Zum ersten Mal in Deutschland ist Meta Platforms rechtskräftig zu Schadenersatz verurteilt worden, weil es mittels seiner Meta Business Tools personenbezogene Daten auf fremden Webseite und Apps erntet und dann ohne wirksame Zustimmung verarbeitet. Das Oberlandesgericht Dresden (OLG) hat dabei in vier parallelen Entscheidungen sogar die Revision zum Bundesgerichtshof (BGH) ausgeschlossen, weil die Sache auf Ebene der Obergerichte eindeutig gesehen werde. Dabei verweist es auf das OLG München, das ebenfalls gegen Meta geurteilt hat. Dennoch sind die Sichtweisen der beiden OLG nicht deckungsgleich.

Im Zentrum steht der Kontrollverlust, den Betroffene über ihre Daten erleiden. Sie wissen nicht, auf welchen Webseiten und Apps welche Daten über sie erhoben und an Meta weitergereicht werden, und was Meta dann damit macht. Das OLG Dresden (Az 4 U 292/25) spricht von einer „unabsehbaren Vielzahl personenbezogener Daten, darunter je nach Einzelfall auch Gesundheitsdaten oder Daten zur sexuellen Orientierung”. Die geernteten Informationen nutzt der Konzern für eigene Zwecke, nicht zuletzt den Zuschnitt von Reklame. Entgegen Metas Darstellung ist das keine Leistung im Interesse Betroffener.

Zwar werden personenbezogene Daten vor Übertragung an Meta gehasht, aber mit dem selben Verfahren, das Meta intern einsetzt. Daher kann das Unternehmen die Hashes laut OLG Dresden „in den meisten Fällen” zuordnen.

Kontrollverlust

Der Verlust der Kontrolle über eigene Daten begründet Schadenersatz nach Art 82 Datenschutzgrundverordnung – denn weder hat Meta wirksame Zustimmung der Betroffen eingeholt, noch kann es sich auf andere Rechtfertigungsgründe stützen. Darin sind sich die OLG-Senate 4 in Dresden und 14 in München (Az 14 U 1068/25e) einig.

Und es kommt noch schlimmer für Meta: Auch ohne nachgewiesene Datensammlung droht laut OLG Dresden Schadenersatzpflicht. Nämlich dann, wenn der Kläger zeigen kann, dass er sich begründet davor fürchtet, dass auf unabhängigen Webseiten seine Daten gesammelt und von Meta missbräuchlich verwendet werden, und dass diese begründete Furcht negative Folgen gehabt hat. Rein hypothetisches Risiko, oder Furcht ohne negative Folgen, reichen demnach nicht.

Schadenersatz variiert

Da es sich um immaterielle Schäden handelt, ist der konkrete Schadenersatz schwer zu beziffern. Er soll keine Straf- oder Abschreckungsfunktion haben. Das Landgericht Leipzig hat im Juli einem „typisch” Betroffenen 5.000 Euro zuerkannt, ohne konkrete Umstände zu erheben. Das OLG Dresden belässt es bei 1.500 Euro und merkt an, dass es bei dargelegter „psychischer Beeinträchtigung” mehr zugesprochen hätte.

Das OLG München hingegen gesteht in dem heise online vorliegenden Urteil nur halb so viel zu und verweist dabei sogar darauf, dass es sich um einen besonderen Fall handelt. Die Klägerin sei „aufgrund ihrer gesundheitlichen Probleme überdurchschnittlich empfindlich, und ihre Probleme wurden durch den streitgegenständlichen Vorfall ‚befeuert‛.” Außerdem seien sensible Daten, nämlich zur Gesundheit der Klägerin, betroffen. Einem gesunden Betroffenen hätte der Münchner Senat 14 also wohl weniger Schadenersatz gegeben.

Wo sich deutsche Gerichte einpendeln werden, bleibt abzuwarten. Bislang zeigt sich, dass über den Durchschnittsfall hinausgehende Beeinträchtigungen höheren Schadenersatz nach sich ziehen, sofern das im Verfahren dargelegt wird. Minderjährige können wohl mit höheren Geldbeträgen rechnen, als Erwachsene. Dem Vernehmen nach sind einzelne Landgerichte bei Minderjährigen schon bis 10.000 Euro gegangen.

Unterlassung

Beide OLG erlegen Meta auf, die Datensammlung zu unterlassen. Das gilt zwar nur hinsichtlich der jeweiligen Kläger, könnte Meta aber härter treffen, als Schadenersatzzahlungen in ein ein paar zehntausend Fällen. Meta lukriert mit zugeschnittener Werbeausspielung in Europa größenordnungsmäßig eine Milliarde US-Dollar pro Woche. Damit lassen sich einige drei- oder vierstellige Schadenersatzzahlungen bestreiten.

Doch beide OLG drohen mit bis zu 250.000 Euro Ordnungsgeld pro Verstoß gegen den Unterlassungsbefehl. Gleichzeitig halten die Dresdner fest, dass nicht erst die Verwendung der Daten durch Meta, sondern schon ihre Übermittlung an Meta und ihr Abgleich mit internen Informationen als Datenverarbeitung nach Art 4 Z 2 DSGVO gilt – etwa die Nachschau, ob die beobachtete Person ein Meta-Konto hat. Meta muss also die Funktionsweie Business Tools selbst überarbeiten, um zu verhindern, dass Daten der erfolgreichen Kläger überhaupt an Meta fließen. Wie das ohne Umstellung auf Opt-In effizient gehen soll, ist nicht ersichtlich. Damit steht und fällt Metas Geschäftsmodell im Europäischen Wirtschaftsraum (EWR).

Juristisch stützen beiden OLG den Unterlassungsanspruch nicht direkt auf die DSGVO, sondern auf das deutsche Persönlichkeitsrecht. Das ist eine gute Nachricht für Meta, weil die deutschen Urteile damit weniger leicht auf andere Staaten im EWR umgelegt werden können. Konkret zitiert das OLG Dresden „§ 823 Abs 1 BGB iVm Art 2 Abs 1 Art 1 Abs 2 GG; § 823 Abs 2 BGB iVm Art 6 DSGVO, jeweils iVm § 1004 Abs 1 S 2 BGB analog”, während die Münchner es mit „entsprechender Anwendung der §§ 1004 Abs 1 S 2, 823 Abs 1 BGB” simpler angehen.

Zusätzlich sehen die Münchner Richter, dass auch der zwischen Meta und der Klägerin geschlossene Vertrag für deren Meta-Konto die Unterlassungspflicht begründet: „Durch die rechtswidrige Datenverarbeitung hat (Meta) gegen eine (Haupt- oder Neben-) Pflicht des Nutzungsvertrages verstoßen, und (Meta) tut es – soweit ersichtlich – weiterhin.” Allerdings schränken die bayrischen Richter ein, dass dem Facebook-Betreiber nicht jegliche Verarbeitung personenbezogener Daten der Klägerin auf alle Zeit untersagt wird. Einerseits könnte die Frau ja irgendwann zustimmen, andererseits gibt es gewisse Datenverarbeitungen, die laut DSGVO auch ohne Zustimmung zulässig sind. Nur weil Meta solche Verarbeitungen im aktuellen Verfahren nicht dargelegt habe, sei nicht auszuschließen, dass dies dem Konzern nicht eines Tages gelingen könnte.

Im Vorfeld eines neuen, umfassenden Digitalgesetzes für das deutsche Gesundheitswesen – ursprünglich waren zwei angekündigt – treffen unterschiedliche Erwartungen aufeinander. Während die Kassenärztliche Bundesvereinigung (KBV) eine stabile und praxistaugliche technische Basis verlangt, drängt der Medizintechnik-Verband BVMed auf neue Datenfunktionen in der elektronischen Patientenakte (ePA).

Praxiszukunftsgesetz gefordert

Die Forderungen der Verbände zeigen, wie weit die Perspektiven auseinandergehen. Für die KBV muss die Technik endlich den medizinischen Bedürfnissen folgen. KBV-Vorstandsmitglied Dr. Sibylle Steiner hat dazu erklärt, dass die Digitalstrategie stärker medizinisch ausgerichtet sein müsse: „Das heißt, die Technik sollte geräuschlos und reibungslos im Hintergrund laufen. Das muss 2026 das Ziel sein“.

Sie verwies auf den „echten Rückschlag“, den die Umstellung des Verschlüsselungsverfahrens 2025 bedeutet habe, da sich die Ärzteschaft erneut um „technische Basisdienste kümmern musste“, was viel Energie gekostet habe. Aufgrund einer Sicherheitslücke bei einem Chiphersteller müssen nun sogar Ärzte, die bereits eine neue ECC-fähige Karte besitzen, diese erneut austauschen. Obwohl die Praxen Vorreiter bei der Digitalisierung und die ePA bereits „gelebte Realität“ sei, dürfe „keinesfalls aus dem Blick geraten“, dass grundlegende Funktionen wie das Hoch- und Herunterladen von Daten noch immer „zeitaufwendig und mühsam“ seien. „Deshalb ist es mehr als notwendig, dass die Volltextsuche auch möglichst bald kommt“, so Steiner weiter. Zudem müsse die Kommunikation über den E-Mail-Dienst KIM verbessert und der Wechsel von Praxisverwaltungssystemen (PVS) durch „sichere, kostenfreie Datenmigration“ erleichtert werden.

Großer Markt an Anbietern

Der unter anderem für die ePA zahlreicher Krankenkassen zuständige IT-Dienstleister Bitmarck hingegen verteidigt die Stabilität der eigenen Plattform, diese habe sich bereits verbessert. „In einigen Bereichen ist die Zahl der Anbieter einfach zu groß, vor allem bei den PVS-Systemen. Zu viel Individualität macht die TI aber störungsanfällig. Hier müssen wir daher dringend zu Standards kommen, die in der Entwicklung und im Betrieb auch verbindlich eingehalten werden“, fordert Geschäftsführer Andreas Strausfeld verbindliche Standards.

Parallel kündigt Strausfeld in einem Interview mit eHealth-com Pläne zur KI-Initiative „NexKomm“ (Next Generation of Communication) an: „Diese führt unterschiedliche Kommunikationsströme – Telefon, App, auch TI-Messenger – auf einer gemeinsamen Plattform zusammen. Davon profitieren sowohl Krankenkassen als auch Versicherte“. Als Reaktion auf den demografischen Wandel bei der Belegschaft der Krankenkassen soll die Plattform Kommunikationskanäle bündeln und durch den Einsatz von KI-Techniken Mehrwerte aus den Daten generieren, um Prozesse zu automatisieren und zu beschleunigen. Dieses Konzept hieß einst Unified Communications.

„Device-Fach“ für Patientenakte

Ganz anders die Prioritäten des BVMed. Er will die ePA zur Datensammelstelle für Medizintechnik ausbauen und fordert ein strukturiertes „Device-Fach“ für Informationen aus Herzschrittmachern oder Insulinpumpen, um Versorgung und Forschung zu verbessern. Für digitale Gesundheitsanwendungen gibt es die Anbindung bereits. „Wird ein Medizinprodukt dauerhaft genutzt oder implantiert, sollte dieses Fach automatisch angelegt werden und zentrale Informationen wie Hersteller, Geräteart, Implantationszeitpunkt, Seriennummer oder Implantatpass enthalten. Somit können gesundheitsrelevante Informationen bei Bedarf schnell und sicher im Versorgungsgeschehen abgerufen werden“, sagt BVMed-Digitalexpertin Natalie Gladkov des BVMed. Damit wären alle Informationen zentral verfügbar. „In der ePA werden diese Informationen bislang nicht strukturiert abgebildet. Dadurch gehen relevante Informationen für verschiedene Versorgungsebenen verloren und stehen auch nicht für Forschung und Entwicklung zur Verfügung“, bemängelt Gladkov.

Wie durchwachsen die Probleme mit der Software in Arztpraxen sind, zeigt unter anderem eine Befragung des Zentralinstituts für die kassenärztliche Versorgung (Zi) unter mehr als 3.100 Praxisinhabern. Demnach ist die Mehrheit mit ihrer Software unzufrieden, jede dritte Praxis erwägt einen Wechsel. Als Hauptgründe werden mangelnde Nutzerfreundlichkeit, zu hohe und intransparente Lizenzgebühren sowie unzureichender Kundensupport genannt. Das Einlesen der elektronischen Gesundheitskarte wird von 82,1 Prozent der Befragten als fehleranfällig bewertet, die Konnektor-Verbindung zur TI von 81,4 Prozent. Selbst das E-Rezept produziert bei fast zwölf Prozent der Praxen noch täglich Fehlermeldungen. Die Sorge vor Problemen bei der Datenmigration bremst einen Wechsel, obwohl über 72 Prozent der Praxen, die den Schritt gewagt haben, von einer reibungslosen Migration berichten. Daher fordert die KBV den sicheren und kostenfreien Wechsel des PVS.

Qualititätsunterschiede in Praxissoftware

Diese Ergebnisse decken sich mit einer ebenfalls kürzlich veröffentlichten Befragung der Gematik (PDF) zur Nutzerfreundlichkeit der Praxisverwaltungssysteme. Auch sie stellt große Unterschiede bei den Softwareanbietern bezüglich der Fehlermeldungen und des Supports fest. Die Umsetzung der ePA-Module in den verschiedenen Systemen klafft demnach weit auseinander.

Trotz dieser bekannten Mängel treiben die Verantwortlichen die Weiterentwicklung voran. Bereits im Herbst 2025 hat die Gematik neue Funktionserweiterungen für die ePA angekündigt, darunter Pushbenachrichtungen, eine Volltextsuche, den elektronischen Medikationsplan und Laborbefunde. Die Gematik meinte im September 2025, die ePA sei technisch „state of the art“ und bereits „KI-ready“. Gleichzeitig verschärft sich die Debatte um Datenzugriffe: Bereits Ende 2025 haben die Krankenkassen in einem Positionspapier gefordert, als „digitale Lotsen“ agieren und tagesaktuelle Versorgungsdaten für eigene KI-gestützte Präventionsangebote nutzen zu dürfen.

Die Ärzteschaft warnte umgehend vor einer Aushöhlung der Schweigepflicht, auch in Bezug auf den Europäischen Gesundheitsdatenraum (EHDS). Erst kürzlich hat das Deutsche Psychotherapeuten Netzwerk (DPNW) sich dafür eingesetzt, dass die ePA bei der Umsetzung der E-Evidence-Verordnung als „observationsfreier Raum“ festgesetzt wird. „Die Zusage des Bundesjustizministeriums ist ein wichtiges Signal für den Schutz der Persönlichkeitsrechte von Patientinnen und Patienten. Psychotherapie braucht einen geschützten Raum – das gilt analog wie digital. Dass die ePA künftig ausdrücklich als observationsfreier Raum gelten soll, ist ein Erfolg der Intervention des DPNW,“ erklärt der DPNW-Vorsitzende Dieter Adler.

Aktuell laufen die Vorbereitungen für den Aufbau des EHDS, in dem in den nächsten Jahren Gesundheitsdaten für die Versorgung und Forschung ausgetauscht werden. Auf nationaler Ebene sind bereits Abrechnungsdaten beim Forschungsdatenzentrum Gesundheit zugänglich, sofern ein Antrag auf Datenzugang genehmigt wurde.

(mack)

Die Wahrung der Sicherheit und Konformität elektronischer Geräte auf dem deutschen Markt bleibt eine Daueraufgabe für die Bundesnetzagentur (BNetzA). 2025 hat die Marktüberwachung der Regulierungsbehörde insgesamt rund 7,7 Millionen mangelhafte Geräte identifiziert, die beispielsweise Funkstörungen verursachen können. Die Zahl der beanstandeten Produkte ist damit im Vergleich zum Vorjahr deutlich gestiegen.

2024 wurden rund 5,3 Millionen Geräte als nicht gesetzeskonform identifiziert. In den Vorjahren hatten die Kontrolleure oft aber noch mehr zu tun: 2021 etwa ließen sie fast 23 Millionen einschlägige Produkte vom Markt nehmen. Der Behörde geht es sowohl um fairen Wettbewerb als auch Schutz der Verbraucher.

Die bei den Stichproben entdeckten Defizite lassen sich grundsätzlich in zwei Kategorien unterteilen. Einerseits stoßen die Prüfer auf rein formale Mängel, wozu etwa das Fehlen einer CE-Kennzeichnung oder unzureichende Angaben zum verantwortlichen Unternehmen zählen. Andererseits machen sie grundlegende technische Mängel aus, die unmittelbare Auswirkungen auf die technische Infrastruktur haben können.

Gefährliche Störsignale und technische Risiken

Ein kritischer technischer Mangel ist das Überschreiten von Grenzwerten für Störaussendungen. In ihrer aktuellen Statistik zur Marktüberwachung nennt die Agentur beispielhaft einen Netzwerk-Switch sowie einen Wechselrichter für Photovoltaik-Batteriespeicher, bei denen massive Überschreitungen gemessen worden seien.

Solche Verstöße sind kein Kavaliersdelikt: Bei dem untersuchten Netzwerk-Switch stellten die Kontrolleure ein „hohes Risiko“ fest, da er vernetzte Produkte und sogar militärische Funkanwendungen stören könne. Die Störspannung auf der Netzleitung lag hier bis zu 26,48 dB über den zulässigen Werten.

Auch ein überprüfter Wechselrichter mit WLAN fiel durch erhebliche Grenzwertüberschreitungen bei Störspannung und -feldstärke auf. Die Bundesnetzagentur stufte das Gerät als besonders riskant ein, da es neben IP-Diensten auch Funkmikrofone sowie Rundfunk beeinträchtigen könne. Der Hersteller wurde aufgefordert, die Mängel zu beheben, stellte Produktion und Vertrieb des Modells aber lieber ein.

Falsche Versprechen im Onlinehandel

Ein Schwerpunkt der behördlichen Arbeit lag auch 2025 auf dem Onlinehandel, wo die Marktüberwachung 1.266 auffällige Angebote identifizierte. Die Zahl der betroffenen Produkte war hier mit etwa 5,4 Millionen Stück besonders hoch. Auffällig waren vor allem bestimmte Smartwatch-Modelle, die bereits im EU-Schnellwarnsystem Safety Gate gelistet waren. Diese Uhren warben mit Blutzuckermessung, die laut der Experten jedoch nur simuliert war.

Zusätzlich fehlte bei diesen Geräten oft die deutsche Bedienungsanleitung. Die Einhaltung des Funkanlagengesetzes war zudem nicht gewährleistet. Auch PMR446-Funkgeräte, oft als Walkie-Talkies verkauft, standen im Fokus, da sie unerlaubt zulassungspflichtige Frequenzen nutzten. Sobald die Bundesnetzagentur solche Angebote an die Plattformbetreiber meldete, löschten diese in der Regel umgehend.

Kontrollen im Ladenregal und an der Grenze

Im stationären Einzelhandel zeigt die Statistik ebenfalls einen Anstieg der Prüfaktivitäten: Die Zahl der 2025 kontrollierten Gerätetypen kletterte von 1.540 im Jahr 2024 auf über 2.100. Erschreckend hoch blieb die Fehlerquote, denn 58 Prozent der überprüften Typen hielten den gesetzlichen Vorgaben nicht stand. Das summierte sich auf rund 1,9 Millionen mangelhafte Geräte im klassischen Handel. Die Behörde sprach hierbei 707 Maßnahmen gegenüber Wirtschaftsakteuren aus, darunter zahlreiche Aufforderungen zur Mängelbehebung und Vertriebsverbote.

Eine wesentliche Stütze der Marktüberwachung ist die enge Verzahnung mit dem Zoll, um Importe aus Drittstaaten wie China bereits an der Grenze abzufangen. 2025 meldete der Zoll mit 8.202 verdächtigen Warensendungen deutlich mehr Fälle als im Vorjahr (5005). Die Treffsicherheit war hoch: In 89 Prozent der Fälle wurde der Zugang zum EU-Binnenmarkt untersagt. Dies verhinderte die Einfuhr fast 360.000 auffälliger Produkten.

Völliges Versagen bei Spielekonsole

Als markantes Beispiel aus der Zoll-Zusammenarbeit nennt der Regulierer eine Spielekonsole, die praktisch keine der erforderlichen Kriterien erfüllt hat. Dem Gerät fehlte nicht nur die CE-Kennzeichnung, sondern auch eine deutsche Bedienungsanleitung, die EU-Konformitätserklärung sowie jegliche Identifikationsmerkmale und die Herstelleradresse.

Trotz der hohen Zahlen an Beanstandungen gibt es auch positive Signale aus gezielten Kampagnen: Bei einer europäischen Prüfung kabelgebundener Staubsauger erfüllten rund 68 Prozent der Produkte die Anforderungen. In Deutschland wurden sechs Geräte geprüft, von denen lediglich eines formale Auffälligkeiten zeigte. Grenzwerte wurden nicht überschritten. Für die Zukunft plant die Bundesnetzagentur den erweiterten Einsatz von KI und Webcrawlern.

(mho)