Die Frage, wann ein ersatzfähiger Schaden nach der Datenschutz-Grundverordnung (DSGVO) vorliegt, beschäftigt regelmäßig die Gerichte. Der Bundesgerichtshof (BGH Urteil v. 11.2.2025 – VI ZR 365/22) hat nun erneut festgestellt, dass bereits der Kontrollverlust über personenbezogene Daten einen ersatzfähigen immateriellen Schaden darstellt, der einen DSGVO-Schadensersatz auslösen kann.
Der Fall (verkürzt):
Die Klägerin ist Bundesbeamte in Hannover. Ihre Personalakten wurden über Jahre hinweg durch Bedienstete des Landes Niedersachsen bearbeitet. Dies beanstandete die Klägerin mehrfach ohne Erfolg und wandte sich im Jahr 2017 an den Beauftragten für Datenschutz des Landes Niedersachsen, der die Anfrage an den Bundesdatenschutzbeauftragten weiterleitete. Dieser erklärte die Praxis für unzulässig. Daraufhin übernahm der Bund die Personalaktenführung.
Das Landgericht hat die Klage auf Feststellung einer Schadensersatzverpflichtung des Bundes abgewiesen und das Oberlandesgericht die anschließende Berufung zurückgewiesen.
Die Entscheidung:
Im Revisionsverfahren hat der Bundesgerichtshof entschieden, dass die Klägerin einen Anspruch auf Schadensersatz gem. Art. 82 DSGVO hat:
I. Verstoß gegen die DSGVO
Der BGH hat bestätigt, dass die Überlassung der Personalakte der Bundesbeamtin an Landesbedienstete einen Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO (Rechtsmäßigkeit, Transparenz) und Art. 28 DSGVO (Auftragsverarbeitung) darstellt. Die Verarbeitung durch Bedienstete des Landes Niedersachsen war von § 111a BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckt.
Hinweis für die Praxis:
Bevor eine Datenverarbeitung durch Dritte erfolgt, sollten Verantwortliche sorgfältig die datenschutzrechtliche Zulässigkeit prüfen. In der Regel erfordert die Verarbeitung durch Dritte eine vertragliche Regelung (Auftragsverarbeitungsvereinbarung, Art. 28 DSGVO) und muss entsprechend dokumentiert werden.
II. Immaterieller Schaden: Kontrollverlust genügt
In seiner Entscheidung hat der BGH klargestellt, dass bereits der bloße Kontrollverlust einen ersatzfähigen immateriellen Schaden i.S.d. Art. 82 Abs. 1 DSGVO darstellt. Der Verpflichtung zum Ausgleich muss keine über diesen Kontrollverlust benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen. Der Beeinträchtigung der Betroffenen muss auch kein besonderes Gewicht zukommen, das über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt.
Hinweis für die Praxis:
Die Entscheidung zeigt, dass die unzulässige Verarbeitung personenbezogener Daten durch Dritte ein hohes Risiko birgt. Anders als im Fall der verspäteten oder unzureichenden Auskunft nach Art. 15 DSGVO, wird bei der rechtswidrigen Weitergabe der Daten an Dritte nach dem Urteil des BGH fast immer in Kontrollverlust und damit ein Schaden zu bejahen sein. Hier sollten Verantwortliche besonders achtsam sein.
III. Verschwiegenheitsverpflichtung lässt Schaden nicht entfallen
Der BGH hat ausdrücklich festgestellt, dass eine Verschwiegenheitsverpflichtung der mit der Verarbeitung der personenbezogenen Daten betrauten Dritten, der Annahme eines Schadens nicht entgegensteht. Verschwiegenheitspflichten können erst auf Sekundärebene, bei der Bemessung der Höhe eines zu leistenden Schadensersatzes zu berücksichtigen sein.
Hinweis für die Praxis:
Verschwiegenheitspflichten sind bei der Verarbeitung personenbezogener Daten ein wichtiger Bestandteil eines datenschutzkonformen Umgangs. Verantwortliche und Auftragsverarbeiter müssen aber in jedem Fall auch die gesetzlichen Vorgaben aus Art. 28 DSGVO einhalten und entsprechende Vereinbarungen abschließen. Vertragliche Verschwiegenheits- und Geheimhaltungspflichten sind kein Persilschein.
IV. Keine Einschränkung durch Amtshaftungsanspruch, § 839 Abs. 3 BGB
Der unionsrechtliche Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO wird nicht durch den Rechtsgedanken der Amtshaftung aus § 839 Abs. 3 BGB eingeschränkt. Das bedeutet, das auch Beamte nicht erst versuchen müssen, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.
Der Anspruch aus Art. 82 Abs. 1 DSGVO kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB i.V.m. Art. 34 GG treten und unabhängig von dessen zusätzlichen Voraussetzungen geltend gemacht werden. Nationalrechtliche Anspruchshürden würden den vom EuGH abschließend formulierten Voraussetzungen für den DSGVO-Schadensersatz widersprechen.
Fazit:
Das Urteil des BGH stärkt konsequent die Rechte von Betroffenen und macht einmal mehr deutlich, dass DSGVO-Verstöße für Behörden und Unternehmen ein hohes Schadensrisiko bergen. Bereits der Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO begründen. Damit steigt das Risiko für Verantwortliche, bei Verstößen gegen die DSGVO haftbar gemacht zu werden. Für verantwortliche bedeutet das, die rechtliche Zulässigkeit jeder Datenverarbeitung durch Dritte muss sorgfältig geprüft und dokumentiert werden. Verschwiegenheitsverpflichtungen allein reichen nicht aus, sie ersetzen nicht die gesetzlichen Anforderungen an die Auftragsverarbeitung aus Art. 28 DSGVO.
Hierzu beraten wir Sie gerne.
Autor: Nicolas Fischer
UNVERBINDLICHE KONTAKTAUFNAHME
UNVERBINDLICHE KONTAKTAUFNAHME
Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.
