CLOSE

DE

BGH-Urteil zur DSGVO: Was Unternehmen jetzt wissen müssen

Der deutsche Bundesgerichtshof (BGH) hat im November 2024 einen wichtigen Aspekt der finanziellen Entschädigung für Verstöße gegen die DSGVO nach Artikel 82 klargestellt. Hierbei handelt es sich um einen Datenschutzvorfall in den Jahren 2018 und 2019, bei dem Unbekannte Daten von über 500 Millionen Facebook-Nutzer erbeutet hatten. Schlussendlich wurden selbige im Jahr 2021 im Darknet verbreitet. Der BGH entschied daraufhin im vergangenen November, dass Schadensersatz für immaterielle Verluste (z. B. Gefühle von Verletzung oder Ärger) gewährt werden kann, wenn betroffene Personen die Kontrolle über ihre Informationen verlieren.

Der ursprüngliche Verstoß nutzte die Suchfunktion von Facebook für Telefonnummern aus, die standardmäßig uneingeschränkten Zugriff auf öffentliche Profile ermöglichte, wenngleich Nutzer sich entschieden hatten, ihre Telefonnummern nicht zu veröffentlichen. Der Kläger argumentierte, dass dieser Kontrollverlust immaterielle Schäden verursacht habe, darunter Gefühle von Ärger und Angst.

Das Urteil des BGH bestätigt, dass bereits der bloße Kontrollverlust über personenbezogene Daten einen immateriellen Schaden nach Artikel 82 DSGVO darstellt, selbst ohne Nachweis eines spezifischen Missbrauchs oder anderer greifbarer Schäden. Diese Auslegung steht im Einklang mit den Entscheidungen des Europäischen Gerichtshofs (EuGH), die betonen, dass der Kontrollverlust allein ausreicht, um einen Schaden zu begründen. Die Position des BGH stärkt die Fähigkeit betroffener Personen, Schadensersatz geltend zu machen, und liefert Klarheit darüber, wie solche Ansprüche zu begründen und zu bewerten sind.

 

Auswirkungen auf DSGVO-Fälle ab 2025 und darüber hinaus

 

Die weitreichende Auslegung immaterieller Schäden durch den BGH signalisiert einen erheblichen Wandel. Betroffene Personen müssen nicht mehr nachweisen, dass ihre Daten konkret missbraucht wurden oder spürbare negative Folgen entstanden sind. Diese Entwicklung könnte mehr Menschen dazu ermutigen, Ansprüche wegen Datenschutzverletzungen geltend zu machen, was möglicherweise zu einer Zunahme von Rechtsstreitigkeiten im Rahmen der DSGVO führen wird.

Gleichzeitig betont das Urteil, dass Kläger substanzielle Beweise für Schäden vorlegen müssen, die durch den Kontrollverlust entstanden sind. Gleichzeitig akzeptiert das Gericht jedoch die Verwendung standardisierter Textbausteine in Klageschriften, sofern diese die persönliche Verbindung des Klägers zum Datenschutzverstoß deutlich machen. Dieses Gleichgewicht zwischen strengen Beweisanforderungen und praktischer Zugänglichkeit könnte den Prozess zur Geltendmachung von Ansprüchen vereinfachen und gleichzeitig konsistenter und vorhersehbarer gestalten.

Man darf somit annehmen, dass die Haltung des BGH zur Frage zukünftiger Schäden darauf hindeutet, dass bereits die bloße Möglichkeit eines künftigen Schadens ausreicht, um eine Klage zu rechtfertigen. Dieser Ansatz könnte zu präventiven Ansprüchen bei Datenschutzverletzungen führen und neue Präzedenzfälle schaffen, um langfristige Risiken im Kontext der Offenlegung personenbezogener Daten anzugehen.

Hierbei sind die Leitlinien des Urteils zur Berechnung immaterieller Schäden besonders bemerkenswert. Durch die Ablehnung einer strafenden oder abschreckenden Funktion von Artikel 82 DSGVO konzentriert sich der BGH auf kompensatorische Prinzipien. Gerichte müssen Faktoren wie die Sensibilität der Daten, die Art des Kontrollverlusts und psychologische Auswirkungen abwägen. Obwohl der vorgeschlagene Betrag von 100 € gering erscheint, sorgt der Fokus auf die Umstände des Einzelfalls für Flexibilität in künftigen Urteilen. Diese Methodik könnte andere Rechtssysteme beeinflussen, die mit der Herausforderung der Quantifizierung immaterieller Schäden zu kämpfen haben.

Andere europäische Gerichte könnten sich nun durch das Urteil des BGH inspiriert fühlen, ähnliche Auslegungen von Artikel 82 DSGVO zu übernehmen. Durch die Senkung der Hürden für Ansprüche auf immaterielle Schäden könnte das Urteil so zu einem Anstieg von Fällen führen, insbesondere in Ländern, in denen Klagen wegen Datenschutzverletzungen bisher weniger verbreitet waren. Ferner unterstreicht das Urteil die Notwendigkeit für Unternehmen, proaktiv auf die Einhaltung der DSGVO zu achten, da selbst geringfügige Verstöße erhebliche ruf- und finanzbezogene Konsequenzen nach sich ziehen könnten.

 

Warum ist dieser Fall für die DSGVO wichtig?

 

Deutsche Gerichte waren zuvor bemerkenswert kritisch gegenüber der Durchsetzung der DSGVO eingestellt. In Deutschland wurde eine sogenannte »Erheblichkeitsschwelle« eingeführt, um Schadensersatzforderungen nach der DSGVO als »unerheblich« abzuweisen – eine Theorie, die später von österreichischen Gerichten übernommen, aber vom EuGH (C-300/21) für ungültig erklärt wurde. Trotzdem lehnen einige deutsche Gerichte weiterhin Klagen entgegen dieser Entscheidung ab.

Dieser Fall bedeutet nun, dass bereits der bloße Kontrollverlust über personenbezogene Daten als entschädigungsfähiger Schaden nach der DSGVO angesehen werden kann, selbst ohne weiteren Missbrauch oder sekundären Schaden, was mit der Position des EuGH (C-200/23) übereinstimmt. Diese Entscheidung stellt frühere Auffassungen infrage, wonach Datenschutzverstöße greifbare sekundäre Schäden erfordern, um eine Entschädigung zu rechtfertigen. Das Urteil setzt einen wichtigen Präzedenzfall und betont, dass bereits der Eingriff in die Privatsphäre selbst ausreichende Grundlage für Schadensersatz nach der DSGVO ist.

 

Zentrale Herausforderungen für die DSGVO in 2025

 

Während das Urteil des BGH innerhalb Deutschlands Klarheit schafft, bleibt ungewiss, wie einheitlich andere Gerichte in Europa diese Prinzipien anwenden werden. Beispielsweise hat das deutsche Bundessozialgericht (BSG) angedeutet, dass es strengere Maßstäbe für Ansprüche anlegen könnte, was auf eine mögliche Fragmentierung der Rechtsprechung hinweist. Der BGH hob hervor, dass die Einwilligung möglicherweise die einzige rechtmäßige Grundlage für die Verarbeitung bestimmter personenbezogener Daten sein könnte. Dieser Fokus könnte zu einer verstärkten Überprüfung von Einwilligungspraktiken führen und Unternehmen dazu veranlassen, ihre Richtlinien zu überarbeiten und größere Transparenz zu gewährleisten.

Der Anstieg der DSGVO-Litigation könnte die Gesetzgeber dazu veranlassen, Änderungen oder Klarstellungen der Verordnung in Betracht zu ziehen. Ein ausgewogenes Verhältnis zwischen dem Schutz der Betroffenen und der Vermeidung übermäßiger Belastungen für Unternehmen wird voraussichtlich im Mittelpunkt stehen.

 

Praktische Schritte für Unternehmen

 

Im Lichte dieses Falls sollten Unternehmen die folgenden Maßnahmen ergreifen, um ihre DSGVO-Compliance zu stärken:

 

  • Überprüfung der Einwilligungspraktiken: Stellen Sie sicher, dass Mechanismen zur Einwilligungserklärung transparent, spezifisch und gut dokumentiert sind. Überarbeiten Sie Richtlinien und Praktiken, um den gestiegenen Anforderungen gerecht zu werden.
  • Verbesserung der Datensicherheitsmaßnahmen: Identifizieren und beheben Sie proaktiv Schwachstellen, die zu Datenschutzverletzungen führen könnten, insbesondere bei sensiblen personenbezogenen Daten.
  • Vorbereitung auf Ansprüche: Entwickeln Sie robuste Verfahren für den Umgang mit potenziellen immateriellen Schadensersatzansprüchen. Schulen Sie Mitarbeiter im Umgang mit Beschwerden und sorgen Sie für die Einhaltung der Nachweis- und Verfahrensanforderungen der DSGVO.
  • Regelmäßige Audits durchführen: Überprüfen Sie periodisch Datenverarbeitungsaktivitäten, Einwilligungsmechanismen und Protokolle zur Reaktion auf Datenschutzverletzungen, um Risiken zu identifizieren und zu mindern.
  • Einbindung von Rechtsexperten: Bleiben Sie über die Entwicklung der Rechtsprechung informiert und holen Sie fachkundige Beratung ein, um sich im sich wandelnden Umfeld der DSGVO-Durchsetzung zurechtzufinden.

 

Das Urteil des BGH in diesem Fall könnte einen Wendepunkt für die Durchsetzung der DSGVO markieren, primär im Hinblick auf immaterielle Schäden. Indem das bloße Verlustgefühl über die Kontrolle personenbezogener Daten als ausreichende Grundlage für Ansprüche anerkannt wird, hat das Gericht den Schutzrahmen der DSGVO erweitert. Während sich dieses Präjudiz durch deutsche und europäische Gerichte verbreitet, dürfte 2025 eine Welle von Fällen sehen, die diese Prinzipien weiter erproben. Unternehmen und Rechtspraktiker müssen die Entwicklungen genau verfolgen, um sich effektiv im sich verändernden Umfeld des Datenschutzrechts zurechtzufinden.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

“In a world older and more complete than ours they move finished and complete, gifted with extensions of the senses we have lost or never attained, living by voices we shall never hear.”

Picture of James

James

VinciWorks CEO, VInciWorks

Spending time looking for your parcel around the neighbourhood is a thing of the past. That’s a promise.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

Follow us

LinkedIn

YouTube

Phone

UK 020 8815 9308

Address

20 Grosvenor Place

London

SW1X 7HN

United Kingdom

Email

[email protected]

Experience Exceptional.

Contact us

Library

product

INDUSTRY

Resources

© 2025 VinciWorks

Learning that matters.

Software that works.

Explore
Request a demo

Follow us

LinkedIn
Youtube

Address

20 Grosvenor Place
London
SW1X 7HN
United Kingdom

Phone

UK 020 8815 9308

Email

[email protected]

Experience Excellence.

Contact us

Library

INDUSTRY

product

Resources

ABOUT US

© 2024 VinciWorks