Mit der zunehmend konkretisierten Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) zu Art. 82 DSGVO ist nicht nur die dogmatische Kontur des immateriellen Schadensersatzes geschärft, sondern – zumindest in Deutschland – auch die praktische Bedeutung entsprechender Ansprüche deutlich gewachsen. DSGVO-Verstöße ziehen längst nicht mehr allein empfindliche Bußgelder der Aufsichtsbehörden nach sich, sondern begründen zugleich einen eigenständigen Schadensersatzanspruch betroffener Personen gegenüber datenverarbeitenden Unternehmen.
Da Datenschutzverstöße sich häufig auf umfangreiche Datenbestände beziehen und damit eine Vielzahl von Personen betreffen, können sich Schadensersatzforderungen rasch vervielfachen. Unternehmen sehen sich daher zunehmend mit einer erheblichen Anzahl von Individualansprüchen konfrontiert.
1. Ausgangspunkt der Rechtsprechung
Ausgangspunkt war das Grundsatzurteil des EuGH im Fall C-300/21 v. 4.5.2023 (Österreichische Post). Darin stellte der Gerichtshof klar, dass nicht jeder Verstoß gegen die DSGVO automatisch einen Schaden begründe und dass zwischen Verstoß und Schaden ein Kausalzusammenhang bestehen müsse. Zugleich betonte er, dass auch immaterielle Schäden von Art. 82 DSGVO erfasst seien und keine „Erheblichkeitsschwelle“ bestehe, sodass auch Bagatellschäden ersatzfähig sein könnten. Ein Strafschadensersatz sei damit jedoch nicht verbunden.
Diese Grundsätze bestätigte der EuGH in der Entscheidung C-456/22 v. 14.12.2023 (Ummendorf) und führte aus, dass nationale Vorschriften, die eine „Bagatellgrenze“ vorsehen, mit Art. 82 Abs. 1 DSGVO unvereinbar seien. Maßgeblich sei vielmehr, dass die betroffene Person einen über den bloßen Verstoß hinausgehenden Schaden darlegt und dieser kausal auf dem Verstoß beruht. Bereits ein kurzfristiger Kontrollverlust könne hierfür genügen.
In einer weiteren Entscheidung stellte der EuGH klar, dass auch die begründete Befürchtung eines künftigen Missbrauchs einen immateriellen Schaden darstellen kann (Urteil v. 14.12.2023 – C‑340/21 – Natsionalna agentsia za prihodite). Art. 82 Abs. 1 DSGVO differenziere nicht danach, ob der Schaden auf einer tatsächlichen missbräuchlichen Verwendung durch Dritte oder lediglich auf der begründeten Befürchtung einer solchen beruhe. Dies entspräche auch dem Grundsatz, dass auch der Kontrollverlust einen immateriellen Schaden darstellen könne (vgl Erwägungsgrund 85 zur DSGVO).
In seinem vierten Urteil (v. 25.1.2024 – C-687/21 – MediaMarkt/Saturn) konkretisierte der EuGH jedoch, dass eine solche Befürchtung objektiv begründet sein müsse. Ein rein hypothetisches Risiko genüge nicht. Dies könne etwa der Fall sein, wenn feststehe, dass kein Dritter Kenntnis von den personenbezogenen Daten erlangt habe. Darlegungs- und beweisbelastet sei der Anspruchsteller. Zugleich verwies der Gerichtshof auf seine Entscheidung C-456/22 und bekräftigte erneut, dass grundsätzlich bereits ein vorübergehender Kontrollverlust ausreichen könne und keine Erheblichkeitsschwelle bestehe, sofern der Schaden über den bloßen Verstoß hinausgeht.
2. Weitere Entwicklung der Rechtsprechung
Weitere Konkretisierungen ergaben sich durch das Urteil des Bundesgerichtshofs im Facebook-Scraping-Fall (BGH, Urt. v. 18.11.2024 – VI ZR 10/24). Anders als im MediaMarkt/Saturn-Fall des EuGH stand hier fest, dass personenbezogene Daten tatsächlich abgegriffen und im Internet veröffentlicht worden waren. Der Kläger konnte zudem darlegen, dass es infolge des „Datenleaks“ zu vermehrten Phishing-Angriffen und einer entsprechenden Verunsicherung kam, wodurch er einen Kontrollverlust glaubhaft machen konnte.
Das Urteil verdeutlicht, dass an das Vorliegen eines immateriellen Schadens und eines Kontrollverlusts tendenziell keine hohen Anforderungen zu stellen sind, zugleich aber stets eine einzelfallbezogene Prüfung erforderlich bleibt. Der Intensität des Verstoßes ist insbesondere bei der Bemessung der Schadenshöhe Rechnung zu tragen. Die konkrete Schadensbewertung obliegt dabei den nationalen Gerichten.
3. Jüngere Rechtsprechung
In den sog. Scraping-Fällen hat sich die Rechtsprechung inzwischen weitgehend gefestigt (vgl. etwa: OLG Köln, Urt. v. 3.4.2025 – 15 U 41/23; OLG Frankfurt, Urt. v. 8.4.2025 – 6 U 79/23; OLG Düsseldorf, Urt. v. 22.5.2025 – 16 U 99/24; OLG Hamburg, Urt. v. 20.3.2025 – 5 U 93/24). Auch hier setzt sich der Grundsatz durch, dass ein nicht nur hypothetisches Risiko einer missbräuchlichen Verwendung vorliegen muss. Die Gerichte betonen, dass auch in Scraping-Fällen sämtliche Voraussetzungen eines immateriellen Schadensersatzanspruchs dargelegt werden müssen und bloße hypothetische Befürchtungen nicht genügen. Maßgeblich sei stets eine Würdigung der konkreten Umstände des Einzelfalls (vgl. etwa OLG Düsseldorf, Urt. v. 31.10.2024 – 16 U 47/23).
In seinem neueren Urteil zum Fall Deezer (v. 11.11.2025 – VI ZR 396/24) hat der BGH weitere wegweisende Ausführungen zur Behandlung von immateriellen Schadensersatzansprüchen nach Art 82 DSGVO gemacht. Der Fall behandelt eine Schadensersatzforderung aufgrund eines Vorfalls aus dem Jahr 2019. Bei diesem kam es über einen externen Dienstleister der Musik-Streamingplattform Deezer zu einem weltweit massenhaften Abfluss personenbezogener Daten von Nutzern (Email-Adresse, Geburtsdatum, Wohnort, usw.). Die Datensätze wurden anschließend im Darknet veröffentlicht. Der BGH stellte insoweit fest, dass die Veröffentlichung personenbezogener Daten im Darknet und die Befürchtung künftigen Missbrauchs auch ohne Darstellung gravierender psychischer Folgen der Betroffenen einen objektiv nachvollziehbaren Grund zur schlüssigen Darlegung eines immateriellen Schadens darstelle. Damit stützt er nochmals die Ausführungen des EuGH, dass keine „Bagatellgrenze“ besteht und bezieht sich insoweit auch auf sein Facebook Scraping-Urteil. Auch stellt der BGH klar, dass auch bei und nach Beendigung eines Auftragsverhältnisses der Verarbeitende den Schutz der personenbezogenen Daten beachten muss, also z.B. für eine Löschung von personenbezogenen Daten Sorge tragen muss. Werden aufgrund einer unterbliebenen Löschung Daten abgegriffen, könne dem Betroffenen auch unter diesem Gesichtspunkt ein immaterieller Schadensersatzanspruch zustehen. Auch sei ein solcher nicht per se ausgeschlossen, wenn die Daten bereits vorher durch Hacking-Angriffe rechtswidrig abgegriffen und im Internet veröffentlicht worden seien.
Auch der EuGH hatte sich in neuerlichen Vorlageverfahren mit der weiteren Konkretisierung des immateriellen Schadensersatzes befasst. In seinem Urteil (v. 4.9.2025 – C-655/23 – Quirin Privatbank) stellte er zunächst klar, dass sich aus Art. 82 DSGVO bei fehlendem Löschungsbegehren kein präventiver Rechtsbehelf ergebe, der dem Verantwortlichen die Unterlassung einer erneuten unrechtmäßigen Verarbeitung gebietet. Ein nach nationalem Recht bestehender Unterlassungsanspruch mindere zudem nicht einen etwaigen Schadensersatzanspruch des Betroffenen. Er betont in dem Zuge auch nochmals die relativ niedrigschwelligen Voraussetzungen des Vorliegens eines immateriellen Schadensersatzes, sofern deren tatsächliches Vorliegen glaubhaft gemacht wird. In einem weiteren Urteil (v. 4.10.2024 – C-200/23 – Agentsia po vpisvaniyata/OL) konkretisierte der EuGH darüber hinaus, dass auch ein zeitlich begrenzter Kontrollverlust über personenbezogene Daten bereits einen immateriellen Schaden darstellen könne.
4. Fazit und Ausblick
Die Entwicklungen zeigen, dass es zwar weiterhin maßgeblich auf die Umstände des jeweiligen Einzelfalls ankommt, jedoch bleiben die Hürden zur Schadensdarlegung vergleichsweise niedrig. Für die Praxis bedeutet die sich festigende Rechtsprechung folglich auch in den nächsten Jahren einen voraussichtlich weiteren Anstieg der Fallzahlen und mithin eine Risikoerweiterung. Die Erfahrungen aus der Praxis zeigen aber auch, dass es sich viele Anspruchsteller bei Geltendmachung von Schadensersatzansprüchen zu leicht machen und sich schlicht auf die Schlagworte aus der Rechtsprechung stützen – so derzeit insbesondere den „Kontrollverlust“. Es muss also in jedem Einzelfall geprüft werden, ob die (wenn auch geringen) Hürden für einen begründeten Anspruch erfüllt sind oder nicht.
