Kein DSGVO-Schadensersatz bei unerheblichen Verstößen

Datenschutz ist heute wichtiger denn je. Unternehmen müssen mit personenbezogenen Daten sorgfältig umgehen, denn Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) können schnell teuer werden. Doch nicht jeder Fehler führt automatisch zu einem Anspruch auf Schadensersatz. Genau das hat das Landgericht Hamburg in seiner Entscheidung vom 4. September 2020 (Az.: 324 S 9/19) klargestellt. Der bloße Verstoß gegen die DSGVO reicht danach nicht aus. Er muss auch zu einem konkreten Schaden führen – und dieser muss vom Betroffenen nachgewiesen werden.

Was bedeutet das für Sie als Unternehmen oder betroffene Person? Wann besteht ein Anspruch auf Schadensersatz und wann nicht? Und warum spielt es eine Rolle, ob tatsächlich eine „Bloßstellung“ oder ein spürbarer Nachteil eingetreten ist?

Der Fall vor dem LG Hamburg: DSGVO-Verstoß – aber kein Schaden

Im zugrunde liegenden Fall klagte eine betroffene Person auf immateriellen Schadensersatz wegen eines angeblichen Verstoßes gegen die DSGVO. Die Klägerin argumentierte, ihre Rechte seien verletzt worden. Konkrete Nachteile? Fehlanzeige. Sie trug lediglich vor, sie „befürchte“ mögliche zukünftige Beeinträchtigungen.

Das Gericht stellte unmissverständlich klar: Das reicht nicht. Die Voraussetzungen für einen DSGVO-Schadensersatz nach Art. 82 Abs. 1 DSGVO lagen nicht vor.

Was sagt Art. 82 Abs. 1 DSGVO?

Artikel 82 Abs. 1 DSGVO bestimmt:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter.“

Diese Vorschrift sieht also durchaus einen Ausgleich auch für nicht-materielle Schäden, wie etwa psychische Belastungen oder Rufschäden, vor. Voraussetzung ist aber, dass ein konkreter Schaden tatsächlich entstanden ist – und nicht nur befürchtet wird.

Kein Anspruch ohne echte Beeinträchtigung

Das LG Hamburg betont, dass eine bloße Verletzung der DSGVO-Vorgaben nicht automatisch einen Anspruch auf Schadensersatz auslöst. Es bedarf vielmehr einer „benennbaren und insoweit tatsächlichen Persönlichkeitsverletzung“. Ein bloß theoretischer Verstoß reicht nicht.

Das Gericht bringt es auf den Punkt:

„Dennoch führt nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden ‚Bloßstellung‘ liegen kann (...). Eine solche ‚Bloßstellung‘ ist vorliegend allerdings nicht erfolgt.“

Mit anderen Worten: Wer einen Schadensersatz verlangt, muss auch zeigen können, was genau der Schaden war. Vage Sorgen oder Befürchtungen genügen nicht.

Beweislast liegt beim Betroffenen

Ein weiterer zentraler Aspekt des Urteils: Die Beweislast. Der Kläger muss nachweisen, dass ein Schaden tatsächlich eingetreten ist – sowohl dem Grunde als auch der Höhe nach. Das betont das LG Hamburg ausdrücklich und verweist auf die Rechtsprechung des LG Karlsruhe, das bereits zuvor entschieden hatte:

„Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz.“
(LG Karlsruhe, Urt. v. 02.08.2019 – 8 O 26/19)

Im Hamburger Fall hatte die Klägerin jedoch weder einen Schaden dargelegt noch war ein solcher sonst erkennbar. Das Gericht lehnte den Anspruch daher ab.

Keine Bagatellschäden – aber auch keine Bagatellansprüche

Das Urteil zeigt: Die Gerichte nehmen DSGVO-Schadensersatzansprüche nicht auf die leichte Schulter – weder zugunsten der Kläger noch zu Lasten der Unternehmen. Auch wenn keine „schwere“ Verletzung des Persönlichkeitsrechts erforderlich ist, wird dennoch eine tatsächliche, nicht unerhebliche Beeinträchtigung verlangt.

Der Schutz der Persönlichkeit endet nicht bei Kleinigkeiten – aber auch die Schadensersatzpflicht beginnt nicht bei jeder formalen Unsauberkeit.

Bedeutung für die Praxis

Für Betroffene bedeutet das: Wer wegen eines DSGVO-Verstoßes Ansprüche geltend machen will, muss mehr als nur den Regelverstoß beweisen. Es muss nachvollziehbar dargelegt werden, wie genau der Verstoß zu einem Nachteil geführt hat – ob in Form einer Bloßstellung, eines Kontrollverlusts oder einer psychischen Belastung.

Für Unternehmen ist das Urteil beruhigend: Nicht jeder formale Fehler führt zu Schadensersatzforderungen. Trotzdem bleibt natürlich die Pflicht, sich an die DSGVO zu halten – auch um Reputationsschäden oder andere Sanktionen zu vermeiden.

Fazit: Kein Schaden – kein Geld

Das Urteil des LG Hamburg (Az.: 324 S 9/19) macht deutlich: Ein DSGVO-Verstoß allein reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Es muss ein konkreter Schaden dargelegt werden, der über eine bloße Vermutung hinausgeht.

Die Entscheidung stärkt die Position verantwortlicher Unternehmen, schützt sie aber nicht vor berechtigten Ansprüchen. Für beide Seiten gilt: Genau hinschauen lohnt sich.