anmeldet, muss somit (neben den formalen Anforderungen) nur die gesetzlichen Schutzvoraussetzungen “Neuheit” und “Eigenart” erfüllen. Eine “Schöpfungshöhe” wie im Urheberrecht ist im Designrecht demnach nicht ausschlaggebend. Damit stärkt der EuGH bewusst den niedrigschwelligen Charakter des Designschutzes und verhindert eine faktische Verschärfung durch zusätzliche, gesetzlich nicht vorgesehene Anforderungen.

Im konkreten Fall war Deity Shoes Inhaberin mehrerer Designs für Schuhe, deren Gestaltungen auf Lieferantenkatalogen chinesischer Handelsunternehmen beruhten. Dort konnten Bauelemente wie Farbe, Material, Schnallen, Schnürsenkel oder Verzierungen nach einem Baukastensystem kombiniert werden. Das vorlegende Gericht zweifelte, ob Designs Eigenart besitzen können, wenn viele Erscheinungsmerkmale bereits vorgegeben sind und Änderungen nur punktuell erfolgen. Der EuGH verneint eine generelle Schutzversagung: Es steht der Eigenart nicht entgegen, wenn Merkmale im Voraus durch ein Katalogmodell festgelegt sind – entscheidend bleibt, ob beim informierten Benutzer ein anderer Gesamteindruck entsteht.

Besonders praxisrelevant sind außerdem die Aussagen zu Modetendenzen: Der EuGH hält fest, dass Trends – anders als technische Vorgaben – die Gestaltungsfreiheit nicht so beschränken, dass schon kleine Unterschiede automatisch für Eigenart genügen würden. Gleichzeitig dürfen trendbedingte Elemente nicht “abgewertet” werden: Merkmalen, die aus Modetendenzen hervorgehen, kann keine geringere Bedeutung für den Gesamteindruck zukommen. Gerade für die Mode- und Konsumgüterindustrie ist das bedeutsam, weil sich Schutz und Abgrenzung typischerweise genau an diesen – oft trendgetriebenen – Merkmalen entscheiden.

Für Unternehmen unterstreicht die Entscheidung, dass Designschutz auch in trendgetriebenen Branchen ein wirkungsvolles Instrument bleibt – gerade weil keine erhöhten kreativen Anforderungen gelten. Gleichzeitig zeigt sich einmal mehr: Der Schutz steht und fällt in der Praxis mit einer strategischen Anmeldung, einem sauberen Portfolioaufbau und konsequentem Monitoring möglicher Nachahmungen. Wer Designrechte frühzeitig sichert und aktiv durchsetzt, schafft einen entscheidenden Wettbewerbsvorteil – auch im zunehmend digitalisierten Designrecht der Zukunft.

Key Take-Aways

  • Kein Mindestmaß an Gestaltung: Der EuGH bestätigt, dass für Designschutz keine zusätzliche Gestaltungshöhe erforderlich ist – maßgeblich bleiben Neuheit und Eigenart.
  • Eigenart trotz Katalog-/Baukasten-System: Vorprägung durch Lieferantenmodelle schließt Eigenart nicht aus; entscheidend ist der Gesamteindruck beim informierten Benutzer.
  • Modetrends relativieren den Gesamteindruck nicht: Trends senken den Schutzstandard nicht und dürfen bei der Beurteilung der Eigenart nicht als "weniger relevant" abgetan werden.
Trennstrich bunt

Rechtsmissbrauch bei DSGVO-Abmahnungen auf dem Prüfstand | Jakob Secklehner

Ist die massenhafte Abmahnung wegen Google Fonts legitimer Rechtsschutz oder Rechtsmissbrauch? Mit dieser Frage befasste sich kürzlich der Oberste Gerichtshof (OGH), der mit Beschluss vom 26. November 2024 (6 Ob 141/24i) ein Revisionsverfahren unterbrochen hat, um Entscheidungen des EuGH in zwei anhängigen Vorabentscheidungsverfahren abzuwarten.

Zum Hintergrund: Google Fonts sind kostenlose Schriftarten, die Website-Betreiber direkt von Google-Servern einbinden können. Dabei wird (bei bestimmten Einstellungen) automatisch die IP-Adresse der Besucher an Google in den USA übermittelt – ein Vorgang, der mangels entsprechender Rechtsgrundlage datenschutzrechtlich bedenklich sein kann. Daran knüpfte eine Abmahnwelle an, die im August 2022 Österreich erfasste: Der Modus Operandi der Abmahnerin bestand darin, unter Ver-wendung eines automatisierten Programms tausende Websites zu besuchen, um die Übermittlung ihrer IP-Adresse an Google zu dokumentieren.

Ihr Rechtsvertreter versandte daraufhin rund Aufforderungs­schreiben an rund 32.000 (überwiegend kleine bzw. mittlere) Unternehmen mit einer Forderung von je EUR 190 (100 EUR für den immateriellen Schaden und 90 EUR für Kosten der Rechtsverfolgung). Die klagende Website-Betreiberin wandte sich gegen diese Praxis und begehrte Schadenersatz (für die Kosten ihres Rechtsvertreters aus der Beantwortung des Schreibens) sowie die Feststellung, dass der Abmahnerin keine Ansprüche zu-stehen.

Nachdem die Vorinstanzen der Website-Betreiberin Recht gegeben hatten, unterbrach der OGH das Verfahren nun, um EuGH-Entscheidungen zu zwei deutschen Vorabentscheidungs­ersuchen abzuwarten. Der deutsche Bundesgerichtshof (VI ZR 258/24) sowie das Amtsgericht Arnsberg (C-526/24) haben dem EuGH drei zentrale Fragen zur Vorabentscheidung vorgelegt: Erstens, ob eine dynamische IP-Adresse bereits dann ein personenbezogenes Datum ist, wenn nur ein Dritter über das zur Identifizierung erforderliche Zusatzwissen verfügt. Zweitens, ob ein immaterieller Schaden vorliegen kann, wenn die betroffene Person den Datenschutzverstoß bewusst herbeigeführt hat. Drittens, ob der Rechtsmissbrauchseinwand greift, wenn Verstöße in großer Zahl automatisiert provoziert werden, um finanzielle Vorteile zu erlangen.

Es ist daher mit Spannung zu erwarten, ob der EuGH dem massenhaften Abmahnwesen durch eine restriktive Auslegung der einschlägigen Bestimmungen Einhalt gebieten oder derartige Praktiken als zulässig erachten wird.

Key Take-Aways

  • Der OGH hat ein anhängiges Revisionsverfahren zu Google Fonts unterbrochen, um die Entscheidungen des EuGH zu anhängigen deutschen Vorabentscheidungsersuchen zu Google Fonts und den Rechtsmissbrauchseinwand nach der DSGVO abzuwarten.
  • Der EuGH wird zu klären haben, ob dynamische IP-Adressen als personenbezogene Daten gelten und ob ein bewusst provozierter Datenschutzverstoß einen ersatzfähigen immateriellen Schaden begründen kann.
  • Die systematische Provokation von Datenschutzverstößen zur Erlangung finanzieller Vorteile könnte als Rechtsmissbrauch darauf beruhende Schadenersatz¬ansprüche seitens der abgemahnten Unternehmen auslösen.
Trennstrich bunt

Greenwashing im Fokus: Was die neue FAQ zur Empowering-Consumers-RL klarstellt | Gernot Fritz

Mit der Richtlinie (EU) 2024/825 zur Stärkung der Verbraucher für den ökologischen Wandel durch besseren Schutz gegen unlautere Praktiken und durch bessere Informationen (Empowering-Consumers-RL) hat der EU-Gesetzgeber den Rechtsrahmen gegen Greenwashing deutlich verschärft. Die nun veröffentlichte FAQ der Kommission verfolgt einen klaren Zweck: Sie soll die einheitliche Anwendung der neuen Regeln erleichtern, solange die bestehenden Leitlinien zur UGP-RL und zur Verbraucherrechte-RL noch nicht aktualisiert sind und die praktische Durchsetzung erst anläuft. Die FAQ versteht sich ausdrücklich als Übergangsinstrument, um Unternehmen, Behörden und Gerichten frühzeitig Orientierung zu geben und Auslegungsspielräume einzugrenzen.

Inhaltlich deckt die FAQ ein breites Spektrum ab. Sie reicht von der Abgrenzung des sachlichen Anwendungsbereichs über die Definition und Bewertung von Umweltaussagen bis hin zu Nachhaltigkeitssiegeln, Zukunftsversprechen, CO₂-Neutralitäts­aussagen und der Rolle von Bildern, Farben und Symbolen. Der Fokus liegt dabei auf der Frage, wann eine Kommunikation als unlautere Geschäftspraxis gegenüber Verbraucherinnen und Verbrauchern einzuordnen ist und wann bestimmte Praktiken per se verboten sind.

Die Kommission stellt etwa auch klar, dass verpflichtende Nachhaltigkeitsberichte, etwa nach der CSRD, regelmäßig nicht in den Anwendungsbereich der Empowering-Consumers-RL fallen, weil sie primär an Investoren adressiert sind und keine B2C-Kommunikation darstellen. Entscheidend ist jedoch die Weiterverwendung dieser Inhalte: Werden Aussagen aus Nachhaltigkeitsberichten freiwillig in Marketingmaterialien, auf Websites oder auf Produktverpackungen übernommen, gelten sie als Umweltaussagen und unterliegen vollumfänglich den strengen Maßstäben der UGP-RL. Damit wird klar, dass Berichte kein „sicherer Hafen“ für werbliche Aussagen sind.

Die FAQ präzisiert weiters, dass naturbezogene Gestaltungs­elemente wie grüne Blätter, Wassertropfen oder ähnliche visuelle Elemente zwar für sich genommen keine allgemeinen Umweltaussagen darstellen, sehr wohl aber als implizite Umweltaussagen wirken können. In Kombination mit Texten, Logos oder der Gesamtaufmachung der Verpackung können sie beim durchschnittlichen Verbraucher den Eindruck besonderer Umweltfreundlichkeit erwecken. In diesem Fall sind sie an denselben Transparenz- und Substantiierungs­anforderungen zu messen wie explizite Aussagen.

Darüber hinaus bringt die FAQ in mehreren weiteren Punkten zusätzliche Klarheit. So wird etwa deutlich gemacht, dass Aussagen zur zukünftigen Umweltperformance nur zulässig sind, wenn sie auf konkreten, überprüfbaren und regelmäßig extern verifizierten Umsetzungsplänen beruhen. Reine Absichtserklärungen oder vage Netto-Null-Versprechen reichen nicht aus. Ebenso wird klargestellt, dass vermeintliche Umweltvorteile unzulässig sein können, wenn sie für das Produkt irrelevant sind oder ohnehin für alle vergleichbaren Produkte gelten, etwa Hinweise auf Selbstverständlichkeiten wie „ohne Plastik“ bei Papierprodukten. Schließlich wird der Spielraum für CO₂-Neutralitätsclaims weiter eingeengt, insbesondere wenn diese auf Kompensations­maßnahmen außerhalb der eigenen Wertschöpfungskette gestützt werden.

Insgesamt zeigt die FAQ, dass die Kommission einen sehr verbraucherzentrierten und strengen Maßstab anlegt. Maßgeblich ist stets der Gesamteindruck beim durchschnittlichen Verbraucher, nicht die formale Richtigkeit einzelner Aussagen oder deren Verankerung in internen Berichten. Für Unternehmen bedeutet dies, dass Nachhaltigkeitskommunikation künftig noch stärker rechtlich geprüft und konsistent gedacht werden muss.

Key Take-Aways

  • Nachhaltigkeitsberichte sind meist ausgenommen, Marketing mit deren Inhalten aber voll erfasst.
  • Naturmotive können implizite Umweltclaims sein und strengen Regeln unterliegen.
  • Zukunftsversprechen brauchen konkrete, überprüfbare und extern verifizierte Pläne.
  • Selbstverständliche oder irrelevante „grüne“ Vorteile können unlauter sein.
Trennstrich bunt

BGH verschärft Kontrollpflichten bei Auftragsverarbeitern | Tanja Pfleger

Mit seinem Urteil vom 11. November 2025 (VI ZR 396/24) hat der deutsche Bundesgerichtshof entschieden: Verantwortliche haften für unzureichende Kontrolle ihrer Auftragsverarbeiter – auch nach Vertragsende. Und: Schon der bloße Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden­ersatzanspruch nach Art 82 DSGVO begründen.

Der Fall betraf einen Musikstreamingdienst als Verantwortlichen, der einen IT-Dienstleister als Auftragsverarbeiter engagierte. Nach Vertragsende 2019 kündigte der Auftragsverarbeiter per E-Mail an, die Website und die dort befindlichen Daten zu löschen. Jahre später tauchten Kundendaten des Musikstreamingdienst im Darknet auf, darunter Namen, E-Mail-Adressen und Registrierungsdaten. Die Daten waren vom Auftragsverarbeiter nicht gelöscht, sondern in eine Testumgebung verschoben worden, von wo sie entweder gehackt oder unbefugt weitergegeben wurden. Ein betroffener Nutzer klagte den Streamingdienst auf immateriellen Schadenersatz.

Der BGH stellt unmissverständlich klar: Der Verantwortliche muss sicherstellen, dass nach Vertragsende (vorbehaltlich gesetzlicher Speicherpflichten) beim Auftragsverarbeiter keinerlei personen­bezogene Daten mehr verbleiben, also tatsächlich gelöscht oder zurückgegeben werden. Eine bloße im Auftragsverarbeitungs­vertrag festgelegte Löschungspflicht genügt nicht. Der Verantwortliche muss aktiv kontrollieren, ob die Löschung erfolgt ist – etwa durch schriftliche Bestätigung, Nachweise oder im Einzelfall sogar Vor-Ort-Kontrollen. Dies ergibt sich aus den datenschutzrechtlichen Grundsätzen wie Datenminimierung und Speicherbegrenzung sowie der Einrichtung angemessener technischer und organisatorischer Sicherheitsmaßnahmen.

Im konkreten Fall hatte der Streamingdienst verabsäumt, eine schriftliche Bestätigung der Löschung einzufordern. Dieser Verstoß wurde als kausal für das spätere Datenleck angesehen. Eine Exkulpation nach Art 82 Abs 3 DSGVO scheidet nach dem BGH damit aus – selbst wenn die Daten möglicherweise durch einen Hackerangriff abhandengekommen sind.

Besonders weitreichend ist die Aussage des BGH zum immateriellen Schaden. Bereits der nachgewiesene Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden im Sinne von Art 82 Abs 1 DSGVO darstellen. Es bedarf keines weiteren Nachweises von Ängsten, Befürchtungen oder konkreten negativen Folgen wie Spam-Mails oder Identitätsdiebstahl.

Im vorliegenden Fall kam erschwerend hinzu, dass die Daten im Darknet zum Verkauf angeboten wurden – eine missbräuchliche Verwendung, die den Schadenersatzanspruch zusätzlich stützt. Der BGH stellt weiters klar: Die Argumentation, Spam-Mails seien alltäglich oder die Daten seien möglicherweise schon früher gehackt worden, geht ins Leere. Jede neue Verletzung des Datenschutzes begründet einen eigenständigen Anspruch – frühere Datenlecks entlasten nicht. Auch die begründete Befürchtung eines künftigen Datenmissbrauchs genügt.

Das Urteil verschärft die Anforderungen an die Auftrags­verarbeitung erheblich. Unternehmen müssen ihre Prozesse bei Vertragsende neu justieren. Vertragliche Löschungsklauseln allein reichen nicht – es braucht nachweisbare Kontrolle. Zugleich stellt der BGH klar, dass Kontrollverlust schon für sich genommen einen immateriellen Schaden darstellen kann.

Key Take-Aways

  • Löschung aktiv überprüfen: Schriftliche Bestätigung, Löschprotokolle oder Audits bei Vertragsende sind Pflicht. Vertragliche Klauseln allein genügen nicht.
  • Kontrollverlust ist Schaden: Bereits der nachgewiesene Verlust der Kontrolle über personenbezogene Daten begründet einen Schadenersatzanspruch – ohne Nachweis konkreter Folgen.
  • Frühere Datenlecks entlasten nicht: Jede neue Verletzung des Datenschutzes begründet einen eigenständigen Anspruch, auch wenn dieselben Daten bereits zuvor kompromittiert wurden.
Trennstrich bunt

ctrl + law – ordnet ein, was rechtlich relevant wird.

Klar, kompakt, praxisnah.

Jetzt abonnieren und dranbleiben.