EuGH-Urteil vom 4.9.2025, Rechtssache C‑655/23
Sachverhalt:
Ein Bewerbungsverfahren lief über ein Online-Karrierenetzwerk. Eine Mitarbeiterin der deutschen Quirin Privatbank schickte dem Kläger versehentlich über den Messenger-Dienst des Netzwerks eine vertrauliche Nachricht zu Gehaltsfragen an einen unbeteiligten Dritten, in der sie ihn von der Ablehnung seiner Gehaltsvorstellungen in Kenntnis setzte und ihm eine andere Vergütung anbot. Dieser Dritte kannte den Kläger und leitete die Nachricht an ihn weiter.
Der Kläger begehrte vor Gerichten zum einen die Verurteilung der Bank, weitere gleichgelagerte unbefugte Offenlegungen seiner Bewerberdaten präventiv zu unterlassen, und zum anderen Ersatz eines immateriellen Schadens, den er insbesondere in Sorge vor weiterer Weitergabe, in dem Verlust der Kontrolle über seine personenbezogenen Daten, in der Gefahr einer Rufbeeinträchtigung sowie in Scham über das Scheitern der Gehaltsverhandlung sah.
Erstinstanzlich bekam er beides zugesprochen. Das das Oberlandesgericht Frankfurt änderte dieses Urteil teilweise ab: Nur der Unterlassungsanspruch bestehen, Schadensersatz wurde abgelehnt. Der BGH legte dem EuGH das Verfahren zur Vorabentscheidung vor.
Entscheidung:
Der EuGH stellte zunächst klar, dass die DSGVO selbst keinen eigenständigen gerichtlichen Rechtsbehelf vorsieht, mit dem eine betroffene Person allein mit Blick auf die Zukunft erreichen kann, dem Verantwortlichen die Wiederholung einer unrechtmäßigen Verarbeitung zu untersagen, wenn nicht zugleich Löschung oder Einschränkung im Sinne der Art 17 oder 18 DSGVO verlangt wird. Weder aus dem Wortlaut der Art 17 und 18 noch aus Art 79 lässt sich ein solcher präventiver Unterlassungsanspruch ableiten. Zugleich betonte der EuGH, dass die DSGVO die Mitgliedstaaten nicht daran hindert, in ihren Rechtsordnungen präventive zivilrechtliche Unterlassungsansprüche einzurichten oder beizubehalten.
Im Hinblick auf den immateriellen Schadensersatz nach Art 82 Absatz 1 bekräftigt der EuGH seine inzwischen gefestigte Rechtsprechung, wonach drei Tatbestandsvoraussetzungen kumulativ vorliegen müssen, nämlich ein Verstoß gegen die DSGVO, ein hierdurch verursachter materieller oder immaterieller Schaden und der Kausalzusammenhang zwischen beidem. Eine Erheblichkeitsschwelle oder Bagatellgrenze kennt die Verordnung nicht. Der Begriff des immateriellen Schadens ist unionsautonom und weit auszulegen. Er kann negative Gefühle umfassen, die eine betroffene Person aufgrund einer unbefugten Offenlegung ihrer personenbezogenen Daten empfindet. Dazu zählen etwa Sorge vor missbräuchlicher Verwendung, Ärger, Scham oder das Empfinden einer Rufbeeinträchtigung, insbesondere wenn diese Gefühle durch den Verlust der Kontrolle über die eigenen Daten ausgelöst werden. Entscheidend ist, dass die betroffene Person das tatsächliche Entstehen dieser Beeinträchtigung und deren Ursächlichkeit durch den Verstoß darlegt und gegebenenfalls beweist. Emotionale Reaktionen sind also ersatzfähig, sofern sie auf den Datenschutzverstoß zurückgehen und als konkrete immaterielle Beeinträchtigung feststellbar sind.
Für die Bemessung der Höhe des immateriellen Schadensersatzes stellte der EuGH klar, dass der Anspruch aus Art 82 ausschließlich eine Ausgleichsfunktion hat. Anders als die Bußgeldvorschrift des Art 83 bezweckt der zivilrechtliche Schadensersatz keine Ahndung und keine Abschreckung. Der Grad des Verschuldens des Verantwortlichen oder seiner Mitarbeiter ist deshalb für die Höhe der Entschädigung ohne Bedeutung.
Schließlich verneinte der EuGH eine anspruchsmindernde oder kompensatorische Wirkung einer bereits erlassenen Unterlassungsanordnung. Eine Unterlassungsverpflichtung dient ausschließlich der Prävention künftiger Rechtsverletzungen und gleicht die bereits eingetretene immaterielle Beeinträchtigung nicht aus. Sie kann daher den Umfang der finanziellen Entschädigung weder reduzieren noch ersetzen.
Weitere Blog-Beiträge zum Thema Datenschutzrecht:
DSGVO-Schadenersatz für Schulwart, der irrtümlich in Lehrerbewertungs-App aufgenommen wurde.