OGH zwingt Meta zu Rohdaten-Übergabe binnen 14 Tagen

Der österreichische Oberste Gerichtshof (OGH) hat mit einem Grundsatzurteil die Regeln für Datenschutzklagen neu geschrieben. Das Gericht verpflichtet Meta nicht nur zur Zahlung von Schadensersatz, sondern setzt auch eine strenge Zwei-Wochen-Frist für die Herausgabe aller gespeicherten Rohdaten. Die Entscheidung beendet die Ära des „Download-Tool“-Vorwands und schafft klare Maßstäbe für die DSGVO-Durchsetzung in Zivilgerichten.

Im Kern des Verfahrens (6 Ob 56/25k) stand ein jahrelanger Streit zwischen der Datenschutzorganisation noyb und Meta Platforms Ireland. Bislang verwiesen Konzerne Nutzer oft auf automatisierte „Download-Tools“, die nur einen bereinigten Teil der tatsächlich gespeicherten Informationen lieferten. Der OGH erklärte diese Praxis für unzureichend.

Unter den neuen Richtlinien müssen Unternehmen nun eine vollständige Kopie aller Rohdaten inklusive Logdateien und Verarbeitungszwecken vorlegen – und das binnen einer ultimativen Frist. Das Gericht gab Meta bis zum 31. Dezember 2025 Zeit, dem Kläger Max Schrems umfassenden Zugang zu gewähren. Das sind gerade einmal 14 Tage nach Urteilsverkündung.

Passend zum Thema DSGVO-Durchsetzung: Viele Unternehmen unterschätzen, wie lückenhafte Dokumentation zu hohen Bußgeldern und zivilrechtlichen Schadensersatzforderungen führen kann. Mit unserer kostenlosen, sofort einsetzbaren Excel-Vorlage für das Verarbeitungsverzeichnis nach Art. 30 DSGVO füllen Sie Pflichtfelder korrekt aus und vermeiden teure Prüfungsfehler. Inklusive Schritt-für-Schritt-E-Book mit klaren Anleitungen zu Verarbeitungszwecken, Empfängern und technischen Schutzmaßnahmen. Verarbeitungsverzeichnis jetzt kostenlos herunterladen

„Das Urteil macht klar, dass das Auskunftsrecht nach Artikel 15 DSGVO nicht mit einer geschönten PDF-Zusammenfassung abgegolten ist“, kommentierte Prozessvertreterin Katharina Raabe-Stuppnig. „Vollständiger Zugang heißt Rohdaten, Datenbankfelder und interne Protokolle. Die 14-Tage-Frist ist ein klares Signal: Das Zeitalter des Hinauszögerns ist vorbei.“

500 Euro Schadensersatz setzen neue Bagatellgrenze

Besonders bedeutsam für Unternehmen und Verbraucher ist die Klarstellung zu immateriellen Schäden. Der OGH sprach dem Kläger 500 Euro Schadensersatz für die verspätete und unvollständige Informationsherausgabe zu.

Diese Festlegung ist ein Paukenschlag, denn sie etabliert eine Untergrenze für DSGVO-Verstöße in Österreich. Die bisher oft von unteren Gerichten vertretene Auffassung, ein bloßer „Kontrollverlust“ über persönliche Daten sei ohne psychische Beeinträchtigung nicht entschädigungswürdig, wurde damit verworfen.

Mit der 500-Euro-Zuweisung folgt der OGH der Rechtsprechung des Europäischen Gerichtshofs (EuGH) und bestätigt: Der Verlust der Kontrolle über die eigenen Daten ist an sich ein entschädigungspflichtiger Schaden. Juristen prognostizieren nun eine Welle standardisierter Klagen gegen Unternehmen, die Auskunftsanträge unzureichend bearbeiten.

Zivilgerichte werden zur schärferen Waffe für Verbraucher

Das Urteil bestätigt zudem eindrücklich die Primärzuständigkeit der Zivilgerichte bei der Durchsetzung individueller DSGVO-Rechte – eine Rolle, die zuvor oft der Datenschutzbehörde (DSB) zugeschrieben wurde.

Während die DSB weiter für Verwaltungsstrafen und regulatorische Aufsicht zuständig ist, liegt die Geltendmachung von Schadensersatz (Art. 82) und Unterlassungsansprüchen auf Datenzugang (Art. 15) nun klar bei den Zivilgerichten. Dieses „Zwei-Säulen-Modell“ ist scharf definiert:
* Datenschutzbehörde (DSB): Fokus auf systemische Compliance, Prüfungen und Verwarnungen.
* Zivilgerichte: Bearbeiten individuelle Schadensersatzklagen und können sofortige Vollstreckungsanordnungen erlassen – wie die 14-tägige Datenfreigabe.

Für Unternehmen bedeutet dies einen erhöhten Druck. Sie können sich nicht länger auf langwierige Verwaltungsverfahren bei der DSB berufen, um Konsequenzen hinauszuzögern. Der direkte Klageweg zum OGH hat sich als schnelleres Schwert für Verbraucher erwiesen.

Meta unter Zugzwang – Turbulenter Start ins Jahr 2026 erwartet

Meta reagierte mit einer vorsichtigen Stellungnahme und kündigte an, die „technische Machbarkeit“ der 14-Tage-Frist zu prüfen, beharrte aber auf der Rechtskonformität seiner Tools. Der gerichtliche Stichtag 31. Dezember lässt jedoch wenig Spielraum. Bei Nichtbefolgung drohen dem Konzern Beugestrafen durch das Vollstreckungsgericht.

Für die österreichische Wirtschaft signalisiert die Entwicklung einen turbulenten Start ins Jahr 2026. „Unternehmen müssen ihre Prozesse für Auskunftsanträge sofort überprüfen“, warnt Datenschutzberater Dr. Thomas Berger. „Der OGH hat klargemacht: Wer die Rohdaten nicht in zwei Wochen liefern kann, ist schadensersatzpflichtig. Die 500-Euro-Grenze macht solche Klagen für Verbraucherschützer wirtschaftlich attraktiv.“

Die Aufmerksamkeit richtet sich nun auf Metas Umgang mit der Jahresendfrist. Sollten die geforderten Rohdaten bisher verborgene Verarbeitungspraktiken – etwa das Ausmaß der Datenweitergabe an Werbepartner – offenlegen, könnte diese „Zuständigkeitsklärung“ der erste Dominostein in einer neuen Serie regulatorischer Untersuchungen sein.

Übrigens: Nach dem OGH-Urteil reichen formelle Auskünfte oft nicht mehr aus – Unternehmen brauchen jetzt prüffähige Nachweise ihrer Verarbeitungstätigkeiten. Unser kostenloses Paket enthält eine editierbare Excel-Vorlage für das Verarbeitungsverzeichnis sowie ein kompaktes E-Book, das erklärt, welche Einträge Prüfer verlangen und wie Sie Verarbeitungszwecke, Empfänger und technische Maßnahmen verständlich dokumentieren. Ideal für Datenschutzbeauftragte und Verantwortliche, die Fristen und Haftungsrisiken sofort reduzieren wollen. Jetzt Verarbeitungsverzeichnis & Leitfaden herunterladen