DSGVO: OLG Köln zum Anspruch auf immateriellen Schadenersatz bei Datenschutzverletzung

OLG Köln konkretisiert Voraussetzungen: Das (Urteil vom 03.04.2025 – 15 U 41/23) hat sich erneut mit dem Anspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 auseinandergesetzt und dabei die Schwelle für einen solchen Anspruch präzisiert. Die Entscheidung fügt sich ein in eine Vielzahl gerichtlicher Auseinandersetzungen, bei denen Betroffene wegen der unbefugten Offenlegung oder Verarbeitung personenbezogener Daten einen Ausgleich in Form von Geld verlangen. Besonders aufschlussreich ist das Urteil insofern, als es zeigt, welche Anforderungen an das Vorliegen eines “echten” immateriellen Schadens zu stellen sind.

Sachverhalt

Der Kläger hatte die Beklagte – ein Unternehmen, das ein Datenarchiv führte – wegen eines Datenschutzverstoßes auf Schadenersatz in Anspruch genommen. Konkret war es in dem Zeitraum vom 25. Mai 2018 bis September 2019 zu einem unbefugten Zugriff Dritter auf gekommen. Der Kläger verlangte daraufhin Ersatz für erlittene immaterielle Schäden sowie die Feststellung der Ersatzpflicht für künftig noch entstehende materielle und immaterielle Nachteile. Das hatte die zunächst überwiegend abgewiesen. Auf die Berufung hin sprach das OLG Köln dem Kläger nun zumindest einen Teil der geltend gemachten Ansprüche zu.

Rechtliche Würdigung

Zentrale Anspruchsgrundlage war Art. 82 Abs. 1 DSGVO, der jedem Betroffenen bei einem Verstoß gegen die -Grundverordnung einen Anspruch auf Ersatz des erlittenen Schadens – auch immaterieller Natur – gewährt. Dabei betont das OLG Köln, dass es für die Zuerkennung eines solchen Anspruchs nicht ausreicht, lediglich einen DSGVO-Verstoß nachzuweisen. Vielmehr sei zusätzlich ein konkreter, spürbarer immaterieller Nachteil darzulegen.

Im vorliegenden Fall konnte das Gericht eine solche Beeinträchtigung nachvollziehen. Der Kläger musste nachweisen, dass er von dem unbefugten Zugriff tatsächlich betroffen war und die Offenlegung seiner Daten zu einem “Kontrollverlust” geführt hatte, der über eine bloße Bagatelle hinausging. Das OLG erkannte hierin eine Verletzung der persönlichen Lebenssphäre, die geeignet sei, ein Unwohlsein hervorzurufen, das mit 100 Euro zu kompensieren sei.

Damit reiht sich das OLG Köln in die Linie derjenigen Gerichte ein, die zwar die Bagatellgrenze nicht grundsätzlich verneinen, aber gleichwohl eine ernsthafte, wenngleich nicht schwerwiegende Verletzung des Persönlichkeitsrechts für ersatzfähig halten. Die Höhe des zugesprochenen Betrags reflektiert die eher geringfügige Intensität des Schadens, signalisiert aber zugleich, dass Datenschutzverstöße auch bei begrenzter Auswirkung nicht folgenlos bleiben.

Darüber hinaus stellte das Gericht fest, dass die Beklagte verpflichtet ist, dem Kläger auch künftig entstehende – derzeit noch nicht vorhersehbare – materielle und immaterielle Schäden zu ersetzen. Dieser Vorbehalt trägt dem Umstand Rechnung, dass sich die Auswirkungen eines Datenlecks häufig erst mit zeitlicher Verzögerung zeigen, etwa durch Identitätsdiebstahl oder missbräuchliche Nutzung der veröffentlichten Informationen.

Das Urteil des OLG Köln verdeutlicht in nuancierter Weise die Voraussetzungen für einen Anspruch auf immateriellen Schadenersatz bei Datenschutzverstößen. Während es keinen Automatismus im Sinne eines pauschalen “Schmerzensgelds für Datenlecks” gibt, genügt ein bloß theoretischer Kontrollverlust eben nicht. Gleichwohl wird anerkannt, dass bereits eine subjektiv empfundene Unsicherheit und ein daraus resultierender Vertrauensverlust in die Integrität der eigenen Daten ersatzfähig sein können, wenn sie hinreichend konkret dargelegt werden.

Schlusswort

Die Entscheidung bietet eine ausgewogene Konklusion zwischen dem legitimen Schutzbedürfnis betroffener Personen und dem Interesse der Verantwortlichen an Rechtssicherheit. Sie stärkt die Durchsetzungskraft von Betroffenenrechten im Datenschutzrecht, ohne das Instrument des immateriellen Schadensersatzes zu entwerten oder in inflationärer Weise auszuweiten. Damit liefert das OLG Köln eine relevante Kernaussage zur dogmatischen Konturierung von Art. 82 DSGVO, die über den Einzelfall hinaus Bedeutung beanspruchen kann.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.