DSGVO: Digitaler Kontrollverlust als Schaden

OLG Düsseldorf konkretisiert Maßstäbe des immateriellen Datenschutzschadens: Mit Urteil vom 14. März 2025 (Az. 16 U 94/24) hat das Oberlandesgericht Düsseldorf einen wichtigen Beitrag zur Fortentwicklung des immateriellen Schadensbegriffs nach Art. 82 Abs. 1 geleistet. Der Fall betraf einen typischen „“-Vorfall, bei dem automatisierte Tools aus öffentlich erreichbaren Plattformbereichen massenhaft absammeln – in diesem Fall unter Nutzung der Mobilfunknummer des Klägers, die über die Plattforminfrastruktur mit einem öffentlich sichtbaren Alias verknüpft war.

Das Gericht sprach dem Kläger 100 Euro Schadensersatz zu – nicht wegen seelischer Belastung, sondern allein aufgrund des Verlusts der Kontrolle über seine personenbezogenen Daten. Diese Entscheidung folgt zwar der Grundlinie des Bundesgerichtshofs, geht in der dogmatischen Begründung jedoch einen eigenständigen Schritt weiter: Der Kontrollverlust wird nicht nur als ein haftungsbegründender Faktor gewertet, sondern ausdrücklich als der zentrale immaterielle Schaden selbst anerkannt – unabhängig von weiteren negativen Folgen.

Technische Standards und datenschutzrechtliche Verantwortung

Im Mittelpunkt stand die datenschutzrechtliche Bewertung der Such- und Importfunktionen auf einer bekannten Social-Media-Plattform. Der Kläger hatte seine Mobilfunknummer freiwillig hinterlegt, allerdings nicht mit dem Ziel, über diese auffindbar zu sein. Die Plattform jedoch hatte als Voreinstellung die Auffindbarkeit über Telefonnummer aktiviert – eine Funktion, die später Gegenstand eines automatisierten Datenabgriffs wurde. Die Kombination dieser Daten mit öffentlich einsehbaren Profilinformationen ermöglichte die Erstellung individueller Datensätze, deren Veröffentlichung im Netz später unstreitig war.

Die Beklagte – Betreiberin der Plattform – konnte sich nicht darauf berufen, dass die Verarbeitung der Daten zur Vertragserfüllung notwendig gewesen sei. Das OLG Düsseldorf stellte klar, dass die Angabe einer Telefonnummer weder für die Registrierung erforderlich war noch die Suchfunktion für die vertragliche Nutzung des Netzwerks unerlässlich sei. Die Beklagte hatte darüber hinaus versäumt, eine informierte Einwilligung des Klägers einzuholen oder ihn transparent über die datenschutzrechtliche Bedeutung der Standardeinstellungen aufzuklären. Auch der Rückgriff auf Art. 6 Abs. 1 lit. f DSGVO als mögliche Rechtsgrundlage blieb mangels Interessenabwägung erfolglos.

Der Kontrollverlust als unionsrechtlich anerkannter Schaden

Die zentrale rechtliche Aussage der Entscheidung liegt in der konsequenten Anerkennung des Kontrollverlusts über personenbezogene Daten als eigenständiger immaterieller Schaden. Das Gericht folgt dabei der jüngsten Rechtsprechung des EuGH (C-300/21 und C-687/21) sowie des BGH und erkennt an, dass bereits der Verlust der faktischen Beherrschbarkeit personenbezogener Daten – etwa durch deren Veröffentlichung oder Zugriff durch Unbefugte – ein kompensationsfähiger Schaden ist. Eine psychische Belastung oder nachweisbare Angst ist nicht erforderlich.

Dieser objektive Kontrollverlust lag nach Ansicht des OLG Düsseldorf vor: Die Mobilfunknummer des Klägers wurde – entgegen seiner Willensrichtung – mit weiteren Profildaten in einem öffentlich zugänglichen Datenleak kombiniert und war ab diesem Moment nicht mehr von ihm zu beherrschen. Damit war seine informationelle Selbstbestimmung konkret beeinträchtigt, auch wenn die betroffenen Daten nicht besonders sensibel oder intim waren. Dass die Beklagte später die Suchfunktion deaktivierte, änderte an dem bereits eingetretenen Kontrollverlust nichts mehr.

Die Argumentation des Gerichts hebt sich wohltuend von restriktiveren Stimmen in der datenschutzrechtlichen Judikatur ab, die häufig eine konkrete seelische Belastung oder wirtschaftliche Folge für einen Anspruch nach Art. 82 DSGVO verlangen. Das OLG Düsseldorf erkennt an, dass die DSGVO ein grundrechtsbezogenes Schutzkonzept verfolgt, bei dem nicht die Schwere der Folge, sondern die Eingriffstiefe in die Autonomie des Betroffenen entscheidend ist.

Zur Höhe des Schadensersatzes und zur Einordnung im Gefüge der DSGVO

Obwohl das Gericht den Schaden bejaht, bleibt es in der Höhe moderat: 100 Euro wurden als angemessener Ausgleich für den Kontrollverlust angesehen. Die Bemessung orientierte sich an den schadensrechtlichen Grundsätzen des deutschen Zivilrechts (§ 287 ZPO), wobei der Schaden so geschätzt wurde, dass eine effektive, aber nicht überkompensierende Entschädigung gewährleistet ist. Entscheidend war, dass keine sensiblen Gesundheits- oder Finanzdaten betroffen waren und dass die Wiedererlangung der Kontrolle zumindest theoretisch möglich war – etwa durch Rufnummernwechsel. Dass ein solcher Wechsel dem Kläger nicht zumutbar sei, wurde vom Gericht nicht verneint, aber auch nicht als anspruchsmindernd gewertet.

Zugleich stellte das OLG Düsseldorf klar, dass ein etwaiges Mitverschulden des Klägers – etwa weil er die Telefonnummer nicht geändert habe – der Geltendmachung des Schadensersatzes nicht entgegensteht. Das Gericht erkannte ein berechtigtes Interesse an der Beibehaltung der Nummer an, etwa zum Erhalt sozialer Kontakte oder zur Sicherung der Erreichbarkeit.

Auch der Anspruch auf Feststellung zukünftiger Ersatzpflichten wurde bejaht: Die Veröffentlichung im Internet kann in der Zukunft zu materiellen Schäden führen, etwa durch betrügerische Nutzung der Daten. Dass solche Schäden bislang nicht eingetreten sind, steht der Annahme eines Feststellungsinteresses nicht entgegen. Es genügt die reale Möglichkeit zukünftiger Schadenseintritte – insbesondere bei Daten, die dauerhaft in frei zugänglichen Leaks kursieren.

Quintessenz

Das Urteil des OLG Düsseldorf bringt eine notwendige Konkretisierung in die Diskussion um Art. 82 DSGVO und leistet einen wesentlichen Beitrag zur Effektivierung des Datenschutzes im digitalen Raum. Der Kontrollverlust über personenbezogene Daten wird als eigenständiger Schaden anerkannt – auch dann, wenn sich dieser nicht in nachweisbarer psychischer Belastung oder materiellen Schäden niederschlägt.

In einer digitalen Umwelt, in der technische Voreinstellungen, Plattformdesign und ökonomische Interessen der Anbieter oft im Widerspruch zur informationellen Selbstbestimmung der Nutzer stehen, ist diese Anerkennung mehr als bloße Rechtsfortbildung – sie ist Ausdruck eines ernst genommenen Grundrechtsschutzes. Das Urteil stellt klar: Wer Daten verarbeitet, trägt Verantwortung – nicht nur für deren Sicherheit, sondern auch für die Transparenz und Verständlichkeit der technischen Bedingungen. Es ist ein Signal an Anbieter und Entwickler, aber auch ein Beleg für die Durchsetzungsfähigkeit des Datenschutzrechts in der digitalen Praxis.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.