Immer wieder wird die Frage aufgeworfen, ob der Kontrollverlust an sich für einen Schaden nach Art. 82 DSGVO ausreicht. Die deutschen Gerichte lehnten allein auf dieser Tatsache angemeldet Ansprüche zumeist ab.


Der Bundesgerichtshof hat im Rahmen einer Leitsatzentscheidung geurteilt, dass für den Anspruch auf immateriellen Schadensersatzes nach der DSGVO der bloße Kontrollverlust von Daten ausreicht.


Der Bundesgerichtshof (BGH) hat am 11.02.2025 – Az. VI ZR 365/22 - über eine Klage einer Beamtin hinsichtlich der ausgelagerten Personalaktenführung und Ihrem Anliegen auf Feststellung eines Anspruchs nach Art. 82 DSGVO entschieden.


Das Gericht hob deutlich hervor, dass bereits in dem vorübergehenden Verlust der Kontrolle über personenbezogenen Daten, durch die Überlassung der Personalakte an unbefugte Dritte, der Schaden begründet ist.



Kurz und knapp – Feststellungen des BGH


  • der Kontrollverlust über personenbezogene Daten begründet einen Schaden nach Art. 82 DSGVO,
  • allein die Überlassung von personenbezogenen Daten an unbefugte Dritte stellt einen Schaden im Sinn der DSGVO dar,
  • über den Kontrollverlust hinausgehende weitere Befürchtungen / Persönlichkeitsverletzungen müssen nicht nachgewiesen werden,
  • EuGH hat Voraussetzungen eines Anspruchs nach Art. 82 DSGVO abschließend formuliert,
  • Amtshaftungsansprüche Schließen einen Anspruch nach Art. 82 DSGVO nicht aus.


Problem – Kontrollverlust der Daten als Schaden


Zentrale Frage in Verbindung der Schadensersatzansprüche nach Art. 82 DSGVO ist, ob der reine Kontrollverlust über personenbezogene Daten bereits für sich genommen einen Schaden darstellt.

Deutsche Gerichte haben bisher zahlreiche Fehlurteile gefällt.

Es werden immer unverhältnismäßig hohe Anforderungen an den Schaden, den ein Verbraucher darlegen muss, gestellt.

Nach Ansicht der Gerichte reiche allein der Kontrollverlust über die eigenen Daten nicht aus, um einen Schadensersatzanspruch zu begründen.

Die Verbraucher als Betroffene müssen darüberhinausgehende Auswirkungen auf die Person oder die eigenen, wie etwa begründete Befürchtungen oder Ängste vor Missbrauch, beibringen und nachweisen.

Die deutschen Gerichte konterkarierten damit direkt die verbraucherfreundliche EuGH-Rechtsprechung sowie die Vorgaben der DSGVO selbst.

Der Bundesgerichtshof hat endlich Klarheit geschaffen und ein wegweisendes Urteil gefällt.


Verfahren vor dem Bundesgerichtshof


Ausgangsfall des Verfahrens vor dem Bundesgerichtshof war der Fall einer Bundesbeamtin. Die Klägerin ist Beamtin seit dem Jahr 1995 bei einer Bundesbehörde in Hannover.

Die Personalaktenverwaltung wurde dort in der Vergangenheit durch Bedienstete des Landes Niedersachsen vorgenommen.

Die Klägerin beanstandete dies mehrfach ohne Erfolg und wandte sich schließlich im Jahr 2017 an den Beauftragten für Datenschutz des Landes Niedersachsen, der die Eingabe zuständigkeitshalber an den Bundesbeauftragten für Datenschutz und Informationssicherheit weiterleitete.

Dieser teilte der beklagten Bundesrepublik Deutschland am 10. April 2019 mit, dass die dortige Praxis unzulässig sei.

Die Beklagte änderte daraufhin mit Organisationsverfügung vom 22. August 2019 die beanstandete Praxis.

Die klagende Beamtin begehrte mit ihrer Klage die Feststellung, dass die Beklagte wegen rechtswidriger Weitergabe von besonders geschützten Daten an Landesbedienstete zur Leistung von Schadensersatz verpflichtet sei.


Urteil - Entscheidung des Bundesgerichtshofes


Mit dem Urteil stärkt der BGH die Betroffenenrechte und setzt die Rechtsprechung des Europäischen Gerichtshofes (EuGH) fort.

Der EuGH hatte in mehreren Urteilen - Urteile v. 04.10.2024, Az. C-507/23; Urt. v. 11.04.2024, Az. C-741/21; Urt. v. 25.01.2024, Az. C-687/21 - zu den Voraussetzungen des Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO festgelegt.


Nach der Rechtsprechung des EuGH müssen kumulativ drei Voraussetzungen erfüllt sein, nämlich

  • ein Verstoß gegen die DSGVO,
  • das Vorliegen eines materiellen oder immateriellen Schadens sowie
  • ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß.


Der Bundesgerichtshof stellte nunmehr klar, dass der Kontrollverlust über Daten zu einem Schadensersatzanspruch führt.


Im Urteil zugrunde liegenden Sachverhalt, war es so, dass die Personalaktenführung der Bundesanstalt, welche die Klägerin als Beamtin angehörte, in der Vergangenheit durch Bedienstete des Landes Niedersachsen durchgeführt wurden.

Nach Ansicht des BGH stellt dies einen Verstoß gegen Art. 5 Abs. 1 lit. a) und Art. 28 DSGVO dar. Die Klägerin erlitt durch die Überlassung der Personalakte an unbefugte Dritte einen Kontrollverlust über die in der Personalakte enthaltenen personenbezogenen Daten.

Zudem stellte der BGH anders als das zuvor urteilende OLG fest, dass keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt.

Die Beklagte Bundesanstalt wendete noch ein, dass der Anspruch nach Art. 82 DSGVO ja wegen eines Amtshaftungsanspruchs nach § 839 BGB ausgeschlossen sei, wenn nicht hinreichend versucht wird, einen Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

Auch diesem Vortrag entgegnet der BGH mit Ablehnung und verwies darauf, dass der Anspruch nach Art. 82 DSGVO unabhängig von Amtshaftungsansprüchen sei und zudem stelle eine besondere Schadensabwendungspflicht für die Betroffenen eine zusätzliche Hürde aus nationalem Recht dar, die nach   der DSGVO so nicht vorgesehen ist. Weiter führte der BGH in seiner Mitteilung aus, dass der EuGH in seiner Rechtsprechung die Voraussetzungen für einen Anspruch nach Art. 82 DSGVO abschließend formuliert habe.

Das bedeutet, dass die Betroffenen keinerlei Nachweise über weitere Persönlichkeitsverletzungen und dergleichen erbringen müssen.


Auswirkungen des Urteils des Bundesgerichthofes


Das Urteil hat weitreichende Bedeutung für künftige Ansprüche auf Schadensersatz nach Art. 82 DSGVO, weil Betroffene nunmehr Rechtsklarheit haben, dass der Kontrollverlustausreicht, um einen Schadensersatz zu begründen.


Zuvor haben die Gerichte eine fast unmögliche Darlegung der über den Kontrollverlust hinausgehenden Beeinträchtigungen und der Schadensfolgen von den Betroffenen gefordert.


Durch das Urteil des Bundesgerichtshofes haben Betroffene von Verstößen gegen die DSGVO nunmehr Klarheit.


Die Begründung immateriellen Schadensersatzes bedarf nunmehr keine unverhältnismäßig hohen Hürden, die Verbraucher in der Vergangenheit nehmen mussten.


Betroffene können Ihre Rechte nun einfacher und konkreter durchsetzen.



LOIBL LAW – die Rechtskanzlei, Ihre Experten im Datenschutzrecht!

WIR beraten Sie, ob als betroffene Verbraucher/Betroffener eines Datenschutzverstoßes, Unternehmen oder Behörden und insbesondere Verantwortliche der Datenverarbeitung in allen Fragen und Angelegenheiten des Datenschutzrecht und der DSGVO.

Wir beraten Sie bundesweit. Sie erhalten bei uns eine kostenlose Ersteinschätzung zu Ihrem Anliegen.

WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!

Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail [email protected] oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.

Weitere Infos und Antworten finden Sie auf unserer Website.


Ihr Team von LOIBL LAW!