Die Datenschutz-Grundverordnung (DSGVO) hat das europäische Datenschutzrecht grundlegend harmonisiert und die Rechte der betroffenen Personen deutlich gestärkt. Zentrales Instrument des individuellen Rechtsschutzes ist der Schadensersatzanspruch gem. Art. 82 DSGVO, der sowohl materielle als auch immaterielle Schäden umfasst.
In der juristischen Praxis steht dabei insbesondere der immaterielle Schadensersatz – also das Schmerzensgeld – im Fokus. Die Frage, wann und in welchem Umfang Betroffene wegen eines Datenschutzverstoßes eine Entschädigung verlangen können, ist Gegenstand intensiver wissenschaftlicher und gerichtlicher Auseinandersetzungen. Dieser Beitrag gibt einen Überblick über die maßgeblichen Anspruchsvoraussetzungen, die Entwicklung der Rechtsprechung und die aktuellen Tendenzen bei der Bemessung des immateriellen Schadensersatzes.
Der Anspruch gem. Art. 82 DSGVO – Struktur und Voraussetzungen
Gem. Art. 82 Abs. 1 DSGVO hat jede Person, der durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz. Anspruchsberechtigt sind ausschließlich natürliche Personen, da der unionsrechtliche Datenschutz dem Schutz des individuellen Persönlichkeitsrechts dient.
Für den Anspruch müssen drei Voraussetzungen kumulativ erfüllt sein:
- Ein Verstoß gegen die DSGVO,
- ein Schaden (materiell oder immateriell) und
- ein Kausalzusammenhang zwischen beidem.
Das Verschulden des Verantwortlichen wird gemäß Art. 82 Abs. 3 DSGVO widerleglich vermutet. Eine Entlastung ist nur möglich, wenn der Verantwortliche nachweist, dass ihn keinerlei Verantwortung trifft.
Hinsichtlich der Beweislast gelten im Übrigen die nationalen Grundsätze. Somit trägt die betroffene Person, die den Schadensersatz geltend macht, die Beweislast für die rechtsbegründenden Tatsachen und muss den immateriellen Schaden substantiiert begründen. Fehlt die Möglichkeit zum substantiierten Vortrag findet das Instrument der sekundären Darlegungslast Anwendung. Wenn der Betroffene keine Einblicke in die internen Abläufe der Datenverarbeitung hat, genügt es demnach, dass der Betroffene, so wie es ihm möglich ist, vorträgt. Die Gegenseite kann sich nicht auf einfaches Bestreiten beschränken und muss konkrete Angaben machen, für deren Widerlegung wiederum die ursprünglich beweisbelastete Partei zuständig ist.
Was gilt als „Verstoß gegen die DSGVO“?
Umstritten ist, welche Art von Pflichtverletzungen den Schadensersatzanspruch auslösen können. Während ein enges Verständnis nur Verstöße gegen die materielle Rechtmäßigkeit der Verarbeitung im Sinne des Art. 6 DSGVO erfassen möchte, befürwortet ein weites Verständnis die Einbeziehung auch formaler Verstöße – etwa gegen Informationspflichten (Artt. 13 ff. DSGVO) oder organisatorische Pflichten (Art. 32 DSGVO).
Der weite Ansatz findet sich insbesondere im Wortlaut des Erwägungsgrunds 146 S. 5 DSGVO wieder. Dieser spricht ausdrücklich davon, dass Schadensersatz auch bei einer „nicht dieser Verordnung entsprechenden Verarbeitung“ zu gewähren ist – unabhängig davon, ob es sich um materielle oder organisatorische Pflichten handelt.
Im Ergebnis kann die Differenzierung zwischen engem und weitem Verständnis jedoch dahinstehen, denn praktisch entscheidend bleibt, ob der Verstoß tatsächlich einen nachweisbaren Schaden kausal verursacht hat, wobei bei Verstößen gegen rein formale bzw. organisatorische Pflichten in aller Regel schon kein kausaler Schaden für den Betroffenen bzw. keine Verletzung des Grundrechts auf den Schutz personenbezogener Daten vorliegen dürfte.
Der immaterielle Schaden: Vom Kontrollverlust zur persönlichen Beeinträchtigung
Lange Zeit forderten deutsche Gerichte für einen immateriellen Schadensersatz eine erhebliche Persönlichkeitsverletzung in Anlehnung an die etablierte nationale Rechtsprechung zu § 253 BGB. Der EuGH hat diese Einschränkung jedoch verworfen. Eine „Erheblichkeitsschwelle“ lässt sich dem Wortlaut und den Erwägungsgründen der DSGVO nicht entnehmen. Damit können auch geringfügige Beeinträchtigungen wie Unbehagen, Ärger oder der bloße Verlust der Kontrolle über Daten entschädigungsfähig sein.
Der Kontrollverlust bildet dabei momentan den wohl umstrittensten Anwendungsfall. Nach der Rechtsprechung des EuGH kann („kann“, nicht „muss“) der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen – sofern der Betroffene konkret nachweist, dass ihm hierdurch ein tatsächlicher Nachteil entstanden ist (EuGH, MediaMarktSaturn, Urteil v. 25.1.2024 – C-687/21 . Demnach soll zwischen Kontrollverlust und Schaden kein Gleichlauf bestehen und es müssen zum Kontrollverlust zumindest Befürchtungen und Ängste hinzutreten. Der Kontrollverlust führt mithin nur potenziell zu einem Schaden.
Der BGH geht in seinem Facebook-Scraping-Urteil (Urt. v. 18. 11. 2024 – VI ZR 10/24 weiter: Bereits der bloße Kontrollverlust sei ein ersatzfähiger Schaden, auch ohne nachweisbaren Missbrauch. Damit wird der unionsrechtliche Schadensbegriff weit ausgelegt und das Schutzniveau für Betroffene gestärkt.
Im Ergebnis lässt sich festhalten: Der immaterielle Schaden nach Art. 82 DSGVO umfasst auch subjektive Belastungen wie den bloßen Kontrollverlust, ohne dass ein darüber hinausgehender vorliegen muss. Kann der Kontrollverlust nicht nachgewiesen werden, müssen andere negative Folgen wie substantiierte Befürchtungen des Datenmissbrauchs nachgewiesen werden.
Bemessung des immateriellen Schadensersatzes
Die DSGVO enthält keine Vorgaben zur Höhe des Schadensersatzes. Maßgeblich ist daher das nationale Recht, insbesondere § 287 ZPO, im Rahmen der unionsrechtlichen Prinzipien der Äquivalenz und Effektivität (effet utile) zu berücksichtigen. Nach dem Äquivalenzgrundsatz dürfen die verfahrensrechtlichen Modalitäten der Rechtsbehelfe bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen. Der Effektivitätsgrundsatz besagt, dass die nationalen verfahrensrechtlichen Modalitäten der Rechtsbehelfe die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen dürfen oder übermäßig erschweren dürfen.
Der EuGH lehnt des Weiteren eine Straffunktion des immateriellen Schadensersatzes ab. Der Schadensersatz dient ausschließlich dem Ausgleich des erlittenen Schadens. Eine Genugtuungsfunktion – wie sie das deutsche Schmerzensgeldrecht kennt – ist auf europäischer Ebene bislang nicht anerkannt. Gleichwohl betont der BGH, dass der Ausgleich auch seelische Beeinträchtigungen erfassen kann; insofern bleibt eine faktische Genugtuungskomponente erhalten.
Die EuGH-Rechtsprechung nennt einige Bemessungskriterien für den immateriellen Schadensersatz. Bspw.:
- Die Schwere oder Vorsätzlichkeit des Verstoßes sind bei der Bemessung des Schmerzensgeldes grundsätzlich irrelevant.
- Mehrere Verstöße im selben Verarbeitungsvorgang führen nicht automatisch zu höheren Summen.
- Eine Entschuldigung kann allenfalls nach nationalem Recht kompensationsmindernd wirken.
- Auch geringe Beträge können genügen, sofern sie den Schaden vollständig ausgleichen.
Damit zeigt sich eine zurückhaltende Linie des EuGH, die auf Verhältnismäßigkeit und einheitliche Anwendung zielt.
Leitplanken zur Konkretisierung der Höhe des Schmerzensgeldes
Die bislang wenigen Entscheidungen auf europäischer Ebene deuten auf eine eher moderate Bemessung hin. So sprach der EuGH in der sog. Europol-Entscheidung (Urteil vom 5.3.2024 – C-755/21 P) trotz Veröffentlichung intimer Daten anstatt der geforderten 50.000 € nur 2.000 € zu.
Die nationale Rechtsprechung ist breit gefächert. Der BGH sah bspw. im Facebook-Scraping-Fall (Urteil vom 18.11.2024 – VI ZR 10/24) einen Betrag von 100 € als angemessen an, um den Kontrollverlust über die eigene Telefonnummer auszugleichen. Instanzgerichte bewegen sich in den Fällen des Facebook-Scrapings zwischen niedrigen und mittleren dreistelligen Beträgen – abhängig von Sensibilität und Umfang der betroffenen Daten.
Nach einer Auswertung von rund 250 Entscheidungen liegt der Median der zugesprochenen Entschädigungen bei 1.500 €, wobei nur etwa ein Viertel der Klagen überhaupt erfolgreich war. Für Massenverfahren – etwa bei Datenlecks großer Plattformen – werden teilweise Pauschalbeträge pro betroffenem Datentyp diskutiert (z. B. 100 € je Datum).
Das Problem, dass die Auswirkungen des Kontrollverlusts über die eigenen Daten in die Zukunft wirken kann und diese für die betroffene Person ungewiss sind, findet zumindest über die Bejahung eines Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO in der Rechtsprechung Berücksichtigung.
Diese Zahlen verdeutlichen, dass der immaterielle Schadensersatz nach der DSGVO zwar real ist, sich aber kein „Goldrausch“ abzeichnet. Die Gerichte wahren bislang weitestgehend ein Gleichgewicht zwischen Individualschutz und Missbrauchsvermeidung.
Fazit und Ausblick
Der immaterielle Schadensersatz nach Art. 82 DSGVO bleibt eines der dynamischsten Themen des europäischen Datenschutzrechts. Klar ist:
- Ein bloßer Verstoß genügt nicht; es bedarf eines konkret erlittenen Schadens.
- Eine Erheblichkeitsschwelle besteht nicht – auch leichte Beeinträchtigungen können anspruchsbegründend sein.
- Der Verlust der Kontrolle über personenbezogene Daten wird als eigenständiger immaterieller Schaden anerkannt.
- Die Höhe des Schmerzensgeldes bleibt moderat und orientiert sich am Prinzip des vollständigen, aber nicht überschießenden Ausgleichs.
Für Unternehmen bedeutet dies: Datenschutzverstöße können erhebliche Haftungsrisiken begründen, insbesondere bei Musterfeststellungsklagen oder in professionell aufgestellten Massenverfahren. Hinzukommt, dass das Datenschutzrecht zusätzlich öffentlich-rechtlich zumindest teilweise mit hohen Bußgeldern durchgesetzt wird. Für Betroffene zeigt sich zugleich, dass Gerichte den immateriellen Schaden ernst nehmen, auch wenn die zugesprochenen Summen überschaubar bleiben.
Insgesamt dürften daher die Entwicklungen beim immateriellen Schadensersatz dazu führen, dass die Anreize für ein adäquates Datenschutzmanagement in den Unternehmen steigen.