Bei DSGVO-Verstoß kann Entschuldigung reichen

Eine wegweisende Entscheidung für Datenschutzrecht und Schadensersatz

Die Entscheidung des Europäischen Gerichtshofs (EuGH) vom 4. Oktober 2024 (Rechtssache C-507/23) hat das Potenzial, das Verständnis vom Schadensersatzanspruch bei Datenschutzverstößen nach Art. 82 DSGVO grundlegend zu verändern. Denn der EuGH urteilte, dass in bestimmten Fällen eine bloße Entschuldigung des Verantwortlichen ausreichen kann, um den immateriellen Schaden einer betroffenen Person vollständig zu kompensieren.

Damit wird deutlich: Nicht jeder DSGVO-Verstoß führt automatisch zu einem Anspruch auf Geldzahlung. Und nicht jeder immaterielle Schaden verlangt zwingend eine finanzielle Kompensation. Was auf den ersten Blick unspektakulär klingen mag, könnte für die Praxis von Unternehmen, Behörden und Rechtsanwälten in ganz Europa eine erhebliche Entlastung bedeuten.

Sachverhalt: Eine Behörde, ein Video und ein Journalist

Im zugrunde liegenden Fall hatte ein lettischer Journalist gegen die nationale Verbraucherschutzbehörde (PTAC) geklagt. Die Behörde hatte ein Video über ein angebliches Täuschungsmanöver bei einem Produktkauf veröffentlicht – und dabei eine Person gezeigt, die eine täuschend echte Imitation des klagenden Journalisten darstellte. Das Gesicht wurde nicht gezeigt, doch die Darstellung war so nah an der Realität, dass der Kläger sich in seinem Persönlichkeitsrecht verletzt sah.

Der Kläger berief sich darauf, dass das Video ohne seine Zustimmung veröffentlicht worden sei und beanstandete eine unrechtmäßige Verarbeitung personenbezogener Daten. Er verlangte daraufhin:

• eine förmliche Entschuldigung, und
• 2.000 Euro immateriellen Schadensersatz gemäß Art. 82 Abs. 1 DSGVO.

Die Behörde reagierte: Sie entschuldigte sich öffentlich und räumte ein, dass durch das Video eine gewisse Betroffenheit entstanden sei. Die Zahlung lehnte sie aber ab – unter Hinweis darauf, dass die Entschuldigung ausreiche, um den Schaden auszugleichen.

Das zuständige lettische Gericht war sich unsicher, ob dies mit dem europäischen Datenschutzrecht vereinbar ist – und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor.

Rechtsfragen: Drei entscheidende Prüfsteine für Art. 82 DSGVO

Das Oberste Gericht Lettlands (Augstākā tiesa) fragte konkret:

1. Muss jeder Verstoß gegen die DSGVO automatisch zu einem Anspruch auf Schadensersatz führen?
2. Kann eine nicht finanzielle Kompensation wie eine Entschuldigung ein zulässiger Ausgleich für einen immateriellen Schaden im Sinne von Art. 82 DSGVO sein?
3. Darf bei der Bemessung des Schadensersatzes die Haltung des Verantwortlichen (etwa Einsicht oder Vorsatz) berücksichtigt werden?

Entscheidungsgründe des EuGH: Klarheit bei drei zentralen Fragen

1. Kein Automatismus beim Schadensersatz

Der EuGH stellte ausdrücklich klar, dass ein Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auslöst. Vielmehr müssen drei Voraussetzungen kumulativ erfüllt sein:

• Ein Verstoß gegen die Verordnung,
• Ein tatsächlicher Schaden (materiell oder immateriell),
• Ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden.

„Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass ein Verstoß gegen diese Verordnung allein nicht ausreicht, um einen Anspruch auf Schadenersatz zu begründen.“

Damit rückt der EuGH ab von einem weit verbreiteten Irrglauben, dass allein das Vorliegen eines Verstoßes bereits genügt. Vielmehr ist der Nachweis eines konkreten Schadens erforderlich.

2. Entschuldigung als Ersatz für immateriellen Schaden? Ja – unter Voraussetzungen

Der zweite Punkt ist besonders bedeutsam: Der EuGH ließ es zu, dass auch nicht monetäre Kompensationen wie eine förmliche Entschuldigung geeignet sein können, einen immateriellen Schaden vollständig auszugleichen.

„Art. 82 Abs. 1 DSGVO verwehrt es nicht, dass eine Entschuldigung einen eigenständigen oder ergänzenden Ersatz eines immateriellen Schadens darstellen kann.“

Diese Möglichkeit besteht allerdings nicht pauschal, sondern nur unter bestimmten Voraussetzungen, die das nationale Gericht im jeweiligen Einzelfall prüfen muss. Maßgeblich sind dabei:

• die Schwere und Art des Datenschutzverstoßes,
• das Ausmaß des erlittenen immateriellen Schadens,
• die Wirkung der Entschuldigung auf die betroffene Person.

Besonderes Augenmerk legte der EuGH dabei auf zwei Grundsätze:

• Effektivität: Der Schaden muss vollständig ausgeglichen sein.
• Äquivalenz: Die Entschuldigung muss dem entsprechen, was das nationale Recht auch bei vergleichbaren Verstößen vorsieht.

In der Praxis bedeutet das: Eine bloße Entschuldigung reicht nicht automatisch, sie muss tatsächlich geeignet sein, die immaterielle Beeinträchtigung vollständig wiedergutzumachen. Hierzu zählt auch, ob die betroffene Person diese Entschuldigung als angemessene Kompensation empfindet.

3. Keine Berücksichtigung der Motivation des Verantwortlichen

In der dritten Vorlagefrage ging es um die Frage, ob bei der Bemessung eines Schadensersatzes die Motivation des datenschutzrechtswidrig handelnden Verantwortlichen eine Rolle spielen darf. Der EuGH sagte klipp und klar: nein.

„Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen […].“

Das bedeutet: Der Schadensersatz nach DSGVO hat keine strafrechtliche oder pönale Funktion, sondern dient ausschließlich dem Ausgleich des konkret erlittenen Schadens. Anders als etwa bei Bußgeldern nach Art. 83 DSGVO spielen Aspekte wie Vorsatz, Einsicht oder Reue beim Schadensersatz keine Rolle.

Relevanz für die Praxis: Ein Paradigmenwechsel im Datenschutzrecht?

Die Entscheidung des EuGH ist von enormer Bedeutung – sowohl aus rechtlicher wie auch aus praktischer Sicht:

Für betroffene Personen:

• Sie müssen künftig konkrete Schäden und deren Ursächlichkeit nachweisen.
• Der bloße Verstoß gegen die DSGVO reicht nicht mehr aus, um Schadensersatz geltend zu machen.
• Eine Entschuldigung kann ausreichend sein, wenn sie subjektiv als Wiedergutmachung empfunden wird.

Für Verantwortliche:

• Proaktive Kommunikation nach einem Datenschutzvorfall kann helfen, spätere Schadensersatzansprüche abzuwehren.
• Die Entscheidung unterstreicht die Bedeutung von Transparenz, Aufarbeitung und ehrlicher Reue.
• Wer schnell, offen und glaubwürdig reagiert, kann immateriellen Schaden rechtlich „heilen“.

Für Gerichte:

• Sie müssen künftig streng prüfen, ob tatsächlich ein nachweisbarer, kompensationsbedürftiger Schaden vorliegt.
• Die Entscheidung verleiht ihnen einen gewissen Beurteilungsspielraum bei der Bewertung immaterieller Schäden und deren Kompensation.

Fazit: DSGVO-Verstoß ≠ Geldautomat – die Rolle der Entschuldigung im Datenschutzrecht

Der EuGH hat mit seinem Urteil C-507/23 klar gemacht: Der Schadensersatzanspruch nach Art. 82 DSGVO ist kein Automatismus und keine Strafe. Vielmehr ist es ein Ausgleichsanspruch, der nur dann greift, wenn ein tatsächlicher Schaden eingetreten ist – und dieser nicht durch andere Mittel wie z. B. eine Entschuldigung kompensiert werden kann.

Diese Rechtsprechung bringt mehr Klarheit, aber auch mehr Verantwortung: für betroffene Personen, die ihre Ansprüche genau darlegen müssen – und für Verantwortliche, die Datenschutzvorfälle ernst nehmen und kommunizieren sollten.

Gerade in der anwaltlichen Beratungspraxis wird es künftig noch wichtiger, auf den Einzelfall abzustellen, Beweise sorgfältig zu sichern und strategisch zu reagieren. Die Entschuldigung könnte dabei ein zentrales Instrument der Streitvermeidung werden – wenn sie ernst gemeint ist.