GDPR: Zwei Gerichtsurteile verschärfen Datenschutzregeln

Eine wegweisende Woche für den europäischen Datenschutz: Gleich zwei Höchstgerichte haben die Grenzen der Datenverarbeitung neu definiert. Während der Bundesgerichtshof (BGH) die Weitergabe von Kundendaten an Auskunfteien unter strengen Auflagen erlaubte, zog der Europäische Gerichtshof (EuGH) klare Grenzen für E-Mail-Marketing. Im Hintergrund brodelt weiter die Debatte um umstrittene “Pay-or-Okay”-Geschäftsmodelle.

Für Unternehmen bedeuten die Entscheidungen: Neue Rechtssicherheit in einigen Bereichen, strengere Vorgaben in anderen. Verbraucher dürfen sich über gestärkte Datenschutzrechte freuen – zumindest auf dem Papier.

Der Bundesgerichtshof hat am 12. November eine Grundsatzentscheidung getroffen: Ein Telekommunikationsunternehmen durfte Kundendaten an die SCHUFA weitergeben. Das höchste deutsche Zivilgericht wies damit die Klage eines Verbraucherschutzverbands ab, der die Praxis generell unterbinden wollte.

Konkret ging es im Verfahren VI ZR 431/24 um sogenannte “Positivdaten” – Kundenidentität, Vertragsbestand und Vertragsende eines Mobilfunkvertrags, ohne jegliche Zahlungsausfälle. Das Unternehmen argumentierte mit Betrugsprävention. Der BGH folgte dieser Begründung und erkannte ein “berechtigtes Interesse” nach Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung (DSGVO) an.

Passend zum Thema Datenschutzrecht: Nach den jüngsten Entscheidungen von BGH und EuGH stehen viele Unternehmen vor unmittelbaren Umsetzungsfragen – von der Dokumentation berechtigter Interessen bis zur Frage, wann ein Newsletter als Direktmarketing gilt. Unser kostenloser DSGVO‑Leitfaden erklärt praxisnah in 5 Schritten, welche Maßnahmen jetzt notwendig sind, liefert fertige Vorlagen und eine editierbare Checkliste zur sofortigen Umsetzung. Schützen Sie Ihr Unternehmen vor Bußgeldern und Rechtsunsicherheiten. Kostenlosen DSGVO-Leitfaden herunterladen

Doch Vorsicht: Das Urteil ist kein Blankoscheck. Die Karlsruher Richter betonten, dass die Klage zu weitreichend formuliert war und auch rechtmäßige Datenverarbeitung verboten hätte. Rechtsexperten betonen: Jeder Einzelfall erfordert eine sorgfältige Abwägung zwischen Betrugsbekämpfung und Persönlichkeitsrechten.

EuGH weitet Begriff des “Verkaufs” aus

Einen Tag später, am 13. November, legte der Europäische Gerichtshof nach. Im Fall Inteligo Media (C-654/23) entschied das Luxemburger Gericht: Wer seine E-Mail-Adresse gegen Premium-Inhalte auf einer Website eintauscht, tätigt einen “Verkauf einer Dienstleistung” im Sinne der ePrivacy-Richtlinie.

Diese Interpretation hat weitreichende Folgen für E-Mail-Marketing. Auch ohne Geldzahlung entsteht durch die Registrierung für ein kostenloses Nutzerkonto eine Geschäftsbeziehung. Unternehmen dürfen unter strengen Voraussetzungen Direktwerbung für eigene, ähnliche Produkte versenden – die sogenannte “Soft-Opt-in”-Ausnahme.

Der EuGH stellte klar: Newsletter, die Nutzer zurück auf die Plattform locken sollen, sind Direktmarketing – selbst wenn sie informative Inhalte enthalten. Marketingabteilungen müssen ihre E-Mail-Strategien nun überprüfen.

“Pay-or-Okay”-Modelle bleiben umstritten

Während die Gerichte Klarheit bei Datentransfers und E-Mail-Marketing schufen, tobt die Kontroverse um “Pay-or-Okay”-Modelle weiter. Diese Systeme zwingen Nutzer zur Wahl: Entweder bezahlen oder dem Daten-Tracking zustimmen.

Laut einer Rechtsanalyse vom 14. November erfüllen solche Modelle meist nicht die DSGVO-Anforderungen an eine freie Einwilligung. Der Europäische Datenschutzausschuss (EDSA) fordert: Alternativen zum Tracking müssen gleichwertig sein und dürfen nicht unerschwinglich kosten. Ein österreichisches Gericht urteilte im August 2025 ähnlich – das Bündeln von Tracking, Analyse und Werbung in einem einzelnen “Akzeptieren”-Button sei rechtswidrig.

Datenschützer argumentieren: Wer zwischen Bezahlen und Tracken wählen muss, hat keine echte Wahl. Die Zustimmung wird faktisch erzwungen.

Trend zu granularer Kontrolle

Die drei Entwicklungen dieser Woche zeichnen ein klares Bild: Regulierer und Gerichte fordern präzisere, zweckgebundene Begründungen für Datenverarbeitung. Der BGH genehmigte die SCHUFA-Übermittlung ausdrücklich nur für Betrugsprävention – nicht pauschal. Der EuGH definierte “Verkauf” im Kontext der ePrivacy-Richtlinie sehr spezifisch.

Das steht in scharfem Kontrast zu “Alles-oder-nichts”-Modellen. Die europäischen Aufsichtsbehörden signalisieren: Grundlegende Datenschutzrechte dürfen kein Premium-Feature sein, das nur Zahlungswillige erhalten.

Verschärfte Durchsetzung erwartet

Die Urteile von BGH und EuGH werden unmittelbare Konsequenzen haben. Unternehmen, die sich auf “berechtigtes Interesse” berufen, müssen ihre Dokumentation überprüfen. Digital-Marketer müssen ihre Interpretation der “Soft-Opt-in”-Regel anpassen.

Bei “Pay-or-Okay”-Modellen steht die Entscheidung noch aus. Nachdem der EDSA klare Leitlinien formuliert hat, dürften nationale Datenschutzbehörden die Durchsetzung verschärfen. Beobachter erwarten, dass der EuGH die Grundsatzfrage klären muss: Kann man Menschen zwingen, für Datenschutz zu bezahlen? Die Antwort wird definieren, was echte Wahlfreiheit im Internet bedeutet.

PS: Die Debatte um “Pay‑or‑Okay” und die Ausweitung des ePrivacy‑Begriffs zeigen: Datenschutz darf kein Premium‑Feature sein. Wenn Sie jetzt Ihre Prozesse und Einwilligungsmechanismen rechtssicher gestalten wollen, hilft unser Gratis‑Leitfaden mit konkreten Vorlagen, Risikobetrachtungen, Musterformularen zur Einwilligung sowie einer Checkliste für Marketing- und Rechtsabteilungen. Besonders praktisch für Telekommunikationsanbieter und Online‑Händler. Kostenloser Download per E‑Mail. Jetzt kostenlosen DSGVO‑Leitfaden sichern