EuGH, Urt. 4.9.2025 - C-655/23
Unterlassungsanspruch und immaterieller Schadensersatz bei DSGVO-Verstoß
Autor: RA, FA IT‑Recht Dr. Aegidius Vogt, Herberger Vogt von Schoeler, München – www.hvs-rechtsanwaelte.de
Aus: IT-Rechtsberater, Heft 12/2025
Aus: IT-Rechtsberater, Heft 12/2025
Die DSGVO erlaubt es Mitgliedstaaten, präventive Rechtsbehelfe vorzusehen. Auch negative Gefühle wie Sorgen, Ärger und Schmach können einen immateriellen Schaden darstellen. Aufgrund der reinen Ausgleichsfunktion des Art. 82 DSGVO sind bei der Schadensbemessung weder der Verschuldensgrad noch eine erwirkte Unterlassungsanordnung zu berücksichtigen.
AEUV Art. 267; DSGVO Art. 17, Art. 18, Art. 79, Art. 82; BGB § 253, § 823, § 1004 Abs. 1
Die Erstinstanz verurteilte die Bank antragsgemäß. Das OLG Frankfurt bestätigte den Unterlassungsanspruch, verneinte aber einen Anspruch auf immateriellen Schadensersatz. Auf die Revision beider Seiten legte der BGH dem EuGH etliche Fragen zu Vorabentscheidung vor (BGH v. 26.9.2023 – VI ZR 97/22, ITRB 2023, 307 [Rössel] = CR 2024, 110).
Zulässige Unterlassungsklage:Die DSGVO enthalte zwar keine Bestimmungen, die ausdrücklich oder implizit einen einklagbaren Unterlassungsanspruch vorsähen. Insb. könne dies weder aus Art. 17 DSGVO noch aus Art. 18 DSGVO abgeleitet werden. Auch die Art. 77–79 DSGVO verpflichteten die Mitgliedstaaten nicht, einen präventiven Rechtsbehelf vorzusehen. Der Wortlaut dieser Bestimmungen erlaube dies jedoch. Auch habe der Unionsgesetzgeber keine umfassende Harmonisierung der gegen DSGVO-Verstöße zur Verfügung stehenden Rechtsbehelfe gewollt. Diese Auslegung werde auch durch die mit der DSGVO verfolgten Ziele eines gleichmäßigen und hohen Datenschutzniveaus, der Stärkung der Rechte Betroffener und der Verschärfung der Verpflichtung Verantwortlicher bestätigt.
Schadensersatzanspruch:Nach st. Rspr. des EuGH reiche der bloße Verstoß gegen die DSGVO für die Begründung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO nicht aus, sondern es sei zusätzlich ein nachweisbarer materieller oder immaterieller Schaden sowie ein Kausalzusammenhang zwischen Schaden und Verstoß erforderlich (vgl. nur EuGH Urt. v. 4.5.2023 – C-300/21, ITRB 2023, 170 [Rössel] = CR 2023, 436).
Immaterieller Schaden:Der Gerichtshof habe bereits entschieden, dass es hinsichtlich des Schadens keine „Bagatellgrenze“ gebe (vgl. nur EuGH Urt. v. 4.5.2023 – C-300/21, ITRB 2023, 170 [Rössel] = CR 2023, 436). Zudem seien die „Rufschädigung“ und der „Verlust der Kontrolle“ ausdrücklich in den Erwgrd. 75 und 85 der DSGVO als Beispiele für mögliche Schäden genannt. Nicht zuletzt habe der EuGH entschieden, dass auch die empfundene Befürchtung einer künftigen missbräuchlichen Datenverwendung schon für sich genommen einen immateriellen Schaden darstellen könne. Voraussetzung sei dabei immer, dass dieser Schaden auch ordnungsgemäß vom Betroffenen nachgewiesen werde, was zu prüfen Sache des angerufenen nationalen Gerichts sei (vgl. EuGH v. 4.10.2024 – C-200/23, NJW 2025, 40 m.w.N. = ITRB 2024, 308 [Rössel]). Die vom Betroffenen geltend gemachten negativen Gefühle, insb. Sorge oder Ärger, seien zwar Teil des allgemeinen Lebensrisikos, könnten jedoch grds. einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen. Diese Auslegung werde auch durch das weite Begriffsverständnis des „immateriellen Schadens“ sowie des Ziels der Gewährleistung eines hohen Schutzniveaus gestützt.
Unbeachtlichkeit des Verschuldensgrades:Im Unterschied zu Art. 83 DSGVO (Geldbußen) erfülle Art. 82 DSGVO ausschließlich eine Ausgleichsfunktion, keine Abschreckungs- und Staffunktion (vgl. EuGH v. 4.10.2024 – C-200/23, NJW 2025, 40 = ITRB 2024, 308 [Rössel]). Zwar sei die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängig, das widerlegbar vermutet werde. Art. 82 DSGVO verlange hingegen nicht die Berücksichtigung der Schwere dieses Verschuldens bei der Bemessung der Höhe des Schadensersatzes. Vielmehr schließe die rein ausgleichende Funktion der Norm eine Berücksichtigung des Verschuldensgrades aus.
Keine Auswirkung der Unterlassungsanordnung:Nachdem die DSGVO keine Regeln für die Bemessung des Schadensersatzes festlege, hätten die nationalen Gerichte die dahingehenden innerstaatlichen Vorschriften anzuwenden. Dabei seien jedoch immer die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität zu beachten. In diesen Grenzen könne Betroffenen auch ein geringer Schadensersatz zugesprochen werden, sofern dieser geeignet sei, den Schaden in vollem Umfang auszugleichen. So könne auch eine bloße Entschuldigung ausreichen, insb. wenn es nicht möglich sei, die Lage vor dem Schadenseintritt wiederherzustellen (EuGH v. 4.10.2024 – C-507/23, ITRB 2025, 31 [Kartheuser/Frei] = CR 2024, 804). Eine erwirkte Unterlassungsanordnung dürfe sich aufgrund vorgenannter Grundsätze indes nicht auf die Bemessung des Schadensersatzes auswirken. Denn anders als die rein ausgleichende Funktion des Art. 82 DSGVO habe eine Unterlassungsanordnung eine rein präventive Zielsetzung. Diese solle die Wiederholung schädigender Handlungen verhindern, gleiche aber nicht bereits entstandene Schäden aus.
AEUV Art. 267; DSGVO Art. 17, Art. 18, Art. 79, Art. 82; BGB § 253, § 823, § 1004 Abs. 1
Das Problem
Der Betroffene bewarb sich über ein Online-Karrierenetzwerk bei einer Bank. Im Rahmen des Bewerbungsverfahrens verfasste eine Mitarbeiterin über den Messengerdienst des Netzwerks eine Nachricht, in der sie die Gehaltsvorstellungen des Betroffenen ablehnte und eine andere Vergütung anbot. Diese Nachricht wurde versehentlich an einen ehemaligen Arbeitskollegen des Betroffenen versandt, der die Nachricht an den Betroffenen weiterleitete und fragte, ob er auf Stellensuche sei. Infolgedessen begehrte der Betroffene neben Unterlassung eines erneut fehlerhaften Nachrichtenversands immateriellen Schadensersatz von der Bank.Die Erstinstanz verurteilte die Bank antragsgemäß. Das OLG Frankfurt bestätigte den Unterlassungsanspruch, verneinte aber einen Anspruch auf immateriellen Schadensersatz. Auf die Revision beider Seiten legte der BGH dem EuGH etliche Fragen zu Vorabentscheidung vor (BGH v. 26.9.2023 – VI ZR 97/22, ITRB 2023, 307 [Rössel] = CR 2024, 110).
Die Entscheidung des Gerichts
Im Kern billigt der EuGH die Möglichkeit nationaler Unterlassungsklagen und erkennt auch negative Gefühle als immateriellen Schaden an. Im Rahmen der Schadensbemessung verneint er die Berücksichtigung des Verschuldensgrades und einer erwirkten Unterlassungsanordnung.Zulässige Unterlassungsklage:Die DSGVO enthalte zwar keine Bestimmungen, die ausdrücklich oder implizit einen einklagbaren Unterlassungsanspruch vorsähen. Insb. könne dies weder aus Art. 17 DSGVO noch aus Art. 18 DSGVO abgeleitet werden. Auch die Art. 77–79 DSGVO verpflichteten die Mitgliedstaaten nicht, einen präventiven Rechtsbehelf vorzusehen. Der Wortlaut dieser Bestimmungen erlaube dies jedoch. Auch habe der Unionsgesetzgeber keine umfassende Harmonisierung der gegen DSGVO-Verstöße zur Verfügung stehenden Rechtsbehelfe gewollt. Diese Auslegung werde auch durch die mit der DSGVO verfolgten Ziele eines gleichmäßigen und hohen Datenschutzniveaus, der Stärkung der Rechte Betroffener und der Verschärfung der Verpflichtung Verantwortlicher bestätigt.
Schadensersatzanspruch:Nach st. Rspr. des EuGH reiche der bloße Verstoß gegen die DSGVO für die Begründung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO nicht aus, sondern es sei zusätzlich ein nachweisbarer materieller oder immaterieller Schaden sowie ein Kausalzusammenhang zwischen Schaden und Verstoß erforderlich (vgl. nur EuGH Urt. v. 4.5.2023 – C-300/21, ITRB 2023, 170 [Rössel] = CR 2023, 436).
Immaterieller Schaden:Der Gerichtshof habe bereits entschieden, dass es hinsichtlich des Schadens keine „Bagatellgrenze“ gebe (vgl. nur EuGH Urt. v. 4.5.2023 – C-300/21, ITRB 2023, 170 [Rössel] = CR 2023, 436). Zudem seien die „Rufschädigung“ und der „Verlust der Kontrolle“ ausdrücklich in den Erwgrd. 75 und 85 der DSGVO als Beispiele für mögliche Schäden genannt. Nicht zuletzt habe der EuGH entschieden, dass auch die empfundene Befürchtung einer künftigen missbräuchlichen Datenverwendung schon für sich genommen einen immateriellen Schaden darstellen könne. Voraussetzung sei dabei immer, dass dieser Schaden auch ordnungsgemäß vom Betroffenen nachgewiesen werde, was zu prüfen Sache des angerufenen nationalen Gerichts sei (vgl. EuGH v. 4.10.2024 – C-200/23, NJW 2025, 40 m.w.N. = ITRB 2024, 308 [Rössel]). Die vom Betroffenen geltend gemachten negativen Gefühle, insb. Sorge oder Ärger, seien zwar Teil des allgemeinen Lebensrisikos, könnten jedoch grds. einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen. Diese Auslegung werde auch durch das weite Begriffsverständnis des „immateriellen Schadens“ sowie des Ziels der Gewährleistung eines hohen Schutzniveaus gestützt.
Unbeachtlichkeit des Verschuldensgrades:Im Unterschied zu Art. 83 DSGVO (Geldbußen) erfülle Art. 82 DSGVO ausschließlich eine Ausgleichsfunktion, keine Abschreckungs- und Staffunktion (vgl. EuGH v. 4.10.2024 – C-200/23, NJW 2025, 40 = ITRB 2024, 308 [Rössel]). Zwar sei die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens abhängig, das widerlegbar vermutet werde. Art. 82 DSGVO verlange hingegen nicht die Berücksichtigung der Schwere dieses Verschuldens bei der Bemessung der Höhe des Schadensersatzes. Vielmehr schließe die rein ausgleichende Funktion der Norm eine Berücksichtigung des Verschuldensgrades aus.
Keine Auswirkung der Unterlassungsanordnung:Nachdem die DSGVO keine Regeln für die Bemessung des Schadensersatzes festlege, hätten die nationalen Gerichte die dahingehenden innerstaatlichen Vorschriften anzuwenden. Dabei seien jedoch immer die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität zu beachten. In diesen Grenzen könne Betroffenen auch ein geringer Schadensersatz zugesprochen werden, sofern dieser geeignet sei, den Schaden in vollem Umfang auszugleichen. So könne auch eine bloße Entschuldigung ausreichen, insb. wenn es nicht möglich sei, die Lage vor dem Schadenseintritt wiederherzustellen (EuGH v. 4.10.2024 – C-507/23, ITRB 2025, 31 [Kartheuser/Frei] = CR 2024, 804). Eine erwirkte Unterlassungsanordnung dürfe sich aufgrund vorgenannter Grundsätze indes nicht auf die Bemessung des Schadensersatzes auswirken. Denn anders als die rein ausgleichende Funktion des Art. 82 DSGVO habe eine Unterlassungsanordnung eine rein präventive Zielsetzung. Diese solle die Wiederholung schädigender Handlungen verhindern, gleiche aber nicht bereits entstandene Schäden aus.