BECKMANN UND NORDA - Rechtsanwälte Bielefeld

KG Berlin
Urteil vom 30.04.2026
20 VKl 1/25

Das KG Berlin hat entschieden, dass die Verbandsklage der niederländischen Stiftung SOMI gegen "X" wegen behaupteter Datenschutzverstöße unzulässig ist. Es fehlt bei den geltend gemachten Ansprüchen an der Gleichartigkeit gemäß § 15 Abs. 1 VDuG. Ob ein ersatzfähiger Schaden durch Kontrollverlust oder individuelle Ängste vorliegt, hängt nach Auffassung des Gerichts maßgeblich von den persönlichen Verhältnissen jedes einzelnen Nutzers ab und entzieht sich einer pauschalen Feststellung.

Die Pressemitteilung des Gerichts:
Kammergericht: Verbandsklage gegen „X“ wegen Datenschutzverletzungen unzulässig

Das Kammergericht hat heute die Verbandsklage der niederländischen Stichting Onderzoek Marktinformatie (SOMI) gegen die Betreiberin des sozialen Netzwerks „X“ wegen behaupteter Datenschutzverletzungen als unzulässig abgewiesen. Die von SOMI geltend gemachten Schadensersatzansprüche der Verbraucher seien für die erstrebte kollektive Rechtsverfolgung nicht geeignet. Ob den betroffenen Verbrauchern tatsächlich ein Schaden entstanden sei, könne nur im jeweiligen Einzelfall entschieden werden.

Mit ihrer Abhilfeklage – einer besonderen Form der Verbandsklage – forderte SOMI für jeden in Deutschland registrierten Nutzer von „X“ mindestens 750 Euro Schadensersatz im Zusammenhang mit der Datenverarbeitung sowie zusätzlich mindestens 250 Euro für jeden Nutzer, der von einem konkreten Datenleck betroffen war. SOMI machte im Rahmen der beanstandeten Datenverarbeitung insbesondere geltend, dass „X“ ohne wirksame Einwilligung extensiv Daten über seine Nutzer sammle, zusammenführe und auswerte, um personalisierte Werbung zu schalten und Nutzer zu beeinflussen (siehe auch die hiesige Pressemitteilung Nr. 19/2025 vom 22. Mai 2025).

Mithilfe der Abhilfeklage können Verbraucherverbände im Wesentlichen gleichartige Ansprüche von Verbrauchern gegen Unternehmer geltend machen. Wesentlich gleichartig sind die Ansprüche dann, wenn es im Kern um denselben Sachverhalt geht und die Ansprüche der Verbraucher von den gleichen Sach- und Rechtsfragen abhängen.

Nach Auffassung des Kammergerichts sind die von SOMI geltend gemachten Ansprüche der Verbraucher nicht gleichartig, weil sie maßgeblich von den individuellen Verhältnissen der Verbraucher abhängen. Schadensersatzansprüche der Verbraucher bestünden nur, wenn die Verstöße gegen die Datenschutzgrundverordnung auch zu einem Schaden beim jeweiligen Verbraucher geführt hätten. Ein solcher Schaden könne anerkanntermaßen zwar schon in dem bloßen Verlust der Kontrolle über die eigenen personenbezogenen Daten liegen. Es hänge jedoch maßgeblich von den individuellen Verhältnissen eines jeden Verbrauchers ab, ob tatsächlich und – wenn ja – in welchem Umfang und für welche Dauer ein angemessen zu entschädigender Kontrollverlust vorliege. Auch schadensvergrößernde Umstände, wie mit dem Kontrollverlust einhergehende Ängste oder andere negative Gefühle, könnten nur individuell festgestellt werden. Dies gelte auch für die missbräuchliche Verwendung personenbezogener Daten durch Dritte, welche den Schaden ebenfalls vergrößern könne.

Die Entscheidung ist noch nicht rechtskräftig. Es besteht die Möglichkeit, binnen eines Monats Revision beim Bundesgerichtshof einzulegen.

Kammergericht, Urteil vom 30. April 2026, Aktenzeichen 20 VKl 1/25

Maßgebliche Vorschriften:
§ 15 Abs. 1 Verbraucherrechtedurchsetzungsgesetz (VDuG)

Die Abhilfeklage ist nur zulässig, wenn die von der Klage betroffenen Ansprüche von Verbrauchern im Wesentlichen gleichartig sind. Das ist der Fall, wenn
die Ansprüche auf demselben Sachverhalt oder auf einer Reihe im Wesentlichen vergleichbarer Sachverhalte beruhen und
für die Ansprüche die im Wesentlichen gleichen Tatsachen- und Rechtsfragen entscheidungserheblich sind.

EuGH
Urteil vom 19.03.2026
C-526/24
Brillen Rottler

Der EuGH hat entschieden, dass ein Auskunftsanspruch nach Art. 15 DSGVO als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO abgelehnt werden kann, wenn eine Newsletter-Anmeldung und der anschließend geltend gemacht Auskunftsanspruch primär in der missbräuchlichen Absicht erfolgten, künstlich die Voraussetzungen für einen Schadensersatzanspruch gemäß Art. 82 DSGVO zu schaffen.

Die Pressemitteilung des EuGH:
Ein Antrag auf Auskunft über die eigenen personenbezogenen Daten kann als missbräuchlich eingestuft und zurückgewiesen werden, wenn er allein in der Absicht gestellt wird, anschließend Schadensersatz wegen eines angeblichen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO) zu fordern

Eine in Österreich wohnhafte Person abonnierte den Newsletter des familiengeführten Optikerunternehmens Brillen Rottler mit Sitz im deutschen Arnsberg. Dabei gab sie ihre personenbezogenen Daten in die Anmeldemaske auf der Website des Unternehmens ein.

13 Tage später richtete sie einen Auskunftsantrag nach der DSGVO an Brillen Rottler. Nach der DSGVO hat eine betroffene Person im Sinne dieser Verordnung das Recht, von dem Verantwortlichen im Sinne dieser Verordnung eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, das Recht auf Auskunft über diese Daten und die damit verbundenen Informationen.

Brillen Rottler wies den Antrag zurück, da er missbräuchlich sei. Aus verschiedenen Medienberichten, Blogbeiträgen und Berichten von Rechtsanwälten sei ersichtlich, dass sich der Antragsteller systematisch zu Newslettern verschiedener Unternehmen anmelde, dann Auskunft beantrage und schließlich Schadensersatz fordere. Der Antragsteller hingegen hält seinen Auskunftsantrag für legitim und fordert von Brillen Rottler eine Entschädigung in Höhe von mindestens 1 000 Euro für den immateriellen Schaden, der ihm durch die Zurückweisung des Antrags entstanden sei.

Das Amtsgericht Arnsberg, das mit dem Rechtsstreit zwischen Brillen Rottler und dem Antragsteller über die Berechtigung der vorstehend genannten Anträge befasst ist, hat den Gerichtshof dazu befragt, ob ein erster Antrag der betroffenen Person auf Auskunft über personenbezogene Daten als „exzessiv“ angesehen werden kann und ob diese Person einen Anspruch auf Ersatz des aus einer Verletzung des Rechts auf Auskunft über diese Daten entstandenen Schadens hat.

Der Gerichtshof antwortet, dass ein erster Auskunftsantrag unter bestimmten Umständen bereits als „exzessiv“ im Sinne der DSGVO angesehen werden und daher missbräuchlich sein kann.

Dies ist der Fall, wenn der Verantwortliche nachweist, dass trotz formaler Einhaltung der in der DSGVO vorgesehenen Voraussetzungen für die Stellung eines Auskunftsantrags dieser Antrag nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern in der als „missbräuchlich“ einzustufenden Absicht, künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DSGVO zu schaffen.

Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

Außerdem hat eine Person, der wegen eines Verstoßes gegen die DSGVO – einschließlich einer Verletzung des Rechts auf Auskunft über ihre personenbezogenen Daten – ein materieller oder immaterieller Schaden entstanden ist6, Anspruch auf Ersatz des betreffenden Schadens gegen den Verantwortlichen. Der Gerichtshof stellt jedoch klar, dass die betroffene Person als Voraussetzung für einen solchen Schadensersatz u. a. nachweisen muss, dass ihr tatsächlich ein entsprechender Schaden entstanden ist. Im Übrigen kann diese Person keinen Schadensersatz7 nach der DSGVO erhalten, wenn ihr eigenes Verhalten die entscheidende Ursache für den Schaden ist.

Es ist Sache des Amtsgerichts Arnsberg, den bei ihm anhängigen Rechtsstreit unter Berücksichtigung der Antworten des Gerichtshofs zu entscheiden.

Tenor der Entscheidung:
1. Art. 12 Abs. 5 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein erster von der betroffenen Person an den Verantwortlichen gerichteter Antrag nach Art. 15 dieser Verordnung auf Auskunft über personenbezogene Daten als „exzessiv“ im Sinne dieses Art. 12 Abs. 5 angesehen werden kann, wenn der Verantwortliche in Ansehung aller relevanten Fallumstände nachweist, dass dieser Antrag trotz formaler Einhaltung der in diesen Bestimmungen vorgesehenen Bedingungen von der betroffenen Person nicht gestellt wurde, um sich der Verarbeitung dieser Daten bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, damit sie anschließend ihre Rechte aus der besagten Verordnung schützen kann, sondern in missbräuchlicher Absicht wie zur künstlichen Schaffung der Voraussetzungen für die Erlangung eines sich aus dieser Verordnung ergebenden Vorteils. Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er der betroffenen Person einen Anspruch auf Ersatz des aus einer Verletzung des Auskunftsrechts nach Art. 15 Abs. 1 dieser Verordnung entstandenen Schadens verleiht.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, das der immaterielle Schaden der betroffenen Person den Verlust der Kontrolle über ihre personenbezogenen Daten oder ihre Ungewissheit darüber umfasst, ob ihre Daten verarbeitet wurden, sofern insbesondere nachgewiesen wird, dass dieser Person tatsächlich ein solcher Schaden entstanden ist und dass ihr Verhalten nicht die entscheidende Ursache für diesen Schaden war.

Den Volltext der Entscheidung finden Sie hier:

LG Krefeld
Urteil vom 06.11.2025
3 O 93/24

Das LG Krefeld hat entschieden, dass ein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei einem Hackerangriff – im vorliegenden Fall ein Zero-Day-Exploit – nicht besteht, wenn der Nachweis unzureichender Sicherheitsmaßnahmen des Unternehmens fehlt und ein konkreter Schaden nicht substantiiert dargelegt wurde.

Aus den Entscheidungsgründen:
Gemäß Art. 82 Abs. 4 DSGVO haften sowohl der Verantwortliche (hier die Beklagte zu 1) gemäß Art. 4 Nr. 7 DSGVO) als auch der Auftragsverarbeiter (hier die Beklagte zu 2) gemäß Art. 4 Nr. 8 DSGVO) gesamtschuldnerisch für einen verursachten Schaden. Soweit die Klägerin ein wirksames Auftragsverarbeitungsverhältnis zwischen den Beklagten mit Nichtwissen bestreitet (Bl. 162 d. A.), ist dieses Bestreiten gemäß § 138 Abs. 4 ZPO unbeachtlich, da er im Widerspruch zu ihrem vorherigen Vortrag (z.B. auf Bl. 8 f. d. A) steht. Denn die Klägerin trägt selbst vor, dass die Daten durch die Beklagte zu 2) als Dienstleister der Beklagten zu 1) verarbeitet worden sind.

Zudem kann das Gericht keinen schuldhaften Verstoß der Beklagten gegen die DSGVO annehmen. Insbesondere kann ein schuldhafter Verstoß gegen Art. 5 Abs. 1 lit. f), 24, 32 DSGVO nicht angenommen werden.

Nach Art. 5 Abs. 1 f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, wobei dies der Verantwortliche nach Art. 5 Abs. 2 DSGVO nachzuweisen hat. Nach Art. 24 Abs. 1 S. 1 DSGVO setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Nach Art. 24 Abs. 2 DSGVO müssen diese Maßnahmen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und zwar unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Die DSGVO verlangt ein Risikomanagementsystem einzuführen, aber nicht die Beseitigung des Risikos von Verletzungen des Schutzes personenbezogener Daten (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Aus dem Wortlaut der Art. 24 und 32 DSGVO ergibt sich, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf geeignet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 30, juris). Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Dabei steht dem Verantwortlichen ein gewisser Entscheidungsspielraum zu (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 43, juris).

Die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 f) und Art. 32 DSGVO gewährleisten, obliegt dem für die betreffende Verarbeitung Verantwortlichen (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 52, juris). Wenn eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 f), Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat (EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 71, juris). Hackerangriffe oder Datenlecks entlasten (nur), wenn der Verantwortliche die übliche Sorgfalt zum Schutz der Daten angewendet hat, wobei zu berücksichtigen ist, dass die DSGVO nicht erfordert, alle theoretisch möglichen Schutzvorkehrungen vorzusehen (Quaas, in: BeckOK DatenschutzR, 51. Edition Stand: 01.02.2025, Art. 82, Rn. 18).

Ein pflichtwidriger Verstoß der Beklagten gegen die DSGVO kann vor diesem Hintergrund nicht festgestellt werden. Die Beklagten haben die Einhaltung ihrer datenschutzrechtlichen Pflichten substantiiert und ausführlich dargelegt, dies vermag die Klägerin mit ihrem bloßen Bestreiten nicht zu entkräften. Die Klägerin unterliegt vielmehr irrig der Annahme, der erfolgreiche Angriff liefere ein belastbares Indiz für unzureichende technische und organisatorische Maßnahmen im Vorfeld. Ein derartiger Rückschluss ist jedoch verfehlt (vgl. dazu OLG Stuttgart, BeckRS 2021, 6282 Rn. 52). Soweit sie darauf abstellt, dass die Beklagten weitere technische Maßnahmen hätten ergreifen können, wovon sie einige aufzählt, ergibt sich hieraus keine Umsetzungspflicht, deren Nichteinhaltung einen datenschutzrechtlichen Verstoß begründen kann. Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern (vgl. EuGH ZD 2024, 150, 152 Rn. 30 f.). Dies ist nicht gleichbedeutend mit sämtlichen, den Stand der Technik erschöpfenden Maßnahmen. Unzureichend wären die von den Beklagten beschriebenen TOM nur dann, wenn sich zuvor konkrete Anhaltspunkte für die Fehleranfälligkeit der - zum Zeitpunkt des Vorfalls - marktführenden G.-Anwendung ergeben hätten. Die Klägerin behauptet insoweit pauschal und ohne nähere Darlegung. Sie verweist hierzu auf einen unergiebigen öffentlichen Beitrag sowie auf sog. CVE-Einträge einer Fehlerdatenbank. Daraus ergibt sich indes nicht, ob die Beklagten diese Umstände vor dem Cyberangriff konkret wahrgenommen haben oder hätten wahrnehmen müssen, da insbesondere die letztgenannte Quelle vielmehr dafür spricht, dass das Programm seitens des Herstellers regelmäßig überprüft und sicherheitstechnisch weiterentwickelt wurde und wird. Gegen die Annahme, dass die Beklagten entsprechende Bedenken hätten haben müssen, spricht der Umstand, dass weltweit ca. 2.500 Unternehmen und Institutionen dem - insoweit unvorhergesehenen - sog. „zero-day-exploit“ zum Opfer fielen. Die Beklagte zu 1) hatte keinen Anlass zur verstärkten Kontrolle der Beklagten zu 2), Zweifel an der Eignung der Beklagten zu 2) als Auftragsverarbeiterin wurden nicht vorgetragen.


Selbst wenn man einen Verstoß unterstellen würde, würde dies vorliegend nicht zu einem Schmerzensgeldanspruch führen. Den der Vortrag bzgl. der Sorgen, Ängste und des Gefühls eines Kontrollverlustes bleibt vollkommen unsubstantiiert. Auch fehlt hinreichender Vortrag zur Kausalität der behaupteten Datenschutzverstöße für die Schäden. Der Anspruch auf Schadensersatz gemäß Art. 82 Art. 1, 2 DSGVO resultiert nicht allein aus einem - mit dem Vorfall eines Datenmissbrauchs stets einhergehenden - Kontrollverlust. Erforderlich ist vielmehr ein konkreter, tatsächlicher und darüberhinausgehender Schaden. Die von der Klägerin vorgetragenen Sorgen und Ängste um ihre erhöhte Risikoanfälligkeit sind innere Vorgänge, die unter Heranziehung von Beweiszeichen objektiver Art näher darzulegen sind (vgl. LG Mainz GRUR-RS 2024, 42662 Rn. 28; OLG Hamm GRUR 2023, 1791). Alltägliche, negative Empfindungen allein begründen keinen ersatzfähigen (psychischen) Schaden. Der Vortrag der Klägerin, sie erhielte seit dem Vorfall vermehrt unerwünschte Anrufe, SMS sowie Spam-E-Mails, ist unschlüssig, da sie eine Betroffenheit dieser Datentypen bereits nicht hinreichend darlegt und derartige Kontaktversuche - wie allgemein bekannt - auch anlasslose, unregelmäßige Vorkommnisse des Alltags sein können. Es entspricht der allgemeinen Lebenswirklichkeit, dass man von derartigen Kontaktversuchen betroffen ist. Im Übrigen hat die Klägerin auch nicht vorgetragen, ihre E-Mail oder Telefonnummer in Reaktion hierauf ausgetauscht, oder ihr Verhalten im Internet anderweitig angepasst zu haben, was diese Vorfälle - als objektives Beweiszeichen - hätte plausibilisieren können.

In der Folge besteht auch kein Zinsanspruch.

Der Klageantrag zu 2) ist bereits unzulässig. Er ist weder hinreichend bestimmt noch besteht ein Feststellungsinteresse.

Ein Klageantrag ist i.S.v. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt, wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil vom 9. März 2021 - VI ZR 73/20, VersR 2021, 795 Rn. 15). Dabei ist die Verwendung auslegungsbedürftiger Begriffe im Klageantrag zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteile vom 2. Juni 2022 - I ZR 140/15, BGHZ 234, 56 Rn. 26; vom 9. September 2021 - I ZR 113/20, GRUR 2021, 1425 Rn. 12 mwN). Bei einem - wie vorliegend - auf Vornahme einer Handlung gerichteten Antrag muss deren Art und Umfang bestimmt bezeichnet sein (Anders, in: Anders/Gehle, ZPO, 83. Aufl. 2025, § 253 Rn. 48).

Daran gemessen ist der Klageantrag zu 1) nicht hinreichend bestimmt. Die begehrte Feststellung bezieht sich auf die Verpflichtung, den „unbefugten Zugriff Dritter (…) zu verhindern“. Es ist jedoch auch unter Zugrundelegung des Vortrages der Klägerin nicht ersichtlich, in welchen Fällen konkret von einem unbefugten Zugriff durch Dritte auszugehen ist und welche Voraussetzungen eine „geeignete Datentransfer Software“ dementsprechend zu erfüllen hätte. Dies gilt insbesondere vor dem Hintergrund, dass die DSGVO ein risikobasiertes Maßnahmenkonzept vorschreibt und gerade nicht die Beseitigung jedweden Risikos von Verletzungen der personenbezogenen Daten verlangt (vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21 -, Rn. 29, juris). Der Klageantrag lässt sich damit nicht in einer Weise auslegen, dass die Klägerin eine nach Art und Umfang hinreichend bestimmte Handlung begehrt, was den Streit in unzulässiger Weise in die Zwangsvollstreckung verlagern würde (vgl. zum Begriff „unbefugter Dritter“ auch BGH, Urteil v. 18.11.2024 - VI ZR 10/24, GRUR 2024, 1910, Rn. 56, 58).

Überdies ist der Klageantrag zu 2) auch mangels Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO unzulässig. Ein Interesse an der Feststellung einer Ersatzpflicht für künftige Schäden rein materieller Art - wie sie die Klägerin vorliegend mit dem Antrag zu 2) geltend macht - hängt von der Wahrscheinlichkeit des ausstehenden Schadenseintritts ab (OLG Brandenburg BeckRS 2020, 42937 Rn. 3). Ist hingegen bei verständiger Würdigung des Einzelfalls nicht mit dem Eintritt eines künftigen Schadens zu rechnen, so ist bereits eine derartige Möglichkeit zu verneinen (OLG Hamm GRUR 2023, 1793, 1803 Rn. 192ff.). Die Klägerin hat vorliegend keine Umstände vorgetragen, die den Eintritt künftiger Schäden über eine bloß theoretische Befürchtung hinaus wahrscheinlich werden lassen. Die Sicherheitslücke konnte durch ein Herstellerupdate am 02.06.2023 behoben werden. Seit dem knapp 2 ½ Jahre zurückliegenden Vorfall vom 31.05.2023 hat die Klägerin keine materiellen Schäden erlitten. Dabei verringert sich eine solche Möglichkeit stetig mit fortschreitendem Zeitablauf (OLG Köln GruR-RS 2023, 36757 Rn. 54). Die pauschalen Ausführungen der Klägerin zu hypothetisch erhöhten Risiken - die sich teilweise auf Daten beziehen, die dem Angriff bereits nicht anheimfielen - ändern hieran nichts. Gegen die Annahme, dass die Klägerin selbst mit künftigen Vermögensschäden rechnet, spricht auch, dass die Klägerin nicht vorträgt, entsprechende Schutzvorkehrungen getroffen zu haben, etwa durch Änderung ihrer Rufnummer, E-Mail-Adresse oder Bankverbindung. Schließlich trägt die Klägerin selbst vor, zum jetzigen Zeitpunkt noch nicht absehen zu können, welche Folgen durch die entwendeten persönlichen Daten eintreten werden.

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 29.01.2026
I ZR 129/25

Der BGH hat entschieden, dass ein Anspruch auf Schadensersatz gegen einen Makler aus § 21 Abs. 2 AGG besteht, wenn dieser einen Interessenten aus ethnischen Gründen benachteiligt.

Die Pressemitteilung des BGH:
Wohnungsmakler schuldet Schadensersatz wegen Benachteiligung einer Mietinteressentin aus ethnischen Gründen

Der unter anderem für Maklerrecht zuständige I. Zivilsenat des Bundesgerichtshofs hat entschieden, dass ein Immobilienmakler, der eine Mietinteressentin bei der Wohnungssuche aufgrund ihrer ethnischen Herkunft benachteiligt hat, auf Schadensersatz haftet.

Sachverhalt:

Der Beklagte betreibt ein Maklerbüro. Im November 2022 bewarb sich die Klägerin unter Nennung ihres pakistanischen Vor- und Nachnamens mehrfach per Internetformular um einen Besichtigungstermin für eine der von dem Beklagten vermakelten Wohnungen. Auf sämtliche Anfragen erhielt die Klägerin eine Absage. Weitere von der Klägerin selbst oder auf ihre Veranlassung hin getätigte Besichtigungsanfragen unter ausländisch klingenden Namen blieben ebenfalls ohne Erfolg. Von der Klägerin initiierte Anfragen mit identischen Angaben zu Einkommen, Berufstätigkeit und Haushaltsgröße unter den Namen "Schneider", "Schmidt" und "Spieß" hatten hingegen Erfolg und führten jeweils zum Angebot eines Besichtigungstermins.

Die Klägerin meint, sie habe allein wegen ihrer ethnischen Herkunft keinen Besichtigungstermin erhalten und macht einen Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG) geltend. Sie nimmt den Beklagten auf Zahlung einer angemessenen Entschädigung sowie auf Erstattung von vorgerichtlichen Rechtsanwaltskosten in Anspruch.

Bisheriger Prozessverlauf:

Das Amtsgericht hat die Klage abgewiesen. Das Berufungsgericht hat das amtsgerichtliche Urteil abgeändert und den Beklagten zur Zahlung einer Entschädigung in Höhe von 3.000 € sowie zur Erstattung der vorgerichtlichen Rechtsanwaltskosten verurteilt.

Mit seiner vom Berufungsgericht zugelassenen Revision verfolgt der Beklagte seinen Antrag auf Klageabweisung weiter.

Entscheidung des Bundesgerichtshofs:

Die Revision des Beklagten hat keinen Erfolg. Er schuldet der Klägerin wegen eines Verstoßes gegen das in § 19 Abs. 2 AGG vorgesehene Verbot der Benachteiligung wegen der ethnischen Herkunft den Ersatz immateriellen Schadens in Höhe von 3.000 € sowie Ersatz vorgerichtlicher Rechtsanwaltskosten.

Die über das Internetangebot des Beklagten abrufbaren, an die Öffentlichkeit gerichteten Wohnungsvermittlungsangebote fallen in den Anwendungsbereich des zivilrechtlichen Verbots der Benachteiligung wegen der ethnischen Herkunft (§ 2 Abs. 1 Nr. 8 in Verbindung mit § 19 Abs. 2 AGG). Das Berufungsgericht hat zu Recht angenommen, dass die Ablehnung der unter nichtdeutschen Namen gestellten Gesuche in Zusammenschau mit dem Erfolg der unter deutschen Namen gestellten Gesuche ein hinreichendes Indiz für eine Benachteiligung wegen der ethnischen Herkunft darstellt. Es unterliegt keinen rechtlichen Bedenken, dass die Klägerin diese Beweislage nicht nur unter Verwendung ihres wirklichen Namens, sondern auch unter falschem Namen sowie durch von Hilfspersonen gestellte Gesuche herbeigeführt hat. Für ein rechtsmissbräuchliches Vorgehen der Klägerin, wie etwa eine nicht ernsthafte Bewerbung mit dem Ziel, lediglich den formalen Status als Bewerberin zu erlangen, um Ansprüche nach § 21 AGG geltend zu machen, ist im Streitfall nichts ersichtlich.

Der Beklagte ist als mit der Auswahl potentieller Mieter betrauter Makler Adressat des zivilrechtlichen Benachteiligungsverbots gemäß § 19 Abs. 2 AGG und schuldet deshalb bei einer Verletzung dieser Norm den Ersatz materiellen und immateriellen Schadens nach § 21 Abs. 2 AGG. Die Erstreckung der Haftung auf den Makler als Hilfsperson des Vermieters ist mit dem Wortlaut und der Systematik der Vorschriften vereinbar und entspricht dem Ziel des Allgemeinen Gleichbehandlungsgesetzes, Benachteiligungen etwa wegen der ethnischen Herkunft wirkungsvoll zu verhindern oder zu beseitigen. Der Umstand, dass sich der Vermieter möglicherweise das Verhalten des Maklers zurechnen lassen muss und dann ebenfalls haftet, steht der Eigenhaftung des Maklers nicht entgegen.

Auf die Frage, ob für den Anspruch auf Schadensersatz nach § 21 Abs. 2 Satz 1 AGG ein Verschulden erforderlich ist, kam es im Streitfall nicht an, weil das Berufungsgericht rechtsfehlerfrei ein Verschulden in Form fahrlässigen Handelns angenommen hat.

Die vom Berufungsgericht wegen erheblicher Schwere des Verstoßes zugesprochene Höhe des immateriellen Schadensersatzes von 3.000 € ist revisionsrechtlich nicht zu beanstanden.

Vorinstanzen:

AG Groß-Gerau - Urteil vom 17. Oktober 2023 - 61 C 57/23

LG Darmstadt - Urteil vom 11. April 2025 - 24 S 92/23

Die maßgeblichen Vorschriften lauten:

§ 1 AGG

Ziel des Gesetzes ist, Benachteiligungen aus Gründen der Rasse oder wegen der ethnischen Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität zu verhindern oder zu beseitigen.

§ 2 Abs. 1 Nr. 8 AGG

(1) Benachteiligungen aus einem in § 1 genannten Grund sind nach Maßgabe dieses Gesetzes unzulässig in Bezug auf: (...)

8. den Zugang zu und die Versorgung mit Gütern und Dienstleistungen, die der Öffentlichkeit zur Verfügung stehen, einschließlich von Wohnraum.

§ 19 Abs. 2 AGG

Eine Benachteiligung aus Gründen der Rasse oder wegen der ethnischen Herkunft ist darüber hinaus auch bei der Begründung, Durchführung und Beendigung sonstiger zivilrechtlicher Schuldverhältnisse im Sinne des § 2 Abs. 1 Nr. 5 bis 8 unzulässig.

§ 21 Abs. 2 AGG

Bei einer Verletzung des Benachteiligungsverbots ist der Benachteiligende verpflichtet, den hierdurch entstandenen Schaden zu ersetzen. Dies gilt nicht, wenn der Benachteiligende die Pflichtverletzung nicht zu vertreten hat. Wegen eines Schadens, der nicht Vermögensschaden ist, kann der Benachteiligte eine angemessene Entschädigung in Geld verlangen.

§ 22 AGG

Wenn im Streitfall die eine Partei Indizien beweist, die eine Benachteiligung wegen eines in § 1 genannten Grundes vermuten lassen, trägt die andere Partei die Beweislast dafür, dass kein Verstoß gegen die Bestimmungen zum Schutz vor Benachteiligung vorgelegen hat.

BGH
Beschluss vom 28.05.2025
VI ZR 258/24
Verordnung (EU) 2016/679 Art. 82 Abs. 1

Der BGH hat dem EuGH Fragen zum Personenbezug dynamischer IP-Adressen und zur Rechtsmissbräuchlichkeit der Geltendmachung von Schadensersatzansprüchen aus Art. 82 Abs. 1 DSGVO zur Voarbentscheidung vorgelegt.

Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Fragen zur Vorabentscheidung vorgelegt:

a) Ist Art. 4 Nr. 1 DSGVO dahingehend auszulegen, dass im Falle der automatisierten Übermittlung einer dynamischen Internetprotokoll-Adresse (IPAdresse) diese bereits dann ein personenbezogenes Datum darstellt, wenn ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt ?

Oder ist Voraussetzung für die Annahme eines personenbezogenen Datums, dass der für die Übermittlung Verantwortliche oder der Empfänger über Mittel verfügen, die vernünftigerweise eingesetzt werden können, die betreffende Person - gegebenenfalls mit Hilfe eines Dritten - bestimmen zu lassen ?

Falls letzteres zutrifft: Genügt es insoweit, dass unter bestimmten Voraussetzungen rechtliche Möglichkeiten zur Identifizierung der betroffenen Person bestehen können oder müssen diese Voraussetzungen in tatsächlicher und rechtlicher Sicht im konkreten Fall vorgelegen haben ?

b) Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass ein immaterieller Schaden auch dann vorliegen kann, wenn die betroffene Person einen Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung bewusst und allein zu dem Zweck herbeiführt, den Verstoß dokumentieren und gegenüber dem Verantwortlichen geltend machen zu können ?

Falls ja: Kann das Vorliegen eines immateriellen Schadens auch dann bejaht werden, wenn gleichartige Verstöße in großer Zahl in automatisierter Weise provoziert werden ?

c) Falls beide unter Ziffer 2 aufgeworfenen Fragen bejaht werden:

Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass in einem Fall der in Frage 2 beschriebenen Art ein Anspruch auf Ersatz immateriellen Schadens wegen missbräuchlichen Verhaltens der betroffenen Person verneint werden kann, weil trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde und die Absicht bestand, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden? Kommt es insoweit darauf an, ob die Erlangung eines finanziellen Vorteils die alleinige Motivation für die Provokation des Verstoßes gegen die Verordnung war ?

BGH, Beschluss vom 28. August 2025 - VI ZR 258/24 - LG Hannover - AG Hannover

Den Volltext der Entscheidung finden Sie hier:

BAG
Urteil vom 05.06.2025
8 AZR 117/24

Das BAG hat vorliegend entschieden, dass dem Betroffenen 1.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO zustehen, nachdem der potentielle Arbeitgeber eine Google Recherche über einen Bewerber durchgeführt hat, ohne diesen nach Art. 14 DSGVO zu informieren.

Aus den Entscheidungsgründen:
bb) Der mit dem Feststellungsantrag verfolgte Anspruch auf materiellen Schadenersatz steht dem Kläger auch nicht aus Art. 82 Abs. 1 DSGVO zu.

(1) Nach dieser Bestimmung hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen.

(2) Hiervon ausgehend kann dahingestellt bleiben, ob die Beklagte, soweit sie im Auswahlverfahren Daten über das gegen den Kläger vor dem Landgericht München I geführte Strafverfahren verarbeitet hat, gegen die Datenschutz-Grundverordnung verstoßen hat, insbesondere ob hier ein Verstoß gegen Art. 6, Art. 10 und/oder Art. 14 DSGVO vorliegt. Dies kann vielmehr zugunsten des Klägers unterstellt werden. Es fehlt jedenfalls an der Darlegung eines Kausalzusammenhangs zwischen den vom Kläger angeführten Verstößen gegen die Datenschutz-Grundverordnung und dem geltend gemachten materiellen Schaden als einer der drei kumulativen Voraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO (vgl. dazu: EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 140; 4. Mai 2023 – C-300/21 – [Österreichische Post] Rn. 32; BAG 20. Februar 2025 – 8 AZR 61/24 – Rn. 10 mwN).

Bei den geltend gemachten Verstößen gegen die Datenschutz-Grundverordnung handelt es sich um Fehler im Auswahlverfahren, die für sich betrachtet nicht ursächlich für einen dem Kläger durch die Nichteinstellung entstandenen Schaden geworden sein können. Dieser Schaden ist vielmehr darauf zurückzuführen, dass er wegen objektiv begründeter Zweifel an seiner charakterlichen Eignung nicht als geeigneter Bewerber angesehen werden kann und schon deshalb keine Verpflichtung der Beklagten bestand, die ausgeschriebene Stelle mit ihm zu besetzen.

2. Der zulässige Klageantrag zu 2. ist, soweit Gegenstand der Revision, unbegründet. Das Landesarbeitsgericht hat dem Kläger zu Recht keinen über 1.000,00 Euro zzgl. Zinsen ab dem 28. Oktober 2022 hinausgehenden immateriellen Schadenersatz zugesprochen.

a) Da sich die Beklagte gegen ihre Verurteilung zur Zahlung einer Entschädigung nicht mit einem eigenen Rechtsmittel gewandt hat, ist die Entscheidung des Landesarbeitsgerichts insoweit mit dem Ablauf der Frist für eine mögliche Anschlussrevision rechtskräftig geworden (vgl. BAG 5. Mai 2022 – 2 AZR 363/21 – Rn. 10 mwN).

b) Zugunsten des Klägers kann unterstellt werden, dass ihm nicht nur – wie vom Landesarbeitsgericht angenommen – ein Anspruch auf Zahlung immateriellen Schadenersatzes gemäß Art. 82 Abs. 1 DSGVO wegen eines Verstoßes der Beklagten gegen ihre Informationspflichten aus Art. 14 Abs. 1 Buchst. d DSGVO zusteht, sondern die Beklagte bereits die Daten über das gegen den Kläger anhängige Strafverfahren mangels Eingreifens eines Erlaubnistatbestands iSv. Art. 6 und Art. 10 DSGVO unter Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung erhoben hat, und demzufolge mehrere Verstöße gegen die Verordnung vorliegen. Dies führt aber nicht dazu, dass der vom Landesarbeitsgericht festgesetzte Entschädigungsbetrag rechtsfehlerhaft bemessen wäre.

aa) Bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DSGVO geschuldeten Schadenersatzes haben die nationalen Gerichte in Ermangelung einer Bestimmung in der Datenschutz-Grundverordnung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DSGVO verlangt dabei nicht, dass die Schwere des Verschuldens berücksichtigt wird. Die Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs schließt es sogar aus, dass eine etwaige Vorsätzlichkeit des Verstoßes gegen die Datenschutz-Grundverordnung bei der Bemessung des Schadenersatzes zum Tragen kommt. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung erlittenen Schaden in vollem Umfang ausgleicht (vgl. EuGH 20. Juni 2024 – C-182/22, C-189/22 – [Scalable Capital] Rn. 27 ff. mwN; BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 36).

bb) Hinsichtlich der nach diesen Maßgaben vorzunehmenden Bemessung der Höhe eines Schadenersatzes steht den Tatsachengerichten nach § 287 Abs. 1 ZPO ein weiter Ermessensspielraum zu, innerhalb dessen sie die Besonderheiten jedes einzelnen Falls zu berücksichtigen haben. Die Festsetzung unterliegt nur der eingeschränkten Überprüfung durch das Revisionsgericht (vgl. BAG 25. Juli 2024 – 8 AZR 225/23 – Rn. 37; 20. Juni 2024 – 8 AZR 124/23 – Rn. 16).

cc) Der vom Landesarbeitsgericht ausgeurteilte Betrag von 1.000,00 Euro ist jedenfalls ausreichend, um einen dem Kläger entstandenen immateriellen Schaden auszugleichen.

(1) Das Landesarbeitsgericht hat darauf abgestellt, dass der Kläger durch die Art und Weise der Verarbeitung der Daten über das gegen ihn anhängige Strafverfahren in erheblicher Weise zum bloßen Objekt der Verarbeitung geworden sei, was seinen Achtungsanspruch als Person herabgesetzt habe und mit einem erheblichen Kontrollverlust einhergegangen sei. Damit hat es die vom Kläger angeführten tatsächlichen Beeinträchtigungen umfassend gewürdigt. Der auf dieser Grundlage festgesetzte Entschädigungsbetrag hält sich im tatrichterlichen Beurteilungsspielraum.

(2) Soweit der Kläger eine ausreichend „abschreckende Wirkung“ der ihm zuerkannten Entschädigung vermisst, zeigt er keinen Gesichtspunkt auf, der eine Erhöhung rechtfertigen könnte. Durch die Rechtsprechung des Gerichtshofs der Europäischen Union ist geklärt, dass der in Art. 82 Abs. 1 DSGVO geregelte Schadenersatzanspruch ausschließlich eine ausgleichende und keine strafende Funktion hat, und dass die Höhe eines auf der Grundlage dieser Bestimmung gewährten Schadenersatzes nicht über das hinausgehen darf, was zum Ausgleich eines erlittenen Schadens erforderlich ist (zuletzt EuGH 4. Oktober 2024 – C-507/23 – Rn. 40 ff.). Der danach maßgebliche Charakter des Entschädigungsanspruchs als Anspruch auf Ausgleich eines tatsächlich erlittenen Schadens ist nicht davon abhängig, ob Regelungen im nationalen Recht wegen eines Verstoßes gegen die Datenschutz-Grundverordnung die Verhängung eines Bußgelds gegen den Verantwortlichen ermöglichen oder nicht.

(3) Der Kläger zeigt auch keinen revisiblen Rechtsfehler auf, soweit er geltend macht, das Landesarbeitsgericht sei lediglich von einem Verstoß gegen die Datenschutz-Grundverordnung ausgegangen, während tatsächlich mehrere Verstöße vorlägen. Selbst wenn Letzteres – was zugunsten des Klägers unterstellt werden kann – zutreffen sollte, beziehen sich die behaupteten Verstöße jedenfalls auf denselben Verarbeitungsvorgang. In einem solchen Fall kann, wie der Gerichtshof der Europäischen Union bereits erkannt hat, der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben Person begangen hat, nicht als relevantes Kriterium für die Bemessung des der betroffenen Person gemäß Art. 82 DSGVO zu gewährenden Schadenersatzes herangezogen werden. Um den Betrag der als Ausgleich geschuldeten finanziellen Entschädigung festzulegen, ist allein der vom Betroffenen konkret erlittene Schaden zu berücksichtigen (EuGH 11. April 2024 – C-741/21 – [juris] Rn. 64).

Den Volltext der Entscheidung finden Sie hier:

AG Wesel
Urteil vom 23.07.2025
30 C 138/21

Das AG Wesel hat entschieden, dass ein Anspruch auf Schadensersatz in Höhe von 500 Euro aus Art. 82 DSGVO besteht, wenn ein Steuerberater eine Steuererklärung versehentlich an die alte Adresse seines Mandanten schickt.

Aus den Entscheidungsgründen:
Die Kläger haben gegen die Beklagten als Gesamtschuldner einen Anspruch auf Zahlung eines immateriellen Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO, dies jedoch nur in Höhe von jeweils 500,00 EUR.

Die sachliche, räumliche und zeitliche Anwendbarkeit der DSGVO ergibt sich aus den Art. 2 Abs. 1, 3 Abs. 1 und 99 Abs. 2 DSGVO.

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Die Beklagte zu 1) ist als juristische Person, die im Rahmen ihrer Tätigkeit über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Haftung der Beklagten zu 2) bis 6) als Gesellschafter der Beklagten zu 1) ergibt sich aus § 721 BGB.

Die Beklagte zu 1) hat jedenfalls gegen Art. 5 Abs. 1 lit. d) DSGVO verstoßen. Nach dieser Vorschrift müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“). Gegen diese Vorgabe haben die Beklagten verstoßen, indem sie die ehemalige Adresse der Kläger nicht vollumfänglich aus dem Datenbestand gelöscht haben. Hierbei ist unerheblich, dass die Adresse durch ein Programm automatisch eingefügt wurde. Nach Maßgabe des Art. 5 Abs. 1 lit. d) DSGVO hatte die Beklagte gerade dafür Sorge zu tragen, dass die Adresse im System überhaupt nicht mehr hinterlegt ist. Ein Verstoß gegen diesen Grundsatz der Datenverarbeitung stellt zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht gemäß Art. 82 DSGVO auszulösen (BGH, Urteil vom 18.11.2024 - VI ZR 10/24 m.w.N.).

Den Klägern ist infolge des Verstoßes auch ein Schaden entstanden.

Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (stRspr, BGH a.a.O. m.w.N.). Der Begriff ist mit Blick auf die Zielsetzung der Verordnung weit auszulegen und nicht von dem Überschreiten einer Bagatell-Grenze abhängig (EuGH, Urteil vom 20.06.2024 - C-590/22; BGH a.a.O.).

Dennoch stellt der Schaden ein eigenständiges Tatbestandsmerkmal des Art. 82 Abs. 1 DSGVO dar, der nicht mit dem Verstoß gegen die Verordnung gleichgesetzt werden kann und über den reinen Verstoß hinausgehen muss (EuGH a.a.O., BGH a.a.O.).

Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH a.a.O., BH a.a.O.). Dies wird insbesondere auf den ersten Satz des 85. Erwägungsgrunds der DSGVO gestützt, in dem es heißt, dass „(e)ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen (kann), wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten.“ Diese Formulierung spiegelt auch die zu unterscheidenden Tatbestandsmerkmale des Art. 82 DSGVO: Die in Art. 82 Abs. 1 DSGVO vorausgesetzte Datenschutzverletzung, kann, muss aber nicht zu einem die Ersatzpflicht auslösenden Schaden führen; dieser ist gesondert festzustellen, kann aber beispielsweise in dem Kontrollverlust, der mögliche, aber nicht zwingende Folge des Verstoßes ist, liegen. Der Anspruchsteller muss aus diesem Grund lediglich den eingetretenen Kontrollverlust, diesen aber vollumfänglich, beweisen.

Einen derartigen Kontrollverlust haben die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten. Das Gericht ist nach dem Ergebnis der Beweisaufnahme davon überzeugt, dass die von der Beklagten abgesandte Erklärung an der ehemaligen Adresse der Kläger eingegangen und von den Zeugen A in Empfang genommen worden ist. Dies ergibt sich aus den übereinstimmenden und glaubhaften Bekundungen der Zeugen im Rahmen ihrer Vernehmung.

Infolge der durch die Beklagte vorgenommenen und kausal durch den Verstoß gegen Art. 5 Abs. 1 lit. d) DSGVO erfolgten, irrtümlichen Versendung war den Klägern die Kontrolle darüber entzogen, welchem Personenkreis die den Beklagten zur Verfügung gestellten und in der Steuererklärung aufgegriffenen personenbezogenen Daten zugänglich waren. Ob die Zeugen den von der Beklagten in Gang gesetzten Kausalverlauf durch das eigenmächtige Öffnen des Briefs unterbrochen haben, ist für den Schadenseintritt unerheblich, da dieser bereits zuvor mit der Versendung des Briefs eingetreten war. Bereits in diesem Zeitpunkt waren die Daten dem Verfügungskreis der Kläger entzogen. Aus diesem Grund ist für das Vorliegen des Schadens nach Maßgabe der vom Gerichtshof aufgestellten und vom BGH aufgegriffenen Grundsätze auch unerheblich, ob und inwieweit die Zeugen von dem Inhalt des Briefs Kenntnis genommen haben. Dieser Umstand ist für den Umfang des Schadens relevant, nicht aber für den Eintritt des Schadens als solcher. Die Kläger hatten mit der Versendung des Briefs nicht mehr in der Hand, welcher Personenkreis von ihren Daten Kenntnis nehmen und diese verwenden kann. Dies allein stellt eine negative Folge des Datenschutzverstoßes dar, die einen immateriellen Schaden begründet.

Der Umfang des eingetretenen Schadens liegt aber erheblich unterhalb der von den Klägern angegebenen Größenordnung.

Die Ausgleichsfunktion des Art. 82 DSGVO gebietet eine vollständige und wirksame Entschädigung in Geld, eine Abschreckungs- oder Straffunktion soll der Anspruch aber gerade nicht erfüllen (EuGH a.a.O., BGH a.a.O.). Weder die Schwere des Verstoßes noch die Anzahl der Verstöße gegen die Verordnung oder ein diesbezüglicher Vorsatz des Verantwortlichen finden bei der Bemessung des Schadens Berücksichtigung (EuGH, Urteil vom 20.06.2024 - C-182/22, C-189/22; BGH a.a.O.).

Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle in den Blick zu nehmen (BGH a.a.O.).

Unter Berücksichtigung dieser Maßstäbe hält das Gericht ein Schmerzensgeld in Höhe von jeweils 500,00 EUR für angemessen, aber auch ausreichend, § 287 ZPO. Auf Seiten der Kläger ist allein der oben genannte Kontrollverlust bei der Ermittlung der Schadenshöhe zu berücksichtigen und anhand der vorgenannten Kriterien zu bemessen. Denn der Beweis eines darüberhinausgehenden Nachteils ist den Klägern nicht gelungen. Die Aussagen der Zeugen waren insofern unergiebig, da sich aus diesen gerade nicht positiv ergibt, dass die Zeugen von Details der Steuerklärung und den hierin enthaltenen Daten Kenntnis genommen haben. Erst recht bestehen keine Anhaltspunkte dafür, dass die Daten, wie die Kläger befürchten, über die Zeugen einen noch größeren Personenkreis erreicht haben.

Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kläger keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind. Die Sensibilität der Daten erfordert den zugesprochenen Ausgleich, ein Schmerzensgeld von mehr als 500,00 EUR ist aber nicht gerechtfertigt, da nicht festgestellt werden konnte, dass überhaupt ein Dritter von den Daten Kenntnis genommen hat.

Den Volltext der Entscheidung finden Sie hier:

BAG
Urteil vom 08.05.2025
8 AZR 209/21

Das BAG hat entschieden, dass dem Betroffenen im vorliegenden Fall 200 EURO Schadensersatz aus Art. 82 DSGVO zusteht, da der Arbeitgeber datenschutzwidrig personenbezogene Echtdaten an eine Konzerngesellschaft für die Personalverwaltung übertragen hatte. Insbesondere war die Datenweitergabe nach Art. 6 Abs. 1 Satz 1 lit.. f DSGVO nicht zur Wahrung berechtigter Interessen erforderlich.

Die Pressemitteilung des Gerichts:
Schadenersatz nach Datenschutz-Grundverordnung (DSGVO) - Betriebsvereinbarung - Workday

Ein Arbeitnehmer kann einen Anspruch auf Schadenersatz wegen einer Verletzung der Datenschutz-Grundverordnung haben, wenn der Arbeitgeber personenbezogene Echtdaten innerhalb des Konzerns an eine andere Gesellschaft überträgt, um die cloudbasierte Software für Personalverwaltung „Workday“ zu testen.

Die Beklagte verarbeitete personenbezogene Daten ihrer Beschäftigten ua. zu Abrechnungszwecken mit einer Personalverwaltungs-Software. Im Jahr 2017 gab es Planungen, konzernweit Workday als einheitliches Personal-Informationsmanagementsystem einzuführen. Die Beklagte übertrug personenbezogene Daten des Klägers aus der bisher genutzten Software an die Konzernobergesellschaft, um damit Workday zu Testzwecken zu befüllen. Der vorläufige Testbetrieb von Workday war in einer Betriebsvereinbarung geregelt. Danach sollte es der Beklagten erlaubt sein, ua. den Namen, das Eintrittsdatum, den Arbeitsort, die Firma sowie die geschäftliche Telefonnummer und E-Mail-Adresse zu übermitteln. Die Beklagte übermittelte darüber hinaus weitere Daten des Klägers wie Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID.

Der Kläger hat die Auffassung vertreten, ihm stehe nach Art. 82 Abs. 1 DSGVO ein immaterieller Schadenersatz wegen einer Verletzung der ab dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung iHv. 3.000,00 Euro zu. Die Beklagte habe die Grenzen der Betriebsvereinbarung überschritten.

Die Vorinstanzen haben die Klage abgewiesen. Mit Beschluss vom 22. September 2022 (- 8 AZR 209/21 (A) – BAGE 179, 120) hatte der Senat das Revisionsverfahren ausgesetzt und den Gerichtshof der Europäischen Union (EuGH) um die Beantwortung von Rechtsfragen betreffend die Auslegung des Unionsrechts ersucht. Der EuGH hat diese mit Urteil vom 19. Dezember 2024 (- C-65/23 – [K GmbH]) beantwortet.

Die Revision des Klägers hatte vor dem Achten Senat des Bundesarbeitsgerichts teilweise Erfolg. Der Kläger hat gegen die Beklagte einen Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO iHv. 200,00 Euro. Soweit die Beklagte andere als die nach der Betriebsvereinbarung erlaubten personenbezogenen Daten an die Konzernobergesellschaft übertragen hat, war dies nicht erforderlich iSv. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und verstieß damit gegen die Datenschutz-Grundverordnung. Der immaterielle Schaden des Klägers liegt in dem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust. Der Kläger hat in der mündlichen Verhandlung vor dem Senat klargestellt, dass er sich nicht weiter darauf beruft, auch die Übertragung der von der Betriebsvereinbarung erfassten Daten sei nicht erforderlich gewesen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt wurden.

Bundesarbeitsgericht, Urteil vom 8. Mai 2025 – 8 AZR 209/21 –
Vorinstanz: Landesarbeitsgericht Baden-Württemberg, Urteil vom 25. Februar 2021 – 17 Sa 37/20 –

Hinweise:

Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO lautet:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

…

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Art. 82 Abs. 1 DSGVO lautet:

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

BGH
Urteil vom 11.02.2025
VI ZR 365/22
DSGVO Art. 82 Abs. 1

Der BGH hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO wegen Kontrollverlustes besteht. wenn eine Behörde die Personalakten nicht selbst verwaltet.

Leitsatz des BGH:
Zum Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bei der Verwaltung von Personalakten durch hierzu nicht befugte Dritte.

BGH, Urteil vom 11. Februar 2025 - VI ZR 365/22 - OLG Celle LG Hannover

Aus den Entscheidungsgründen:
2. Der geltend gemachte Feststellunganspruch ist auch begründet, Art. 82 Abs. 1 DSGVO. Nach der Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteile vom 4. Oktober 2024 - C-507/23, K&R 2024, 730 Rn. 24 - Patērētāju tiesību aizsardzības centrs; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 34 - juris; vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 58 - MediaMarktSaturn). Diese Voraussetzungen sind vorliegend erfüllt.

a) Ein Verstoß gegen die Datenschutz-Grundverordnung liegt nach den getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Beklagten bis zum Erlass der Organisationsverfügung vom 22. August 2019 geübte Praxis, die Verwaltung der Personalakten von Bundesbeamten wie der Klägerin durch Bedienstete des Landes Niedersachsen vornehmen zu lassen, als von § 111a BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckte Verarbeitung personenbezogener Daten durch Dritte und damit als Verstoß gegen die Datenschutz-Grundverordnung (der Sache nach: gegen Art. 5 Abs. 1 Buchst. a, Art. 28 DSGVO) gewertet. Die Beklagte sei selbst von der offensichtlichen Rechtswidrigkeit dieser Praxis ausgegangen und habe weder näher zu den Einzelheiten der geübten Personalaktenverwaltung vorgetragen noch eine vorherige Zustimmung der obersten Dienstbehörde behauptet. Hiergegen wendet die Beklagte auch mit der Revisionserwiderung nichts ein; Rechtsfehler sind insoweit auf der Grundlage der vom Berufungsgericht getroffenen und nicht mit Gegenrügen angegriffenen Feststellungen im Übrigen nicht ersichtlich.

b) Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die Datenschutz-Grundverordnung verursachten Schaden der Klägerin verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.

aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der jüngeren Rechtsprechung des Gerichtshofs (Urteile vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137- Agentsia po vpisvaniyata; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42 - juris; vgl. zuvor bereits EuGH, Urteile vom 25. Januar 2024 - C-687/21, NJW 2024, 2009 Rn. 66 - MediaMarktSaturn; vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 17-23 - Gemeinde Ummendorf sowie - C-340/21, NJW 2024, 1091 Rn. 82 - Natsionalna agentsia za prihodite) entschieden hat, einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (Senat, Urteil vom 18. November 2024 - VI ZR 10/24, WM 2024, 2301 Rn. 30 mwN). Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt" (vgl. Senat, aaO Rn. 29 mwN).

bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25. Mai 2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein (s. zu den Bemessungskriterien weiterführend Senat, aaO Rn. 92 ff., insb. 99).

Den Volltext der Entscheidung finden Sie hier:

BGH
Urteil vom 28.01.2025
VI ZR 109/23
DSGVO Art. 82 Abs. 1

Der BGH hat entschieden, dass die Zusendung einer Werbe-E-Mail allein nicht zur Begründung eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO genügt.

Leitsatz des BGH:
Zur Frage des immateriellen Schadens im Sinne des Art. 82 Abs. 1 DSGVO.

BGH, Urteil vom 28. Januar 2025 - VI ZR 109/23 - LG Rottweil - AG Tuttlingen

Aus den Entscheidungsgründen:
a) Die Ablehnung einer Erheblichkeitsschwelle durch den Gerichtshof bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 27 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 29; jeweils mwN). Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 25 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 28; jeweils mwN).

b) Das Berufungsgericht hat den Vortrag des Klägers - auch den Vortrag in der Klageschrift, auf den die Revision verweist - zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens des Klägers angesehen. Deshalb bedarf es keiner Entscheidung, ob überhaupt ein Verstoß gegen die Datenschutz-Grundverordnung vorlag (Art. 95 DSGVO, Art. 13 Abs. 2 der Richtlinie 2002/58/EG, § 7 Abs. 3 UWG).

Die Revision ist der Ansicht, der Kläger habe ausreichend zu einem immateriellen Schaden vorgetragen, der ihm aus dem gerügten Verstoß gegen die Datenschutz-Grundverordnung entstanden sei. So habe er bereits in der Klageschrift darauf hingewiesen, durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien, eben weil die Daten unbefugt verwendet worden seien. Der Kläger habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe. Außerdem habe der Beklagte nach dem Verstoß zunächst einmal nicht reagiert; darin komme eine erneute Missachtung des Klägers zum Ausdruck.

Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kläger durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor (hierzu unter aa)), noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt (unter bb)). Das Berufungsgericht hat auch keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe. Die Revision zeigt insoweit keinen übergangenen Vortrag auf (unter cc)).

aa) Der Gerichtshof hat in seiner jüngeren Rechtsprechung unter Bezugnahme auf ErwG 85 DSGVO (vgl. ferner ErwG 75 DSGVO) klargestellt, dass schon der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH, Urteil vom 4. Oktober 2024 - C-200/23, juris Rn. 145, 156 i.V.m. 137 - Agentsia po vpisvaniyata; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 30 mwN)

Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen - d.h. in einem bloßen Kontrollverlust als solchem bestehenden - Schaden erlitten hat (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 33 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31 mwN). Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 31).

Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kläger aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail am 20. März 2020 einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall (zu den Voraussetzungen eines Kontrollverlusts auch BAG, DB 2024, 3114 Rn. 18).

bb) Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 67 - MediaMarktSaturn; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein (vgl. EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 36 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (vgl. EuGH, Urteile vom 20. Juni 2024 C-590/22, DB 2024, 1676 Rn. 35 - PS GbR; Senatsurteil vom 18. November 2024 - VI ZR 10/24, DB 2024, 3091 Rn. 32 mwN).

Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die - im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare - Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus gegebenenfalls ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht.

cc) Das Berufungsgericht hat ausgeführt, der Kläger habe zu einer objektiv nachvollziehbaren Beeinträchtigung persönlichkeitsbezogener Belange nicht hinreichend vorgetragen. Demgegenüber macht die Revision geltend, ein immaterieller Schaden liege in der Missachtung des Klägers, die sich auch in der fehlenden Reaktion des Beklagten auf die E-Mail des Klägers vom 20. März 2020 und auf ein gleichlautendes Fax vom 20. April 2020 zeige.

Die Übersendung der Werbe-E-Mail begründet allenfalls den gerügten Verstoß gegen die Datenschutz-Grundverordnung. Dieser reicht allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO zu begründen (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, VersR 2024, 1147 Rn. 18 f., 30, 37, 43 - juris, zur Direktwerbung per E-Mail trotz Widerspruchs). Die - durch Übersendung der Werbe-E-Mail erfolgte - Kontaktaufnahme als solche ist nicht ehrverletzend (vgl. Senatsurteil vom 10. Juli 2018 - VI ZR 225/17, BGHZ 219, 233 Rn. 14 mwN). Die unterbliebene Reaktion des Beklagten auf die E-Mail vom 20. April 2019 und das Fax vom 6. April 2020 könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen.

Den Volltext der Entscheidung finden Sie hier: