Kontrollverlust als Schaden: BGH stärkt Ersatzanspruch nach Art. 82 DSGVO

Mit Urteil vom 11. Februar 2025 (VI ZR 365/22) hat der (BGH) eine wegweisende Entscheidung zur Reichweite des Schadensersatzanspruchs nach Art. 82 Abs. 1 gefällt. Im Zentrum stand die Frage, ob allein der Umstand, dass unbefugt Dritten zugänglich gemacht werden, bereits einen ersatzfähigen immateriellen Schaden darstellt – ohne dass es konkreter Nachteile, Gefühlsbeeinträchtigungen oder einer Bloßstellung bedarf. Der Senat positioniert sich unmissverständlich: Schon der Kontrollverlust genügt, um einen Schaden im Sinne der DSGVO zu begründen.

Sachverhalt

Die Klägerin, eine Bundesbeamtin, wehrte sich gegen die jahrelange Praxis, ihre nicht durch eigene Dienststellen, sondern durch Bedienstete des Landes Niedersachsen verwalten zu lassen. Diese Praxis war von der beklagten Bundesrepublik Deutschland als Dienstherrin erst im August 2019 nach datenschutzrechtlicher Beanstandung aufgegeben worden. Die Klägerin begehrte Feststellung der Schadensersatzpflicht nach Art. 82 Abs. 1 DSGVO. Die Instanzgerichte wiesen die mangels Nachweis eines konkreten Schadens ab.

Rechtliche Analyse

1. Verletzung datenschutzrechtlicher Vorgaben

Unstreitig war, dass die Überlassung der Personalakte an Landesbedienstete datenschutzwidrig war. Weder lag eine gesetzlich zulässige Datenverarbeitung im Rahmen des § 111a BBG a.F. vor, noch war eine wirksame nach Art. 28 DSGVO gegeben. Der BGH übernimmt diese Bewertung ausdrücklich und erkennt hierin einen Verstoß gegen die -Grundverordnung (Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 DSGVO).

2. Weite Auslegung des Schadensbegriffs

Das zentrale rechtliche Novum liegt in der Bewertung des Schadens:

  • Der BGH wendet die jüngere Rechtsprechung des EuGH konsequent an (u.a. C-687/21 „MediaMarktSaturn“, C-340/21 „NAP“), wonach ein immaterieller Schaden nicht an besonders gravierende Persönlichkeitsverletzungen gekoppelt ist.
  • Schon der bloße Verlust der Verfügungsgewalt über die eigenen Daten, also der Kontrollverlust, kann für sich genommen einen ersatzfähigen immateriellen Schaden begründen.
  • Das Argument der Vorinstanz, es bedürfe darüber hinaus einer “benennbaren Persönlichkeitsrechtsverletzung”, weist der BGH entschieden zurück.

3. Keine subsidiäre Anspruchshürde aus dem Beamtenrecht

Ebenfalls von Bedeutung ist die Klarstellung des BGH, dass Art. 82 Abs. 1 DSGVO als unionsrechtlicher Anspruch keiner Einschränkung durch nationale Regelungen wie § 839 Abs. 3 BGB unterliegt. Beamte müssen demnach nicht zunächst innerdienstliche oder beamtenrechtliche Rechtsbehelfe ausschöpfen, um einen DSGVO-Schadensersatzanspruch geltend machen zu können. Dies stärkt den eigenständigen Charakter und die unionsrechtliche Vorrangwirkung der DSGVO.

Quintessenz

Der Bundesgerichtshof folgt mit dieser Entscheidung der fortschreitenden europarechtlichen Linie zum Datenschutz und bekräftigt die Autonomie und Reichweite des immateriellen Schadensbegriffs in Art. 82 DSGVO. Er gibt der rechtsdogmatischen Verengung durch die Instanzgerichte eine klare Absage: Nicht die Schwere der Persönlichkeitsverletzung, sondern die Verletzung der informationellen Selbstbestimmung als solche kann Anspruch auf Ersatz begründen. Damit wird der präventive und kompensatorische Zweck der DSGVO gestärkt – mit unmittelbaren Auswirkungen auf das Haftungsrisiko aller datenverarbeitenden Stellen, auch im öffentlich-rechtlichen Bereich.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.