Unsere KanzleiYou can add some sub-text right here to give your navigation item some context.
Mandantensegmente
FachwissenYou can add some sub-text right here to give your navigation item some context.
KI BuchhaltungYou can add some sub-text right here to give your navigation item some context.
SchnittstellenpartnerYou can add some sub-text right here to give your navigation item some context.
KontaktYou can add some sub-text right here to give your navigation item some context.
Digitalisierung

Freunde-Finder und Kontaktimport datenschutzkonform umsetzen

Ein Artikel von der Intelligent Accounting Steuerberatungsgesellschaft Kassel

Sie wollen Mandant werden?
Kontaktieren Sie uns!

E-Mail Schreiben
Anfrage senden

Freunde-Finder, Kontaktimport und Profiling: Was jetzt als rechtswidrig gilt

Die Entscheidung des Landgerichts Berlin vom 02.12.2025 (Az. 15 O 569/18, nicht rechtskräftig) setzt einen klaren Maßstab für digitale Funktionen, die Kontakte aus Adressbüchern auslesen, hochladen und mit Plattformdaten abgleichen. Im Kern geht es um zwei häufige Praxisfelder: erstens die Verarbeitung personenbezogener Daten von Personen, die selbst keine Nutzerinnen und Nutzer der Plattform sind, und zweitens die Erstellung umfassender Nutzungsprofile für personalisierte Werbung ohne ausdrückliche Zustimmung der registrierten Mitglieder.

Für Unternehmen, die Social Media, Community-Features oder CRM-gestützte Empfehlungsmechaniken einsetzen, ist die Signalwirkung erheblich. „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, also etwa Namen, Telefonnummern, E-Mail-Adressen, Bilder oder Angaben zu Arbeitgeber und Funktion. Genau solche Informationen werden bei Kontaktimporten typischerweise verarbeitet, oft ohne dass die betroffenen Kontakte hiervon wissen. Das Landgericht Berlin hat die ungefragte Verarbeitung von Daten sogenannter Nicht-Nutzerinnen und Nicht-Nutzer als rechtswidrig eingeordnet, weil es an einer nach der Datenschutzgrundverordnung erforderlichen Rechtsgrundlage fehlte. Eine „Rechtsgrundlage“ ist dabei der rechtliche Erlaubnistatbestand, der eine Datenverarbeitung legitimieren kann, etwa eine Einwilligung oder eine Notwendigkeit zur Vertragserfüllung.

Zusätzlich untersagte das Gericht, personenbezogene Daten registrierter Mitglieder ohne Einwilligung zu Werbezwecken zu umfassenden Nutzungsprofilen zusammenzuführen. „Nutzungsprofile“ sind strukturierte Zusammenstellungen von Verhaltens- und Interaktionsdaten, die Rückschlüsse auf Interessen und Präferenzen erlauben und damit eine zielgerichtete Ansprache ermöglichen. Das Gericht stellte darauf ab, dass diese weitreichende Datenverarbeitung in erster Linie wirtschaftlichen Interessen diene und nicht erforderlich sei, um den Plattformvertrag zu erfüllen. Für die Praxis bedeutet das: Wer personalisierte Werbung oder vergleichbare Profilbildungsprozesse auf umfassender Auswertung von Plattformaktivitäten aufbaut, muss die Einwilligungslogik und die Datenflüsse besonders stringent gestalten.

Rechtsgrundlagen nach Datenschutzgrundverordnung: Einwilligung und Vertrag richtig abgrenzen

Im Unternehmensalltag wird häufig versucht, Datenverarbeitungen über den Gedanken der Vertragserfüllung zu rechtfertigen. Vertragserfüllung meint, dass eine Verarbeitung objektiv notwendig ist, um einen Vertrag mit der betroffenen Person zu erfüllen. Das Landgericht Berlin hat diese Argumentation für umfassende werbliche Profilbildung gerade nicht akzeptiert, weil soziale Netzwerke typischerweise wegen der Kommunikations- und Interaktionsfunktionen genutzt werden, nicht weil Nutzerinnen und Nutzer eine personalisierte Werbeausspielung als notwendige Vertragsleistung erwarten. Diese Abgrenzung ist auch außerhalb klassischer Plattformen relevant, etwa bei Onlinehändlern mit Kundenkonto, bei Apps mit Community-Funktionen oder bei Dienstleistern, die Empfehlungssysteme betreiben.

Die Alternative ist regelmäßig die Einwilligung. Eine „Einwilligung“ ist eine freiwillige, informierte und unmissverständliche Willensbekundung der betroffenen Person, die vorab eingeholt werden muss und widerruflich ist. In der Praxis scheitert Einwilligung oft nicht am Button, sondern an der konkreten Ausgestaltung: zu pauschale Zwecke, unklare Datenkategorien oder eine Kopplung an Leistungen, die ohne Einwilligung genauso erbracht werden könnten. Bei Profiling und personalisierter Werbung steigt zudem das Transparenzniveau, weil Betroffene verstehen müssen, welche Daten zusammengeführt werden, zu welchen Zwecken und mit welchen Auswirkungen.

Besonders heikel ist die Verarbeitung von Daten von Personen, zu denen kein Vertragsverhältnis besteht. Wer Kontaktlisten hochlädt, verarbeitet Daten von Dritten, ohne dass diese jemals mit dem Anbieter interagiert haben. In solchen Konstellationen fehlt typischerweise eine tragfähige Rechtsgrundlage, wenn nicht ausnahmsweise eine nachweisbare Einwilligung der betroffenen Kontakte vorliegt. Genau hier setzt die Berliner Entscheidung an: Nicht-Nutzerinnen und Nicht-Nutzer dürfen nicht „mitverarbeitet“ werden, nur weil ein registriertes Mitglied eine Funktion aktiviert. Für Unternehmen, die etwa Einladungsfunktionen, „Kollegen finden“, „Freunde einladen“ oder Empfehlungsprogramme technisch so umsetzen, dass ganze Adressbücher automatisiert übertragen werden, ergibt sich unmittelbarer Handlungsdruck.

Praxisfolgen für Unternehmen: Produktdesign, Marketing und Compliance

Für Plattformbetreiber und Unternehmen mit digitalen Kundenprozessen ist die Entscheidung ein deutlicher Hinweis, dass datenschutzkonforme Gestaltung bereits auf Ebene des Produktdesigns beginnen muss. „Privacy by Design“ bedeutet, dass Systeme so entwickelt werden, dass sie datenschutzfreundliche Voreinstellungen haben und nur die Daten verarbeiten, die für den jeweiligen Zweck erforderlich sind. Bei Kontaktimport-Funktionen heißt das in der Praxis, dass ein pauschales Hochladen kompletter Adressbücher ohne granularen Auswahlmechanismus und ohne klare Zweckbindung regelmäßig nicht vertretbar ist. Selbst wenn eine Einladungsfunktion an sich legitim ist, muss sie so gebaut werden, dass möglichst wenig Daten abfließen und Dritte nicht ungefragt erfasst werden.

Auch für kleine und mittelständische Unternehmen, die Social-Media-Kampagnen, Custom Audiences oder ähnliche Verfahren nutzen, lohnt der Blick auf die interne Verantwortlichkeit. „Verantwortlicher“ ist nach Datenschutzgrundverordnung die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Wer beispielsweise aus Kundendaten Zielgruppen bildet oder Tracking- und Profilingwerkzeuge in Webshops integriert, trägt Mitverantwortung für die Rechtmäßigkeit, auch wenn technische Komponenten von Dritten stammen. Für Onlinehändler kann das bedeuten, dass Marketing-Setups mit personalisierten Anzeigen, Retargeting und Segmentierungen stärker an Einwilligungsmechanismen gekoppelt werden müssen, die tatsächlich freiwillig und verständlich sind.

In regulierten Umfeldern wie Pflegeeinrichtungen, Krankenhäusern oder Finanzinstitutionen verschärft sich die Bewertung nicht zwingend durch den Branchenbezug, wohl aber durch das erhöhte Risiko, dass besonders schutzbedürftige Informationen mittelbar betroffen sind. Bereits die Kontaktliste kann Hinweise auf Gesundheitsbezug, soziale Lage oder berufliche Stellung geben. Der Berliner Fall zeigt zugleich, dass Gerichte genau unterscheiden: Nicht jede behauptete Datenverwendung lässt sich ohne belastbare Tatsachen untersagen, und nicht jede Einwilligung zu sensiblen Kategorien ist per se unwirksam, wenn sie hinreichend konkret ausgestaltet ist. Für die Compliance-Praxis folgt daraus, dass Dokumentation, Nachweisbarkeit und technische Nachvollziehbarkeit der Datenflüsse entscheidend sind.

Unternehmen sollten außerdem ihre Rollen in der Wertschöpfungskette prüfen, insbesondere wenn Dienstleister eingebunden sind. „Auftragsverarbeitung“ liegt vor, wenn ein Dienstleister Daten ausschließlich auf Weisung verarbeitet. Wer aber selbst Zwecke mitbestimmt, bewegt sich Richtung gemeinsamer Verantwortlichkeit. Gerade im Marketing- und Tracking-Umfeld ist diese Abgrenzung oft der kritische Punkt für Verträge, Informationspflichten und Zuständigkeiten bei Betroffenenanfragen.

Handlungsempfehlungen: Datenschutzkonforme Kontaktfunktionen und Werbung

Wer Kontaktimport- oder Freunde-Finder-Funktionen anbietet, sollte die Funktionalität so ausrichten, dass keine Daten Unbeteiligter ungefragt auf eigene Server gelangen. Praktikabel sind Einladungsmechaniken, die lokal auf dem Endgerät bleiben und nur nach aktiver Auswahl einzelner Kontakte eine Nachricht auslösen, ohne dass der Anbieter die Kontaktdaten dauerhaft erhält. Wo eine serverseitige Verarbeitung unvermeidbar ist, muss eine tragfähige Rechtsgrundlage bestehen, die sich bei Nicht-Nutzerinnen und Nicht-Nutzern in der Regel nicht aus dem Verhalten eines registrierten Mitglieds ableiten lässt. Technisch-organisatorisch gehört dazu, Speicherfristen strikt zu begrenzen, Hashing oder Pseudonymisierung sinnvoll einzusetzen und den Zweck der Verarbeitung eng zu definieren.

Für personalisierte Werbung und Profiling ist die Kernaussage, dass eine bloße Berufung auf Vertragserfüllung nicht trägt, wenn die Verarbeitung primär wirtschaftlichen Interessen dient und für die Kernleistung nicht notwendig ist. Damit rückt die Einwilligung als zentrales Steuerungsinstrument in den Vordergrund. Einwilligungen müssen so gestaltet sein, dass Betroffene echte Wahlmöglichkeiten haben, dass Zwecke getrennt auswählbar sind und dass Widerrufe genauso einfach möglich sind wie die Erteilung. Gleichzeitig muss das Datenmodell so aufgebaut sein, dass ein Widerruf auch technisch wirksam umgesetzt wird, indem Datenzusammenführungen gestoppt und Profile entsprechend angepasst oder gelöscht werden.

Für Steuerberatende und Finanzverantwortliche ist das Thema auch deshalb relevant, weil Datenschutzverstöße regelmäßig in operative Kosten übersetzen: ungeplante Projektstopps, Nachbesserungen in IT und Marketing, Vertragsrisiken, Reputationsschäden und erhöhtes Anfrageaufkommen von Betroffenen. Wer frühzeitig saubere Prozesse für Dateninventar, Einwilligungsmanagement, Dokumentation und regelmäßige Prüfungen etabliert, senkt diese Risiken messbar und schafft zugleich belastbare Grundlagen für digital skalierbare Geschäftsmodelle.

Im Fazit zeigt die Entscheidung des Landgerichts Berlin vom 02.12.2025 (Az. 15 O 569/18), dass Kontaktimporte zulasten Unbeteiligter und umfassendes Werbeprofiling ohne ausdrückliche Zustimmung rechtlich hoch angreifbar sind und im Zweifel untersagt werden. Wenn Sie diese Anforderungen in tragfähige Abläufe übersetzen möchten, unterstützen wir als Kanzlei kleine und mittelständische Unternehmen dabei, Buchhaltungs- und Datenprozesse zu digitalisieren, zu standardisieren und damit nachhaltig zu verschlanken, sodass neben Compliance vor allem spürbare Kostenersparnisse und verlässliche Prozessqualität entstehen.

Artikel vom
26.02.2026
Mehr über diese
Gerichtsentscheidung lesen
zur externen Veröffentlichung

Mandant werden?
Senden Sie uns Ihr Anliegen

Unsere bestens geschulten Mitarbeiter sind bei jedem Schritt für Sie da. Wir helfen gerne. Bitte melden Sie sich, wenn künstliche Intelligenz, Cloud-Lösungen, Machine Learning und eine hochaktuelle Software auch Ihr "Business-Leben" einfacher machen sollen.

Wir haben Ihre Anfrage erhalten.
Oops! Something went wrong while submitting the form.

Wir unterstützen Sie beim Ausbau Ihres Unternehmens!

Profitieren Sie von diesem Wettbewerbsvorteil und gewinnen Sie Zeit für Lebensbereiche die wichtiger sind.
Jetzt anrufen
intelligent accounting Logo
Vorteile
UnternehmenExistenzgründerPrivatpersonenKrypto-Währung
Übersicht
StartseiteKI BuchhaltungDiensteUnsere Kanzlei
Richtlinien
DatenschutzerklärungImpressumCookie-EinstellungenKontaktStellenageboteAABs/AGBs
Links
DownloadsGebührensätzeVideos für MandantenDATEV Unternehmen OnlineDATEV Meine Steuern
Close Cookie Popup
Wir verwenden Cookies
Wir verarbeiten Informationen über Ihren Besuch unter Einsatz von Cookies, um die Leistung der Website zu verbessern. Durch die Nutzung unserer Seite willigen Sie in die Nutzung der technisch notwendigen Cookies ein. Weitere Informationen hierzu finden Sie in unserer Datenschutzerklärung.
Alle akzeptierenCookie Einstellungen
Close Cookie Preference Manager
Cookie Einstellungen
Durch Klicken auf „Alle Cookies akzeptieren“ stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Seitennavigation zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingmaßnahmen zu unterstützen, wie in unserer Datenschutzerklärung beschrieben.
Zwingend erforderlich (immer aktiv)
Cookies, die für die grundlegende Funktionalität der Website erforderlich sind.
Alle Cookies akzeptierenEinstellungen speichern