Der EuGH hat ein neues Urteil in Sachen immaterieller Schadensersatz nach der DSGVO gefällt und darin die Rechte von Betroffenen weiter gestärkt: Zum einen weist das Gericht deutlich darauf hin, dass bereits der „Verlust der Kontrolle“ über die eigenen personenbezogenen Daten ein Schaden sein kann. Zum anderen macht er es Unternehmen noch schwerer, sich zu entlasten, wenn einmal ein solcher Schaden entstanden ist.

Die verbraucherfreundliche Linie des EuGH im Hinblick auf den immateriellen Schadensersatz nach Art. 82 DSGVO wird immer deutlicher – so auch mit diesem neuen Urteil. Positiv herauszustellen sind insbesondere folgende zentrale Sätze des neuen Urteils (v. 11.04.2024, Rs. C-741/21 – juris):

Zunächst betont der EuGH im neuen Urteil noch einmal explizit, „dass der 85. Erwägungsgrund der DSGVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können.“ Zwar hatte der EuGH bereits in seinem letzten Urteil (v. 14.12.2023, Rs. C-340/21) geschrieben, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann, der einen Schadensersatzanspruch begründet. Dennoch ist es sehr erfreulich, dass der EuGH hier noch einmal betont, dass dies „ausdrücklich“ in Erwägungsgrund 85 steht – worauf wir seit Jahren insbesondere in unseren Schadensersatzklagen zum Facebook-Datenleck hinweisen. Spätestens jetzt dürfte auch für alle deutschen Gerichte klar sein, dass hieran kein Zweifel mehr bestehen kann.

Ebenfalls erfreulich für Betroffene sind die folgenden Sätze des EuGH: Danach kann sich ein Verantwortlicher „nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.“ Wenn er dies könnte, würde dies „die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.“

Schließlich betont der EuGH noch einmal, dass der DSGVO-Schadensersatz Unternehmen dazu anhalten soll, die DSGVO einzuhalten und eine abschreckende Wirkung haben soll.


Wir vertreten bereits zehntausende Betroffene im Fall des Facebook-Datenlecks und des Deezer-Datenlecks. Ihre Chancen auf bis zu 1000 Euro Schadensersatz wurden mit diesem EuGH-Urteil erneut gestärkt. Wer jetzt noch seinen Anspruch auf DSGVO-Schadensersatz in Sachen Facebook-Datenleck geltend machen möchte, sollte sich beeilen: Denn es droht Verjährung!

Facebook-Datenleck – jetzt prüfen

Jetzt Handynummer eingeben und sofort zeigt der Checker Ihnen an, ob Sie betroffen sind:

Bitte geben Sie Ihre Mobilnummer im Internationalen Format an, beginnend mit +49, ohne Bindestriche und ohne Leerzeichen.

Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.


Deezer-Datenleck – jetzt prüfen

Einfach Mail-Adresse eingeben und sofort herausfinden, ob Sie einer von 14 Millionen deutschen Betroffenen sind.

Bitte geben Sie Ihre E-Mail-Adresse an.

Hinweis: Wir verwenden deine E-Mail Adresse zur Überprüfung, ob du von dem Deezer-Datenleak betroffen bist. Der Abgleich deiner E-Mail Adresse erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine E-Mail Adresse bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.

Keine Sorge: Direkt nach der Eingabe erscheint das Prüfergebnis nur für Dich. Erst wenn Du danach bewusst weitere Daten eingibst, werden wir auch für Dich tätig und erstreiten den Schadensersatz.


Unternehmen können sich nicht mit Verschulden der Mitarbeiter herausreden

Geklagt hatte ein deutscher Rechtsanwalt, dem – trotz Widerrufs seiner Einwilligung – von dem Unternehmen Juris weiterhin Werbenachrichten zugesandt worden waren. Juris wollte sich damit herausreden, dass sie ja selbst nichts für die rechtswidrige Verarbeitung der Daten des Anwalts könnten – schließlich sei ein Mitarbeiter angewiesen worden, die Daten zu löschen und dieser habe hier einen Fehler gemacht.

Wie schon u.a. in seinem Urteil vom 4. Mai 2023 (Rs. C-300/21) folgt auch aus dem jetzigen EuGH-Urteil, dass es für Unternehmen, die gegen die DSGVO verstoßen haben, sehr schwer ist, sich aus einer Haftung zu befreien. Laut Art. 82 Abs. 3 DSGVO müssen sie dazu nachweisen, dass sie „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich“ sind. Schon damals sagten wir, dass dies für Unternehmen in der Praxis kaum möglich ist. Der EuGH bestätigt diese Ansicht nun erneut, wenn er schreibt:

„Insoweit ist hervorzuheben, dass die Umstände der in Art. 82 Abs. 3 DSGVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist.“ Und: „Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der […] Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt.“

Um sich von der Haftung nach Art. 82 Abs. 3 DSGVO reiche es dementsprechend nicht, dass ein Unternehmen geltend mache, dass der Schaden durch ein Fehlverhalten einer ihm (im Sinne von Art. 29 DSGVO) unterstellten Person verursacht wurde, so der EuGH weiter. In Art. 29 DSGVO steht, dass diese Personen Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen. Zu Begründung schreibt der EuGH: Um sich zu entlasten, reiche es nicht, dass man einem Mitarbeiter Weisungen erteilt hat und dieser die Weisung nicht korrekt befolgt hat. Es sei vielmehr Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt würden.

Schließlich betont der EuGH noch einmal, wie wichtig die Ziele der Verordnung sind:

„Könnte sich der Verantwortliche von seiner Haftung befreien, indem er sich lediglich auf das Fehlverhalten einer ihm unterstellten Person beruft, würde dies nämlich […] die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.“

DSGVO hat Ausgleichsfunktion

Schließlich betont der EuGH noch einmal die „Ausgleichsfunktion“ des immateriellen DSGVO-Schadensersatzes sowie die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität, welche die nationalen Gerichte bei der Bemessung des Ersatzanspruchs berücksichtigen müssen. Der immaterielle Schadensersatzanspruch diene danach explizit als „Anreiz zur Einhaltung der DSGVO“, solle die „Durchsetzungskraft“ des Schutzes der DSGVO erhöhen und „von der Wiederholung rechtswidriger Verhaltensweisen abschrecken“. Zudem solle der Schadensersatz einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen (Erwägungsgrund 146 S. 6).

Lediglich eine Straffunktion erfülle der immaterielle Schadensersatzanspruch – anders als die Bußgeldvorschriften in Art. 83 DSGVO – nicht. Somit seien die Bemessungskriterien des Art. 83 DSGVO auch nicht auf den Schadensersatzanspruch übertragbar. Auch sei es für die Höhe des Ersatzanspruchs auch nicht relevant, wie schwer oder ob mehrfach gegen die DSGVO verstoßen wurde. Es gehe schließlich um den erlittenen Schaden des Betroffenen, den es zu kompensieren gelte.

ahe