LG Leipzig zur Reichweite von Nutzungsverträgen bei Datenverarbeitung auf Drittseiten: Wie weit reicht die datenschutzrechtliche Kontrolle eines Nutzers über seine personenbezogenen Daten im digitalen Alltag – auch abseits der besuchten Plattform selbst?
Mit dieser grundsätzlichen Frage befasste sich das Landgericht Leipzig in seinem Urteil vom 04.07.2025 (Az. 05 O 2351/23). Im Mittelpunkt stand die datenrechtliche Praxis eines großen Plattformbetreibers, der mittels sogenannter Business Tools personenbezogene Daten auch beim Besuch Dritter Webseiten und Apps verarbeitete. Die Entscheidung setzt Maßstäbe zur Verantwortlichkeit nach der DSGVO und zieht enge Grenzen für die Verwertung solcher Daten außerhalb der eigenen Dienste.
Sachverhalt
Der Kläger war Nutzer des sozialen Netzwerks „A.“, das – wie auch das verwandte Netzwerk „B.“ – von der beklagten Betreiberin ohne unmittelbare Geldzahlung, aber im Gegenzug für die Auswertung personenbezogener Daten bereitgestellt wird. Der Kläger hatte weder der Verarbeitung seiner Daten durch Werbepartner zugestimmt noch ein kostenpflichtiges, werbefreies Abo abgeschlossen.
Konkret ging es um den Einsatz sogenannter „Business Tools“, die von Dritten (z. B. Betreiber von Websites oder Apps) eingebunden werden, aber der Beklagten ermöglichen, umfassende Daten über Nutzer zu sammeln: von E-Mail-Adressen, IP-Adressen und Klickverhalten bis hin zu sensiblen Informationen über Gesundheit, Religion oder Sexualität. Auch Nutzer, die nicht auf der Plattform eingeloggt oder gar nicht dort registriert waren, konnten so identifiziert und verfolgt werden. Der Kläger verlangte Unterlassung, Feststellung der Unzulässigkeit sowie immateriellen Schadensersatz in Höhe von 5.000 €.
Juristische Analyse
Vertragliche Schranken der Datenverarbeitung
Zentral für das Gericht war die Frage, ob der zwischen Kläger und Plattformbetreiber geschlossene Nutzungsvertrag die Verarbeitung der genannten Daten deckt. Das LG Leipzig verneinte dies eindeutig. Zwar enthält der Nutzungsvertrag Klauseln, die eine Datenverarbeitung auch außerhalb der Plattform ermöglichen sollen. Jedoch genügt eine allgemeine Zustimmung zu AGB und Datenschutzrichtlinien nicht den Anforderungen an eine wirksame Einwilligung im Sinne von Art. 6 Abs. 1 lit. a DSGVO. Die Plattform konnte sich auch auf keine der anderen in Art. 6 DSGVO genannten Rechtfertigungsgründe stützen, insbesondere nicht auf berechtigte Interessen oder Sicherheitszwecke (lit. f und e). Das Gericht bezog sich ausdrücklich auf die maßgeblichen Kriterien aus dem EuGH-Urteil vom 04.07.2023 (C-252/21).
Reichweite der Verantwortlichkeit
Besonders bemerkenswert ist die klare Zurechnung der Drittverarbeitung an die Plattformbetreiberin. Obwohl die Tools technisch von Website- oder App-Betreibern eingebunden wurden, sah das LG Leipzig die Beklagte als datenschutzrechtlich Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO an. Die Argumentation stützt sich auf die faktische Herrschaft über die erhobenen Daten sowie auf die wirtschaftliche Ausrichtung der Tools, die gerade auf eine Weiterleitung an die Beklagte abzielen. Damit lehnt das Gericht die von der Beklagten vertretene Auffassung ab, wonach allein die Drittanbieter für die Rechtmäßigkeit der Datenverarbeitung verantwortlich seien.
Feststellungs- und Unterlassungsanspruch
Das LG bestätigte sowohl das Feststellungsinteresse als auch den Unterlassungsanspruch des Klägers. Die Feststellung betraf die Unzulässigkeit der Verarbeitung bestimmter personenbezogener Daten durch die Beklagte auf Drittseiten – und zwar seit Inkrafttreten der DSGVO am 25.05.2018. Auch ein präziser Vortrag zu konkret besuchten Websites war nicht erforderlich, da der Kläger keine vollständige Kontrolle über den technischen Datenfluss hat. Der Unterlassungsanspruch wurde aus einer analogen Anwendung von Art. 17 i. V. m. Art. 79 DSGVO hergeleitet – eine zunehmend gefestigte Rechtsauffassung in der obergerichtlichen Rechtsprechung.
Immaterieller Schadensersatz
Das Gericht erkannte dem Kläger einen Anspruch auf Zahlung von 5.000 € gem. Art. 82 DSGVO zu. Entscheidend war hierbei nicht ein konkret messbarer Vermögensschaden, sondern die vom Kläger glaubhaft geschilderte Beeinträchtigung seines Persönlichkeitsrechts: Kontrollverlust über Daten, Gefühl des Ausspioniertwerdens und die Sorge vor missbräuchlicher Weiterverwertung sensibler Informationen. Das Gericht stellte ausdrücklich klar, dass der DSGVO-Schadensbegriff auch immaterielle Aspekte umfasst – und diese bei systematischer, nicht nur punktueller Rechtsverletzung deutlich ins Gewicht fallen können.
Die Verarbeitung personenbezogener Daten durch Plattformbetreiber auf Drittseiten erfordert eine wirksame Einwilligung des Nutzers – andernfalls ist sie unzulässig. Nutzungsverträge dürfen nicht als Blankovollmacht für umfassendes Tracking ausgelegt werden. Aber ob diese 5000 EUR so Bestand haben … ich bin mit Blick auf die Rechtsprechung des BGH skeptisch.
Schlussfolgerung
Die Entscheidung des Landgerichts Leipzig reiht sich ein in eine zunehmend nutzerfreundliche Linie nationaler und europäischer Gerichte zur Anwendung der DSGVO. Sie betont die Verantwortung großer Plattformen auch jenseits ihrer eigenen Angebote und stellt klar, dass eine pauschale Zustimmung zu AGB und Datenschutzrichtlinien keine generelle Freigabe für weitreichende Datenverarbeitung bedeutet. Die Zurechnung von Drittverarbeitung als eigene Verantwortung des Plattformbetreibers ist nicht nur rechtlich konsequent, sondern von erheblicher praktischer Tragweite. In Zeiten omnipräsenter Tracking-Technologien setzt dieses Urteil ein klares Zeichen für Transparenz und informationelle Selbstbestimmung.
