Dass eine Information Auswirkungen auf eine bestimmte Person hat, macht sie noch nicht zu einem personenbezogenen Datum.
BGH, Urt. v. 18.12.2025 – I ZR 115/25
Diese Aussage wirkt auf den ersten Blick kühn. Haben uns die zurückliegenden Jahre seit Inkrafttreten der DSGVO, unzählige aufsichtsbehördliche Stellungnahmen und viele Gerichtsentscheidungen zu diesem Thema doch das Gefühl vermittelt, dass inzwischen fast jede Information Personenbezug hat und datenschutzrechtlich relevant ist.
Bei konsequenter Betrachtung der gesetzlichen Definition dieses Begriffs in Art. 4 Nr. 1 DSGVO ist die Aussage jedoch folgerichtig. Der Bundesgerichtshof (BGH) hat sie jedenfalls Ende des vergangenen Jahres zu einem verbindlichen Leitsatz gemacht und damit für’s erste abschließend eine Frage beantwortet, die die deutschen Obergerichte zuvor seit Jahren uneinheitlich entschieden hatten (BGH, Urteil v. 18.12.25 – Az.: I ZR 115/25).
Der Entscheidungssachverhalt entstammt dem Krankenversicherungsrecht, trägt aber eine datenschutzrechtliche Grundsatzfrage in sich, die über diesen Kontext hinausreicht:
Ein Versicherungsnehmer begehrte von seinem privaten Krankenversicherer auf Grundlage von Art. 15 Abs. 1 und 3 DSGVO Auskunft über seinen Beitragsverlauf. Konkret über Zeitpunkt und Höhe aller Beitragsanpassungen seit 2014 sowie die Zeitpunkte erfolgter Tarifwechsel sowie Tarifbeendigungen. Das Landgericht Leipzig hatte der Klage stattgegeben. Der BGH hob das Urteil am Ende auf.
Die einen sagen so, die anderen sagen so…
Das Bild, das die Instanzrechtsprechung vor dieser BGH-Entscheidung hinterlassen hatte, war uneinheitlich.
Einige Obergerichte – darunter OLG Rostock, OLG Brandenburg, OLG Frankfurt, OLG Karlsruhe und OLG Jena – hatten derartige Informationen als personenbezogene Daten eingestuft.
Zur Begründung stellten sie vor allem darauf ab, dass die jeweilige Beitragsanpassung individuell auf den einzelnen Versicherungsnehmer zugeschnitten sei und unmittelbare Auswirkungen auf die von ihm geschuldete Prämie habe (vgl. OLG Frankfurt, Urt. v. 10.12.2024 – 18 U 63/23; OLG Jena, Urt. v. 27.12.24 – 4 U 868/22). Für Informationen zu Tarifwechseln und Tarifbeendigungen wurde ergänzend argumentiert, diese geschähen individuell und nicht einheitlich für eine ganze Beobachtungseinheit, weswegen eine Bestimmbarkeit der betroffenen Person jedenfalls nicht ausgeschlossen erscheine (OLG Jena, a.a.O.).
Die Gegenansicht – vertreten insbesondere durch OLG Köln, OLG Schleswig, OLG Koblenz und zuletzt auch mehrfach durch das OLG Dresden – verneinte den Personenbezug.
Beitragsanpassungen beruhten auf abstrakten Berechnungsparametern für eine ganze Beobachtungseinheit und ließen keine Rückschlüsse darauf zu, wer der konkrete Versicherungsnehmer sei. Aus dem bloßen Anpassungsbetrag als solchen lasse sich nicht ablesen, wer in einem bestimmten Tarif versichert ist (vgl. OLG Köln, Urt. v. 13.6.2025 – 20 U 176/24; OLG Dresden, Urt. v. 4.2.2025 – 4 U 1627/22).
Und nun der BGH
Der BGH schließt sich der restriktiven Linie an. Seine Begründung ist dabei präziser als viele der untergerichtlichen Entscheidungen:
Ausgangspunkt ist die Definition des Art. 4 Nr. 1 DSGVO: Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Beziehen“ bedeutet nach der EuGH-Rechtsprechung, dass die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person in dem Sinne verknüpft ist, dass die Person auf Grundlage der Information identifiziert ist oder – direkt oder indirekt – identifiziert werden kann (vgl. EuGH, Urt. v. 19.10.2016 – C-582/14 – Breyer; EuGH, Urt. v. 7.3.2024 – C-604/22 – IAB Europe).
Die entscheidende Aussage des BGH lautet: Der Umstand, dass eine Information einen Sachverhalt betrifft, der Auswirkungen auf eine bestimmte Person hat, reicht für die Annahme eines personenbezogenen Datums allein nicht aus. Die Auswirkung auf eine Person ist nach diesem Verständnis eine notwendige, aber keine hinreichende Bedingung.
Hinzukommen muss, dass die Information es – für sich oder in Verbindung mit leicht zugänglichem Zusatzwissen – ermöglicht, die betroffene Person zu identifizieren. Ein bloßer Einfluss auf das Vertragsverhältnis (hier: Versicherungsverhältnis) genügt dafür nicht.
Das Berufungsgericht, so der BGH, habe diesen Maßstab verkannt, indem es die unmittelbaren Auswirkungen der Beitragsanpassungen auf die individuell geschuldete Prämie zum entscheidenden Kriterium erklärt hatte, ohne festzustellen, dass die Person des Versicherungsnehmers anhand dieser Informationen auch identifiziert oder identifizierbar wäre.
Dass der Kläger in den entsprechenden Tarifen versichert und von den Erhöhungen betroffen war, macht nach Auffassung der Karlsruher Richter(innen) die Tarif- und Beitragsinformationen noch nicht zu Daten über ihn – sie sind zunächst neutrale Preisinformationen, die erst durch zusätzliche, verknüpfende Informationen einen Personenbezug erhalten können.
Für Informationen über Tarifwechsel und Tarifbeendigungen differenziert der BGH weiter:
Schreiben, die die betroffene Person selbst an den Versicherer gerichtet hat, sind ihrem gesamten Inhalt nach personenbezogene Daten – die personenbezogene Information liegt bereits darin, dass die betroffene Person sich so geäußert hat. Das gilt aber nicht für die Folgedokumente des Versicherers. Ein Tarifwechsel als solcher ist eine aus der Sphäre des Unternehmens stammende Reaktion und wird nicht allein dadurch zum Datum über den Versicherungsnehmer, dass er auf dessen Erklärung beruht.
Das Argument, Tarifwechsel geschähen individuell, weswegen eine Bestimmbarkeit der Person nicht ausgeschlossen erscheine, lässt der BGH ebenfalls nicht gelten: Diese Schlussfolgerung verbleibe im Unklaren und werde nicht näher begründet. Sie reicht dem Gericht für sich genommen nicht aus, um einen Personenbezug zu begründen.
Ein bisschen Entwarnung für die Beauskunftung in der Unternehmenspraxis
Die Entscheidung hat eine unmittelbar praxisrelevante Aussage:
Nicht alles, was im Zusammenhang mit einer Person anfällt, sie betrifft oder sich auf sie auswirkt, ist zwingend ein personenbezogenes Datum i.S.d. DSGVO. Die Zugehörigkeit zu einem Vertragsverhältnis mit einer natürlichen Person genügt ebenso wenig wie die wirtschaftliche Betroffenheit durch eine Information. Maßgeblich ist stets, ob die Person bereits anhand der Information selbst – direkt oder indirekt – identifiziert werden kann.
Für Unternehmen und öffentliche Stellen, die mit Auskunftsansprüchen nach Art. 15 DSGVO konfrontiert sind, folgt daraus, dass die Vorfrage, ob die begehrten Informationen überhaupt personenbezogene Daten darstellen, mehr Aufmerksamkeit verdient, als ihr in der Praxis häufig gewidmet wird.
Informationen, technische Verlaufsdaten und abstrakte Angaben, die als solche keinen unmittelbaren Rückschluss auf die Identität einer Person erlauben, sind zunächst neutral. Sie erhalten ihren Personenbezug erst durch hinzutretende, verknüpfende Informationen. Fehlt es daran, unterfallen sie tatbestandlich nicht der DSGVO.
Wer diese Vorprüfung sorgfältig durchführt, hat eine solide Grundlage, um ein Auskunftsbegehren, das keine personenbezogenen Daten betrifft, begründet zurückzuweisen – und sollte das auch tun.