Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

BGH-Entscheidung zu Datenschutz stärkt Rechte von Nutzern

  • Lesezeit: 3 Min

News  >  IT-Recht  >  BGH-Entscheidung zu Datenschutz stärkt Rechte von Nutzern

Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Steuerrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Home-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte

BGH stärkt Datenschutz

Kontrollverlust über personenbezogene Daten kann bereits Schadenersatz auslösen

Datenschutz hat in der Praxis von Unternehmen und Behörden erheblich an Bedeutung gewonnen. Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) können nicht nur aufsichtsrechtliche Maßnahmen (z. B. Anordnungen oder Bußgelder) nach sich ziehen, sondern auch zivilrechtliche Ansprüche der betroffenen Personen begründen. Der Bundesgerichtshof (BGH) hat mit Urteil vom 11. Februar 2025 (Az. VI ZR 365/22) klargestellt: Ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO kann bereits darin liegen, dass eine betroffene Person die Kontrolle über ihre personenbezogenen Daten verliert.

Lange Zeit war in der Rechtsprechung umstritten, ob für einen Anspruch auf immateriellen Schadenersatz konkrete Nachteile (z. B. psychische Belastungen, Bloßstellung oder messbare Folgeschäden) dargelegt werden müssen. Mit der aktuellen Entscheidung stärkt der BGH den Schutz der informationellen Selbstbestimmung und sorgt für mehr Rechtssicherheit: Der Nachweis zusätzlicher negativer Folgen ist nicht zwingend erforderlich, wenn bereits der Kontrollverlust als Schaden feststeht.

Art. 82 DSGVO: Schadenersatz bei Datenschutzverstößen

Art. 82 DSGVO gewährt betroffenen Personen einen Anspruch auf Schadenersatz, wenn ihnen durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist. Der Anspruch richtet sich grundsätzlich gegen Verantwortliche oder Auftragsverarbeiter; eine Entlastung ist nur unter den Voraussetzungen des Art. 82 Abs. 3 DSGVO möglich (Nachweis, dass man in keinerlei Hinsicht für den schadensauslösenden Umstand verantwortlich ist).

Mit Blick auf die unionsrechtliche Auslegung hat der EuGH herausgearbeitet, dass für einen Anspruch drei Elemente erforderlich sind:

  • ein Verstoß gegen die DSGVO,
  • ein eingetretener materieller oder immaterieller Schaden,
  • ein kausaler Zusammenhang zwischen Verstoß und Schaden.

Der Fall vor dem BGH (VI ZR 365/22)

Im zugrunde liegenden Verfahren ging es um die Personalaktenverwaltung einer langjährig beschäftigten Bundesbeamtin. Ihre Personalakte wurde über Jahre hinweg nicht durch Bundesbedienstete, sondern durch Mitarbeitende des Landes Niedersachsen verwaltet. Diese Handhabung war datenschutzrechtlich problematisch, weil für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage und eine klare Zuständigkeits- bzw. Befugnisordnung erforderlich ist. Die Betroffene beanstandete dies mehrfach.

Nachdem sich Datenschutzaufsichtsstellen eingeschaltet hatten, wurde die Praxis im Jahr 2019 geändert. Die Betroffene verlangte darüber hinaus immateriellen Schadenersatz wegen der vorausgegangenen Datenschutzverletzung. In den ersten Instanzen blieb die Klage erfolglos, weil dort ein konkret nachweisbarer Schaden (z. B. psychische Beeinträchtigungen) nicht als ausreichend dargelegt angesehen wurde.

BGH: Immaterieller Schaden kann im Kontrollverlust liegen

Der BGH hat diese Sichtweise korrigiert. Nach seiner Entscheidung kann der immaterielle Schaden bereits dadurch entstehen, dass eine betroffene Person die Kontrolle über personenbezogene Daten verliert. Es muss nicht zusätzlich eine „konkrete Persönlichkeitsrechtsverletzung“ im Sinne weiterer spürbarer negativer Auswirkungen (wie Angst, Stress, Stigmatisierung oder Bloßstellung) nachgewiesen werden.

Der Gedanke dahinter: Die DSGVO schützt den selbstbestimmten Umgang mit personenbezogenen Daten. Wird dieser Schutz durch eine unzulässige Verarbeitung oder einen unbefugten Zugriff unterlaufen, ist der Verlust der Kontrolle selbst eine Beeinträchtigung, die als immaterieller Schaden in Betracht kommt.

Warum die Anspruchsvoraussetzungen aus Sicht des BGH erfüllt waren

Der BGH sah im konkreten Fall:

  • einen DSGVO-Verstoß – weil personenbezogene Daten im Rahmen der Personalaktenverwaltung von Personen verarbeitet wurden, die hierfür nicht befugt waren,
  • einen immateriellen Schaden – bereits in Form des Kontrollverlusts über die eigenen Daten,
  • Kausalität – weil der Kontrollverlust unmittelbar auf der unzulässigen Verarbeitung beruhte.

Der Einwand, dass die beteiligten Landesbediensteten zur Verschwiegenheit verpflichtet waren, änderte daran nichts. Eine Verschwiegenheitspflicht kann nach der Entscheidung allenfalls bei der Bemessung der Höhe eines Schadenersatzes eine Rolle spielen, beseitigt aber nicht automatisch den Schaden als solchen.

Praxisfolgen für Unternehmen und Behörden

Die Entscheidung hat erhebliche praktische Bedeutung: Betroffene Personen können Schadenersatz künftig eher durchsetzen, weil sie nicht zwingend zusätzliche Auswirkungen einer Datenschutzverletzung belegen müssen, sofern sich ein Kontrollverlust nachvollziehbar herleiten lässt. Daraus ergeben sich für Verantwortliche erhöhte Anforderungen an die Compliance im Datenschutz, insbesondere bei:

  • klaren Zuständigkeits- und Berechtigungskonzepten (Need-to-know-Prinzip),
  • rechtssicheren Rechtsgrundlagen für jede Verarbeitung,
  • Auftragsverarbeitung mit Verträgen nach Art. 28 DSGVO (wo erforderlich),
  • technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO,
  • Dokumentation und Rechenschaftspflichten (Art. 5 Abs. 2 DSGVO),
  • Prozessen zur Bearbeitung von Betroffenenanfragen und zum Umgang mit Datenschutzvorfällen.

Einordnung: Kein „Automatismus“, aber niedrigere Hürde

Wichtig ist: Die Entscheidung bedeutet nicht, dass jede DSGVO-Verletzung automatisch zu einem Schadenersatz in beliebiger Höhe führt. Nach wie vor müssen Verstoß, Schaden und Kausalität dargelegt werden. Zudem hängt die konkrete Höhe des immateriellen Schadenersatzes vom Einzelfall ab und ist durch die Gerichte zu bestimmen. Der BGH macht jedoch deutlich, dass Gerichte den Schadensbegriff nicht durch zusätzliche Anforderungen verengen dürfen, wenn bereits ein Kontrollverlust feststeht.

Fazit

Mit dem Urteil vom 11. Februar 2025 (Az. VI ZR 365/22) stärkt der BGH den Datenschutz spürbar. Der Verlust der Kontrolle über personenbezogene Daten kann als immaterieller Schaden im Sinne von Art. 82 DSGVO genügen. Unternehmen und Behörden sollten ihre Datenschutzprozesse daher insbesondere bei Zugriffsberechtigungen, Zuständigkeiten und Dokumentation konsequent prüfen und anpassen, um Haftungsrisiken zu reduzieren.

Hinweis: Dieser Beitrag stellt allgemeine Informationen dar und ersetzt keine Beratung im Einzelfall.