Schadensersatz nach DSGVO-Verstoß: Wie das OLG Celle den Kontrollverlust über Daten bewertet

Das Oberlandesgericht Celle (5 U 31/23) hat in einer neueren Entscheidung wichtige Klarstellungen zur Frage des Schadensersatzes nach Verstößen gegen die -Grundverordnung () vorgenommen. Ein zentraler Punkt dieser Entscheidung war die Frage, ob bereits der Kontrollverlust über persönliche Daten ohne weitere Nachweise einen Schadensersatzanspruch rechtfertigt.

Sachverhalt und Prozessverlauf

In dem Fall, der dem Gericht vorlag, ging es um einen Datenscraping-Vorfall, bei dem persönliche Daten durch eine Sicherheitslücke auf einem sozialen Netzwerk offengelegt wurden. Der Kläger forderte Schadensersatz für den immateriellen Schaden, der durch den Verlust der Kontrolle über seine Daten entstanden sei.

Entscheidung des Landgerichts

Das Landgericht hatte dem Kläger zunächst einen immateriellen Schadensersatz in Höhe von 300 Euro zugesprochen. Es begründete dies damit, dass durch den Verstoß gegen die DSGVO ein erheblicher Kontrollverlust über die persönlichen Daten des Klägers eingetreten sei, was einen konkreten, ersatzfähigen immateriellen Schaden darstelle.

Urteil des OLG Celle

Das Oberlandesgericht Celle hob jedoch dieses Urteil auf und wies die ab. Das Gericht argumentierte, dass allein der objektive Verlust der Kontrolle über die Daten, ohne dass weitere subjektive Beeinträchtigungen wie Ängste oder Sorgen nachgewiesen werden, nicht ausreiche, um einen ersatzfähigen immateriellen Schaden gemäß Artikel 82 Abs. 1 DSGVO anzunehmen.

Die Richter betonten, dass neben dem objektiven Kontrollverlust auch subjektive Elemente wie konkrete negative Gefühle oder Beeinträchtigungen vorliegen müssen, um von einem „Schaden“ im Sinne der DSGVO sprechen zu können:

Die Argumentation des Landgerichts wäre allerdings vom Ansatz her (…) richtig, wenn bereits der bloße objektive Umstand des
Vorliegens eines „Kontrollverlustes“ (…) ausreichen würde, um einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO zu begründen. Nach dem Verständnis des Senats von der (bisherigen) Rechtsprechung des EuGH ist das allerdings nicht
der Fall.

Allerdings könnte man die Formulierungen in Rn. 82 des Urteils des EuGH vom 14. Dezember 2023 (C-340/21) ggf. so deuten, als wäre bereits der bloße, objektive „Verlust der Kontrolle“ über
seine eigenen Daten (was auch immer darunter genau – jedenfalls dem Senat ist das nicht ganz klar – zu verstehen sein soll), ausreichend, um einen Schaden i.S.v. Art. 82 Abs. 1 DSGVO zu begründen.

Gegen ein solches Verständnis sprechen aber aus Sicht des Senats die weiteren Ausführungen des EuGH in Rnrn. 85 und 86 der genannten Entscheidung. Denn die dortige Formulierung, dass für einen immateriellen Schaden i.S.d. Art. 82 Abs. 1 DSGVO die „Befürchtung, dass Ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten“ ausreichend sein soll, versteht jedenfalls der Senat so, als müsse zu diesem objektiven Umstand des „Verlustes der Hoheit über seine Daten“ (so bspw. die Formulierung in Rn. 22 des Urteils des EuGH vom 14. Dezember 2023 – C-456/22) noch zusätzlich ein „subjektives Element“, wie also eine „Befürchtung“, „Sorge“ o. ä. hinzukommen.

Auch die Ausführungen des BGH in seinem – allerdings zeitlich knapp vor der o. g. Entscheidung des EuGH verkündeten – Beschluss vom 12. Dezember 2023 (VI ZR 277/22, Rn. 6) erwecken nach dem Verständnis des Senats den Eindruck, als erachte auch der BGH das Vorliegen von subjektiven Beeinträchtigungen wie „negativen Gefühlen“ o.ä. als erforderlich, um einen Schaden i.S.v. Art. 82 Abs. 1 DSGVO zu begründen (…).

Der Senat räumt allerdings ein, dass sich dieses Auslegungsverständnis aus den bisher zur Vorschrift des Art. 82 Abs. 1 ergangenen Entscheidungen des EuGH (C-300/21, C-340/21, C-667/21, C-687/21 und C-456/22) – zumindest aus seiner Sicht (anders beispielsweise aus jüngster Zeit OLG
Oldenburg, Beschluss vom 20. Februar 2024 – 13 U 44/23, Rn. 7) – keineswegs eindeutig ergibt. Diese bestehende Unsicherheit des Senats gründet sich darin, dass der EuGH in seiner Entscheidung vom 14. Dezember 2023 lediglich die ihm gestellte Vorlagefrage zu beantworten hatte, mit der konkret angefragt worden ist, ob allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen Vorschriften der DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann. Allein diese Frage hat der EuGH in Rn. 75 – 86 seiner genannten Entscheidung beantwortet.

Das schließt es aber nach dem Verständnis des Senats nicht
(zwingend) aus, dass – vgl. noch einmal Rn. 82 – der (immaterielle) Schadensbegriff nach der Auslegung des EuGH noch weitergehend ist und sogar den bloßen objektiven „Kontrollverlust“ als solchen für einen (immateriellen) Schaden i.S.v. Art. 82 Abs. 1 DSGVO ausreichen lässt. Ob das der Fall ist, musste der EuGH in seiner vorgenannten Entscheidung nicht, zumindest nicht zwingend (weil nicht entscheidungserheblich), entscheiden (wenngleich dies im Sinne der Rechtsklarheit natürlich wünschenswert gewesen wäre). Allein schon deshalb meint der Senat (…), dass es mindestens schon aus diesem Grund nicht in Betracht kommt (…), vergleichbare Berufungen wie die vorliegende entweder durch Beschluss nach § 522 Abs. 2 ZPO oder aber durch Urteil, in dem die Revision nicht zugelassen wird, zurückzuweisen, wie es in der – etwa bei veröffentlichten – obergerichtlichen Rechtsprechung aber derzeit mitunter geschieht (wobei der Senat insoweit nicht verkennt, dass
zumindest einzelne jener Entscheidungen zeitlich vor dem Urteil des EuGH vom 14. Dezember 2023 (C-340/21) ergangen sind).

Fazit und Auswirkungen

Dieses Urteil des OLG Celle ist ein wichtiger Beitrag zur laufenden Diskussion darüber, wie immaterielle Schäden im Kontext der DSGVO zu behandeln sind. Es zeigt auf, dass der bloße Verlust der Kontrolle über persönliche Daten ohne zusätzliche psychische Beeinträchtigungen nicht automatisch zu Schadensersatzansprüchen führt. Für die Praxis bedeutet dies, dass Betroffene deutlich machen müssen, inwiefern der Datenschutzverstoß sie persönlich und subjektiv beeinträchtigt hat.

Das Urteil stärkt die Position von Datenverarbeitern insofern, als dass nicht jeder Verstoß gegen die DSGVO automatisch Schadensersatzansprüche nach sich zieht. Gleichzeitig werden die Rechte von Betroffenen nicht untergraben, sondern es wird ein ausgewogener Ansatz verfolgt, der eine faire Abwägung zwischen den Interessen der Betroffenen und den Anforderungen an einen nachweisbaren Schaden erfordert.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.