Kontrollverlust begründet Schaden

Dass mit dem Datenschutz nicht zu spaßen ist, dürfte spätestens seit Einführung der Datenschutzgrundverordnung (DSGVO) deutlich geworden sein. Ihr folgten zahlreiche Urteile des Europäischen Gerichtshofs (EuGH) sowie nationaler Gerichte, die eines klarstellen: Das Datenschutzrecht lässt wenig Interpretationsspielraum zu. Nachdem Unternehmen wie Facebook bereits die Schadensersatz- und Entschädigungsansprüche der DSGVO zu spüren bekamen, trifft es nun auch die Bundesrepublik Deutschland (Bundesgerichtshof, Urteil vom 11.02.2025, Az. VI ZR 365/22).

Fehlverarbeitung von Personalakten

Seit 1995 ist die Klägerin Bundesbeamtin bei der Bundesanstalt in Hannover. Die Bundesanstalt hat die Personalaktenverwaltung durch Bedienstete des Landes Niedersachsen vornehmen lassen. Mehrfach beanstande die Beamtin diese Verfahren erfolglos, bis sie sich im Jahr 2017 sogar an den Beauftragten für Datenschutz des Landes Niedersachen wendetet. Dieser leitete die Beschwerde an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit weiter. Am 10.04.2019 bestätigte der Datenschutzbeauftragte die Bedenken der Beamtin. Die bisherige Praxis verstoße gegen die DSGVO und sei unzulässig. Daraufhin änderte die Bundesanstalt ihr Verfahren zum 22.08.2019. Die Beamtin fordert nun aber Schadensersatz.

Zu Unrecht – meinten die Bundesanstalt und die gerichtlichen Vorinstanzen. Es fehle an einer „benennbare[n] […] Persönlichkeitsverletzung“ Auch käme der Beeinträchtigung keine besondere Schwere zu, welche „über eine […] Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen […] beeinträchtigt“.

Hinzugedachte Voraussetzungen

Der Bundesgerichtshof (BGH) wies diese Argumentation nun zurück. Nach der Rechtsprechung des EuGH müssen für einen Schadensersatzanspruch nach der DSGVO drei Voraussetzungen kumulativ erfüllt sein:

1. Ein Verstoß gegen die DSGVO,
2. das Vorliegen eines materiellen oder immateriellen Schadens, sowie
3. ein Kausalzusammenhang zwischen Schaden und Verstoß.

Diese Voraussetzungen seien im Fall der Beamtin unproblematisch gegeben. Die unbefugte Verarbeitung der Personalakte durch Dritte verstoße gegen Artikel 5 Absatz 1 Buchstabe a und Artikel 28 DSGVO. Die Klägerin erlitt dadurch einen Kontrollverlust über ihre personenbezogenen Daten. Entgegen der Ansicht der Vorinstanzen sei für einen Schadensersatzanspruch weder eine Persönlichkeitsverletzung noch eine besondere Schwere erforderlich.

Gegen den Verstoß spreche auch nicht, dass die Bediensteten des Landes Niedersachs selbst auch der Verschwiegenheit verpflichtet waren. Dieser Umstand könne allein in der Höhe des Schadensersatzanspruchs berücksichtigt werden

Erleichterung für Betroffene

Ob ein bloßer Kontrollverlust über eigene Daten für einen Schadensersatzanspruch ausreicht, war bislang unklar. Häufig lehnten nationale Gerichte entsprechende Ansprüche unter Verweis auf eine fehlende Schwere des Verstoßes ab. Mit der aktuellen Entscheidung des BGH dürfte sich dies nun ändern. Der BGH folgt streng den Vorgaben des EuGH und stellt klar, dass ein immaterieller Schaden an keine zusätzlichen Anforderungen geknüpft ist.

Da die Darlegung eines immateriellen Schadens nun deutlich erleichtert ist, wird es für Betroffene künftig einfacher sein, auch geringfügige Datenschutzverstöße erfolgreich gerichtlich durchzusetzen. Daher ist es auch für Privatunternehmen immens wichtig, die Vorgaben des Datenschutzrechts einzuhalten, um hohe Bußgelder zu vermeiden.