Datenschutz als Grundrecht und seine praktischen Herausforderungen: Der Schutz personenbezogener Daten ist ein zentrales Grundrecht in der Europäischen Union, verankert in Artikel 8 der Charta der Grundrechte. Die Datenschutz-Grundverordnung (DSGVO) konkretisiert dieses Recht und schafft einheitliche Standards für die Verarbeitung personenbezogener Daten. Doch was passiert, wenn dieses Recht verletzt wird? Welche Ansprüche haben Betroffene, wenn sie die Kontrolle über ihre Daten verlieren – sei es durch unbefugte Weitergabe, Datenlecks oder andere Verstöße?
Mit diesen Fragen setzte sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 4. September 2025 (C-655/23) auseinander. Der Fall betraf eine Bewerberin, deren vertrauliche Gehaltsverhandlungen durch einen Fehler einer Bank an einen Dritten weitergeleitet wurden. Die Entscheidung des EuGH klärt nicht nur die Voraussetzungen für Unterlassungsansprüche, sondern vor allem, wann ein immaterieller Schaden vorliegt und wie dieser zu entschädigen ist. Besonders relevant ist die Frage, ob bereits der Verlust der Kontrolle über die eigenen Daten einen ersatzfähigen Schaden darstellt – eine Thematik, die weit über den konkreten Fall hinausgeht und die Praxis des Datenschutzrechts prägen wird.
Fehler mit Folgen
Im Rahmen eines Bewerbungsverfahrens bei der Quirin Privatbank wurde eine Nachricht, die vertrauliche Gehaltsverhandlungen betraf, versehentlich an einen Dritten gesendet. Dieser Dritte, ein ehemaliger Kollege der Bewerberin, leitete die Nachricht an sie weiter und fragte nach, ob sie auf Stellensuche sei. Die Bewerberin sah darin nicht nur eine Verletzung ihrer Privatsphäre, sondern auch die Gefahr, dass die Informationen in ihrer Branche weitergegeben werden könnten. Sie klagte auf Unterlassung weiterer Verarbeitungen und auf Schadensersatz für den erlittenen immateriellen Schaden, den sie in Sorgen, Ärger und der Befürchtung einer Rufschädigung sah.
Während das Landgericht Darmstadt der Klage stattgab und einen Schadensersatz von 1.000 Euro zusprach, lehnte das Oberlandesgericht Frankfurt den Schadensersatzanspruch ab. Es sah in den negativen Gefühlen der Klägerin kein ausreichendes Schadensereignis, da diese zum allgemeinen Lebensrisiko gehörten. Der Bundesgerichtshof legte die Frage dem EuGH vor, ob bereits der Kontrollverlust über personenbezogene Daten einen immateriellen Schaden im Sinne der DSGVO begründet – und wenn ja, wie dieser zu bemessen ist.
Immaterieller Schaden und der Verlust der Kontrolle
Anspruch auf Unterlassung: Prävention statt Reparation
Der EuGH stellte zunächst klar, dass die DSGVO selbst keinen eigenständigen Unterlassungsanspruch für künftige Verstöße vorsieht. Allerdings hindert sie die Mitgliedstaaten nicht daran, solche Ansprüche in ihrem nationalen Recht vorzusehen. Dies bedeutet, dass Betroffene in Deutschland weiterhin auf § 1004 BGB analog zurückgreifen können, um präventiv gegen weitere Datenschutzverstöße vorzugehen. Der EuGH betonte jedoch, dass die DSGVO keine direkte Grundlage für einen präventiven Unterlassungsanspruch bietet. Die Mitgliedstaaten haben hier Spielraum, solange sie die Ziele der DSGVO – insbesondere den wirksamen Schutz personenbezogener Daten – nicht unterlaufen.
Diese Klarstellung ist wichtig, da sie zeigt, dass die DSGVO zwar Mindeststandards setzt, aber nationale Regelungen nicht vollständig verdrängt. Für die Praxis bedeutet dies, dass Betroffene in Deutschland weiterhin Unterlassungsansprüche geltend machen können, wenn die Gefahr weiterer Verstöße besteht.
Kontrollverlust als zentrales Kriterium
Der Kern der Entscheidung liegt in der Auslegung des immateriellen Schadens nach Artikel 82 DSGVO. Der EuGH bestätigte seine bisherige Rechtsprechung, wonach bereits der Verlust der Kontrolle über personenbezogene Daten einen ersatzfähigen Schaden darstellen kann – selbst wenn keine konkrete missbräuchliche Verwendung der Daten nachweisbar ist. Entscheidend ist, dass die betroffene Person nachweist, dass sie negative Gefühle wie Sorge, Ärger oder die Befürchtung einer Rufschädigung aufgrund des Verstoßes empfindet.
Der Gerichtshof verwies auf die Erwägungsgründe 75 und 85 der DSGVO, die explizit den Kontrollverlust als möglichen Schaden nennen. Dies umfasst nicht nur Fälle, in denen Daten tatsächlich missbraucht werden, sondern bereits die abstrakte Gefahr, dass dies geschehen könnte. Der EuGH stellte klar, dass es keine Bagatellgrenze gibt: Selbst geringfügige negative Gefühle können ausreichen, sofern sie kausal auf den Datenschutzverstoß zurückzuführen sind. Damit weitet der EuGH den Schutzbereich der DSGVO deutlich aus und stellt die psychischen und emotionalen Folgen eines Datenschutzverstoßes in den Vordergrund.
Diese Auslegung ist konsequent, denn der Schutz personenbezogener Daten zielt nicht nur auf die Verhinderung konkreter Schäden ab, sondern auch auf die Wahrung der Selbstbestimmung der Betroffenen. Wer nicht mehr weiß, wer welche Daten über ihn besitzt und wie diese verwendet werden, verliert ein Stück seiner Autonomie – und genau dies soll die DSGVO verhindern.
Bemessung des Schadensersatzes: Ausgleich statt Strafe
Interessant ist auch die Frage, wie der Schadensersatz zu bemessen ist. Der EuGH betonte, dass Artikel 82 DSGVO ausschließlich eine Ausgleichsfunktion hat. Der Grad des Verschuldens des Verantwortlichen darf daher nicht berücksichtigt werden. Dies unterscheidet den Schadensersatzanspruch nach der DSGVO von nationalen Regelungen wie § 253 BGB, die auch Genugtuungsfunktionen erfüllen. Der EuGH stellte klar, dass der Schadensersatz den erlittenen Schaden vollständig ausgleichen muss, ohne dass strafende oder abschreckende Elemente einfließen dürfen.
Zudem darf der Umstand, dass ein Unterlassungsanspruch besteht, nicht dazu führen, den Schadensersatz zu mindern oder ganz zu ersetzen. Der Unterlassungsanspruch zielt auf die Verhinderung künftiger Verstöße ab, während der Schadensersatz bereits eingetretene Schäden kompensieren soll. Beide Ansprüche erfüllen unterschiedliche Funktionen und sind daher unabhängig voneinander zu betrachten.
Ausblick
Die Entscheidung zeigt auf, dass die DSGVO nicht nur auf dem Papier steht, sondern konkrete Ansprüche bietet, wenn die Kontrolle über personenbezogene Daten verloren geht. Für Betroffene bedeutet dies mehr Rechtssicherheit und für Verantwortliche eine klare Warnung: Datenschutz ist eben kein optionales Add-on, sondern eine zentrale Verpflichtung, deren Verletzung reale Konsequenzen hat. Die Frage, wie Gerichte den immateriellen Schaden in der Praxis bemessen werden, bleibt zwar offen. Doch eines ist klar: Der Kontrollverlust über die eigenen Daten ist kein Bagatellschaden, sondern ein ernstzunehmender Eingriff in die Grundrechte.
Datenschutz als Schutz der Selbstbestimmung?
Das Urteil des EuGH unterstreicht, dass der Schutz personenbezogener Daten nicht nur die Verhinderung konkreter Schäden wie Identitätsdiebstahl oder finanzielle Verluste umfasst, sondern auch die Bewahrung der Kontrolle über die eigenen Daten. Der Verlust dieser Kontrolle ist bereits ein Schaden – und dieser ist ersatzfähig. Damit stärkt der EuGH die Position der Betroffenen und macht deutlich, dass Datenschutz nicht nur ein formales Recht ist, sondern ein zentraler Bestandteil der persönlichen Freiheit.
Unternehmen müssen damit nicht nur technische und organisatorische Maßnahmen ergreifen, um Datenschutzverstöße zu vermeiden, sondern auch mit finanziellen Konsequenzen rechnen … wenn sie gegen die DSGVO verstoßen. Selbst kleine Fehler können teuer werden, wenn sie bei Betroffenen Sorgen oder Ärger auslösen.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
