Schadensersatz für Kontrollverlust über Daten – 200 Euro für Datenschutzverstoß

Veröffentlicht am von

Am 10. Juli 2025 hat das Oberlandesgericht (OLG) Düsseldorf im Verfahren 16 U 83/24 ein wichtiges Urteil zum immateriellen Schadensersatz nach der DSGVO gefällt. Im Mittelpunkt stand die Frage, ob bereits der Kontrollverlust über personenbezogene Daten einen Anspruch auf Schadensersatz begründen kann. Das Urteil reiht sich in eine Serie richtungsweisender Entscheidungen ein und verdeutlicht die wachsende Bedeutung eines wirksamen Datenschutzmanagements für Unternehmen.

Hintergrund des Falls

Ein Kläger hatte den Musikstreamingdienst eines Unternehmens mit Sitz in Frankreich genutzt. Über einen israelischen Auftragsverarbeiter gelangten personenbezogene Daten – darunter Name, Geburtsdatum und E-Mail-Adresse – unzureichend gelöscht in die Hände einer konzernverbundenen Firma. Diese Daten wurden später im Darknet angeboten.

Der Kläger machte geltend, dass er dadurch die Kontrolle über seine Daten verloren habe und klagte auf immateriellen Schadensersatz sowie auf Feststellung zukünftiger Ersatzpflichten.

Entscheidung des OLG Düsseldorf

Das OLG verurteilte die Beklagte zur Zahlung von 200 Euro immateriellem Schadensersatz. Darüber hinaus stellte das Gericht fest, dass die Beklagte auch für zukünftige materielle Schäden aus dem Datenleck haftet.

Wesentliche Kernaussagen des Gerichts:

  • Bereits der Verlust der Kontrolle über personenbezogene Daten kann ein immaterieller Schaden sein. Das Gericht schloss sich damit der Linie des Europäischen Gerichtshofs (EuGH) an. Dieser hatte bereits betont, dass „ein selbst kurzzeitiger Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann“ (EuGH, Urteil vom 4. Mai 2023 – C-300/21).
  • Verantwortliche Unternehmen tragen auch dann die Verantwortung, wenn der Verstoß durch Auftragsverarbeiter oder deren Unterauftragnehmer ausgelöst wurde. Das OLG stellte klar: Mangelnde Kontrollen und fehlende organisatorische Maßnahmen führen zur Zurechnung des Verstoßes.
  • Der Anspruch auf immateriellen Schadensersatz hat keine Straf- oder Abschreckungsfunktion, sondern dient ausschließlich dem vollständigen Ausgleich des entstandenen Schadens.

Das OLG betonte außerdem die Pflicht der Verantwortlichen, Auftragsverarbeiter sorgfältig zu überwachen und Löschpflichten konsequent durchzusetzen. Eine bloße Bestätigung per E-Mail reiche hierfür nicht aus.

Bedeutung für Unternehmen

Das Urteil verdeutlicht, dass Unternehmen auch bei der Zusammenarbeit mit externen Dienstleistern umfassend verantwortlich bleiben. Entscheidend sind:

  • Vertragliche Absicherung: DSGVO-konforme Auftragsverarbeitungsverträge, die klare Lösch- und Nachweispflichten enthalten.
  • Kontrolle und Nachweis: Aktive Überprüfung, ob Daten tatsächlich gelöscht wurden.
  • Risikomanagement: Sensibilisierung für die Risiken, die mit Kontrollverlusten verbunden sind, insbesondere wenn Daten ins Darknet gelangen können.

Für Betroffene reicht es nach dieser Rechtsprechung aus, den Kontrollverlust plausibel darzulegen – konkrete Schäden wie finanzielle Verluste sind nicht erforderlich.

Fazit

Das OLG Düsseldorf stärkt mit diesem Urteil die Rechte von Betroffenen und erhöht den Druck auf Unternehmen, beim Datenschutz keine Lücken zuzulassen. Schon der Kontrollverlust kann teuer werden – selbst wenn kein konkreter Folgeschaden eingetreten ist.

Unternehmen sind gut beraten, ihre Datenschutzorganisation zu überprüfen, insbesondere beim Einsatz externer Dienstleister. Wir stehen Ihnen dabei gern beratend zur Seite und unterstützen bei der Umsetzung praxisgerechter Datenschutzmaßnahmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert