Ein bloßer Kontrollverlust über die eigenen personenbezogenen Daten reicht für einen DSGVO-Schadensersatz nach Art. 82 DSGVO aus (BGH, Urt. v. 11.02.2025 - Az.: VI ZR 365/22).
Eine Bundesbeamtin aus Hannover klagte gegen die Bundesrepublik Deutschland auf Feststellung von DSGVO-Schadensersatz.
Ihre Personalakte war jahrelang von Bediensteten des Landes Niedersachsen bearbeitet worden, obwohl diese dazu nicht befugt waren.
Die Klägerin sah darin eine Verletzung ihrer Datenschutzrechte und verlangte Schadensersatz. Die rechtswidrige Praxis wurde erst 2019 nach Einschaltung des Bundesdatenschutzbeauftragten eingestellt.
Die Vorinstanzen wiesen die Klage ab.
Der BGH hob die Entscheidungen der Vorinstanzen auf und stellte klar, dass die Klägerin einen Anspruch auf Schadensersatz nach Art. 82 DSGVO habe.
Für eine Schadensersatzpflicht reiche der Verlust der Herrschaft über ihre personenbezogenen Daten aus. Die Klägerin müsse zudem konkrete Beeinträchtigungen oder Bloßstellungen nachweisen.
Entscheidend sei, dass die Daten unbefugt weitergegeben wurden.
Daran ändere auch der Umstand nichts, dass die Landesbediensteten zur Verschwiegenheit verpflichtet gewesen seien. Dies sei allenfalls später bei der Höhe des Schadenersatzes zu berücksichtigen.
Zudem sei der Anspruch aus der DSGVO nicht mit nationalen Regelungen (wie z.B. dem Amtshaftungsanspruch nach § 839 Abs. 3 BGB) zu begrenzen. Die Klägerin müsse also nicht vorher andere Rechtsmittel ausschöpfen.
"Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die Datenschutz-Grundverordnung verursachten Schaden der Klägerin verneint.
Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.
aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der jüngeren Rechtsprechung des Gerichtshofs (…) entschieden hat, einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen (…).
Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende „benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen“; auch muss der Beeinträchtigung des Betroffenen kein besonderes „Gewicht“ zukommen, das „über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt“ (…).
bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25. Mai 2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat.
Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein (…)."