Unsere KanzleiYou can add some sub-text right here to give your navigation item some context.
Mandantensegmente
FachwissenYou can add some sub-text right here to give your navigation item some context.
KI BuchhaltungYou can add some sub-text right here to give your navigation item some context.
SchnittstellenpartnerYou can add some sub-text right here to give your navigation item some context.
KontaktYou can add some sub-text right here to give your navigation item some context.
Digitalisierung

Datenschutzverstöße: Schadensersatzrisiken für Unternehmen

Ein Artikel von der Intelligent Accounting Steuerberatungsgesellschaft Kassel

Sie wollen Mandant werden?
Kontaktieren Sie uns!

E-Mail Schreiben
Anfrage senden

Datenschutzverstöße und Schadensersatz: was Unternehmen wissen müssen

Die gerichtliche Verurteilung eines großen Plattformkonzerns zu Schadensersatz wegen Datenschutzverstößen zeigt in aller Deutlichkeit, dass Verstöße gegen die Datenschutz-Grundverordnung nicht nur Aufsichtsmaßnahmen und Bußgelder nach sich ziehen können, sondern auch zivilrechtliche Zahlungsansprüche einzelner Betroffener. Im entschiedenen Fall hat das Oberlandesgericht Jena mit Urteil vom 02.03.2026, Aktenzeichen 3 U 31/25, einen Schadensersatz von 3.000 Euro zugesprochen, weil über einen längeren Zeitraum hinweg ein beträchtlicher Teil des Privatlebens des klagenden Verbrauchers weitreichend aufgezeichnet worden sei. Das Urteil ist nicht rechtskräftig; die Revision zum Bundesgerichtshof wurde zugelassen. Für die Praxis ist der Fall dennoch hoch relevant, weil er ein typisches Risiko moderner digitaler Wertschöpfung illustriert: die technisch oft unsichtbare, aber rechtlich hoch sensible Weitergabe und Verarbeitung personenbezogener Daten über eingebundene Tools, Schnittstellen und Tracking-Technologien.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen nicht nur Name oder E-Mail-Adresse, sondern auch Online-Kennungen, Geräte- und Nutzungsdaten sowie aus der Nutzung abgeleitete Profile. Besonders schutzbedürftig sind sensible personenbezogene Daten, also Daten, aus denen etwa Gesundheitsinformationen hervorgehen. Gerade im Umfeld von Online-Apotheken, Arztportalen, Pflegeeinrichtungen, Krankenhäusern oder spezialisierten Gesundheitsdienstleistern entsteht hier ein erhebliches Haftungs- und Reputationsrisiko, wenn Drittanbieter-Technologien auf Webseiten oder in Apps dazu führen, dass solche Informationen ohne tragfähige Rechtsgrundlage verarbeitet oder übermittelt werden.

Die Entscheidung macht außerdem deutlich, dass die Frage, ob jemand in einem sozialen Netzwerk eingeloggt ist oder nicht, für die datenschutzrechtliche Bewertung nicht zwingend entlastend wirkt. Wenn eine Erfassung und Speicherung von Nutzungsdaten auch ohne wirksame Einwilligung erfolgt und selbst dann, wenn Betroffene nicht aktiv eingeloggt sind, wird das Risiko einer rechtswidrigen Verarbeitung besonders greifbar. Für Unternehmen ist das ein wichtiger Hinweis: Verantwortlichkeit endet nicht an der eigenen Systemgrenze, wenn auf der eigenen Seite Tools eingesetzt werden, die Datenflüsse zu Dritten auslösen.

Tracking, Business Tools und sensible Daten: typische Risikofelder im Alltag

Im Kern ging es um sogenannte Business Tools, die Webseiten- und App-Betreibern zur Verfügung gestellt werden und eine weitreichende Nachverfolgung der Internetnutzung ermöglichen. Praktisch handelt es sich dabei häufig um Analyse-, Marketing- oder Conversion-Tools, die Nutzerinteraktionen messen, Zielgruppen bilden oder Werbung ausspielen. Solche Tools sind im E-Commerce, bei Onlinehändlern, im Dienstleistungsbereich und auch im B2B-Marketing verbreitet. Gerade kleinere und mittelständische Unternehmen binden diese Lösungen oft standardisiert ein, etwa über Tag-Manager oder Plug-ins, ohne die konkrete Datenübermittlung im Detail nachzuvollziehen.

Die kritische Schwelle wird dort überschritten, wo aus dem Surf- und Nutzungsverhalten Rückschlüsse auf besonders schützenswerte Lebensbereiche gezogen werden können. Das Urteil beschreibt ausdrücklich, dass auch Daten zu Gesundheitsfragen anfallen können, etwa wenn Betroffene zu psychischen Störungen recherchieren, über Arztportale nach Hilfe suchen oder in einer Online-Apotheke Medikamente bestellen. In der Praxis genügt schon der Aufruf bestimmter Seiten, Suchmasken oder Produktkategorien, um hochsensible Kontexte zu erzeugen, selbst wenn keine Diagnose oder keine Klardaten übertragen werden. Damit wird Datenschutz nicht nur zur IT-Frage, sondern zur Frage des gesamten digitalen Geschäftsmodells und der konkreten Customer Journey.

Datenschutzrechtlich zentral ist die Rechtsgrundlage der Verarbeitung. Eine Einwilligung ist eine freiwillige, informierte und unmissverständliche Willensbekundung, mit der die betroffene Person in die Verarbeitung einwilligt. Sie ist nur wirksam, wenn sie tatsächlich eine echte Wahl lässt und der Umfang der Datenverarbeitung transparent erläutert wird. Daneben kommen andere Erlaubnistatbestände in Betracht, etwa eine Verarbeitung zur Vertragserfüllung oder auf Grundlage berechtigter Interessen. Das berechtigte Interesse setzt eine Interessenabwägung voraus, bei der die Rechte der betroffenen Person überwiegen können, insbesondere bei intensiver Nachverfolgung und Profilbildung. Der Senat hat die beanstandete Praxis als anlasslose Datensammlung bewertet und damit ein klares Signal gesetzt, dass pauschale oder technisch getriebene Datenerhebung ohne konkreten Zweck und ohne hinreichende Begrenzung kaum zu rechtfertigen ist.

Für Unternehmen ist in diesem Zusammenhang besonders wichtig, dass Datenschutz-Grundprinzipien wie Transparenz, Zweckbindung und Datenminimierung nicht als abstrakte Leitlinien verstanden werden dürfen, sondern sich in der konkreten System- und Prozessgestaltung niederschlagen müssen. Transparenz bedeutet, dass Betroffene nachvollziehen können, welche Daten zu welchen Zwecken und an welche Empfänger fließen. Zweckbindung verlangt, dass Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Datenminimierung bedeutet, dass nur solche Daten verarbeitet werden, die für den Zweck erforderlich sind. Wer Tracking- und Marketing-Technologien einsetzt, sollte diese Prinzipien schon bei der Auswahl und Konfiguration der Tools berücksichtigen und nicht erst bei Beschwerden oder Prüfungen nachbessern.

Auskunft, Löschung, Schadensersatz: welche Ansprüche Betroffene durchsetzen können

Bemerkenswert ist, dass neben dem zugesprochenen Schadensersatz auch umfassende Auskunft sowie Löschung zugesprochen wurden. Die Auskunft ist ein Betroffenenrecht, das den Verantwortlichen verpflichtet, darüber zu informieren, ob und welche personenbezogenen Daten verarbeitet werden, zu welchen Zwecken dies geschieht, welche Kategorien von Daten betroffen sind und an wen Daten übermittelt werden. In der Praxis ist die Auskunft oft der Ausgangspunkt für weitere Schritte, weil sich erst über eine vollständige und nachvollziehbare Auskunft die tatsächlichen Datenflüsse und Empfängerketten ermitteln lassen. Unternehmen müssen daher nicht nur rechtlich, sondern auch organisatorisch in der Lage sein, Auskünfte fristgerecht und konsistent zu erteilen. Ohne saubere Dateninventare, dokumentierte Systeme und klare Zuständigkeiten entstehen hier schnell erhebliche interne Kosten und operative Reibungsverluste.

Die Löschung verpflichtet dazu, personenbezogene Daten zu entfernen, wenn keine Rechtsgrundlage mehr besteht oder der Zweck entfällt. Gerade bei Drittanbietern und integrierten Plattformdiensten stellt sich die praktische Frage, wie Löschung tatsächlich umgesetzt und nachweisbar gemacht wird, insbesondere wenn Daten bereits in Analysesysteme, Profiling-Modelle oder verteilte Infrastruktur gelangt sind. Das Risiko liegt weniger in der theoretischen Pflicht, sondern in der fehlenden technischen Steuerbarkeit, wenn Tools so eingebunden wurden, dass Daten automatisch und fortlaufend an Dritte übermittelt werden.

Der Schadensersatzanspruch wegen Datenschutzverstößen gewinnt seit Jahren an Bedeutung. Er setzt eine rechtswidrige Verarbeitung personenbezogener Daten voraus und soll den immateriellen Schaden ausgleichen, also Nachteile, die nicht unmittelbar in Geld messbar sind, etwa Kontrollverlust über eigene Daten oder die Belastung durch eine fortdauernde Überwachung. Das Urteil begründet die Höhe mit einer langanhaltenden und weitreichenden Aufzeichnung eines beträchtlichen Teils des Privatlebens. Für Unternehmen bedeutet das: Je umfassender, je länger und je weniger kontrollierbar die Datenerhebung ist, desto eher drohen spürbare Summen, auch wenn es nicht um klassische Vermögensschäden geht. Hinzu kommt ein Skalierungseffekt: Wenn identische Tool-Konfigurationen viele Nutzer betreffen, ist das finanzielle Risiko nicht auf Einzelfälle begrenzt.

Praxisleitlinien für Websites, Apps und Buchhaltungsprozesse im Mittelstand

Aus unserer Sicht sollten Unternehmen das Urteil zum Anlass nehmen, die eigene digitale Infrastruktur kritisch zu prüfen, insbesondere Webseiten, Apps, Online-Shops und patientennahe Portale. Häufig sind es nicht die Kernsysteme, sondern nachträglich integrierte Marketing- und Analysebausteine, die unklare Datenflüsse auslösen. Das gilt für Onlinehändler mit intensiver Conversion-Optimierung ebenso wie für Dienstleister, die Terminbuchungen, Kontaktformulare oder Beratungstools online anbieten. Im Gesundheitsumfeld ist besondere Zurückhaltung geboten, weil schon der Kontext eines Seitenaufrufs sensible Informationen nahelegen kann. Entscheidend ist, ob eine Datenverarbeitung nachvollziehbar begründet, angemessen begrenzt und technisch so gestaltet ist, dass sie erst nach wirksamer Entscheidung der Betroffenen startet, wenn eine Einwilligung erforderlich ist.

In der Umsetzung führt an einer sauberen Dokumentation kein Weg vorbei. Wer Tools einbindet, muss deren Zweck, Datenkategorien, Empfänger, Speicherdauer und Konfiguration verstehen und so festhalten, dass Auskunfts- und Löschbegehren bearbeitbar bleiben. Ebenso wichtig ist eine klare Trennung zwischen zwingend notwendigen Funktionen und optionalen Tracking-Zwecken, weil sich daran die Rechtsgrundlage und die Gestaltung von Einwilligungsmechanismen ausrichten. Auch die interne Zusammenarbeit zwischen Marketing, IT, Geschäftsführung und Datenschutzverantwortlichen sollte so organisiert sein, dass Änderungen an Tags, Pixeln und SDKs nicht informell erfolgen, sondern über definierte Freigabeprozesse mit Prüfschritten zu Zweck, Empfänger und Rechtsgrundlage.

Für viele kleine und mittelständische Unternehmen ist dabei der effizienteste Weg, Datenschutz nicht als einmaliges Projekt, sondern als Bestandteil gelebter Prozessqualität zu verstehen. Wer digitale Prozesse strukturiert, reduziert nicht nur Haftungsrisiken, sondern gewinnt zugleich Transparenz und Effizienz in angrenzenden Bereichen, etwa bei der revisionssicheren Ablage, bei Freigaben, bei der Nachvollziehbarkeit von Zuständigkeiten und in der Zusammenarbeit mit Steuerberatung und Finanzinstitutionen. Gerade dort, wo Daten aus Webshops oder Abrechnungssystemen in die Finanzbuchhaltung fließen, zahlt sich ein klarer Prozessrahmen aus, weil er technische Schnittstellen, Datenminimierung und Dokumentation miteinander verbindet.

Fazit: Die Entscheidung des Oberlandesgerichts Jena vom 02.03.2026, Aktenzeichen 3 U 31/25, unterstreicht, dass anlasslose Datensammlung über Business Tools ein erhebliches Risiko für Auskunfts-, Lösch- und Schadensersatzansprüche birgt. Wir unterstützen kleine und mittelständische Unternehmen dabei, digitale Prozesse und Dokumentationsstrukturen so zu gestalten, dass Datenschutzanforderungen pragmatisch erfüllt und gleichzeitig Buchhaltungsabläufe durch Digitalisierung und Prozessoptimierung spürbar kosteneffizienter werden.

Artikel vom
05.03.2026
Mehr über diese
Gerichtsentscheidung lesen
zur externen Veröffentlichung

Mandant werden?
Senden Sie uns Ihr Anliegen

Unsere bestens geschulten Mitarbeiter sind bei jedem Schritt für Sie da. Wir helfen gerne. Bitte melden Sie sich, wenn künstliche Intelligenz, Cloud-Lösungen, Machine Learning und eine hochaktuelle Software auch Ihr "Business-Leben" einfacher machen sollen.

Wir haben Ihre Anfrage erhalten.
Oops! Something went wrong while submitting the form.

Wir unterstützen Sie beim Ausbau Ihres Unternehmens!

Profitieren Sie von diesem Wettbewerbsvorteil und gewinnen Sie Zeit für Lebensbereiche die wichtiger sind.
Jetzt anrufen
intelligent accounting Logo
Vorteile
UnternehmenExistenzgründerPrivatpersonenKrypto-Währung
Übersicht
StartseiteKI BuchhaltungDiensteUnsere Kanzlei
Richtlinien
DatenschutzerklärungImpressumCookie-EinstellungenKontaktStellenageboteAABs/AGBs
Links
DownloadsGebührensätzeVideos für MandantenDATEV Unternehmen OnlineDATEV Meine Steuern
Close Cookie Popup
Wir verwenden Cookies
Wir verarbeiten Informationen über Ihren Besuch unter Einsatz von Cookies, um die Leistung der Website zu verbessern. Durch die Nutzung unserer Seite willigen Sie in die Nutzung der technisch notwendigen Cookies ein. Weitere Informationen hierzu finden Sie in unserer Datenschutzerklärung.
Alle akzeptierenCookie Einstellungen
Close Cookie Preference Manager
Cookie Einstellungen
Durch Klicken auf „Alle Cookies akzeptieren“ stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Seitennavigation zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingmaßnahmen zu unterstützen, wie in unserer Datenschutzerklärung beschrieben.
Zwingend erforderlich (immer aktiv)
Cookies, die für die grundlegende Funktionalität der Website erforderlich sind.
Alle Cookies akzeptierenEinstellungen speichern