DSGVO-Schadensersatz nur bei echtem Schaden

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wird der Schadensersatzanspruch nach Art. 82 DSGVO immer wieder zum Gegenstand gerichtlicher Auseinandersetzungen. Für viele Betroffene scheint der Anspruch auf Schadensersatz ein leicht zugängliches Mittel, um auf Verstöße gegen den Datenschutz mit finanziellen Forderungen zu reagieren. Doch wie weit reicht dieser Anspruch wirklich? Muss jeder noch so kleine Datenschutzverstoß entschädigt werden?

Das Landgericht Frankfurt am Main hat sich mit dieser Frage in einem bemerkenswerten Urteil befasst und klare Worte gefunden: Nicht jede Datenschutzverletzung zieht einen Anspruch auf Schadensersatz nach sich. Der Schadensersatzanspruch aus Art. 82 DSGVO sei restriktiv auszulegen – und nicht jeder Verstoß führe zu einer Kompensation.

Im Folgenden zeigen wir Ihnen, worum es im zugrunde liegenden Fall ging, welche Argumentation das Gericht entwickelt hat und was Sie als Betroffener oder als Unternehmen daraus mitnehmen sollten.

Der Sachverhalt: Schadensersatzforderung in Höhe von 8.400 Euro

Im konkreten Fall machte der Kläger gegenüber einem Unternehmen einen Schadensersatzanspruch wegen mehrerer behaupteter Datenschutzverstöße geltend. Er verlangte eine Entschädigung in Höhe von insgesamt 8.400 Euro. Seine Begründung: Die Beklagte habe mehrfach gegen datenschutzrechtliche Pflichten aus der DSGVO verstoßen.

Konkret warf der Kläger der Beklagten Folgendes vor:

• Sie habe seine personenbezogenen Daten nicht vollständig und korrekt gelöscht.
• Sie habe unzulässigerweise seine Daten gespeichert.
• Zudem habe sie ihn unzureichend über die verarbeiteten Daten informiert.
• Auch sei die Kommunikation über datenschutzrechtliche Auskunftsansprüche mangelhaft gewesen.

Der Kläger sah sich daher in seinem Recht auf informationelle Selbstbestimmung verletzt und machte neben dem materiellen Schaden vor allem auch einen immateriellen Schaden im Sinne des Art. 82 DSGVO geltend. Die Summe von 8.400 Euro sollte dabei eine Entschädigung für die wiederholten Verstöße gegen seine Datenschutzrechte darstellen.

Die Entscheidung des Landgerichts Frankfurt am Main (Urt. v. 18.09.2020 – Az.: 2-27 O 100/20)

Das Landgericht Frankfurt wies die Klage vollständig ab – mit einer Begründung, die sowohl aus juristischer als auch aus praktischer Sicht von erheblicher Bedeutung ist.

1. Nicht jede Datenschutzverletzung ist automatisch schadensersatzpflichtig

Zentraler Punkt der Urteilsbegründung war der Hinweis, dass nicht jede Verletzung von datenschutzrechtlichen Vorgaben automatisch zu einem ersatzfähigen Schaden führt. Die Richter stellten klar, dass ein Schadensersatzanspruch nach Art. 82 DSGVO nicht schon deshalb besteht, weil ein Verantwortlicher gegen die DSGVO verstoßen hat.

„Denn nicht jede Datenschutzrechtsverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung ist automatisch ein ersatzfähiger Schaden.“

Die bloße Nichterfüllung von DSGVO-Pflichten – etwa verspätete oder unvollständige Auskünfte – reiche nicht aus, um eine finanzielle Kompensation zu rechtfertigen. Vielmehr müsse ein konkreter Schaden vorliegen, der über ein bloßes Unwohlsein oder eine allgemeine Verärgerung hinausgeht.

2. Erforderlich ist eine konkrete Verletzung des Persönlichkeitsrechts

Der zweite wichtige Punkt: Damit ein Schaden im Sinne des Art. 82 DSGVO vorliegt, muss die Datenschutzverletzung zu einer konkreten Verletzung des Persönlichkeitsrechts geführt haben. Es muss also nachvollziehbar dargelegt werden, inwiefern die betroffene Person individuell beeinträchtigt wurde – etwa durch psychische Belastungen, Kontrollverlust über sensible Informationen oder konkrete negative Auswirkungen im Alltag.

Ein rein abstrakter Verstoß gegen die DSGVO – beispielsweise, weil Auskunftsrechte nicht korrekt oder zu spät erfüllt wurden – ist nach Ansicht des Gerichts nicht ausreichend.

3. Keine Pflicht zu Strafschadensersatz

Das Gericht stellte zudem klar, dass die DSGVO nicht auf die Einführung eines überkompensatorischen Strafschadensersatzes abzielt, wie er etwa im US-amerikanischen Recht bekannt ist.

„Die mitgliedstaatlichen Gerichte sind zu einem überkompensatorischen Strafschadensersatz grundsätzlich nicht verpflichtet; nach dem Äquivalenzgrundsatz wäre ein solcher nur dann erforderlich, wenn die mitgliedstaatliche Rechtsordnung allgemein Strafschadensersatz vorsieht (...). Das ist jedoch in Deutschland nicht der Fall.“

Damit betont das LG Frankfurt: Es geht um Wiedergutmachung – nicht um Bestrafung. Der Schadensersatz soll einen tatsächlich entstandenen Nachteil ausgleichen, nicht aber pauschal einen Druck auf datenverarbeitende Stellen ausüben oder Betroffene „belohnen“.

Praktische Auswirkungen des Urteils

Die Entscheidung des Landgerichts Frankfurt am Main hat weitreichende Bedeutung für die Praxis. Sie schafft Klarheit darüber, dass Art. 82 DSGVO keine automatische Anspruchsgrundlage für Schadensersatz bei jeder Datenschutzverletzung darstellt.

Für Betroffene:

Wenn Sie sich in Ihren Datenschutzrechten verletzt fühlen, müssen Sie mehr vortragen als nur den DSGVO-Verstoß. Entscheidend ist, dass Sie konkrete Folgen darlegen können – etwa:

• Sie haben durch die Datenschutzverletzung Nachteile im Berufsleben erlitten.
• Es kam zu Rufschädigungen oder Belästigungen.
• Die Offenlegung sensibler Daten hat zu messbarer psychischer Belastung geführt.

Fehlt eine solche konkrete Beeinträchtigung, bestehen nach dieser Entscheidung keine Erfolgsaussichten auf eine Entschädigung.

Für Unternehmen:

Unternehmen können sich durch das Urteil nicht „zurücklehnen“. Die DSGVO bleibt mit ihren hohen Anforderungen verbindlich, Verstöße sind weiterhin rechtswidrig. Allerdings bietet das Urteil eine Begrenzung des Risikos, durch geringfügige oder rein formale Verstöße mit hohen Schadensersatzforderungen konfrontiert zu werden – insbesondere wenn kein echter Schaden nachweisbar ist.

Fazit: Anspruch ja – aber nur bei echtem Schaden

Art. 82 DSGVO ermöglicht grundsätzlich die Geltendmachung von Schadensersatz, wenn datenschutzrechtliche Vorschriften verletzt wurden. Das Urteil des LG Frankfurt zeigt aber deutlich: Nicht jeder Verstoß führt automatisch zu einer Entschädigung. Maßgeblich ist immer, ob die betroffene Person konkret und individuell geschädigt wurde.

Diese restriktive Auslegung verhindert eine missbräuchliche oder inflationäre Inanspruchnahme von Verantwortlichen – und schützt damit letztlich auch die Ernsthaftigkeit und Durchsetzungskraft des Datenschutzrechts insgesamt.

Wenn Sie selbst von einer Datenschutzverletzung betroffen sind oder als Unternehmen mit Forderungen nach Art. 82 DSGVO konfrontiert werden, unterstützen wir Sie gerne bei der rechtlichen Bewertung und Durchsetzung bzw. Abwehr entsprechender Ansprüche – kompetent, individuell und verlässlich.