DSGVO-Urteil OGH 2025: Was soziale Netzwerke jetzt nicht mehr dürfen
Einleitung: Wenn Datenschutz zur Farce wird – und was das für uns bedeutet
Das DSGVO-Urteil OGH 2025 zieht klare Grenzen für die Datenverarbeitung durch soziale Netzwerke. Die meisten von uns nutzen soziale Netzwerke täglich – zum Austausch, zur Unterhaltung oder zur Information. Was wir dabei häufig übersehen: Im Hintergrund wird gesammelt, analysiert und gewertet – unsere Interessen, unsere Vorlieben, ja sogar unsere tiefsten Überzeugungen. Und das oft ohne, dass wir wirklich zustimmen. Wir klicken auf einen Cookie-Banner, der kompliziert und verwirrend ist. Wir akzeptieren Bedingungen, die wir nicht verstehen. Und dann glauben wir, unsere Daten seien in guten Händen.
Doch was passiert, wenn ein Nutzer nicht länger hinnehmen will, wie mit seinen personenbezogenen Informationen umgegangen wird? Wenn er Klarheit und Kontrolle einfordert – und damit vor Gericht zieht? Genau das ist geschehen. Und der Oberste Gerichtshof (OGH) hat Ende 2025 eine Entscheidung getroffen, die weitreichende Folgen für Nutzerinnen und Nutzer hat. Wer soziale Netzwerke nutzt, sollte das DSGVO-Urteil OGH 2025 kennen. Es zeigt: Ihre Rechte sind stärker, als viele Plattformen zugeben wollen.
Der Sachverhalt: Ein Kampf David gegen Goliath
Ein österreichischer Nutzer eines großen internationalen sozialen Netzwerks – im Urteil anonymisiert als „F*.com“ – hatte genug. Er störte sich an der heimlichen Datenverarbeitung der Plattform. Sie nutzte seine Informationen für personalisierte Werbung, verfolgte ihn mittels Tracking-Technologien auf Drittseiten und sammelte dabei auch sehr persönliche Daten – etwa solche zu politischen Einstellungen oder sexueller Orientierung. All das – so sein Vorwurf – ohne eine gültige, klare Zustimmung.
Doch damit nicht genug: Als der Nutzer wissen wollte, welche Daten genau über ihn gespeichert seien, erhielt er nur unvollständige, pauschale Antworten. Seine wiederholten Auskunftsanfragen blieben unbeantwortet oder unzureichend. Die Plattform berief sich auf Vertragserfüllung und Geschäftsinteresse – und meinte, ihre Datenschutzpraxis sei vollkommen legitim.
Der Nutzer klagte schließlich. Konkret forderte er:
- Die Unterlassung der unzulässigen Verarbeitung personenbezogener Daten ohne wirksame Einwilligung;
- Die umfassende Beantwortung seiner Datenschutzanfragen gemäß Art. 15 DSGVO;
- Eine Feststellung, dass frühere, pauschale Einwilligungen in die AGB der Plattform unwirksam seien;
- Die Unterlassung der Verarbeitung besonders sensibler Daten ohne ausdrückliche Zustimmung;
- Vollständige Auskunft über sämtliche gespeicherten Daten – nicht nur ausgewählte.
Diese Klage entwickelte sich rasch zu einem Musterprozess. Er konfrontierte die alltägliche Praxis großer Plattformen mit dem Schutzstandard der DSGVO – und stellte die Frage: Wie viel Kontrolle haben Nutzerinnen und Nutzer wirklich über ihre Daten?
Die Rechtslage: Was sagt die DSGVO – und was muss eingehalten werden?
Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 direkt in ganz Europa anwendbar. Sie soll sicherstellen, dass personenbezogene Daten geschützt und nur unter konkreten Bedingungen verwendet werden dürfen. Zentrale Grundsätze dabei sind:
1. Datenverarbeitung nur mit Rechtsgrundlage
Art. 6 DSGVO nennt die sechs zulässigen Rechtsgrundlagen für Datenverarbeitung – darunter insbesondere:
- Die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a);
- Die Verarbeitung, die zur Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit. b);
- Ein berechtigtes Interesse des Verantwortlichen – allerdings nur, wenn keine Interessen der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f).
2. Besondere Kategorien unter besonderem Schutz
Art. 9 DSGVO verbietet grundsätzlich die Verarbeitung besonderer Kategorien personenbezogener Daten – z. B. Informationen zu Gesundheit, sexueller Orientierung, religiöser oder politischer Überzeugung – es sei denn, es liegt eine ausdrückliche Einwilligung der betroffenen Person vor.
3. Auskunftsrecht der Betroffenen
Nach Art. 15 DSGVO hat jede betroffene Person das Recht zu erfahren:
- Welche personenbezogenen Daten verarbeitet werden;
- Zu welchem Zweck und auf welcher Grundlage;
- An wen die Daten übermittelt werden;
- Wie lange die Daten gespeichert werden;
- Woher die Daten stammen, wenn sie nicht bei der betroffenen Person selbst erhoben wurden.
Diese Auskunft muss kostenlos, vollständig und nachvollziehbar erfolgen.
Die Entscheidung des Gerichts: Ein Urteil mit Signalwirkung
Der OGH bestätigte zentrale Anliegen des Nutzers – und verpasste datenverarbeitenden Plattformen einen ordentlichen Dämpfer. Im Einzelnen entschied das Gericht wie folgt:
✅ Werbezweck = Einwilligungsbedürftig
Das Netzwerk darf personenbezogene Nutzerdaten nicht ohne ausdrückliche Zustimmung für zielgerichtete Werbung verwenden. Die bloße Tatsache, dass ein Nutzer die Plattform verwendet, genügt nicht als Einwilligung. Auch die Berufung auf Vertragserfüllung wurde zurückgewiesen – Werbung sei kein notwendiger Bestandteil der Nutzung, sondern diene ausschließlich dem Geschäftsinteresse des Unternehmens.
✅ Kein heimliches Tracking auf Drittseiten
Die Sammlung von Informationen bei Besuchen auf Drittseiten – etwa über Social Plugins oder Werbe-Cookies – ist nur zulässig, wenn eine klare Zustimmung („Opt-in“) vorliegt. Besonders kritisch: Wenn aus diesen Daten Rückschlüsse auf sensible Sachverhalte (z. B. religiöse oder sexuelle Orientierung) gezogen werden, ist eine ausdrückliche Zustimmung zwingend erforderlich (Art. 9 DSGVO).
✅ Vollständiges Auskunftsrecht
Das Netzwerk muss dem Nutzer alle gespeicherten personenbezogenen Daten mitteilen – nicht nur eine Auswahl oder Zusammenfassung. Auch internen Ableitungen, aggregierten Verhaltensprofilen oder automatisierten Gewichtungen ist mitteilungsbedürftig. Eine selektive Informationspolitik verletze das Auskunftsrecht nach Art. 15 DSGVO.
❌ Abweisung: Keine Feststellung zur früheren Zustimmung
Der Wunsch des Klägers, gerichtlich feststellen zu lassen, dass seine früheren AGB-Zustimmungen ungültig seien, wurde abgewiesen. Begründung: Eine solche negative Feststellung sei nicht verfahrenszielkonform im Zivilverfahren – dies sei den Datenschutzbehörden oder Verwaltungsverfahren vorbehalten.
Praxis-Auswirkung: Drei konkrete Beispiele für Bürger
1. Sie dürfen unvollständige Datenschutzauskünfte nicht akzeptieren
Wenn Sie ein Auskunftsbegehren an ein Online-Unternehmen stellen (z. B. nach Art. 15 DSGVO) und erhalten nur allgemeine oder fragmentarische Antworten: Fordern Sie nach. Das Unternehmen muss vollständig, verständlich und strukturiert Auskunft geben – zu allen gespeicherten Daten.
2. Ungültige Cookie-Banner reichen nicht – echte Zustimmung ist nötig
Wenn Sie eine Website betreten und dort per Cookie-Banner zu weitreichendem Tracking überredet werden sollen, gilt: Nur eine echte, freiwillige und informierte Zustimmung ist wirksam. Pauschale „Zustimmungsfelder“ oder versteckte Hinweise im Kleingedruckten erfüllen die DSGVO-Anforderungen nicht und sind potenziell rechtswidrig.
3. Sensible Daten? Ohne ausdrückliches Einverständnis tabu!
Auch wenn Sie Angaben zu Ihrer sexuellen Orientierung, politischen Überzeugung oder Religionszugehörigkeit freiwillig auf einem Profil posten – deren Auswertung darf nicht ohne ausdrückliche Einwilligung erfolgen. Die Plattform darf daraus keine Marketingprofile oder Verhaltenstrends ableiten, solange Sie dies nicht explizit und informiert erlaubt haben.
FAQ: Häufige Fragen zum OGH-Urteil und Datenschutz auf Plattformen
1. Muss ich Social Media-Diensten meine sensiblen Daten explizit verbieten?
Nein – im Gegenteil: Das Gesetz verbietet deren Verarbeitung sogar von sich aus, es sei denn, Sie stimmen ausdrücklich zu. Eine Plattform darf nicht davon ausgehen, dass Ihr öffentliches Profil automatisch eine Erlaubnis zur Datenanalyse darstellt. Ihre Rechte gelten unabhängig davon, ob Sie Angaben „freiwillig“ online gestellt haben.
2. Was kann ich tun, wenn mir ein Netzwerk keine vollständige Auskunft gibt?
Setzen Sie eine schriftliche Frist zur Nachbesserung (z. B. 14 Tage). Kommt auch dann keine korrekte Auskunft, können Sie sich an die Datenschutzbehörde wenden oder einen Anwalt einschalten. In vielen Fällen besteht zusätzlich Anspruch auf Schadenersatz, wenn Ihnen durch die unzureichende Auskunft ein Nachteil entstanden ist (Art. 82 DSGVO).
3. Sind alle bisherigen Einwilligungen, die ich einmal gegeben habe, jetzt ungültig?
Nicht automatisch – aber viele Einwilligungen, die über „Zwangs-Checkboxen“ oder durch undurchsichtige AGB eingeholt wurden, halten einer rechtlichen Prüfung nicht stand. Nur wer freiwillig, informiert und konkret zustimmt, gibt eine wirksame Zustimmung. Bestehen Zweifel, ob Ihre Zustimmung wirksam war, sollten Sie diese widerrufen und gegebenenfalls die Löschung Ihrer Daten verlangen.
Fazit: Ihre Daten – Ihre Rechte
Mit seinem Urteil hat der OGH ein klares Zeichen gesetzt: Die wirtschaftlichen Interessen internationaler Plattformen rechtfertigen keinen Freibrief für intransparente, übergriffige Datenverarbeitung. Das DSGVO-Urteil OGH 2025 zeigt, dass die DSGVO ernst genommen werden muss – und ihre Einhaltung lässt sich rechtlich durchsetzen.
Für Bürgerinnen und Bürger bedeutet das: Sie dürfen mehr verlangen. Mehr Transparenz. Mehr Kontrolle. Und vor allem: Mehr Respekt gegenüber ihren persönlichen Informationen.
Wer unsicher ist, ob er genug über seine Daten weiß – oder ob eine Plattform mit seinen Informationen korrekt umgeht – sollte nicht zögern, die eigenen Rechte geltend zu machen. Denn: Datenschutz ist kein Bürokratiehindernis – sondern ein Grundrecht.
Benötigen Sie Unterstützung bei einer Auskunftsanfrage oder vermuten einen Datenschutzverstoß? Unsere Rechtsanwaltskanzlei in 1010 Wien steht Ihnen mit fachlicher Expertise und rechtlichem Durchsetzungswillen zur Seite.
Rechtliche Hilfe bei DSGVO-Urteil OGH 2025?
Kontaktieren Sie unsere Rechtsanwaltskanzlei in 1010 Wien: Beratungstermin vereinbaren.