Mit Urteil vom 11. Februar 2025 (VI ZR 365/22) hat der Bundesgerichtshof (BGH) eine wegweisende Entscheidung zur Reichweite des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO gefällt. Im Zentrum stand die Frage, ob allein der Umstand, dass personenbezogene Daten unbefugt Dritten zugänglich gemacht werden, bereits einen ersatzfähigen immateriellen Schaden darstellt – ohne dass es konkreter Nachteile, Gefühlsbeeinträchtigungen oder einer Bloßstellung bedarf. Der Senat positioniert sich unmissverständlich: Schon der Kontrollverlust genügt, um einen Schaden im Sinne der DSGVO zu begründen.
Sachverhalt
Die Klägerin, eine Bundesbeamtin, wehrte sich gegen die jahrelange Praxis, ihre Personalakte nicht durch eigene Dienststellen, sondern durch Bedienstete des Landes Niedersachsen verwalten zu lassen. Diese Praxis war von der beklagten Bundesrepublik Deutschland als Dienstherrin erst im August 2019 nach datenschutzrechtlicher Beanstandung aufgegeben worden. Die Klägerin begehrte Feststellung der Schadensersatzpflicht nach Art. 82 Abs. 1 DSGVO. Die Instanzgerichte wiesen die Klage mangels Nachweis eines konkreten Schadens ab.
Rechtliche Analyse
1. Verletzung datenschutzrechtlicher Vorgaben
Unstreitig war, dass die Überlassung der Personalakte an Landesbedienstete datenschutzwidrig war. Weder lag eine gesetzlich zulässige Datenverarbeitung im Rahmen des § 111a BBG a.F. vor, noch war eine wirksame Auftragsverarbeitung nach Art. 28 DSGVO gegeben. Der BGH übernimmt diese Bewertung ausdrücklich und erkennt hierin einen Verstoß gegen die Datenschutz-Grundverordnung (Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 DSGVO).
2. Weite Auslegung des Schadensbegriffs
Das zentrale rechtliche Novum liegt in der Bewertung des Schadens:
- Der BGH wendet die jüngere Rechtsprechung des EuGH konsequent an (u.a. C-687/21 „MediaMarktSaturn“, C-340/21 „NAP“), wonach ein immaterieller Schaden nicht an besonders gravierende Persönlichkeitsverletzungen gekoppelt ist.
- Schon der bloße Verlust der Verfügungsgewalt über die eigenen Daten, also der Kontrollverlust, kann für sich genommen einen ersatzfähigen immateriellen Schaden begründen.
- Das Argument der Vorinstanz, es bedürfe darüber hinaus einer “benennbaren Persönlichkeitsrechtsverletzung”, weist der BGH entschieden zurück.
3. Keine subsidiäre Anspruchshürde aus dem Beamtenrecht
Ebenfalls von Bedeutung ist die Klarstellung des BGH, dass Art. 82 Abs. 1 DSGVO als unionsrechtlicher Anspruch keiner Einschränkung durch nationale Regelungen wie § 839 Abs. 3 BGB unterliegt. Beamte müssen demnach nicht zunächst innerdienstliche oder beamtenrechtliche Rechtsbehelfe ausschöpfen, um einen DSGVO-Schadensersatzanspruch geltend machen zu können. Dies stärkt den eigenständigen Charakter und die unionsrechtliche Vorrangwirkung der DSGVO.
Quintessenz
Der Bundesgerichtshof folgt mit dieser Entscheidung der fortschreitenden europarechtlichen Linie zum Datenschutz und bekräftigt die Autonomie und Reichweite des immateriellen Schadensbegriffs in Art. 82 DSGVO. Er gibt der rechtsdogmatischen Verengung durch die Instanzgerichte eine klare Absage: Nicht die Schwere der Persönlichkeitsverletzung, sondern die Verletzung der informationellen Selbstbestimmung als solche kann Anspruch auf Ersatz begründen. Damit wird der präventive und kompensatorische Zweck der DSGVO gestärkt – mit unmittelbaren Auswirkungen auf das Haftungsrisiko aller datenverarbeitenden Stellen, auch im öffentlich-rechtlichen Bereich.
Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
- Digitale Beweismittel - 18. Januar 2026
- Verhaltensbedingte Kündigung wegen gelöschter Katzenfotos - 18. Januar 2026
- Cyber, KI und Lieferketten: Die wichtigsten Geschäftsrisiken 2026 im Überblick - 18. Januar 2026
