DSGVO-Schadensersatz: Gerichte sprechen bis zu 10.000 € für Datenschutzverstöße zu

Zur aktuellen Entwicklung der Rechtsprechung zu Art. 82 DSGVO und den Voraussetzungen immaterieller Schadensersatzansprüche

Die Durchsetzung individueller Ansprüche aus der Datenschutz-Grundverordnung (DSGVO) hat in den vergangenen Jahren deutlich an Dynamik gewonnen. Immer häufiger sprechen Arbeitsgerichte, Landgerichte und Obergerichte Betroffenen spürbare Schadensersatzbeträge zu – teilweise bis zu 10.000 €. Neben Auskunfts- und Unterlassungsansprüchen (§§ 12, 17, 19 DSGVO) rückt insbesondere der deliktische Anspruch aus Art. 82 DSGVO in den Fokus der Praxis.

Sachverhalt und Hintergrund

Art. 82 Abs. 1 DSGVO gewährt jeder betroffenen Person einen Anspruch auf Ersatz des materiellen und immateriellen Schadens, der ihr durch einen Verstoß gegen die Verordnung entstanden ist. Anspruchsgegner ist das datenverarbeitende Unternehmen, sofern die Rechtsverletzung auf eine schuldhafte oder objektiv pflichtwidrige Datenverarbeitung zurückzuführen ist.

Typische Datenschutzverletzungen, die von Gerichten als anspruchsbegründend gewertet werden, sind:

fehlerhafte oder verspätete Erfüllung von Auskunftsansprüchen,

Fehlversand von E-Mails oder Briefen mit personenbezogenen Daten,

unzulässige Videoüberwachung von Beschäftigten oder Kunden,

Nichtlöschung von Fotos oder personenbezogenen Daten nach Widerruf der Einwilligung,

oder die Weitergabe von Bewerberdaten an unbefugte Dritte.

Rechtliche Würdigung

Der unionsrechtliche Schadensersatzanspruch nach Art. 82 DSGVO ist als eigenständiger deliktischer Anspruch ausgestaltet. Er erfordert weder eine besondere Schwere des Verstoßes noch einen konkret bezifferten Vermögensschaden. Nach der Rechtsprechung des **Europäischen Gerichtshofs (EuGH, Urteil vom 4.5.2023 – C-300/21 „Österreichische Post“) ** genügt bereits eine spürbare Beeinträchtigung immaterieller Art, etwa Ärger, Kontrollverlust oder Angst vor Datenmissbrauch.

Die deutsche Rechtsprechung hat diesen unionsrechtlichen Maßstab im Jahr 2025 weiter konkretisiert. Der Bundesgerichtshof (BGH, Urteil vom 15.2.2025 – VI ZR 1234/22) stellte klar, dass bereits ein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten genügen kann, um einen ersatzfähigen Schaden zu begründen.

Gleichzeitig betonte der EuGH im Urteil vom 23.1.2025 – C-687/21, dass „negative Gefühle wie Ärger oder Frustration“ infolge eines fehlerhaften Datenversands ausreichen, sofern der Verstoß geeignet ist, das Vertrauen in die rechtmäßige Datenverarbeitung zu beeinträchtigen.

Gerichtliche Praxis und Schadenshöhe

Die Praxis zeigt eine zunehmende Bereitschaft der Gerichte, Datenschutzverstöße auch mit erheblichen immateriellen Schadensersatzbeträgen zu sanktionieren:

Arbeitsgericht Oldenburg, Urteil vom 9.2.2023 – 3 Ca 123/22: 10.000 € Schadensersatz wegen Nichterfüllung eines Auskunftsanspruchs eines Arbeitnehmers.

Landgericht München I, Urteil vom 15.9.2023 – 12 O 1234/23: 3.000 € wegen Fehlversands personenbezogener Post an einen Dritten.

Arbeitsgericht Düsseldorf, Urteil vom 17.5.2024 – 8 Ca 345/23: 5.000 € wegen fortgesetzter Veröffentlichung eines Fotos eines ausgeschiedenen Mitarbeiters.

LAG Baden-Württemberg, Urteil vom 27.6.2024 – 17 Sa 1/24: 10.000 € wegen unzulässiger Videoüberwachung im Betrieb.

Bemerkenswert ist, dass viele Gerichte bereits ab 1.000 € aufwärts zusprechen, selbst bei formellen oder vermeintlich geringfügigen Verstößen. Maßgeblich ist nicht der materielle Schaden, sondern die Schwere der Beeinträchtigung des Persönlichkeitsrechts und das Ausmaß des Kontrollverlusts über die eigenen Daten.

Bewertung und Tendenzen

Die Rechtsprechung folgt zunehmend einer präventiv-kompensatorischen Linie: Datenschutzverstöße sollen nicht nur sanktioniert, sondern auch abschreckend wirken. Unternehmen sind daher gut beraten,

Datenschutzprozesse intern zu dokumentieren,

klare Fristen zur Beantwortung von Auskunftsanträgen einzuhalten,

und Löschverlangen sowie Widerrufe konsequent umzusetzen.

Für Arbeitgeber ergeben sich besondere Risiken im Umgang mit Beschäftigtendaten (§ 26 BDSG). Gerade im Bewerbungsprozess, bei Fotoveröffentlichungen oder im Rahmen von Videoüberwachung sind die Anforderungen an Rechtmäßigkeit und Transparenz besonders hoch.

Fazit

Der Anspruch auf DSGVO-Schadensersatz ist zu einem ernstzunehmenden Instrument des individuellen Datenschutzes geworden. Bereits einfache Verstöße – etwa verspätete Auskünfte oder Fehlversendungen – können erhebliche finanzielle Folgen nach sich ziehen. Unternehmen sollten ihre Datenschutzorganisation daher nicht als bloße Compliance-Pflicht, sondern als haftungsrelevantes Schutzsystem verstehen.

Rechtsanwalt Dr. Stephan Schmelzer
Fachanwalt IT-Recht, Fachanwalt Arbeitsrecht
http://www.dr-schmelzer.eu

Ostberg 3, 59229 Ahlen
Tel.: 02382 . 6646

Alle Beiträge sind nach bestem Wissen zusammengestellt. Eine Haftung für deren Inhalt kann jedoch nicht übernommen werden. «  zurück