Schadensersatz im Datenschutz: EuGH verschärft Haftung jetzt

Neue DSGVO-Leitlinien: Datenschutz, Haftung und Schadensersatz

Der Datenschutz unterliegt einem stetigen Wandel. Aktuelle Gerichtsentscheidungen präzisieren die Anforderungen der DSGVO und verschärfen die Voraussetzungen für Haftung und Schadensersatz. Für Unternehmen und öffentliche Stellen ergeben sich daraus neue Risiken und klare Handlungsaufträge.

Aus der jüngeren Rechtsprechung lassen sich drei zentrale Leitlinien ableiten, die den Umgang mit personenbezogenen Daten nachhaltig beeinflussen:

• Eine strengere datenschutzrechtliche Verantwortung von Plattformbetreibern.

• Die weitere Konkretisierung des immateriellen Schadens und des daraus folgenden Schadensersatzes nach Art. 82 DSGVO.

• Eine Ausweitung der Haftung bei Auftragsverarbeitern auch über das Vertragsende hinaus.

Diese Entwicklungen zeigen deutlich, dass Datenschutzverstöße zunehmend auch haftungs- und schadensersatzrechtlich relevant werden.

Immaterieller Schadensersatz nach Art. 82 DSGVO: EuGH C-655/23

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 20. Juni 2024 (C-655/23) klargestellt, dass ein bloßer Verstoß gegen Datenschutzrecht für einen Anspruch auf Schadensersatz nicht ausreicht. Für einen immateriellen Schadensersatz nach Art. 82 DSGVO müssen Betroffene einen konkreten Schaden darlegen.

Gleichzeitig stellt der EuGH klar, dass es keine feste Bagatellgrenze gibt. Bereits geringfügige Beeinträchtigungen können einen immateriellen Schaden begründen, sofern sie tatsächlich und nachvollziehbar sind. Dazu zählen ausdrücklich auch negative Gefühle wie Ärger, Sorge, Angst oder Scham, wenn diese kausal auf einen Datenschutzverstoß zurückzuführen sind.

Für die Praxis bedeutet dies, dass Gerichte datenschutzrechtliche Schadensersatzansprüche nicht mit pauschalen Verweisen auf fehlende Erheblichkeit abweisen dürfen. Datenschutzverstöße können damit schneller zu einem relevanten Schadensersatzrisiko führen.

Quellen:

• https://dejure.org/dienste/vernetzung/rechtsprechung?Text=C-655/23

• https://datenbank.nwb.de/Dokument/1081556/

• https://ll-ip.com/aktuelles/eugh-schadensersatz-c-655-23/

Plattformbetreiber und Datenschutzhaftung: EuGH C-492/23

Mit der Entscheidung C-492/23 konkretisiert der EuGH die datenschutzrechtliche Verantwortlichkeit von Online-Marktplätzen. Betreiber solcher Plattformen sind Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, soweit personenbezogene Daten in Nutzeranzeigen verarbeitet werden. Ein Rückgriff auf Haftungsprivilegien der E-Commerce-Richtlinie ist in diesem Zusammenhang ausgeschlossen.

In der Regel liegt eine gemeinsame Verantwortlichkeit zwischen Plattformbetreiber und den jeweiligen Nutzern vor. Maßgeblich ist dabei der tatsächliche Einfluss auf Zwecke und Mittel der Datenverarbeitung. Für den Datenschutz bedeutet dies, dass Plattformbetreiber ihre Rolle aktiv ausgestalten und Verantwortung übernehmen müssen, etwa durch klare Prüf- und Löschmechanismen.

Die Entscheidung erhöht das Haftungsrisiko im Datenschutz erheblich, insbesondere für Plattformen mit nutzergenerierten Inhalten.

Quellen:

• https://datenbank.nwb.de/Dokument/1084161/

• https://alro-recht.de/2025/12/08/eugh-betreiber-eines-online-marktplatzes-ist-bei-veroeffentlichen-anzeigen-fuer-dort-enthaltene-personenbezogene-daten-verantwortlich/

• https://www.ebnerstolz.de/de/unser-angebot/leistungen/rechtsberatung/it-recht-und-datenschutz/datenschutzverantwortung-online-marktplaetze-517709.html

Datenschutz, Auftragsverarbeitung und Schadensersatz: BGH VI ZR 396/24

Der Bundesgerichtshof (BGH) verschärft mit seinem Urteil vom 28. Januar 2025 (VI ZR 396/24) die Anforderungen an Verantwortliche im Rahmen der Auftragsverarbeitung. Die datenschutzrechtlichen Pflichten enden nicht automatisch mit dem Vertragsende.

Verantwortliche bleiben verpflichtet, die Löschung oder Rückgabe personenbezogener Daten nach Art. 28 DSGVO aktiv zu kontrollieren. Tauchen Daten Jahre später im Darknet auf, wertet der BGH dies als starkes Indiz für einen immateriellen Schaden. Solche Belastungen dürfen nicht als bloße Alltagssorgen relativiert werden, sondern können einen Schadensersatzanspruch begründen.

Für den Datenschutz bedeutet dies eine erhebliche Ausweitung der Haftung und ein gesteigertes Risiko von Schadensersatzforderungen, wenn Exit-Regelungen und Kontrollen fehlen.

Praktische Bedeutung für Datenschutz und Haftungsmanagement

Die neuen Leitlinien verdeutlichen, dass Datenschutz zunehmend auch eine Frage des Haftungs- und Schadensersatzmanagements ist. Unternehmen sollten bestehende Prozesse kritisch überprüfen, Verantwortlichkeiten klar definieren und insbesondere bei Plattformmodellen und Auftragsverarbeitung nachschärfen.

Auf Wunsch erstellen wir eine kompakte, praxisnahe Checkliste zu Datenschutz und Schadensersatz, abgestimmt auf konkrete Konstellationen wie Plattformbetreiber, Arbeitgeber, Behörden oder kleine und mittlere Unternehmen.