BGH konkretisiert die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DSGVO

Kontrollverlust als Schaden: Die Frage, wann ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO vorliegt, hat in den vergangenen Jahren zunehmend an Brisanz gewonnen. Sowohl Unternehmen als auch Gerichte sehen sich mit einer Flut an Klagen konfrontiert, in denen Betroffene teils symbolische, teils substanzielle Entschädigungen wegen Datenschutzverletzungen verlangen.

In seinem Urteil vom 14. Mai 2024 (Az. VI ZR 10/24) hat der Bundesgerichtshof (BGH) in beachtlicher Deutlichkeit klargestellt, dass bereits ein Kontrollverlust über personenbezogene Daten für sich genommen einen ersatzfähigen immateriellen Schaden darstellen kann – sofern er konkret und individuell nachgewiesen wird. Die Entscheidung ist richtungsweisend für die künftige Auslegung von Art. 82 DSGVO und verdient eine eingehende juristische Betrachtung.

Sachverhalt

Dem Urteil lag ein Fall zugrunde, bei dem unstreitig personenbezogene Daten des Klägers – darunter Name, E-Mail-Adresse, Telefonnummer und Bankverbindung – im Zuge eines Cyberangriffs durch Dritte abgegriffen und im sogenannten „Darknet“ veröffentlicht worden waren. Der Kläger machte geltend, dass er dadurch einen Kontrollverlust über seine Daten erlitten und sich subjektiv erheblich beeinträchtigt gefühlt habe. Er begehrte immateriellen Schadensersatz nach Art. 82 DSGVO.

Die Vorinstanzen hatten den Anspruch zurückgewiesen. Begründet wurde dies im Wesentlichen damit, dass der Kläger keine greifbaren Folgen oder objektiv feststellbaren Beeinträchtigungen dargelegt habe. Der BGH hob diese Entscheidungen auf und verwies die Sache an das Berufungsgericht zurück – nicht ohne selbst entscheidende rechtliche Maßstäbe zu setzen.

Juristische Würdigung

Begriff und Voraussetzungen des immateriellen Schadens

Zentral ist die Auslegung von Art. 82 DSGVO, wonach jede Person, der wegen eines Verstoßes gegen die Verordnung ein „materieller oder immaterieller Schaden“ entstanden ist, Anspruch auf Schadensersatz hat. Der BGH stützt sich maßgeblich auf die Entscheidung des Europäischen Gerichtshofs (EuGH) vom 4. Mai 2023 (C-300/21 – Österreichische Post), wonach ein bloßer Verstoß gegen die DSGVO allein noch keinen Schadenersatzanspruch begründet. Es müsse vielmehr ein tatsächlicher Schaden vorliegen – gleichwohl bedarf es keines bestimmten Schweregrades.

Vor diesem Hintergrund klärt der BGH, dass unter „immateriellem Schaden“ nicht nur psychische Belastungen im engeren Sinne – etwa Angst, Scham oder Stress – fallen, sondern auch strukturell bedingte, nicht-stoffliche Nachteile. In diesem Sinne sei bereits der Verlust der Kontrolle über eigene personenbezogene Daten – etwa durch deren unautorisierte Veröffentlichung – ein relevanter Schaden, der nicht auf rein subjektiv-gefühlsmäßiger Ebene verbleiben müsse.

Kontrollverlust als Schadensform

Der BGH betont, dass die zentrale Bedeutung des Schutzes personenbezogener Daten im Unionsrecht auch in einem Kontrollverlust über diese Daten selbst eine kompensationsfähige Rechtsverletzung sehen kann. Dabei genügt nicht jede abstrakte Möglichkeit der Weiterverbreitung oder -verwendung der Daten. Vielmehr muss der Kläger plausibel darlegen, dass infolge der Datenschutzverletzung eine reale Gefahr für die weitere Verwendung oder ein faktischer Verlust der Dispositionsmacht über die Daten eingetreten ist.

Der Kontrollverlust darf nicht in einem bloßen „Unbehagen“ bestehen, sondern muss in einer konkreten und ernstzunehmenden Beeinträchtigung bestehen – beispielsweise durch das Gefühl, den Überblick über den Verbleib der Daten endgültig verloren zu haben. Gerade in Fällen, in denen Daten dauerhaft im Darknet auftauchen, kann dies regelmäßig bejaht werden. Das Gericht lehnt es jedoch ab, pauschal jedem Datenleck einen Anspruch auf immateriellen Schadenersatz folgen zu lassen. Es bleibt bei der Einzelfallbetrachtung unter Einhaltung der unionsrechtlichen Vorgaben.

Anforderungen an die Darlegung des Schadens

Besonders instruktiv ist die Entscheidung auch hinsichtlich der Anforderungen an die Darlegungslast des Anspruchstellers. Der BGH stellt klar, dass Betroffene nicht verpflichtet sind, den genauen Umfang oder die konkrete Folge der Datenveröffentlichung lückenlos nachzuweisen. Ausreichend ist vielmehr, dass sie schlüssig und nachvollziehbar darlegen, dass infolge der Datenpanne ein realer Kontrollverlust und eine damit einhergehende spürbare Beeinträchtigung eingetreten sind. Dies könne auch durch Umstände belegt werden, die eine gewisse generalisierende Bewertung zulassen – etwa durch den Verweis auf den Sensibilitätsgrad der betroffenen Daten oder deren Zugänglichkeit für Dritte im Darknet.

Zugleich grenzt sich der BGH von einer rein symbolischen Betrachtung ab: Es bedarf eines tatsächlichen Nachteils, nicht lediglich eines DSGVO-Verstoßes an sich. Diese Linie entspricht dem unionsrechtlich vorgegebenen schadensbezogenen Kompensationsprinzip, das einen Ausgleich tatsächlicher Nachteile vorsieht, jedoch kein Strafschadensersatzregime nach US-amerikanischem Vorbild kennt.

Systematische Einordnung

Die Entscheidung fügt sich nahtlos in die europarechtlich geprägte Rechtsprechung zur DSGVO ein. Sie betont einerseits die Autonomie und Ernsthaftigkeit immaterieller Rechtspositionen – gerade im Bereich informationeller Selbstbestimmung – und wahrt andererseits das Erfordernis eines konkreten Schadensnachweises. Indem der BGH die Schwelle für einen „Kontrollverlust“ als Schaden nicht übermäßig hoch, aber auch nicht trivialisiert, positioniert er sich auf einer ausgewogenen Linie zwischen effektiver Rechtsdurchsetzung und Missbrauchsvermeidung.

In der Folge wird es vor allem auf die tatrichterliche Bewertung im Einzelfall ankommen: Wie plausibel ist das subjektiv empfundene Gefühl des Kontrollverlusts? Welche objektiven Anhaltspunkte gibt es für eine ernsthafte Beeinträchtigung der Datenhoheit? Und in welchem Ausmaß wirken sich die konkreten Umstände – etwa Art der Daten, Dauer der Verfügbarkeit, Reichweite der Verbreitung – auf die Schadenserheblichkeit aus?

Schlussfolgerung

Mit seinem Urteil schafft der Bundesgerichtshof eine brauchbare Präzisierung zum Anwendungsbereich des immateriellen Schadensersatzes unter der DSGVO. Die Anerkennung des Kontrollverlusts als eigenständiger immaterieller Schaden ist dabei nicht nur juristisch konsequent, sondern auch rechtspolitisch folgerichtig: Der Schutz personenbezogener Daten muss gerade in digitalen Kontexten auch den Verlust der Verfügungsmacht über diese Daten ernst nehmen. Die Kernaussage des Urteils lautet: Nicht jede Datenschutzverletzung begründet einen Schadenersatz – aber der Verlust der Herrschaft über die eigenen Daten kann ein ernstzunehmender Schaden sein.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist erfahrener Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht mit über einem Jahrzehnt Berufspraxis und widmet sich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• “Duzen” ist keine Beleidigung - 16. Juli 2025
• Bedrohungslage von kommerziellen Satelliten - 15. Juli 2025
• Influencer im Visier der Steuerfahndung - 15. Juli 2025