Viele Betroffene einer Datenpanne oder einer verspätetet bzw. unvollständig erteilten datenschutzrechtlichen Auskunft gehen davon aus, dass damit automatisch ein Anspruch auf Geld wegen eines Verstoßes gegen die DSGVO entsteht. Auch bei anwaltlichen Berater(inne)n scheint diese Annahme weit verbreitet zu sein.
Der für die Auslegung europäischer Verordnungen zuständige Europäische Gerichtshof (EuGH) hat diesen vermeintlichen Automatismus mittlerweile jedoch ausdrücklich verneint:
Ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO setzt einen Verstoß gegen die DSGVO voraus, einen (ggf. immateriellen) Schaden sowie einen Kausalzusammenhang zwischen beidem.
Der Verstoß ist regelmäßig der leichter zu belegende Teil. Der schwierigere ist der Umstand, ob die betroffene Person eine konkrete negative Folge (also einen Schaden) tatsächlich erlitten hat und das auch nachvollziehbar darlegen kann.
Die aktuelle höchstrichterliche Linie ist für potenzielle „Glücksritter“ unbequem, aber klar:
Ein DSGVO-Verstoß kann ein Anspruchstor öffnen, ersetzt aber nicht den Nachweis einer konkreten negativen Folge. Der mitttlerweile häufig (und regelmäßig völlig unreflektiert) begrifflich verwendete sog. Kontrollverlust kann als immaterieller Schaden genügen, muss aber – soll er geeignet sein, betragsmäßig nennenswerte Schadensersatzansprüche zu begründen – als tatsächlich eingetretene Beeinträchtigung greifbar gemacht werden.
Sofern das nicht gelingt, liegt die Entschädigung bei reinen Kontrollverlustfällen nach der aktuellen Sichtweise des Bundesgerichtshofes (BGH) regelmäßig eher im Bagatellbereich.
Sehen wir uns das Ganze einmal etwas näher an:
Was sagt der EuGH?
Der EuGH hat sich zu den in der Praxis bislang umstrittensten Voraussetzungen des Schadensersatzanspruchs mittlerweile festgelegt und zum Anwendungsbereich des Art. 82 DSGVO grundsätzliche Feststellungen getroffen:
Zum einen: Ein immaterieller Schaden muss keinen „Schweregrad“ erreichen, um ersatzfähig zu sein. Ein Schaden kann also auch klein sein. Damit sind bisherige Urteile überholt, die für einen Schadensersatzanspruch eine Mindestintensität der Beeinträchtigung verlangten und Klagen in als solche eingeordneten Bagatellfällen abgewiesen haben.
Sodann: Der Schaden bleibt ein eigenständiges Tatbestandsmerkmal. Der bloße Verstoß genügt nicht. Wer Geld verlangt, muss seinen konkreten Schaden und die Kausalität des DSGVO-Verstosses dafür darlegen und beweisen. Auch dies wurde in der Rechtsprechung bislang uneinheitlich gesehen. Zum Teil gingen Gerichte davon aus, dass bei nachgewiesenem Verstoß zugleich auch ein Schaden vorliegt.
Zusätzlich hat der EuGH auch die Funktion des Anspruchs klargestellt: Art. 82 Abs. 1 DSGVO dient dem Ausgleich, nicht als Strafe. Er soll den konkret erlittenen Schaden kompensieren, nicht „abschrecken“ wie ein Bußgeld oder sanktionieren. Letzteres hatten allerdings in der Vergangenheit einige deutsche Instanzgerichte angenommen. Deren Urteile können nun nicht mehr argumentativ zur Rechtfertigung einer beanspruchten Schadenshöhe herangezogen werden.
Was ist eigentlich ein Kontrollverlust?
In der Praxis dreht sich mittlerweile vieles um den Begriff „Kontrollverlust“. Gemeint ist damit, dass die betroffene Person nicht (mehr) die Kontrolle darüber hat, wer welche Daten über sie hat, was damit geschieht und ob diese Daten missbraucht werden könnten.
Dass ein solcher Kontrollverlust grundsätzlich ein immaterieller Schaden sein kann, ist höchstrichterlich anerkannt. Auch das Bundesarbeitsgericht (BAG) etwa hat in seiner hierzu aktuellsten Entscheidung vom 20.02.2025 (8 AZR 61/24) entschieden, dass grundsätzlich selbst ein kurzzeitiger Kontrollverlust einen immateriellen Schaden darstellen kann, allerdings nur sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden erlitten hat.
Es reicht also nicht, nur das Zauberwort „Kontrollverlust“ zu verwenden. Es muss nachvollziehbar werden, worin die konkrete Beeinträchtigung bestand.
Beispielhaft nachvollziehen lässt sich das anhand der oben erwähnten BAG-Entscheidung aus Anlaß einer verspäteten Arbeitgeber-Auskunft gem. Art. 15 DSGVO:
Das Gericht lässt ausdrücklich offen, ob überhaupt ein schadensersatzbegründender Verstoß vorlag, weist die Klage aber schon deshalb ab, weil der Kläger nach Ansicht des Gerichts keinen Schaden dargelegt hatte.
Im zu entscheidenden Fall hatte der Kläger im Wesentlichen Sorgen, Ärger und einen „wochenlangen Kontrollverlust“ behauptet. Dem Gericht reichte das nicht. Aus einer verspäteten Auskunft folge nicht ohne Weiteres ein Kontrollverlust im Sinne einer Missbrauchsgefahr und bloße abstrakte Befürchtungen dürften die eigenständige Voraussetzung „Schaden“ nicht bedeutungslos machen. Diese Sicht deckt sich mit den Vorgaben des EuGH.
Der entscheidende Punkt war also, dass das BAG – wie auch schon die Vorinstanz – hier den vom Kläger behaupteten Kontrollverlust schon nicht als dargelegt betrachtet, weshalb dann natürlich auch kein Schaden schlüssig vorgetragen ist.
Die Kirche bleibt im Dorf
Damit ist klar, dass auch im Anwendungsbereich datenschutzrechtlicher Schadensersatzansprüche grundsätzlich die üblichen „Spielregeln“ gelten:
Die Rechtsverletzung als solche (hier der Verstoß gegen die DSGVO) ist noch kein ersatzfähiger Schaden. Sie indiziert ihn richtigerweise nicht einmal. Wer einen immateriellen Schaden geltend macht, muss daher den Schritt vom Verstoß zur individuellen negativen Folge konkret beschreiben und ggf. nachweisen.
Lediglich das Verschulden seines Anspruchsgegners muss der Betroffene nicht wie üblich nachweisen: Art. 82 Abs. 3 DSGVO befreit den Datenverarbeiter nur dann von seiner Haftung, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist.
Selbst wenn der Schaden dem Grunde nach bejaht wird, folgt daraus allerdings nicht automatisch eine hohe Entschädigungssumme. Der BGH hat in seiner Entscheidung zum Facebook-Scraping (Urteil v. 18.11.2024 – VI ZR 10/24) entschieden, dass es ausschließlich um Ausgleich geht und die Höhe nach nationalen Maßstäben geschätzt werden darf.
Für die Erwartungshaltung Betroffener ist eine Passage des Urteils besonders relevant: Der BGH hält eine Festsetzung in „gegebenenfalls nur einstelliger Höhe“ für unionsrechtlich „äußerst zweifelhaft“, hat aber „von Rechts wegen keine Bedenken“, den notwendigen Ausgleich für einen reinen Kontrollverlust „in einer Größenordnung von EUR 100“ zu bemessen.
Das ist natürlich weder ein Tarif noch eine feste Obergrenze. Es ist aber ein realistischer Anker: Wenn ausschließlich Kontrollverlust ohne weitere konkret greifbare Nachteile nachgewiesen wird, bewegt sich die erwartbare Größenordnung nach dieser BGH-Leitentscheidung typischerweise eher im unteren dreistelligen Bereich.
Bei einem Bagatellschaden gibt’s halt auch nur einen Bagatellschadensersatz.