Die Recherche über Prozessgegner im Internet ist für einige Unternehmen ein alltägliches Werkzeug. Ein aktuelles Urteil des AG Düsseldorf vom 19.08.2025 (Az. 42 C 61/25) geht auf die diesbezüglichen „Spielregeln“ der DSGVO ein. Wer die DSGVO-Informationspflichten hinsichtlich der Recherche nicht erfüllt, riskiert auch bei Rechtmäßigkeit der Recherche Schadensersatz an die betroffene Person leisten zu müssen. Hierzu ein Überblick.
Der Inhalt im Überblick
Die Internetrecherche: Legitimes Mittel mit datenschutzrechtlichen Hürden
Im Unternehmensalltag ist es üblich, sich vor und während eines Rechtsstreits mittels Internetrecherche über die Gegenseite zu informieren. Ziel ist es, Risiken besser einzuschätzen und die eigene Verhandlungsposition zu stärken – beispielsweise indem dadurch ein rechtsmissbräuchliches Verhalten aufgedeckt und für die eigene Verteidigung verwendet werden kann.
Jedoch dürfen dabei einige datenschutzrechtliche Hürden nicht vergessen werden:
Jede Internetrecherche über eine natürliche Person (z. B. eine Prozesspartei) inklusive der Kenntnisnahme der Ergebnisse (z. B. Geburtsdatum, beruflicher Werdegang, Fotos, etc.) stellt eine Erhebung bzw. Verarbeitung personenbezogener Daten dar (vgl. Art. 4 Nr.2 DSGVO) und eröffnet damit den Anwendungsbereich der DSGVO.
Für diese Verarbeitung benötigt ein Unternehmen zunächst eine Rechtsgrundlage (vgl. u.a. Art. 6 DSGVO).
Im Fall des AG Düsseldorf (Az. 42 C 61/25) googelte das beklagte Unternehmen den Namen des Klägers, um sich über ihn für ein arbeitsgerichtliches Verfahren zu informieren und berief sich in einem dort übermittelten gerichtlichen Schriftsatz auf bestimmte Rechercheergebnisse. Über diese Recherche hatte der Kläger bis dahin keine Kenntnis.
Das AG Düsseldorf bestätigt in seiner Entscheidung, dass eine Internetrecherche zur Wahrnehmung berechtigter Interessen im Rahmen der Rechtsverteidigung ein legitimes Mittel sein kann – sich dann also auf die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gestützt werden könne. Dies zumindest dann, wenn es sich um öffentlich zugängliche Daten handelt. Überwiegende Interessen oder Rechte der betroffenen Person waren nicht erkennbar.
Entscheidend: Inhalt, Zeitpunkt und Adressat der Information
Obwohl die Recherche und damit Verarbeitung in dem Fall selbst zulässig gewesen sei, dürfe sie in diesem Fall nicht im Verborgenen bleiben – so sieht es Art. 14 DSGVO bzw. die darin enthaltenen Informationspflichten laut dem Gericht hinsichtlich personenbezogenen Daten vor, die nicht bei der betroffenen Person erhoben wurden.
Nach Auffassung des Gerichts müsse die betroffene Person direkt vom Verantwortlichen unmittelbar nach der Recherche über die Datenverarbeitung gemäß dem von Art. 14 DSGVO vorgegebenen Inhalt informiert werden. Weder sei die betroffene Person direkt, unmittelbar noch ausreichend informiert worden – ein Verstoß gegen die Informationspflicht läge damit vor.
Ableitung und Ablehnung von Ausnahmen jedoch unklar
Woraus das AG Düsseldorf ableitet, dass die Information unmittelbar nach der Recherche und direkt an die betroffene Person während eines gerichtlichen Verfahrens erfolgen müsse, bleibt mangels rechtlicher Erläuterungen hierzu jedoch leider unklar.
Hinsichtlich „Unmittelbar nach der Recherche“
Dass die Informationen „unmittelbar nach der Recherche“ erteilt werden müssen, steht nicht direkt in Art. 14 DSGVO.
Allerdings bestimmt Art. 14 Abs. 3 a) DSGVO, dass die Information zu erteilen ist:
„[…] unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats.“
Womöglich hat sich das Gericht daran orientiert und die Frist aufgrund der darin genannten und auslegungsfähigen „Angemessenheit“ mit „unmittelbar nach der Recherche“ äußerst kurz ausgelegt.
Auch die anderen beiden Fristvorschriften im Rahmen des Art. 14 Abs. 3 DSGVO (b und c) sehen keine unmittelbare Information nach erfolgter Recherche vor.
In Anbetracht dieses Urteils und damit einhergehenden Risikos sollte unmittelbar nach einer Recherche informiert werden.
Hinsichtlich dem Adressaten der Information
Die Pauschalierung des Gerichts, dass eine Informationsmitteilung im Rahmen eines gerichtlichen Schriftsatzes nicht für eine Information ausreichen würde, sondern nur eine direkte Mitteilung an die betroffene Person, ist schwer verständlich.
Denn in Art. 14 Abs. 5 a) DSGVO ist eine Ausnahme von der Informationspflicht für den Fall vorgesehen, dass die betroffene Person bereits über die Informationen verfügt. Ob sie diese aus einem an sie weitergeleiteten Schriftsatz entnimmt oder aus einer direkten Mitteilung des Verantwortlichen an sich, dürfte keinen Unterschied machen.
Wobei die Direktinformation der betroffenen Person natürlich den zuverlässigsten Informationsweg darstellt, da nicht absehbar ist, ob und wann Mitteilungen an anderweitige Empfänger über diese an die betroffene Person weitergeleitet werden.
Hinsichtlich dem Umstand des laufenden gerichtlichen Verfahrens
Das Gericht ging leider auch nicht auf die vom beklagten Unternehmen angeführte Ausnahme aus Art. 14 Abs. 5 b) DSGVO ein, nach der keine Informationen erteilt werden müssten,
„[…] wenn und soweit die […] genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.“
Unterlegt wurde das u. a. damit, dass die Information des Klägers über die Recherche die Verteidigung der Beklagten im arbeitsgerichtlichen Verfahren beeinträchtigen würde.
Inwiefern das eine Verteidigung oder Verteidigungsstrategie jedoch unmöglich machen oder ernsthaft beeinträchtigen würde, ist in diesem Fall ohne Weiteres aber auch nicht nachvollziehbar.
Schadensersatz wegen Kontrollverlust
Ausgehend von einem Verstoß gegen die Informationspflichten verurteilte das AG Düsseldorf das beklagte Unternehmen nach Art. 82 Abs.1 DSGVO zur Zahlung von 250 Euro an immateriellem Schadensersatz (zzgl. Zinsen). Diese im konkreten Einzelfall zu bestimmende Höhe orientierte sich u. a. daran, dass die Recherche außerhalb des Rechtsstreits keine Außenwirkung entfaltete.
Laut dem Gericht müsse für einen Schadensersatzanspruch kein erheblicher Nachteil nachgewiesen werden. Bereits der durch die fehlende Information erlittene Kontrollverlust über die eigenen personenbezogenen Daten stelle einen ersatzfähigen Schaden dar.
Transparenz ist Pflicht
Das Urteil des AG Düsseldorf zeigt: Transparenz ist nicht immer eine Option, sondern gegebenenfalls eine Pflicht. Das kann auch bei Internetrecherchen über Prozessgegner der Fall sein. Eine proaktive und dokumentierte Erfüllung der Informationspflichten ist dann zur Vermeidung von Schadensersatzverpflichtungen wegen Nichterfüllung unvermeidbar.
Heute ist doch garnicht der 1. April! Der Artikel liest sich wie ein Aprilscherz. Wie soll denn der Gegner beweisen, dass ich eine Inforamation aus DuckDuckGo habe oder ich die sowieso schon wusste oder weil einer aus meinem Team das mal irgendwo gehört hat. Das ganze ist absurd juristisch.
Das Urteil ist doch hanebüchen. Was ist denn mit § 33 Abs. 1 Nr. 2 lit. a) BDSG?
Das ist ein guter Punkt. Darauf ging das Gericht leider nicht ein. Ähnlich wie bei Art. 14 Abs.5 lit. b DSGVO („ernsthaft beeinträchtigt“) würde es wohl darauf ankommen, wie weit „beeinträchtigen“ der Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche im Sinne des § 33 Abs.1 Nr.2 lit. a BDSG auszulegen ist – und natürlich, ob das in diesem Einzelfall auch erfüllt wäre.
Da das Gericht die Berufung ausdrücklich zugelassen hat, kommt es hierzu möglicherweise noch zu einer gerichtlichen Auseinandersetzung.