Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO ab dem Jahr 2025

Dr. Kevin Leibold, LL. M., ist Rechtsanwalt.

ZD-Aktuell 2026, 01214 Hier findet sich eine von RA Dr. Kevin Leibold, LL. M., erstellte Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO ab dem Jahr 2024, Stand: 1.2.2026.

Die Vielzahl der Gerichtsentscheidungen hat es erforderlich gemacht, den Inhalt der Entscheidungen auf ein notwendiges Maß zu reduzieren und sich auf die Verwendung von Stichworten zu beschränken. Die Stichworte sollen als Anhaltspunkt für weitere Recherchen zu der jeweiligen Entscheidung dienen.

Vgl. zum Schadensersatzanspruch nach Art. 82 DS-GVO auch folgende Übersichten:

Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO im Jahr 2024, ZD-Aktuell 2026, 01215
Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO im Jahr 2023, ZD-Aktuell 2026, 01216
Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO im Zeitraum 2018-2022 – Update, ZD-Aktuell 2026, 01218
Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO beim Scraping, ZD-Aktuell 2026, 01220
Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO bei Übermittlung von Positivdaten an Auskunfteien (zB SCHUFA), ZD-Aktuell 2026, 01221

Gericht	Schadensumfang und Begründung
EuGH
NEU EuGH (4. Kammer) Urt. v. 4.9.2025 – C-655/23 = MMR 2025, 950	1. Die Bestimmungen der DS-GVO sind dahin auszulegen, dass sie zugunsten der von der unrechtmäßigen Verarbeitung personenbezogener Daten betroffenen Person für den Fall, dass diese Person nicht die Löschung ihrer Daten beantragt, keinen gerichtlichen Rechtsbehelf vorsehen, der es ihr ermöglicht, präventiv zu erwirken, dass dem Verantwortlichen auferlegt wird, künftig eine erneute unrechtmäßige Verarbeitung zu unterlassen. Allerdings hindern sie die Mitgliedstaaten nicht daran, einen solchen Rechtsbehelf in ihren jeweiligen Rechtsordnungen vorzusehen. 2. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der Begriff „immaterieller Schaden“ in dieser Bestimmung negative Gefühle umfasst, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie zB Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen diese Verordnung empfindet. 3. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er dem entgegensteht, dass der Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des nach dieser Bestimmung geschuldeten Ersatzes eines immateriellen Schadens berücksichtigt wird. 4. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass er dem entgegensteht, dass der Umstand, dass die betroffene Person nach dem anwendbaren nationalen Recht eine Anordnung – die dem Verantwortlichen entgegengehalten werden kann – erwirkt hat, die Wiederholung eines Verstoßes gegen diese Verordnung zu unterlassen, in der Form berücksichtigt wird, dass dadurch der Umfang der nach dieser Bestimmung geschuldeten finanziellen Entschädigung für einen immateriellen Schaden gemindert wird oder diese Entschädigung sogar ersetzt wird.
BGH
NEU BGH Urt. v. 18.12.2025 – I ZR 97/25	0 EUR Nach der Rspr. des EuGH muss angesichts dessen, dass Art. 82 Abs. 1 DS-GVO nicht auf das innerstaatliche Recht der Mitgliedstaaten verweist, der Begriff „immaterieller Schaden“ im Sinn dieser Bestimmung eine autonome und einheitliche unionsrechtliche Definition erhalten. Der bloße Verstoß gegen diese Verordnung reicht nicht aus, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO zu begründen. Das Vorliegen eines materiellen oder immateriellen „Schadens“, eines Verstoßes gegen Bestimmungen dieser Verordnung sowie eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß stellen die drei erforderlichen und ausreichenden kumulativen Voraussetzungen für diesen Schadensersatzanspruch dar. Somit muss die betroffene Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen diese Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß tatsächlich ein solcher Schaden entstanden ist. Art. 82 Abs. 1 DS-GVO steht einer nationalen Regelung oder Praxis entgegen, die den Ersatz eines immateriellen Schadens im Sinn dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Aus der im ersten Satz des Erwägungsgrunds 85 DS-GVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Ein solcher Verlust der Kontrolle kann ausreichen, um einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO zu verursachen, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Gleiches gilt für negative Gefühle, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie zB Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DS-GVO empfindet. Der Streitfall kann die Frage aufwerfen, ob der nach Art. 82 Abs. 3 DS-GVO zur Haftungsbefreiung führende Nachweis, dass der für die Datenverarbeitung Verantwortliche in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, dadurch geführt werden kann, dass dieser die für ihn anwendbaren Verhaltensregeln iSv Art. 40 DS-GVO beachtet hat. Der EuGH hat bereits entschieden, dass Art. 82 DS-GVO eine Verschuldenshaftung vorsieht. Daher dürfte Art. 82 Abs. 3 DS-GVO iSe Exkulpationsmöglichkeit bei fehlendem Verschulden aufzufassen sein. Im Fall eines Verstoßes der Bekl. gegen Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO kann sich die Frage stellen, ob der Umstand, dass die Bekl. die jeweils aktuell geltenden Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien eingehalten hat, zu einer Exkulpation nach Art. 82 Abs. 3 DS-GVO führt.
NEU BGH Urt. v. 11.11.2025 – VI ZR 396/24 = ZD 2026, 218	0 EUR (Schadensersatz zugesprochen) Nach stRspr des EuGH (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft grds. die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruches nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Rechtlich nicht zu beanstanden ist die Beurteilung des Berufungsgerichts, dass die Bekl. bei Vorliegen eines Schadens haftungsrechtlich dafür einzustehen hat, dass die Daten des Kl. bei dem Unternehmen O. nach Beendigung des Auftragsverarbeitungsverhältnisses nicht gelöscht wurden, sodass sie bei dem Unternehmen O. (durch Hacking oder infolge unbefugter Weitergabe durch Mitarbeiter des Unternehmens O.) abgegriffen und anschließend im Darknet zum Verkauf angeboten werden konnten. Dabei geht es nicht lediglich um einen Verstoß des Auftragsverarbeiters O. gegen die DS-GVO, für den die Bekl. – vorbehaltlich der Möglichkeit einer Exkulpation nach Art. 82 Abs. 3 DS-GVO – gem. Art. 82 Abs. 2 S. 1 DS-GVO einzustehen hat. Vielmehr liegt darüber hinaus ein eigener Verstoß der Bekl. gegen die DS-GVO vor, der, wie vom Berufungsgericht zutreffend gesehen, darin besteht, dass sie sich bei Beendigung des Vertrags mit ihrem Auftragsverarbeiter O. mit dessen Ankündigung einer Datenlöschung begnügte und nicht die Bestätigung einer erfolgten umfassenden Datenlöschung einholte. Wegen dieser eigenen schadensursächlichen Pflichtverletzung gelingt ihr eine Exkulpation nach Art. 82 Abs. 3 DS-GVO nicht. Die Bekl. hat jedenfalls ihre Pflichten aus Art. 5 Abs. 2 DS-GVO iVm Art. 5 Abs. 1 lit. c, e und f DS-GVO sowie aus Art. 32 Abs. 1 DS-GVO verletzt. Überträgt ein Verantwortlicher iSv Art. 4 Nr. 7 DS-GVO die Datenverarbeitung auf einen Auftragsverarbeiter, kann er sich dadurch von seinen datenschutzrechtlichen Pflichten nicht befreien. Er bleibt „Herr der Verarbeitung“ und daher gegenüber der betroffenen Person für die Einhaltung der datenschutzrechtlichen Vorschriften bei der Verarbeitung ihrer Daten durch den Auftragsverarbeiter als seinem „verlängerten Arm“ verantwortlich. Lediglich im Falle eines sog. Aufgaben- oder Auftragsverarbeiterexzesses, bei dem der Auftragsverarbeiter unter Verstoß gegen die DS-GVO selbst die Zwecke und Mittel der Verarbeitung bestimmt (Art. 28 Abs. 10 DS-GVO), wird dieser Verantwortlicher und der ursprüngliche Verantwortliche unter Umständen aus seiner Haftung entlassen. Das gilt u. a. dann, wenn der Auftragsverarbeiter Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche zugestimmt hätte. Auch in diesen Fällen kommt allerdings eine Haftung des Verantwortlichen in Betracht, wenn er es versäumt, mit den Mitteln des Vertragsrechts auf ein vertragskonformes Verhalten des Auftragsverarbeiters zu drängen. Der Verantwortliche hat auch im Zusammenhang mit der Auftragsbeendigung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Insoweit ist von Bedeutung, dass die Übermittlung von personenbezogenen Daten seitens des Verantwortlichen an den Auftragsverarbeiter einen Eingriff in die durch Art. 7 und 8 GRCh garantierten Rechte der betroffenen Personen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellt, der nur solange gerechtfertigt ist, als die Voraussetzungen der Auftragsverarbeitung vorliegen. Wenn aber das Auftragsverhältnis nicht mehr besteht, gibt es keine Rechtfertigung mehr dafür, dass sich die Daten noch beim Auftragsverarbeiter befinden. Es ist daher auch und gerade durch den Verantwortlichen sicherzustellen, dass – vorbehaltlich etwaiger gesetzlicher Speicherpflichten – keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Das Zugriffsrecht des Auftragsverarbeiters auf diese Daten entfällt mit dem Auftragsende, der Zugang zu ihnen muss ihm daher ab diesem Zeitpunkt verwehrt sein. In Art. 28 Abs. 3 S. 2 lit. g DS-GVO ist dementsprechend geregelt, dass in dem Vertrag oder anderen Rechtsinstrument, auf dessen Grundlage die Auftragsverarbeitung gem. Art. 28 Abs. 3 DS-GVO zu erfolgen hat, vorzusehen ist, dass der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Ferner ist gem. Art. 28 Abs. 3 S. 2 lit. h DS-GVO vorzusehen, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten, also auch der Löschungs- bzw. Rückgabepflicht, zur Verfügung stellt und Überprüfungen seitens des Verantwortlichen oder eines von diesem beauftragten Prüfers ermöglicht und dazu beiträgt. Der Verantwortliche darf sich allerdings grds. nicht damit begnügen, mit dem Auftragsverarbeiter einen Vertrag abzuschließen, in dem diesem die vertragliche Verpflichtung zur Löschung der Daten und zum Nachweis der Löschung bei Auftragsbeendigung auferlegt wird. Er hat vielmehr bei Beendigung des Auftragsverhältnisses das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass der Auftragsverarbeiter seine vertragliche Verpflichtung erfüllt, die personenbezogenen Daten also tatsächlich nicht länger bei ihm gespeichert bleiben, sodass er tatsächlich keinen Zugriff mehr auf diese hat. Ob sich diese Pflicht aus Art. 28 DS-GVO ergibt, weil dessen Absatz 1 und Absatz 3 S. 2 lit. h bei verständiger Auslegung der Vorschrift eine Kontrollpflicht des Verantwortlichen impliziert, kann dahinstehen. Denn jedenfalls ergibt sie sich aus dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) und insb. dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO), der den Zeitraum der Speicherung betrifft und dessen Ausfluss die Löschungs- bzw. Rückgabepflicht bei Beendigung des Auftragsverhältnisses ist. Für die Einhaltung dieser Grundsätze ist der Verantwortliche gem. Art. 5 Abs. 2 DS-GVO „verantwortlich“. Ferner ergibt sich seine Pflicht, sicherzustellen, dass dem Auftragsverarbeiter mit Beendigung des Auftrags der Zugang zu den personenbezogenen Daten der betroffenen Personen entzogen wird, aus der aus Art. 5 Abs. 2 DS-GVO iVm Art. 5 Abs. 1 lit. f und 32 Abs. 1 DS-GVO folgenden Pflicht, eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. So hat der Verantwortliche gem. Art. 32 Abs. 1 DS-GVO unter Berücksichtigung u. a. der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Gem. Art. 32 Abs. 2 DS-GVO sind bei der Beurteilung des angemessenen Schutzniveaus insb. die Risiken zu berücksichtigen, die mit der Datenverarbeitung verbunden sind, u. a. durch den unbefugten Zugang zu gespeicherten Daten. Das Risiko eines unbefugten Zugriffs auf die gespeicherten Daten besteht nicht erst bei einem Cyberangriff durch außenstehende Dritte, sondern schon dann, wenn die Daten nach Beendigung des Auftragsverhältnisses beim Auftragsverarbeiter gespeichert bleiben, obwohl dessen Zugriffsrecht mit der Beendigung des Auftrags erloschen ist. Dies hat der Verantwortliche durch geeignete Maßnahmen „so weit wie möglich“ zu verhindern. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt. Die Beweislast für die Geeignetheit seiner insoweit getroffenen Sicherheitsmaßnahmen liegt beim Verantwortlichen. Hat der Verantwortliche diese ihm selbst obliegende Pflicht verletzt und insb. nicht auf ein vertragskonformes Verhalten des Auftragsverarbeiters hinsichtlich der Datenlöschung bzw. -rückgabe bei Auftragsende gedrängt, so kann er sich seiner Verantwortung hierfür nicht schon durch den Hinweis auf einen Aufgabenexzess entziehen, den der Auftragsverarbeiter dadurch begeht, dass er die Daten vertragswidrig behält und weiterverarbeitet. Für die Folgen seines eigenen Pflichtenverstoßes hat der Verantwortliche selbst einzustehen. Es bedarf im Streitfall keiner Entscheidung, ob, wie die Revisionserwiderung meint, nur eine die Vorgaben der DS-GVO verletzende Datenverarbeitung Anknüpfungspunkt für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO sein kann, mithin die Nichteinhaltung nur abstrakter Pflichten außerhalb eines konkreten Verarbeitungsvorgangs eine Haftung auf Schadensersatz nicht begründen kann, die Vorschriften der Art. 5 bis 11 DS-GVO, mithin des zweiten Kapitels der DS-GVO, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt. Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DS-GVO auf Verstöße gegen Art. 5 DS-GVO bestehen daher nicht. Darüber hinaus hat der Gerichtshof auch für Verstöße u. a. gegen Art. 32 DS-GVO bereits angenommen, dass ein Schadensersatzanspruch aus Art. 82 DS-GVO möglich ist. Wie ausgeführt hat die Bekl. im Streitfall u. a. gegen ihre Pflichten aus Art. 5 Abs. 2 DS-GVO iVm Art. 5 Abs. 1 lit. c, e und f DS-GVO sowie aus Art. 32 Abs. 1 DS-GVO verstoßen mit der Folge, dass die personenbezogenen Daten von Kunden der Bekl. einschließlich des Kl. bei dem Unternehmen O. länger gespeichert (und damit iSv Art. 4 Nr. 2 DS-GVO verarbeitet) blieben als dies datenschutzrechtlich zulässig war. Damit liegt auch bei einschränkender Auslegung des Art. 82 Abs. 1 DS-GVO ein Verstoß gegen die DS-GVO im Sinne dieser Regelung vor. Revisionsrechtlich nicht zu beanstanden ist die Beurteilung des Berufungsgerichts, dass sich die Bekl. nicht nach Art. 82 Abs. 3 DS-GVO – etwa unter Berufung auf ein weisungs- oder vertragswidriges Verhalten ihres Auftragsverarbeiters oder auf einen Hacking-Angriff durch unbefugte Dritte – entlasten kann. Eine Entlastung würde voraussetzen, dass die Bekl. nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, sie also keinerlei Verschulden trifft. Da ihr ein eigener (mindestens leicht) fahrlässiger Verstoß gegen die DS-GVO vorzuwerfen ist, müsste sie nachweisen, dass es keinerlei Kausalzusammenhang zwischen diesem Verstoß und dem Kl. entstandenen Schaden gibt. Dies ist ihr nicht gelungen. Die Beurteilung des Berufungsgerichts, es dürfe angenommen werden, dass das Unternehmen O. auf die gebotene Nachfrage der Bekl. bzgl. des Vollzugs der Löschung reagiert und die bei ihm noch vorhandenen Daten gelöscht hätte, ist revisionsrechtlich nicht zu beanstanden. Damit war die Pflichtverletzung der Bekl. mitursächlich dafür, dass personenbezogene Daten ihrer Kunden einschließlich des Kl. trotz Beendigung des Auftrags bei dem Unternehmen O. verblieben, dort von der Produktiv- in eine Testumgebung überführt wurden, entweder von Hackern erbeutet oder von Mitarbeitern des Unternehmens O. unbefugt weitergegeben und anschließend im Darknet zum Verkauf angeboten wurden. Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen ist dessen Beurteilung, dem Kl. sei kein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO entstanden, rechtsfehlerhaft. Nach den Feststellungen des Berufungsgerichts waren von dem Vorfall folgende personenbezogene Daten des Kl. betroffen: Vor- und Nachname, Geschlecht, E-Mail-Adresse, Sprache sowie sein Registrierungsdatum bei der Bekl. Der Kl. hat nicht nur die Kontrolle über diese Daten dadurch verloren, dass nach Beendigung der Auftragsverarbeitung das Unternehmen O. und Dritte (Hacker) unbefugten Zugriff auf die Daten hatten. Vielmehr ist es darüber hinaus anschließend zu einer missbräuchlichen Verwendung der Daten dadurch gekommen, dass sie im Darknet zum Verkauf angeboten wurden. Spätestens damit ist dem Kl. ein immaterieller Schaden entstanden. Ferner ist ein solcher Schaden durch die entgegen der Auffassung des Berufungsgerichts als begründet anzusehende Befürchtung des Kl. eingetreten, es könne zu einer (weiteren) missbräuchlichen Verwendung der im Darknet veröffentlichten Daten durch Versendung von Spam-Mails kommen. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat oder eine „Bagatellgrenze“ überschreitet. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS-GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Wie der Senat in seinem – der angefochtenen Entscheidung allerdings zeitlich nachfolgenden – Urt. v. 18.11.2024 – VI ZR 10/24 zu einem Scraping-Vorfall bei Facebook unter Bezugnahme auf die Rspr. des Gerichtshofs ausgeführt hat, kann ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO sein. Hat die betroffene Person den Nachweis erbracht, dass sie einen in einem bloßen Kontrollverlust als solchem bestehenden Schaden erlitten hat, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese sind lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Diese Rechtsauffassung, die der Senat in dem genannten Urteil nachfolgenden Entscheidungen wiederholt hat und die das BAG teilt, soll nach in Teilen der Lit. vertretener Meinung sowie nach Auffassung der Revisionserwiderung im Widerspruch zur Rspr. des Gerichtshofs stehen. Insb. wird vertreten, der Gerichtshof habe den Kontrollverlust als solchen nur als mögliche Ursache für einen immateriellen Schaden, nicht aber als den immateriellen Schaden selbst angesehen. Gegen diese Meinung spricht, dass, worauf der Gerichtshof zuletzt in seinem Urt. v. 4.9.2025 – C-655/23 hingewiesen hat, in den Erwägungsgründen der DS-GVO die Hinderung der betroffenen Person daran, „die sie betreffenden personenbezogenen Daten zu kontrollieren“ (Erwägungsgrund 75 DS-GVO) und der „Verlust der Kontrolle über ihre personenbezogenen Daten“ (Erwägungsgrund 85 DS-GVO) als Beispiele für einen möglichen Schaden iSv Art. 82 Abs. 1 DS-GVO aufgeführt sind. Unter Bezugnahme auf Erwägungsgrund 85 DS-GVO hat der Gerichtshof wiederholt und auch in seinen jüngsten Entscheidungen zu diesem Thema darauf hingewiesen, dass der Unionsgesetzgeber unter den Begriff des Schadens auch den „bloßen Verlust der Kontrolle“ über die eigenen personenbezogenen Daten dieser Personen infolge eines Verstoßes gegen die DS-GVO „fassen“ wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte. Ähnlich heißt es im Urteil des Gerichtshofs v. 11.4.2024 – C-741/21, dass der 85. Erwägungsgrund der DS-GVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden „zählt“, die durch eine Verletzung personenbezogener Daten verursacht werden können. In demselben Urteil sowie in seinem Urt. v. 20.6.2024 – C-590/22 ZD 2024, 519 Rn. 33 hat der Gerichtshof ausgeführt, dass der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO „darstellen“ (englische Fassung: „constitute“, französische Fassung: „constituer“) kann, der einen Schadensersatz begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich „einen solchen Schaden“ – so geringfügig er auch sein mag – erlitten hat. Dies stützt die vom Senat vertretene Auffassung, dass bereits der Kontrollverlust als solcher ein Schaden iSv Art. 82 Abs. 1 DS-GVO sein kann und dementsprechend nur dieser nachgewiesen werden muss, um einen Schadensersatzanspruch zu begründen. Allerdings ist die Wortwahl, auch im Vergleich der Sprachfassungen, nicht einheitlich. In der deutschen Fassung des Urteils des Gerichtshofs v. 25.1.2024 – C-687/21 heißt es, dass die betroffene Person durch den kurzzeitigen Verlust der Kontrolle einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO „erleiden“ kann, in den Urteilen des Gerichtshofs v. 14.12.2023 – C-456/22 und v. 4.10.2024 – C-200/23, dass der Verlust der „Hoheit“ über diese Daten einen Schaden „zufügen“ kann. In der englischen und der französischen Fassung werden insoweit aber einheitlich die Begriffe „loss of control“ bzw. „perte de contrôle“ verwendet, die Verknüpfung mit dem immateriellen Schaden wird einheitlich durch die Wörter „cause/causing“ bzw. „causer“ hergestellt. In den deutschen Sprachfassungen findet sich das Wort „verursachen“ (erst) in Rn. 156 des Urteils des Gerichtshofs v. 4.10.2024 – C-200/23 sowie im Urteil des Gerichtshofs v. 4.9.2025 – C-655/23, NJW 2025, 3137 Rn. 60, wo es heißt, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten ausreichen kann, um einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO zu „verursachen“, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des immateriellen Schadens den Nachweis „zusätzlicher spürbarer negativer Folgen“ erfordert (Hervorhebungen nur hier). Bei isolierter Betrachtung dieses Satzes könnte der bloße Kontrollverlust nur Ursache für einen davon zu trennenden immateriellen Schaden sein, den die betroffene Person nachweisen müsste, wobei der Nachweis zusätzlicher spürbarer negativer Folgen nicht erforderlich wäre. Damit würde sich allerdings die Frage stellen, worin genau der immaterielle Schaden als Zwischenstufe zwischen Kontrollverlust und zusätzlichen spürbaren negativen Folgen bestehen soll. Insb. wäre diese Interpretation mit dem (im Urt. v. 4.9.2025 – C-655/23 unmittelbar zuvor in Rn. 60 wiederholten) Hinweis des Gerichtshofs darauf, dass der Unionsgesetzgeber bei der beispielhaften Aufzählung der Schäden („types of damage“) unter diesen Begriff insb. auch den „bloßen Verlust der Kontrolle“ über die eigenen personenbezogenen Daten dieser Personen infolge eines Verstoßes gegen die DS-GVO fassen wollte („intended to include in that concept, inter alia, mere loss of control“) und der vom Gerichtshof in anderen Urteilen verwendeten Formulierung, dass der Kontrollverlust den immateriellen Schaden „darstellen“ kann, kaum in Einklang zu bringen. Der GA beim Gerichtshof (Szpunar) hat in den Schlussanträgen v. 18.9.2025 in der Rechtssache C-526/24 unter Bezugnahme u. a. auf das Urteil des Gerichtshofs v. 4.9.2025 – C-655/23 das Wort „darstellen“ („constitute“, „constituer“) und nicht „verursachen“ („cause“, „causer“) verwendet (Rn. 89). Zu berücksichtigen sind in diesem Zusammenhang ferner das mit der DS-GVO verfolgte Ziel der Gewährung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten sowie Erwägungsgrund 146 S. 3 DS-GVO, der eine weite Auslegung des Begriffs des Schadens in einer Art und Weise gebietet, die den Zielen der DS-GVO in vollem Umfang entspricht. Auf diese für den Kontrollverlust als immateriellen Schaden – auch nach der Rspr. des Gerichtshofs – sprechenden Gesichtspunkte kommt es im vorliegenden Fall allerdings letztlich nicht entscheidungserheblich an. Denn hier ist es wie auch in den Facebook-Scraping-Fällen (hierzu Senatsurteil v. 18.11.2024 – VI ZR 10/24, BGHZ 242, 180) nicht nur zu einem Kontrollverlust, sondern in dessen Folge zu einer missbräuchlichen Verwendung der personenbezogenen Daten gekommen, womit ein immaterieller Schaden vorliegt. Ohne Zweifel lässt sich der Rspr. des Gerichtshofs entnehmen, dass ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO jedenfalls dann vorliegt, wenn der Kontrollverlust nicht folgenlos geblieben, sondern es zu einer missbräuchlichen Verwendung der betreffenden Daten tatsächlich gekommen ist. Aus der vom Gerichtshof auch jüngst wiederholten Wendung, dass der Unionsgesetzgeber unter den Begriff des Schadens insb. auch den bloßen Verlust der Kontrolle über die eigenen personenbezogenen Daten fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte, lässt sich schließen, dass erst recht ein immaterieller Schaden zu bejahen ist, wenn die Daten tatsächlich missbräuchlich verwendet wurden. Dasselbe ergibt sich aus der Rspr. des Gerichtshofs, wonach auch die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen kann, sofern diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als „begründet“ angesehen werden kann, das Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten also nicht rein hypothetischer Natur ist. Wie beim Kontrollverlust ist es also für die Qualifizierung einer Befürchtung als immaterieller Schaden nicht erforderlich, dass es zu der befürchteten missbräuchlichen Verwendung der Daten kommt. Hat sich das Risiko der missbräuchlichen Verwendung aber verwirklicht, so liegt ein immaterieller Schaden erst recht vor. Insb. bedarf es hierfür nicht zusätzlich eines durch die missbräuchliche Datenverwendung hervorgerufenen „emotionalen“ Schadens. Letzteres lässt sich nicht darauf stützen, dass der Gerichtshof in Rn. 64 des Urt. v. 4.9.2025 – C-655/23 (NJW 2025, 3137) auf die dortige vierte Vorlagefrage des Senats geantwortet hat, „dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der Begriff ‚immaterieller Schaden‘ in dieser Bestimmung negative Gefühle umfasst, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie zB Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DS-GVO empfindet.“ Denn die vierte Vorlagefrage betraf nicht etwa die Frage, ob und unter welchen Voraussetzungen ein Kontrollverlust oder gar eine missbräuchliche Verwendung der Daten einen immateriellen Schaden darstellt, sondern, ob Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie zB Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen (aaO Rn. 35). Die Antwort, dass nachgewiesene negative Gefühle samt ihrer negativen Folgen, die durch einen Kontrollverlust etc. hervorgerufen werden, vom Begriff des immateriellen Schadens umfasst sind, lässt nicht den Schluss zu, dass es zur Begründung eines Schadens zwingend solcher negativer Gefühle bedarf. Nach diesen Maßstäben ist vorliegend von einem immateriellen Schaden iSv Art. 82 DS-GVO jedenfalls ab dem Zeitpunkt auszugehen, zu dem die personenbezogenen Daten des Kl. im Darknet veröffentlicht und dort zum Verkauf angeboten wurden. Zuvor hatte der Kl. die Kontrolle über diese Daten dadurch verloren, dass seine personenbezogenen Daten trotz Beendigung des Auftragsverhältnisses bei dem Unternehmen O. gespeichert blieben und damit sowohl das Unternehmen O. unbefugten Zugriff auf die Daten hatte als auch Dritte, die die Daten hackten oder von Mitarbeitern des Unternehmens O. erhielten. Mit ihrer anschließenden Veröffentlichung im Darknet wurden die Daten sodann missbräuchlich verwendet. Allein darauf, ob die hier betroffenen Daten des Kl. auch schon vor dem streitgegenständlichen Vorfall gehackt worden waren, wie den Feststellungen des Berufungsgerichts zufolge der Webseite „haveibeenpwned.com“ zu entnehmen ist, kommt es für das Vorliegen eines Schadens nicht an. Denn mit jedem rechtswidrigen Abgriff der Daten wird der Kontrollverlust intensiviert und die Gefahr eines Missbrauchs (durch denselben oder einen anderen Personenkreis) erhöht. Der Umstand, dass dieselben Daten schon einmal gehackt wurden, kann deshalb für sich genommen nur bei der Bemessung der Schadenshöhe eine Rolle spielen. Ein immaterieller Schaden wird vorliegend zudem durch die mit Bekanntwerden des Vorfalls ausgelöste Befürchtung des Kl. begründet, die im Darknet veröffentlichten Daten könnten (nun ein weiteres Mal) missbräuchlich verwendet werden. Die Beurteilung des Berufungsgerichts, diese Befürchtung sei nicht als begründet anzusehen, beruht auf Rechtsfehlern. Durch die Rspr. des Gerichtshofs ist geklärt, dass die durch einen Verstoß gegen die DS-GVO ausgelöste (empfundene) Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten infolge eines Verstoßes gegen die DS-GVO von Dritten missbräuchlich verwendet werden, „für sich genommen“ einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen kann, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Die Befürchtung muss unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als „begründet“ angesehen werden können. Ebenso wenig wie beim Kontrollverlust ist es dagegen erforderlich, dass es zu einer missbräuchlichen Verwendung der Daten tatsächlich kommt. Die mit der begründeten Befürchtung einer missbräuchlichen Datenverwendung verbundenen negativen Folgen können auch negative Gefühle wie Sorge und Ärger sein, auch wenn diese Teil des allgemeinen Lebensrisikos sein können. Die Anforderungen an die Darlegung der Befürchtung eines Datenmissbrauchs dürfen nicht überspannt werden. Allein der Umstand, dass sich in einer Vielzahl von Klageschriften nach einem Vorfall, der eine Vielzahl von Personen betroffen hat, gleichlautende Formulierungen zu Sorgen und Ängsten über einen Datenmissbrauch finden, steht der Schlüssigkeit der jeweiligen Klage noch nicht entgegen. Je plausibler die Befürchtung eines Datenmissbrauchs im konkreten Fall erscheint, desto geringere Anforderungen sind an ihre Darlegung zu stellen. Die Beurteilung des Berufungsgerichts, die vom Kl. vorgetragene Befürchtung eines Datenmissbrauchs könne nicht als begründet angesehen werden, steht nicht in Einklang mit der Rspr. des Gerichtshofs. Nach seinem vom Berufungsgericht festgestellten Vortrag befürchtet der Kl. aufgrund des streitgegenständlichen Vorfalls insb. den Erhalt von Spam-Mails mit auch betrügerischem Inhalt sowie einen Identitätsdiebstahl. Werden wie hier Name und E-Mail-Adresse einer natürlichen Person im Darknet zum Verkauf angeboten, so darf es als sehr wahrscheinlich angesehen werden, dass diese Daten dazu verwendet werden, Werbemails, aber auch Mails mit betrügerischem Inhalt an diese Person zu senden. Das stellt wohl auch das Berufungsgericht nicht in Frage. Ferner besteht die konkrete Gefahr, dass unter dem Namen der betroffenen Person und scheinbar von ihrem E-Mail-Account aus Mails mit betrügerischem Inhalt an Dritte geschickt werden. Schon mit der Versendung dieser Spam-Mails an den Kl. bzw. scheinbar von ihm als Absender an Dritte würden die Daten des Kl. (nach ihrer Veröffentlichung im Darknet ein weiteres Mal) missbräuchlich verwendet, sodass die Befürchtung eben dieser – objektiv naheliegenden – Verwendung als solche einen immateriellen Schaden darstellt, sofern diese Befürchtung samt ihrer negativen Folgen nachgewiesen ist. Darauf, welches Gefahrenpotential mit Spam-Mails verbunden ist, welche Vorsichtsmaßnahmen insoweit ergriffen werden können und wann solche Mails zu einem materiellen Schaden führen, kommt es entgegen der Auffassung des Berufungsgerichts für die Qualifizierung der Befürchtung als begründet hier nicht an. Da die missbräuchliche Datenverwendung nur befürchtet werden, aber nicht erfolgen muss, ist ferner unerheblich, ob der Kl. gerade infolge des streitgegenständlichen Vorfalls Spam-Mails erhalten hat oder erhalten wird. Mit den weiteren Erwägungen, es handle sich bei den gehackten Daten nicht um besonders sensible Daten, Spam-Mails würden auch andere Personen erhalten, deren Daten nicht gehackt worden seien, das Unwohlsein des Kl. gehe nicht über das hinaus, was alle sich im Internet bewegenden Privatpersonen beim Erhalt ungebetener Nachrichten erduldeten, zudem habe der Kl. nach Bekanntwerden des Vorfalls seine E-Mail-Adresse nicht geändert, hat das Berufungsgericht im Ergebnis eine Erheblichkeitsschwelle für die Annahme eines Schadens angenommen, die es nach der oben aufgezeigten Rspr. des Gerichtshofs nicht gibt. Diese Überlegungen können erst bei der Ermittlung der Schadenshöhe eine Rolle spielen. Dabei wird allerdings zu berücksichtigen sein, dass die Befürchtung einer missbräuchlichen Datenverwendung und die damit verbundene Sorge stärker empfunden werden kann, wenn die betroffene Person positiv weiß, dass ihre Daten im Darknet zum Verkauf angeboten wurden. Schließlich entzieht der Umstand, dass die Daten des Kl. der Webseite „haveibeenpwned.com“ zufolge schon vor dem streitgegenständlichen Vorfall gehackt worden sein sollen, der Befürchtung, dass sie infolge des streitgegenständlichen Vorfalls erneut – von denselben oder anderen Personen – missbräuchlich verwendet werden, nicht die Grundlage. Insb. fehlt es entgegen der Ansicht der Revisionserwiderung nicht an der Kausalität zwischen dem streitgegenständlichen Verstoß und der Befürchtung als immateriellem Schaden.
NEU BGH Beschl. v. 31.7.2025 – III ZB 100/24	0 EUR Fehl geht die Annahme des Berufungsgerichts, der Kl. hätte sich in der Berufungsbegründung mit der Argumentation des LG, dass es mit Blick auf einen etwaigen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO an der Kausalität des datenschutzrechtlichen Verstoßes mangele, auseinandersetzen müssen, was nicht geschehen sei. Dabei hat die Vorinstanz allein auf die unterlassene Anhörung des Kl. vor der Stellungnahme der Landesregierung gegenüber dem Bayerischen Landtag abgestellt und aus dem Blick verloren, dass der Kl. den behaupteten Datenschutzverstoß auch auf eine Reihe weiterer – vom LG ebenfalls nicht als durchgreifend erachteter – Gesichtspunkte gestützt hat, die er mit der Berufungsbegründung wieder aufgegriffen hat. Insb. ist er der Einschätzung des LG, die mit der Auskunft erfolgte Datenübermittlung sei rechtmäßig gewesen, mit der Argumentation entgegengetreten, das gegen ihn gerichtete Ermittlungsverfahren hätte erst gar nicht in die – zudem inhaltlich falsche – Antwort aufgenommen werden dürfen; zumindest hätte er nicht in einer ihn als Person unnötig identifizierbaren Weise aufgeführt werden dürfen. Mit der Frage, ob er vor der Veröffentlichung der Informationen zu dem Vorgang hätte angehört werden müssen, hat er sich mit der Berufungsbegründung zwar nicht befasst. Darauf kam es für den Fall, dass einer der übrigen geltend gemachten Verstöße durchgriff, aber auch nicht entscheidend an. Dementsprechend musste er sich für einen wirksamen Berufungsangriff nicht mit den Erwägungen des LG zur Kausalität eines in der unterbliebenen Anhörung des Kl. liegenden Pflichtverstoßes auseinandersetzen. Zutreffend weist die Rechtsbeschwerde darauf hin, dass sich das LG zu der aus seiner Sicht fehlenden Kausalität eines datenschutzrechtlichen Verstoßes nur unter dem Gesichtspunkt der fehlenden Anhörung des Kl. vor Veröffentlichung der Auskunft, nicht jedoch im Zusammenhang mit den übrigen gerügten Verstößen verhalten hat, wovon iÜ auch das Berufungsgericht ausgegangen ist. Dementsprechend hat der Kl. mit der Berufungsbegründung ausgeführt, es könne dahinstehen, ob die unterlassene Anhörung für die Antwort des Bekl. an das Plenum des Bayerischen Landtags und den eingetretenen Schaden kausal gewesen sei oder nicht. Ebenso wenig lässt sich dem Kl. vorwerfen, er habe sich nicht hinreichend mit der Argumentation des LG befasst, er habe einen auf eine Amtspflichtverletzung zurückgehenden nennenswerten (Reputations-)Schaden nicht dargelegt. Es ist bereits fraglich, ob sich das LG im Zusammenhang mit der Anspruchsgrundlage des Art. 82 Abs. 1 DS-GVO überhaupt mit der hinreichenden Darlegung eines Schadens befasst hat. Es hat den Aspekt in diesem Kontext jedenfalls nicht erörtert. Im Ergebnis kann dies jedoch dahinstehen. Selbst wenn man annehmen wollte, das LG habe im Zusammenhang mit Art. 82 Abs. 1 DS-GVO die Darlegung eines ersatzfähigen Schadens ebenso wie beim Amtshaftungsanspruch verneinen wollen, wäre ein den Anforderungen des § 520 Abs. 3 S. 2 Nr. 2 ZPO genügender Berufungsangriff zu bejahen. Entgegen der Annahme des Berufungsgerichts hat der Kl. mit seinen Ausführungen auf Seite 4 der Berufungsbegründung – die sich ausweislich der einleitenden Bemerkung auf Seite 2 der Berufungsbegründung sowohl auf einen Amtshaftungsanspruch als auch auf einen Schadensersatzanspruch aus Art. 82 DS-GVO bezogen – hinreichend zum Ausdruck gebracht, dass er die Auffassung des LG nicht teilt. Er hat geltend gemacht, ihm sei „wegen der Veröffentlichung“ ein gravierender Schaden hinsichtlich seines Rufes, seiner Reputation, seiner Belästigung durch Journalisten und seiner Bemühungen zur Rehabilitierung entstanden. Ergänzend hat er (nur) zu Art. 82 DS-GVO weiter vorgetragen, dass es sich um keinen „Bagatellschaden“ handele und auch nicht um einen bloßen Verlust der Kontrollbefugnis der eigenen personenbezogenen Daten, bedürfe keiner weiteren Erörterung. Dies genügte, um die Argumentation des LG bezogen auf den in Rede stehenden Streitgegenstand insgesamt in Frage zu stellen. Darauf, ob die knapp gefassten Ausführungen schlüssig und substantiiert waren, kam es hingegen – wie eingangs erwähnt – nicht an. Dass sich der Kl. in der Berufungsbegründung nicht mit den – nur für einen Amtshaftungsanspruch gem. § 839 Abs. 1 S. 1 BGB iVm Art. 34 GG bedeutsamen und im Zusammenhang mit ruf- und kreditschädigende Presseveröffentlichungen angestellten – Erwägungen des LG, er hätte mit Blick auf § 839 Abs. 3 BGB vortragen müssen, ob und welche Schritte er gegen die Autoren der Artikel ergriffen habe, auseinandergesetzt hat, war ungeachtet der Frage, ob dies rechtlich zutreffend und geeignet war, die erstinstanzliche Entscheidung zu tragen, bereits deswegen unschädlich, weil dies nicht zugleich einen auf Art. 82 Abs. 1 DS-GVO gestützten Anspruch ausschloss.
NEU BGH Urt. v. 29.7.2025 – VI ZR 426/24 = ZD 2026, 39	0 EUR Im Ergebnis zu Recht hat das Berufungsgericht auch angenommen, dass sich der geltend gemachte Anspruch auf Ersatz immateriellen Schadens nicht aus Art. 82 Abs. 1 DS-GVO ergibt. Ein Anspruch aus Art. 82 Abs. 1 DS-GVO kann allerdings nicht mit der Begründung verneint werden, der Anwendungsbereich dieser Norm sei nicht eröffnet, weil sich die rechtlichen Rahmenbedingungen nur dann nach der DS-GVO bestimmten, wenn die Art der Informationserlangung gerügt werde und der Vorwurf einer intransparenten Datenverarbeitung im Raum stehe; knüpfe die geltend gemachte Beeinträchtigung dagegen wie im Streitfall an das Ergebnis eines öffentlichen Kommunikationsprozesses an, sei allein der sachliche Anwendungsbereich des Äußerungsrechts eröffnet; Art. 82 DS-GVO sei im Bereich der politischen Auseinandersetzung nicht einschlägig. Zwar schließt ein sich aus der Verletzung der unionsrechtlichen Bestimmungen zum Datenschutz ergebender Anspruch aus Art. 82 Abs. 1 DS-GVO Schadensersatzforderungen wegen Verstoßes gegen nationale Vorschriften nicht aus; ein Anspruch auf Ersatz materiellen oder immateriellen Schadens kann sich danach auch im Falle der uneingeschränkten Geltung der DS-GVO unter dem Gesichtspunkt der Verletzung des allgemeinen Persönlichkeitsrechts ggf. zusätzlich aus § 823 Abs. 1 BGB iVm Art. 1 Abs. 1, 2 Abs. 1 GG ergeben (vgl. Erwägungsgrund 146 S. 4 DS-GVO). Wegen des Anwendungsvorrangs der DS-GVO kann ein Anspruch aus Art. 82 Abs. 1 DS-GVO aber nicht allein deshalb verneint werden, weil die Verarbeitung personenbezogener Daten als Ergebnis eines öffentlichen Kommunikationsprozesses in Rede steht. Denn die materiellen Anforderungen an die Datenverarbeitung nach Art. 6 und 7 DS-GVO dürfen außerhalb der von der DS-GVO selbst vorgesehenen Bereichsausnahmen und Öffnungsklauseln nicht durch nationales Recht ausgeschlossen werden bzw. unbeachtet bleiben. Entscheidend ist vielmehr, ob der in Rede stehende Datenverarbeitungsvorgang dem in Art. 85 DS-GVO geregelten Medienprivileg unterfällt. Ist dies der Fall, so muss sich der Datenverarbeitungsvorgang nicht an Art. 6 und 7 DS-GVO messen lassen mit der Folge, dass ein auf die Verletzung dieser Bestimmungen gestützter Schadensersatzanspruch aus Art. 82 DS-GVO nicht in Betracht kommt. So verhält es sich im Streitfall. Die Verbreitung des den Namen des Kl. nennenden Beitrags auf dem Telegram-Kanal der Bekl. fällt in den Geltungsbereich des Medienprivilegs (Art. 85 Abs. 2 DS-GVO iVm § 23 Abs. 1 S. 4 MStV).
NEU BGH Urt. v. 13.5.2025 – VI ZR 186/22 = ZD 2026,169	0 EUR Der Kl. hat entgegen der Auffassung des Berufungsgerichts – dem allerdings die nachfolgend genannten, zwischenzeitlich ergangenen Entscheidungen nicht bekannt sein konnten – gegen die Bekl. auch keinen Anspruch aus Art. 82 Abs. 1 DS-GVO. Es bedarf keiner Entscheidung, ob die Bekl. durch die unverschlüsselte Übersendung der gerichtlichen Empfangsbekenntnisse gegen die DS-GVO verstieß. Insb. kann offenbleiben, ob die Erwägungen, die das Oberverwaltungsgericht zur Übermittlung eines Bescheids mit den als besonders sensibel bewerteten personenbezogenen Daten des Namens und der Adresse des Kl. sowie der Fahrzeugidentifikationsnummer und des amtlichen Kennzeichens seines Fahrzeugs anstellte, auch auf die Übermittlung eines gerichtlichen Empfangsbekenntnisses zutreffen, dem nur der Nachname des Kl. sowie gerichtliche und behördliche Aktenzeichen zu entnehmen sind. Jedenfalls hat der Kl. nicht dargelegt, einen immateriellen Schaden erlitten zu haben. Der bloße Verstoß gegen die DS-GVO reicht nicht aus, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen „Schadens“ stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Insb. muss eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Aus der im ersten Satz des 85. Erwägungsgrunds DS-GVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ iSd Artikels weit zu verstehen ist, sondern auch aus dem mit der DS-GVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt sich, dass die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen kann. Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht nicht aus. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen. Davon ausgehend hat das Berufungsgericht rechtsfehlerhaft angenommen, dass die vom Kl. geltend gemachte Befürchtung, dass die in den gerichtlichen Empfangsbekenntnissen enthaltenen personenbezogenen Daten von Dritten missbräuchlich verwendet werden, einen ersatzfähigen immateriellen Schaden darstellt. Aus seinem Vorbringen ergibt sich kein Kontrollverlust, sondern ein rein hypothetisches Risiko. Der Kl. behauptet, er sei Inhaber einer Firma, die explosionsgefährliche Stoffe vertreibe, und zwar vornehmlich an nationale Sicherheitsbehörden, die diese für die Wahrnehmung hoheitlicher Aufgaben benötigten. Angesichts dessen sei er aufgrund seiner beruflichen Tätigkeit Gefahren für Leib und Leben ausgesetzt. Es bestehe die Gefahr, dass Dritte ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen könnten. Die Bekl. habe daher die Versendung der Telefaxe in unverschlüsselter Form nicht vornehmen, sondern die Empfangsbekenntnisse vielmehr ausschließlich auf dem Postweg versenden dürfen. Insofern sei zu berücksichtigen, dass beim Abfangen eines der Faxe u. a. gerichtliche Aktenzeichen bekannt würden, die es potenziellen Tätern ermöglichten, hierüber weitere Daten des Kl. auszuspähen. Zudem wohne im Zuständigkeitsbereich der Bekl. auch keine weitere Person mit dem gleichen Nachnamen. Das Berufungsgericht hat in Übereinstimmung mit der polizeilichen Gefährdungseinschätzung festgestellt, dass der Kl. aufgrund seiner beruflichen Tätigkeit lediglich einer erhöhten abstrakten Gefahr von Straftaten gegen seine Person ausgesetzt ist und dass eine konkrete Gefährdung seiner Person nicht ersichtlich ist. Die Wahrscheinlichkeit eines unbefugten Zugriffs auf die Daten des Kl., die noch dazu einen Rückschluss auf seinen Wohnsitz nicht ohne weiteres zuließen, und einer daraus erwachsenden konkreten Gefährdung, ist äußerst gering. Den Verlust der Kontrolle über die in den gerichtlichen Empfangsbekenntnissen enthaltenen Daten hat der Kl. nicht dargelegt. Entgegen seiner Auffassung liegt ein Kontrollverlust nicht bereits deshalb vor, weil wegen der unverschlüsselten Übersendung durch Telefax theoretisch die Möglichkeit bestand, diese abzufangen. Denn der Verstoß gegen eine datenschutzrechtlich gebotene Sicherungsmaßnahme führt regelmäßig dazu, dass Dritte auf die zu schützenden Daten zumindest einfacher zugreifen könnten. Würde schon allein die Möglichkeit des erleichterten Zugriffs einen Kontrollverlust und damit einen Schaden darstellen, hätte diese Voraussetzung in derartigen Fallkonstellationen praktisch keine eigenständige Bedeutung mehr. Die Befürchtung des Kl., die unverschlüsselt übersandten Telefaxe könnten abgefangen worden sein und die in den gerichtlichen Empfangsbekenntnissen enthaltenen Daten könnten von Dritten missbraucht werden, ergibt sich aus einem lediglich hypothetischen Risiko. Zwar mag es sein, dass – wie das Berufungsgericht meint – eine besondere Gefährdung des Kl. aus der Offenlegung seiner Privatanschrift resultieren könnte. Weiter mag es zutreffen, dass hinter dem deshalb bestehenden Interesse des Kl. an einem besonders sensiblen Umgang mit seinen persönlichen Daten das Interesse der Bekl., die Empfangsbekenntnisse unverschlüsselt auf elektronischem Wege zu übermitteln, zurücktreten muss, weil im Falle der Realisierung der Gefahr ein erheblicher Schaden für den Kl. wie auch für unbeteiligte Dritte droht und der Bekl. lediglich ein geringer Mehraufwand durch einen postalischen Versand der Empfangsbekenntnisse oder deren verschlüsselter Übermittlung entsteht. All dies ändert jedoch nichts daran, dass das vom Kl. nur schlagwortartig geschilderte Risiko, die von der Bekl. an das VG versandten Telefaxe könnten abgefangen worden sein und letztlich seine Privatanschrift ausgespäht werden, lediglich rein hypothetisch ist. Entgegen der Auffassung des Berufungsgerichts hat Art. 82 DS-GVO keine Straf-, sondern eine Ausgleichsfunktion, sodass mit dem Ziel des Schutzes vor zukünftigen Verstößen ein Schadensersatzanspruch nicht begründet werden kann.
NEU BGH Urt. v. 13.5.2025 – VI ZR 67/23 = ZD 2025, 697	0 EUR Mit der Begründung des Berufungsgerichts kann ein Anspruch des Kl. gegen die Bekl. auf Ersatz immateriellen Schadens gem. Art. 82 DS-GVO nicht verneint werden. Die das Berufungsurteil allein tragende Annahme, der Kl. habe den Eintritt eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO infolge des geltend gemachten Verstoßes der Bekl. gegen die Verordnung bei der Meldung der gegen den Kl. titulierten Forderung an die SCHUFA nicht hinreichend dargelegt, ist rechtsfehlerhaft. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten iSd Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS-GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Aus der im ersten Satz des 85. Erwägungsgrundes der DS-GVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Danach ist das Berufungsgericht zwar zutreffend davon ausgegangen, dass der Betroffene, der Ersatz des immateriellen Schadens verlangt, geltend machen (und ggf. nachweisen) muss, dass der Verstoß gegen die DS-GVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen. Die Revision rügt aber zu Recht, dass das Berufungsgericht insoweit an die Substantiierungspflicht des Kl. überzogene Anforderungen gestellt hat. Der Kl. hat hinsichtlich der negativen Folgen der von ihm beanstandeten SCHUFA-Meldung der Bekl. u. a. ausgeführt, für seine berufliche Tätigkeit sei er auf Kreditkarten angewiesen, ohne die er insoweit praktisch handlungsunfähig sei. Aufgrund des negativen SCHUFA-Eintrags seien ihm jedoch die Kreditkarten gesperrt worden. Die von der D. Bank ausgesprochene Kreditkartenkündigung sei trotz Löschung des Negativeintrages aufrechterhalten worden. IRe bei der D. Bank erstellten eigenen Score-Werts zur Kreditwürdigkeit werde er aufgrund des negativen SCHUFA-Eintrags weiterhin als nicht ausreichend kreditwürdig beauskunftet. Der von ihm zunächst mit einem anderen Anbieter geschlossene Vertrag über eine neue Kreditkarte sei aufgrund einer Negativauskunft der D. Bank wieder gekündigt worden. Die ihm von der D. Bank angedrohte Kündigung der gesamten Geschäftsbeziehung hätte zur Fälligstellung von Verbindlichkeiten iHv 67.000 EUR und zur Lohnpfändung geführt. Zwischen Eintragung und Löschung der Eintragung habe zudem das Scheitern einer Immobilienfinanzierung gedroht. Mit diesem – vom Berufungsgericht als zutreffend unterstellten – Vortrag hat der Kl. den Eintritt eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO in Form einer Beeinträchtigung seiner Kreditwürdigkeit und damit seines (wirtschaftlichen) guten Rufes (vgl. Erwägungsgrund 75 und 85 DS-GVO) hinreichend dargelegt. Anders als das Berufungsgericht offenbar annimmt, hat er nicht lediglich auf die abstrakte Geeignetheit der weitergegebenen Daten zur Herabsetzung seiner Kreditwürdigkeit und Erschwerung seiner Teilhabe am Wirtschaftsleben verwiesen, sondern insoweit mit dem Hinweis auf die Kündigung der Kreditkartenverträge und die Androhung der Kündigung der gesamten Geschäftsbeziehung durch die D. Bank konkrete negative Auswirkungen benannt, die seiner Behauptung nach auf die streitgegenständliche Meldung zurückzuführen sind. Soweit das Berufungsgericht die Kündigung der Kreditkartenverträge mit der Erwägung für irrelevant hält, es sei nicht ersichtlich, dass und in welcher Weise dieser Umstand den Kl. tatsächlich in seiner wirtschaftlichen Dispositionsfreiheit beeinträchtigt habe, da er möglicherweise über weitere Kreditkarten verfügt habe, die die gewohnte finanzielle Unabhängigkeit auch während der „angeschlagenen Geschäftsbeziehung“ zur D. Bank gewährleisteten, beanstandet die Revision mit Recht, dass diese Spekulation unter Verstoß gegen den Beibringungsgrundsatz keine Stütze im festgestellten Parteivortrag findet. Die vom Kl. geschilderten Bemühungen um einen Ersatz für die von der D. Bank gekündigten Kreditkartenverträge sprechen vielmehr eher gegen die Annahme, der Kl. sei zur Wahrung seiner wirtschaftlichen Dispositionsfreiheit nicht auf die Kreditkarten der D. Bank angewiesen gewesen. IÜ verkennt das Berufungsgericht bei seiner Argumentation, dass sich der Ansehensverlust des Kl. durch die Beeinträchtigung seiner Kreditwürdigkeit aufgrund der streitgegenständlichen SCHUFA-Meldung nach dem Vortrag des Kl. bereits in der Kündigung der Kreditkartenverträge und der Androhung der Kündigung der gesamten Geschäftsbeziehung durch die D. Bank manifestiert hat. Damit ist schon der Eintritt eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO dargetan. Weitere negative Folgen aufgrund der (angedrohten) Kündigungen mögen diesen Schaden noch vertiefen, waren hier aber nicht erforderlich, um die Voraussetzungen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO darzulegen. Aus demselben Grund kann entgegen der Auffassung des Berufungsgerichts der Eintritt eines immateriellen Schadens auch nicht mit der Begründung verneint werden, der Kl. habe nicht substantiiert vorgetragen, ob und in welchem Maße es – bedingt durch den „Verlust“ der Kreditkarten der D. Bank – iRd allgemeinen Lebensführung zu kompromittierenden und/oder sonstigen persönlichkeitsverletzenden Begebenheiten gekommen sei. Abgesehen davon hat der Kl., indem er vorgebracht hat, dass die Bekl. unter Verstoß gegen die DS-GVO seine persönlichen Daten unzulässig an einen Dritten (hier die SCHUFA) übermittelt habe, der Sache nach auch einen immateriellen Schaden in Form des sog. Kontrollverlustes über seine Daten geltend gemacht. Das Vorliegen eines nach Art. 82 DS-GVO ersatzfähigen immateriellen Schadens kann entgegen der Ansicht des Berufungsgerichts auch nicht mit der Begründung verneint werden, der Kl. habe die durch den Vollstreckungsbescheid titulierte Forderung erst nach dessen Ergehen beglichen, weshalb es ihm zuzuschreiben sei, dass es überhaupt zu einer „einmeldefähigen“ Sollstellung gekommen sei. Die Revision weist insoweit zu Recht darauf hin, dass für die Frage, ob dem Kl. ein immaterieller Schaden entstanden ist, eine etwaige Mitwirkung des Kl. an dessen Entstehung keine Rolle spielt.
BGH Urt. v. 11.2.2025 – VI ZR 365/22	0 EUR Der geltend gemachte Feststellunganspruch ist auch begründet, Art. 82 Abs. 1 DS-GVO. Nach der Rspr. des EuGH (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Ein Verstoß gegen die DS-GVO liegt nach den getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Bekl. bis zum Erlass der Organisationsverfügung vom 22. August 2019 geübte Praxis, die Verwaltung der Personalakten von Bundesbeamten wie der Kl. durch Bedienstete des Landes Niedersachsen vornehmen zu lassen, als von § 111a BBG aF iVm § 26 BDSG iVm Art. 88 DS-GVO nicht gedeckte Verarbeitung personenbezogener Daten durch Dritte und damit als Verstoß gegen die DS-GVO (der Sache nach: gegen Art. 5 Abs. 1 lit. a, Art. 28 DS-GVO) gewertet. Die Bekl. sei selbst von der offensichtlichen Rechtswidrigkeit dieser Praxis ausgegangen und habe weder näher zu den Einzelheiten der geübten Personalaktenverwaltung vorgetragen noch eine vorherige Zustimmung der obersten Dienstbehörde behauptet. Hiergegen wendet die Bekl. auch mit der Revisionserwiderung nichts ein; Rechtsfehler sind insoweit auf der Grundlage der vom Berufungsgericht getroffenen und nicht mit Gegenrügen angegriffenen Feststellungen iÜ nicht ersichtlich. Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die DS-GVO verursachten Schaden der Kl. verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Kl. über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten. Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der jüngeren Rspr. des Gerichtshofs entschieden hat, einen ersatzfähigen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen. Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende „benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen“; auch muss der Beeinträchtigung des Betroffenen kein besonderes „Gewicht“ zukommen, das „über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt“. Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Bekl. auch nach dem 25. Mai 2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Kl. hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein. Entgegen der Auffassung der Bekl. ist der Feststellungsanspruch der Kl. hier nicht nach dem Rechtsgedanken des § 839 Abs. 3 BGB deshalb zu verneinen, weil die Kl. es versäumt hätte, primäre Rechtsmittel gegen die von der Bekl. geübte Praxis der Personalaktenverwaltung zu ergreifen. Der Rechtsgedanke des § 839 Abs. 3 BGB lässt sich auf den unionsrechtlichen Anspruch aus Art. 82 Abs. 1 DS-GVO nicht übertragen. Anders als der beamtenrechtliche Schadensersatzanspruch, etwa wegen Verletzung der Fürsorgepflicht bei „Mobbing“, bei dem dies angenommen wird, findet der Anspruch aus Art. 82 Abs. 1 DS-GVO seinen Rechtsgrund nicht im Beamtenverhältnis. Der Anspruch aus Art. 82 Abs. 1 DS-GVO ist hiervon vielmehr unabhängig und kann in Anspruchskonkurrenz neben einen Amtshaftungsanspruch aus § 839 BGB iVm Art. 34 GG treten. Die vom Gerichtshof konturierten Voraussetzungen des unionsrechtlichen Anspruchs aus Art. 82 Abs. 1 DS-GVO dem Grunde nach sind daher grds. abschließend zu verstehen und lassen sich auch in dem hier vorliegenden Fall der Betroffenheit einer Beamtin und einem Datenschutzverstoß ihres Dienstherrn nicht um eine aus nationalem Recht abgeleitete, zusätzliche Anspruchshürde ergänzen. Abgesehen davon ist nicht ersichtlich, inwiefern die von der Kl. erfolglos unternommenen „Beanstandungen“ und die anschließende erfolgreiche Einschaltung der Datenschutzbeauftragten des Landes und des Bundes nicht ohnehin einer etwaigen Schadensabwendungsobliegenheit genügt haben.
BGH Urt. v. 28.1.2025 – VI ZR 109/23	0 EUR Das Berufungsgericht hat im Ergebnis zu Recht einen Anspruch des Kl. auf Ersatz von immateriellem Schaden nach Art. 82 Abs. 1 DS-GVO verneint. Zu Recht wendet sich die Revision allerdings gegen die Ansicht des Berufungsgerichts, dem Kl. stehe schon deshalb kein Anspruch auf immateriellen Schadensersatz zu, da eine Bagatellgrenze nicht überschritten sei. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten iSd Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Weiter hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Das Berufungsgericht hat seine Entscheidung u. a. damit begründet, dass der Kl. lediglich substanzlose und allgemeine Belästigungen dargelegt habe, die eine Bagatellgrenze nicht überschreiten würden. Nach den angeführten Grundsätzen kann ein Anspruch des Kl. auf immateriellen Schadensersatz jedoch nicht mit der Begründung verneint werden, ein Schaden überschreite einen bestimmten Grad an Schwere oder Erheblichkeit, also eine Bagatellgrenze, nicht. Das Berufungsgericht hat einen Anspruch des Kl. zu Recht aber deshalb verneint, weil der Kl. einen immateriellen Schaden bereits nicht hinreichend dargelegt hat. Die Ablehnung einer Erheblichkeitsschwelle durch den EuGH bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des EuGH nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Das Berufungsgericht hat den Vortrag des Kl. – auch den Vortrag in der Klageschrift, auf den die Revision verweist – zu Recht als nicht hinreichend zur Darlegung eines immateriellen Schadens des Kl. angesehen. Deshalb bedarf es keiner Entscheidung, ob überhaupt ein Verstoß gegen die DS-GVO vorlag. Die Revision ist der Ansicht, der Kl. habe ausreichend zu einem immateriellen Schaden vorgetragen, der ihm aus dem gerügten Verstoß gegen die DS-GVO entstanden sei. So habe er bereits in der Klageschrift darauf hingewiesen, durch Zusendungen der in Rede stehenden Art werde das ungute Gefühl erweckt, dass personenbezogene Daten Unbefugten bekannt gemacht worden seien, eben weil die Daten unbefugt verwendet worden seien. Der Kl. habe sich mit der Abwehr der von ihm unerwünschten Werbung und der Herkunft der Daten auseinandersetzen müssen, was zu einem durchaus belastenden Eindruck des Kontrollverlusts geführt habe. Außerdem habe der Bekl. nach dem Verstoß zunächst einmal nicht reagiert; darin komme eine erneute Missachtung des Kl. zum Ausdruck. Aus diesem Vortrag ergibt sich jedoch nicht, dass dem Kl. durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Kl. über seine personenbezogenen Daten vor, noch ist die vom Kl. geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt. Das Berufungsgericht hat auch keine weiteren Umstände festgestellt, aus denen sich ein immaterieller Schaden ergäbe. Die Revision zeigt insoweit keinen übergangenen Vortrag auf. Der EuGH hat in seiner jüngeren Rspr. unter Bezugnahme auf Erwägungsgrund 85 DS-GVO (vgl. ferner Erwägungsgrund 75 DS-GVO) klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Weder den Feststellungen des Berufungsgerichts noch den Angaben in der Klageschrift, auf die die Revision verweist, ist zu entnehmen, dass der Kl. aufgrund der Verwendung seiner E-Mail-Adresse zur Übersendung der Werbe-E-Mail am 20. März 2020 einen Kontrollverlust über seine personenbezogenen Daten erlitten hätte. Ein Kontrollverlust könnte allenfalls dann vorliegen, wenn der Bekl. die Daten des Kl. mit der Übersendung der Werbe-E-Mail zugleich Dritten zugänglich gemacht hätte. Das war aber nicht der Fall. Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Die Revision verweist hierzu auf Vortrag des Kl., aus dem sich die Befürchtung ergebe, der Bekl. werde die E-Mail-Adresse des Kl. auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kl.) verwendet habe. Damit legt der Kl. aber nur die – iÜ aus sich heraus nicht ohne Weiteres nachvollziehbare – Befürchtung weiterer Verstöße gegen die DS-GVO durch den Bekl. dar. Diese könnten unter Umständen zu eigenständigen Schadensersatzansprüchen führen. Ein sich daraus ggf. ergebender Kontrollverlust hätte seine Ursache aber nicht in dem streitgegenständlichen Verstoß. Auch die von der Revision angeführte Abwehr der unerwünschten Werbung rechtfertigt den behaupteten Eindruck eines Kontrollverlusts für sich genommen nicht. Das Berufungsgericht hat ausgeführt, der Kl. habe zu einer objektiv nachvollziehbaren Beeinträchtigung persönlichkeitsbezogener Belange nicht hinreichend vorgetragen. Demgegenüber macht die Revision geltend, ein immaterieller Schaden liege in der Missachtung des Kl., die sich auch in der fehlenden Reaktion des Bekl. auf die E-Mail des Kl. vom 20. März 2020 und auf ein gleichlautendes Fax vom 20. April 2020 zeige. Die Übersendung der Werbe-E-Mail begründet allenfalls den gerügten Verstoß gegen die DS-GVO. Dieser reicht allein nicht aus, um zugleich einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO zu begründen. Die – durch Übersendung der Werbe-E-Mail erfolgte – Kontaktaufnahme als solche ist nicht ehrverletzend. Die unterbliebene Reaktion des Bekl. auf die E-Mail vom 20. April 2019 und das Fax vom 6. April 2020 könnte einen immateriellen Schaden des Kl. allenfalls vertiefen, aber nicht begründen.
BGH Urt. v. 28.1.2025 – VI ZR 183/22	500 EUR Das Berufungsgericht hat zur Begründung seiner Entscheidung, soweit für das Revisionsverfahren relevant, ausgeführt: Der Bekl. stehe ein Anspruch auf Zahlung von immateriellem Schadensersatz aus Art. 82 Abs. 1 DS-GVO iHv 500 EUR zu. Die Kl. habe ihre Pflichten aus Art. 5, 6 iVm Art. 4 Nr. 2 DS-GVO verletzt, indem sie personenbezogene Daten der Bekl. an die SCHUFA gemeldet habe, obwohl die Forderungen der Kl. streitig und noch nicht tituliert gewesen seien, eine Meldung daher nicht hätte erfolgen dürfen. Die Bekl. habe einen ihr entstandenen immateriellen Schaden hinreichend dargelegt. Sie habe ausgeführt, die unberechtigt weitergegebenen Daten seien geeignet gewesen, ihre Kreditwürdigkeit erheblich herabzusetzen und ihre Teilhabe am Wirtschaftsleben zu erschweren. So sei eine Kreditvergabe bei ihrer Hausbank angehalten worden, des Weiteren sei zu befürchten, dass ihr künftig bei Geschäften im Internet ein Kauf auf Rechnung versagt werde. Die Bekl. sei durch die widerrechtliche Weitergabe ihrer Daten an die SCHUFA und deren Veröffentlichung als zahlungsunfähige oder jedenfalls zahlungsunwillige Kundin stigmatisiert worden. Diese Rufschädigung sei nach Art. 82 Abs. 1 DS-GVO auszugleichen. Ein Betrag von 500 EUR sei angemessen und ausreichend, um einerseits der Ausgleichs- und Genugtuungsfunktion des immateriellen Schadensersatzes zu genügen, und andererseits dessen generalpräventiver Funktion hinreichend Rechnung zu tragen. Zur Bestimmung der Höhe des Anspruchs auf immateriellen Schadensersatz nach Art. 82 DS-GVO seien neben der inhaltlichen Schwere des Verstoßes, seiner Dauer und dem Kontext, in dem der Verstoß erfolgt sei, auch die Ausgleichs-, Genugtuungs- und Vorbeugefunktion des Schadensersatzanspruchs sowie drohende Folgen zu berücksichtigen. Wesentlich seien am Ende allerdings die konkreten Umstände des Einzelfalls. Die zulässige Revision der Bekl. hat keinen Erfolg. Zwar sind die Erwägungen, mit denen das Berufungsgericht den immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO mit 500 EUR bemessen hat, rechtsfehlerhaft. Entgegen der Ansicht der Revision hätte das Berufungsgericht bei der Bemessung des Schadensersatzes einer abschreckenden Wirkung aber nicht noch größeres Gewicht einräumen müssen. Es hätte diese vielmehr überhaupt nicht, sondern ausschließlich eine Ausgleichsfunktion des Schadensersatzes berücksichtigen dürfen. Dass sich dieser Rechtsfehler zum Nachteil der Bekl. ausgewirkt hätte, ist aber nicht ersichtlich. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten iSd Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Nach der Rspr. des EuGH kommt dem in Art. 82 Abs. 1 DS-GVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zu. Er erfüllt – entgegen der Ansicht des Berufungsgerichts und der Revision – keine Abschreckungs- oder gar Straffunktion. In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadensersatzanspruchs, wie sie in Erwägungsgrund 146 Satz 6 DS-GVO zum Ausdruck kommt, ist eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen. Da der Anspruch aus Art. 82 Abs. 1 DS-GVO weder eine Abschreckungs- noch eine Straffunktion erfüllt, darf weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob schuldhaft gehandelt wurde. Als immateriellen Schaden hat das Berufungsgericht zum einen die Weitergabe von personenbezogenen Daten der Bekl. an die SCHUFA, die im Rahmen etwaiger SCHUFA-Abfragen zu einem für eine unbekannte Zahl von Dritten einsehbaren Eintrag bei der SCHUFA zu Lasten der Bekl. führte, berücksichtigt. Zum anderen hat es beachtet, dass der Eintrag bei der SCHUFA die Kreditwürdigkeit der Bekl. beeinträchtigte und sich dies nach den nicht angegriffenen Feststellungen des Berufungsgerichts bereits zum Nachteil der Bekl. ausgewirkt hatte, da ihre Hausbank eine Kreditvergabe zeitweilig angehalten hatte. Ein etwaiger daraus resultierender materieller Schaden ist allerdings nicht Gegenstand der Klage. Soweit das Berufungsgericht die Höhe des zuerkannten Schadensersatzes rechtsfehlerhaft auch mit einer Genugtuungs- und generalpräventiven Funktion des Schadensersatzes begründet hat, ist nicht ersichtlich, dass sich dieser Rechtsfehler zum Nachteil der Bekl. ausgewirkt hätte. Denn diese Erwägungen haben allenfalls dazu geführt, dass das Berufungsgericht der Bekl. einen höheren Schadensersatz zuerkannt hat, als es für angemessen gehalten hätte, hätte es allein die Ausgleichsfunktion des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DS-GVO berücksichtigt.
Oberlandesgerichte
NEU OLG Dresden Urt. v. 3.2.2026 – 4 U 292/25	1.500 EUR Der Klagepartei steht wegen der streitgegenständlichen Datenverarbeitung ein immaterieller Schadensersatz in aus dem Tenor ersichtlicher Höhe gem. Art. 82 Ziff. 1 DS-GVO zu. Nach stRspr des EuGH erfordert ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO einen Verstoß gegen Vorschriften der DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft grds. die Person, die auf der Grundlage von Art. 82 Ziff. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruchs nach Art. 82 Ziff. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Der EuGH stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person. Allerdings muss der Schaden tatsächlich und sicher entstanden sein. Im Anschluss an die mittlerweile gefestigte Rspr. des BGH und des EuGH kann bereits ein Kontrollverlust über personenbezogene Daten als Schaden angesehen werden, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Der BGH hat hierzu in seinem Urt. v. 18.11.2024 (VI ZR 10/24) u. a. folgendes ausgeführt: „Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.“ Die Bekl. verarbeitet die personenbezogenen Daten der Klagepartei ohne Rechtfertigungsgrund gem. Art. 6 Ziff. 1 DS-GVO. Insoweit wird auf die Ausführungen unter 2.) Bezug genommen. Es ist zudem ein Kontrollverlust eingetreten, denn die Klagepartei hat keine Kenntnis darüber, auf welchen der von ihr besuchten Webseiten die von der Bekl. entwickelten Business-Tools eingesetzt werden, welche Daten dort über sie erhoben sowie an die Bekl. weitergeleitet und in welchem Ausmaß diese Daten bei der Bekl. gespeichert, aggregiert und genutzt werden. Wie bereits ausgeführt, ist die Datenverarbeitung durch die Bekl. besonders umfassend, da sie potenziell unbegrenzte Daten über die Online-Aktivitäten der Nutzer betrifft und das Gefühl auslösen kann, dass das Privatleben der Nutzer kontinuierlich überwacht wird. Dieses Gefühl des ständigen Überwachtwerdens ist eine nachteilige Folge, die über einen „bloßen“ Kontrollverlust und die hiermit verbundenen Unannehmlichkeiten hinausgeht und daher einen immateriellen Schaden begründet. Dies gilt umso mehr, als nach dem hier zugrunde zu legenden Vorbringen anzunehmen ist, dass auch bei verweigerter Einwilligung eines Nutzers über Business-Tools erlangte Daten zu einem Profiling iSd Art. 22 DS-GVO verwendet werden. Nach der Rspr. des EuGH stellt das Erstellen detaillierter Profile der Nutzer in Verbindung mit der zeitlich unbegrenzten Weiterverarbeitung einen schweren Eingriff in die Grundrechte der betroffenen Nutzer, insb. auf Achtung ihres Privatlebens und den Schutz personenbezogener Daten dar. Dies gilt nach Auffassung des Senats auch in den Fällen – wie hier –, in denen nicht nachgewiesen ist, dass die über Business-Tools erlangten Daten für Zwecke der personalisierten Werbung verwendet werden. Dass vorliegend überdies nicht ausgeschlossen werden kann, dass durch die Business-Tools auch BKD iSv Art. 9 Abs. 1 DS-GVO von der streitgegenständlichen Datenverarbeitung betroffen sind, verstärkt diesen Eindruck und kann dazu führen, dass Nutzer davon absehen, Webseiten etwa zu Gesundheitsthemen oder zum Sexualleben zu besuchen. Anders als in den sog. Scraping-Fällen werden vorliegend zwar die über die Business-Tools erlangten Daten nicht im Internet veröffentlicht, sondern lediglich bei der Bekl. verknüpft und gespeichert. Im Unterschied zu den Scraping-Sachverhalten, bei denen es im Wesentlichen um die Verknüpfung von Telefonnummer und/oder E-Mail-Anschrift mit einem Facebook-Nutzerkonto geht, erfasst die Verarbeitung von Daten aus den Business-Tools aber eine unabsehbare Vielzahl personenbezogener Daten, darunter je nach Einzelfall auch Gesundheitsdaten oder Daten zur sexuellen Orientierung. Des Weiteren ist die nicht bestehende Möglichkeit der Klagepartei, durch eigenes Handeln die Kontrolle über diese Daten zurückzuerlangen zu berücksichtigen. Insofern kann vorliegend nicht außer Betracht bleiben, dass weder durch die Änderung der Datenschutzeinstellungen noch durch die Löschung des Kontos eine vollumfängliche Löschung der bei der Bekl. gespeicherten Daten möglich wäre. Der Senat geht nach alledem davon aus, dass bereits dieser abstrakt bestehende Kontrollverlust in Verbindung mit dem nachvollziehbar hieraus abgeleiteten Unsicherheitsgefühl für einen immateriellen Schaden ausreicht, ohne dass die Klagepartei diesen noch weiter individualisieren müsste. Die sehr umfassende Verarbeitung von personenbezogenen Daten durch die Bekl. sowie das allgemeine Gefühl der Beobachtung im privaten Umfeld sind ohne weiteres geeignet, bei jedem davon betroffenen Nutzer negative Gefühle in Form von Sorge und Ärger auszulösen, weshalb diese Empfindungen bei der Bemessung des immateriellen Schadens berücksichtigt werden können, ohne dass es auf weiteren Vortrag ankommt, welche Daten genau erhoben worden sind. Das unbestimmte Gefühl einer Überwachung ihres Verhaltens nicht nur im Internet liegt nachvollziehbar darin begründet, dass die Klägerseite nicht weiß und auch nicht wissen kann, welche und wie viele Daten die Bekl. aus ihrer Privat- und Intimsphäre über sie gesammelt hat und auch nicht weiß und wissen kann, was die Bekl. mit diesen Daten macht. Der Senat hält für diesen sich bereits aus abstrakten Überlegungen ergebenden und jeden einzelnen Nutzer betreffenden Schaden einen immateriellen Schadensersatz iHv 1.500 EUR für ausreichend und angemessen. Bei dieser Bemessung geht der Senat davon aus, dass die Klagepartei einen einheitlichen Anspruch auf immateriellen Schadensersatz aus Art. 82 Ziff. 1 DS-GVO geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Bekl. stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der Business-Tools) wurzelt. Auf den von der Bekl. erhobenen Verjährungseinwand kam es hierfür nicht an, weil sie eine Kenntnis der Klagepartei vor Klageerhebung weder behauptet noch unter Beweis gestellt hat. Eine höhere immaterielle Entschädigung hätte die auf den Einzelfall bezogene Darlegung der Klagepartei erfordert, infolge der streitgegenständlichen Datenverarbeitung eine psychische Beeinträchtigung erlitten zu haben. Unabhängig vom Nachweis eines Kontrollverlusts reicht für einen Anspruch auf einen immateriellen Schadensersatz nämlich auch die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihren negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Sind derartige psychische Beeinträchtigungen infolge einer Anhörung des Betroffenen nachgewiesen, ist der Entschädigungsbetrag in einer Höhe festzusetzen, die über dem im Falle eines bloßen Kontrollverlusts zuzusprechenden Betrag liegt. Zu einer solchen emotionalen Betroffenheit hat die Klagepartei jedoch keinerlei individualisierbare Anhaltspunkte vorgetragen; der Vortrag ihrer Prozessbevollmächtigten ist vielmehr identisch mit demjenigen in zahlreichen Parallelverfahren. Ihre Anhörung nach § 141 ZPO hält der Senat bei dieser Sachlage nicht für geboten. Der Klagepartei steht kein Anspruch auf Erstattung von außergerichtlichen Anwaltskosten zu, §§ 280, 286 BGB, denn es ist nicht ersichtlich, dass diese Kosten erforderlich waren.
NEU OLG Hamm Beschl. v. 22.1.2026 – I-10 U 10/25	0 EUR Dem Kl. steht auch kein Anspruch auf immateriellen Schadensersatz gemäß Art. 82 Abs. 1 DS-GVO zu. Nach der Rspr. des EuGH erfordert ein Schadensersatzanspruch nach Art. 82 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen Schaden und dem Verstoß, wobei diese Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für das Vorliegen dieser Voraussetzungen trifft die Person, die auf Grundlage des Art. 82 DS-GVO einen Schadensersatzanspruch geltend macht. Das ist im vorliegenden Fall der Kl. Wie dargelegt, hat der Kl. indessen einen Verstoß gegen Art. 22 Abs. 1 DS-GVO nicht substantiiert vorgetragen. Wie sich aus dem landgerichtlichen Urteil ergibt, hat er weder ausreichend dargelegt noch unter Beweis gestellt, dass Verträge mit Dritten nicht zustande gekommen sind, weil dies maßgeblich auf einem von der Bekl. übermittelten Score-Wert beruhte. Insoweit wird wegen der näheren Einzelheiten auf die angefochtene Entscheidung Bezug genommen.
NEU OLG München Entscheidung v. 21.1.2026 – 20 U 2852/25e	0 EUR Dem Kl. steht gegen die Bekl. nicht der in der Berufungsinstanz geltend gemachte Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO zu, da keine rechtswidrige Datenverarbeitung vorliegt. Nach den überzeugenden Ausführungen des BGH (Urt. v. 18.12.2025 – I ZR 97/25) sind die gesetzlichen Speicherfristen für Einträge in öffentlichen Verzeichnissen (insb. § 882e Abs. 3, Nr. 1 ZPO) nicht auf die Speicherung von Informationen über erledigte Zahlungsstörungen bei einer Wirtschaftsauskunftei übertragbar.
NEU OLG München Urt. v. 18.12.2025 – 14 U 2300/25e	750 EUR (+ 280,60 EUR vorgerichtliche Rechtsanwaltskosten) Wie OLG München Urt. v. 18.12.2025 – 14 U 881/25e.
NEU OLG München Urt. v. 18.12.2025 – 14 U 1314/25e	500 EUR Wie OLG München Urt. v. 18.12.2025 – 14 U 881/25e.
NEU OLG München Urt. v. 18.12.2025 – 14 U 1068/25e	750 EUR Wie OLG München Urt. v. 18.12.2025 – 14 U 881/25e.
NEU OLG München Urt. v. 18.12.2025 – 14 U 881/25e	250 EUR (+627,13 EUR vorgerichtliche Rechtsanwaltskosten) Der Senat geht davon aus, dass die Kl. einen einheitlichen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO geltend macht, der sich auf eine Vielzahl einzelner, nicht konkretisierter Datenschutzverstöße der Bekl stützt, aber in einem einheitlichen Geschehen (dem fortlaufenden Einsatz der sog. … … Tools) wurzelt. Mit den Worten des BGH erfordert ein derartiger Anspruch nach der Rspr. des EuGH „einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind […] Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 I DS-GVO den Ersatz eines (immateriellen) Schadens verlangt […]. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 III DS-GVO dem Verantwortlichen […].“ Nachdem der Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO keine Abschreckungs- oder Straffunktion erfüllt, kann dahinstehen, ob weitere Verstöße gegen die DS-GVO vorliegen. Art. 82 DS-GVO sieht eine Haftung für vermutetes Verschulden vor. Der Senat vermag dem Vortrag der Bekl. keine Anhaltspunkte für eine Exkulpation nach Art. 82 Abs. 3 DS-GVO zu entnehmen. Die Bekl. macht geltend, dass sie rechtmäßig gehandelt habe, nicht, dass sie für die – aus Sicht der Klagepartei anspruchsbegründenden – Umstände nicht verantwortlich sei. Durch den Verstoß gegen den Grundsatz der Datenminimierung ist der Kl. ein immaterieller Schaden im weiten, autonom unionsrechtlichen Sinne des Art. 82 Abs. 1 DS-GVO entstanden. Nach aktueller Rspr. des EuGH kann „der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten […] einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat“. Zusätzliche spürbare negative Folgen müssen nicht hinzutreten.
NEU OLG Frankfurt Urt. v. 11.12.2025 – 6 U 81/23	100 EUR Der Kl. hat Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO iHv 100 EUR. Nach Erwägungsgrund 146 S. 5 DS-GVO soll – entgegen dem Wortlaut „gegen die Verordnung“ – auch ein Verstoß gegen die erlassenen delegierten Rechtsakte und Durchführungsrechtsakte sowie präzisierenden Rechtsvorschriften der Mitgliedstaaten ausreichen. Zahlreiche nationale Vorschriften, die über die DS-GVO hinausgehen, sind als Präzisierung der Grundsätze des Art. 5 anzusehen sein, die dann die Haftung „nach der Verordnung“ auslösen. Jedenfalls aber besteht eine Haftung nach § 823 Abs. 2 BGB iVm § 25 TDDDG. Ein Verschulden liegt jedenfalls in Form der Fahrlässigkeit vor. Die Bekl. hat dritten die Möglichkeit überlassen, bei ihr ohne näher Prüfung der Einwilligung die Setzung von Cookies auf den Endgeräten Dritter auszulösen. Die rein vertragliche Zusicherung der Partner der Bekl. sind insoweit nicht ausreichend, um eine Fahrlässigkeit auszuschließen. Der Senat bemisst den Schaden in Ausübung des ihm nach § 287 ZPO zustehenden Ermessens auf 100 EUR. Nach der Rspr. des BGH zum Schadensersatz bei DS-GVO-Verstößen kann ein allgemein eingetretener „Kontrollverlust“ in der Regel einen Betrag von 100 EUR rechtfertigen, soweit nicht Anhaltspunkte für einen höheren Schaden vorliegen. Das „Gefühl des Kontrollverlusts“ greift im vorliegenden Fall allerdings nicht, da nicht erkennbar ist, inwieweit der Kl. nachhaltig die Kontrolle über personenbezogene Daten verloren haben soll. Es handelt sich auch nicht um Daten wie Mailadresse oder Telefonnummern, sondern „nur“ um anonymisierte (IP-Adresse) bzw. pseudonymisierte (so die Cookie-ID) Daten. Gleichwohl rechtfertigt das mit der Speicherung der Daten verbundene Gefühl des Überwachtwerdens einen Betrag iHv 100 EUR. Ob eine Auswertung zu Werbezwecken stattgefunden hat, wie der Kl. behauptet, kann dahinstehen. Jedenfalls unter den besonderen Bedingungen des vorliegenden Falles kann dies keinen höheren Schadensersatzbetrag begründen. Der Kl. hat in einer einem Testkauf vergleichbaren Konstellation bewusst eine Situation herbeigeführt, in der er eine Setzung von Cookies veranlasst hat. Dies geht mit einer besonderen Aufmerksamkeit einher, die ein gewöhnlicher Nutzer nicht aufbringt. In dieser Situation war dem Kl. bewusst, dass er mit einfacher Löschung der Cookies jegliche weitere Nachverfolgbarkeit für die Bekl. verhindern konnte. Zwar wären in diesem Fall die – aggregierten – Daten auch weiterhin bei der Bekl. gespeichert geblieben. Ohne den bei dem Kl. gespeicherten Cookie waren diese Daten dem Kl. jedoch nicht mehr zuzuordnen. Aufgrund dieser Gesamtumstände sieht der Senat die Beeinträchtigung des Kl. als sehr gering an und schätzt den Schadensbetrag auf 100 EUR. Generalpräventive Aspekte haben nach der Rspr. des EuGH (Urt. v. 4.5.2023 – C-300/21) bei der Schadensbemessung außer Betracht zu bleiben. Soweit der Kl. den Schadensersatzanspruch auch darauf stützt, dass sein Auskunftsanspruch nicht erfüllt worden sei, ist umstritten, ob eine Verletzung von Art. 15 DS-GVO einen Schadensersatzanspruch nach Art. 82 DS-GVO begründen kann. Dies kann ebenso dahinstehen wie die Frage, ob ein Schadensersatzanspruch insoweit auf § 823 Abs. 2 BGB gestützt werden könnte, da insoweit von einem Gesamtschaden auszugehen ist, der mit 100 EUR hinreichend abgegolten ist.
NEU OLG Karlsruhe Beschl. v. 5.12.2025 – 13 U 180/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung von immateriellem Schadensersatz gem. Art. 82 DS-GVO. Die Bekl. hat nicht gegen die DS-GVO verstoßen, indem sie die Vertragsdaten des Kl. an die S. übermittelte. Zudem hat der Kl. auch nicht nachgewiesen, dass ein Verstoß gegen die DS-GVO – unterstellt – ursächlich für einen Schaden geworden ist. Zwar kann der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Die insoweit betroffene Person muss aber den Nachweis erbringen, dass sie einen solchen Kontrollverlust erlitten hat. Steht der Kontrollverlust fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatz zu begründen. Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein. Eine unmittelbar negative Auswirkung der Meldung der Positivdaten oder einen konkret eingetretenen Schaden hat der Kl. nicht dargetan. Er behauptet nicht einmal, dass sich der S.-Score-Wert negativ verändert hätte. Die durch die Vorlage der S.-Auskunft und in der mündlichen Verhandlung mitgeteilten Basis-Score-Werte, die sich beide klar in der besten Bonitäts-Kategorie befinden, lassen den positiven Schluss zu, dass durch deren Mitteilung eine Beeinträchtigung des Kl. bei Vertragsabschlüssen ausgeschlossen ist. Hinsichtlich des Vortrags zur Verweigerung eines Kredits, den der Kl. wechselnd als Baufinanzierung, Privatkredit oder Kredit über V. Portal bezeichnet, hat der Kl. einen Bezug zum S.-Score-Wert bereits nicht dargelegt, sondern mitgeteilt, nicht zu wissen, weshalb der Kredit nicht gewährt worden sei. Keinesfalls ist daher ein Zusammenhang mit der Veränderung des Score-Werts durch die Einmeldung der Positivdaten belegt. Der Senat hält es – wie das LG – für nahezu ausgeschlossen, dass der Kredit wegen des Score-Werts nicht gewährt worden ist. Da der Kl. mehrere laufende Kredite unterhält und ihm ausweislich der S.-Auskunft auch im Oktober 2023 noch ein Rahmenkredit in beträchtlicher Höhe eingeräumt wurde, erscheint dies gänzlich fernliegend.
NEU OLG München Entscheidung v. 23.10.2025 – 19 U 1468/25e	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf (immateriellen) Schadensersatz gem. Art. 82 Abs. 1 DS-GVO. Nach der Rspr. des EuGH erfordert ein Anspruch nach der genannten Vorschrift einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen Schaden und Verstoß, wobei die Voraussetzungen kumulativ vorliegen müssen. Die Darlegungs- und Beweislast für das Vorliegen dieser Voraussetzungen trifft die Person, die auf Grundlage des Art. 82 DS-GVO einen Schadensersatzanspruch geltend macht. Ein Verstoß gegen Art. 22 Abs. 1 DS-GVO in Bezug auf den Kl. durch die Bekl. ist, wie oben ausgeführt, nicht festzustellen. Der Kl. nennt weder erstinstanzlich noch in der Berufungsbegründung konkrete, ablehnende Entscheidungen von potenziellen Vertragspartnern, in deren Rahmen der von der Bekl. jeweils ermittelte Score-Wert maßgeblich berücksichtigt wurde. Ohne nähere Bezeichnung von Zeit, Ort, konkretem Vertragspartner und Inhalt des abzuschließenden Vertrags kann nicht beurteilt werden, ob allein durch das Scoring eine „Entscheidung“ nach Art. 22 Abs. 1 DS-GVO vorliegt. Es fehlt, wie auch iÜ, jeglicher Vortrag und Beweisantritt zu einem konkreten klägerseits angestrebten Vertragsschluss, der abgelehnt wurde und dessen Ablehnung maßgeblich auf einem von der Bekl. übermittelten Score-Wert beruht bzw. Vortrag zu einer anderen Entscheidung, durch die der Kl. maßgeblich beeinträchtigt wurde und die auf einem ermittelten Score-Wert beruht.
NEU OLG Düsseldorf Urt. v. 23.10.2025 – I-16 U 47/25	0 EUR Der auf Ersatz eines immateriellen Schadens gerichtete Antrag zu 1. ist zulässig, aber unbegründet. Dem Kl. steht gegen die Bekl. aufgrund der Übermittlung seiner personenbezogenen Daten an die S. kein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO zu. Ein Schadensersatzanspruch nach dieser Vorschrift setzt einen Verstoß des Verantwortlichen gegen die DS-GVO, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus. Hier fehlt es bereits an einem Verstoß gegen die DS-GVO. Die Bekl. hat keine personenbezogenen Daten des Kl. ohne eine hierfür nach Art. 6 Abs. 1 UAbs. 1 DS-GVO erforderliche Rechtsgrundlage gem. Art. 4 Nr. 2 DS-GVO verarbeitet, indem sie die folgenden anlässlich des Vertragsschlusses erhobenen und erfassten personenbezogenen Daten an die S. übermittelt hat: „Name, Anschrift, Geburtsdatum, Information über den Abschluss des Telekommunikationsvertrags, Referenz zum Vertrag“. Die Mitteilung des Abschlusses des Telekommunikationsvertrages mit dem Servicekonto unter der Nummer … war rechtmäßig, da sich die Bekl. hierfür unter dem Aspekt der Betrugsprävention auf den Rechtfertigungsgrund des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO berufen kann. Der Senat schließt sich insoweit nach eigener Prüfung der – soweit ersichtlich – herrschenden Auffassung der OLG an.
NEU OLG Jena Urt. v. 13.10.2025 – 3 U 885/24	200 EUR Der Kl. steht gem. Art. 82 Abs. 1 DS-GVO ein Anspruch auf Ersatz des ihr entstandenen immateriellen Schadens aufgrund der rechtswidrigen Verarbeitung biometrischer Daten der Kl. durch die Bekl. zu. Bei der Nutzung der Gesichtserkennungssoftware des Anbieters Uniwise sind biometrische Daten der Kl. iSv Art. 4 Nr. 14 DS-GVO verarbeitet worden. Diese Verarbeitung der biometrischen Daten der Kl. war unter den hier vorliegenden Umständen auch rechtswidrig. Gem. Art. 9 Abs. 1 DS-GVO ist die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person grds. untersagt, es sei denn es liegt ein in Art. 9 Abs. 2 DS-GVO geregelter Ausnahmefall vor. Ein solcher Ausnahmefall kann hier jedoch nicht angenommen werden. Durch die unzulässige Verarbeitung der biometrischen Daten der Kl. bei der Durchführung der Online-Prüfungen ist dieser auch ein wenn auch eher als nicht allzu intensiv einzuschätzender Schaden in Form einer psychischen Beeinträchtigung entstanden, für den die Bekl. gem. Art. 82 Abs. 1 DS-GVO Ersatz zu leisten hat. Die Kl. hat bei ihrer Anhörung durch das LG erklärt, dass sie während der Fernprüfungen aufgrund der Nutzung der Gesichtserkennungssoftware dauerhaft befürchtet habe, durch bestimmte Bewegungen ihres Kopfes den Übereinstimmungsreferenzwert zwischen aktuellem Bild und dem Referenzbild zu unterschreiten und hierdurch infolge der Softwarefunktion dem Prüfer automatisch Veranlassung zur Überprüfung eines Täuschungsversuches ihrerseits bieten könnte. Der Senat hält diese Bekundungen auch für plausibel. Insb, der Umstand, dass eine automatisierte Erkennungssoftware zum Einsatz gekommen ist, lässt das wenn auch vielleicht diffuse Gefühl, dass ohne eigene Einflussmöglichkeit ständig die Möglichkeit besteht, dem Vorwurf eines Täuschungsversuches ausgesetzt zu sein, durchaus nachvollziehbar erscheinen. Entgegen dem Vorbringen der Bekl. ist die Behauptung auch nicht deshalb unglaubhaft, weil sie erst im späteren Verlauf des Verfahrens aufgestellt wurde. Vielmehr hat die Kl. bereits in der Klageschrift vorgetragen, dass die automatische Überwachung sie während der Prüfungssituation unter erheblichen Stress gesetzt habe und in ihr die Angst ausgelöst habe, dem unbegründeten Verdacht eines Täuschungsversuchs ausgesetzt zu sein. Dass das LG diese Bekundung der Kl. für unglaubhaft gehalten hat, ergibt sich aus den Ausführungen im Urteil nicht. Vielmehr meinte das LG, hieraus nicht den Schluss ziehen zu können, dass der Kl. ein immaterieller Schaden entstanden ist. Soweit das LG damit argumentiert hat, dass der Umstand, dass sich die Kl. vor den Prüfungen nicht bei Auskunftsstellen der Bekl. über den genauen Ablauf der Fernprüfungen informiert habe, gegen die Annahme eines immateriellen Schadens spreche, handelt es sich nach Auffassung des Senats letztlich um die unbewusste Anwendung des Erfordernisses einer Erheblichkeitsschwelle für die Annahme eines immateriellen Schadens durch das LG, da dieses Argument nicht geeignet ist, die Befürchtungen der Kl. als solche zu widerlegen, sondern die Annahme begründet, dass die Befürchtungen nicht allzu intensiv gewesen sein können. Die weitere Schlussfolgerung des LG, dass die psychische Beeinträchtigung nicht spezifisch auf die Verarbeitung biometrischer Daten zurückzuführen ist, da anzunehmen sei, dass diese auch bei der Durchführung herkömmlicher videoüberwachter Prüfungen aufgetreten sei, vermag der Senat nicht zu teilen. Zwischen diesen Prüfungssituationen besteht ein erheblicher Unterschied. Während bei einer bloß videoüberwachten Prüfung für den Prüfer nur dann Anlass besteht, Ermittlungen wegen eines möglichen Täuschungsversuchs aufzunehmen, wenn er durch eigene Anschauung entsprechende Anhaltspunkte hierfür gewonnen hat, wird die entsprechende Verdachtsprüfung durch den automatisierten Einsatz der Gesichtserkennungssoftware ausgelöst. Für den Prüfling besteht hierdurch ein Gefühl, „der Technik ausgeliefert zu sein“ und das Auslösen eines Verdachts der Täuschung letztlich nicht beeinflussen zu können. Die von der Kl. geschilderten Befürchtungen sind also gerade auf die Verwendung der Gesichtserkennungssoftware und die hierdurch erfolgte Verarbeitung biometrischer Daten zurückzuführen. Eine nochmalige Anhörung der Kl. war entgegen der Auffassung der Bekl. nicht erforderlich, um bzgl. der Beweiswürdigung in Bezug auf den Eintritt einer psychischen Beeinträchtigung zu einem anderen Ergebnis zu kommen als das LG. Die von derjenigen des LG abweichende Beweiswürdigung des Senats beruht nicht auf einer unterschiedlichen Einschätzung der Glaubhaftigkeit der Aussage der Kl., sondern auf divergierenden Schlussfolgerungen, die aus den Bekundungen der Kl. im Hinblick auf den Eintritt eines ersatzfähigen Schadens gezogen wurden. Der Senat bewertet den der Kl. durch die erlittene psychische Beeinträchtigung entstandenen immateriellen Schaden mit einem Betrag von 200 EUR. Dabei war zu beachten, dass es sich nach Einschätzung durch den Senat vorliegend um eine eher geringfügige Beeinträchtigung von nicht sehr hoher Intensität handelt. Die Befürchtungen bestanden vorliegend nicht dauerhaft, wie das etwa bei der Veröffentlichung personenbezogener Daten im Internet der Fall ist, sondern nur punktuell während der Zeit der Fernprüfungen. Darüber hinaus drohten der Kl. bei einem Auslösen des „Alarms“ durch die Software bei Unterschreitung des Referenzwertes noch keine unmittelbar nachteiligen Konsequenzen, sondern lediglich Maßnahmen zur Überprüfung des Grundes für das Auslösen der Software. Ein solche Überprüfung ist zwar für den Prüfling nachvollziehbarerweise mit unangenehmen Gefühlen verbunden, stellt aber noch kein so gravierendes Übel dar, dass von einer hohen psychischen Beeinträchtigung ausgegangen werden kann. Hinzu kommt, dass mit der Absolvierung mehrerer Fernprüfungen, bei denen der „Alarm“ durch die Software gerade nicht ausgelöst worden war, bei der Kl. ein Gewöhnungseffekt eingetreten sein dürfte, der bei den später absolvierten Klausuren die Intensität der Befürchtungen, wenn sie überhaupt noch vorhanden waren, deutlich verringert haben dürfte. Der Senat hält daher die Bewertung des Schmerzensgeldbetrages mit einem im unteren Bereich der Bemessungsskala angesiedelten Betrag für gerechtfertigt. Ein weitergehender Schaden in Form eines Kontrollverlusts über ihren biometrischen Schaden ist der Kl. nicht entstanden. Allerdings hat der BGH in seiner nach Erlass des Urteils des LG ergangenen Leitentscheidung v. 18.11.2024 – VI ZR 10/24 entschieden, dass der bloße Kontrollverlust über personenbezogene Daten bei dem von einem Datenschutzverstoß Betroffenen bereits einen ersatzfähigen Schaden darstellt. Jedoch muss der Betroffene den Eintritt eines solchen Kontrollverlusts darlegen und ggf. beweisen. Der Datenschutzverstoß als solcher stellt noch keinen Nachweis eines Kontrollverlusts dar. Vorliegend hat die Kl. durch die Verarbeitung ihrer biometrischen Daten schon deshalb keinen Kontrollverlust erlitten, weil sie zum Zeitpunkt der Datenverarbeitung bereits keine Kontrolle mehr über ihre ihr Gesicht betreffenden biometrischen Daten gehabt hat. Die Kl. hat unstreitig Fotos von ihrem Gesicht seit 2015 auf stark besuchten Internetplattformen, insb. Instagram, veröffentlicht und erst 2022 die Sichtbarkeit dieser Bilder zumindest auf einen beschränkten Personenkreis reduziert. Damit bestand für eine unbegrenzte Vielzahl von Nutzern der Plattform Instagram über eine lange Zeitdauer die potenzielle Möglichkeit, aus den Gesichtsfotos der Kl. biometrische Daten zu gewinnen. Dieses Vorbringen der Bekl. hat die Kl. nicht bestritten. Die Generierung und Nutzung der biometrischen Daten der Kl. war somit für eine unbegrenzte Vielzahl von Internetnutzern auf aller Welt gegeben, sodass die Kl. nicht mehr die Kontrolle über ihre biometrischen Daten, soweit sie ihr Gesicht betreffen, besaß. Der Umstand, dass die Generierung und Nutzung von biometrischen Daten aus den von ihr veröffentlichten Bildern regelmäßig rechtswidrig sein dürfte, ändert am Eintritt des Kontrollverlusts nichts. Einem Kontrollverlust über personenbezogene Daten ist es gerade immanent, dass deren – insb. missbräuchliche – Verwendung durch Dritte durch den Betroffenen nicht mehr verhindert werden kann. Die Annahme der Kl., dass der von einem vor dem Datenschutzverstoß bereits eingetretenen Kontrollverlust Betroffene der Verwendung seiner Daten schutzlos ausgeliefert sei, ist unzutreffend. Selbstverständlich kann der Betroffene bei einer rechtswidrigen Generierung oder Verwendung seiner biometrischen (oder sonstigen personenbezogenen) Daten Schadensersatz geltend machen, wenn ihm hierdurch ein materieller oder immaterieller Schaden entstanden ist. Er kann lediglich keinen Schadensersatz wegen des (bloßen) Kontrollverlusts über seine personenbezogenen Daten mehr verlangen. Schadensersatz wegen eines etwaigen Kontrollverlusts über ihre biometrischen Daten, der sich angesichts der Rspr. des BGH im Urt. v. 18.11.2024 – VI 10/24, wonach selbst der Kontrollverlust über dauerhaft im Darknet veröffentlichte personenbezogene Daten mit einem Schadensbetrag von etwa 100 EUR zu bewerten ist, ohnehin in einem eher symbolischen Bereich bewegen dürfte, kann die Kl. somit nicht geltend machen. Ein Verstoß gegen Art. 22 DS-GVO liegt nicht vor. Ein Verstoß gegen Art. 44 DS-GVO (Übermittlung von Daten in Staaten außerhalb der EU) begründet ebenfalls keinen Schadensersatzanspruch, da eine entsprechende Datenschutzverletzung schon nicht feststeht. Ein Verstoß gegen die Verpflichtung der Bekl., gem. Art. 28 Abs. 3 und 4 DS-GVO Verträge mit dem dort geregelten Inhalt mit den Auftrags- bzw. Unterauftragsverarbeitern zu schließen, dürfte zwar vorliegen, da die Bekl. solche Verträge trotz ausdrücklichen Bestreitens der Behauptung durch die Kl., dass solche existieren, nicht vorgelegt hat. Auch diesbezüglich hat die Kl. jedoch keinen weitergehenden Schaden erlitten. Die Kl. kann ebenfalls keinen Schadensersatz wegen der Verwendung des Lock-Down-Browsers der Firma Respondus verlangen. Hierbei handelt es sich nicht um einen Datenschutzverstoß durch die Bekl. Dass durch den Zugriff auf das seitens der Kl. auf ihrem Laptop installierte Programm auf auf dem Endgerät gespeicherte Daten zugegriffen wurde, die über die Programmbibliotheken des Lock-Down-Programms selbst hinausgehen, hat die Kl. weder substantiiert vorgetragen noch hierzu Beweis angetreten. Der Zugriff auf die Daten des Programms, welches die Kl. selbst auf Veranlassung der Bekl. zur Verhinderung der Inanspruchnahme unerlaubter Hilfsmittel bei den Fernprüfungen installiert hat, ist nicht rechtswidrig. Die Kl. hat sich durch die Installation des Programms zwecks Teilnahme an der Fernprüfung mit dem Zugriff auf die Programmdaten während der Prüfung zumindest konkludent einverstanden erklärt. Zudem ist nicht ersichtlich, dass die Kl. durch den Zugriff auf die Programmbibliotheken des Lock-Down-Programms einen Schaden erlitten hat.
NEU OLG Köln Urt. v. 10.10.2025 – 6 U 62/25	0 EUR Dem Kl. steht gegen die Bekl. unter keinem rechtlichen Gesichtspunkt ein Anspruch auf Schadensersatz und Feststellung der künftigen Ersatzpflicht zu, insb. nicht auf Grundlage von Art. 82 Abs. 1 DS-GVO. Es fehlt, anders als das LG angenommen hat, bereits an einem Verstoß gegen Vorschriften der DS-GVO, wie ihn Art. 82 Abs. 1 DS-GVO voraussetzt. Als Rechtfertigungsgrund für die Datenübermittlung kommt mangels Einwilligung im Streitfall allein ein berechtigtes Interesse der Bekl. iSv Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO in Betracht. Die Voraussetzungen dieser Vorschrift sind erfüllt.
NEU OLG Dresden Beschl. v. 7.10.2025 – 4 W 569/25	0 EUR Für die Wertbemessung des vorliegenden Unterlassungsanspruchs kann zugrunde gelegt werden, dass zur Kompensation eines immateriellen Schadens iSd Art. 82 Abs. 1 DS-GVO bei festgestelltem Verstoß gegen Art. 6 DS-GVO ein immaterieller Schadensersatz iHv allenfalls 50 EUR bis 500 EUR angemessen wäre. Der BGH hat für die unberechtigte Einmeldung von Negativdaten einen immateriellen Schadensersatzanspruch von 500 EUR für ausreichend gehalten. Die Einmeldung von Positivdaten vermag keinen höheren – sondern einen geringeren – Ansatz zu rechtfertigen. Des Weiteren ist zu berücksichtigen, dass der Unterlassungsanspruch auch der Verhinderung von materiellen Schäden dient, die durch eine negative Beeinflussung des Bonitätsscores durch die Einmeldung von Positivdaten eintreten kann. Negative wirtschaftliche Folgen der Einmeldung sind in der Vergangenheit nicht ersichtlich. Dies rechtfertigt den Schluss, dass das Risiko von schwerwiegenden wirtschaftlichen Folgen bei zukünftigen Verstößen gering ist. Zukünftige negative wirtschaftliche Folgen sind zwar möglich, aber das Risiko des Eintritts eines wirtschaftlichen Schadens ist als gering zu bewerten. Zudem handelt es sich nicht um sensible persönliche Daten wie zB Gesundheitsdaten und die an Auskunfteien übermittelten Daten sind auch grds. nicht öffentlich einsehbar. Eine höhere Bewertung ist auch nicht deshalb gerechtfertigt, weil der Kl. Angststörungen, Existenzängste und Ohnmacht bei der Lebensführung behauptet. Der Kl. wurde vor dem LG angehört und hat davon nichts berichtet. Er hat vielmehr angegeben, dass sein Score bislang gut gewesen und ihm bislang kein Schaden entstanden sei. Er sei aber der Meinung, dass die Bekl. nicht ungefragt seine Daten weiterleiten dürfe. Ebenso wenig ist ein höherer Ansatz erforderlich, weil von der Unterlassung jede denkbare Einmeldung an jede denkbare Wirtschaftsauskunftei umfasst ist. Es ist nur die Einmeldung von Positivdaten an Wirtschaftsauskunfteien vom Antrag erfasst. Dass die dauerhafte Abwehr von einer unbestimmten Zahl von möglichen künftigen Wiederholungen der beanstandeten Handlung für die Zukunft begehrt wird, ist einem – und zwar jedem – Unterlassungsantrag immanent.
NEU OLG Hamm Beschl. v. 30.9.2025 – I-17 U 50/25	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz bzw. Schmerzensgeld gem. Art. 82 Abs. 1 DS-GVO. Nach der Rspr. des EuGH erfordert ein Schadensersatzanspruch nach Art. 82 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen Schaden und dem Verstoß, wobei diese Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für das Vorliegen dieser Voraussetzungen trifft die Person, die auf Grundlage des Art. 82 DS-GVO einen Schadensersatzanspruch geltend macht, hier also den Kl. Ein Verstoß gegen die DS-GVO ist nicht festzustellen. Der Kl. hat – wie bereits ausgeführt – einen Verstoß gegen Art. 22 Abs. 1 DS-GVO nicht substantiiert vorgetragen. Soweit sich der Kl. auf einen angeblichen Verstoß gegen die Auskunftspflichten nach Art. 15 DS-GVO beruft, ist nicht ersichtlich und von ihm auch nicht dargetan, inwiefern ein Verstoß gegen die Auskunftspflichten ursächlich zu einem Schaden geführt haben soll. Die vom Kl. geschilderten Missempfindungen, insb. eine Stigmatisierung, Diskriminierung und Rufschädigung, stützt er nicht auf die Nichterfüllung einer Auskunftspflicht, sondern die pflichtwidrige Verwendung der Daten bzw. das Scoring und dessen Mitteilung an Dritte. Keinen Verstoß gegen die DS-GVO begründet die Tatsache, dass die Bekl. für den Kl. eine Scoring-Sperre eingerichtet hat. Aus der DS-GVO kann sich zwar unter den Voraussetzungen des Art. 18 DS-GVO ein Recht auf Einschränkung der Verarbeitung ergeben bzw. kann gestützt auf Art. 21 DS-GVO einer Verarbeitung widersprochen werden. Ein Recht auf Verarbeitung von personenbezogenen Daten bzw. auf Verarbeitung von Daten in einer bestimmten vom Betroffenen gewünschten Art und Weise, ergibt sich aus der DS-GVO jedoch nicht. Der Kl. kann eine Pflichtverletzung der Bekl. nicht auf das von ihr betriebene Scoring-Verfahren stützen. Die erfolgte Speicherung und Verarbeitung der Daten des Kl. durch die Bekl. ist grds. durch Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt.
NEU OLG München Urt. v. 26.9.2025 – 36 U 1368/24e	200 EUR (+ 296,07 EUR vorgerichtliche Rechtsanwaltskosten) Das Oberlandesgericht München ist international zuständig nach Art. 82 Abs. 6, 79 Abs. 2 S. 2 DS-GVO. Dem Kl. steht ein Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO iHv 200 EUR zu. Ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO erfordert einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Ein Schaden wird daher nicht bereits aufgrund des Verstoßes gegen die DS-GVO vermutet. Die DS-GVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insb. in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadensersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DS-GVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind. Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der DS-GVO in vollem Umfang entspricht, namentlich dem Ziel, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Selbst bei einem engeren Verständnis des Art. 82 Abs. 1 DS-GVO wäre in Bezug auf den hier inmitten stehenden Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Bekl. in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen. Die Bekl. hat mit der Voreinstellung der Suchbarkeit anhand einer Telefonnummer auf „Alle“ gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. b und lit. c, 25 Abs. 2 S. 1, S. 3 DS-GVO verstoßen. Die Bekl. haftet nach Art. 82 Abs. 1 DS-GVO. Die Verschuldensvermutung des Art. 82 Abs. 3 DS-GVO hat sie nicht widerlegt. Art. 5 Abs. 1 lit. b und lit. c, 25 Abs. 2 S. 1, S. 3 DS-GVO sind vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst. Der Verstoß der Bekl. gegen Art. 5 Abs. 1 lit. b und lit. c, 25 Abs. 2 S. 1, S. 3 DS-GVO hatte zur Folge, dass das Benutzerkonto des Kl. mit der Voreinstellung der Suchfunktion auf „Alle“ versehen war. Der Scraping-Vorfall bei der Bekl. als solcher steht ebenso fest wie die anschließende Veröffentlichung abgegriffener Daten des Kl. im Internet. Art. 82 DS-GVO sieht eine Haftung für vermutetes Verschulden vor. Damit hat nicht die betroffene Person iRe Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen nachzuweisen, sondern die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Nach Art. 82 Abs. 3 DS-GVO wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung gem. Art. 82 Abs. 2 DS-GVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Diese Vorschrift ist eng auszulegen. Der Verantwortliche kann sich bei einer Verletzung des Schutzes personenbezogener Daten durch eine unbefugte Offenlegung bzw. einen unbefugten Zugang eines Dritten iSv Art. 4 Nr. 10 DS-GVO nur dann von seiner Haftung befreien, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gibt. Durch den Verstoß der Bekl. gegen die Datenschutzbestimmungen ist dem Kl. ein immaterieller Schaden entstanden, den der Senat mit 200 EUR bemisst. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Der Eintritt eines Schadens iRe rechtswidrigen Verarbeitung personenbezogener Daten ist nämlich eine nur potenzielle und keine automatische Folge einer solchen Verarbeitung. Außerdem führt ein Verstoß gegen die DS-GVO nicht zwangsläufig zu einem Schaden. Schließlich muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen. Es ist daher über einen Verstoß gegen die DS-GVO hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines tatsächlichen Schadens (durch diesen Verstoß) erforderlich, den die betroffene Person nachzuweisen hat. Andererseits darf der Ersatz eines immateriellen Schadens nicht davon abhängig gemacht werden, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Dabei kann der – selbst kurzzeitige – bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff den Nachweis zusätzlicher spürbarer negativer Folgen erfordert, etwa eine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der betroffenen Person. Es bedarf auch keiner sich aus dem Kontrollverlust entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person. Diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. In diesen Fällen muss der Kontrollverlust aber feststehen, dh von der betroffenen Person nachgewiesen worden sein. Kann der Betroffene den Kontrollverlust nicht nachweisen, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die DS-GVO von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Jedoch muss in diesem Fall die Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen sein. Die bloße Behauptung reicht ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten aus. Nach diesen Maßstäben ist der Kontrollverlust eingetreten, ein immaterieller Schaden steht damit fest. Es ist unstreitig, dass zumindest der Name des Kl. neben der zugeordneten Mobilfunknummer vom Scraping-Vorfall erfasst wurde. Diese Daten wurden von Dritten im Darknet verfügbar gemacht. Für den Kl. besteht keine realistische Möglichkeit, die Kontrolle über seine Daten zurückzuerlangen. Auf die Frage, ob damit Befürchtungen oder Ängste verbunden sind, kommt es daher allenfalls für die Bemessung der Höhe des notwendigen Ausgleichs an, nicht aber für die Feststellung des Schadens als solchem. Bei der Bemessung des Betrags des auf die DS-GVO gestützten Schadensersatzanspruchs sind die in Art. 83 DS-GVO vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden. Die DS-GVO enthält keine Bestimmung über die Bemessung des nach Art. 82 DS-GVO geschuldeten Schadensersatzes. Folglich haben die nationalen Gerichte zum Zweck dieser Bemessung nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die vom EuGH definierten unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Dabei ist zu berücksichtigen, dass dem in Art. 82 Abs. 1 DS-GVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zukommt. Er erfüllt keine Abschreckungs- oder gar Straffunktion, weshalb auch das Vorliegen mehrerer auf denselben Verarbeitungsvorgang bezogener Verstöße nicht zu einer Erhöhung des Schadensersatzes führt. Dies hat u. a. zur Folge, dass sich die Schwere eines solchen Verstoßes nicht auf die Höhe des gewährten Schadensersatzes auswirken darf und der Schadensersatz nicht in einer Höhe bemessen werden darf, die über den vollständigen Ausgleich des Schadens hinausgeht. Darüber hinaus verlangt Art. 82 DS-GVO nicht, dass der Grad des Verschuldens des Verantwortlichen bei der Höhe des Schadensersatzes berücksichtigt wird. Nicht relevant ist des Weiteren, dass der Verstoß gegen die DS-GVO zugleich einen Verstoß gegen nationale Vorschriften mit sich bringt, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DS-GVO zu präzisieren. Ebenso wenig finden die Haltung und die Beweggründe des Verantwortlichen Eingang, zumindest dann nicht, wenn dies dazu dienen soll, der betroffenen Personen einen Schadensersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist. Mithin ist in Anbetracht der Ausgleichsfunktion eine auf Art. 82 DS-GVO gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert. Ein Betrag von 200 EUR gleicht den konkret erlittenen Schaden des Kl. aus. Betroffen war im Wesentlichen die Mobilfunknummer des Kl., nachrangig die anderen, ohnehin stets öffentlich einsehbaren Daten wie Name, Geschlecht und Facebook-ID, die dennoch in der Zusammenschau mit der Telefonnummer ein durchaus sensibles „Datenpaket“ ergaben. Der Kontrollverlust ist dauerhaft, eine Rückerlangung der Kontrolle über die Daten praktisch ausgeschlossen. Der potenzielle Empfängerkreis dieser Daten ist grds. unbegrenzt. Emotionale Beeinträchtigungen ließen sich den Äußerungen des Kl. hingegen nicht entnehmen, wenngleich er mit seiner Aussage seine Unsicherheit und die Sorge über den erlittenen Datenverlust nachvollziehbar zum Ausdruck gebracht hat. Er verknüpfte dies u. a. mit dem Gebrauch einer Kryptowährung aber auch mit der Tatsache, dass er freiberuflich tätig ist und an das Telefon gehen muss, auch wenn dort keine Nummer angezeigt wird. Die Angaben des Kl. zeigten aber auch, dass der Vorgang sein Misstrauen geweckt hat und ihn zu mehr Vorsicht im Umgang mit den Daten im Internet anhält. In der Gesamtwürdigung unter Berücksichtigung der Art der betroffenen Daten und der Beeinträchtigung des Kl. ist die Zahlung von 200 EUR geeignet, die erlittene immaterielle Beeinträchtigung vollständig auszugleichen. Ob die weiteren, vom Kl. behaupteten Verstöße der Bekl. gegen die DS-GVO vorliegen und ob diese von Art. 82 Abs. 1 DS-GVO erfasst sind, kann dahingestellt bleiben. Wie oben ausgeführt, ziehen sie ‒ ihr Vorliegen unterstellt ‒ mit Blick auf die Ausgleichsfunktion der genannten Norm keine Erhöhung des Schadensersatzanspruchs nach sich. Eine Erweiterung oder Vertiefung des Schadens ist mit einer Verletzung der Aufklärungspflicht, einer Verletzung der Pflicht zur Implementierung angemessener technischer und organisatorischer Maßnahmen und einer Verletzung von Benachrichtigungs- und Informationspflichten etc. nicht verbunden. Es handelt sich um ein einheitliches Schadensereignis mit einheitlichen Folgen. Ein Mitverschulden deswegen, weil er seine Telefonnummer bislang nicht geändert hat, muss sich der Kl. nicht entgegenhalten lassen. Der Kl. hat keinen Anspruch auf Schadensersatz wegen einer von der Bekl. vorgeblich unzureichend erteilten außergerichtlichen Auskunft nach Art. 15 DS-GVO. Er vermochte nicht darzulegen und nachzuweisen, dass ihm im Zusammenhang mit der außergerichtlichen Auskunft der Bekl. ein (weitergehender) immaterieller Schaden entstanden ist.
NEU OLG Düsseldorf, Urt. v. 25.9.2025 – I-16 U 342/24	0 EUR Der auf Ersatz eines immateriellen Schadens gerichtete Antrag zu 1. ist zulässig, aber unbegründet. Dem Kl. steht gegen die Bekl. aufgrund der Übermittlung seiner personenbezogenen Daten an die S. kein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO zu. Ein Schadensersatzanspruch nach dieser Vorschrift setzt einen Verstoß des Verantwortlichen gegen die DS-GVO, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus. Es fehlt bereits an einem Verstoß gegen die DS-GVO. Die Mitteilung des Abschlusses des TK-Vertrags mit dem Servicekonto unter der Nummer … war rechtmäßig, da sich die Bekl. hierfür unter dem Aspekt der Betrugsprävention auf den Rechtfertigungsgrund des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO berufen kann.
NEU OLG Dresden Beschl. v. 16.9.2025 – 4 U 634/25	0 EUR Der Anspruch kann zwar nicht auf Art. 82 Abs. 1 DS-GVO gestützt werden. Ein Anspruch lässt sich nicht auf die Installation der Kamera mit den auf den Lichtbildern dokumentierten Standort stützen, selbst wenn die Kamera zeitweise auf das Grundstück der Kl. als einem nicht gem. § 4 BDSG öffentlichen Bereich ausgerichtet gewesen ist. Zwar stellt eine Überwachung mittels einer Videoaufzeichnung von Personen eine automatisierte Verarbeitung personenbezogener Daten gem. Art. 3 Abs. 1 DS-GVO dar, die nicht nach Art. 3 Abs. 2 gerechtfertigt ist, wenn die private Kamera auch den öffentlichen Raum überwacht. Ebenso wenig ist die Anfertigung eines Videos mit Aufnahmen des Nachbargrundstücks und deren Übermittlung an staatliche Stellen zur Verfolgung von vermuteten Ordnungswidrigkeitverstößen keine ausschließlich persönlich-familiäre Tätigkeit, die nach Art. 2 Abs. 2 lit. c DS-GVO gerechtfertigt wäre. Die Kl. haben aber nicht nachgewiesen, dass die Bekl. mittels der zumindest am 2. – 3.8.24 installierten Videokamera konkret auch ihr Grundstück überwacht und gefilmt haben. Eine Überwachung allein des Grundstücks der Bekl. ist dagegen gerechtfertigt. Ein Schadensersatzanspruch ergibt sich auch nicht aus der von den Bekl. eingeräumten – Anfertigung von Videos, die sie zwecks Anzeigenerstattung der örtlichen Polizeibehörde übersandt haben. Voraussetzung dafür ist, dass die angefertigten Videos personenbezogene Daten iSd Art. 4 Nr. 1 DS-GVO enthalten haben. Ausweislich Art. 4 Nr. 1 DS-GVO müssen sich die Informationen auf eine natürliche Person und nicht nur auf mehrere Personen oder eine Sache beziehen. Dabei handelt es sich um ein eigenständiges Merkmal der Definition des personenbezogenen Datums. Nach Aussage des Zeugen Starke ließ das einzig zu öffnende Video aber keine Personen erkennen, zudem war es sehr dunkel und zeigte vom Grundstück der Kl. nichts außer Bäumen und einen Feuerschein. In Betracht kommt somit nur die in Art. 4 Abs. 1 DS-GVO geregelte Alternative „identifizierbare natürliche Person“. Eine Person ist identifizierbar, wenn die Information zwar für sich genommen nicht ausreicht, um sie einer Person zuzuordnen; dies aber gelingt, sobald die Information mit weiteren Informationen verknüpft wird. Im Streitfall ist daher zu prüfen, ob durch die in der Anzeige enthaltenen Informationen, den Standortdaten und sonstigen Metadaten der Videoaufzeichnung Personen identifizierbar sind. Davon kann aber nicht ausgegangen werden, da zum einen Personen überhaupt nicht erkennbar waren, zum anderen auch Gäste anwesend waren und nicht einmal feststellbar ist, ob sich zum Aufnahmezeitpunkt einer oder beide Kl. im gefilmten Bereich aufgehalten haben. Ob dies mittels Einsichtnahme in den Vorgang noch geklärt werden kann, ist angesichts der vom Zeugen Starke bekundeten fehlenden Erkennbarkeit von Personen unwahrscheinlich. Zudem wurde ein Ordnungswidrigkeitenverfahren nicht eingeleitet und aus der Aussage des Zeugen Starke ergibt sich nicht, ob die Anzeige oder andere Unterlagen hierzu noch bei der örtlichen Polizeibehörde vorhanden sind. Da die für das Vorliegen eines Verstoßes gegen die DS-GVO darlegungs- und beweisbelasteten Kl. den Beweis nicht geführt haben, ist der Anspruch aus Art. 82 DS-GVO unbegründet.
NEU OLG Dresden Urt. v. 9.9.2025 – 4 U 464/25	100 EUR (+ 627,13 EUR vorgerichtliche Rechtsanwaltskosten) Der Kl. hat wegen des Datenschutzverstoßes des Bekl. auch einen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO. Der Bekl. hat bei der Verarbeitung der Daten ohne ausreichenden Rechtfertigungsgrund gem. Art. 6 DS-GVO gehandelt. Aus dem Verstoß gegen Bestimmungen der DS-GVO ist dem Kl. auch kausal ein Kontrollverlust erwachsen, der zu einem immateriellen Schaden iSV Art. 82 DS-GVO bei ihm geführt hat. Immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Für die Schadensschätzung bei einem auf den Kontrollverlust an personenbezogenen Daten gestützten Ersatzanspruch kommt es auf die Sensibilität dieser Daten, ferner Art und Dauer des Kontrollverlusts und die Möglichkeit zur Wiedererlangung der Kontrolle an. Der Bekl. hat biometrische Daten des Kl. (Gesicht und Oberkörper) sowie Standort, Tag und Uhrzeit einschließlich Daten zum Fahrzeug, in dem sich der Kl. befand, auf den Server der Falschparker-App hochgeladen. Diese Daten waren über einen Zeitraum von zumindest rund eineinhalb Jahren im Internet zugänglich und dort abrufbar, wenn auch nicht allgemein öffentlich, sondern beschränkt auf einen mit dem Vorgang befassten, aber unbestimmten Personenkreis bei der Bußgeldbehörde sowie auf weitere Personen, die Zugang oder Kenntnis von der URL oder Zugang zum Mobiltelefon des Bekl. hatten bzw. haben. Mit diesen Daten sind weitere Daten wie der Name des Kl. ermittelt und zumindest einem Teil dieses Personenkreises bekannt geworden. Ferner hat der Kl. zu Recht darauf hingewiesen, seine Daten seien auf den Server der Betreiber der App hochgeladen und dort weiterverarbeitet worden. Wer dort Zugang zu den Daten gehabt habe oder was damit dort passiert sei, könne er nicht konkret nachvollziehen. Vor diesem Hintergrund ist ein Kontrollverlust über Daten des Kl. festzustellen, für den der Senat einen Betrag von 100 EUR als angemessenen, aber auch ausreichenden Ausgleich für gerechtfertigt erachtet. Der Kl. musste sich infolge der rechtswidrigen Verarbeitung seiner Daten durch den Bekl. mit dem – ihn nicht betreffenden – Bußgeldverfahren auseinandersetzen und sich hierzu einlassen, damit war auch ein gewisser Zeitaufwand verbunden. Weitere negative Folgen sind nicht bekannt und mangels Vortrags nicht ersichtlich. Soweit mit der Berufungsbegründung allgemein darauf abgestellt wird, er sei im Rahmen seines privaten Lebensumfelds abgelichtet worden und aus den Metadaten hätten ggf. private Komplikationen und damit einhergehend schwerwiegende Nachteile erfolgen können, sind derartige Folgen einerseits nicht substantiiert vorgetragen und andererseits auch nicht mehr zu erwarten. Da nach Abschluss des Bußgeldverfahrens und Löschung der URL in der App sowie auf dem Handy des Bekl. davon auszugehen ist, dass er die Kontrolle über seine Daten umfassend wiedererlangt, ist der Betrag von 100 EUR als immaterielle Entschädigung angemessen. Der Kl. hat gegen die Bekl. einen Anspruch auf Erstattung von vorgerichtlichen Anwaltskosten iHv 627,13 EUR.
NEU OLG Dresden Urt. v. 26.8.2025 – 4 U 644/25	0 EUR Dem Kl. stehen keine Ansprüche auf immateriellen Schadensersatz aus Art. 82 DS-GVO, auf Feststellung der Erstattungspflicht weiterer Schäden, auf Unterlassung und Auskunft zu. Es kann offenbleiben, ob die Bekl. bei der Verarbeitung der Daten gegen die Bestimmungen der DS-GVO verstoßen hat und die Klagepartei von dem Datenschutzvorfall im Juni 2021 bei der Bekl. betroffen ist, denn selbst wenn dies zu Gunsten der Klagepartei als wahr unterstellt wird, ist bei ihr kein Schaden eingetreten, weil sie bereits vor dem Datenschutzvorfall die Kontrolle über ihre maßgeblichen Daten verloren hat. Der von der Bekl. vorgelegte Auszug der Webseite haveibeenpwned.com ist ein gewichtiges Indiz für die Betroffenheit der Klagepartei von dem Datenschutzvorfall im Jahr 2023 (Daten aus dem Jahr 2021) mit seiner E-Mail-Adresse, dem Namen, dem Profil und dem Nutzernamen. Das Angebot der Webseite www.haveibeenpwnd.com ist hinreichend verlässlich, um jedenfalls die individuelle Betroffenheit von Sicherheitsvorfällen darzulegen und damit die sekundäre Darlegungslast des Betreibers auszulösen. Der Senat hält einen Auszug aus der Webseite haveibeenpwned.com für ein hinreichendes Indiz, es sei denn, die Bekl. legt dezidiert dar, aufgrund welcher Umstände die Webseite bezogen auf die Klagepartei keine verlässliche Grundlage für die Annahme der Betroffenheit ist. Die Bekl. hat daher darzulegen, weshalb die Treffermitteilung bei www.haveibeenpwned.com in Einzelfall keine verlässliche Grundlage sein kann. Diesen Anforderungen wird der Vortrag der Bekl. nicht gerecht, zumal sie sich mit Vorlage der Anlage B 16 selbst auf den Auszug aus dieser Webseite berufen hat. Letztendlich kann aber dahinstehen, ob die Bekl. ihrer sekundären Darlegungslast genügt hat, um die Betroffenheit in Frage zu stellen. Der Senat geht mit der Rspr. des BGH in seinem Urt. v. 18.11.2024 (VI ZR 10/24) davon aus, dass der Kontrollverlust einen immateriellen Schaden darstellt. Der BGH hat u. a. folgendes ausgeführt: „Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.“ Soweit die Daten der Klagepartei ohnehin öffentlich einsehbar sind, liegt aber auch nach diesen Maßstäben schon objektiv kein Kontrollverlust vor. Auch ohne Datenschutzvorfall ist ein Auslesen dieser Daten und deren Verbreitung im Internet jederzeit möglich. Durch den Datenschutzvorfall kann ein Kontrollverlust der Klagepartei allein im Hinblick auf die verwendete E-Mail-Adresse und die Verknüpfung mit Namen und Nutzernamen der Klagepartei eingetreten sein. Das Risiko, auch Dritte könnten ihre E-Mail-Adresse nicht datenschutzkonform verarbeiten, steht der Darlegung eines Kontrollverlusts nicht entgegen. Dies gilt jedoch nur, solange sich dieses nicht unstreitig vor dem Eintritt des Datenschutzvorfalls verwirklicht hat. Insoweit unterscheidet sich der durch den Datenschutzvorfall und die dauerhafte Preisgabe der mit dem Namen einer Partei verknüpften E-Mail-Adresse im Internet behauptete Kontrollverlust wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der E-Mail-Adresse an bestimmte Empfänger verbunden sind. Es fehlt jedoch an einem Schaden in Form eines Kontrollverlusts, denn der Kl. hat bereits vor dem Datenschutzvorfall bei der Bekl. die Kontrolle über seine E-Mail-Adresse verloren. Die E-Mail-Adresse des Kl. war vor dem Datenschutzvorfall im Juni 2021 achtmal von anderen Datenschutzvorfällen betroffen. Ausweislich des von der Bekl. vorgelegten Ausdrucks aus der Webseite www.haveibeenpwned.com war die E-Mail-Adresse des Kl. und u. a. sein Nutzername und seine Passwörter im Oktober 2013 (Adobe), im März 2012 (Last.fm), Ende 2016 (Exploit.In), im Februar 2018 (2,844 Separate Data Breaches), im Januar 2019 (Collection #), im Februar 2018 (MyFitnessPal) und im Juli 2018 (Netlog) von Datenschutzvorfällen betroffen. Ein „Kontrollverlust“ setzt voraus, dass die betroffene Person zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und sie diese Kontrolle später gegen ihren Willen durch den Datenschutzverstoß verloren hat. Folglich muss die betroffene Person, weil sie die Darlegungslast für durch den Verstoß gegen die DS-GVO erlittene negative Folgen trifft, darlegen, dass sie die Hoheit über die Daten nicht schon zuvor verloren hatte. Daran fehlt es. Es kann auch kein kausaler immaterieller Schaden in Form einer besonderen Besorgnis über den Missbrauch der Daten angenommen werden. Eine individuelle psychische Beeinträchtigung des Kl. kann nicht festgestellt werden. Der Kl. schilderte im Rahmen seiner Anhörung, dass er von dem Datenleck erfahren habe, nachdem er sich auf der Webseite haveibeenpwned.com informiert habe. Wann er einen Anstieg der Spam E-Mails festgestellt habe, wisse er nicht genau, es könne in den Jahren 2020, 2021 oder 2022 gewesen sein. In welchem Umfang sich das Spam-Aufkommen erhöht habe, könne er nicht genau sagen. Er schätze so ca. drei am Tag. Er habe einen Spam Filter und nutze die streitgegenständliche E-Mail-Adresse weiterhin neben einer neu angelegten E-Mail-Adresse für den privaten Kreis. Entgegen der Ansicht der Klagepartei vermag auch eine gesamtschuldnerische Haftung der Bekl. aus §§ 823 Abs.2, 830, 840 BGB iVm Art. 82 DS-GVO keinen Anspruch zu begründen. Ein Schadensersatz wegen Verletzung der Auskunftspflicht steht der Klagepartei schon deshalb nicht zu, weil die Bekl. ihre Auskunftspflicht nicht verletzt hat. Unabhängig davon rechtfertigt die Verletzung der Auskunftspflicht nach Art. 15 DS-GVO keinen Schadensersatzanspruch, weil nicht ersichtlich ist, welcher Schaden der Klagepartei daraus entstanden sein soll.
NEU OLG München Beschl. v. 29.7.2025 – 18 U 2190/24e	0 EUR Die Klagepartei hat keinen Anspruch auf Schadensersatz. Insb. besteht ein solcher Anspruch nicht nach Art. 82 DS-GVO. Nach der Rspr. des EuGH erfordert ein Schadensersatzanspruch nach Art. 82 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen Schaden und dem Verstoß, wobei diese Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für das Vorliegen dieser Voraussetzungen trifft die Person, die auf Grundlage des Art. 82 DS-GVO einen Schadensersatzanspruch geltend macht. Einen materiellen Schaden hat die Klagepartei nicht beziffert. Auch die Voraussetzungen für den Ersatz eines immateriellen Schadens hat die Klagepartei nicht dargetan. Soweit sich die Klagepartei auf einen angeblichen Verstoß gegen die Auskunftspflichten nach Art. 15 DS-GVO beruft, so erschließt sich bereits nicht, inwiefern ein Verstoß gegen diese Auskunftspflichten ursächlich zu einem Schaden geführt haben soll.
NEU OLG München Entscheidung v. 18.7.2025 – 20 U 200/25e	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO, da die von der Bekl. vorgenommenen Übermittlung von sog. Positivdaten aus dem Mobilfunkvertrag an die SCHUFA keinen Verstoß gegen Regelungen der DS-GVO darstellt, überdies kein ersatzfähiger Schaden des Kl. vorliegt und ein etwaiger Anspruch zudem verjährt wäre. Die Datenverarbeitung durch die Bekl. war gem. Art. 6 Abs. 1 UAbs. 1 lit. f. DS-GVO gerechtfertigt. Der Senat schließt sich wie das LG der Auffassung an, wonach die mit der Weitergabe der Daten erfolgte Verarbeitung (Art. 4 Nr. 2 DS-GVO) nach Art. 6 Abs. 1 S. 1 lit. f. DS-GVO gerechtfertigt ist. Selbst wenn man die Datenverarbeitung als unzulässig einstufen wollte, hätte sie, wie das LG zutreffend feststellt, vorliegend nicht zu einem Schaden des Kl. geführt. Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DS-GVO ist autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich, wobei es nicht darauf ankommt, ob der Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Die Beweislast für einen erlittenen materiellen oder immateriellen Schaden trägt derjenige, der ihn geltend macht. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Dabei kann schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen bzw. einer missbräuchlichen Verwendung der betreffenden Daten zum Nachteil dieser Personen erfordert. Auch die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 darstellen. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen genügt jedoch ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss folglich schlüssig geltend machen und – entgegen der klägerischen Ansicht – ggf. nachweisen, dass der Verstoß gegen die DS-GVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen. Daran gemessen hat der Kl. durch die Übermittlung der Vertragsdaten bei der SCHUFA keinen Schaden erlitten. Es fehlt an einem Kontrollverlust. Ein Kontrollverlust liegt vor, wenn der Betroffene durch die Weitergabe der Vertragsdaten in eine Lage geraten ist, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten verarbeitet werden. Diese Voraussetzungen sind hier nicht erfüllt. Der Kl. wurde zudem durch ein Merkblatt zum Datenschutz umfassend über die Weitergabe der Daten und die Weiterverarbeitung durch die SCHUFA sowie über sein Widerspruchsrecht nach Art. 21 DS-GVO informiert. Der Kl. hätte bei der geltend gemachten großen Sorge um seine Daten, die bis zur „schieren Existenzsorge“ der Datenverarbeitung durch die SCHUFA bei fortlaufendem Vertragsverhältnis widersprechen können. Von einer gegen seinen Willen stattfindenden Datenverarbeitung von Positivdaten kann vor diesem Hintergrund im vorliegenden Fall keine Rede sein. Insb. ist die vorliegende Konstellation nicht mit illegalen Hackerangriffen oder dem massenhaften Scraping nebst Veröffentlichung im Darknet vergleichbar. Schließlich hat der Kl. mangels Anspruchs in der Hauptsache auch keinen Anspruch gem. Art. 82 Abs. 1 DS-GVO auf Ersatz der Kosten der außergerichtlichen Rechtsverfolgung.
NEU OLG Nürnberg Beschl. v. 17.7.2025 – 16 U 540/25	0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO zu. Das LG hat die Klage zu Recht bereits tragend aus dem Grund abgewiesen, weil es sich nicht mit der erforderlichen Sicherheit davon überzeugen konnte, dass der Kl. durch die Übermittlung der Positivdaten einen Schaden erlitten hat. Dem ist in rechtlicher Hinsicht zunächst Folgendes – was auch das LG zutreffend gesehen hat – zur Darlegungs- und Beweislast bei dem Vorwurf eines Verstoßes gegen die DS-GVO vorauszuschicken: Nach der Rspr. des Gerichtshofs erfordert ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insb. muss eine Person, die einen Verstoß gegen die DS-GVO geltend macht, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen, da der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Allerdings hat der EuGH unter Bezugnahme auf den Erwägungsgrund 85 DS-GVO klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Die Darlegungs- und Beweislast für die genannten Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Die auf einer informatorischen Anhörung des Kl. beruhende Überzeugungsbildung des LG, dass der Kl. einen Schaden im obigen Sinnen nicht nachgewiesen hat, ist berufungsrechtlich nicht zu beanstanden. Der Kl. stützt sich darauf, da das bereits die Weitergabe der Positivdaten durch die Bekl. an die Schufa und die dortige Verarbeitung einen Kontrollverlust und damit ein Schaden begründeten. Dies übersieht, dass – wie oben ausgeführt – der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Ein rein abstrakter Kontrollverlust kann daher nicht ausreichen. Unter Kontrollverlust ist vielmehr die begründete Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, zu verstehen. Insb. kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Kontrollverlust ist folglich nicht mit einer unzulässige Datenübermittlung an einen Dritten gleichzusetzen, sondern verlangt die konkrete Befürchtung der missbräuchlichen Verwendung durch den Dritten. Im vorliegenden Fall liegt anders als bei einem Datenleck, bei dem Daten von Unbekannten abgegriffen werden und deren weitere Verwendung völlig unklar bleibt, ein Kontrollverlust nicht ohne Weiteres auf der Hand. Die Daten sind vorliegend nicht veröffentlicht, dh einer unbestimmten Vielzahl von unbekannten Personen zugänglich gemacht worden. IÜ hat die Berufung auch deshalb keine Aussicht auf Erfolg, weil der Bekl. schon kein Verstoß gegen die DS-GVO – dies hatte das LG offengelassen – anzulasten ist. Der Senat schließt sich hier der mehrheitlich vertretenen Auffassung an, wonach die entsprechende Datenverarbeitung durch die Bekl. unter dem Gesichtspunkt der Betrugsprävention gem. Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt war.
NEU OLG Hamm Beschl. v. 15.7.2025 – I-27 U 33/25	0 EUR Ein Schadensersatzanspruch des Kl. ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Denn ein Verstoß der Bekl. gegen die Vorschriften der DS-GVO kann nicht festgestellt werden. Der Kl. kann eine Pflichtverletzung der Bekl. nicht auf das von dieser betriebene Scoring-Verfahren stützen. Denn die erfolgte Speicherung und Verarbeitung der Daten des Kl. durch die Bekl. war gem. Art. 6 Abs. 1f DS-GVO zulässig.
NEU OLG München Beschl. v. 14.7.2025 – 5 U 3606/24e	0 EUR Der Kl. hat gegen die Bekl. ferner keinen Anspruch auf Schadensersatz bzw. Schmerzensgeld gem. Art. 82 Abs. 1 DS-GVO. Nach der Rspr. des EuGH erfordert ein Schadensersatzanspruch nach Art. 82 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen Schaden und dem Verstoß, wobei diese Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für das Vorliegen dieser Voraussetzungen trifft die Person, die auf Grundlage des Art. 82 DS-GVO einen Schadensersatzanspruch geltend macht. Soweit sich der Kl. auf einen angeblichen Verstoß gegen die Auskunftspflichten nach Art. 15 DS-GVO beruft, so erschließt sich bereits nicht, inwiefern ein Verstoß gegen die Auskunftspflichten ursächlich zu einem Schaden geführt haben soll. Hierzu trägt die Klagepartei auch nichts vor.
NEU OLG Dresden Beschl. v. 14.7.2025 – 4 U 198/25	100/250 EUR (Hinweis, aber noch kein Zusprechen) Der Klagepartei steht ein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO zu. Die Bekl. hat bei der Verarbeitung der Daten gegen die Bestimmungen der DS-GVO verstoßen, hieraus ist der Klagepartei auch kausal ein Kontrollverlust erwachsen. Die Bekl. hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die DS-GVO verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DS-GVO verstoßen, denn in dem relevanten Zeitraum war die Standardeinstellung für die Suchbarkeit nach der Telefonnummer auf „alle“ und damit nicht datenschutzfreundlich (data protection by default) auf „nur ich“ eingestellt. Die Bekl. hat die Handynummer der Klagepartei mit der ab dem 25.5.2018 fortgesetzten Verarbeitung in der Suchbarkeitsfunktion ohne ausreichenden Rechtfertigungsgrund gem. Art. 6 DS-GVO verarbeitet. Die weitere Datenverarbeitung ist nur dann rechtmäßig, wenn ab diesem Zeitpunkt mindestens einer der Bedingungen des Art. 6 DS-GVO vorliegt. Dies ist nicht der Fall. Offenbleiben kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 24, 32 DS-GVO ergriffen hat und ob sie ihrer Benachrichtigungspflicht aus Art. 34, 25 DS-GVO und ihrer Auskunftspflicht aus Art. 15 DS-GVO nachgekommen ist. Verstöße iRd Anmeldeprozesses der hier ca. 2010 erfolgte – fallen aus dem zeitlichen Anwendungsbereich der DS-GVO heraus, da die Datenerhebung vor dem 25.5.2018 abgeschlossen war. Allerdings unterfällt die zeitlich nach dem 25.5.2018 liegende Weiterverarbeitung der Daten den Anforderungen der DS-GVO, denn aus Erwägungsgrund 171 S. 2 DS-GVO sowie aus Art. 4 Nr. 2 DS-GVO und Art. 24 Abs. 1 DS-GVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DS-GVO bereits begonnen hatten, bis zum 25.5.2018 in Einklang mit der Verordnung zu bringen. Zudem folgt aus Erwägungsgrund 171 S. 3 DS-GVO, dass die Bekl. zum 25.5.2018 zur Einholung neuer Einwilligungen verpflichtet gewesen ist, soweit bereits bestehende Einwilligungen nicht den Anforderungen an diese Verordnung entsprachen. Es ist davon auszugehen, dass das Scraping nach dem 24.5.2018 erfolgte, da die Bekl. im Rahmen ihrer sekundären Darlegungslast nicht vorgetragen hat, dass sich der Vorfall vor dem Inkrafttreten der DS-GVO ereignet hat. Die Klagepartei hat auch hinreichend dargelegt, von einem Datenschutzvorfall bei der Bekl. betroffen zu sein. Durch Vorlage eines Auszugs der Webseite www.haveibeenpwned.com ergibt sich die Betroffenheit der von der Klagepartei zur Registrierung bei der Bekl. angegebenen Mobilfunknummer +490000000002 von einem Datenschutzvorfall bei der Bekl. Diese hat nicht substantiiert dargelegt, weshalb es gleichwohl an einer Betroffenheit der Klagepartei fehlte. In ihrem Schreiben an die Klagepartei v. 22.5.2024 hat die Bekl. vielmehr eingeräumt, dass deren Telefonnummer in den durch Scraping abgerufenen Daten enthalten sei. Durch die aufgeführten Datenschutzverstöße der Bekl. trat ein Kontrollverlust der Klagepartei im Hinblick auf die bei der Registrierung eingesetzte Telefonnummer und die Verknüpfung mit Namen und Facebook-ID der Klagepartei ein, womit ein kausaler immaterieller Schaden gem. Art. 82 DS-GVO entstand. Insoweit wird auf die Rspr. des BGH (Urt. v. 18.11.2024 – VI ZR 10/24) Bezug genommen. Die hiergegen mit der Berufungsbegründung erhobenen Einwände hält der Senat mit dem BGH nicht für stichhaltig. Für die Schadensschätzung ist insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DS-GVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter ist die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (zB Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich kann den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insb. eines Rufnummernwechsels) dienen. Im Urt. v. 18.11.2024 hat der BGH die Schätzung eines solchen Aufwands in einer Größenordnung von 100 EUR für angemessen erachtet. Diesen Betrag hält der auch der Senat grds. für angemessen. Gleichwohl ist gegen die Bemessung des immateriellen Schadensersatzes durch das LG mit 250 EUR nach Auffassung des Senats nichts zu erinnern. Ist nach den Feststellungen des Gerichts – wie hier – allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts, die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. Vorliegend ist das LG durch mündliche Anhörung der Klagepartei unbeanstandet zur Überzeugung gelangt, dass sie besonders vorsichtig mit der Preisgabe ihrer Telefonnummer umgegangen sei, sodass es eine erhöhte Sensibilität der konkret betroffenen personenbezogenen Daten zugrunde legte. Anhaltspunkte für Zweifel an der Richtigkeit oder Vollständigkeit dieser Feststellungen, die eine erneute Feststellung gebieten würden, sind weder vorgetragen noch für den Senat ersichtlich, § 529 Abs. 1 Nr. 1 ZPO.
NEU OLG Düsseldorf Urt. v. 10.7.2025 – 16 U 83/24	200 EUR (+ 220,27 EUR vorgerichtliche Rechtsanwaltskosten) Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO iHv 200 EUR nebst Zinsen ab Rechtshängigkeit zu. Gem. Art. 82 Abs. 1 DS-GVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die DS-GVO, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus. Hier hat die Bekl. nicht nur gegen die DS-GVO verstoßen, sondern der Kl. hat dadurch auch einen ersatzfähigen immateriellen Schaden erlitten. Einen ihm durch Datenschutzverstöße der Bekl. entstandenen materiellen Schaden macht der Kl. nicht geltend. Der von Art. 82 Abs. 1 DS-GVO für einen Schadensersatzanspruch verlangte Verstoß gegen die DS-GVO liegt vor. Dabei kann an dieser Stelle dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der DS-GVO oder erst eine verordnungswidrige Datenverarbeitung iSv Art. 82 Abs. 2 S. 1 DS-GVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen kann. Da es zu einer verordnungswidrigen Datenspeicherung bei einem Unterauftragsverarbeiter der Bekl. gekommen ist, liegt nicht nur ein Verstoß gegen die DS-GVO, sondern auch eine verordnungswidrige Datenverarbeitung vor. Für den Schadensersatzanspruch des Kl. aus Art. 82 Abs. 1 DS-GVO kommt es auch nicht darauf an, ob der Bekl. über diesen Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße auf dem Weg zu dem schadensauslösenden rechtswidrigen Datenverarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen. Der in der fortgesetzten Speicherung bei der C.- Inc. liegende Datenschutzverstoß ist der Bekl. als Verantwortliche iSv Art. 4 Nr. 7 DS-GVO auch nach Art. 82 Abs. 2 S. 1 DS-GVO zuzurechnen. Die Bekl. hat nicht nachgewiesen, dass ihr die Datenspeicherung, die zum Schaden geführt hat, nicht zugerechnet werden kann. Einen entsprechenden Nachweis hätte sie erbringen müssen, hat ihn aber nicht erbracht. Eine Haftungsbefreiung setzt gem. Art. 82 Abs. 3 DS-GVO den Nachweis des Verantwortlichen voraus, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Aus diesem Grund kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 DS-GVO obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt. Nichts anderes gilt im Verhältnis des Verantwortlichen zum Auftragsverarbeiter. Dieser notwendige Nachweis scheitert hier daran, dass die Bekl. den Anforderungen des Art. 24 Abs. 1 S. 1 DS-GVO nicht genügt und keine ausreichenden organisatorischen Maßnahmen getroffen hat, um sicherzustellen, dass die der B.-Ltd. zur Auftragsverarbeitung übertragenen Daten nach dem Ende des Auftragsverarbeitungsverhältnisses gelöscht werden. Die Bekl. hat ihre Auftragsverarbeiter – letztlich unstreitig – nicht hinreichend kontrolliert. Sie bezieht sich allein auf eine E-Mail der C.- Inc. v. 30.11.2020. Die darin enthaltene Ankündigung, dass alle Daten auf ihrer Seite gelöscht würden, genügte aber nicht einmal den vertraglichen Mindestanforderungen an eine Löschungsmitteilung in dem Rechtsverhältnis zwischen der Bekl. und der B.-Ltd. Weder erkundigte sich die Bekl. bei der C.- Inc. im Anschluss, ob die Löschung auch durchgeführt worden ist, noch verlangte sie einen Nachweis hierüber. Das hat den in der fortgesetzten Speicherung durch die C.- Inc. liegenden Datenschutzverstoß erst ermöglicht. Wäre die Bekl. ihren Kontrollpflichten nachgekommen, wäre aufgefallen, dass die Daten entgegen der Ankündigung nicht gelöscht worden sind. Damit steht einer Zurechnung des Datenschutzverstoßes – entgegen der Meinung der Bekl. – auch kein Exzess des Unterauftragsverarbeiters entgegen. Zwar erstreckt sich die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters nach der Rspr. des EuGH zu Art. 83 DS-GVO nicht auf Fälle, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte. Dieser Grundsatz greift aber iRd Art. 82 DS-GVO jedenfalls dann nicht ein, wenn erst mangelnde organisatorische Vorkehrungen den Datenschutzverstoß des Auftragsverarbeiters ermöglicht haben. Kommt es erst aufgrund unzureichender organisatorischer Maßnahmen, etwa – wie hier – infolge fehlender Kontrollen, zu einem Exzess des Auftragsverarbeiters, bleibt der Verantwortliche in der Verantwortung. Dem Kl. ist infolge des Datenschutzverstoßes der Bekl., der den Hackern den Zugriff auf die Daten des Kl. erst ermöglichte, auch ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DS-GVO ist in Ermangelung eines in der Vorschrift enthaltenen Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu bestimmen. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rspr. des EuGH ausgeformt worden ist. Zwar soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich. Ein haftungsbegründender immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO kann jedoch nach der Rspr. des Gerichtshofs schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rspr. des Gerichtshofs dem vom BGH hierzu vertretenen Verständnis an. Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte gelangt oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping sowie bei einer Veröffentlichung der Daten im Internet, aber noch nicht – zB – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-Faktor-Authentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht. Diesen Anforderungen wird der Vortrag des Kl. spätestens in der Berufungsinstanz jedenfalls insoweit gerecht, als er dort vorgetragen hat, dass sich in der von den Hackern im Darknet veröffentlichten Leak-Liste auch Daten von ihm – nämlich Nachname, Land und E-Mail-Adresse – befänden. Der Kl. hat hierzu in der Berufungsbegründung zudem sinngemäß vorgetragen, diese und weitere bei der Bekl. gespeicherte Daten nicht schon zuvor allgemein veröffentlicht, sondern nur im üblichen Umfang anderen zugänglich gemacht zu haben. Die Bekl. hat zwar bestritten, dass der Kl. die Kontrolle über seine Daten erst mit dem Datenabgriff bei der C.- Inc. verloren hat. Dieser Vortrag genügt jedoch nicht den Anforderungen an ein in diesem Fall zu forderndes qualifiziertes Bestreiten. Die vom Kl. behauptete negative Tatsache, die Kontrolle über die Daten nicht schon zuvor verloren zu haben, sie insb. nicht im Internet allgemein veröffentlicht zu haben, hätte sie mit der konkreten Angabe bestreiten müssen, wodurch ein Kontrollverlust schon zuvor eingetreten sein soll. Einen solchen Vortrag hat sie jedoch nicht gehalten. Die Höhe des dem Kl. gem. Art. 82 Abs. 1 DS-GVO für den ihm entstandenen immateriellen Schaden zustehenden Schadensersatzes bemisst sich nach den schadensersatzrechtlichen Grundsätzen des deutschen Rechts. Die DS-GVO enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes. Insb. können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DS-GVO genannten Kriterien herangezogen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist damit insb. die Verfahrensvorschrift des § 287 ZPO anzuwenden. Bei der Ermittlung des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens unterliegt die innerstaatliche Verfahrensautonomie allerdings den sich aus dem unionsrechtlichen Äquivalenz- und Effektivitätsgrundsatz ergebenden Einschränkungen. Eine auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld ist in Anbetracht der Ausgleichsfunktion des in dieser Vorschrift vorgesehenen Schadensersatzanspruchs als „vollständig und wirksam“ iSv Erwägungsgrund 146 S. 6 DS-GVO anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DS-GVO konkret erlittenen Schaden in vollem Umfang auszugleichen. Eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO nicht erfüllen. Infolgedessen darf bei der Bemessung einer Geldentschädigung weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch – wie bereits ausgeführt – der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat oder ob er vorsätzlich oder fahrlässig gehandelt hat. Im Ergebnis soll die zuzusprechende Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausgeht. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Dies gilt auch unter Berücksichtigung des Umstands, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger gewichtig ist als eine Körperverletzung. Bei der auf § 287 ZPO gestützten Bemessung des Entschädigungsbetrags sind dann, wenn ein Schaden nur in Form eines Kontrollverlusts an personenbezogenen Daten eingetreten ist, weil weitere Schäden nicht nachgewiesen sind, bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckmäßige Verwendung zu berücksichtigen. Zudem sind die Art des Kontrollverlusts, die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. In Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich ist, kann auch der hypothetische – insb. finanzielle – Aufwand für die Wiedererlangung der Kontrolle als Anhalt für einen effektiven Schadensausgleich dienen. Nach diesen Maßgaben wird der dem Kl. mit dem reinen Kontrollverlust entstandene Schaden mit einem Betrag von 100 EUR effektiv ausgeglichen. Das ergibt eine Gesamtwürdigung der im Fall des Kl. maßgeblichen Umstände. Für die Bemessung des Schadensersatzbetrags entscheidend ist der vom Kl. erlittene Verlust der Kontrolle über seine E-Mail-Adresse, zumal diese – für Dritte leicht erkennbar – bereits insofern personalisiert ist, als sie seinen Nachnamen als Bestandteil enthält. Die weiteren von der Bekl. als bei ihr gespeichert zugestandenen Daten des Kl. spielen, mit Ausnahme der Sprache und des Landes, demgegenüber eine nur untergeordnete und nicht ausschlaggebende Rolle, selbst in der ebenfalls dem Kontrollverlust unterliegenden Kombination mit der E-Mail-Adresse. Das sieht ersichtlich auch der Kl. selbst so, wie sich aus seiner Erklärung zur A.-User-ID im Rahmen seiner informatorischen Anhörung ergibt. Dabei ist auch zu berücksichtigen, dass er den Musikstreamingdienst der Bekl. nach den tatbestandlichen Feststellungen im landgerichtlichen Urteil zuletzt im Jahr 2016 genutzt hat („zuletzt im Jahr 2016 bei „A.“ eingeloggt“). Eine nennenswerte Vertiefung des Kontrollverlusts seit dem Datenabgriff im Jahr 2022 ist zudem nicht erkennbar. Zwar erscheint es wenig wahrscheinlich, dass der Kl. die Kontrolle über seine Daten zurückerlangen wird. Es spricht jedoch manches dafür, dass ein an den Daten ggf. bestehendes Interesse Dritter mit fortschreitender Zeit abnimmt, sodass der durch den Datenschutzverstoß der Bekl. herbeigeführte Kontrollverlust an Bedeutung verlieren könnte. Mithilfe der Daten ist iÜ lediglich eine Kontaktaufnahme mit dem Kl. möglich. Zwar kann die E-Mail-Adresse auch zur Übersendung von werbenden, belästigenden oder sogar betrügerischen Spam-Mails genutzt werden. Zu einem etwaigen materiellen Schaden führen solche Spam-Mails jedoch nicht ohne weitere Zwischenschritte. Gegen diese kann sich der für die Gefahr sensibilisierte Kl. durch Achtsamkeit wappnen. Bei den vom Kontrollverlust betroffenen Daten handelt es sich zudem nicht um höchst sensible Daten des Kl., etwa Gesundheits- oder vergleichbar intime Daten, deren Verbreitung in der Öffentlichkeit dem Ansehen oder dem Fortkommen des Kl. schaden könnte. Die im Rahmen seiner informatorischen Anhörung anklingende gegenteilige Besorgnis des Kl. teilt der Senat – auch unter Berücksichtigung der beruflichen Tätigkeit des Kl. – nicht. Es kommt hinzu, dass die E-Mail-Adresse ohnehin regelmäßig der Kontaktaufnahme mit Dritten dient und zu diesem Zweck anderen zugänglich gemacht wird. Allein dadurch besteht immer die Gefahr, dass eine bis zu einem bestimmten Zeitpunkt kontrollierte Weitergabe der E-Mail-Adresse irgendwann nicht mehr kontrollierbar ist, weil schlechterdings niemand vollumfänglichen Einfluss darauf haben kann, wie Dritte mit der E-Mail-Adresse umgehen. Zu berücksichtigen ist schließlich, dass der Kl. einen Wechsel seiner E-Mail-Adresse wegen deren Nutzung im Rahmen seiner aktuellen Fortbildung bei der Handwerkskammer Düsseldorf derzeit zwar scheut, sich aus diesem Umstand aber nicht ergibt, dass ein Wechsel schlechterdings ausgeschlossen ist. Da sich ein Schadensersatzanspruch in der eingangs genannten Höhe bereits allein aus der Betroffenheit des Kl. von dem Datenabgriff durch unbekannte Hacker und dem damit verbundenen Kontrollverlust ergibt, kommt es nicht entscheidend darauf an, ob der Kl. im Einklang mit § 371 Abs. 1 S. 2 ZPO nachgewiesen hat, dass sich nachfolgend drei seiner Daten in einem bestimmten Leak-Datensatz im Darknet finden. Der dem Kl. für den reinen Kontrollverlust zuzusprechende Betrag von 100 EUR ist, um einen Betrag von weiteren 100 EUR für die besonderen Sorgen zu erhöhen, die der Kl. im Zusammenhang mit dem Kontrollverlust empfindet. Mit dem Kontrollverlust verbundene negative Gefühle wie Ängste und Befürchtungen sowie in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Datenmissbrauch aufgewandte Zeit und Mühe stellen Umstände dar, die einen bereits mit dem reinen Kontrollverlust eingetretenen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO vertiefen oder vergrößern können. Das gilt jedenfalls dann, wenn sie über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen. Auch eine etwaige psychische Belastung durch Spam-Anrufe und Spam-SMS, die auf den Kontrollverlust zurückzuführen sind, kann den immateriellen Schaden vergrößern. Dem Kl. steht gegen die Bekl. infolge des von der Bekl. begangenen Datenschutzverstoßes aus Art. 82 Abs. 1 DS-GVO iVm § 257 BGB schließlich ein auf Freistellung von vorgerichtlichen Rechtsanwaltskosten gerichteter Anspruch in der aus dem Tenor ersichtlichen Höhe zu.
NEU OLG Nürnberg Urt. v. 27.6.2025 – 15 U 2230/23 = ZD 2026,170	0 EUR Es kann dabei dahinstehen, ob die Bekl. als Verantwortliche iSd Art. 4 Nr. 7, 82 Abs. 1 DS-GVO gegen die DS-GVO verstoßen hat, und zwar gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. b und lit. c, 25 Abs. 2 S. 1 und 3 DS-GVO. Jedenfalls ist im vorliegenden Einzelfall dadurch kein materieller bzw. immaterieller Schaden bei der Klagepartei eingetreten, sodass eine Ersatzpflicht nach Art. 82 Abs. 1 DS-GVO ausscheidet. Die Besonderheit liegt nämlich darin, dass der nach Angaben der Klagepartei gescrapte und im Darknet veröffentlichte Datensatz: … lediglich ihre Mobilfunknummer und ihr Geschlecht enthält, aber weder ihren Nachnamen noch ihren Vornamen. Mit der Leitentscheidung des BGH (v. 18.11.2024 – VI ZR 10/24), der eine ausführliche Würdigung der einschlägigen Rspr. des EuGH zum autonom unionsrechtlichen Schadensbegriff in Art. 82 DS-GVO vorgenommen hat, ist davon auszugehen, dass der Begriff des immateriellen Schadens „in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren“ ist. „Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich“. Ein bestimmter Grad an Schwere oder Erheblichkeit ist nicht erforderlich, allerdings bedeutet dies nicht, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen“. Dabei kann auch „der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO“ einen Schaden darstellen. „Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.“ Den Nachweis hierfür muss der Betroffene erbringen. Wenn dies gelingt, der Kontrollverlust also feststeht, „stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern“. „Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen“, wenn die Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen wurde. Die bloße Behauptung einer solchen Befürchtung ohne nachgewiesene negative Folgen oder ein „rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten“ genügen hingegen nicht. „Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss folglich geltend machen (und ggf. nachweisen), dass der Verstoß gegen die DS-GVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen“. Hierfür gelten die allgemeinen Grundsätze, dh dass ein Sachvortrag zur Begründung eines Anspruchs bereits dann schlüssig und erheblich ist, „wenn die Partei Tatsachen vorträgt, die in Verbindung mit einem Rechtssatz geeignet und erforderlich sind, das geltend gemachte Recht als in der Person der Partei entstanden erscheinen zu lassen. Die Angabe näherer Einzelheiten ist nicht erforderlich, soweit diese für die Rechtsfolgen nicht von Bedeutung sind. Das Gericht muss nur in die Lage versetzt werden, aufgrund des tatsächlichen Vorbringens der Partei zu entscheiden, ob die gesetzlichen Voraussetzungen für das Bestehen des geltend gemachten Rechts vorliegen.“ Unter Berücksichtigung dieser Grundsätze ist vorliegend nicht von einem immateriellen Schaden der Klagepartei auszugehen. Zwar hat die Klagepartei schlüssig dargelegt, dass sie einen Verlust der Kontrolle über eigene personenbezogene Daten infolge des oben dargestellten Verstoßes gegen die DS-GVO erlitten hat. Sie hat nämlich zum einen ausgeführt, dass sich ein Datensatz mit ihren personenbezogenen Daten auf einer sog. Hacker-Plattform im Darknet einsehbar befunden hat, und bereits erstinstanzlich den Inhalt in Form eines wörtlichen Zitats wiedergegeben. Die Feststellung, dass auch die Daten der Klagepartei von dem Scraping-Vorfall betroffen waren, ergibt sich auch aus dem Schreiben der Bekl. in Anlage B16. Bei dem in dem veröffentlichten Datensatz enthaltenen Daten handelte es sich auch nicht nur um solche, die immer öffentlich auffindbar sind, sobald ein Nutzer ein Profil bei F. anlegt. Denn dies betrifft nur die Nutzer-ID, den Namen sowie das Geschlecht. Hingegen waren in dem Datensatz zusätzliche Informationen, insb. die Mobilfunknummer der Klagepartei, enthalten, was die Zuordnung der Nummer zu einer bestimmten Person mit bestimmten Merkmalen und dadurch auch deren persönliche Anrede iRv in betrügerischer Absicht geplanten Kontaktversuchen ermöglichte. Allerdings hat die Klagepartei sich vorliegend nicht unter ihrem richtigen Namen auf F. angemeldet, sondern unter dem Fantasienamen …. Dabei mag es sich bei dem angegebenen Vornamen … noch um eine Abkürzung des Vornamens der Klagepartei handeln. Der angegebene Nachname … hat indes keinerlei Ähnlichkeit mit dem Nachnamen der Klagepartei. Daher fehlt vorliegend die gerade als entscheidend anzusehende Verknüpfung ihrer Mobilfunknummer mit dem Namen der Klagepartei, da diese ein besonderes Missbrauchsrisiko birgt. Vielmehr liegt der hier erlittene Kontrollverlust lediglich darin, dass die Mobilfunknummer einer … Person zugeordnet werden konnte, die unter einer bestimmten Nutzer-ID bei F. registriert ist. Dieser Kontrollverlust hinsichtlich persönlicher Daten ist jedoch als äußerst gering einzuschätzen, insb. fehlt es an der Herstellung eines Datensatzes aus der Mobilfunknummer und weiteren bei der Bekl. veröffentlichten persönlichen Daten. Die vorliegend erfolgte Verknüpfung und die Herstellung eines vollkommen rudimentären „Datensatzes“ ist daher unter dem Gesichtspunkt eines möglichen Missbrauchs als so gering einzustufen, dass sie keinen ausgleichspflichtigen Schaden darstellt. Das von der Klagepartei in ihrer persönlichen Anhörung vor dem LG berichtete erhöhte Spam-Aufkommen geht nämlich weder nach Umfang noch nach seiner Art nicht über das übliche Maß hinaus, da es insb. nicht infolge der Verwendung einer persönlichen Anrede eine besondere Gefährdung mit sich bringen konnte. Im Gegenteil ist es für die Klagepartei sogar leichter, eine missbräuchliche Kontaktaufnahme zu erkennen, wenn sie darin mit dem bei der Registrierung bei F. verwendeten Fantasienamen angesprochen wird. Aus diesem Grund scheidet ein Anspruch auf Ersatz eines immateriellen Schadens genauso aus wie auch die Feststellung der Ersatzpflicht für zukünftige Schäden und der Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten. Denn Art. 82 DS-GVO hat – anders als Art. 83 und 84 DS-GVO, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion.
NEU OLG Sachsen-Anhalt Urt. v. 26.6.2025 – 9 U 88/23	100 EUR (+ 113,53 EUR vorgerichtliche Rechtsanwaltskosten) Der Antrag zu 1 ist jedoch nur teilweise begründet, da der Klagepartei der geltend gemachte Schadensersatz aus Art. 82 Abs. 1 DS-GVO oder aus einer anderen Anspruchsgrundlage allein iHv 100 EUR zusteht. Voraussetzungen dieses Anspruchs sind also ein Verstoß des Verantwortlichen gegen die DS-GVO und ein kausal auf diese Pflichtverletzung zurückzuführender materieller oder immaterieller Schaden des Betroffenen, der für diese Anspruchsvoraussetzungen die Beweislast trägt. Dabei hat derjenige, der geltend macht, von negativen Folgen eines Verstoßes gegen die DS-GVO betroffen zu sein, nachzuweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Beruft er sich auf die Befürchtung, seine personenbezogenen Daten könnten aufgrund des Verstoßes missbräuchlich verwendet werden, hat das nationale Gericht zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Der Bekl. ist eine Pflichtverletzung jedenfalls insofern zur Last zu legen, als sie gegen den Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. b und lit. c, 25 Abs. 2 S. 1 und S. 3 DS-GVO verstoßen hat, indem sie die Voreinstellung für die Auffindbarkeit eines Nutzerprofils anhand der Telefonnummer auf „alle“ setzte. Soweit nach den obigen Ausführungen haftungsbegründende und der Bekl. zuzurechnende Verletzungen der DS-GVO vorliegen, sind diese auch von ihr zu vertreten. Art. 82 DS-GVO ist dahin auszulegen, dass das Verschulden vermutet wird, wenn der Verantwortliche nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist. Ob die Bekl. tatsächlich, wie es die Klagepartei vorgetragen hat, auch gegen sie treffende Verpflichtungen aus Art. 5 Abs. 1 lit. a, lit. b und lit. f, 13, 14,15, 17, 18, 21 und 34 Abs. 1 und Abs. 2 DS-GVO verstoßen hat, bedarf keiner weiteren Prüfung. Ob einer oder mehrere Verstöße gegen die DS-GVO zu einem festgestellten Schaden geführt haben, ist vor dem Hintergrund der ausschließlichen Ausgleichsfunktion des Anspruches aus Art. 82 Abs. 1 DS-GVO ohne Belang. Weder die Anzahl verwirklichter Verstöße, noch ihre Schwere, noch die Frage des Verschuldensgrades haben Einfluss auf die Höhe des Schadensersatzes. Der Schadensersatzanspruch hat allein eine Ausgleichsfunktion. Ein nach Art. 82 Abs. 1 DS-GVO zu kompensierender immaterieller Schaden ergibt sich vorliegend aus einem Kontrollverlust. Darüber hinaus kann sich die Klagepartei zur Vertiefung ihres Anspruchs nicht auf sonstige Befürchtungen, Sorgen oder Ähnlichem oder aus Spam-Kontakten und ihren Folgen stützen. Ein haftungsbegründender immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO kann nach der Rspr. des EuGH schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rspr. des Gerichtshofs und dem vom BGH hierzu vertretenen Verständnis an. Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte gelangt oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping und bei einer Veröffentlichung der Daten im Internet, aber noch nicht – zB – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-Faktor-Authentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht. Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Insoweit muss die betroffene Person den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Entgegen der Auffassung der Bekl. steht vorliegend ein „objektiver Kontrollverlust“ fest. Eine Situation des Kontrollverlusts hat die Klagepartei im Hinblick auf ihre Mobilfunknummer und ihre Verknüpfung mit ihrer A.-ID sowie ihren Vor- und Nachnamen und Geschlecht dargelegt. Insofern reicht es aus, wenn ein Betroffener eine Veröffentlichung seiner Daten im Internet vorträgt und angibt, diese Daten nicht zuvor in einer vergleichbaren Weise allgemein veröffentlicht zu haben. Die Übersendung von Spams begründet entgegen der Ansicht der Klagepartei allenfalls den gerügten Verstoß gegen die DS-GVO, jedoch nicht für sich genommen zugleich einen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO. Außerdem steht nicht fest, dass die Spam-Anrufe und -SMS zumindest mitursächlich auf den Datenschutzverstößen der Bekl., die zu 533 Mio. generierter Datensätze geführt haben, beruhen. Die Klagepartei hat weder hinreichend dargelegt noch – selbst gemessen am Maßstab des § 287 ZPO – bewiesen, dass diese auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sind. Soweit die Bekl. einen Kausalzusammenhang zwischen unterstellter Pflichtverletzung und vermeintlichem Kontrollverlust für die Klagepartei bestreitet, greift dies im Ergebnis nicht durch. Der Senat hat nach der persönlichen Anhörung der Klagepartei gem. § 141 ZPO die hinreichende Überzeugung davon gewonnen, dass vorliegend sowohl das eine wie das andere zu bejahen ist. Aufgrund der Pflichtverletzung der Bekl. steht der Klagepartei ein Schadensersatzanspruch iHv 100 EUR gem. Art. 82 Abs. 1 DS-GVO zu. Die DS-GVO enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes, sodass sich die Bemessung entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung, mithin § 287 ZPO richtet. Dabei unterliegt die innerstaatliche Verfahrensautonomie bei der Ermittlung des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens den sich aus dem unionsrechtlichen Äquivalenz- und Effektivitätsgrundsatz ergebenden Einschränkungen. Eine auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld ist in Anbetracht der Ausgleichsfunktion des in dieser Vorschrift vorgesehenen Schadensersatzanspruchs als „vollständig und wirksam“ iSv Erwägungsgrund 146 S. 6 DS-GVO anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DS-GVO konkret erlittenen Schaden in vollem Umfang auszugleichen. Eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO nicht erfüllen. Infolgedessen darf bei der Bemessung einer Geldentschädigung weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch – wie bereits ausgeführt – der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat oder ob er vorsätzlich oder fahrlässig gehandelt hat. Im Ergebnis soll die zuzusprechende Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausgeht. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Dies gilt auch unter Berücksichtigung des Umstands, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger gewichtig ist als eine Körperverletzung. Bei der auf § 287 ZPO gestützten Bemessung des Entschädigungsbetrags sind dann, wenn wie hier ein Schaden nur in Form eines Kontrollverlusts eingetreten ist, weil weitere Schäden nicht nachgewiesen sind, bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckmäßige Verwendung zu berücksichtigen. Zudem sind die Art des Kontrollverlusts, die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. In Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich ist, kann auch der hypothetische – insb. finanzielle – Aufwand für die Wiedererlangung der Kontrolle als Anhalt für einen effektiven Schadensausgleich dienen. Für die Bemessung eines Schadensersatzanspruchs in Fällen wie dem vorliegenden orientiert sich der Senat an dem Urteil des BGH v. 18.11.2024 (VI ZR 10/24) und nicht an dem Urteil des EuGH v. 8.1.2025 – T 354/22, weil dort eine Verletzung der DS-GVO aufgrund einer Datenübermittlung durch die Kommission selbst und nicht durch ein Scraping von Dritten erfolgte und noch nicht einmal die Anspruchsnorm in jenem Verfahren mit der in dem vorliegenden Verfahren identisch war. Zudem handelte es sich bei der dem EuGH-Urteil zugrundeliegenden Datenübermittlung auch nicht um einen unkontrollierbaren Datenabfluss, sondern um die gezielte und datenschutzwidrige Übermittlung der IP-Adresse an bekannte Server der E. Plattform Inc. in den USA ohne entsprechendes Sicherheitszertifikat. Insgesamt erachtet der Senat für den festgestellten bloßen Kontrollverlust allein der Telefonnummer und des Geschlechts als solchen einen immateriellen Schaden iHv 100 EUR als angemessen. Gegenteiliges ergibt sich schließlich auch nicht aus dem Urteil des BGH v. 28.1.2025 (VI ZR 183/22), weil der dortige Lebenssachverhalt abweicht. Jedenfalls aber hat der BGH in jenem Verfahren keine eigene Bemessung der Höhe eines Schadensersatzanspruchs vorgenommen. Vielmehr hatte dort lediglich die Klagepartei Revision eingelegt und der BGH hat lediglich ausgeführt, dass jedenfalls ein Anspruch über die vom dortigen Berufungsgericht zugesprochenen 500 EUR hinaus nicht in Betracht kommt. Darüber, ob nicht sogar dieser ausgeurteilte Betrag von 500 EUR zu hoch ausgefallen war, hatte der BGH prozessual nicht zu befinden. Eine Minderung der Höhe des Schadensersatzes wegen der Durchführung schadenseindämmender Maßnahmen durch die Bekl. kommt schon deshalb nicht in Betracht, weil nicht ersichtlich ist, dass die Bekl. außer der Abschaltung des Kontakt-Import-Tools Maßnahmen zur Verhinderung der Veröffentlichung der Daten im Darknet ergriffen haben könnte. Der Schadensersatzanspruch der Klagepartei ist auch nicht aufgrund eines im bislang unterbliebenen Rufnummernwechsel zu sehenden Mitverschuldens zu kürzen. Dass der Kl. seine Mobilfunknummer bislang nicht gewechselt hat, dies aber könnte, ist bei der Bemessung des Schadensersatzbetrags vom Senat bereits berücksichtigt worden. Der Klagepartei steht in tenorierter Höhe schließlich auf der Grundlage von Art. 82 Abs. 1 DS-GVO ein Anspruch auf Erstattung der vorgerichtlichen Rechtsanwaltskosten zu. Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren und der Geschädigte im Innenverhältnis zu seinem Rechtsanwalt zur Zahlung verpflichtet ist, grds. zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden.
NEU OLG Dresden Beschl. v. 24.6.2025 – 4 U 424/25	150 EUR Der Klagepartei steht ein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO zu. Die Bekl. hat bei der Verarbeitung der Daten gegen die Bestimmungen der DS-GVO verstoßen, hieraus ist der Klagepartei auch kausal ein Kontrollverlust erwachsen. Die Bekl. hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die DS-GVO verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DS-GVO verstoßen, denn in dem relevanten Zeitraum war die Standardeinstellung für die Suchbarkeit nach der Telefonnummer auf „alle“ und damit nicht datenschutzfreundlich (data protection by default) auf „nur ich“ eingestellt. Die Bekl. hat die Handynummer der Klagepartei mit der ab dem 25.5.2018 fortgesetzten Verarbeitung in der Suchbarkeitsfunktion ohne ausreichenden Rechtfertigungsgrund gem. Art. 6 DS-GVO verarbeitet. Die weitere Datenverarbeitung ist nur dann rechtmäßig, wenn ab diesem Zeitpunkt mindestens einer der Bedingungen des Art. 6 DS-GVO vorliegt. Dies ist nicht der Fall. Offenbleiben kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 24, 32 DS-GVO ergriffen hat und ob sie ihrer Benachrichtigungspflicht aus Art. 34, 25 DS-GVO und ihrer Auskunftspflicht aus Art. 15 DS-GVO nachgekommen ist. Verstöße iRd Anmeldeprozesses der hier ca. 2010 erfolgte – fallen aus dem zeitlichen Anwendungsbereich der DS-GVO heraus, da die Datenerhebung vor dem 25.5.2018 abgeschlossen war. Allerdings unterfällt die zeitlich nach dem 25.5.2018 liegende Weiterverarbeitung der Daten den Anforderungen der DS-GVO, denn aus Erwägungsgrund 171 S. 2 DS-GVO sowie aus Art. 4 Nr. 2 DS-GVO und Art. 24 Abs. 1 DS-GVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DS-GVO bereits begonnen hatten, bis zum 25.5.2018 in Einklang mit der Verordnung zu bringen. Zudem folgt aus Erwägungsgrund 171 S. 3 DS-GVO, dass die Bekl. zum 25.5.2018 zur Einholung neuer Einwilligungen verpflichtet gewesen ist, soweit bereits bestehende Einwilligungen nicht den Anforderungen an diese Verordnung entsprachen. Es ist davon auszugehen, dass das Scraping nach dem 24.5.2018 erfolgte, da die Bekl. im Rahmen ihrer sekundären Darlegungslast nicht vorgetragen hat, dass sich der Vorfall vor dem Inkrafttreten der DS-GVO ereignet hat. Durch die aufgeführten Datenschutzverstöße der Bekl. erfolgte ein Kontrollverlust der Klagepartei im Hinblick auf die bei der Registrierung eingesetzte Telefonnummer und die Verknüpfung mit Namen und Facebook-ID der Klagepartei, womit ein kausaler immaterieller Schaden gem. Art. 82 DS-GVO entstand. Insoweit wird auf die Rspr. des BGH Bezug genommen. Für die Schadensschätzung ist insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DS-GVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter ist die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (zB Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich kann den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insb. eines Rufnummernwechsels) dienen. Im Urt. v. 18.11.2024 hat der BGH die Schätzung eines solchen Aufwands in einer Größenordnung von 100 EUR für angemessen erachtet. Diesen Betrag hält der auch der Senat grds. für angemessen. Die vom LG vorliegend gem. § 287 Abs. 1 ZPO nach tatrichterlichem Ermessen festgesetzte Höhe des Schadensersatzes von 150 EUR beanstandet der Senat jedoch nicht, weil die Begründung keinerlei Ermessensfehler erkennen lässt.
NEU OLG Dresden Beschl. v. 16.6.2025 – 4 U 1664/24 = ZD 2025, 524	0 EUR Ungeachtet des Umstandes, dass die Kl. keinen Beweis für die Kausalität eines Schadens erbracht hat, hat sie auch einen Schaden in Form eines Kontrollverlusts nicht ausreichend dargelegt. Nach der Rspr. des BGH (vgl. Urt. v. 18.11.2024 – VI ZR 10/24) kann auch der bloße Kontrollverlust einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betroffenen Daten bewiesen ist. Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Dabei reicht die begründete Befürchtung einer Person aus, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die DS-GVO von Dritten missbräuchlich verwendet werden. Die – rechtmäßige – Verarbeitung der Daten durch das Familiengericht, die zudem gerade nicht aufgrund eines Verstoßes gegen die DS-GVO erlangt wurden, stellt jedoch einen solchen Kontrollverlust nicht dar. Gleiches gilt für eine etwaige Verarbeitung der Daten durch die Staatsanwaltschaft.
NEU OLG Stuttgart Urt. v. 11.6.2025 – 4 U 56/23	0 EUR Die Klagepartei hat gegen die Bekl. keinen Anspruch auf Zahlung von Schadensersatz für immaterielle Schäden aus Art. 82 Abs. 1 DS-GVO. Dabei kann dahinstehen, ob der Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst oder ob grds. auch bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorganges haftungsbegründend sein können, denn angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DS-GVO ist in Bezug auf den hier streitgegenständlichen Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Bekl. in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen. Ein Verstoß der Bekl. gegen Art. 5 Abs. 1 lit. f DS-GVO liegt zunächst darin, dass sie keine ausreichenden Sicherungsmaßnahmen gegen den erfolgten massenhaften Abgriff von Nutzerdaten ergriffen hat. Die Bekl. hat zudem gegen Art. 5 Abs. 1 lit. c, 25 Abs. 2 S. 1 und 3 DS-GVO verstoßen, weil die von ihr standardmäßig vorgenommene Voreinstellung der Suchbarkeit eines Nutzerprofils über die Mobilfunknummer auf „alle“ nicht dem Grundsatz der Datenminimierung entsprochen hat. Das nach Art. 82 Abs. 3 DS-GVO zu vermutende Verschulden der Bekl. hat sie nicht ausgeräumt, weil die Bekl. nicht nachgewiesen hat, dass sie in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist. Die Klagepartei hat durch diesen Datenschutzverstoß jedoch keinen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO erlitten. Die Verknüpfung ihrer Mobilfunknummer mit ihrem Namen, der Abgriff und die anschließende Veröffentlichung der Daten im Internet hat keinen Kontrollverlust der Klagepartei über diese Daten bewirkt. Zwar stellt ein Kontrollverlust über die Mobilfunknummer grds. einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO dar. Die betroffene Person muss jedoch den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Der „Verlust der Kontrolle“ wird in Erwägungsgrund 85 DS-GVO erwähnt, eine nähere Definition oder Erläuterung des Begriffs findet sich in der DS-GVO allerdings nicht. Ein Verlust setzt jedenfalls voraus, dass der Betroffene zunächst die Kontrolle über das betreffende personenbezogene Datum hat. Die Kontrolle über ein Datum hat, wer die Herrschaft über dieses ausübt (vgl. etwa die Bedeutungserläuterung bei Duden online), also willens und tatsächlich dazu in der Lage ist, etwa über dessen Offenlegung, Verwendung und Verbreitung zu bestimmen. Sie ist „verloren“, wenn der Berechtigte diesen Einfluss nicht mehr ausüben kann. Eine idS verstandene „Kontrolle“ über ein Datum liegt entweder vor oder nicht. Solange sie nicht besteht, kann sie nicht verloren gehen. Der Verlust kann sich dann durch die weitere Verbreitung des betroffenen Datums nicht wiederholen oder vertiefen. Ausgehend von diesen Grundsätzen ist im konkreten Fall nicht von einem entsprechenden Kontrollverlust der Klagepartei über die Mobilfunknummer und ihren Namen auszugehen. Für die Annahme des Feststellungsinteresses einer auf die Feststellung einer Ersatzpflicht bei Eintritt künftiger Schäden gerichteten und auf Art. 82 Abs. 1 DS-GVO gestützten Klage genügt die bloße Möglichkeit eines durch die Pflichtverletzung verursachten Schadenseintritts, wovon auszugehen ist, wenn eine künftige Schadensentwicklung nicht nur rein theoretischer Natur ist.
NEU OLG Stuttgart Beschl. v. 11.6.2025 – 4 U 151/23	100 EUR Die Klagepartei hat gegen die Bekl. einen Anspruch auf Zahlung von Schadensersatz für immaterielle Schäden aus Art. 82 Abs. 1 DS-GVO iHv 100 EUR. Dabei kann dahinstehen, ob der Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst oder ob grds. auch bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorganges haftungsbegründend sein können, denn angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DS-GVO ist in Bezug auf den hier streitgegenständlichen Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Bekl. in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen. Ein Verstoß der Bekl. gegen Art. 5 Abs. 1 lit. f DS-GVO liegt zunächst darin, dass sie keine ausreichenden Sicherungsmaßnahmen gegen den erfolgten massenhaften Abgriff von Nutzerdaten ergriffen hat. Die Bekl. hat zudem gegen Art. 5 Abs. 1 lit. c, 25 Abs. 2 S. 1 und 3 DS-GVO verstoßen, weil die von ihr standardmäßig vorgenommene Voreinstellung der Suchbarkeit eines Nutzerprofils über die Mobilfunknummer auf „alle“ nicht dem Grundsatz der Datenminimierung entsprochen hat. Die als Verantwortliche darlegungs- und beweispflichtige Bekl. hat insoweit nicht dargetan, dass für die Verarbeitung der Daten der Klagepartei eine der in Art. 6 Abs. 1 S. 1 DS-GVO genannten Rechtsgrundlagen vorlag. Das nach Art. 82 Abs. 3 DS-GVO zu vermutende Verschulden der Bekl. hat sie nicht ausgeräumt, weil die Bekl. nicht nachgewiesen hat, dass sie in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist. Die Klagepartei hat durch diesen Datenschutzverstoß einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO dadurch erlitten, dass ihre Mobilfunknummer verknüpft mit weiteren persönlichen Daten im Internet veröffentlicht wurde. Ein derartiger Kontrollverlust über die Mobilfunknummer stellt einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO dar. Die betroffene Person muss den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Der Senat nimmt insofern Bezug auf die Ausführungen des BGH in seiner Entscheidung v. 18.11.2024 unter Bezugnahme auf Entscheidungen des EuGH und schließt sich diesen an. Der „Verlust der Kontrolle“ wird in Erwägungsgrund 85 DS-GVO erwähnt, eine nähere Definition oder Erläuterung des Begriffs findet sich in der DS-GVO allerdings nicht. Ein Verlust setzt jedenfalls voraus, dass der Betroffene zunächst die Kontrolle über das betreffende personenbezogene Datum hat. Die Kontrolle über ein Datum hat, wer die Herrschaft über dieses ausübt (vgl. etwa die Bedeutungserläuterung bei Duden online), also willens und tatsächlich dazu in der Lage ist, etwa über dessen Offenlegung, Verwendung und Verbreitung zu bestimmen. Sie ist „verloren“, wenn der Berechtigte diesen Einfluss nicht mehr ausüben kann. Eine idS verstandene „Kontrolle“ über ein Datum liegt entweder vor oder nicht. Solange sie nicht besteht, kann sie nicht verloren gehen. Der Verlust kann sich dann durch die weitere Verbreitung des betroffenen Datums nicht wiederholen oder vertiefen. Ausgehend von diesen Grundsätzen ist im konkreten Fall von einem entsprechenden Kontrollverlust der Klagepartei über die Mobilfunknummer auszugehen. Ein Kontrollverlust hinsichtlich weiterer Daten ist dagegen nicht anzunehmen, denn diese Daten hat die Klagepartei nach dem unstreitigen Vorbringen der Bekl. öffentlich einsehbar auf ihrer Profilseite hinterlegt und damit öffentlich zugänglich gemacht bzw. iRd Registrierung bei der Bekl. angegeben, wobei in der dabei verlinkten Datenrichtlinie darauf hingewiesen wird, dass diese Daten immer – auch von Personen, die nicht auf der Plattform der Bekl. registriert sind – gesehen werden können. Hat die Klagepartei damit aber bewusst auf eine Kontrolle dieser Daten verzichtet, so kommt hinsichtlich dieser ein Kontrollverlust nicht in Betracht. Für den aufgrund des streitgegenständlichen Scraping-Vorfalls von der Klagepartei erlittenen Kontrollverlust über ihre Mobilfunknummer hält der Senat einen Schadensersatzanspruch iHv 100 EUR für angemessen. Die DS-GVO enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes. Insb. können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DS-GVO genannten Kriterien herangezogen werden. Nach höchstrichterlicher Rspr. richtet sich die Bemessung des immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO nach den innerstaatlichen Vorschriften und somit vorliegend nach § 287 ZPO unter Berücksichtigung des Äquivalenz- und des Effektivitätsgrundsatzes. In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadensersatzanspruchs, wie sie in Erwägungsgrund 146 S. 6 DS-GVO zum Ausdruck kommt, ist eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen. Eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO dagegen nicht erfüllen. Folglich darf weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen und ob er vorsätzlich gehandelt hat. Der Senat berücksichtigt bei Ausübung seines ihm iRv § 287 ZPO zustehenden Schätzungsermessens zunächst, dass die vom Datenschutzverstoß der Bekl. betroffenen personenbezogenen Daten der Klagepartei nicht besonders sensibel – wie zB die in Art. 9 Abs. 1 DS-GVO genannten – sind, sondern vielmehr iRd täglichen (Geschäfts-) Lebens üblicherweise einer Vielzahl von Personen mitgeteilt werden. Die Mobilfunknummer bezweckt typischerweise die Kontaktaufnahme mit anderen Menschen und wird gerade zu diesem Zweck verwendet. Auf der anderen Seite ist in den Blick zu nehmen, dass Name und Mobilfunknummer der Klagepartei infolge des Scraping-Vorfalls einem unbegrenzten Empfängerkreis für einen nicht unerheblichen Zeitraum zugänglich gemacht wurden und dass es nicht möglich sein wird, den entsprechenden Datensatz der Klagepartei wieder dauerhaft und vollständig aus dem Internet zu entfernen. Insofern wird als effektiver Ausgleich für den von der Klagepartei erlittenen immateriellen Schaden in Form eines Kontrollverlustes und den damit für sie – wie für jedermann – unmittelbar zusammenhängenden Unannehmlichkeiten ein Betrag iHv 100 EUR für angemessen erachtet, um den Schaden vollständig und wirksam auszugleichen. Weitergehende immaterielle auf den streitgegenständlichen Scraping-Vorfall zurückzuführende Schäden sind vorliegend nicht mit der hinreichenden Sicherheit feststellbar. Dabei wird nicht verkannt, dass nach der höchstrichterlichen Rspr. bei psychischen und anderen Beeinträchtigungen ggf. ein Betrag als Ausgleich festzusetzen ist, der über dem im Falle eines bloßen Kontrollverlusts zuzusprechenden Betrag liegt, wenn die Beeinträchtigungen über die Unannehmlichkeiten hinausgehen, die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängen.
NEU OLG München Urt. v. 6.6.2025 – 36 U 1891/24e	200 EUR (+ 280,60 EUR vorgerichtliche Rechtsanwaltskosten) Dem Kl. steht ein Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO iHv 200 EUR zu. Ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO erfordert einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Ein Schaden wird daher nicht bereits aufgrund des Verstoßes gegen die DS-GVO vermutet. Die DS-GVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 DS-GVO enthaltenen Begriffe, insb. in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadensersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DS-GVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind. Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der DS-GVO in vollem Umfang entspricht, namentlich dem Ziel, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Die Bekl. hat mit der Voreinstellung der Suchbarkeit anhand einer Telefonnummer auf „Alle“ gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. b und lit. c, 25 Abs. 2 S. 1, S. 3 DS-GVO verstoßen. Die Bekl. hat zudem ihre Pflichten aus Art. 32 DS-GVO verletzt. Die Bekl. haftet nach Art. 82 Abs. 1 DS-GVO. Die Verschuldensvermutung des Art. 82 Abs. 3 DS-GVO hat sie nicht widerlegt. Art. 5 Abs. 1 lit. b und lit. c, 25 Abs. 2 S. 1, S. 3 DS-GVO sind vom Anwendungsbereich des Art. 82 Abs. 1 DS-GVO erfasst. Selbiges gilt auch für Art. 32, 5 Abs. 1 lit. f DS-GVO. Soweit die Bekl. überhaupt einer sekundären Darlegungslast unterliegt, ist sie dieser nachgekommen. Art. 82 DS-GVO sieht eine Haftung für vermutetes Verschulden vor. Damit hat nicht die betroffene Person iRe Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen nachzuweisen, sondern die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Nach Art. 82 Abs. 3 DS-GVO wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung gem. Art. 82 Abs. 2 DS-GVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Diese Vorschrift ist eng auszulegen. Der Verantwortliche kann sich bei einer Verletzung des Schutzes personenbezogener Daten durch eine unbefugte Offenlegung bzw. einen unbefugten Zugang eines Dritten iSv Art. 4 Nr. 10 DS-GVO nur dann von seiner Haftung befreien, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gibt. Der Scraping-Vorfall kann der Bekl. zwar nicht unmittelbar angelastet werden, weil er durch von ihr unabhängige Personen in unredlicher Absicht durchgeführt wurde. Jedoch hat die Bekl. mittels ihrer Voreinstellung zur Suchbarkeit anhand der Telefonnummer auf „Alle“ den automatisierten und massenhaften Einsatz der Kontakt-Import-Funktion und damit das Abgreifen der öffentlich einsehbaren Daten von betroffenen Nutzern ermöglicht. Für die Bekl. als weltweit agierendes Unternehmen mit langjähriger Erfahrung und spezifischer technischer Expertise im Betrieb von sozialen Netzwerken war es ohne Weiteres erkennbar, dass die von ihr gewählte Voreinstellung zur Suchbarkeit mit Blick darauf, die viele Nutzer es sehr wahrscheinlich bei dieser Voreinstellung belassen werden, das Netzwert zu einem attraktiven Ziel für Scraping machen würde. Die Bekl. unterhielt gerade zu diesem Zwecke eine Abteilung, um die Gefahr solcher Datenabgriffe zu minimieren. Den effektivsten Schritt, das Kontakt-Import-Tool zu deaktivieren bzw. es zu modifizieren, unternahm sie jedoch erst nach dem streitgegenständlichen Vorfall. Durch den Verstoß der Bekl. gegen die Datenschutzbestimmungen ist dem Kl. ein immaterieller Schaden entstanden, den der Senat mit 200 EUR bemisst. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Der Eintritt eines Schadens iRe rechtswidrigen Verarbeitung personenbezogener Daten ist nämlich eine nur potenzielle und keine automatische Folge einer solchen Verarbeitung. Außerdem führt ein Verstoß gegen die DS-GVO nicht zwangsläufig zu einem Schaden. Schließlich muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen. Es ist daher über einen Verstoß gegen die DS-GVO hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines tatsächlichen Schadens (durch diesen Verstoß) erforderlich, den die betroffene Person nachzuweisen hat. Andererseits darf der Ersatz eines immateriellen Schadens nicht davon abhängig gemacht werden, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Dabei kann der – selbst kurzzeitige – bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff den Nachweis zusätzlicher spürbarer negativer Folgen erfordert, etwa eine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der betroffenen Person. Es bedarf auch keiner sich aus dem Kontrollverlust entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person. Diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. In diesen Fällen muss der Kontrollverlust aber feststehen, dh von der betroffenen Person nachgewiesen worden sein. Kann der Betroffene den Kontrollverlust nicht nachweisen, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die DS-GVO von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Jedoch muss in diesem Fall die Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen sein. Die bloße Behauptung reicht ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten aus. Nach diesen Maßstäben ist der Kontrollverlust eingetreten, ein immaterieller Schaden steht damit fest. Es ist unstreitig, dass zumindest der Name und das Geschlecht des Kl. neben der zugeordneten Mobilfunknummer vom Scraping-Vorfall erfasst wurden. Diese Daten wurden von Dritten im Darknet verfügbar gemacht. Für den Kl. besteht keine realistische Möglichkeit, die Kontrolle über seine Daten zurückzuerlangen. Auf die Frage, ob damit Befürchtungen oder Ängste verbunden sind, kommt es daher allenfalls für die Bemessung der Höhe des notwendigen Ausgleichs an, nicht aber für die Feststellung des Schadens als solchem. Bei der Bemessung des Betrags des auf die DS-GVO gestützten Schadensersatzanspruchs sind die in Art. 83 DS-GVO vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden. Die DS-GVO enthält keine Bestimmung über die Bemessung des nach Art. 82 DS-GVO geschuldeten Schadensersatzes. Folglich haben die nationalen Gerichte zum Zweck dieser Bemessung nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die vom EuGH definierten unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Dabei ist zu berücksichtigen, dass dem in Art. 82 Abs. 1 DS-GVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zukommt. Er erfüllt keine Abschreckungs- oder gar Straffunktion, weshalb auch das Vorliegen mehrerer auf denselben Verarbeitungsvorgang bezogener Verstöße nicht zu einer Erhöhung des Schadensersatzes führt. Dies hat u. a. zur Folge, dass sich die Schwere eines solchen Verstoßes nicht auf die Höhe des gewährten Schadensersatzes auswirken darf und der Schadensersatz nicht in einer Höhe bemessen werden darf, die über den vollständigen Ausgleich des Schadens hinausgeht. Darüber hinaus verlangt Art. 82 DS-GVO nicht, dass der Grad des Verschuldens des Verantwortlichen bei der Höhe des Schadensersatzes berücksichtigt wird. Nicht relevant ist des Weiteren, dass der Verstoß gegen die DS-GVO zugleich einen Verstoß gegen nationale Vorschriften mit sich bringt, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DS-GVO zu präzisieren. Ebenso wenig finden die Haltung und die Beweggründe des Verantwortlichen Eingang, zumindest dann nicht, wenn dies dazu dienen soll, der betroffenen Personen einen Schadensersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist. Mithin ist in Anbetracht der Ausgleichsfunktion eine auf Art. 82 DS-GVO gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert. Ein Betrag von 200 EUR gleicht den konkret erlittenen Schaden des Kl. aus. Betroffen war im Wesentlichen die Mobilfunknummer des Kl., nachrangig die anderen, ohnehin stets öffentlich einsehbaren Daten wie Name, Geschlecht und F.-ID, die dennoch in der Zusammenschau mit der Telefonnummer ein durchaus sensibles „Datenpaket“ ergaben. Der Kontrollverlust ist dauerhaft, eine Rückerlangung der Kontrolle über die Daten praktisch ausgeschlossen. Der potenzielle Empfängerkreis dieser Daten ist grds. unbegrenzt. Emotionale Beeinträchtigungen, die sich kausal auf den Datenschutzverstoß beziehen und nicht allein auf die persönlichen psychischen Belastungen, ließen sich den Äußerungen des Kl. hingegen nicht entnehmen, wenngleich er mit seiner Aussage seine Unsicherheit und die Sorge über den erlittenen Datenverlust nachvollziehbar zum Ausdruck gebracht hat. So berichtete er u. a. von regelmäßigen Spam-SMS, insb. solche mit Links zu angeblichen Paketlieferungen, und von Betrugsanrufen, die mit unterdrückter Nummer angeblich von PayPal herrühren. Seine Angaben zeigten auch, dass der Vorgang sein Misstrauen geweckt hat und ihn zu mehr Vorsicht im Umgang mit den Daten im Internet anhält. In der Gesamtwürdigung unter Berücksichtigung der Art der betroffenen Daten und der Beeinträchtigung des Kl. ist die Zahlung von 200 EUR geeignet, die erlittene immaterielle Beeinträchtigung vollständig auszugleichen. Ob die weiteren, vom Kl. behaupteten Verstöße der Bekl. gegen die DS-GVO vorliegen und ob diese von Art. 82 Abs. 1 DS-GVO erfasst sind, kann dahingestellt bleiben. Wie oben ausgeführt, ziehen sie ihr Vorliegen unterstellt mit Blick auf die Ausgleichsfunktion der genannten Norm keine Erhöhung des Schadensersatzanspruchs nach sich. Eine Erweiterung oder Vertiefung des Schadens ist mit einer Verletzung der Aufklärungspflicht und einer Verletzung von Benachrichtigungs- und Informationspflichten etc. nicht verbunden. Es handelt sich um ein einheitliches Schadensereignis mit einheitlichen Folgen. Auch die primär als Anspruchsgrundlage herangezogene Vorschrift des Art. 82 DS-GVO hat jedenfalls dann, wenn mit einem möglichen Verstoß gegen Art. 5 DS-GVO auch eine unrechtmäßige Datenverarbeitung gerügt wird, eine Verletzung des Rechts auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh zum Inhalt. Der Kl. hat Anspruch auf Erstattung der vorgerichtlichen Rechtsanwaltskosten nach Art. 82 Abs. 1 DS-GVO unter dem Gesichtspunkt erforderlicher Kosten einer zweckentsprechenden Rechtsverfolgung.
NEU OLG München Urt. v. 6.6.2025 – 36 U 4233/23e	200 EUR (+ 159,94 EUR vorgerichtliche Rechtsanwaltskosten) Wie OLG München Urt. v. 6.6.2025 – 36 U 1891/24e.
NEU OLG Hamm Urt. v. 6.6.2025 – 11 U 90/23	0 EUR Dem Kl. steht aufgrund des Versandes von Schriftstücken per Telefax an die dortige Antragsgegnerin N. V. in den von ihm geführten Verfahren N01 vor dem VG Münster kein Schadensersatz gem. Art. 82 Abs. 1 DS-GVO zu. Vorliegend fällt dem beklagten Land zwar ein Verstoß gegen die Vorschriften der DS-GVO zur Last. Jedoch vermochte der Kl. den Eintritt eines ersatzfähigen Schadens nicht nachzuweisen. Das VG Münster hat durch das von ihm durchgeführte unverschlüsselte Übermitteln von Schriftstücken mittels Telefax an die N. V. gegen die Vorschrift des Art. 32 DS-GVO iVm Art. 5 DS-GVO verstoßen. Für den Verstoß durch eine Landesbehörde bei der Ausführung einer dienstlichen Tätigkeit ist das beklagte Land verantwortlich. Eine Exkulpation des beklagten Landes gem. Art. 82 Abs. 3 DS-GVO ist nicht erfolgt. Gleichwohl hat die Klage keinen Erfolg, denn es kann nicht festgestellt werden, dass dem Kl. aufgrund des Verstoßes gegen die Datenschutzbestimmung ein immaterieller Schaden entstanden ist. Nach der Rspr. des EuGH und des BGH, welcher der erkennende Senat folgt, muss neben den Verstoß gegen die DS-GVO ein Schaden treten, um einen Anspruch auf Schadensersatz auszulösen. Der immaterielle Schaden besteht nicht schon in der Verletzung der Vorschriften der DS-GVO. Erforderlich ist vielmehr iSe eigenständigen Anspruchsvoraussetzung ein Schaden, der tatsächlich eingetreten sein muss, ohne dass er einen bestimmten Grad an Schwere oder Erheblichkeit erreichen muss. Ein solcher Schaden ergibt sich vorliegend jedoch weder aufgrund eines Kontrollverlusts hinsichtlich der persönlichen Daten des Kl. noch aufgrund von Befürchtungen, Sorgen oder Ähnlichem. Ein Schaden allein aufgrund eines Kontrollverlusts ist nicht eingetreten. Wie der BGH im Urt. v. 18.11.2024 entschieden hat, stellt der – selbst kurzzeitige – Verlust der Kontrolle über Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO dar, ohne dass es sich daraus entwickelnder besonderer Befürchtungen oder Ängste der betroffenen Person bedarf; solche zusätzlichen spürbaren negativen Folgen sind lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Ebenso wenig ist erforderlich, dass es im konkreten Einzelfall zu einer missbräuchlichen Verwendung der betreffenden Daten gekommen ist. Der erkennende Senat folgt dieser Auslegung der DS-GVO. Gleichwohl lässt sich vorliegend nicht feststellen, dass es hinsichtlich der persönlichen Daten des Kl. aufgrund des Telefaxversands zu einem Kontrollverlust gekommen ist. Zwar steht außer Frage, dass durch die Versendung der Telefaxe die in den gefaxten Schreiben enthaltenen persönlichen Daten des Kl. den Kontrollbereich des beklagten Landes verlassen haben. Gleichwohl fehlt aber jeder Anhaltspunkt und ist praktisch auszuschließen, dass diese Daten auf dem gewählten Übermittlungsweg einem anderen Empfänger als der dazu bestimmten und berechtigten Empfängerin, der N. V., zur Kenntnis gelangt sind. Denn – wie bereits oben ausgeführt wurde – fehlt jeder Anhaltspunkt dafür, dass es zu einer systematischen Überwachung des Faxverkehrs des VG Münster oder der N. V. durch Dritte gekommen sein könnte, zumal die Antragstellung des Kl. gegen die N. für keinen außenstehenden Dritten absehbar war. Zudem hat der Kl. weder schriftsätzlich vorgetragen, noch vermochte er bei seiner Anhörung durch den Senat darzustellen, dass es nach dem Versenden der Telefaxe zu irgendwelchen Vorfällen kam, die konkret zu der Sorge Anlass geben konnten, dass die gefaxten persönlichen Daten für einen unbefugten Dritten verfügbar geworden sind. Nachdem im Zeitpunkt der Anhörung des Kl. durch den Senat am 17.1.2025 bereits mehr als 3 Jahre seit dem Versenden der Telefaxe vergangen waren, besteht aus Sicht des Senats kein vernünftiger Zweifel mehr daran, dass die datenschutzwidrige Versendung der Telefaxe – erwartungsgemäß – folgenlos geblieben ist. Allerdings reicht auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden konnte, die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die DS-GVO von Dritten missbräuchlich verwendet wird, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen muss nachgewiesen sein. Lediglich die bloße Behauptung einer Befürchtung ohne nachgewiesene negativen Folgen genügt ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Der Senat geht zwar nach dem Ergebnis der Anhörung des Kl. davon aus, dass die Kenntnis von dem eingetretenen Datenschutzverstoß kurzzeitig die Besorgnis bei ihm ausgelöst hat, dass Kriminelle an die Daten gelangt sind und daher Straftaten ihm gegenüber planen könnten. Ebenso lässt sich seine Verärgerung über die Handhabung bei dem VG ungeachtet der von ihm ausdrücklich geäußerten und unter Darlegung seiner persönlichen Situation begründeten Bitte, keine Schriftstücke per Telefax zu versenden, nachvollziehen. Gleichwohl scheitert das Ersatzverlangen des Kl. daran, dass nach der Rspr. des BGH, der der Senat folgt, die vom Anspruchsteller angeführte Besorgnis vor einer missbräuchlichen Verwendung seiner Daten durch unbefugte Dritte in objektiver Hinsicht „begründet“ sein muss und ein rein hypothetisches Risiko insoweit nicht ausreicht. Gleiches gilt auch für vom Antragsteller aufgrund des Datenschutzverstoßes geltend gemachte negative Gefühle wie Unmut und Ärger über den Datenschutzverstoß. Auch solche negativen Empfindungen vermögen nur dann einen zu entschädigenden Schaden darstellen, wenn für sie in objektiver Hinsicht ein begründeter Anlass besteht. Dies setzt die Anwendung eines objektiven Maßstabs voraus. Dabei ist u. a. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung. Danach lässt sich vorliegend ein zu ersetzender immaterieller Schaden des Kl. nicht feststellen, weil sich das durch die Telefaxversendung geschaffene Risiko, dass die Daten des Kl. durch eine Überwachung der Datenübermittlung an unbefugte Dritte gelangt sind und von ihnen missbräuchlich verwendet werden, in der hier vorliegenden Situation letztlich als rein hypothetische Möglichkeit erweist, welche sich nicht realisiert hat und für deren Realisierungsgefahr kein auch nur geringfügiger konkreter Anhaltspunkt erkennbar ist.
NEU OLG Dresden Urt. v. 5.6.2025 – 8 U 1482/24	0 EUR Ein weitergehender Schadensersatzanspruch kann auch nicht aus den überdies (erstinstanzlich) angeführten Anspruchsgrundlagen § 823 Abs. 2 BGB iVm § 55 ZAG und Art. 82 DS-GVO abgeleitet werden. Hinsichtlich des behaupteten Verstoßes der Bekl. iSv Art. 82 Abs. 1 DS-GVO gegen Art. 43 DS-GVO erweist sich der Klägervortrag – jedenfalls im Hinblick auf die Kausalität und den Schadenseintritt – bereits als unschlüssig. Der Kl. rügt, die Bekl. habe mit einem TÜV-Siegel der TÜV Rheinland AG für die Sicherheit und Datenschutzkonformität ihres Online-Banking-Verfahrens geworben, ohne dass die Prüfgesellschaft – wie vorausgesetzt – eine Zertifizierungsstelle iSv Art. 43 DS-GVO gewesen sei. Grds. ersatzfähig sind materielle und immaterielle Schäden, die durch einen Verstoß gegen die DS-GVO verursacht wurden. Der Nachweis der Ursächlichkeit und des Eintritts eines Schadens als haftungsbegründendem Umstand obliegt dabei dem Betroffenen. Beweiserleichterungen gelten hierfür nicht. Es ist nicht vorgetragen oder naheliegend, dass es dem Kl. darum gegangen wäre, sein Online-Banking ausschließlich bei einem von einer Zertifizierungsstelle iSv Art. 43 DS-GVO geprüften Kreditunternehmen zu unterhalten. Ferner erschließt sich im Hinblick auf die haftungsausfüllende Kausalität nicht, inwieweit der gerügte Verstoß für die beim Kl. eingetretenen Schäden ursächlich gewesen sein soll.
OLG Braunschweig Urt. v. 5.6.2025 – 2 U 71/24	100 EUR (+ 90,96 EUR vorgerichtliche Rechtsanwaltskosten) Ähnlich wie OLG Köln Urt. v. 3.4.2025 – 15 U 41/23.
NEU OLG Hamm Urt. v. 4.6.2025 – I-11 U 152/24	0 EUR Eine immaterielle Schadenersatzzahlung kann der Kl. nicht gem. Art. 82 DS-GVO beanspruchen. Die Voraussetzungen eines Anspruchs aus Art. 82 Abs. 2, Abs. 1 DS-GVO liegen nicht vor. Die Bekl. hat gegen Art. 5 Abs. 1 lit. a, 6 Abs. 1 UAbs. 1, 5 Abs. 1 lit. b, 25 Abs. 1 und Abs. 2, 5 Abs. 1 lit. f und 32 DS-GVO verstoßen. Hiervon muss der Senat jedenfalls ausgehen, da die Bekl. Verstöße gegen diese Vorschriften nicht konkret ausgeräumt hat, obwohl ihr das nach Art. 5 Abs. 2 DS-GVO oblegen hat. Art. 5 Abs. 2 DS-GVO regelt im Rahmen seines Anwendungsbereichs, also bei Verstößen gegen Art. 5 Abs. 1 DS-GVO, auch die Beweislast im zivilrechtlichen Verfahren. Ein auf die vorgenannten Verstöße der Bekl. gegen die Bestimmungen der DS-GVO zurückzuführender immaterieller Schaden des Kl. lässt sich jedoch nicht feststellen. Nach der Rspr. des EuGH muss ein Schaden neben den Verstoß gegen die DS-GVO treten, um einen Anspruch auf Schadensersatz auszulösen; der immaterielle Schaden besteht nicht schon in der Verletzung der Vorschriften der DS-GVO. Ein Schaden allein aufgrund eines Kontrollverlusts ist nicht feststellbar. Allerdings kann der vom Kl. geltend gemachte Kontrollverlust für sich gesehen einen immateriellen Schaden darstellen. Jedoch liegt ein Kontrollverlust bei dem Kl. nicht vor. Wie der BGH im Urt. v. 18.11.2024 entschieden hat, stellt der – selbst kurzzeitige – Verlust der Kontrolle über Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO dar, ohne dass es sich daraus entwickelnder besonderer Befürchtungen oder Ängste der betroffenen Person bedarf; solche zusätzlichen spürbaren negativen Folgen sind lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Ebenso wenig ist erforderlich, dass es im konkreten Einzelfall zu einer missbräuchlichen Verwendung der betreffenden Daten gekommen ist. Der erkennende Senat folgt – unter Aufgabe einer früheren abweichenden Rspr. – dieser Auslegung der DS-GVO. Ein Anspruch scheitert im vorliegenden Einzelfall – im Hinblick auf den betroffenen Namen, das Geschlecht und die Mobilfunknummer des Kl. – daran, dass der Kl. einen Kontrollverlust – wenn auch pauschal – zwar schriftsätzlich ausreichend dargelegt, aber zur Überzeugung des Senats nicht bewiesen hat. Dabei ist zwischen dem Vortrag zu einem Kontrollverlust und dem Nachweis desselben zu unterscheiden. Eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, hat nachzuweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Deswegen stellt erst der – von der betroffenen Person – bewiesene objektive Kontrollverlust einen ersatzpflichtigen Schaden dar. Steht das Risiko, Dritte könnten die Telefonnummer einer betroffenen Person nicht datenschutzkonform verarbeiten, der Darlegung eines Kontrollverlusts zwar grds. nicht entgegen, schließt dies nicht aus, dass der von der Person zu führende Nachweis eines Kontrollverlusts misslingen kann, etwa wenn eine Verwirklichung dieses Risikos vor dem zu beurteilenden Scraping-Schadensfall gerade nicht ausgeschlossen werden kann. Der Hinweis des BGH auf ein nicht bereits der Darlegung entgegenstehendes Risiko wäre überflüssig, wenn eine Verwirklichung dieses Risikos bei der weiteren Beweisführung nicht zu berücksichtigen wäre. So führt der BGH zudem unter Rn. 39 der genannten Entscheidung aus, dass der Kl. zum Kontrollverlust angegeben habe, „seine Telefonnummer stets bewusst und zielgerichtet weiterzugeben und diese nicht wahl- und grundlos der Öffentlichkeit, wie etwa im Internet, zugänglich zu machen“, was ebenfalls deutlich macht, dass (auch) diese Punkte iRe zu beweisenden Kontrollverlusts zu berücksichtigen sind.
OLG Düsseldorf Urt. v. 22.5.2025 – 16 U 99/24	75 EUR (+ 159,94 EUR vorgerichtliche Rechtsanwaltskosten) Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag ist zulässig und auch teilweise begründet. Der Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO iHv 75 EUR nebst Zinsen ab Rechtshängigkeit zu. Der zulässige Antrag ist in der Hauptsache auch teilweise begründet. Gemäß Art. 82 Abs. 1 DS-GVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die DS-GVO, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus. Die Bekl. hat nicht nur gegen die DS-GVO verstoßen, sondern die Kl. hat dadurch auch einen ersatzfähigen immateriellen Schaden erlitten. Einen ihr durch Datenschutzverstöße der Bekl. entstandenen materiellen Schaden macht die Kl. nicht geltend. Der von Art. 82 Abs. 1 DS-GVO für einen Schadensersatzanspruch verlangte Verstoß gegen die DS-GVO liegt vor. Dabei kann hier dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der DS-GVO oder erst eine verordnungswidrige Datenverarbeitung iSv Art. 82 Abs. 2 Satz 1 DS-GVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen kann. Da die Bekl. – wie noch auszuführen ist – personenbezogene Daten der Kl. ohne die nach Art. 6 Abs. 1 DS-GVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die DS-GVO, sondern auch eine verordnungswidrige Datenverarbeitung vor. Für die Funktionalität, welche die Suchbarkeit des Nutzerprofils der Kl. anhand der Mobilfunknummer ermöglichte, hat die Bekl. keine der Rechtmäßigkeitsbedingungen nach Art. 6 Abs. 1 UAbs. 1 DS-GVO dargelegt. Es kommt in diesem Zusammenhang für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auch nicht darauf an, ob der Bekl. wegen des die Mobilfunknummer erfassenden Datenverarbeitungsvorgangs über den einen festgestellten Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße durch ein und denselben Verarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen. Der Kl. ist infolge des Datenschutzverstoßes der Bekl. auch ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DS-GVO ist in Ermangelung eines in der Vorschrift enthaltenen Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu bestimmen. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rspr. des EuGH ausgeformt worden ist. Zwar soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich. Ein haftungsbegründender immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO kann jedoch nach der Rspr. des Gerichtshofs schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rspr. des Gerichtshofs dem vom BGH hierzu vertretenen Verständnis an. Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte gelangt oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping und bei einer Veröffentlichung der Daten im Internet, aber noch nicht – zB – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-Faktor-Authentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht. Eine Situation des Kontrollverlusts hat die Kl. im Hinblick auf ihre Mobilfunknummer und deren Verknüpfung mit ihrer A.-ID und ihrem Vor- und Nachnamen dargelegt. Insofern reicht es aus, wenn ein Betroffener eine Veröffentlichung seiner Daten im Internet vorträgt und angibt, diese Daten nicht zuvor in einer vergleichbaren Weise allgemein veröffentlicht zu haben. Einen solchen Vortrag hat die Kl. gehalten. Ein bereits zuvor eingetretener Kontrollverlust ergibt sich nicht daraus, dass die Kl. im Rahmen ihrer informatorischen Anhörung vor dem LG angegeben hat, ihre Mobilfunknummer iRd Zwei-Faktor-Authentifizierung bei PayPal zu nutzen. Das steht einer allgemeinen Veröffentlichung nicht gleich. Der Abgriff der Daten war in erster Instanz zudem ebenso unstreitig wie eine Veröffentlichung im Internet im Jahr 2021. Soweit die Bekl. erstmals zum Ende der Berufungsinstanz eine Kausalität zwischen dem Datenabgriff und dem Kontrollverlust bestreitet, kann sie hiermit nicht mehr gehört werden. Das Vorbringen ist nach § 138 Abs. 1 ZPO unbeachtlich. Die Höhe des der Kl. gemäß Art. 82 Abs. 1 DS-GVO für den ihr entstandenen immateriellen Schaden zustehenden Schadensersatzes bemisst sich nach den schadensersatzrechtlichen Grundsätzen des deutschen Rechts. Die DS-GVO enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes. Insb. können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DS-GVO genannten Kriterien herangezogen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist damit insb. die Verfahrensvorschrift des § 287 ZPO anzuwenden. Bei der Ermittlung des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens unterliegt die innerstaatliche Verfahrensausautonomie allerdings den sich aus dem unionsrechtlichen Äquivalenz- und Effektivitätsgrundsatz ergebenden Einschränkungen. Eine auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld ist in Anbetracht der Ausgleichsfunktion des in dieser Vorschrift vorgesehenen Schadensersatzanspruchs als „vollständig und wirksam“ iSv Erwägungsgrund 146 Satz 6 DS-GVO anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DS-GVO konkret erlittenen Schaden in vollem Umfang auszugleichen. Eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO nicht erfüllen. Infolgedessen darf bei der Bemessung einer Geldentschädigung weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch – wie bereits ausgeführt – der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat oder ob er vorsätzlich oder fahrlässig gehandelt hat. Im Ergebnis soll die zuzusprechende Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausgeht. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Dies gilt auch unter Berücksichtigung des Umstands, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger gewichtig ist als eine Körperverletzung. Bei der auf § 287 ZPO gestützten Bemessung des Entschädigungsbetrags sind dann, wenn ein Schaden nur in Form eines Kontrollverlusts an personenbezogenen Daten eingetreten ist, weil weitere Schäden nicht nachgewiesen sind, bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckmäßige Verwendung zu berücksichtigen. Zudem sind die Art des Kontrollverlusts, die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. In Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich ist, kann auch der hypothetische – insb. finanzielle – Aufwand für die Wiedererlangung der Kontrolle als Anhalt für einen effektiven Schadensausgleich dienen. Nach diesen Maßgaben wird der der Kl. mit dem Kontrollverlust entstandene Schaden mit einem Betrag von 75 EUR effektiv ausgeglichen. Das ergibt eine Gesamtwürdigung der im Fall der Kl. maßgeblichen Umstände. Nach diesen war ein Abschlag von dem vom Senat für den reinen Kontrollverlust sonst regelmäßig zugesprochenen Betrag von 100 EUR gerechtfertigt, weil der Verlust der Kontrolle über die Mobilfunknummer durch einen Wechsel der Nummer in der Zeit zwischen dem Auftauchen abgegriffener Daten im Internet im Jahr 2021 und dem 24. Januar 2024 – dem Termin der mündlichen Verhandlung vor dem LG – sein Ende gefunden hat. Auf Nachfrage des Senats wusste der Prozessbevollmächtigte der Kl. im Termin zur mündlichen Verhandlung vom 11. April 2025 nicht anzugeben, wann die Kl. ihre Telefonnummer in diesem Zeitraum exakt gewechselt hat. Ein Kontrollverlust steht zwar nur hinsichtlich der Mobilfunknummer und ihrer Verknüpfung mit der A.-ID, dem Vor- und dem abgekürzten Nachnamen der Kl. fest. Ob ihre Telefonnummer auch noch mit weiteren Daten ihres Nutzerprofils – konkret dem Wohnort – verknüpft worden ist, wie sie behauptet, kann jedoch dahinstehen. Auf die Höhe des Schadensersatzes hätte es keinen Einfluss, wenn das zuträfe, weil die Kl. – wie bereits festgestellt – in die Veröffentlichung dieser Daten eingewilligt hatte. Wegen dieser Selbstöffnung kommt der von der Kl. behaupteten Verknüpfung auch dieser Daten mit der Mobilfunknummer bei der Bemessung einer Entschädigung kein entscheidendes Gewicht mehr zu. Entscheidend für die Schadenshöhe ist vielmehr allein der auch von der Kl. in den Mittelpunkt ihres Vortrags gerückte Umstand, dass die Bekl. gegenüber unbekannten Dritten ohne ihre Einwilligung dazu die Mobilfunknummer mit weiteren – ohnehin öffentlichen, mit welchen auch immer – Profildaten verknüpft und daraus einen Datensatz bereitgestellt hat. Bei Bemessung der Schadenshöhe nicht zu berücksichtigen sind weitere von der Kl. auf den Kontrollverlust zurückgeführte Unannehmlichkeiten. Zwar stellen mit dem Kontrollverlust verbundene negative Gefühle wie Ängste und Befürchtungen sowie in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Datenmissbrauch aufgewandte Zeit und Mühe Umstände dar, die einen bereits mit dem reinen Kontrollverlust eingetretenen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO vertiefen oder vergrößern können. Das gilt jedenfalls dann, wenn sie über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen. Auch eine etwaige psychische Belastung durch Spam-Anrufe und Spam-SMS, die auf den Kontrollverlust zurückzuführen sind, kann den immateriellen Schaden vergrößern. Entsprechende Beeinträchtigungen der Kl. hat das LG jedoch nicht festgestellt, obwohl es die Kl. informatorisch angehört hat. Der Kl. steht gegen die Bekl. infolge des von der Bekl. begangenen Datenschutzverstoßes aus Art. 82 Abs. 1 DS-GVO ein auf Ersatz vorgerichtlicher Rechtsanwaltskosten gerichteter materiell-rechtlicher Kostenerstattungsanspruch in der aus dem Tenor ersichtlichen Höhe zu, der zudem wie tenoriert zu verzinsen ist. Das Verfahren ist auf den Antrag der Bekl. im nicht nachgelassenen Schriftsatz vom 7. Mai 2025 auch nicht in entsprechender Anwendung von § 148 ZPO auszusetzen. Anders als das LG Erfurt in seinem von der Bekl. in Bezug genommenen Aussetzungsbeschluss vom 3. April 2025 – 8 O 895/23 – sieht der Senat die Frage, ob der bloße Verlust der Kontrolle über personenbezogene Daten einen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen kann, im Einklang mit dem BGH und dem BAG als durch die Rspr. des EuGH geklärt an. IÜ geht der Senat von einem anderen Sachverhalt als das LG Erfurt aus, weil nach den obigen Feststellungen des Senats die datenschutzrechtliche Verantwortung für die Verknüpfung der Telefonnummer mit den Profildaten der A.-Nutzer bei der Bekl. liegt.
OLG Düsseldorf Urt. v. 22.5.2025 – 16 U 185/24	100 EUR Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag zu 1. ist zulässig und auch teilweise begründet. Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO iHv 100 EUR nebst Zinsen ab Rechtshängigkeit zu. Der zulässige Antrag ist in der Hauptsache auch teilweise begründet. Gemäß Art. 82 Abs. 1 DS-GVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die DS-GVO, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus. Die Bekl. hat nicht nur gegen die DS-GVO verstoßen, sondern der Kl. hat dadurch auch einen ersatzfähigen immateriellen Schaden erlitten. Einen ihm durch Datenschutzverstöße der Bekl. entstandenen materiellen Schaden macht der Kl. nicht geltend. Der von Art. 82 Abs. 1 DS-GVO für einen Schadensersatzanspruch verlangte Verstoß gegen die DS-GVO liegt vor. Dabei kann hier dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der DS-GVO oder erst eine verordnungswidrige Datenverarbeitung iSv Art. 82 Abs. 2 Satz 1 DS-GVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen kann. Da die Bekl. – wie noch auszuführen ist – personenbezogene Daten des Kl. ohne die nach Art. 6 Abs. 1 DS-GVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die DS-GVO, sondern auch eine verordnungswidrige Datenverarbeitung vor. Es kommt in diesem Zusammenhang für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auch nicht darauf an, ob der Bekl. wegen des die Mobilfunknummer erfassenden Datenverarbeitungsvorgangs über den einen festgestellten Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße durch ein und denselben Verarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen. Dem Kl. ist infolge des Datenschutzverstoßes der Bekl. auch ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DS-GVO ist in Ermangelung eines in der Vorschrift enthaltenen Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu bestimmen. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rspr. des EuGH ausgeformt worden ist. Zwar soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich. Ein haftungsbegründender immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO kann jedoch nach der Rspr. des Gerichtshofs schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rspr. des Gerichtshofs dem vom BGH hierzu vertretenen Verständnis an. Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte gelangt oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping und bei einer Veröffentlichung der Daten im Internet, aber noch nicht – zB – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-Faktor-Authentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht. Die Höhe des dem Kl. gemäß Art. 82 Abs. 1 DS-GVO für den ihm entstandenen immateriellen Schaden zustehenden Schadensersatzes bemisst sich nach den schadensersatzrechtlichen Grundsätzen des deutschen Rechts.
NEU OLG Dresden Beschl. v. 22.5.2025 – 4 U 68/25	0 EUR Der Klagepartei steht der geltend gemachte Schadensersatz weder aus Art. 82 Abs. 1 DS-GVO noch aus einer anderen Anspruchsgrundlage zu. Ob die Bekl. bei der Verarbeitung der Daten gegen die Bestimmungen der DS-GVO verstoßen hat, kann daher im Ergebnis offenbleiben. Eine Betroffenheit der Klagepartei von einem Datenschutzvorfall bei der Bekl. unterstellt, wäre ihr kein kausaler Schaden in Form eines Kontrollverlustes entstanden. Die Klagepartei hat nämlich nicht nachgewiesen, dass die für sie negativen Folgen dieses Verstoßes einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Hierfür muss die Befürchtung einer missbräuchlichen Verwendung personenbezogener Daten unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden können. Dazu muss die betroffene Person den Nachweis erbringen, dass sie einen in einem Kontrollverlust bestehenden Schaden erlitten hat. Ein solcher Schaden konnte hier indes nicht mehr eintreten. Die von der Klagepartei angegebene E-Mail-Adresse v…@web.de ist nach einer Abfrage des Senats auf der Webseite www.xyxyx.com (Stand: 20.5.2025) bereits im Dezember 2016 und damit vor dem verfahrensgegenständlichen Datenschutzvorfall von einem anderen Datenleck betroffen gewesen. Hiernach kam es vor dem bei der Bekl. eingetretenen Vorfall durch eine als „Anti Public“ bezeichnete „Combo-Liste“ zum Verlust u. a. der streitgegenständlichen E-Mail-Adresse der Klagepartei. Zwar steht das Risiko, dass auch Dritte das Datum nicht datenschutzkonform verarbeitet haben, der Darlegung eines Kontrollverlustes nicht entgegen. Dies gilt jedoch nur, solange sich dieses nicht unstreitig vor dem Eintritt des Datenschutzvorfalls verwirklicht hat. So liegt es aber hier.
OLG Jena Urt. v. 21.5.2025 – 2 U 583/23	0 EUR Ein Anspruch der Klagepartei auf Ersatz immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO besteht nicht. Konkrete Anhaltspunkte dafür, dass die Daten des Kl. tatsächlich nach dem 24.5.2018 abgegriffen wurden, legt der Kl. nicht dar und sind auch nicht ersichtlich.
NEU OLG Koblenz Urt. v. 20.5.2025 – 4 U 779/23	0 EUR Der Anspruch des Kl. auf Zahlung eines immateriellen Schadensersatzes von 80 EUR ergibt sich aus Art. 82 Abs. 1 DS-GVO. Das Handeln der Bekl. erweist sich auch nicht als gerechtfertigt. Ob einer oder mehrere Verstöße gegen die DS-GVO zu einem festgestellten Schaden geführt haben, ist vor dem Hintergrund der ausschließlichen Ausgleichsfunktion des Anspruchs aus Art. 82 Abs. 1 DS-GVO ohne Belang. Weder die Anzahl verwirklichter Verstöße noch ihre Schwere, noch die Frage des Verschuldensgrads haben Einfluss auf die Höhe des Schadensersatzes. Der Schaden des Kl. besteht in einem Verlust der Kontrolle über das personenbezogene Datum „Telefonnummer“ in Verbindung mit seinem Vornamen und einem Pseudonym. Darüberhinausgehende Schäden ergeben sich nicht, sodass ein immaterieller Schadensersatz iHv 80 EUR als zur vollständigen und wirksamen Schadensausgleichung genügend anzusehen ist. Dass auch die Daten des Kl. von dem Scraping-Vorfall betroffen waren, ergibt sich aus dem unstreitigen Tatbestand der angefochtenen Entscheidung, dessen Unrichtigkeit oder Unvollständigkeit von keiner der Parteien iRe Tatbestandsberichtigung geltend gemacht wurde. Schon der reine (auch kurzfristige) sich aus dieser Abschöpfung ergebende Kontrollverlust an sich stellt einen ausgleichsfähigen Schaden dar, ohne, dass es auf den Nachweis zusätzlicher spürbarer negativer Folgen ankäme. Ist im vorliegenden Fall der Kontrollverlust über die betroffene Rufnummer in Kombination mit dem Namen nach der Art der Veröffentlichung zwar als dauerhaft und der potenzielle Empfängerkreis als groß anzusehen, so kann ihm doch mit dem Wechsel der Rufnummer begegnet werden. Auf dieser Grundlage hält der Senat in den typischen Fällen des sog. Scraping eine Entschädigung iHv 100,00 EUR für angemessen, aber auch ausreichend. Vorliegend hält der Senat eine Reduzierung dieses Betrags um 20 % auf 80 EUR für geboten, nachdem nicht der volle Name des Kl., sondern statt des Nachnamens ein Pseudonym veröffentlicht wurde. Hierdurch war seine Telefonnummer für einen kleineren Personenkreis identifizierbar, weshalb von einer geringeren Betroffenheit auszugehen ist. Konkrete Gründe für eine Schadensbemessung vermag der Senat nicht zu erkennen. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Dieser ist nur dann von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, ihn also keinerlei Verschulden an dem Ereignis trifft, das den Schaden ausgelöst hat.
OLG Koblenz Urt. v. 12.5.2025 – 11 U 1335/24	0 EUR Der Kl. hat mangels eines Verstoßes der Bekl. gegen die DS-GVO durch die Übermittlung seiner Vertragsdaten an die S, jedenfalls aber mangels durch einen etwaigen Verstoß eingetretenen Schadens keinen Anspruch auf Schadensersatz gemäß Art. 82 DS-GVO. Die entsprechende Datenverarbeitung durch die Bekl. war im vorliegenden Fall gemäß Art. 6 Abs. 1 UAbs. 1 Lit. f) DS-GVO gerechtfertigt. Selbst wenn man aber die Datenverarbeitung als unzulässig einstufen wollte, hätte sie vorliegend nicht zu einem Schaden des Kl. geführt. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich, wobei es nicht darauf ankommt, ob der Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Die Beweislast für einen erlittenen materiellen oder immateriellen Schaden trägt derjenige, der ihn geltend macht. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Nach dem Erwägungsgrund 85 zur DS-GVO kann der Schaden etwa im Verlust der Kontrolle über die personenbezogenen Daten oder in der Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellen Verlusten, unbefugter Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen für die betroffene natürliche Person liegen. Dementsprechend hat der EuGH klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen bzw. einer missbräuchlichen Verwendung der betreffenden Daten zum Nachteil dieser Personen erfordert. Auch die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 darstellen. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen genügt jedoch ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss folglich schlüssig geltend machen (und ggf. nachweisen), dass der Verstoß gegen die DS-GVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen. Daran gemessen hat der Kl. durch die Einmeldung der Vertragsdaten bei der SCHUFA keinen Schaden erlitten. Es fehlt an einem Kontrollverlust über die eingemeldeten Vertragsdaten. Ein Kontrollverlust liegt vor, wenn der Betroffene durch die Weitergabe der Vertragsdaten in eine Lage geraten ist, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten verarbeitet werden. Diese Voraussetzungen sind hier nicht erfüllt. Erst recht ist aus den Gründen der angefochtenen Entscheidung auch unter Berücksichtigung der Einlassung des Kl. im Rahmen seiner persönlichen Anhörung durch das LG kein Schaden des Kl. in Form der dargestellten Belastungen und Nachteile feststellbar. Schließlich hat der Kl. mangels Anspruchs in der Hauptsache auch keinen Anspruch gemäß Art. 82 Abs. 1 DS-GVO auf Ersatz der Kosten der außergerichtlichen Rechtsverfolgung.
NEU OLG Frankfurt Urt. v. 9.5.2025 – 6 U 53/24	200 EUR Wie OLG Frankfurt Urt. v. 2.5.2025 – 6 U 11/24.
OLG Bamberg Urt. v. 5.5.2025 – 4 U 120/24e	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO, da die (unstreitig) von der Bekl. vorgenommenen Übermittlung von sog. Positivdaten aus dem Mobilfunkvertrag an die Schufa gerechtfertigt war und damit kein Verstoß gegen Regelungen der DS-GVO vorliegt. Der Senat schließt sich der mehrheitlich vertretenen Auffassung an, wonach die mit der Weitergabe der Daten erfolgte Verarbeitung (Art. 4 Nr. 2 DS-GVO) nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO gerechtfertigt war.
NEU OLG Frankfurt Urt. v. 2.5.2025 – 6 U 6/24	200 EUR Wie OLG Frankfurt Urt. v. 2.5.2025 – 6 U 11/24.
NEU OLG Frankfurt Urt. v. 2.5.2025 – 6 U 14/24	200 EUR Wie OLG Frankfurt Urt. v. 2.5.2025 – 6 U 11/24.
NEU OLG Frankfurt Urt. v. 2.5.2025 – 6 U 11/24	200 EUR Die Klagepartei kann von der Bekl. nach Art. 82 DS-GVO die Zahlung von 200 EUR immateriellem Schadensersatz nebst Prozesszinsen verlangen. Nach der Rspr. des EuGH erfordert ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat sie ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht eine Haftung für vermutetes Verschulden vor; die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Die Bekl. hat bei der Verarbeitung der Daten im zeitlichen Anwendungsbereich der DS-GVO (a) gegen die Bestimmungen der DS-GVO verstoßen, (b) woraus der Klagepartei kausal ein (einheitlicher) immaterieller Schaden in Gestalt eines Kontrollverlustes (c) und durch psychische Beeinträchtigungen, die über die mit dem eingetretenen Kontrollverlust unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen (d), erwachsen ist, sodass der allein für den Kontrollverlust gerechtfertigte Schadensersatz von 100 EUR angemessen zu erhöhen ist (e). Der streitgegenständliche Scraping-Vorfall fällt in den zeitlichen Anwendungsbereich der DS-GVO. Die Klagepartei hat erstinstanzlich behauptet, der Scraping-Vorfall habe sich im Jahr 2019 ereignet. Dem ist die Bekl. bis zum Schluss der erstinstanzlichen Verhandlung nicht erkennbar entgegengetreten. Sie hat nur pauschal darauf verwiesen, „relevanter Zeitraum“ des Datenscrapings sei „Januar 2018 bis September 2019“, ohne auch nur Zweifel an der zeitlichen Anwendbarkeit der DS-GVO zu äußern. Der Vortrag der Klagepartei – der entgegen der Auffassung der Bekl. nicht ohne jeden Anhaltspunkt ins Blaue hinein erfolgt ist – ist daher gemäß § 138 Abs. 3 ZPO als zugestanden anzusehen. Daran ändert der Umstand nichts, dass das LG festgestellt hat, dass der Scraping-Vorfall (insgesamt) in der Zeit von Januar 2018 bis September 2019 stattfand. Soweit die Bekl. erst gegen Ende der Berufungsinstanz mit Nichtwissen bestritten hat, dass das streitgegenständliche Scraping im Jahr 2019 stattgefunden habe, ist sie mit diesem neuen Verteidigungsvorbringen gem. § 531 Abs. 2 S. 1 ZPO präkludiert. Ein Bestreiten mit Nichtwissen (§ 138 Abs. 4 ZPO) sollte auch unzulässig sein. Der Scraping-Vorfall fällt allein in die Sphäre der Bekl. Die Klagepartei steht außerhalb des Geschehensablaufs. Sie besitzt keine Kenntnisse von den maßgeblichen Tatsachen und keine Aufklärungsmöglichkeit. Dafür, dass ihre Daten bereits vor dem 25.5.2018 „gescrapt“ worden wären, besteht kein Anhaltspunkt. Im Streitfall hat die Bekl. die Daten der Klagepartei jedenfalls deshalb nicht datenschutzkonform verarbeitet und damit gegen die DS-GVO verstoßen, weil sie nach deren Inkrafttreten am 25.5.2018 (Art. 99 Abs. 2 DS-GVO) im Zeitraum des streitgegenständlichen Scrapings gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) verstoßen und personenbezogene Daten der Klagepartei ohne wirksame Einwilligung bereitgestellt hat. Nach Art. 5 Abs. 1 lit. c DS-GVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Diese Vorgabe wird (u. a.) durch die Vorgaben zur datenschutzfreundlichen Voreinstellung in Art. 25 DS-GVO konkretisiert. Nach Art. 25 Abs. 2 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grds. nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insb. sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Damit beinhaltet Art. 25 Abs. 2 S. 3 DS-GVO die ausdrückliche Verpflichtung zu Voreinstellungen, die verhindern, dass die Daten ohne Weiteres, also ohne bewusste persönliche Änderung der Voreinstellung, der Öffentlichkeit oder sonst einem unbestimmten Adressatenkreis zugänglich gemacht werden. Die Regelung des Art. 25 Abs. 2 DS-GVO hat dabei gerade die Voreinstellungen von sozialen Netzwerken im Blick. Sie soll verhindern, dass Nutzer durch Voreinstellungen, die eine über die erforderliche Verarbeitung hinausgehende extensive Datennutzung vorsehen, dazu verleitet werden, ihre Datenschutzrechte abzuwählen, ohne dies zu realisieren. Diesen Anforderungen wurde das Vorgehen der Bekl. im Zeitraum des Scraping-Vorfalls nicht gerecht. Die standardmäßige Voreinstellung ihres Netzwerks für die Suchbarkeit eines Nutzerprofils über die Telefonnummer sah vor, dass „alle“ anderen Facebook-Nutzer eine entsprechende Rufnummernsuche durchführen konnten. Gleichzeitig wurde über die Suchbarkeit der Rufnummer die Zugänglichkeit zu weiteren Profildaten eröffnet. Für diese weiteren Profildaten (etwa Arbeitgeber oder Wohnort) nahm die Bekl. ebenfalls Voreinstellungen vor, die teilweise zur Sichtbarkeit der Profildaten führten. Diese Voreinstellungen machten sich die Scraper zunutze, indem sie über die Verknüpfung der Rufnummer (jedenfalls) „öffentliche“ personenbezogene Daten des Nutzerprofils abgriffen. Eine Einschränkung der Suchbarkeit konnte nur durch aktive Veränderung der Suchbarkeitseinstellungen durch den Nutzer selbst herbeigeführt werden. Datenschutzfreundlichere Einstellungsoptionen – insb. die erst 2019 eingeführte Suchbarkeitsoption „nur ich“ – wurden nur als Opt-Out-Lösungen angeboten, obwohl die Nutzbarkeit des sozialen Netzwerks als solche hiervon nicht abhing, da eine Suche auch über die Eingabe des Namens möglich gewesen wäre. Diese gegen Art. 5 Abs. 1 lit. c, 25 Abs. 2 DS-GVO verstoßenden Voreinstellungen waren weder erforderlich (Art. 6 Abs. 1 UAbs. 1 lit. b bis lit. f DS-GVO) noch von einer wirksamen Einwilligung der Klagepartei gedeckt (Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO). Es ist weder dargetan noch ersichtlich, dass die Bekl. die Klagepartei im Zuge des Registrierungsverfahrens transparent, dh in verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache (Art. 7 Abs. 2, Erwägungsgrund 42 DS-GVO), um Einwilligung ersucht und die Klagepartei ihre Einwilligungserklärung auf dieser Grundlage in informierter Weise und unmissverständlich abgegeben hätte (Art. 4 Nr. 11 DS-GVO), und dass die Einwilligungserklärung freiwillig erfolgt wäre (Art. 7 Abs. 4, Erwägungsgrund 42, 43 DS-GVO). Gegen eine freiwillige Einwilligung spricht auch, dass die Bekl. auf dem Markt für soziale Netzwerke eine beherrschende Stellung innehat. Der Umstand, dass sich eine wirksame Einwilligung der Klagepartei in die datenschutzwidrige Verarbeitung ihrer Daten nicht feststellen lässt, geht zu Lasten der hierfür darlegungs- und beweisbelasteten Bekl. Durch die Datenschutzverstöße der Bekl. hat die Klagepartei einen Kontrollverlust erlitten, der als immaterieller Schaden iSv Art. 82 DS-GVO zu werten ist. Schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten stellt einen immateriellen Schaden dar, ohne dass der Nachweis zusätzlicher spürbarer negativer Folgen erforderlich ist. Allerdings muss die betroffene Person nachweisen, dass sie einen solchen in einem bloßen Kontrollverlust bestehenden Schaden erlitten hat. Dies steht vorliegend aufgrund des von der Klagepartei wiedergegebenen sog. Leak-Datensatzes mit ihrer Facebook-Nutzer-ID, ihrer Mobilfunknummer, ihrem Vor- und Nachnamen, Geschlecht, Wohnort, Beziehungsstatus und Arbeitgeber in Verbindung mit Anlagen K8 und K9 und den Feststellungen des LG (LGU 2) fest (§ 286 Abs. 1 ZPO). Es besteht kein Hinweis darauf, dass vorgenannte Daten im Leak-Datensatz, einschließlich der von den Scrapern ermittelten, im Profil aber nicht sichtbaren Mobilfunknummer der Klagepartei, nicht aus dem Scraping-Vorfall bei der Bekl. stammten oder der Datensatz nicht authentisch wäre. Zwar teilte die Bekl. der Klagepartei mit vorgerichtlichem Schreiben v. 11.11.2021 mit, sie sei nicht in der Lage, das angebliche Facebook-Konto anhand der bereitgestellten Informationen (E-Mail-Adresse „[Vorname[-]Nachname der Klagepartei]-2000@web.de“, vgl. Anlage K1, S. 1, GA 54) zu identifizieren. Dies hat sie auch erstinstanzlich geltend gemacht und behauptet, sie könne das Nutzerkonto mit dieser E-Mail-Adresse nicht bestätigen bzw. die genannte Nutzer-ID sei nicht mit der in Anlage K1 genannten E-Mail-Adresse verknüpft, auch habe sie keine sonstigen Daten, die mit dem angeblichen Facebook-Konto der Klagepartei in Verbindung stünden, weshalb sie mit Nichtwissen bestritten hat, dass ein mit dieser E-Mail-Adresse verknüpftes Nutzerkonto jemals existiert habe und dass der von der Klagepartei wiedergegebene Datensatz von deren Nutzerkonto stamme. Dies hindert aber nicht die Überzeugung des Gerichts (§ 286 Abs. 1 ZPO), dass die Klagepartei unter der im sog. Leak-Datensatz enthaltenen Nutzer-ID [„[…]I45“] ein Nutzerkonto bei der Bekl. unterhielt, von dessen Profil ihr Vor- und Nachname, Geschlecht, Wohnort, Beziehungsstaus und Arbeitgeber „abgegriffen“ und verknüpft (u. a.) mit ihrer Mobilfunknummer frei zugänglich im Internet (Darknet) veröffentlicht wurden, ohne dass sich feststellen ließe, dass die Klagepartei wirksam in eine damit verbundene Verarbeitung (Bereitstellung) ihrer personenbezogenen Daten durch die Bekl. eingewilligt hätte. Die Klagepartei hat schriftsätzlich substantiiert behauptetet, sie habe sich 2011 oder 2012 bei Facebook angemeldet und später ihre Telefonnummer für die Zwei-Faktor-Authentifizierung hinzugefügt (wann genau, könne sie nicht mehr nachvollziehen). Sie habe ihr Profil im März 2021 wegen massiver Kontaktversuche (Spam) gelöscht (vgl. S. 1 ihres Schriftsatzes v. 28.9.2023, GA 419). Bis dahin habe sie nur wenig gepostet (vgl. Anlage K8, GA 481). Ihre Anmeldedaten habe sie letztmals am 26.6.2019 geändert (vgl. Anlage K9, GA 480, wonach „Benutzername“ die E-Mail-Adresse in Anlage K1 – und nicht der Vor- und Nachname der Klagepartei – war). Dem ist die Bekl. nicht konkret entgegengetreten. Sie hat lediglich mitgeteilt, nach einer vom Nutzer eingeleiteten Löschung des Nutzerkontos würden sämtliche Daten des Kontos für einen bestimmten Zeitraum aufbewahrt. Werde das Nutzerkonto innerhalb dieses Zeitraums nicht wiederhergestellt, werde der Löschvorgang automatisch initiiert mit der Folge, dass (grds.) sämtliche personenbezogenen Daten des (ehemaligen) Nutzers endgültig und unwiderruflich gelöscht würden bzw. deren Zuordnung zur Kennung des Nutzers unwiderruflich entfernt werde. Daher könne sie weder bestätigen, dass ein entsprechendes Nutzerkonto jemals existiert habe, noch nähere Angaben zu den damit verbundenen Daten machen. Davon ausgehend besteht kein Zweifel daran, dass der Leak-Datensatz, dessen Authentizität nicht zweifelhaft ist, aus dem streitgegenständlichen Scraping-Vorfall stammt. Nach Anlage K8 existierte im Jahr 2014 unter dem Vor- und Nachnamen der Klagepartei ein Nutzerkonto mit einem Profilbild (wenn dieses auch in der Papierakte nicht klar zu erkennen ist). Es besteht auch kein Zweifel daran, dass Anlage K9 die letzte Änderung des Nutzerprofils der Klagepartei v. 26.6.2019 zutreffend wiedergibt (was die Bekl. auch nicht in Abrede gestellt hat, § 138 Abs. 3 ZPO). Da die Klagepartei mit Schriftsatz v. 17.4.2023 eine andere E-Mail-Adresse für die erstinstanzliche Videoverhandlung mitgeteilt hat („[Vorname].[Nachname]7.7.2000@gmail.com“, vgl. GA 413), mag diese mit ihrem Nutzerkonto verknüpft gewesen sein. Dies kann aber letztlich dahingestellt bleiben, zumal das LG bindend festgestellt hat (§ 529 Abs. 1 Nr. 1 ZPO), die Klagepartei habe ihr Konto nach mehreren Jahren der Nutzung im März 2021 gelöscht (LGU 2). Diese Feststellung hat die Bekl. nicht mit einem Tatbestandsberichtigungsantrag angegriffen. Es ist auch nicht ersichtlich, dass die zusammengeführten und im Darknet veröffentlichten Daten der Klagepartei bereits vor dem Scraping-Vorfall in entsprechender Weise im Internet abrufbar gewesen wären, sodass zuvor schon ein vergleichbares Risiko eines Datenmissbrauchs durch Dritte bestanden hätte. Ob die Klagepartei ihre Telefonnummer vorher schon bestimmten Empfängern mitgeteilt hatte, kann dahingestellt bleiben. Der durch das Scraping und die dauerhafte Preisgabe der mit ihrem Namen verknüpften Telefonnummer im Internet (Darknet) einhergehende Kontrollverlust unterscheidet sich wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger verbunden sind. Das Risiko, auch Dritte könnten Daten der Klagepartei nicht datenschutzkonform verarbeiten, steht – solange es sich nicht vor dem Eintritt des Scraping-Vorfalls verwirklicht hatte – der Annahme eines Kontrollverlusts nicht entgegen. Durch die Datenschutzverstöße der Bekl. hat sich die Klagepartei über den eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinaus – als Teil des nach Art. 82 DS-GVO zu kompensierenden Schadens – nach Einschätzung des Senats begründeten Befürchtungen ausgesetzt gesehen, Dritte könnten ihre im Darknet veröffentlichten Daten, insb. ihre Telefonnummer, missbräuchlich verwenden. Die Klagepartei hat – von der Bekl. insgesamt bestritten – behauptet hat, sie sei wegen des Scraping-Vorfalls in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten verblieben. Dies manifestiere sich u. a. in einem verstärkten Misstrauen bzgl. E-Mails und Anrufen von unbekannten Nummern und Adressen. Seit dem Vorfall erhalte sie unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und Phishing-Attacken. Das habe dazu geführt, dass sie nur noch mit äußerster Vorsicht auf jegliche E-Mails und Nachrichten reagieren könne und jedes Mal einen Betrug fürchte und Unsicherheit verspüre. Der Senat hält es – ohne dass es einer Beweisaufnahme bedarf – mit dem für die Schadenszumessung genügenden „Beweismaß“ des § 287 ZPO für überwiegend wahrscheinlich, dass die Klagepartei jedenfalls die begründete Befürchtung, Dritte könnten ihre im Darknet veröffentlichten Daten, insb. ihre Telefonnummer, missbräuchlich verwenden, und damit korrespondierende psychische Beeinträchtigungen erlitten hat. Diese Feststellung erfordert keine Beweiserhebung am Maßstab des § 286 ZPO. Die Bemessung des Schadensersatzes aus Art. 82 Abs. 1 DS-GVO richtet sich nach nationalem Recht. Zwar ist in Deutschland für Umstände, die zur haftungsbegründenden Kausalität gehören, § 286 ZPO maßgeblich. Soweit es um die haftungsausfüllende Kausalität geht, ist aber die Verfahrensvorschrift des § 287 ZPO anwendbar, die dann nicht nur für die Höhe des Schadens gilt, sondern auch für die Frage, ob überhaupt ein (weiterer) Schaden entstanden ist. Bei deliktischen oder vertraglichen Schadensersatzansprüchen, die die Verletzung eines Rechtsguts voraussetzen, gehört die primäre Rechtsgutverletzung zur haftungsbegründenden Kausalität und die Ursächlichkeit der Verletzungshandlung für alle weiteren (Folge-)Schäden einschließlich der fehlerbedingten Verschlimmerung von Vorschäden zur haftungsausfüllenden Kausalität. Entsteht ein Schadensersatzanspruch dagegen unabhängig von der Verletzung eines Rechtsguts, ist bereits der erste Schaden der haftungsausfüllenden Kausalität zuzuordnen. Vorliegend kann dahinstehen, ob Schadensersatzansprüche nach Art. 82 DS-GVO eine entsprechende Rechtsgutsverletzung voraussetzen. Eine solche ist hier jedenfalls eingetreten. Die Bekl. hat das Recht der Klagepartei auf Schutz ihrer personenbezogenen Daten (Art. 8 GRCh, vgl. Art. 1 Abs. 2 DS-GVO) bzw. auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG iVm Art. 1 Abs. 1 GG), und damit ihr allgemeinen Persönlichkeitsrecht als ein sonstiges absolut geschütztes Rechtsgut iSv § 823 Abs. 1 BGB verletzt. Mit dem festgestellten Kontrollverlust über die abgeflossenen und im Darknet veröffentlichten personenbezogenen Daten ist auch bereits ein immaterieller Schaden eingetreten. Daher stellen sich die weiteren, die immaterielle Schadensersatzverpflichtung erhöhenden psychischen Beeinträchtigungen als weitere Schadenspositionen dar, für deren Zubilligung das Beweismaß des § 287 ZPO und damit zur Überzeugungsbildung eine überwiegende Wahrscheinlichkeit genügt. Gemessen daran erscheint die begründete Befürchtung eines Datenmissbrauchs zumindest überwiegend wahrscheinlich. Die Telefonnummer der Klagepartei wurde verknüpft mit deren Vor- und Nachnamen, Geschlecht, Wohnort, Beziehungsstatus und Arbeitgeber in einer Sammlung mit entsprechenden Daten anderer Facebook-Nutzer im Darknet veröffentlicht. Das Risiko einer missbräuchlichen, insb. betrügerischen, Nutzung dieser Daten liegt insofern besonders nahe, zumal für die Klagepartei keine Möglichkeit besteht, ihre Daten aus dem Darknet und etwaigen weiteren „dunklen Kanälen“ zu entfernen und zu verhindern, dass diese „in die falschen Hände“ geraten. Bei dieser Sachlage bedarf es weder einer Vernehmung der Klagepartei zu den behaupteten Befürchtungen noch ihrer Anhörung. Eine Parteivernehmung nach § 448 ZPO setzt u. a. einen Anfangsbeweis voraus. Danach darf die beweispflichtige Partei nur dann nach § 448 ZPO förmlich vernommen werden, wenn für die Richtigkeit ihrer Darstellung eine gewisse Wahrscheinlichkeit spricht, sei es auch ohne Beweisaufnahme nur aufgrund der Lebenserfahrung. Die gewisse, hier überwiegende, Wahrscheinlichkeit genügt iRd § 287 ZPO aber bereits zur Überzeugungsbildung von dem (weiteren) Schadenseintritt. Sie erübrigt damit die Parteivernehmung. Eine persönliche Anhörung der Klagepartei, die der BGH in seiner Entscheidung über den auch hier streitgegenständlichen Scraping-Vorfall bei der Bekl. „ggf.“ für notwendig erachtet hat, ist ebenfalls nicht erforderlich. Die Parteianhörung ist im Gegensatz zur Parteivernehmung kein Beweismittel. Dem Tatrichter ist es selbst im Anwendungsbereich des § 286 ZPO grds. erlaubt, allein aufgrund des Vortrags der Parteien und ohne Beweiserhebung festzustellen, was für wahr und was für nicht wahr zu erachten ist. Er kann dabei iRd freien Würdigung des Verhandlungsergebnisses den Behauptungen und Angaben einer Partei unter Umständen auch dann glauben, wenn diese ihre Richtigkeit sonst nicht – auch nicht mittels Parteivernehmung, weil es an der erforderlichen Anfangswahrscheinlichkeit fehlt – beweisen kann, und ihr im Einzelfall sogar den Vorzug vor den Bekundungen eines Zeugen oder des als Partei vernommenen Prozessgegners geben. Diese Grundsätze gelten insb. für den Nachweis innerer Tatsachen wie zB von Entscheidungskonflikten. Insofern wird das Gericht – auch iRd nach § 287 Abs. 1 S. 2 ZPO eingeräumten weiten Ermessens über das Ob und den Umfang einer Beweisaufnahme – die Klagepartei nicht anhören müssen, wenn es den Anspruch für überwiegend wahrscheinlich hält. Denn § 287 ZPO soll dem von einer rechtswidrigen Handlung Betroffenen die Darlegung und den Nachweis seines Schadens erleichtern. Der Umstand, dass die Klagepartei nur noch mit äußerster Vorsicht auf Textnachrichten (SMS) und E-Mails reagieren mag, verstärkt die durch den Datenschutzverstoß der Bekl. eingetretene immaterielle Beeinträchtigung nicht merklich. Dabei handelt es sich um eine Unannehmlichkeit, wie sie nicht nur jeden Betroffenen des Scraping-Vorfalls trifft, weil eine entsprechende Vorsicht wegen des niemals auszuschließenden Risikos eines Datenmissbrauchs im Internet immer angezeigt ist. Soweit die Klagepartei behauptet hat, sie habe Zeit und Mühe aufgewendet, indem sie sich mit dem „Datenleak“ auseinandersetzen, den Sachverhalt ermitteln, sich um eine Auskunft der Bekl. kümmern und selbst weitere Maßnahmen habe ergreifen müssen, ist nicht ersichtlich, welchen erheblichen Eigenaufwand sie insoweit neben den von ihr bereits vorgerichtlich mandatierten Prozessbevollmächtigten gehabt hätte. Jedenfalls fällt dieser Aufwand – soweit er überhaupt immaterielle Beeinträchtigungen begründen kann – neben dem Kontrollverlust und der begründeten Befürchtung eines Datenmissbrauchs nicht erheblich ins Gewicht. Auf die Frage, ob die Klagepartei über die begründeten Befürchtungen eines Datenmissbrauchs hinaus psychische Beeinträchtigungen wie etwa großes Unwohlsein, große Sorge oder Ängste erlitten hat, kommt es nicht an. Hätte die Klagepartei tatsächlich derart erhebliche psychische Beeinträchtigungen davongetragen, müsste sie sich nach § 254 BGB ein überwiegendes Mitverschulden anrechnen lassen. In dem Fall hätte sie die schwere Beeinträchtigung maßgeblich mitverursacht, indem sie ihre im Darknet veröffentlichte Telefonnummer nicht zeitnah geändert hat, um sich von den großen Sorgen oder vielleicht sogar echten Ängsten zu befreien (§ 254 Abs. 2 S. 1 BGB). Soweit die Klagepartei ihren Anspruch zusätzlich auf einen Verstoß gegen Benachrichtigungs- und Meldepflichten stützt, fehlt es jedenfalls an der Ursächlichkeit für den geltend gemachten Schaden. Der Senat schätzt den immateriellen Schaden der Klagepartei der Höhe nach auf insgesamt 200 EUR (§ 287 ZPO). Der Senat hält als notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchen einen Schadensersatzbetrag iHv 100 EUR für angemessen. Die vom Scraping betroffenen personenbezogenen Daten der Klagepartei gehören nicht zu den besonders sensiblen Daten iSv Art. 9 Abs. 1 DS-GVO. Zwar waren bzw. sind die kombinierten Daten der Klagpartei einschließlich ihrer Telefonnummer einem unbegrenzten Empfängerkreis über einen längeren Zeitraum im Internet zugänglich gewesen. Allerdings hätte die Klagepartei die Kontrolle über ihre Daten mit verhältnismäßig geringem Aufwand wiedererlangen können, indem sie ihre Rufnummer wechselt. Es ist nicht ersichtlich, dass Dritte allein mit ihren im Leak-Datensatz enthaltenen personenbezogenen Daten ohne ihre Mobilfunknummer (vergleichbar) Missbrauch betreiben könnten. Davon ausgehend rechtfertigt insb. die vom Senat im Rahmen seines Schätzungsermessens (§ 287 ZPO) angenommene begründete Befürchtung der Klagepartei, ihre im Darknet und etwaigen weiteren „dunklen Kanälen“ veröffentlichen Daten könnten missbräuchlich verwendet werden, die Annahme eines (geschätzten) Gesamtschadens von 200 EUR. Dabei ist bereits mitberücksichtigt, dass die Klagepartei mit der Mandatierung ihrer Prozessbevollmächtigten jedenfalls gewissen (lästigen) Zusatzaufwand gehabt hat, ohne dass es darauf ankäme, ob eine solcher Zeitaufwand für sich betrachtet einen Anspruch auf immateriellen Schaden begründen kann. Ein höherer Schadensersatz kommt vorliegend nicht in Betracht. Die auf Art. 82 DS-GVO gestützte Entschädigung in Geld soll den konkret erlittenen Schaden in vollem Umfang ausgleichen. Sie hat keine Abschreckungs- oder Straffunktion. Daher dürfen etwa die Schwere des Verstoßes des Verantwortlichen gegen die DS-GVO und der Umstand, dass dieser ggf. mehrere Verstöße gegenüber derselben Person begangen hat, nicht berücksichtigt werden. Für einen höher zu bewertenden immateriellen Schaden besteht im Streitfall keine Grundlage. Zwar darf die Entschädigung nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge. Ist der Schaden – wie hier – gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Eine andere Bewertung ist nicht deshalb geboten, weil der EuGH Art. 82 Abs. 1 DS-GVO dahin auslegt, dass ein durch die Verletzung personenbezogener Daten verursachter Schaden „seiner Natur nach“ nicht weniger schwerwiegend ist als eine Körperverletzung. Der Gerichtshof geht insoweit lediglich davon aus, die grundsätzliche Annahme, eine Körperverletzung wiege „von Natur aus“ schwerer als ein immaterieller Schaden, könnte den Grundsatz eines vollständigen und wirksamen Schadensersatzes für erlittene Schäden in Frage stellen; in Bezug auf die Höhe des Schadens könne daher nicht generell davon ausgegangen werden, der Schaden sei seiner Natur nach weniger schwerwiegend als eine Körperverletzung. Dies schließt nicht aus, dass der immaterielle Schaden im Einzelfall weniger schwer wiegt als eine (leichte) Körperverletzung. Der Anspruch auf Prozesszinsen seit dem 18.8.2022 folgt aus § 291 BGB bzw. § 286 Abs. 1 S. 2 BGB iVm §§ 288 Abs. 2, 247, 187 Abs. 1 (analog) BGB. Zwar befindet sich kein Zustellungsnachweis in der Akte, die Prozessbevollmächtigten der Bekl. haben aber mit Schriftsatz v. 17.8.2022 deren Vertretung angezeigt.
OLG Koblenz Urt. v. 30.4.2025 – 6 U 44/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO. Ein Schadensersatzanspruch iSd Art. 82 DS-GVO erfordert einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruchs nach Art. 82 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Ob der erforderliche Verstoß gegen die DS-GVO seitens der Bekl. hier vorliegt, kann dahinstehen. Denn jedenfalls hat der Kl. durch einen solchen Verstoß keinen ersatzfähigen immateriellen Schaden erlitten, es fehlt an dem erforderlichen Kausalzuammenhang. Einen ihm durch Datenschutzverstöße der Bekl. entstandenen materiellen Schaden macht der Kl. nicht geltend. Der bloße Verstoß gegen die Bestimmungen der DS-GVO begründet noch keinen Schaden. Nach der Rspr. des BGH, der sich der Senat anschließt, kann zwar schon der Verlust der Kontrolle über personenbezogene Daten einen ersatzfähigen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen. Einen solchen Kontrollverlust hat der Kl. im Hinblick auf seinen Vor- und Nachnamen, seine Mobilfunknummer und seine E-Mail-Adresse konkret dargelegt. Allerdings hat die Bekl. bestritten, dass der Kl. die Kontrolle über diese Daten erst mit dem Scraping-Vorfall verloren hat. Dieser Vortrag genügt auch den Anforderungen an ein in diesem Fall zu forderndes qualifiziertes Bestreiten. Die vom Kl. behauptete negative Tatsache, die Kontrolle über die Daten nicht schon zuvor verloren zu haben, sie insb. nicht bereits allgemein veröffentlicht zu haben, kann nur mit der konkreten Angabe bestritten werden, wodurch ein Kontrollverlust schon zuvor eingetreten sein soll. Ausgehend hiervon hat die Bekl. ihrer sekundären Darlegungslast genügt, in dem sie vorgetragen hat, der Kl. habe durch das Scraping keinen Kontrollverlust erlitten, weil er seine Kontaktdaten bereits zuvor auf mehreren Webseiten veröffentlicht habe. Dem ist der Kl. nur insoweit entgegengetreten, als er bei seiner informatorischen Anhörung vor dem LG erklärt hat, auf seiner Internetseite als Selbstständiger sei nur die Büronummer hinterlegt, lediglich auf der Unternehmensseite swisslife-select sei versehentlich die Handynummer öffentlich einsehbar. Doch selbst wenn es sich hier um ein Versehen handeln sollte, ändert dies nichts daran, dass der Kontrollverlust unabhängig von dem Scraping-Vorfall eingetreten ist. Außerdem hat die Bekl. nachfolgend eine ganze Reihe von Auszügen von Internetseiten vorgelegt, in dem jeweils der Kl. mit Vor- und Nachnamen, Postanschrift, Mobilfunknummer und E-Mail-Adresse angegeben ist. Zu diesen weiteren Veröffentlichungen hat sich der Kl. jedoch nicht eingelassen und sie damit gemäß § 138 Abs. 3 ZPO unstreitig gestellt.
OLG Dresden Urt. v. 29.4.2025 – 4 U 1385/24	0 EUR Der Klagepartei steht kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO zu. Die Bekl. hat in mehrfacher Hinsicht bei der Datenverarbeitung gegen die DS-GVO verstoßen. Sie hat gegen das Gebot der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DS-GVO verstoßen. Die Handynummer wurde ohne rechtfertigenden Grund nach Art. 6 DS-GVO verarbeitet. Offenbleiben kann, ob sie ausreichende technische und organisatorische Maßnahmen nach Art. 24, 32 DS-GVO ergriffen hat und ob sie ihrer Benachrichtigungspflicht aus Art. 34, 25 DS-GVO und ihrer Auskunftspflicht aus Art. 15 DS-GVO nachgekommen ist. Offenbleiben kann ebenfalls, ob die Bekl. ihre Benachrichtigungspflicht aus Art. 34 DS-GVO gegenüber der Klagepartei, aus Art. 33 DS-GVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DS-GVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich. Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen Anrufe sowie spam sms und spam e-mails können nur auf dem Scraping Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein. Unabhängig davon kann ein Schadensersatzanspruch nach Art. 82 DS-GVO ohnehin nicht auf die Verletzung der vorgenannten Pflichten gestützt werden, da keine „Verarbeitung personenbezogener Daten“ vorliegt. Nach der Rspr. des EuGH setzt der Anspruch die Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmung der DS-GVO voraus. Dies belegt auch die Formulierung in Erwägungsgrund Nr. 146, wonach Schäden ersetzt werden, die „aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Aus den aufgeführten Verstößen gegen die DS-GVO ist der Klagepartei gleichwohl kein kausaler immaterieller Schaden gemäß Art. 82 DS-GVO entstanden. Ihr obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden. Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person. Der Schaden muss tatsächlich und sicher entstanden sein. Im vorliegenden Fall hat die Klagepartei nicht nachgewiesen, dass durch das Scraping Ereignis ein Kontrollverlust eingetreten ist. Nach dem Vortrag der Klagepartei ist vielmehr davon auszugehen, dass der Kl. bereits vor diesem Ereignis die Kontrolle über seine Telefonnummer verloren hat. Der Kl. hat in seiner Anhörung vor dem LG auf Nachfrage der Beklagtenseite bestätigt, dass ereine private Webseite seit „mindestens“ 2018 betreibt auf der – für jedermann öffentlich einsehbar – die streitgegenständliche Telefonnummer hinterlegt war und ist. Damit kann auch auf diesem Wege der Kl. die Kontrolle über seine Telefonnummer verloren haben. Zwar steht das Risiko, dass auch Dritte das Datum nicht datenschutzkonform verarbeitet haben, der Darlegung eines Kontrollverlustes nicht entgegen. Dies gilt jedoch nur, solange sich dieses nicht unstreitig vor dem Eintritt des Datenschutzvorfalls verwirklicht hat. Der Kl. hat mit der Veröffentlichung einer Webseite nicht nur zielgerichtet bestimmten Personen seine Handynummer überlassen, sondern sie mit seinem Namen verbunden im Internet für jedermann weltweit zugänglich veröffentlicht. Es ist daher davon auszugehen dass ein Kontrollverlust der Daten des Kl. bereits vor dem Scraping Ereignis eingetreten ist. Hierfür spricht auch, dass der Kl. in seiner Anhörung vor dem LG angab, sein Datenvewrlust habe sich „bereits im Jahr 2015/2016“ bemerkbar gemacht, also weit vor dem streitgegenständlichen Scraping-Vorfall.
OLG Schleswig-Holstein Urt. v. 24.4.2025 – 5 U 59/23	300 EUR (+ 159,94 EUR vorgerichtliche Rechtsanwaltskosten) Wie OLG Schleswig-Holstein Urt. v. 27.3.2025 – 5 U 61/23.
OLG Dresden Beschl. v. 14.4.2025 – 4 U 1498/24	0 EUR Dem geltend gemachten Schadensersatzanspruch steht entgegen, dass der nach allgemeinen Grundsätzen darlegungs- und beweisbelastete Kl. nicht substantiiert vorgetragen und unter Beweis gestellt hat, welche seiner Daten und ggfls. in welchem Umfang diese von einem Datenleck bei der Bekl. betroffen sein sollen. Der Kl. hat mit der vorliegenden Klage zunächst behauptet, er habe mit der Bekl. ein Musik- und Hörbuch-Streaming-Abo abgeschlossen und der Bekl. dabei Familiennamen, Vornamen, Geburtsdatum, Geschlecht, Wohnort, Land und E-Mail-Adresse zur Verfügung gestellt. Wie auf der Internetseite www.haveibeenpwned.com mittels Eingabe der entsprechenden Telefonnummer des Kl. eingesehen werden könne, sei er von der unbefugten Verarbeitung seiner Daten betroffen. Für die Telefonnummer des Kl. werde als Ergebnis ausgegeben, dass sie auch Teil der bei der Bekl. abgegriffenen Daten sei. Zum Beweis hat der Kl. einen Screenshot vorgelegt, den er als Abfrage bzgl. seiner Telefonnummer über die Internetseite www.haveibeenpwned.com bezeichnet.
OLG Schleswig-Holstein Urt. v. 10.4.2025 – 5 U 99/23	220,27 EUR Wie OLG Schleswig-Holstein Urt. v. 27.3.2025 – 5 U 61/23. Der klägerischen Partei ist kein immaterieller Schaden durch die genannten Datenschutzverstöße der Bekl. entstanden. Ein Kontrollverlust liegt nicht vor. Der Scraping-Vorfall bei der Bekl. als solcher steht zwar ebenso fest wie die anschließende Veröffentlichung der abgegriffenen Daten und deren Verfügbarkeit im Internet. Die klägerische Partei hat bereits erstinstanzlich den Inhalt des von den Scrapern geleakten, auf sie bezogenen Datensatzes in Form eines wörtlichen Zitats wiedergegeben und geltend gemacht, es handele sich um ihre Telefonnummer, Name, Facebook-ID, Land und Geschlecht. Ein Kontrollverlust ist damit durch den streitgegenständlichen Vorfall nicht mehr eingetreten, da die klägerische Partei die Kontrolle über ihre Daten bereits zuvor bewusst der Öffentlichkeit preisgegeben hatte, sodass sie jeder im Internet finden konnte. Auch hat sie ihre (Mobil-) Telefonnummer nach Bekanntwerden des streitgegenständlichen Vorfalls keinesfalls geändert, sondern sie weiter öffentlich dienstlich wie privat benutzt. Dazu hat sie die Einstellungen bei der Plattform der Bekl. nicht geändert. Die klägerische Partei hat einen Anspruch auf Erstattung ihrer vorgerichtlichen Rechtsanwaltskosten iHv 220,27 EUR unmittelbar aus Art. 82 Abs. 1 DS-GVO.
OLG Köln Urt. v. 10.4.2025 – 15 U 249/24	1.040,50 EUR (500 EUR immaterieller Schaden und 540,50 EUR Anwaltskosten) Die mit dem allein noch rechtshängigen Zahlungsantrag geltend gemachten Schadensersatzansprüche sind entgegen der Auffassung des LG gemäß Art. 82 Abs. 1 DS-GVO in dem aus dem Tenor ersichtlichen Umfang gerechtfertigt. Die Bekl. hat gegen die DS-GVO verstoßen, indem sie die in den ursprünglichen Klageanträgen genannten Einträge über Zahlungsstörungen des Kl. auch nach dem Ausgleich der Forderungen am 2. Dezember 2020, am 4. November 2021 bzw. im Dezember 2022 für drei bzw. gut zwei Jahre weiterhin gespeichert und für ihre Kunden zum Abruf bereitgehalten hat. Nach der Erfüllung der Forderungen war die fortdauernde Speicherung der – nunmehr zusätzlich mit einem Erledigungsvermerk versehenen – Einträge betreffend die zuvor aufgetretenen Zahlungsstörungen rechtswidrig, weil die in Art. 6 Abs. 1 DS-GVO genannten Bedingungen nicht länger erfüllt waren. Entgegen der Auffassung des LG ist dem Kl. wegen des Verstoßes gegen die DS-GVO ein immaterieller Schaden entstanden. Dabei kann es dahinstehen, ob ein Kontrollverlust vorliegt. Denn jedenfalls hat der Kl. eine Rufschädigung erlitten (vgl. Erwägungsgrund 85 DS-GVO). Ob eine Rufschädigung allein daraus folgt, dass die Bekl. die Daten über die Zahlungsstörungen auch nach der Erfüllung der einzelnen Forderungen weiterhin gespeichert hat, kann offenbleiben. Denn jedenfalls hat die Bekl. ausweislich der Einblendung auf Seite 2 der erstinstanzlichen Treplik im Jahr 2023 – also nach der Erfüllung der letzten Forderung – mehreren Banken, einem Energieversorgungsunternehmen und einem Telekommunikationsunternehmen Score-Werte und Erfüllungswahrscheinlichkeiten mitgeteilt, die sie unter Berücksichtigung der Zahlungsstörungen ermittelt hatte. Die fortdauernde Speicherung der Zahlungsstörungen ist somit dafür ursächlich geworden, dass die Bekl. ihren genannten Vertragspartnern gegenüber die Kreditwürdigkeit des Kl. in Zweifel gezogen hat, was sich abträglich auf dessen sozialen Geltungsanspruch ausgewirkt hat. Dass die genannten Übermittlungen keine weiteren nachteiligen Folgen für den Kl. hatten, steht der Annahme eines immateriellen Schadens in Gestalt einer Rufschädigung nicht entgegen. Die Haftung der Bekl. ist nicht nach Art. 82 Abs. 3 DS-GVO ausgeschlossen. Die Bekl. hat nicht nachgewiesen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Der Umstand, dass sie sich genehmigten Verhaltensregeln unterworfen hat, schließt ihre Haftung nicht aus. Denn da die Genehmigung der Verhaltensregeln keine Erlaubniswirkung hat, durfte die Bekl. nicht auf die Richtigkeit der der Genehmigung zugrunde liegenden Rechtsauffassung vertrauen, sondern musste damit rechnen, dass die in den Verhaltensregeln vorgesehenen Speicherfristen im Fall einer gerichtlichen Überprüfung als zu lang angesehen werden. Insb. musste sie damit rechnen, dass die für öffentliche Register geltenden Speicherfristen als auch für sie maßgeblich angesehen werden, was in der obergerichtlichen Rspr. bereits lange vor Klageerhebung im November 2023 vertreten worden war. Die Bekl. kann sich daher nicht mit Erfolg auf einen unvermeidbaren Rechtsirrtum berufen, unabhängig von der Frage, ob ein Rechtsirrtum den Schädiger iRv Art. 82 Abs. 3 DS-GVO überhaupt entlasten kann. Der Höhe nach bemisst der Senat den immateriellen Schaden mit einem Betrag von 500 EUR. Nach der neueren Rspr. des EuGH erfüllt der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion. Daraus folgt, dass sich die Schwere des Verstoßes gegen die DS-GVO nicht auf die Höhe des Schadensersatzes auswirken kann. Ausgehend von diesen Grundsätzen erscheint im Streitfall ein Betrag von 500 EUR erforderlich, aber auch ausreichend, um den vom Kl. erlittenen immateriellen Schaden auszugleichen. Dabei ist zu berücksichtigen, dass die rechtswidrige Datenspeicherung über einen Zeitraum von mehreren Jahren angedauert und – wie unter Ziffer 2 ausgeführt – zu mehreren Übermittlungen von negativen Score-Werten an Vertragspartner der Bekl. geführt hat. Dass diese Übermittlungen weitere negativen Folgen für den Kl. hatten, lässt sich allerdings nicht feststellen. Soweit der Kl. behauptet hat, ihm seien wegen seiner Eintragung bei der Bekl. der Abschluss eines Mobilfunk- und eines Energielieferungsvertrags verwehrt worden, hat das LG diesen Vortrag als nicht erweisen angesehen. Dies greift die Berufung nicht an. Soweit der Kl. sich auf Probleme im Zusammenhang mit einem Umzug und mit einer diesbezüglichen Kreditaufnahme berufen hat, lässt sich nicht feststellen, dass diese Probleme kausal auf einen Verstoß der Bekl. gegen die DS-GVO zurückzuführen sind. Denn die Probleme sollen nach dem Vortrag des Kl. bereits im Jahr 2021 und/oder im Oktober 2022 aufgetreten sein. Zu diesem Zeitpunkt war die dritte Forderung noch nicht erledigt und die Bekl. war noch berechtigt, diese Zahlungsstörung zu speichern und bei der Berechnung des Score-Wertes zu berücksichtigen. Entsprechendes gilt, soweit der Kl. behauptet hat, er habe eine Stelle nicht erhalten. Der Kl. hat bei seiner persönlichen Anhörung erklärt, dies sei im Frühjahr 2021 oder 2022 gewesen. Des Weiteren wird die Schwere der Rufschädigung dadurch relativiert, dass die von der Bekl. gespeicherten Zahlungsstörungen tatsächlich aufgetreten waren und die Bekl. der Ermittlung des Score-Wertes keinen falschen Sachverhalt zugrunde gelegt hat. Als weiterer materieller Schaden sind die dem Kl. durch das Anwaltsschreiben vom 3. August 2023 entstandenen Kosten ersatzfähig.
OLG Frankfurt Urt. v. 8.4.2025 – 6 U 79/23	200 EUR Die Klagepartei kann nach Art. 82 DS-GVO von der Bekl. die Zahlung von 200 EUR immateriellen Schadensersatz verlangen. Nach der Rspr. des BGH erfordert ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Der Verstoß ist zu einem Zeitpunkt erfolgt, in dem die DS-GVO bereits in Kraft getreten war. Das LG insoweit zwar nur festgestellt, dass der Verstoß „im Januar 2018 – September 2019“ stattgefunden hat. Der Senat muss jedoch davon ausgehen, dass die Bekl. nicht ausreichend bestritten hat, dass der Verstoß 2019 stattgefunden hat. Die Klägerseite hat in der Klageschrift vorgetragen, „im Jahr 2019“ sei es zu dem streitgegenständlichen Scraping-Vorfall gekommen. Die Bekl. hat dies in erster Instanz nicht wirksam bestritten. Sie hat in der Klageerwiderung umfangreich zum Scraping-Sachverhalt vorgetragen, jedoch den klägerischen Vortrag nicht bestritten, dass dieser im Jahr 2019 stattgefunden haben soll. Der Auskunftsanspruch der Klagepartei bezieht sich u. a. auch auf die Offenlegung der Daten gegenüber Dritten (Art. 15 Abs. 1 lit. c DS-GVO). Um allein schon diesen Auskunftsanspruch erfüllen zu können, muss die Bekl. Zugriffe Dritter dokumentieren/protokollieren. Kommt sie diesen Verpflichtungen nur unzureichend nach, ist dadurch im Nachhinein nicht mehr feststellbar, wann Zugriffe durch wen stattgefunden haben, und kommt der Auskunftsberechtigte, der noch dazu Vertragspartner der Bekl. ist, dadurch in Beweisschwierigkeiten, geht das zu Lasten der Bekl. Die Klagepartei muss daher den Zeitpunkt des Datenabflusses nicht nachweisen, insb. muss sie nicht nachweisen, dass es erst nach Inkrafttreten der DS-GVO zu dem Abfluss ihrer Daten gekommen ist. IÜ ist auch nach der Sphärentheorie zu berücksichtigen, dass die Rechtsverletzung innerhalb des Gefahren- und Verantwortungsbereichs der Bekl. stattgefunden hat und die Klägerseite die Einzelheiten – einschließlich des Zeitpunkts – der Rechtsverletzung nicht erkennen kann. In diesem Fall dreht sich die Darlegungs- und Beweislast um, sodass die Bekl. darlegen und ggf. beweisen muss, dass sie sich pflichtgemäß verhalten hat. Dazu muss sie die Einzelheiten vortragen, wann und wie es zu dem Verstoß gekommen ist, damit das Gericht beurteilen kann, ob ihr eine Sorgfaltspflichtverletzung und ein Verschulden vorzuwerfen ist. Durch die Datenschutzverstöße der Bekl. hat die Klagepartei einen Kontrollverlust erlitten, der nach der Rspr. des BGH als immaterieller Schaden iSv Art. 82 DS-GVO zu bewerten ist. Schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten stellt einen immateriellen Schaden dar, ohne dass der Nachweis zusätzlicher spürbarer negativer Folgen erforderlich ist. Allerdings muss die betroffene Person den Nachweis erbringen, dass sie einen solchen in einem bloßen Kontrollverlust bestehenden Schaden erlitten hat, es sei denn der Kontrollverlust muss als unstreitig angesehen werden. Letzteres ist der Fall. Über das Kontaktimporttool wurden bei dem Scraping-Vorfall die Telefonnummer der Klagepartei ermittelt, mit ihrem Vor- und Nachnamen verknüpft und die zusammengeführten Daten im sog. Darknet veröffentlicht, ohne dass sich feststellen ließe, dass die Klagepartei wirksam in eine solche Verarbeitung ihrer personenbezogenen Daten eingewilligt hätte. Es ist auch weder festgestellt noch ersichtlich, dass die zusammengeführten und im Darknet veröffentlichten Daten der Klagepartei bereits vor dem Scraping-Vorfall in entsprechender Weise im Internet abrufbar gewesen wären, sodass zuvor schon ein vergleichbares Risiko eines Datenmissbrauchs durch Dritte bestanden hätte. Ob die Klagepartei ihre Telefonnummer zuvor schon bestimmten Empfängern mitgeteilt hatte oder ein einzelnes Datum an irgendeiner Stelle im Internet von der Klägerseite veröffentlicht wurde, kann dahingestellt bleiben. Der durch das Scraping und die dauerhafte Preisgabe der mit dem Namen der Klagepartei verknüpften Telefonnummer im Internet einhergehende Kontrollverlust unterscheidet sich wesentlich von den Risiken, die mit einer bewussten und zielgerichteten Weitergabe der Telefonnummer an bestimmte Empfänger verbunden sind. Die bewusste und zielgerichtete Weitergabe dieser Daten an bestimmte Empfänger ist – auch unter Berücksichtigung des grds. bestehenden objektiven Risikos nicht datenschutzkonformer Verwendung und des latenten subjektiven Bewusstseins hierum – qualitativ anders zu bewerten, als das durch das Scraping verursachte gänzlich unkontrollierte Abfließen der Daten in ersichtlich illegale Kanäle. Die erstgenannte Form der Weitergabe stellt keinen Kontrollverlust dar, da die Klagepartei über ihre Daten jederzeit (etwa durch Löschung) verfügen kann. Das Risiko, auch Dritte könnten Daten der Klagepartei nicht datenschutzkonform verarbeiten, steht nach der Rspr. des BGH – solange sich dieses nicht unstreitig vor dem Eintritt des Scraping-Vorfalls verwirklicht hatte – der Darlegung eines Kontrollverlusts nicht entgegen. Etwas Anderes gälte im Lichte der BGH-Rspr. zum Kontrollverlust also nur dann, wenn es aufgrund der bewussten und zielgerichteten Weitergabe an Dritte vor dem hiesigen Datenleck ebenfalls zu einem unkontrollierten Abfluss der Daten an unbefugte Dritte gekommen wäre. Der Vortrag der Bekl. zur bisherigen Datenpreisgabe seitens der Klagepartei nötigt nicht zu der Annahme eines Kontrollverlustes von einer vergleichbaren Dimension, wie er unmittelbar kausal auf den streitgegenständlichen Scraping-Vorfall zurückzuführen ist. Durch die Datenschutzverstöße der Bekl. hat sich die Klagepartei über den eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinaus – als Teil des nach Art. 82 DS-GVO zu kompensierenden Schadens – begründeten Befürchtungen ausgesetzt gesehen, Dritte könnten ihre im Darknet veröffentlichten Daten, insb. ihre Telefonnummer, missbräuchlich verwenden. Die Klagepartei hat – von der Bekl. insgesamt bestritten – behauptet, sie sei wegen des Scraping-Vorfalls in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der sie betreffenden Daten verblieben. Dies manifestiere sich u. a. in einem verstärkten Misstrauen bzgl. E-Mails und Anrufen von unbekannten Nummern und Adressen. Seit dem Vorfall erhalte sie unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthielten Nachrichten mit offensichtlichen Betrugsversuchen und Phishing-Attacken. Der Senat hält – ohne dass es einer Beweisaufnahme bedarf – mit dem für die Schadenszumessung genügenden „Beweismaß“ des § 287 ZPO für überwiegend wahrscheinlich, dass die Klagepartei jedenfalls entsprechende begründete Befürchtungen und die damit korrespondierenden psychischen Beeinträchtigungen erlitten hat. § 287 Abs. 1 ZPO gilt nämlich nicht nur für die Höhe des Schadens, sondern auch für die Frage, ob ein Schaden überhaupt entstanden ist – hier also, ob die Klägerseite über den Kontrollverlust hinaus weitere schadensersatzpflichtige (psychische) Beeinträchtigungen erlitten hat. Die Vorschrift ist zwar nur anwendbar, soweit es um die haftungsausfüllende Kausalität geht. Für Umstände, die zur haftungsbegründenden Kausalität gehören, ist § 286 ZPO maßgeblich. Bei deliktischen oder vertraglichen Schadensersatzansprüchen, die die Verletzung eines Rechtsguts voraussetzen, gehört die primäre Rechtsgutverletzung zur haftungsbegründenden Kausalität und die Ursächlichkeit der Verletzungshandlung für alle weiteren (Folge-)Schäden einschließlich der fehlerbedingten Verschlimmerung von Vorschäden zur haftungsausfüllenden Kausalität. Entsteht ein Schadensersatzanspruch dagegen unabhängig von der Verletzung eines Rechtsguts, ist bereits der erste Schaden der haftungsausfüllenden Kausalität zuzuordnen. Vorliegend kann dahinstehen, ob Schadensersatzansprüche nach Art. 82 DS-GVO, weil die DS-GVO dem Schutz des Grundrechts auf informationelle Selbstbestimmung dient, eine entsprechende Rechtsgutsverletzung voraussetzt. Diese ist jedenfalls bereits mit dem festgestellten Kontrollverlust über die abgeflossenen personenbezogenen Daten eingetreten, sodass sich die weiteren, die immaterielle Schadensersatzverpflichtung erhöhenden psychischen Beeinträchtigungen als weitere Schadenspositionen darstellen, für deren Zubilligung das Beweismaß des § 287 ZPO genügt. Gemessen daran erscheint die begründete Befürchtung eines Datenmissbrauchs jedenfalls überwiegend wahrscheinlich. Die Telefonnummer der Klagepartei wurde verknüpft mit deren Vor- und Nachnamen in einer Sammlung mit entsprechenden Daten anderer soziales Netzwerk1-Nutzer im Darknet veröffentlicht. Das Risiko einer missbräuchlichen, insb. betrügerischen, Nutzung dieser Daten liegt insofern besonders nahe, zumal für die Klagepartei keine Möglichkeit besteht, ihre Daten im Darknet löschen zu lassen und zu verhindern, dass diese „in die falschen Hände“ geraten. Der Umstand, dass die Klagepartei nur noch mit äußerster Vorsicht auf Textnachrichten (SMS) und E-Mails reagieren mag, verstärkt die durch den Datenschutzverstoß der Bekl. eingetretene immaterielle Beeinträchtigung nicht merklich. Dabei handelt sich um eine Unannehmlichkeit, wie sie nicht nur jeden Betroffenen des Scraping-Vorfalls trifft, weil eine entsprechende Vorsicht wegen des niemals auszuschließenden Risikos eines Datenmissbrauchs im Internet immer angezeigt ist. Soweit die Klagepartei behauptet hat, sie habe Zeit und Mühe aufgewendet, indem sie sich mit dem „Datenleak“ auseinandersetzen, den Sachverhalt ermitteln, sich um eine Auskunft der Bekl. kümmern und selbst weitere Maßnahmen habe ergreifen müssen, ist nicht ersichtlich, welchen erheblichen Eigenaufwand sie insoweit neben den von ihr bereits vorgerichtlich mandatierten Prozessbevollmächtigten gehabt hätte. Jedenfalls fällt dieser Aufwand – soweit er überhaupt immaterielle Beeinträchtigungen zu begründen vermag und keine materielle Schadensposition darstellt – neben dem Kontrollverlust und der begründeten Befürchtung eines Datenmissbrauchs nicht maßgeblich ins Gewicht. Der Senat schätzt den immateriellen Schaden der Klagepartei der Höhe nach (§ 287 ZPO) auf insgesamt 200 EUR. Der Senat hält insoweit als notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchen einen Schadensersatzbetrag iHv 100 EUR für angemessen. Die vom Scraping betroffenen personenbezogenen Daten der Klagepartei gehören nicht zu den in Art. 9 Abs. 1 DS-GVO genannten besonders sensiblen Daten. Zwar waren bzw. sind die kombinierten Daten der Klagpartei einschließlich ihrer Telefonnummer einem unbegrenzten Empfängerkreis über einen längeren Zeitraum zugänglich. Allerdings hätte die Klagepartei die Kontrolle über ihre Daten mit verhältnismäßig geringem Aufwand wiedererlangen können, indem sie ihre Rufnummer [/E-Mail] wechselt. Es ist nicht ersichtlich, dass Dritte allein mit dem Vor- und Nachnamen (und der soziales Netzwerk1-ID) der Klagepartei ohne deren Telefonnummer Missbrauch betreiben könnten. Davon ausgehend rechtfertigt die vom Senat im Rahmen seines Schätzungsermessens (§ 287 ZPO) angenommene begründete Befürchtung der Klagepartei, ihre im Darknet veröffentlichen Daten könnten missbräuchlich verwendet werden, die Annahme eines (geschätzten) Gesamtschadens von 200 EUR. Dabei ist bereits mitberücksichtigt, dass die Klagepartei mit der Mandatierung ihrer Prozessbevollmächtigten jedenfalls gewissen (lästigen) Zusatzaufwand gehabt hat, ohne dass es darauf ankäme, ob eine solcher Zeitaufwand für sich betrachtet einen Anspruch auf immateriellen Schaden begründen kann. Ein höherer Schadensersatz kommt vorliegend nicht in Betracht. Die auf Art. 82 DS-GVO gestützte Entschädigung in Geld soll den konkret erlittenen Schaden in vollem Umfang ausgleichen; sie hat keine Abschreckungs- oder Straffunktion. Daher dürfen etwa die Schwere des Verstoßes gegen die DS-GVO und der Umstand, dass der Verantwortliche ggf. mehrere Verstöße gegenüber derselben Person begangen hat, nicht berücksichtigt werden. Für einen höher zu bewertenden immateriellen Schaden besteht keine Grundlage. Zwar darf die Entschädigung nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge. Ist der Schaden – wie hier – gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Eine andere Bewertung ist nicht deshalb geboten, weil der EuGH Art. 82 Abs. 1 DS-GVO dahin auslegt, dass ein durch die Verletzung personenbezogener Daten verursachter Schaden „seiner Natur nach“ nicht weniger schwerwiegend ist als eine Körperverletzung. Der Gerichtshof geht insoweit lediglich davon aus, die grundsätzliche Annahme, eine Körperverletzung wiege „von Natur aus“ schwerer als ein immaterieller Schaden, könnte den Grundsatz eines vollständigen und wirksamen Schadensersatzes für erlittene Schäden in Frage stellen. In Bezug auf die Höhe des Schadens könne daher nicht generell davon ausgegangen werden, der Schaden sei seiner Natur nach weniger schwerwiegend als eine Körperverletzung. Dies schließt jedoch nicht aus, dass der immaterielle Schaden im Einzelfall weniger schwer wiegt als eine leichte Körperverletzung.
OLG Dresden Beschl. v. 3.4.2025 – 4 U 1273/24	0 EUR Der Klagepartei steht gegen die Bekl. kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO zu. Ob die Bekl. bei der Verarbeitung der Daten gegen die Bestimmungen der DS-GVO verstoßen hat, kann im Ergebnis offenbleiben. Der Klagepartei ist jedenfalls kein kausaler Schaden in Form eines Kontrollverlustes entstanden. Allerdings ist hier von einer Betroffenheit des Kl. von dem streitgegenständlichen Datenschutzvorfall auszugehen. Aufgrund der von der Klagepartei vorgelegten Trefferanzeige auf der Webseite www.haveibeenpwned.com ist sie mit ihrer E-Mail-Adresse c……@hotmail.de von dem sog. API-Bug 2021 bei der Bekl. betroffen, nicht hingegen mit ihrer Mobilfunknummer. Die gegen die Betroffenheit der E-Mail-Adresse von der Bekl. erhobenen Einwände verfangen nicht. Insoweit besteht eine gestufte Darlegungslast. Auf der ersten Stufe genügt es, wenn der Betroffene sich auf einen Auszug der Seite www.haveibeenpawnd.com stützt, sofern der Datenschutzvorfall an sich sowie die Verwendung der zugrundeliegenden Daten bei der Plattformanmeldung – wie vorliegend – unstreitig sind. Es obliegt dann dem Plattformbetreiber, substantiiert darzulegen, weshalb es gleichwohl an einer Betroffenheit des Nutzers fehlt. Die Bekl. behauptet, dass durch sie vorgenommene Untersuchungen ergeben hätten, dass weit weniger Datensätze von dem API-Bug 2021 betroffen gewesen seien, als bei einer Recherche über die Webseite www.haveibeenpwned.com ausgewiesen würden, und dass u. a. der ……-Account der Klagepartei nicht von einem Hacking-Vorfall auf ihrer Plattform betroffen gewesen sei. Mit diesem pauschalen Bestreiten genügt die Bekl. aber nicht der sie treffenden sekundären Darlegungslast. Soweit sie tatsächlich über einen kompletten Datensatz aller betroffenen Nutzer verfügen sollte, hat sie diesen nicht vorgelegt und auch nicht im Einzelnen dargestellt, aufgrund welcher Erkenntnisse es ihr möglich war, den Kl. aus dem Kreis der betroffenen Nutzer auszuschließen. Auch vorgerichtlich hat die Bekl. gegenüber der Klagepartei auf deren Anfrage hin mit Schreiben ihrer Bevollmächtigten lediglich erklärt, dass es keine Beweise dafür gebe, dass die online verkauften Daten durch die Ausnutzung einer Sicherheitslücke in den Systemen von …… International erlangt worden seien. Damit ist der Klagepartei jedwede Möglichkeit zu konkretisiertem Vortrag genommen. Sache der Bekl. wäre es gewesen, im Einzelnen darzustellen, woraus sich die behauptete fehlende Betroffenheit der Klagepartei aufgrund der von ihr selbst durchgeführten Untersuchungen beweisbar entnehmen lässt. Hieran fehlt es vorliegend. Es fehlt indes an einem Schaden infolge dieses Datenschutzvorfalls. Nach der Rspr. des BGH (Urt. v. 18.11.2024 – VI ZR – 10/24) kann auch der bloße Kontrollverlust einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betroffenen Daten bewiesen ist. Der Beweis obliegt der betroffenen Person. Ein solcher Kontrollverlust konnte hier indes nicht mehr eintreten. Die E-Mail-Adresse der Klagepartei ist nach dem von ihr selbst vorgelegten Ausdruck der Webseite www.haveibeenpwnd.com bereits vor dem streitgegenständlichen Vorfall von einem Datenschutzvorfall betroffen gewesen. Der Senat hat die Seite www.haveibeenpwnd.com selbst in Augenschein genommen (Stand: 1.4.2025), da der von der Klagepartei vorgelegte Screenshot zwei Datenschutzvorfälle, in der Detailbeschreibung aber lediglich den Vorfall bei der Bekl. ausweist. Hiernach kam es vor dem streitgegenständlichen Vorfall jedoch bereits bei der Plattform „D……“ im Jahr 2016 zu einem Verlust u. a. der E-Mail-Adresse der Klagepartei. Zwar steht das Risiko, dass auch Dritte das Datum nicht datenschutzkonform verarbeitet haben, der Darlegung eines Kontrollverlustes nicht entgegen; dies gilt jedoch nur, solange sich dieses nicht unstreitig vor dem Eintritt des Datenschutzvorfalls verwirklicht hat. So liegt es aber hier. Im Anschluss hieran kommt auch kein an die Verletzung einer Auskunftspflicht anknüpfender weiterer immaterieller Schadensersatz in Betracht, ohne dass es insofern darauf ankäme, ob die Verletzung einer Auskunftspflicht aus Art. 15 DS-GVO tauglicher Anknüpfungspunkt für einen Anspruch aus Art. 82 DS-GVO sein kann.
OLG Köln Urt. v. 3.4.2025 – 15 U 40/23	100 EUR (+ 90,96 EUR Rechtsanwaltskosten) Wie OLG Köln Urt. v. 3.4.2025 – 15 U 41/23.
OLG Köln Urt. v. 3.4.2025 – 15 U 41/23	100 EUR (+ 90,96 EUR Rechtsanwaltskosten) Der Kl. hat gegen die Bekl. einen Anspruch auf Zahlung von Schadensersatz für immaterielle Schäden aus Art. 82 Abs. 1 DS-GVO iHv 100 EUR. Die Regelung des Art. 82 Abs. 1 DS-GVO ist vorliegend zeitlich anwendbar. Es wird Bezug auf die Ausführungen des Senats im Urteil des Parallelverfahrens 15 U 40/23 vom heutigen Tage genommen, die den Prozessbevollmächtigten der Parteien bekannt sind. Die Bekl. hat als Verantwortliche gemäß Art. 4 Nr. 7 DS-GVO durch ihre Verarbeitung der personenbezogenen Daten des Kl. schuldhaft gegen Art. 5 Abs. 1 lit. b) und lit. c), Art. 25 Abs. 2 S. 1 und 3 DS-GVO verstoßen, weil die von ihr vorgenommene Voreinstellung der Suchbarkeit über die Mobilfunknummer auf „U.“ nicht dem Grundsatz der Datenminimierung entsprochen hat. Es wird auch insoweit Bezug auf die Ausführungen im Urteil des Parallelverfahrens 15 U 40/23 vom heutigen Tage genommen. Der Kl. hat durch diesen Datenschutzverstoß einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO erlitten. Nach Anhörung des Kl. steht zur Überzeugung des Senats fest, dass dieser einen Kontrollverlust dergestalt erlitten hat, dass seine bei der Bekl. gespeicherte Mobilfunknummer zusammen mit seinem Namen im Internet veröffentlicht wurde. Der Kontrollverlust über die Mobilfunknummer stellt einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO dar. Der Senat nimmt insofern Bezug auf die Ausführungen des BGH in seiner Entscheidung vom 18.11.2024 (VI ZR 10/24) unter Bezugnahme auf Entscheidungen des EuGH und schließt sich diesen an. Die mit der Klageschrift behaupteten weitergehenden Folgen, die darin bestehen sollen, dass sich der Kl. wegen des Scraping-Vorfalls und des damit verbundenen Kontrollverlustes in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch der ihn betreffenden Daten befinde, bei jeder digitalen Nachricht einen Betrug fürchte und sich mit dem Datenleck habe auseinandersetzen müssen, haben sich in der persönlichen Anhörung des Kl. allerdings nicht bestätigt. Für den Kontrollverlust über seine Mobilfunknummer in Kombination mit dem Namen des Kl. hält der Senat einen Schadensersatzanspruch iHv 100 EUR für angemessen. Hinsichtlich der Bemessung desselben wird Bezug auf die Ausführungen im Urteil des Parallelverfahrens 15 U 40/23 vom heutigen Tage genommen. Ein Mitverschulden des Kl. am Kontrollverlust seiner Mobilfunknummer kann nicht festgestellt werden. Soweit die Bekl. hier darauf abstellt, der Kl. habe seine Suchbarkeitseinstellungen nach dem Vorfall zunächst nicht geändert und auch seine Mobilfunknummer beibehalten, ändert dies nichts. Denn dieses Verhalten des Kl. hat unstreitig erst nach dem streitgegenständlichen Scraping stattgefunden und konnte damit auf den Kontrollverlust als solchen keine Auswirkung haben.
OLG Schleswig-Holstein Urt. v. 27.3.2025 – 5 U 61/23	300 EUR (+ 367,23 EUR vorgerichtliche Rechtsanwaltskosten) Wie OLG Schleswig-Holstein Urt. v. 20.3.2025 – 5 U 96/23.
OLG Schleswig-Holstein Urt. v. 27.3.2025 – 5 U 52/23	0 EUR Der klägerischen Partei steht der mit den Anträgen zu 1. und 2. geltend gemachte Anspruch auf Schadensersatz aus Art. 82 DS-GVO nicht zu, weil nach dem in der Berufungsinstanz zugrunde zu legenden Sachverhalt nicht feststeht, dass der zeitliche Anwendungsbereich der DS-GVO eröffnet ist.
OLG Dresden Beschl. v. 24.3.2025 – 4 U 1664/24	0 EUR Die Kl. hat gegen die Bekl. auch keinen Anspruch nach Art. 82 DS-GVO auf Ersatz eines immateriellen Schadens. Eine unrechtmäßige Weitergabe vertraulicher Informationen liegt nicht vor. Ob die Bekl. als Verantwortliche in den Anwendungsbereich des Art. 82 Abs. 1 DS-GVO fällt, ob dieser ggfs. nur solche Sachverhalte erfasst, in denen es um die Art der Informationserlangung geht und der Vorwurf einer intransparenten Datenverarbeitung im Raum steht, oder die Kl. ihren Anspruch nur auf § 823 Abs. 1 BGB stützen könnte, bedarf hier wiederum keiner abschließenden Entscheidung. Denn die Bekl. kann sich jedenfalls darauf berufen, dass die Verarbeitung der in Rede stehenden Daten zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 Satz 1 lit. c) DS-GVO erforderlich war. Überdies hat die Kl. keinen durch die Informationsweitergabe verursachten Schaden nachgewiesen.
OLG Brandenburg Urt. v. 24.3.2025 – 1 U 9/23	200 EUR (+ 90,96 EUR Rechtsanwaltskosten) Der Kl. hat einen Anspruch gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO auf die Zahlung von 200 EUR. Ein weitergehender Zahlungsanspruch in Bezug auf den streitgegenständlichen Scraping-Vorfall und das damit zusammenhängende Geschehen ist nicht gegeben. Der mit dem Scraping verbundene Kontrollverlust, auf den der Kl. sich bereits in der ersten Instanz ausdrücklich berufen hat, führt zu einem Entschädigungsanspruch iHv – zunächst – 100 EUR. Auch insoweit tritt der Senat der Rspr. des BGH bei. Das den Kontrollverlust negierende Vorbringen der Bekl. in der Klageerwiderung vom 24.10.2022 und in der Berufung stellt ein unbeachtliches Bestreiten ins Blaue hinein dar, da ein Datenabfluss infolge eines Scraping denknotwendig dazu führt, dass der Dateninhaber in der Kontrolle über seine Daten beeinträchtigt ist. Darüber hinaus steht fest, dass der Kl. ab etwa Ende November 2019 in einem verstärkten Umfang von etwa drei bis vier Nachrichten je Kalendertag betrügerische Phishing-Nachrichten und Nachrichten gefälschter Absender, vorwiegend über WhatsApp und per SMS, erhalten hat, was er als störend und „nervig“ empfunden und ihn bewogen hat, nach rund drei Monaten die Handynummer zu wechseln und seine bisherige Handynummer nur noch für Authentifizierungszwecke zu nutzen. Das ergibt sich aus den Angaben des Kl. im Rahmen seiner persönlichen Anhörung durch den Senat in der mündlichen Verhandlung am 24.2.2025. Der Senat hat keinen Anlass zu Zweifeln an der inhaltlichen Richtigkeit dieser Darstellung. Der Kl. hat sein damaliges Erleben und Verhalten mit nicht geringem Detailreichtum und durchweg nachvollziehbar dargestellt. Seine Äußerungen vermitteln ein lebensnahes und in sich schlüssiges Bild der Geschehnisse, wobei der Kl. – insb. mit dem Wechsel der Handynummer im Februar 2020 – auch seinem prozessualen Begehren abträgliche Umstände nicht außen vor gelassen hat. Damit ist in tatsächlicher Hinsicht diese Sachdarstellung der Entscheidung zugrunde zu legen, wohingegen der für den Kl. schriftsätzlich gehaltene Vortrag über ein verstärktes Misstrauen gegenüber E-Mails und Anrufen unbekannter Nummern und Adressen sowie einer großen Sorge über einen möglichen Missbrauch seiner Daten nicht bestätigt worden ist. Dabei ist angesichts des zeitlichen Zusammenhangs des Scraping-Vorfalls mit den ab etwa Ende November 2019 erhaltenen betrügerischen Nachrichten von einer diesbezüglichen Kausalität auszugehen. Die so gegebenen weiteren Beeinträchtigungen rechtfertigen einen Entschädigungsbetrag in Höhe weiterer 100 EUR, der erforderlich, aber auch ausreichend erscheint, um diese zu kompensieren. Dabei lässt sich der Senat davon leiten, dass die Beeinträchtigungen in einer lediglich geringen Qualität aufgetreten sind und lediglich einen Zeitraum von rund drei Monaten angedauert haben; dazu hat der Kl. im Rahmen seiner Anhörung durch den Senat mitgeteilt, dass er auf der alten und nur noch für Authentifizierungszwecke genutzten Handynummer zwar weiterhin betrügerische Nachrichten erhalte, ihn dies allerdings nicht mehr störe. Dass insgesamt nicht mehr als eine Bagatellbeeinträchtigung vorliegt, die für einen Anspruch auf eine Geldentschädigung aus §§ 823, 253 BGB keinen Raum lässt, schließt den gegebenen Anspruch des Kl. nicht aus, da für den Anspruch aus Art. 82 Abs. 1 DS-GVO keine Bagatellgrenze gilt. Im Anschluss an das Bestehen des Anspruchs des Kl. auf die Zahlung einer Geldentschädigung iHv 200 EUR steht dem Kl. auch ein Anspruch gegen die Bekl. auf die Begleichung vorgerichtlicher Rechtsanwaltskosten unter dem Gesichtspunkt erforderlicher Kosten einer zweckentsprechenden Rechtsverfolgung.
OLG Brandenburg Urt. v. 24.3.2025 – 1 U 18/23	100 EUR (+ 90,96 EUR Rechtsanwaltskosten) Der Kl. steht ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 Abs. 2, Abs. 1 DS-GVO zu, allerdings nur iHv 100 EUR. Der EuGH hat Art. 82 Abs. 1 DS-GVO wiederholt dahin ausgelegt, dass der bloße Verstoß gegen die Norm nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen. Kumulativ erforderlich sind vielmehr das Vorliegen eines Verstoßes gegen die Bestimmungen der DS-GVO, das Vorliegen eines materiellen oder immateriellen „Schadens“ und ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Die Bekl. hat gegen den in Art. 5 Abs. 1 lit. b und c, Art. 25 Abs. 2 Satz 1 und 3 DS-GVO normierten Grundsatz der Datenminimierung verstoßen, indem sie in ihrer vorgenommenen Voreinstellung der Suchbarkeitseinstellungen auf „Alle“ im Ausgangspunkt nicht dem Grundsatz der Datenminimierung entsprochen hat. Nach der Beweislastregelung des Art. 5 Abs. 2 DS-GVO muss die Bekl. iRd ihr obliegenden Rechenschaftspflicht die Einhaltung der in Art. 5 Abs. 1 DS-GVO geregelten Grundsätze der Datenverarbeitung nachweisen können. Dieser Nachweis einer rechtmäßigen Datenverarbeitung ist der Bekl. nicht gelungen. Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DS-GVO auf Verstöße gegen Art. 5 DS-GVO bestehen nicht. So hat der EuGH bereits entschieden, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DS-GVO, mithin des zweiten Kapitels der DS-GVO, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt. Durch den Verstoß gegen die Datenschutzbestimmungen ist der Kl. ein kausaler Schaden entstanden. Dazu hat der BGH erkannt, dass für das Vorliegen eines immateriellen Schadens der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten ausreichend ist. Die Kl. muss grds. den Nachweis über den erlittenen Kontrollverlust iSd Art. 82 DS-GVO erbringen, kann sie dies nicht, genügt die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden. So genügt die Behauptung von Angst, Sorge und Unwohlsein wegen Spam-SMS und -Anrufen sowie von aufgewandter Zeit und Mühe in der Auseinandersetzung mit dem Scraping-Vorfall sowie dem Schutz vor künftigem Missbrauch, den prozessualen Darlegungsanforderungen. Nach diesen Maßstäben hat die Kl. einen sich zwangsläufig aus dem Vorfall ergebenden Kontrollverlust über ihre Daten vorgetragen und bewiesen. Im Anschluss an das Bestehen des Anspruchs der Kl. auf die Zahlung einer Geldentschädigung iHv 100 EUR steht der Kl. auch ein Anspruch gegen die Bekl. auf die Begleichung vorgerichtlicher Rechtsanwaltskosten unter dem Gesichtspunkt erforderlicher Kosten einer zweckentsprechenden Rechtsverfolgung.
OLG Schleswig-Holstein Urt. v. 20.3.2025 – 5 U 101/23	100 EUR (+ 367,23 EUR vorgerichtliche Rechtsanwaltskosten) Soweit die Bekl. geltend macht, der Antrag zu 1. sei nicht hinreichend bestimmt, weil er auf mehrere angebliche Verstöße gegen die DS-GVO gestützt werde und damit mehrere Streitgegenstände in Form einer unzulässigen alternativen Klagehäufung vorlägen, greift dies nicht durch. Die klägerische Partei macht nicht mehrere selbständige, auf verschiedene Datenschutzverstöße gestützte prozessuale Ansprüche alternativ geltend, sondern vielmehr einen einheitlichen Anspruch auf Ersatz eines immateriellen Schadens, der sich aus mehreren Datenschutzverstößen der Bekl. ergeben soll. Nach § 253 Abs. 2 Nr. 2 ZPO muss die Klageschrift neben einem bestimmten Antrag eine bestimmte Angabe des Gegenstandes und des Grundes des erhobenen Anspruchs enthalten. Damit werden der Streitgegenstand abgegrenzt und die Grenze der Rechtshängigkeit und der Rechtskraft festgelegt sowie Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts bestimmt. Der Kl. muss die gebotene Bestimmung des Streitgegenstandes vornehmen und kann sie nicht zur Disposition des Gerichts stellen. Dies erfordert auch der Schutz des Bekl., für den erkennbar sein muss, welche prozessualen Ansprüche gegen ihn erhoben werden, um seine Rechtsverteidigung danach ausrichten zu können. Für die damit erforderliche Individualisierung des Streitgegenstands ist es entsprechend dem Zweck der Klageerhebung, dem Bekl. den Willen des Kl. zur Durchsetzung seiner Forderungen zu verdeutlichen, im Allgemeinen ausreichend, wenn der Anspruch als solcher identifizierbar ist. Dazu gehört bei mehreren Streitgegenständen auch die Benennung der Reihenfolge, in der diese zur Überprüfung durch das Gericht gestellt werden. Der Kl. kann die Auswahl, über welche selbständigen Ansprüche bis zur Höhe der eingeklagten Forderung entschieden werden soll, nicht dem Gericht überlassen. Der Antrag zu 1) ist jedoch nur teilweise begründet, da der klägerischen Partei der geltend gemachte Schadensersatz aus Art. 82 Abs. 1 DS-GVO oder aus einer anderen Anspruchsgrundlage allein iHv 100 EUR zusteht. Nach der Rspr. des Gerichtshofes erfordert ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruches nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Der Bekl. sind Verstöße gegen Art. 5 Abs. 1 lit. b), 25 Abs. 2, 32 Abs. 1 DS-GVO vorzuwerfen, weil sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen hat, die sicherstellen konnten, dass durch die von ihr gewählten Voreinstellungen iRd Suchbarkeit des Profils mithilfe der Telefonnummer und das Zur-Verfügung-Stellen des CIT nur solche personenbezogenen Daten der klägerischen Partei verarbeitet wurden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich waren. Dabei bedarf es im Streitfall keiner Entscheidung, ob ein Verstoß gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO nicht nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst, wie es Art. 82 Abs. 2 Satz 1 und Erwägungsgrund 146 Satz 1 DS-GVO nahelegen, oder ob grds. auch bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorgangs haftungsbegründend sein können. Denn angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DS-GVO wäre auch bei einem engeren Verständnis des Art. 82 Abs. 1 DS-GVO in Bezug auf den hier inmitten stehenden Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Bekl. in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen. Entsprechend hat der Gerichtshof bereits entschieden, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DS-GVO, mithin des zweiten Kapitels der DS-GVO, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt. Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DS-GVO auf Verstöße gegen Art. 5 DS-GVO bestehen daher nicht. Aber auch für Verstöße gegen Vorschriften aus dem vierten Kapitel der DS-GVO (Art. 24 bis 43 DS-GVO) hat der Gerichtshof zu einzelnen Vorschriften bereits angenommen, dass ein Schadensersatzanspruch aus Art. 82 DS-GVO möglich ist. Es kommt in diesem Zusammenhang auch nicht darauf an, ob einer oder mehrere Verstöße gegen die DS-GVO festgestellt werden können, da der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt. Die Bekl. traf die Darlegungslast dahin, die betroffenen personenbezogenen Daten der klägerischen Partei entsprechend der DS-GVO verarbeitet zu haben. Obwohl es sich bei dem für die Haftung nach Art. 82 DS-GVO erforderlichen Verstoß gegen die DS-GVO im Zuge der Datenverarbeitung um eine anspruchsbegründende Voraussetzung handelt, ist nicht die klägerische Partei für einen solchen Verstoß darlegungs- und beweisbelastet: Nach der Rspr. des Europäischen Gerichthofs ist es nur, soweit der jeweils maßgebliche unionsrechtliche Rechtsakt keine spezifischen Bestimmungen hierzu enthält, Sache des nationalen Gerichts, die Beweislastregelungen der nationalen Rechtsordnung anzuwenden, sofern damit die Wirksamkeit des Unionsrechts nicht beeinträchtigt und die Einhaltung der sich aus dem Unionsrecht ergebenden Verpflichtungen sichergestellt wird. Die DS-GVO enthält indes in Art. 5 Abs. 2 DS-GVO eine spezifische Beweislastregelung. Danach ist nämlich der für die Datenverarbeitung Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DS-GVO enthaltenen Grundsätze der Datenverarbeitung verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“). Er muss damit also generell – und entgegen dem Ansatz der Bekl. auch im Zivilprozess – nach dem in Art. 5 Abs. 2 DS-GVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält. Der in Art. 5 Abs. 2 der DS-GVO formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass iRe auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen iSv Art. 32 dieser Verordnung geeignet waren. Gemessen daran hat die Bekl. als die für die Datenverarbeitung Verantwortliche weder schlüssig dargelegt noch gar bewiesen, dass ihre streitgegenständliche, zum Scraping-Vorfall bei der klägerischen Partei führende Verarbeitung entgegen dem klägerischen Vorbringen nicht gegen die in Art. 5 Abs. 1 DS-GVO normierten Grundsätze verstoßen hat. Der klägerischen Partei ist ein immaterieller Schaden durch die genannten Datenschutzverstöße der Bekl. entstanden. Die von der DS-GVO verwandten Begriffe „immaterieller“ und „materieller“ Schaden sind unionsautonom auszulegen und setzen nach dem Wortlaut der Norm, der Systematik und Telos des Art. 82 Abs. 2, Abs. 1 DS-GVO sowie der Art. 77-84 DS-GVO und den Erwägungsgründen 75, 85 und 146 DS-GVO einen über den schlichten Verstoß gegen die DS-GVO hinausgehenden Schaden voraus. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Insoweit hat der Gerichtshof festgestellt, dass aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervorgeht, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Ein solcher Schaden setzt jedoch – entgegen möglicherweise bestehendem innerstaatlichen Recht – nach Wortlaut, Erwägungsgründen 10, 146 DS-GVO und Telos nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DS-GVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DS-GVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte. Somit schließt der Wortlaut von Art. 82 Abs. 1 DS-GVO nicht aus, dass der in dieser Bestimmung enthaltene Begriff „immaterieller Schaden“ eine Situation wie die hiesige umfasst, in der sich die betroffene Person, um Schadensersatz nach dieser Bestimmung zu erhalten, auf ihre Befürchtung beruft, dass ihre personenbezogenen Daten aufgrund des eingetretenen Verstoßes gegen die DS-GVO in Zukunft von Dritten missbräuchlich verwendet werden. Diese wörtliche Auslegung wird zweitens durch den 146. Erwägungsgrund der DS-GVO bestätigt, der speziell den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadenersatzanspruch betrifft und in dessen drittem Satz es heißt, dass „[d]er Begriff des Schadens… im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Eine Auslegung des Begriffs „immaterieller Schaden“ iSv Art. 82 Abs. 1 DS-GVO, die nicht die Fälle umfasst, in denen die von einem Verstoß gegen die DS-GVO betroffene Person sich auf die Befürchtung beruft, dass ihre eigenen personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, entspräche jedoch nicht einer weiten Auslegung dieses Begriffs, wie sie vom Unionsgesetzgeber beabsichtigt ist. Weiterhin hat der Gerichtshof in seiner jüngeren Rspr. unter Bezugnahme auf Erwägungsgrund 85 DS-GVO (vgl. ferner Erwägungsgrund 75 DS-GVO) klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes der DS-GVO heißt es, dass „[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht nach der Rspr. des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen Verlust der Kontrolle („the mere loss of control“, „la simple perte de contrôle“) über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Drittens und letztens wird die so vorgenommene Auslegung durch die Ziele der DS-GVO gestützt, denen die Definition des Begriffs „Schaden“ in vollem Umfang entsprechen muss, wie es im dritten Satz des 146. Erwägungsgrundes der DS-GVO heißt. Eine Auslegung von Art. 82 Abs. 1 DS-GVO dahin, dass der Begriff „immaterieller Schaden“ iSd Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre jedoch nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird. Allerdings muss eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Auch insoweit muss die betroffene Person den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Entsprechend stellt der Gerichtshof auch darauf ab, dass die „konkret erlittenen Schäden“ vollständig ausgeglichen werden müssen. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des Gerichtshofs voraus, dass dieser „tatsächlich und sicher“ besteht. Insoweit hat der Gerichtshof bereits entschieden, dass Art. 82 DS-GVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, und zwar ihre Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion hat. Das Verhältnis zwischen den in Art. 82 DS-GVO und den in den Art. 83 und 84 DS-GVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DS-GVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen. Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss folglich geltend machen (und ggf. nachweisen), dass der Verstoß gegen die DS-GVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen. Das Risiko der Nichterweislichkeit – auch in Bezug auf das konkrete Ausmaß eines etwaigen Schadens – verbleibt beim Anspruchsteller. Diesen Darlegungserfordernissen genügt das Vorbringen der klägerischen Partei. Ein Kontrollverlust liegt vor. Entgegen der von der Bekl. in der mündlichen Verhandlung geäußerten Rechtsauffassung ist ein Kontrollverlust nicht deshalb ausgeschlossen, weil die klägerische Partei bereits vor dem streitgegenständlichen Scraping Opfer eines Datenlecks war. Kontrolle über seine Daten – insb. seine Telefonnummer – hat, wer sie bewusst und ausgewählt offenlegt, dh sie nicht allgemein veröffentlicht. Wer Opfer eines Datenlecks wird, veröffentlicht seine Daten nicht allgemein. Ob dies in besonders gelagerten Fällen anders zu sehen ist, bedarf vorliegend keiner Entscheidung. Ein solcher besonders gelagerter Fall liegt hier jedenfalls nicht vor. Die, wie dem Senat aus Parallelverfahren bekannt, akribisch forschende Bekl. konnte nicht ermitteln, dass die klägerische Partei bereits einmal Opfer eines Datenlecks geworden war. Das hat sie erst selbst im Rahmen ihrer persönlichen Anhörung offenbart. Ein Kontrollverlust liegt vor. Der Scraping-Vorfall bei der Bekl. als solcher steht ebenso fest wie die anschließende Veröffentlichung der abgegriffenen Daten und deren Verfügbarkeit im Internet. Die klägerische Partei hat bereits erstinstanzlich den Inhalt des von den Scrapern geleakten, auf sie bezogenen Datensatzes in Form eines wörtlichen Zitats wiedergegeben und geltend gemacht, es handele sich um ihre Mobiltelefonnummer, Name, Facebook-ID, Geschlecht, Beziehungsstatus und Arbeitgeber. Soweit der Bekl. möglicherweise ein Verstoß gegen die Meldepflicht nach Art. 33 Abs. 1 DS-GVO, die Benachrichtigungspflicht nach Art. 34 Abs. 1 DS-GVO wegen einer unterlassenen Meldung des Datenschutzvorfalls vorzuwerfen ist, hat die klägerische Partei jedenfalls keine immateriellen Schäden geltend gemacht, die auf diesen Verstoß zurückzuführen sind. Dabei kann dahinstehen, ob – wie dies die Bekl. geltend macht – ein Verstoß gegen diese Vorschriften nicht in den Schutzbereich von Art. 82 DS-GVO fällt, weil der Datenschutzverstoß nicht im Zuge einer Verarbeitung entstanden sein soll. Denn die behaupteten immateriellen Schäden in Form von Angst, Sorge, Unwohlsein sowie Belästigung durch Spam-Anrufe bzw. Spam-SMS könnten, selbst wenn man sie iRd Art. 82 Abs. 1 DS-GVO ausreichen lassen wollte, jedenfalls nicht kausal auf einen Verstoß der Bekl. gegen Art. 33 Abs. 1, 34 Abs. 1 DS-GVO zurückgeführt werden. Dabei kommt es auch nicht auf die Frage der genauen Verteilung der Darlegungs- und Beweislast für die Kausalitätsfragen iRd Art. 82 Abs. 1 DS-GVO an. Denn die für diese Schäden nach eigenen Angaben der klägerischen Partei maßgebliche Veröffentlichung der Telefonnummer in Verbindung mit seinem Namen im sog. Darknet hätte – anderes macht auch die klägerische Partei selbst gar nicht geltend – durch eine Meldung der Bekl. bei ihr oder der Aufsichtsbehörde offensichtlich nicht mehr verhindert werden können. Die klägerische Partei hat auch nichts dazu vorgetragen – und es ist auch sonst nicht ersichtlich – ob und in welcher Weise sie sich bei früherer Information der Bekl. vor den angeblich erlittenen Schäden (Angst, Unsicherheit, Misstrauen, Belästigung durch Anrufe etc.) geschützt hätte bzw. wie sie die irische Datenschutzbehörde bei einer frühzeitigen Information vor diesen angeblichen Auswirkungen hätte schützen können. Soweit die klägerische Partei ihren Schadensersatzanspruch schließlich auf eine Verletzung von Art. 15 DS-GVO im Hinblick auf eine vermeintlich unzureichende Auskunft der Bekl. über den Scraping-Vorfall stützt, greift auch dies nicht durch. Dabei kann auch hier dahinstehen, ob ein Verstoß gegen diese Vorschrift in den Schutzbereich von Art. 82 DS-GVO fällt. Denn die Bekl. hat im Hinblick auf die von der klägerischen Partei geforderte Auskunft ihre Verpflichtung aus Art. 15 DS-GVO nicht verletzt, da sie weder eine verspätete noch eine unvollständige Auskunft erteilt hat. Der klägerischen Partei steht der Höhe nach ein Anspruch iHv 100 EUR zu. Die DS-GVO enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes. Insb. können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DS-GVO genannten Kriterien herangezogen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. Die innerstaatliche Verfahrensautonomie bei der Ermittlung des nach Art. 82 DS-GVO zu ersetzenden Schadens unterliegt indes mehreren aus dem Unionsrecht folgenden Einschränkungen. Die Modalitäten der Schadensermittlung dürfen bei einem – wie im Streitfall – unter das Unionsrecht fallenden Sachverhalt nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Auch dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs, wie sie in Erwägungsgrund 146 Satz 6 DS-GVO zum Ausdruck kommt, ist eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO dagegen nicht erfüllen. Folglich darf weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen und ob er vorsätzlich gehandelt hat. Im Ergebnis soll die Höhe der Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Dies gilt auch unter Berücksichtigung des Umstandes, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. Daraus ergeben sich Vorgaben sowohl in Bezug auf die Untergrenze als auch auf die Obergrenze des nach Art. 82 Abs. 1 DS-GVO zu gewährenden Schadensersatzes, die das Schätzungsermessen des Tatgerichts (§ 287 ZPO) rechtlich begrenzen. Wenn allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten vorliegt, weil weitere Schäden nicht nachgewiesen sind, sind bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DS-GVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter sind die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (zB Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insb. eines Rufnummernwechsels) dienen. Äußerst zweifelhaft erscheint daher, ob hier eine Festsetzung in „ggf. nur einstelliger Höhe“ mit dem Effektivitätsgrundsatz zu vereinbaren wäre. Dagegen hat der BGH von Rechts wegen keine Bedenken, den notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchem in einem Fall wie dem streitgegenständlichen in einer Größenordnung von 100 EUR zu bemessen. Macht der Betroffene psychische Beeinträchtigungen geltend, die über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen, ist das Gericht ggf. gehalten, den Betroffenen anzuhören, um die notwendigen Feststellungen hierzu treffen zu können. Ausgehend davon wird es ggf. einen Betrag als Ausgleich festzusetzen haben, der über dem im Falle eines bloßen Kontrollverlustes zuzusprechenden Betrag liegt. Die klägerische Partei hat aber nach den vorstehenden Ausführungen keine über den Kontrollverlust hinausgehenden psychischen Beeinträchtigungen. Soweit die klägerische Partei diesbezüglich anführt, in der Entscheidung des Gerichts der Europäischen Union (EuG) vom 8. Januar 2025 (T-354/22, Rn. 195 ff.) sei ein Schadensersatz iHv 400 EUR zugesprochen worden, so betrifft dies einen vom vorliegenden zu unterscheidenden Einzelfall. Dort ging es um einen Verlust der IP-Adresse, die in ein fremdes Land abgeflossen war. Die IP-Adresse macht konkrete an das Netz angebundene Geräte adressierbar und damit erreichbar. Nach Auffassung des Senats handelt es sich hierbei um einen schon nach der Art der abgegriffenen Daten erheblich schwereren Fall mit erheblich höherem Potential für etwaige Straftaten durch Dritte. Die klägerische Partei hat einen Anspruch auf Erstattung ihrer vorgerichtlichen Rechtsanwaltskosten iHv 367,23 EUR unmittelbar aus Art. 82 Abs. 1 DS-GVO.
OLG Schleswig-Holstein Urt. v. 20.3.2025 – 5 U 96/23	100 EUR (+ 367,23 EUR vorgerichtliche Rechtsanwaltskosten) Wie OLG Schleswig-Holstein Urt. v. 20.3.2025 – 5 U 101/23.
OLG Hamburg Urt. v. 20.3.2025 – 5 U 93/24	100 EUR (+ 220,27 EUR vorgerichtliche Rechtsanwaltskosten) Der Antrag ist – insoweit abweichend zur landgerichtlichen Entscheidung – iHv 100 EUR begründet. In dieser Höhe steht dem Kl. ein Anspruch auf Zahlung von Schadensersatz aus Art. 82 Abs. 1 DS-GVO zu. Der Anwendungsbereich von Art. 82 Abs. 1 DS-GVO ist in räumlicher, sachlicher und zeitlicher Hinsicht eröffnet. Auch dann, wenn sich der Kl. bereits vor dem Inkrafttreten der DS-GVO zum 25.5.2018 (Art. 99 Abs. 2 DS-GVO) auf der Plattform der Bekl. angemeldet hat, war die Bekl. jedenfalls ab dem Zeitpunkt des Inkrafttretens der DS-GVO verpflichtet, den dort statuierten Vorschriften gerecht zu werden. Dass sich der die Daten des Kl. betreffende Scraping-Vorfall insgesamt schon vor dem 25.5.2018 zugetragen habe, ist weder dargetan noch ersichtlich. Die Bekl. hat durch die unstreitig bestehende Voreinstellung, wonach die Suchbarkeit nach der Telefonnummer des Kl. auf „alle“ voreingestellt war, gegen den Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. b und c, Art. 25 Abs. 2 S. 1 und S. DS-GVO verstoßen. Darauf, ob noch weitere Verstöße gegen die DS-GVO vorliegen, kommt es nicht an, da der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion hat, jedoch keine Abschreckungs- oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt. Soweit der Kl. seinen Anspruch zusätzlich auf einen Verstoß gegen Benachrichtigungs- und Meldepflichten stützt, fehlt es jedenfalls an der Ursächlichkeit für den geltend gemachten Schaden. Dem Kl. ist auch ein immaterieller Schaden entstanden. Ein solcher Schaden liegt in dem Verlust der Kontrolle über seine Daten. Nach der Rspr. des BGH stellt der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO dar. Der Begriff des immateriellen Schadens ist autonom unionsrechtlich zu definieren. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht zwar nach der Rspr. des EuGH nicht aus, um einen Schadensersatzanspruch zu begründen. Allerdings muss ein Schaden keinen bestimmten Grad an Schwere oder Erheblichkeit erreichen. Schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden darstellen, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Nach dem ersten Satz des 85. Erwägungsgrundes der DS-GVO, kann „[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht nach der Rspr. des EuGH hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen Verlust der Kontrolle („the mere loss of control“, „la simple perte de contrôle“) über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Steht ein Kontrollverlust fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Einen solchen Kontrollverlust hat der Kl. erlitten. Hierfür ist es nach der Rspr. des BGH nicht erforderlich, dass der Kl. im Einzelnen ausführt, welchen anderen Personen er seine Daten – insb. seine Telefonnummer – offengelegt hat. Es genügt jedenfalls, wenn er angibt, dies zuvor bewusst und ausgewählt getan zu haben, dh die Daten nicht allgemein veröffentlicht zu haben. Der Kl. hat in seiner Parteianhörung vor dem LG angegeben, er gehe mit seiner privaten Handy-Nummer sehr vorsichtig um und gebe sie nur an Bekannte, an Familienmitglieder oder engere Bekannte oder Personen, die ihm wichtig seien, weiter. Häufig gebe er auch seine Firmennummer an. Dies genügt unter Berücksichtigung der Rspr. des BGH nach Ansicht des Berufungsgerichts für das Vorliegen eines Kontrollverlusts im Hinblick auf die private Telefonnummer. Selbst wenn – wie die Bekl. im Berufungsverfahren geltend macht – die Telefonnummer des Kl. schon vor dem gegenständlichen Scraping-Vorfall auf Internetseiten Dritter zu finden gewesen sei, so ist insofern nicht davon auszugehen, dass der Kl. damit seine Daten „allgemein veröffentlicht“ hätte. Mit einer Verknüpfung der Mobil-Telefonnummer zu einem den Kl. betreffenden Datensatz – wie hier gegenständlich – ist dies nicht vergleichbar. Dass die Telefonnummer im Vergleich zu den in Art. 9 DS-GVO genannten besonders sensiblen Daten weniger geheimhaltungsbedürftig ist, steht nicht dem Schadensersatzanspruch dem Grunde nach entgegen, sondern wirkt sich nur auf die Höhe eines etwaigen Schadensersatzanspruches aus. Der Kontrollverlust bezieht sich auf die Telefonnummer. Jedenfalls im Hinblick auf die Verifizierung der Telefonnummer und Zuordnung zum klägerischen Facebook-Profil lässt sich unter Berücksichtigung der Rspr. des BGH ein Kontrollverlust des Kl. auch im Streitfall nicht verneinen. Die Umstände des Datenabflusses, wie sie mit dem hier vorliegenden Scraping-Vorfall vorliegen, sind jedenfalls von solcher Qualität, dass sie einen „Kontrollverlust“ unabhängig davon begründen, wie die „Kontrolle“ des Kl. über seine Telefonnummer zuvor beschaffen war. Dies liegt insb. daran, dass die unbekannten Dritten die Telefonnummern im Wege des Scrapings gezielt deswegen mit den abgerufenen Nutzerdaten verknüpften und als Datensatz im Internet veröffentlichten, damit diese Sammlung von verifizierten und mit Namen versehenen Telefonnummern in missbräuchlicher Weise verwendet werden können. Ein weiterer, über den Kontrollverlust hinausgehender Schaden im Hinblick auf die vorgetragene „Sorge“ des Kl. lässt sich im Streitfall – wie das LG zu Recht angenommen hat – nicht feststellen. Die Höhe des Schadensersatzes ist auf 100 EUR zu schätzen, § 287 ZPO. Eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld muss den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang ausgleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO dagegen nicht erfüllen. Folglich darf weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Ist allein ein Schaden in Form eines Kontrollverlusts in Bezug auf personenbezogene Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, sind bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DS-GVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter sind die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (zB Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insb. eines Rufnummernwechsels) dienen. Nach der Rspr. des BGH bestehen keine Bedenken, den notwendigen Ausgleich für den eingetretenen Kontrollverlust als solchem in einem Fall wie dem streitgegenständlichen in einer Größenordnung von 100 EUR zu bemessen. Da der Streitfall mit dem vom BGH entschiedenen Fall vergleichbar ist, schätzt das Berufungsgericht vorliegend den Schaden des Kl. durch den bloßen Kontrollverlust auf 100 EUR (§ 287 ZPO). Der Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten aus Art. 82 Abs. 1 DS-GVO ist teilweise begründet. Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren, grds. zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden. Nach Auffassung des BGH kann in Fällen der vorliegenden Art die Erforderlichkeit der Beauftragung eines Rechtsanwalts nicht verneint werden; hierbei ist insb. zu berücksichtigen, dass zum Zeitpunkt des anwaltlichen Schreibens eine Vielzahl von Rechtsfragen in Zusammenhang mit Art. 82 DS-GVO weder durch den Europäischen Gerichtshof noch durch die nationalen Gerichte geklärt war.
OLG München Beschl. v. 17.3.2025 – 24 U 3020/24e	0 EUR Wie ebenfalls bereits ausgeführt, sind auch die tatbestandlichen Voraussetzungen für einen Schadenersatzanspruch nach Art. 82 DS-GVO nicht erfüllt. Hinsichtlich der Frage des Kontrollverlusts vermischt die Klagepartei die Frage des schlüssigen Vortrags eines Kontrollverlusts mit der Frage des Nachweises eines solchen. Dass der Vortrag der Klagepartei hinsichtlich einer gezielten Weitergabe seiner Telefonnummer ausreichend für einen schlüssigen Vortrag dazu war, dass und warum der Kl. zum Zeitpunkt des Scraping-Vorfalls noch die Kontrolle über seine Daten gehabt haben will, hat der Senat in seinem Beschluss – unter ausdrücklicher Bezugnahme auf die Entscheidung des BGH, aus der Klägervertreter nunmehr zitiert – bejaht. Allerdings verbleibt das Risiko der Nichterweislichkeit eines Kontrollverlusts – wie der BGH in derselben Entscheidung ausdrücklich klarstellt, beim Anspruchsteller. Soweit die Klagepartei behauptet, das Gericht habe für die Bekl. die normale Nutzung und Weitergabe der Handynummer bestritten, so ist es völlig unerfindlich, woraus der Klägervertreter derartiges ableiten will. Die Beklagtenpartei hat (unschwer erkennbar) das Eintreten eines Kontrollverlustes gerade aufgrund des Scrapingvorfalls mehrfach bestritten, wie sich aus den im Hinweisbeschluss bereits beispielhaft zitierten Fundstellen ergibt. So führt die Bekl. etwa in der Klageerwiderung aus: „Selbst wenn die Klagepartei in begrenztem Umfang einen Verlust der Kontrolle über ihre personenbezogenen Daten erlitten hätte (was bestritten wird) …“ Die Lektüre auch der weiteren Fundstellen wird dem Klägervertreter anheimgestellt. Das Bestreiten der Bekl. ist auch ohne weiteres substantiiert genug, weil die Bekl. ausgeführt hat, dass und warum die E-Mail-Adresse sich nicht unter den von der Plattform der Bekl. gescrapten Daten befunden hat, der Kl. aber auch einen Anstieg von Spam-Mails beklagt. Dies stellt ein Indiz für ein mögliches Datenleck an anderer Stelle dar, durch das natürlich auch andere Daten als die E-Mail-Adresse, wie die Handynummer, bereits abgeflossen sein könnten. Dies gilt um so mehr, als der Kl. sein … Profil unter einem Fantasienamen führt, die in der Klageschrift angegebene E-Mail-Adresse aber auf den richtigen Namen des Kl. lautet. Die E-Mail-Adresse kann also auch nicht durch Probieren von Kombinationen aus Namen und den Endungen verschiedener Mail-Anbieter herausgefunden worden sein. Der Kl. konnte ausweislich des vorgelegten Fragebogens außerdem überhaupt nicht zeitlich einordnen, wann er einen Anstieg von derartigen Belästigungen bemerkte, sodass auch durch eine zeitliche Korrelation kein Zusammenhang zu einem Scraping-Vorfall bei der Bekl. hergestellt werden kann. Ggf. hätte eine Anhörung des Kl. weitere Aufklärung bringen, bzw. zu einer entsprechenden Überzeugung des Gerichts führen können. Der Kl. ist jedoch, trotz ordnungsgemäßer Ladung und Anordnung des persönlichen Erscheinens des Kl. – ausdrücklich auch zur Sachaufklärung – nicht erschienen.
OLG Düsseldorf Urt. v. 14.3.2025 – 16 U 184/23	220,27 EUR Rechtsanwaltskosten Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag zu 1. ist zwar zulässig, jedoch unbegründet. Dem Kl. steht gegen die Bekl. kein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO nebst Zinsen ab Rechtshängigkeit zu. Der zulässige Antrag ist jedoch unbegründet. Gemäß Art. 82 Abs. 1 DS-GVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die DS-GVO, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus. Die Bekl. hat zwar gegen die DS-GVO verstoßen, der Kl. hat jedoch dadurch keinen ersatzfähigen immateriellen Schaden erlitten. Einen ihm durch Datenschutzverstöße der Bekl. entstandenen materiellen Schaden macht der Kl. nicht geltend. Der von Art. 82 Abs. 1 DS-GVO für einen Schadensersatzanspruch verlangte Verstoß gegen die DS-GVO liegt vor. Dabei kann hier dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der DS-GVO oder erst eine verordnungswidrige Datenverarbeitung iSv Art. 82 Abs. 2 Satz 1 DS-GVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen kann. Da die Bekl. – wie noch auszuführen ist – personenbezogene Daten des Kl. ohne die nach Art. 6 Abs. 1 DS-GVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die DS-GVO, sondern auch eine verordnungswidrige Datenverarbeitung vor. Es kommt in diesem Zusammenhang für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auch nicht darauf an, ob der Bekl. wegen des die Mobilfunknummer erfassenden Datenverarbeitungsvorgangs über den einen festgestellten Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße durch ein und denselben Verarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen. Dem Kl. ist jedoch infolge des Datenschutzverstoßes der Bekl. kein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DS-GVO ist in Ermangelung eines in der Vorschrift enthaltenen Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu bestimmen. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rspr. des EuGH ausgeformt worden ist. Zwar soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich. Ein haftungsbegründender immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO kann jedoch nach der Rspr. des Gerichtshofs schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rspr. des Gerichtshofs dem vom BGH hierzu vertretenen Verständnis an. Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping und bei einer Veröffentlichung der Daten im Internet, aber noch nicht – zB – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-Faktor-Authentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht. Eine Situation des Kontrollverlusts hat der Kl. im Hinblick auf seine Mobilfunknummer und ihre Verknüpfung mit seiner A.-ID, seinem Vor- und Nachnamen sowie Geschlecht dargelegt. Insofern reicht es aus, wenn ein Betroffener eine Veröffentlichung seiner Daten im Internet vorträgt und angibt, diese Daten nicht zuvor in einer vergleichbaren Weise allgemein veröffentlicht zu haben. Zwar stellen mit einem Kontrollverlust verbundene negative Gefühle wie Ängste und Befürchtungen sowie in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Datenmissbrauch aufgewandte Zeit und Mühe Umstände dar, die einen bereits mit dem reinen Kontrollverlust eingetretenen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO vertiefen oder vergrößern können. Das gilt jedenfalls dann, wenn sie über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen. Auch eine etwaige psychische Belastung durch Spam-Anrufe und Spam-SMS, die auf den Kontrollverlust zurückzuführen sind, können den immateriellen Schaden vergrößern. Dem Kl. steht gegen die Bekl. infolge des von der Bekl. begangenen Datenschutzverstoßes aus Art. 82 Abs. 1 DS-GVO ein auf Ersatz vorgerichtlicher Rechtsanwaltskosten gerichteter materiell-rechtlicher Kostenerstattungsanspruch in der aus dem Tenor ersichtlichen Höhe zu, der zudem wie tenoriert zu verzinsen ist.
OLG Düsseldorf Urt. v. 14.3.2025 – 16 U 94/24	100 EUR (+ 220,27 EUR vorgerichtliche Rechtsanwaltskosten) Wie OLG Düsseldorf Urt. v. 13.3.2025 – 16 U 135/23.
OLG Düsseldorf Urt. v. 14.3.2025 – 16 U 157/24	100 EUR (+ 159,94 EUR vorgerichtliche Rechtsanwaltskosten) Wie OLG Düsseldorf Urt. v. 13.3.2025 – 16 U 135/23.
OLG Düsseldorf Urt. v. 13.3.2025 – 16 U 135/23	100 EUR (+ 220,27 EUR vorgerichtliche Rechtsanwaltskosten) Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO iHv 100 EUR nebst Zinsen ab Rechtshängigkeit zu. Der von Art. 82 Abs. 1 DS-GVO für einen Schadensersatzanspruch verlangte Verstoß gegen die DS-GVO liegt vor. Dabei kann hier dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der DS-GVO oder erst eine verordnungswidrige Datenverarbeitung iSv Art. 82 Abs. 2 Satz 1 DS-GVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen kann. Da die Bekl. – wie noch auszuführen ist – personenbezogene Daten des Kl. ohne die nach Art. 6 Abs. 1 DS-GVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die DS-GVO, sondern auch eine verordnungswidrige Datenverarbeitung vor. Es kommt in diesem Zusammenhang für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auch nicht darauf an, ob der Bekl. wegen des die Mobilfunknummer erfassenden Datenverarbeitungsvorgangs über den einen festgestellten Datenschutzverstoß hinaus noch weitere Datenschutzverstöße anzulasten sind. Das Vorliegen mehrerer Datenschutzverstöße durch ein und denselben Verarbeitungsvorgang bleibt auf die Höhe eines etwaigen Schadensersatzanspruchs ohne Auswirkungen. Dem Kl. ist infolge des Datenschutzverstoßes der Bekl. auch ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DS-GVO ist in Ermangelung eines in der Vorschrift enthaltenen Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu bestimmen. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rspr. des EuGH ausgeformt worden ist. Zwar soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich.
OLG Düsseldorf Urt. v. 13.3.2025 – 16 U 173/23	75 EUR (+ 159,94 EUR vorgerichtliche Rechtsanwaltskosten) Wie OLG Düsseldorf Urt. v. 22.5.2025 – 16 U 99/24.
OLG Koblenz Urt. v. 11.3.2025 – 3 U 950/24	100 EUR (+ 220,27 EUR vorgerichtliche Rechtsanwaltskosten) Wie OLG Koblenz Urt. v. 11.2.2025 – 3 U 145/24.
OLG Celle Urt. v. 5.3.2025 – 5 U 129/24	100 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Zahlung iHv 100 EUR gemäß Art. 82 Abs. 1 DS-GVO zu. Der Bekl. ist eine Pflichtverletzung jedenfalls insofern zur Last zu legen, als sie gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1b und c, Art. 25 Abs. 2 Satz 1 und 3 DS-GVO verstoßen hat. Entgegen der Auffassung der Bekl. ist vorliegend auch von einem „objektiven Kontrollverlust“ auszugehen. Für ihre gegenteilige Auffassung beruft sich die Bekl. auf obergerichtliche Rspr., die – so jedenfalls das Verständnis des Senats – argumentiert, dass ein „Kontrollverlust“ voraussetze, dass der Betroffene zunächst die Kontrolle über die konkreten personenbezogenen Daten hatte und diese Kontrolle später gegen seinen Willen durch den streitgegenständlichen Datenschutzverstoß verloren hat. Im Hinblick darauf müsse der potenziell Geschädigte darlegen, dass er die Hoheit über die Daten nicht schon zuvor verloren hatte. Eine solche Darlegung bzw. Beweisführung könne den jeweiligen Betroffenen – so jedenfalls das Verständnis des Senats von den vorgenannten Entscheidungen – nicht gelingen, wenn bei dem erkennenden Gericht Zweifel verblieben, ob der jeweilige Betroffene seine betreffenden Daten nicht auch schon anderweitig freiwillig preisgegeben habe. Diese Deutung des Begriffes „Kontrollverlust“ steht aus Sicht des Senats nicht mit der höchstrichterlichen Rspr. im Einklang. Nicht entscheidend ist nach dem Verständnis des Senats, ob der Betroffene die jeweiligen Daten auch schon einmal anderweitig auf andere Art und Weise, zB auf anderen „Kanälen“, Plattformen etc., freiwillig herausgegeben hat. Maßgeblich ist vielmehr allein das Verhältnis der jeweiligen Klage- zu der jeweiligen Beklagtenpartei: Hat der Kl. dem Bekl. – bspw. iRe Vertragsverhältnisses – persönliche Daten übergeben, hat und behält er im Rahmen dieses Verhältnisses die Kontrolle über seine Daten. Diese Kontrolle verliert die Klagepartei in der Regel dann, wenn innerhalb der Sphäre der Beklagtenpartei diese Daten einem Dritten zugänglich gemacht werden. Ob es von diesem Grundsatz in Einzelfällen Ausnahmen geben kann, kann dahinstehen. Anhaltspunkte für eine solche Ausnahmefallgestaltung sind jedenfalls vorliegend nicht ersichtlich. Das steht nach dem Verständnis des Senats – neben der vorgenannten Entscheidung des BGH – auch im Einklang mit der Rspr. des EuGH, der iRd Prüfung eines etwaigen „Kontrollverlustes“ ebenfalls nur auf das konkrete Verhältnis zwischen Klage- und Beklagtenpartei abstellt und nicht die Frage aufwirft, ob die Klagepartei ihre Daten auch schon außerhalb dieses Beziehungsverhältnisses „aus der Hand gegeben“ hatte. Die Ausgangsüberlegung der eingangs genannten abweichenden obergerichtlichen Rspr. sowie die Anforderungen, die diese in diesem Rahmen an die Klagepartei bzgl. ihrer Darlegungs- und Beweislast stellt, dürften es iÜ aus Sicht des Senats in der Praxis ausschließen lassen, dass eine Klagepartei überhaupt einmal einen Schadensersatzanspruch iSv Art. 82 Abs. 1 DS-GVO auf einen „Kontrollverlust“ stützen könnte, da sie derartigen Anforderungen praktisch niemals nachkommen könnte. Die Bekl. bestreitet einen Kausalzusammenhang zwischen unterstellter Pflichtverletzung und vermeintlichem Kontrollverlust sowie einen kausalen Zusammenhang zwischen einer angeblichen Pflichtverletzung und sonstigen angeblichen negativen Folgen für den Kl. Das greift im Ergebnis nicht durch. Das LG hat nach der persönlichen Anhörung des Kl. die hinreichende Überzeugung davon gewonnen, dass vorliegend sowohl das eine wie das andere zu bejahen ist. An diese Feststellungen des LG ist der Senat gemäß § 529 Abs. 1 Nr. 1 ZPO gebunden, da „konkrete Anhaltspunkte“ iSd Vorschrift nicht ersichtlich sind und auch von Seiten der Bekl. nicht geltend gemacht werden. Aufgrund der Pflichtverletzung der Bekl. steht dem Kl. ein Schadensersatzanspruch iHv (lediglich) 100 EUR gemäß Art. 82 Abs. 1 DS-GVO zu. Für die Bemessung eines Schadensersatzanspruches in Fällen wie dem vorliegenden gelten nach dem Verständnis des Senats von dem Urteil des BGH vom 18. November 2024 folgende „Grundparameter“: Der bloße objektive Kontrollverlust stellt bereits einen immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Klagepartei; letztgenannte wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Für den bloßen Kontrollverlust als solchen würde der Senat nach Maßgabe seines derzeitigen Beratungsstandes im Regelfall einen immateriellen Schaden iHv 100 EUR als angemessen ansehen. Soweit die Bekl. diesbezüglich argumentiert, dass der BGH in seiner genannten Entscheidung lediglich Beträge in einstelliger Höhe als mit dem Effektivitätsgrundsatz schwer vereinbar angesehen, iÜ aber explizit keine Untergrenze festgelegt habe, weshalb sich der Schadensersatzanspruch „allenfalls in einer Spanne von 10 EUR – 100 EUR“ ergeben könne, folgt dem der Senat nicht. Nach seinem Verständnis sind die genannten Ausführungen des BGH als Untergrenze zu verstehen. Die Ausführungen des BGH in Rn. 101 seines vorgenannten Urteils versteht der Senat so, dass gewisse mit dem eingetretenen Kontrollverlust für die betroffene Klagepartei einhergehende „Folgeerscheinungen“, die der BGH als „mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängende Unannehmlichkeiten“ bezeichnet, mit diesem Schadensersatzbetrag iHv 100,00 EUR „mit abgegolten“ sind. Nach dem Verständnis des Senats obliegt es demgemäß im Einzelfall dem jeweiligen Tatgericht zu prüfen, ob die von der jeweiligen Klagepartei schriftsätzlich behaupteten festgestellten „Folgeerscheinungen“ über diese Schwelle der „für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“ hinausgehen und demgemäß eine Anhörung der jeweiligen Klagepartei nach § 141 ZPO bedingen, und sodann ggf. einen die Höhe von 100 EUR übersteigenden immateriellen Schadensersatz rechtfertigen. Soweit dem der Kl. das Urteil des EuGH vom 8. Januar 2025 (T-354/22) entgegenhält, wo dieser der dortigen Klagepartei eigenständig eine immaterielle Entschädigung iHv 400 EUR zugesprochen hat, hat dies aus Sicht des Senats keine erheblichen Auswirkungen auf die Bemessung der Höhe des Schadensersatzes in dem vorliegenden wie in vergleichbaren (Parallel-)Verfahren. Die dortige Fallgestaltung ist mit der vorliegenden nicht vergleichbar: Noch nicht einmal die Anspruchsnorm war in jenem Verfahren mit der in dem vorliegenden Verfahren identisch. Vorliegend geht es um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO, in jenem Verfahren ging es um einen immateriellen Schaden gemäß Art. 65 der Verordnung 2018/1725. Auch die dortige Verletzungshandlung der dortigen Beklagtenpartei ist mit dem vorliegenden Verfahren ebenfalls nicht vergleichbar. Zudem: Für die vorliegende Fallgestaltung hat der BGH nun einmal ausdrücklich ausgeführt, dass für einen solchen Verstoß jedenfalls im Regelfall ein immaterieller Schadensersatz iHv 100 EUR angemessen ist. Dabei hat es aus Sicht des Senats zu verbleiben. Gegenteiliges ergibt sich schließlich auch nicht aus dem Urteil des BGH vom 28. Januar 2025 (VI ZR 183/22). Zwar ging es dort – wie vorliegend – um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO. Schon der dortige Lebenssachverhalt war aber ein anderer als der vorliegende. Jedenfalls aber hat der BGH in jenem Verfahren keine eigene Bemessung der Höhe eines Schadensersatzanspruches vorgenommen. Vielmehr hatte dort lediglich die Klagepartei Revision eingelegt und der BGH hat lediglich ausgeführt, dass jedenfalls ein Anspruch über die vom dortigen Berufungsgericht zugesprochenen 500 EUR hinaus nicht in Betracht komme. Darüber, ob nicht sogar dieser ausgeurteilte Betrag von 500 zu hoch ausgefallen war, hatte der BGH prozessual nicht zu befinden. Gemessen an den vorstehend gemachten Ausführungen vermag der Senat nach Überprüfung nicht zu erkennen, dass vorliegend ein über den „Regelbetrag“ iHv 100 EUR hinausgehender Schadensersatzanspruch zuzusprechen ist: Das LG hat den Kl. nach § 141 ZPO persönlich angehört. Maßgeblich für die hiesige Prüfung des Senats sind nach dieser Maßgabe allein die Feststellungen, die das LG aufgrund dieser persönlichen Anhörung des Kl. getroffen hat (§ 529 Abs. 1 Nr. 1 ZPO), und gerade nicht das schriftsätzliche Vorbringen der Prozessbevollmächtigten des Kl. Nach dieser Maßgabe ist festzustellen, dass der Kl. im Rahmen seiner persönlichen Anhörung zwar durchaus umfangreiche „Anstrengungen und Betätigungen“ geschildert hat, die er infolge des streitgegenständlichen Scraping-Vorfalls vorgenommen hat (was das LG als glaubhaft gewertet hat). Es kann dahinstehen, ob dieses mindestens leicht überdurchschnittliche „Folgenbeseitigungsverhalten“ des Kl. bei isolierter Betrachtung geeignet sein könnte, den vorliegenden Fall aus dem Bereich der „typischen 100,00 EUR-Fälle“ herauszuheben. Denn jedenfalls ist iRe Gesamtabwägung auch zu bedenken, dass der Kl. – auch nicht auf die ausdrückliche Frage des LG hin – gerade keine „Sorgen, Ängste o. ä.“ geschildert hat (weshalb das diametral anderslautende schriftsätzliche Vorbringen der Prozessbevollmächtigten des Kl. als – mindestens objektiv – wahrheitswidrig zu bezeichnen ist). Betrachtet man das eine wie das andere in einer Gesamtschau, vermag der Senat nicht zu erkennen, dass es vorliegend geboten ist, einen über einen Betrag von 100 EUR hinausgehenden Schadensersatz auszuurteilen.
OLG Dresden Beschl. v. 3.3.2025 – 4 U 1229/24	0 EUR Der Klagepartei steht kein Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DS-GVO zu. Zwar hat die Bekl. selbst gegen ihre aus der DS-GVO resultierenden Pflichten zur Überwachung ihres externen Dienstleisters verstoßen. Allen geltend gemachten Ansprüchen steht jedoch entgegen, dass der Kl. nicht substantiiert vorgetragen und unter Beweis gestellt hat, dass er sich bei der bei der Bekl. registriert, zwischen ihm und der Bekl. ein Nutzungsvertragsverhältnis im relevanten Zeitraum bestanden hat und er von einem der Bekl. anzulastenden Datenschutzvorfall persönlich betroffen ist. Er hat die Behauptung, dass auch seine personenbezogenen Daten aufgrund des Datenlecks bei der Bekl. veröffentlicht worden seien, allein durch Vorlage eines Screenshots aus der Webseite „….com“ untersetzt. Die Bezugnahme auf eine Abfrage bei dieser Webseite belegt für sich genommen jedoch noch nicht, dass der Kl. sich mit der angegebenen Email-Anschrift bei der Bekl. registriert, ein Nutzerkonto – zumal im relevanten Zeitraum – unterhalten hat und – bezogen darauf – von einem Datenhacking im Jahr 2022 betroffen gewesen ist, das auf Datenschutzverstöße bei der Bekl. zurückzuführen ist.
OLG München Entscheidung v. 13.2.2025 – 24 U 3020/24e	0 EUR Soweit die Klagepartei gestützt auf Art. 82 DS-GVO einen Anspruch auf Schadensersatz geltend macht, steht ihr dieser Anspruch nicht zu. Von der Problematik des zeitlichen Anwendungsbereichs abgesehen, sind auch die tatbestandlichen Voraussetzungen für einen Schadenersatzanspruch nach Art. 82 DS-GVO nicht erfüllt. Voraussetzungen für einen Schadenersatzanspruch nach Art. 82 DS-GVO sind ein Verstoß gegen die DS-GVO und das Vorliegen eines materiellen oder immateriellen Schadens sowie eines Kausalzusammenhangs zwischen Schaden und Verstoß, wobei diese Voraussetzungen kumulativ gegeben sein müssen. Die Darlegungs- und Beweislast für das Vorliegen dieser Voraussetzungen trifft die Person, die auf Grundlage von Art. 82 DS-GVO den Ersatz eines Schadens verlangt. Unbeschadet der Frage, ob die Verarbeitung der personenbezogenen Daten des Kl. unter Verstoß gegen die DS-GVO erfolgte – insoweit spricht einiges dafür, dass die Voreinstellungen der Bekl. in den Suchbarkeitseinstellungen nicht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. b und c, Art. 25 Abs. 2, S. 2 und 3 DS-GVO) entsprochen haben – fehlt es jedenfalls an der schlüssigen Darlegung und am Nachweis eines kausalen Schadens, der beim Kl. eingetreten ist. Zwar kann bereits der – selbst kurzfristige – Verlust über die Kontrolle der personenbezogenen Daten einen immateriellen Schaden darstellen. Die betroffene Person muss aber den Kontrollverlust als solchen nachweisen. Kann ein Kontrollverlust nicht nachgewiesen werden, reicht schon die begründete Befürchtung einer Person, ihre personenbezogenen Daten könnten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, für die Begründung eines Schadenersatzanspruchs aus. Die begründete Befürchtung samt ihrer negativen Folgen muss dabei aber ordnungsgemäß nachgewiesen werden. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht ebenso wenig, wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss also geltend machen und ggf. nachweisen, dass der Verstoß gegen die DS-GVO für ihn negative Folgen hatte, die einen immateriellen Schaden darstellen. Die ihm obliegende Darlegung und der Nachweis, dass er überhaupt einen Kontrollverlust erlitten hat, sind dem Kl. nicht gelungen.
OLG Hamburg Urt. v. 12.2.2025 – 13 U 11/24	2.500 EUR Der Kl. hat gegen die Bekl. Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. S. DS-GVO iHv 2.500 EUR. Die Bekl. hat als „Verantwortlicher“ iSd Art. 4 Nr. 7 DS-GVO gegen ihre Pflichten aus Art. 5, 6 iVm 4 Abs. 2 DS-GVO verstoßen, indem sie eine tatsächlich nicht bestehende Forderung gegen den Kl. iHv 4.405,00 EUR an die Schufa gemeldet hat.
OLG Zweibrücken Urt. v. 12.2.2025 – 7 U 20/24	0 EUR Die Kl. hat keinen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO. Ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO erfordert (kumulativ) einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruches nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Darauf, ob ein Verstoß gegen die DS-GVO iSv Art. 82 Abs. 1 DS-GVO nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst oder ob grds. auch bloße Verstöße gegen abstrakte Pflichten des Verantwortlichen außerhalb eines konkreten Verarbeitungsvorgangs haftungsbegründend sein können, kommt es vorliegend nicht an, da angesichts des umfassenden Verarbeitungsbegriffs des Art. 4 Nr. 2 DS-GVO auch bei einem engeren Verständnis des Art. 82 Abs. 1 DS-GVO in Bezug auf den hier in Frage stehenden Scraping-Vorfall ohne Weiteres von einer Datenverarbeitung der Bekl. in Form der Speicherung, des Abfragens, der Offenlegung durch Übermittlung, der Bereitstellung und Verknüpfung auszugehen ist. Es ist auch nicht von Bedeutung, ob einer oder mehrere Verstöße gegen die DS-GVO festgestellt werden können, da der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch – entgegen der Ansicht der Kl. – ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion erfüllt, und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt. Soweit die Kl. ihren Anspruch auf einen Verstoß gegen Benachrichtigungs- und Meldepflichten (Art. 33 Abs. 1, 34 Abs. 1 DS-GVO) stützt, fehlt es jedenfalls an der Ursächlichkeit für den geltend gemachten Schaden, weil eine Veröffentlichung ihrer Daten im Da. durch eine Meldung nicht mehr hätte verhindert werden können; sofern die KL. behauptet, durch die unterlassene Meldung sei ihr Schaden vertieft bzw. intensiviert worden, ist der Vortrag pauschal und unsubstantiiert. Indem die Bekl. die Voreinstellung der Suchbarkeitseinstellungen auf „alle“ vorgenommen hat, hat sie gegen den in Art. 5 Abs. 1 lit. b und c., Art. 25 Abs. 2 Satz 1 und 3 DS-GVO normierten Grundsatz der Datenminimierung verstoßen. Diesen Verstoß gegen die DS-GVO hat die Bekl. auch zu vertreten. Durch die intransparente Voreinstellung wurde das Daten-Scraping, das zum Schaden geführt hat, ermöglicht. Dass die Bekl. für diesen Umstand – die nicht datenschutzfreundliche Voreinstellung – nicht verantwortlich wäre, hat sie nicht dargelegt (Art. 82 Abs. 3 DS-GVO). Die Kl. hat jedoch nicht nachzuweisen vermocht, dass ihr aufgrund des Datenschutzverstoßes der Bekl. ein kausaler Schaden entstanden ist. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten iSd Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSd eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Einer bestimmten Schwere oder Erheblichkeit des Schadens bedarf es nicht, was den Betroffenen jedoch nicht von der Beweislast im Hinblick auf einen tatsächlich erlittenen materiellen oder immateriellen Schaden entbindet. Für einen immateriellen Schaden kann bereits der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten genügen, ohne dass zusätzliche spürbar negative Folgen eingetreten sein müssen. Sogar die begründete Befürchtung, dass personenbezogene Daten aufgrund eines Verstoßes gegen die DS-GVO von Dritten missbräuchlich verwendet werden, ist ausreichend, um einen Schadenersatzanspruch zu begründen; diese Befürchtung samt negativer Folgen muss von dem Betroffenen nachgewiesen werden. Die Kl. trägt vor, im Hinblick auf ihre personenbezogenen Daten einen Kontrollverlust erlitten zu haben, sowie infolgedessen unter Gefühlen des Beobachtetwerdens, der Hilflosigkeit und der Angst gelitten zu haben, dies vor allem im Hinblick auf Spam-Anrufe und -SMS. Damit hat sie einen Schaden hinreichend dargelegt. Einen Kontrollverlust hat die Kl. indes nicht nachzuweisen vermocht. Unstreitig hatte sie ihre Mobiltelefonnummer, die sie nach eigenen Angaben auch geschäftlich nutzte, nebst ihrem Namen und ihrer Geschäftsadresse bereits vor dem Scraping-Vorfall im Internet öffentlich gemacht; auch auf ihrem Profil bei der Bekl. war ihre Telefonnummer öffentlich einsehbar. Anders als bei einer nur gezielten Weitergabe der Telefonnummer an bestimmte Empfänger, die einem Kontrollverlust nicht entgegensteht, hatte die Kl. hier schon vor dem Scraping-Vorfall und vor dem Datenschutzverstoß der Bekl. die Kontrolle über die Weitergabe ihrer Telefonnummer nebst weiteren Informationen zu ihrer Person wie bspw. ihren Namen aufgegeben. Allerdings reicht auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, für das Vorliegen eines immateriellen Schadens die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Die entsprechende Befürchtung und ihre negativen Folgen müssen indes von dem Kl. nachgewiesen werden; die bloße Behauptung einer Befürchtung ohne nachgewiesene Folgen oder ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch unbefugte Dritte genügen nicht.
OLG Dresden Urt. v. 11.2.2025 – 4 U 1283/24	0 EUR Wie OLG Dresden Beschl. v. 8.1.2025 – 4 U 1090/24.
OLG Koblenz Urt. v. 11.2.2025 – 3 U 145/24	100 EUR (+ 220,27 EUR vorgerichtliche Rechtsanwaltskosten) Die Klage ist zulässig, insb. ist die internationale Zuständigkeit deutscher Gerichte gegeben. Diese folgt aus Art. 82 Abs. 6 iVm Art. 79 Abs. 2 Satz 1 DS-GVO, da die Kl. als betroffene Person ihren gewöhnlichen Aufenthalt in Deutschland hat. Der Anspruch der Kl. auf Zahlung eines immateriellen Schadensersatzes von 100 EUR ergibt sich aus Art. 82 Abs. 1 DS-GVO. Danach hat innerhalb des räumlichen, sachlichen und zeitlichen Anwendungsbereichs der DS-GVO gegen den für die Datenverarbeitung Verantwortlichen jede Person Anspruch auf Schadensersatz, der wegen eines Verstoßes gegen die DS-GVO ein immaterieller Schaden, der kausal auf jenen zurückzuführen ist entstanden ist, sofern der Verantwortliche nicht schuldlos gehandelt hat. Indem die Bekl. die Voreinstellung für die Auffindbarkeit eines Nutzerprofils anhand der Telefonnummer auf „alle“ setzte, hat sie gegen ihre Verpflichtung aus Art. 5 Abs. 1 lit. c), 25 Abs. 2 Satz 1 und 3 DS-GVO verstoßen. Das Handeln der Bekl. erweist sich auch nicht als gerechtfertigt. Ob die Bekl. tatsächlich, wie es die Kl. vorgetragen hat, auch gegen sie treffende Verpflichtungen aus Art. 5 Abs. 1 lit. a), b) und f), 13, 14, 15, 17, 18, 21 und 34 Abs. 1 und 2 DS-GVO verstoßen hat, bedarf keiner weiteren Prüfung. Ob einer oder mehrere Verstöße gegen die DS-GVO zu einem festgestellten Schaden geführt haben, ist vor dem Hintergrund der ausschließlichen Ausgleichsfunktion des Anspruches aus Art. 82 Abs. 1 DS-GVO ohne Belang. Weder die Anzahl verwirklichter Verstöße, noch ihre Schwere, noch die Frage des Verschuldensgrades haben Einfluss auf die Höhe des Schadensersatzes. Der Schaden der Kl. besteht in einem Verlust der Kontrolle über das personenbezogene Datum „Telefonnummer“. Darüberhinausgehende Schäden ergeben sich nicht, sodass ein immaterieller Schadensersatz iHv 100 EUR als zur vollständigen und wirksamen Schadensausgleichung genügend anzusehen ist. Dass auch die Daten der Kl. von dem Scraping-Vorfall betroffen waren, ergibt sich aus dem unstreitigen Tatbestand der angefochtenen Entscheidung, dessen Unrichtigkeit oder Unvollständigkeit von keiner der Parteien iRe Tatbestandsberichtigung geltend gemacht wurde (vgl. § 314 ZPO). Schon der reine (auch kurzfristige) sich aus dieser Abschöpfung ergebende Kontrollverlust an sich stellt einen ausgleichsfähigen Schaden dar, ohne, dass es auf den Nachweis zusätzlicher spürbarer negativer Folgen ankäme. Nach ihren persönlichen Ausführungen in den mündlichen Verhandlungen ist der Senat davon überzeugt, dass die Kl. ihre Mobiltelefonnummer insb. im Internet stets mit Bedacht und nicht wahllos preisgegeben hat. Daher ist auch nicht anzunehmen, dass sie die Kontrolle über das personenbezogene Datum „Telefonnummer“ bereits aufgrund früherem sorglosen Umgang verloren hätte. Auch wenn sie der Natur der Sache nach ihre langjährige Telefonnummer bereits zu früheren Zeitpunkten Dritten, für deren stets datenschutzkonforme Handhabung sie nicht garantieren kann, bekannt gemacht hat, unterscheidet sich doch das durch die Abschöpfung der Telefonnummer aus dem Datenbestand der Bekl. und die anschließende freie Veröffentlichung im Internet mit der unbegrenzten Zugriffsmöglichkeit für jede Person (mit Zugang zum Internet) eingetretene Risiko wesentlich von dem der lediglich bewussten und zielgerichteten Weitergabe an bestimmte Empfänger. Soweit die Kl., wie sie wusste stets öffentlich, auf ihrem Nutzerprofil Namen, Geschlecht und f.-ID, angegeben hat, kommt ein Kontrollverlust über ihre personenbezogenen Daten im vorstehenden Sinne nicht in Betracht. Auch ohne die Ausnutzung des Kontakt-Import-Tools sind diese personenbezogenen Daten stets öffentlich für jedermann weltweit einsehbar, sodass sich die Kl. mit der Eingabe dieser Daten bei der Registrierung im Netzwerk der Bekl. der Kontrolle begeben hat. Dass von der Abschöpfung weitere nichtöffentliche Daten betroffen gewesen wären, hat die Kl. auf das diesbezügliche Bestreiten der Bekl. weder bezogen auf ihr Nutzerprofil konkretisiert noch substantiiert eigene betroffene Datenpunkte dargestellt. Die allgemein gebliebene Ausführung, dass ganz generell iRd streitgegenständlichen Scraping-Vorfalls Daten wie „Bundesland, Land, Stadt, Beziehungsstatus und weitere korrelierende Daten“ abgeschöpft worden seien, weist keinen hinreichenden Bezug zu dem Einzelfall der Kl. auf. Weitere immaterielle Schäden in Form von sich aus dem Kontrollverlust entwickelnden besonderen begründeten Befürchtungen oder Ängsten, die über die mit dem Kontrollverlust einhergehende Lästigkeit hinausweisen, hat die Kl. nicht dargestellt. Bei dem Senat ist eine Vielzahl vergleichbar gelagerter Verfahren anhängig, in denen die Kl. und Kl. – trotz jeweils individueller Persönlichkeitsstruktur – identisch oder annähernd identisch pauschal Zustände „großen Unwohlseins“ und der „Sorge über einen möglichen Missbrauch“ durch die Abschöpfung der Daten vortragen lassen. Auf dieser Grundlage vermag der Senat für den Streitfall allerdings nicht die Überzeugung zu gewinnen, dass die Kl. über alltägliche Empfindungen hinaus von begründeten Befürchtungen, die mit einem realen, sicheren emotionalen Schaden einhergehen, betroffen war. Dies hat sich auch nicht aus ihrer persönlichen Anhörung ergeben, wobei der Senat ausdrücklich bemerkt, dass keinerlei Zweifel an der Glaubwürdigkeit der Kl. bestehen. Bei der Bemessung der Höhe des immateriellen Schadensersatzes ist allein von der Ausgleichsfunktion des Schadensersatzanspruches auszugehen. Die Schwere des Verstoßes, durch den der Schaden entstanden ist und der Umstand, ob der Verantwortliche mehrere Verstöße gegenüber derselben Person begangen hat, sind für die Bemessung des Betrages ebenso unerheblich, wie die Frage, ob der Verantwortliche vorsätzlich gehandelt hat. Ist, wie hier, allein ein Schaden in Form eines Kontrollverlustes an personenbezogenen Daten gegeben, hat das Gericht bei der Schätzung gemäß § 287 ZPO insb. die Sensibilität der konkret betroffenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat es die Art des Kontrollverlustes (begrenzter / unbegrenzter Empfängerkreis), die Dauer des Kontrollverlustes und die Möglichkeit der Wiedererlangung der Kontrolle, etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. Als Anhaltspunkt für einen noch effektiven Ausgleich kann in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich ist, der hypothetische Aufwand für diese Wiedererlangung dienen. Ist im vorliegenden Fall der Kontrollverlust über die betroffene Rufnummer nach der Art der Veröffentlichung zwar als dauerhaft und der potentielle Empfängerkreis als groß anzusehen, so kann ihm doch mit dem Wechsel der Rufnummer begegnet werden. Dass dieser Aufwand Kosten von deutlich weniger oder mehr als 100 EUR, die auch nach der Rspr. des BGH als grds. angemessene Schätzung angesehen werden, verursachen würde, ist im vorliegenden Fall nicht erkennbar. Der Senat schätzt auf dieser Grundlage den Betrag, der zum vollständigen Ausgleich des immateriellen Schadens erforderlich ist, auf 100 EUR. Eine andere Bemessung ergibt sich auch nicht anlässlich des Hinweises der Kl. auf das Urteil des Gerichts der Europäischen Union vom 8.1.2025 (T-354/22). Darin hat es wegen des Verlustes der Kontrolle über eine IP-Adresse, die unter Verstoß gegen Art. 46 VO (EU) 2018/1725 in ein Drittland ohne entsprechendes Datenschutzniveau übermittelt worden war, einen immateriellen Schadensersatz von 400 EUR zugesprochen. Weder dieser Entscheidung selbst, die ohne Begründung und ohne Kenntlichmachung zum Inhalt einer Abwägung zu Angemessenheit und Höhe des Schadensersatzes auskommt (Rn. 199 der Entscheidung), noch den Ausführungen der Kl. vom 10.1.2025 sind anderweitige überzeugende Anknüpfungspunkte für eine Schätzung zu entnehmen. Der Verstoß der Bekl. gegen Art. 5 Abs. 1 lit. c), 25 Abs. 2 Satz 1 und 3 DS-GVO ist auch ursächlich für den eingetretenen Kontrollverlust. Hätte die Bekl. gemäß der sie treffenden Verpflichtung die Voreinstellung für die Suchbarkeit anhand einer Telefonnummer statt auf „alle“ auf „nur ich“ gesetzt, hätte die Kl., die in der persönlichen Anhörung glaubhaft ihr Bemühen um die gewissenhafte Begrenzung der Sichtbarkeit bzw. Verwendbarkeit ihrer Telefonnummer geschildert hat, eine Änderung der Einstellung auf „alle“ nicht aktiv vorgenommen. Den unbefugt zugreifenden Dritten hätte das Kontakt-Import-Tool danach weder einen Treffer zu der von ihnen zufällig generierten und eingespeisten Telefonnummer der Kl. angezeigt, noch die Kombination mit den öffentlich einsehbaren Daten (Name, f.-ID und Geschlecht) der Kl. ermöglicht. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruches nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Dieser ist nur dann von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, ihn also keinerlei Verschulden an dem Ereignis trifft, das den Schaden ausgelöst hat. Diesen Nachweis vermag die Bekl. nicht zu führen. Die von ihr gewählte Voreinstellung der Suchbarkeitsfunktion „alle“, verbunden mit der unzureichenden Aufklärung der Nutzer hierüber, hat die Abschöpfung der Daten in dem eingetretenen großen Umfang erst ermöglicht. Dabei war es für sie ohne weiteres erkennbar, dass die von ihr gewählte Voreinstellung der Suchbarkeitsfunktion und die Tatsache, dass viele Millionen ihrer Nutzer es bei dieser Voreinstellung belassen hatten, ihr soziales Netzwerk zu einem besonders attraktiven Ziel für Datenscraping machen würde, woraus wiederum eine besondere Gefährdung dieser Nutzer und damit auch der Kl. folgte. Dies gilt umso mehr, als es sich bei der Bekl. um ein weltweit agierendes Unternehmen handelt, welches über langjährige Erfahrung und spezifische technische Expertise im Betrieb von sozialen Netzwerken verfügt. Ob es, wie sie behauptet, vor dem streitgegenständlichen Datenschutzverstoß zur Frage des Scrapings keine Rspr., aufsichtsbehördliche Leitlinien oder Lit. gab, die weitergehende Anforderungen im Zusammenhang mit Scraping-Sachverhalten für erforderlich erachteten, ist daher nicht von Belang. Der Kl. steht in tenorierter Höhe schließlich auf der Grundlage von Art. 82 Abs. 1 DS-GVO ein Anspruch auf Erstattung derjenigen Kosten zu, die sie zur vorgerichtlichen Vertretung durch einen Rechtsanwalt aufgewendet hat. Die Kosten der Rechtsverfolgung und deshalb auch die Kosten eines mit der Sache befassten Rechtsanwalts gehören, soweit sie zur Wahrnehmung der Rechte erforderlich und zweckmäßig waren und der Geschädigte im Innenverhältnis zu seinem Rechtsanwalt zur Zahlung verpflichtet ist, grds. zu dem wegen einer unerlaubten Handlung zu ersetzenden Schaden.
OLG Dresden Urt. v. 28.1.2025 – 4 U 157/24	0 EUR Wie OLG Dresden Beschl. v. 8.1.2025 – 4 U 1090/24.
OLG Dresden Urt. v. 21.1.2025 – 4 U 738/24	100 EUR (+ 159,94 EUR vorgerichtliche Rechtsanwaltskosten) Wie OLG Dresden Urt. v. 10.12.2024 – 4 U 842/24.
OLG Celle Beschl. v. 9.1.2025 – 5 U 173/23	[unbekannt] EUR Der Senat wird nach Maßgabe seines derzeitigen Beratungsstandes davon ausgehen, dass der Bekl. eine Pflichtverletzung insofern zur Last zu legen ist, als sie gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 Buchstabe c DS-GVO verstoßen hat. Soweit sich die Bekl. in den jeweiligen einzelnen Verfahren überhaupt darauf berufen haben sollte, würde der Senat nach Maßgabe seines derzeitigen Beratungsstandes nicht von einer „rechtfertigenden Einwilligung“ der jeweiligen Klagepartei ausgehen. Der Senat versteht die diesbezüglichen Ausführungen des BGH so (und schließt sich diesen nach Überprüfung an), dass dieser die insoweit in der Instanzrechtsprechung vertretene Auffassung teilt, dass im Ergebnis angesichts der Umstände der vorliegenden Fallkonstellation nicht von einer wirksamen Einwilligung ausgegangen werden kann. In Bezug auf die Höhe eines immateriellen Schadensersatzes gilt nach Maßgabe des derzeitigen Beratungsstands des Senats Folgendes: Der bloße objektive Kontrollverlust stellt bereits einen immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Klagepartei; Letztgenannte wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Für den bloßen Kontrollverlust als solchen würde der Senat nach Maßgabe seines derzeitigen Beratungsstandes vorliegend einen immateriellen Schaden iHv 100 EUR als angemessen ansehen. Die Ausführungen des BGH in Rn. 101 seines vorgenannten Urteils versteht der Senat so, dass gewisse mit dem eingetretenen Kontrollverlust für die betroffene Klagepartei einhergehende „Folgeerscheinungen“, die der BGH als „mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“ bezeichnet, mit diesem Schadensersatzbetrag iHv 100 EUR „mit abgegolten“ sind. Nach dem Verständnis des Senats obliegt es im Einzelfall dem jeweiligen Tatgericht zu prüfen, ob die von der jeweiligen Klagepartei schriftsätzlich behaupteten bzw. erstinstanzlich festgestellten (§ 529 Abs. 1 Nr. 1 ZPO) „Folgeerscheinungen“ über diese Schwelle der „für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“ hinausgehen und demgemäß eine Anhörung der jeweiligen Klagepartei nach § 141 ZPO bedingen und sodann ggf. einen die Höhe von 100 EUR übersteigenden immateriellen Schadensersatz rechtfertigen. Die von der Rechtsanwaltskanzlei W. vertretenen Klageparteien tragen nach dem Wissensstand des Senats (§ 291 ZPO) in sämtlichen Klageverfahren „psychische Folgeerscheinungen“ für die jeweilige Klagepartei aufgrund des streitgegenständlichen Datenverlustes wie folgt vor: „Die Klägerseite erlitt deswegen einen erheblichen Kontrollverlust über ihre Daten und verblieb in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten. Dies manifestierte sich u. a. in einem verstärkten Misstrauen bzgl. E-Mails und Anrufen von unbekannten Nummern und Adressen“; „Darüber hinaus erhält die Klägerseite seit dem Vorfall unregelmäßig unbekannte Kontaktversuche via SMS und E-Mail. Diese enthalten Nachrichten mit offensichtlichen Betrugsversuchen und potentiellen Virenlinks. Oft werden auch bekannte Plattformen oder Zahlungsdienstleister wie Amazon oder PayPal impersoniert und durch Angabe der entwendeten Daten versucht, ein gesteigertes Vertrauen zu erwecken. Das hat dazu geführt, dass die Klägerseite nur noch mit äußerster Vorsicht auf jegliche E-Mails und Nachrichten reagieren kann und für jedes Mal einen Betrug fürchtet und Unsicherheit verspürt“. Es bedarf an dieser Stelle keiner Entscheidung des Senats dazu, ob dieser schriftsätzliche Vortrag in den jeweiligen Klageschriften der von der Rechtsanwaltskanzlei W. vertretenen Parteien – seine Richtigkeit unterstellt – die Stufe der „mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“ übersteigt, wobei der Senat zur Kenntnis genommen hat, dass der BGH in der Entscheidung vom 18. November 2024 die exakt so formulierten Beeinträchtigungen einem immateriellen Schaden wegen des bloßen Kontrollverlustes gegenübergestellt hat. Darauf kommt es in dieser Fallkonstellation aber nicht an. Denn das LG Hannover hat – soweit ersichtlich – in sämtlichen bei ihm anhängigen Verfahren die jeweilige Klagepartei nach § 141 ZPO angehört. Nur das Vorbringen, das die jeweilige Klagepartei iRe solchen Anhörung gemacht hat, ist aber für die erkennenden Tatgerichte maßgeblich, nicht das – möglicherweise davon abweichende – schriftsätzliche Vorbringen ihrer Prozessbevollmächtigten. Soweit ersichtlich hat das LG Hannover in mindestens der ganz überwiegenden Anzahl der beim Senat in der Berufungsinstanz anhängigen Verfahren den Angaben der jeweiligen Klagepartei Glauben geschenkt. Der Senat wird in jedem Einzelfall zu prüfen haben, ob er gemäß § 529 Abs. 1 Nr. 1 ZPO an diese jeweiligen (tatsächlichen) Feststellungen des LG gebunden ist. Soweit dies der Fall sein sollte, hätte der Senat mithin seiner Entscheidung bzgl. der Höhe eines immateriellen Schadensersatzanspruches (allein) dieses persönliche Vorbringen der Klagepartei zugrunde zu legen. Wie eine stichprobenartige Überprüfung des Senats ergeben hat, sind die Angaben, die die jeweiligen Klageparteien im Rahmen ihrer Anhörung gemacht haben, zwangsläufig sehr „individuell“ ausgefallen. Der Senat wird jedes einzelne Verfahren gesondert zu überprüfen und zu entscheiden haben, ob die in dem jeweiligen Einzelfall vom LG Hannover getroffenen Feststellungen es rechtfertigen, über den „Sockelwert“ von 100 EUR hinauszugehen und ggf., um welchen Betrag. Das LG Hannover hat jedenfalls in der ganz überwiegenden Mehrzahl der beim Senat in der Berufungsinstanz anhängigen Verfahren einen immateriellen Schadensersatz iHv 500 EUR ausgeurteilt. Der Senat möchte nicht ausschließen, dass im Einzelfall auf Grundlage der vom LG getroffenen Feststellungen ein so hoher immaterieller Schadensersatz auch tatsächlich gerechtfertigt ist, allerdings dürfte dies dann nach dem Verständnis des Senats von dem Urteil des BGH vom 18. November 2024 ganz besonders erheblicher Umstände bedürfen. Dazu möchte der Senat den folgenden Beispielsfall anführen: In dem Senatsverfahren 5 U 262/24 (LG Hannover – 18 O 237/23) ist namens der dortigen Klagepartei auf Seite 14 der Replik u. a. vorgetragen worden, dass „aufgrund des Datenlecks und deren Auswirkungen die Klägerseite aufgrund von Angstzuständen in ärztlicher Behandlung“ sei. Ein derartiger schriftsätzlicher Vortrag würde – aus Sicht des Senats gänzlich unzweifelhaft – das erkennende Tatgericht dazu verpflichten, im Bestreitensfalle die betreffende Klagepartei persönlich nach § 141 ZPO anzuhören. Denn diese behauptete (psychische) Folgeerscheinung geht evident (deutlich) über die Stufe der „mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“ hinaus. Hätte sich hiernach das erkennende Tatgericht von der Richtigkeit dieses Vortrags überzeugt gesehen, hätte dies aus Sicht des Senats durchaus einen immateriellen Schadensersatz iHv zumindest 500 EUR (und ggf. sogar noch darüber hinausgehend) rechtfertigen können. Anzumerken ist in diesem Zusammenhang noch, dass das LG Hannover in dem vorgenannten Senatsverfahren die dortige Klagepartei angehört hat. Ausweislich Seite 2 unten/3 oben der dortigen Sitzungsniederschrift vom 17. Juni 2024 hat die dortige Klagepartei u. a. ausgeführt: „Wenn ich nach Ängsten gefragt werde, so habe ich zwar keine ärztliche Behandlung in Anspruch nehmen müssen, ich habe aber Ängste insofern, als ich darum besorgt bin, dass mein Konto leergeräumt werden könnte durch missbräuchliche Verwendung meiner Daten“. In Fällen solcher Art, wo sich also nachträglich iRe persönlichen Anhörung das schriftsätzliche Vorbringen der Klagepartei als (mindestens objektiv) wahrheitswidrig herausstellt, mag im Einzelfall an eine Anwendung der Kostenvorschrift des § 96 ZPO (also betreffend die Kosten für die Anhörung) nachgedacht werden. Unabhängig davon sieht es der Senat in diesem Rahmen als geboten an, allgemein darauf aufmerksam zu machen, dass im Zivilprozess gemäß § 138 Abs. 1 ZPO das Wahrheitsgebot gilt und jedenfalls ein bewusster Verstoß dagegen eine Straftat darstellen kann.
OLG Dresden Beschl. v. 8.1.2025 – 4 U 1090/24	0 EUR Der Kl. hat zudem einen auf mögliche Verstöße gegen die DS-GVO zurückzuführenden immateriellen Schaden nicht hinreichend dargelegt, sodass ein Schadenersatzanspruch auch vor dem Hintergrund der aktuellen Rspr. des BGH nicht begründet ist. Die E-Mail-Adresse „……@googlemail.com“ soll nach der Webseite „haveibeenpwned.com“ von zwei Datenlecks betroffen gewesen sein. Die Einträge lauten: „Disqus“ – hier soll das Datenleck zeitlich vor 2023 erfolgt sein – und „Twitter (200 M)“. Selbst wenn zugunsten des Kl. unterstellt wird, dass die Email-Adresse zu einem vom Kl. geführten Account hinterlegt ist, hat der Kl. auch nicht dargelegt, dass er vor dem API-Bug die Kontrolle über diese streitgegenständliche E-Mail-Adresse innehatte und die Kontrolle erst durch den API-Bug verloren hat.
OLG Dresden Beschl. v. 8.1.2025 – 4 U 812/24	0 EUR Der Klagepartei steht kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO zu. Es ist zwar unstreitig, dass die Klagepartei von dem Datenschutz Vorfall betroffen ist. Gleichwohl ist im vorliegenden Fall ein auf den Datenschutz Vorfall bei der Bekl. im Juni 2020 beruhender kausaler Kontrollverlust oder immaterieller Schaden infolge der Befürchtung, dass die Daten missbraucht werden könnten, nicht festzustellen, Art. 82 DS-GVO. Der Klagepartei obliegt die Darlegungs- und Beweislast für den bei ihr eingetretenen Schaden sowie den Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung der Daten und dem Schaden. Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person. Der Schaden muss tatsächlich und sicher entstanden sein. Es kann offenbleiben, ob die Bekl. gegen ihre Verpflichtung verstoßen hat, ausreichende geeignete technische und organisatorische Maßnahmen zu treffen, um die personenbezogenen Daten gegen unbefugte Zugriffe Dritter zu schützen, Art. 24, 32 DS-GVO. Die Bekl. hat zu den von ihr ergriffenen Maßnahmen ausreichend substantiiert vorgetragen. Hierzu hat die Klagepartei nichts Konkretes vorgebracht. Offenbleiben kann ebenfalls, ob die Bekl. ihre Benachrichtigungspflicht aus Art. 34 DS-GVO gegenüber der Klagepartei, aus Art. 33 DS-GVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DS-GVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich. Die Klagepartei hat nicht dargelegt, welcher Schaden ihr daraus entstanden sein soll. Der Kontrollverlust und die Veröffentlichung der Daten und die nach der Behauptung der Klagepartei darauf beruhenden ungebetenen Anrufe sowie spam sms und spam e-mails können nur auf dem Datenschutz Vorfall und nicht auf der Verletzung von Benachrichtigungs- und Auskunftspflichten zurückzuführen sein. Ein kausaler immaterieller Schaden ist weder in Form eines Kontrollverlustes noch im Form einer konkret in der Person der Klagepartei begründeten Befürchtung, ihre Daten könnten missbraucht werden, eingetreten. Eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, muss nachweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist aber gleichwohl zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nach der Rspr. des BGH kann auch der bloße Kontrollverlust einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung zum Nachteil dieser Person erfolgt sein sollte. Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Ein Schaden in Form eines Kontrollverlustes sowie in Form einer in der konkreten Person der Klagepartei begründete Befürchtung, dass seine Daten von Dritten missbräuchlich verwendet werden, liegt hier aber schon deshalb nicht vor, weil die e-mail Adresse der Klagepartei bereits sieben mal vor dem Datenschutz Vorfall im Juni 2020 von Datenschutz Vorfällen betroffen war. Ausweislich dem von der Klagepartei vorgelegten Ausdruck aus der Webseite www.haveibeenpwnd.com war die e-mail Adresse (u. a. neben Benutzernamen, Passwörtern) der Klagepartei im Jahr 2008 (MySpace), im März 2012 (Last.fm), im Juni 2014 (MangaTraders), Ende 2015 (Nihonomaru), im Juni 2017 (Stracks) und Mitte 2019 (LiveJournal) von Datenschutz Vorfällen betroffen. Zwar steht das Risiko, dass auch Dritte das Datum nicht datenschutzkonform verarbeitet haben der Darlegung eines Kontrollverlustes nicht entgegen. Dies gilt jedoch nur solange sich dieses nicht unstreitig vor dem Eintritt des Datenschutz Vorfalls verwirklicht hat. Im vorliegenden Fall hat die Klagepartei die Kontrolle über ihre e-mail Adresse schon viele Jahre vor dem Datenschutz Vorfall durch insgesamt sieben andere Datenschutz Vorfälle verloren. Im Anschluss hieran kommt auch kein an die Verletzung einer Auskunftspflicht anknüpfender weiterer immaterieller Schadensersatz in Betracht, ohne dass es insofern darauf ankäme, ob die Verletzung einer Auskunftspflicht aus Art. 15 DS-GVO tauglicher Anknüpfungspunkt für einen Anspruch aus Art. 82 DS-GVO sein kann.
Landgerichte
NEU LG Ellwangen Urt. v. 5.12.2025 – 6 O 80/25	0 EUR Dem Kl. steht nach Auffassung des erkennenden Gerichts kein Zahlungsanspruch in Gestalt eines immateriellen Schadensersatzes zu. Weder aus Art. 82 Abs. 1 DS-GVO noch aus dem von Klägerseite primär vorgetragenen § 823 Abs. 1 BGB iVm den Art. 1 Abs. 1, 2. Abs. 1 GG ist ein solcher Anspruch ersichtlich. Soweit vorrangig ein Anspruch nach Art. 82 Abs. 1 DS-GVO zu prüfen ist, fehlt es an dem Eintritt eines kausalen Schadens des Kl. Insofern können die zwischenzeitlich in den sog. Scraping-Fällen in der Rspr. etablierten Grunderwägungen unproblematisch auch auf den hiesigen Sachverhalt übertragen werden. Denn gemäß der zitierten unionsrechtlichen Norm hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ‒ gleich welches Erscheinungsbild dieser im Einzelnen aufweisen mag ‒ ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Nach zwischenzeitlich stRspr des EuGH basierend auf der Leitentscheidung v. 4.5.2023 ist das Bestehen eines Anspruchs nach Art. 82 Abs. 1 DS-GVO von drei kumulativen Voraussetzungen, dem Verstoß gegen zumindest eine der einschlägigen Bestimmungen der DS-GVO, dem Vorliegen eines ‒ entweder materiellen oder immateriellen ‒ Schadens und dem Kausalzusammenhang zwischen Verstoß und Schaden, abhängig. Insoweit kann das Gericht dahinstehen lassen, ob der Bekl. tatsächlich ein Verstoß gegen die DS-GVO zur Last gelegt werden muss. Ginge man davon aus, es lägen tatsächlich Verstöße der Bekl. gegen die DS-GVO vor, die auch in der Sache einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO auslösen könnten, so fehlte es vorliegend jedenfalls und in jedweder Hinsicht, an dem erforderlichen Beweis eines kausalen Schadenseintritts in der Person des Kl. Ob überhaupt ein Schaden iSd Norm vorliegt, ist unter Berücksichtigung der autonomen und einheitlichen Auslegung der unionsrechtlichen Begriffe „materieller und immaterieller Schaden“ zu beurteilen. Denn die DS-GVO verweist insofern nicht auf das Recht der Mitgliedstaaten, sodass es bei dem Grundsatz verbleibt, wonach Begriffe einer Bestimmung des Unionsrechts in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen, wobei nicht nur der Wortlaut, sondern auch der Zusammenhang, in den sie sich einfügt, und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden, zu berücksichtigen sind. Der EuGH hat sich zwischenzeitlich mehrfach zu dem Schadensbegriff des Art. 82 Abs. 1 DS-GVO verhalten und zu einer umfassenden Klärung der sich stellenden Rechtsfragen beigetragen. Dabei hat er u. a. erklärt, über einen Verstoß gegen Vorschriften der DS-GVO hinaus müsse ein Schaden gesondert festgestellt werden und ergebe sich nicht automatisch aus dem Verstoß an sich. So sei zu berücksichtigen, dass eine gesonderte Benennung sowohl des Schadens als auch des Verstoßes in Art. 82 Abs. 1 DS-GVO überflüssig wäre, wenn ein Verstoß an sich für die Begründung eines Schadensersatzanspruches ausreichte, zumal dies auch dem entsprechenden Wortlaut des Art. 82 Abs. 2 DS-GVO sowie der Erwägungsgründe 75, 85 und 146 entspreche. Insb. aus den Erwägungsgründen 75 und 85 ergebe sich, dass der Verordnungsgeber den Schadenseintritt zunächst nur als potenzielle Folge eines Verstoßes einstufe. IÜ sähen die Art. 77, 78, 83, 84 DS-GVO jeweils Rechtsfolgen vor, die allein auf einen Verstoß hin folgen, ohne einen Schadenseintritt gesondert zu erfordern. Gleichzeitig bestehe jedoch weder eine Erheblichkeitsschwelle noch sei eine Spürbarkeit des Nachteils oder eine objektive Beeinträchtigung zu fordern. Eine Bagatellgrenze kenne Art. 82 Abs. 1 DS-GVO nicht, weshalb auch die bloße Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSd Norm darstellen könne. Dies wiederum ergebe sich vor dem Hintergrund des weiten Schadensbegriffs gem. Erwägungsgrund 146 und der Ziele der DS-GVO, die ein gleichmäßiges und hohes Schutzniveau erstrebe. Auch hierbei handelt es sich indes nicht um einen Automatismus. Vielmehr bedarf es der konkreten Prüfung im Einzelfall dahingehend, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Wenn zB erwiesenermaßen ein Dritter die betreffenden Daten nicht zur Kenntnis genommen hat, vermag sich die betroffene Person zur Begründung eines Schadensersatzanspruches nicht darauf zu berufen, sie befürchte gleichwohl, es könne in Zukunft ein Missbrauch ihrer Daten erfolgen. Die Beweislast trifft dabei diejenige Person, die auf Art. 82 Abs. 1 DS-GVO gestützt einen Anspruch geltend macht, vorliegend den Kl. Der BGH hat sich zwischenzeitlich in dem von ihm entschiedenen Leitentscheidungsverfahren die Vorgaben des EuGH im Wesentlichen zu eigen gemacht. Vor dem Hintergrund dieser Grundsätze kann jedoch vorliegend nicht davon ausgegangen werden, dass der Kl. tatsächlich einen (kausalen) Schaden aufgrund unterstellter Datenschutzverstöße der Bekl. iSd Art. 82 Abs. 1 DS-GVO im Zusammenhang mit dem streitgegenständlichen Sachverhalt erlitten hat. Insb. ist bereits der von dem Kl. behauptete Kontrollverlust nicht zur Überzeugung des entscheidenden Gerichts bewiesen. Die dahingehende Rspr. des BGH darf auch nicht dahingehend missverstanden werden, dass in sämtlichen Fällen stets allein aufgrund der klägerischen Behauptung, einen Kontrollverlust erlitten zu haben, von einem ersatzfähigen Schaden auszugehen wäre. Der BGH selbst hat sich in dem Leitentscheidungsverfahren zunächst allein dahingehend geäußert, dahingehender Klägervortrag sei, obschon iÜ aufgrund extensiver Verwendung nicht individualisierter Textbausteine in dem schriftsätzlichen Vortrag, „schlüssig“ und „hinreichend substantiiert“. Dass entsprechende Klagen stets auch „begründet“ wären, hat der BGH nicht entschieden. Vielmehr betont auch er, unter Bezugnahme auf die Vorgaben des EuGH, der Betroffene müsse den Nachweis erbringen, auch einen in einem bloßen Kontrollverlust bestehenden Schaden tatsächlich erlitten zu haben. Aus der klägerseits zitierten Rspr. des EuGH folgt nichts anderes: Dieser hat vielmehr gerade nur entschieden, dass das Gefühl, das Privatleben des Nutzers werde von der Bekl. kontinuierlich überwacht, ausgelöst werden könne. Richtigerweise hat der EuGH keinesfalls bejaht, dieses Gefühl werde stets ausgelöst. Auch insofern kommt es nämlich primär auf den jeweiligen Nutzer, dessen Charakter und psychische Konstitution an. Ob der Beweis eines kausalen Schadenseintritts iSd Art. 82 Abs. 1 DS-GVO zur Überzeugung des Gerichts erbracht ist, richtet sich nach den Vorgaben des nationalen Rechts. Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nach der Rspr. des BGH nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt und beweist, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Es gilt das Beweismaß des § 286 ZPO. Die freie richterliche Beweiswürdigung am Maßstab des § 286 ZPO setzt eine von allen Zweifeln freie Überzeugung des Gerichts nicht voraus, sondern erforderlich ist vielmehr die eigene Überzeugung des entscheidenden Richters. Dabei darf sich der Richter in tatsächlich zweifelhaften Fällen mit einem für das praktische Leben brauchbaren Grad von Gewissheit begnügen, der Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen. Hierbei ist das Gericht nicht daran gehindert, seine Überzeugungsbildung nach § 286 Abs. 1 S. 1 ZPO allein auf die Ergebnisse einer Parteianhörung zu stützen, wenn diese die Richtigkeit ihrer Angaben sonst nicht oder nur unter erschwerten Bedingungen beweisen kann. Auch dabei bedarf es keines naturwissenschaftlichen Kausalitätsnachweises und auch keiner an Sicherheit grenzenden Wahrscheinlichkeit, sondern wiederum genügt auch diesbezüglich ein für das praktische Leben brauchbarer Grad von Gewissheit, der verbleibenden Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen. Die Beurteilung von Zeugenaussagen sowie Parteieinlassungen richtet sich dabei nach Maßgabe der „Nullhypothese“, sodass insb. eine Zeugenaussage, aber auch die Inhalte einer Parteianhörung, nicht generell als glaubhaft einzustufen sind, sondern diese nur entsprechend gewürdigt werden dürfen, wenn zur Überzeugung des Gerichts reichende positive, für ihre Glaubhaftigkeit sprechende Punkte vorliegen. Unabhängig davon, wie die Datenverarbeitung mittels der Meta Business Tools konkret aussehen mag, ist zunächst der schriftsätzliche Vortrag des Kl. nicht geeignet, zur Überzeugungsbildung des Gerichts mit Blick auf einen (kausalen) Schadenseintritt zu genügen, da dieser letztlich bis zuletzt nicht nur allgemein gehalten ist, sondern in weiten Teilen wortgleich, demjenigen Vortrag entspricht, der von Seiten der Klägervertreter auch in unzähligen Parallelverfahren vor dem hiesigen Gericht erfolgt. Der weit überwiegende Teil der Schriftsätze wie auch in dem vorliegenden Verfahren ist nicht auf den vorliegenden Fall zugeschnitten, sondern verliert sich in allgemeinen Ausführungen zu der Thematik. So weist die Klageschrift als Schaden allein ein „sehr weitreichendes subjektiven Unmutsgefühl“ sowie einen Kontrollverlust aus, da er sein Privatleben von der Bekl. ausspioniert sehe. An keiner Stelle wird indes schriftsätzlich näher ausgeführt, wie sich dieses Gefühl konkret äußerte, in welchen Situationen es auftrete und wie mit diesem umgegangen werde. Auch Symptome und Folgen des Kontrollverlusts sind nicht näher beschrieben. Erst in der Replik wird vorgetragen, der Kl. fühle sich der Marktmacht der Bekl. ausgeliefert, zögere bei dem Besuch von Webseiten und wolle seine Nutzung des Internets einschränken. Diese Ausführungen finden sich wortgleich auch in anderen gerichtsbekannten Verfahren und werden ob ihrer Pauschalität unterschiedslos in sämtlichen Rechtsstreiten von den Klägervertretern eingesetzt. Individuell angepasst ist insofern allein der durch Fettdruck hervorgehobene Vortrag, wonach der Kl. die Webseiten „paypal.com“ und „ebay-kleinanzeigen.de“ regelmäßig besuche.
NEU LG Lübeck Urt. v. 27.11.2025 – 15 O 15/24	5.000 EUR Der Klägerseite steht ein Anspruch aus Art. 82 DS-GVO in der zuerkannten Höhe zu. Die Kammer geht davon aus, dass die Klägerseite von der streitgegenständlichen Datenverarbeitung mittels der sog. Business Tools auch individuell – wenn auch nur teilweise – betroffen ist. Auf die obigen Ausführungen kann verwiesen werden. Die Verarbeitung der streitgegenständlichen technischen Standarddaten des Kl. durch die Bekl. erfolgte auch rechtswidrig. Auf die obigen Ausführungen wird Bezug genommen. Die Verarbeitung erfolgte auch schuldhaft, nämlich vorsätzlich. Der Klägerseite ist in Folge der rechtswidrigen und schuldhaften Datenverarbeitung durch die Bekl. auch ein Schaden entstanden. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden wurde von der Klägerseite nicht vorgetragen. Sie beruft sich allein auf das Vorliegen eines immateriellen Schadens. Als Anknüpfungspunkte für einen immateriellen Schaden iSd Art. 82 DS-GVO sind nach der stRspr der Kammer die von der Klägerseite geschilderten Ängste und Sorgen, sowie die Verletzung des Rechts auf informationelle Selbstbestimmung bzw. der damit einhergehende Kontrollverlust an sich denkbar. Im Einzelnen: Vorliegend kann ein Schaden iSv Art. 82 DS-GVO nicht mit den geltend gemachten Ängsten und Sorgen der Klägerseite begründet werden. Nachdem bis Ende 2023 weitgehend unklar war, ob bereits durch Datenschutzverstöße bedingte Ängste und Sorgen der betroffenen Personen einen hinreichenden Schaden iSv Art. 82 DS-GVO darstellen, hat der EuGH erstmals mit Urt. v. 14.12.2023 klargestellt, dass „allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.“ Diese Rspr. hat der Gerichtshof sodann mit Urt. v. 25.1.2024 vertieft und nochmals entschieden, dass der Begriff „immaterieller Schaden“ eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt – was zu prüfen Sache des angerufenen nationalen Gerichts ist –, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden. Dabei hat der Gerichtshof den nationalen Gerichten allerdings – insoweit einschränkend – die Aufgabe zugewiesen, zu prüfen, ob diese Befürchtung „unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“ Dies ist etwa dann nicht der Fall, wenn sich das Risiko der rechtswidrigen Datenweitergabe als rein hypothetisch erweist. Ausdrücklich hat er sodann im nachfolgenden Urt. v. 21.12.2023 im Hinblick auf den Grad der zu verlangenden Ängste oder Sorgen ausgesprochen, dass Art. 82 DS-GVO keine Bagatellgrenze kennt: „Somit kann nicht angenommen werden, dass über diese (…) Voraussetzungen hinaus für die Haftung nach Art. 82 Abs. 1 DS-GVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Folglich verlangt Art. 82 Abs. 1 DS-GVO nicht, dass nach einem erwiesenen Verstoß gegen Bestimmungen dieser Verordnung der von der betroffenen Person geltend gemachte „immaterielle Schaden“ eine „Bagatellgrenze“ überschreiten muss, damit dieser Schaden ersatzfähig ist. Wiederholt bemüht der Gerichtshof in diesem Zusammenhang hinsichtlich der Schadensintensität die Formel „so geringfügig er auch sein mag“ und stellte zuletzt auch nochmals unmissverständlich klar, dass die schadensbegründenden Ängste und Sorgen nicht über bloße negative Gefühle, wie sie dem allgemeinen Lebensrisiko entsprechen, hinausgehen müssen. Allerdings geht die Kammer dabei – auch dies in stRspr – davon aus, dass die derart begründeten Sorgen bzw. Ängste kausal auf die fragliche Rechtsgutverletzung rückführbar sein müssen. Dies ist in der hier vorliegenden Konstellation von erheblicher Relevanz, weil die persönliche Betroffenheit von der streitgegenständlichen Datenverarbeitung nur in Bezug auf die Erhebung und Verarbeitung der technischen Standarddaten gegeben ist. Hieraus folgt, dass auch die vorgetragenen Ängste und Sorgen in überzeugendem kausalen Zusammenhang gerade mit dieser spezifischen Verarbeitung stehen müssen. Durch dieses Erfordernis wird auch ausgeschlossen, dass jedwede diffuse Vorstellung der Klägerseite über das Geschäftsmodell der Bekl. unter dem Schlagwort der „Ängste und Sorgen“ schadensbegründend herangezogen werden können. Erforderlich ist daher, dass die Klägerseite zumindest eine laienhaft, näherungsweise zutreffende, Vorstellung davon gebildet hat, dass ihr Internetnutzungsverhalten in Bezug auf den Besuch von Drittseiten vermittels der „Business-Tools“ von der Bekl. in größerem Umfang nachverfolgt werden kann sowie, dass diese Vorstellung sodann zumindest mitursächlich für die geschilderten Ängste und Sorgen ist. Derartiges vermag die Kammer auch nach eingehender persönlicher Anhörung der Klägerseite im Termin am 13.6.2025 nicht festzustellen. Aus der persönlichen Anhörung folgt vielmehr, dass sich die Klägerseite lediglich sehr diffus „irgendwie“ Sorgen über die Verarbeitung diversester Daten „im Internet“ macht, ohne dass ein greifbarer Bezug zu den hier streitgegenständlichen Fragen deutlich wurde – zu erkennen auch an der Sorge, irgendwelche Behörden könnten auf die streitgegenständlichen Daten zugreifen – einem Vorgang, der mit der hiesigen Klage in keinem erkennbaren Zusammenhang steht. Bei dieser völlig diffusen Gesamtlage ist es der Kammer unmöglich, festzustellen, inwieweit dieser allein klagebegründende Punkt überhaupt Einfluss auf die geschilderten Ängste und Sorgen hat und welcher Schadensersatzbetrag insoweit angemessen sein könnte. Jedoch liegt ein Schaden unter dem Gesichtspunkt der Verletzung des Rechts auf informationelle Selbstbestimmung bzw. des reinen Kontrollverlusts vor. Dabei geht die Kammer in stRspr davon aus, dass bereits der reine Kontrollverlust und damit die hieraus folgende Verletzung des Rechts auf informationelle Selbstbestimmung ausreicht, um einen Schaden zu begründen und sieht sich hierin auch durch die jüngste Entscheidung des BGH bestätigt. Insoweit erachtet es die Kammer auch grds. nicht für ausgeschlossen, dass der Kl. ein Schadensersatzanspruch insoweit zukommen könnte, als dass die Bekl. jedenfalls mithilfe der technischen Standarddaten rechtswidrig verarbeitet, gespeichert und weitergegeben hat, auf welchen Drittseiten sich die Kl. aufgehalten hat und hierdurch einen Kontrollverlust über diese Daten bei der Kl. bewirkt hat. Allerdings hat die Kammer in ihrem Urt. v. 10.1.2025 (Az. 15 O 269/23) noch entschieden, dass zur Darlegung eines Schadens in Form des Kontrollverlusts grds. erforderlich ist, dass die Klägerseite darlegt und beweist, welche konkreten Datenpunkte in welcher nummerischen Größenordnung hiervon betroffen sein sollen. Für die Feststellung eines Schadens (und auf nächster Stufe für die Bestimmung der Schadenshöhe) sei es von erheblicher Relevanz, ob die Bekl. im Verlauf mehrerer Jahre keine konkreten Daten verarbeitet hat (etwa weil auf den konkret von der Klägerseite besuchten Seiten zufälligerweise keine aktiven „Business Tools“ implementiert waren), nur einige Male den Besuch einer landläufigen Webseite verarbeitet hat, oder täglich duzende unterschiedliche und teilweise hochpersönlicher Internetbewegungen aufgezeichnet und rechtswidrig zu einem präzisen Persönlichkeitsprofil verarbeitet hat. Die Kammer hat jedoch anlässlich der mündlichen Verhandlung in diesem Verfahren nochmals eingehend beraten und nunmehr im Lichte der jüngeren, hierzu ergangenen Rspr. anderer Gerichte sowie nachvollziehbarer Kritik an der bisherigen Ablehnung eines Schadens durch dieses Gericht entschieden, dass unter Aufgabe der bisherigen Rspr. ein Schaden in Form des Kontrollverlusts zu bejahen ist. In der Rspr. des BAG ist etwa anerkannt, dass ein schadensbegründender Kontrollverlust auch dann vorliegt, wenn ein Arbeitgeber einen Arbeitnehmer durch eine Detektei im privaten Umfeld überwachen lässt. Der Schaden liege in dieser Fallgestaltung „in dem durch die Überwachung erlittenen Kontrollverlust und insb. im Verlust der Sicherheit vor Beobachtung im privaten Umfeld“ – und zwar ohne, dass es auf weiteren Vortrag ankomme, welche Daten genau erhoben worden seien. Diesen Erwägungen schließt sich die Kammer an. Sie sind auch auf den vorliegenden Fall zu übertragen, da das Wesen des vorliegenden Sachverhalts eben gerade nicht der Verlust der Kontrolle über einzelne oder eine Gesamtheit von konkret benennbarer Datenpunkte ist, sondern vielmehr darin liegt, dass die Klägerseite nicht ansatzweise mehr weiß und auch nicht wissen kann, welche und wie viele Daten die Bekl. aus ihrer Privat- und Intimsphäre über sie gesammelt hat und auch nicht weiß und wissen kann, was die Bekl. mit diesen Daten macht. Der derart gefasste Schaden beruht auch kausal auf der von der Bekl. vorgenommenen rechtswidrigen Datenverarbeitung. Die Schadenshöhe schätzt die Kammer im Rahmen ihres Ermessens nach § 287 ZPO auf 5.000 EUR. IRd nach § 287 ZPO vorzunehmenden Schadensschätzung sind iRd Art. 82 DS-VGO allgemein die Art, Schwere, Dauer des Verstoßes, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen. Im Falle der mehrtägigen Überwachung einer Privatperson durch eine Detektei hat das BAG einen Schadensersatzbetrag iHv 1.500 EUR für angemessen erachtet. Im Fall des Ausspähens persönlicher Daten iRe verdeckten „Recherche“ hat das OLG Dresen einen Betrag von 5.000 EUR zuerkannt. In den bereits entschiedenen Fällen, die mit dem hiesigen gleichgelagert waren, wurden Beträge zwischen 10.000 EUR und 5.000 EUR zugesprochen. Daran gemessen erachtet die Kammer hier einen Schadensersatzbetrag von 5.000 EUR für angemessen. Es handelt sich bei dem festgestellten Datenschutzverstoß um eine schwere Verletzung des Rechts auf informationelle Selbstbestimmung, da das gesamte, höchstpersönliche Internetnutzungsverhalten betroffen ist (vgl. oben). Dabei handelt es sich auch nicht nur um eine punktuelle, zeitlich begrenzte rechtswidrige Maßnahme der Bekl., sondern um einen sich über einen großen, mehrjährigen Dauerverstoß gegen grundlegende Rechte nach der DS-GVO. Dieser Verstoß betraf auch Daten, die einen hohen Marktwert haben. Überzeugend führt hierzu das LG Leipzig aus: „(…) Für den Wert der Daten für die Bekl. hat das Gericht auf die Feststellungen des BKartA (Beschl. v. 2.5.2022 – B 6-27/21 Rn. 432) zurückgegriffen. Demnach verfügt die Bekl. im Bereich der sozialen Medien über eines der führenden Werbeangebote. Im Jahr 2020 erzielte die Bekl. 86 Mrd. USD an Werbeeinnahmen, im Jahr 2021 bereits 115 Mrd. USD. Der Gesamtumsatz betrug im Jahr 2021 118 Mrd. USD, sodass der Anteil der Werbeeinnahmen einen Anteil iHv 97 % ausmachte (BKartA, aaO, Rn. 7). Die Werbung wird hierbei überwiegend personalisiert geschaltet und basiert auf einem individuellen Zuschnitt für den jeweiligen Nutzer. Es soll dem Nutzer die Werbung angezeigt werden, die die ihn aufgrund seines persönlichen Konsumverhaltens, seiner Interessen und seiner Lebenssituation interessieren könnte (BKartA, aaO, Rn. 53). Will ein Nutzer keine personalisierte Werbung angezeigt bekommen, hat er die Möglichkeit eine solche Option gegen Zahlung eines monatlichen Beitrags auszuwählen. Ausgehend hiervon hat sich das Gericht davon überzeugt, dass der Wert von Daten für das Geschäftsmodell der Bekl. unerlässlich ist und dass die von der Bekl. gesammelten Daten einen erheblichen Wert für diese haben – auch wenn sie die Daten nach dem insoweit zulässigen Bestreiten nicht für Werbezwecke nutzt. Der finanzielle Wert eines einzigen Nutzerprofils, in dem sämtliche Daten über die Person gespeichert sind, ist für Teilnehmer datenverarbeitender Märkte enorm. Dass die Wertbemessung auch der Wahrnehmung in der Gesellschaft entspricht, bestätigen diverse Studien. Es erschiene iÜ nicht zeitgemäß, einzelne Daten als belanglos einzustufen, da es dem vorliegenden Datenschutzverstoß gerade immanent ist, dass die für sich genommen abstrakten Daten erst in der Gesamtschau, dh nach Verbindung zu einem Persönlichkeitsprofil, ihr vollständiges Nutzungspotenzial entfalten.“ Hinzu kommt, dass die Klägerseite von der Beklagtenseite keine praktikablen Wege aufgezeigt bekommt, die Kontrolle über die von der Bekl. erlangten Daten wiederzuerhalten. Die Bekl. stellt der Klägerseite schon keine aussagekräftigen Informationsmöglichkeiten zur Seite, mit der diese verlässliche Kenntnis davon erlangen könnte, welche konkreten Daten die Bekl. über sie gespeichert hat (vgl. oben), und ist auch ersichtlich nicht zur nachvollziehbaren Löschung dieser Daten bereit. Soweit iÜ in der veröffentlichten Rspr. den Meta-Nutzerinnen bzw. -Nutzern immer wieder vorgehalten wird, sie könnten auf die Nutzung der Meta-Produkte verzichten, überzeugt das das Gericht nicht ansatzweise. Sinn und Zweck der DS-GVO ist es gerade, allen europäischen Bürgern ein einheitliches und hohes Datenschutzniveau bzgl. aller auf dem europäischen Markt zugelassener Anwendungen, auch Social-Media-Produkten, zu gewährleisten. Die Argumentation, die Nutzer sollten eben auf diese Anwendungen verzichten, wenn dort Verletzungen des DS-GVO stattfinden, führt diesen Regelungsabsatz ersichtlich ad absurdum. Überzeugend führt hierzu auch das LG Leipzig aus: „Nicht anspruchsmindernd iSe widersprüchlichen Verhaltens wirkt sich aus, dass der Kl. die Nutzung der Dienste der Bekl. auch nach Kenntniserlangung über die Datenverarbeitung weiter in Anspruch nimmt. Die Bekl. nimmt im Bereich der Social-Media-Plattformen eine überragende marktübergreifende Stellung ein, welche bereits das Bundeskartellamt iSv § 19a GWB festgestellt hat (BKartA, Beschl. v. 2.5.2022 – B6-27/21). Gerade für die Teilhabe am gesellschaftlichen Leben handelt es sich bei den Netzwerken der Bekl. mittlerweile um für den durchschnittlichen Bürger essenzielle Dienstleistungen (vgl. Erwägungsgründe Nr. 1, 3 zur VO 2022/2065), die faktisch nicht durch ein alternatives Netzwerk ersetzt werden können. Auch wenn der Nutzer Kenntnis von den Datenschutzverletzungen der Bekl. erlangt, ist es ihm deshalb nicht zuzumuten, dass er sämtliche Profile bei der Bekl. löscht und seine Nutzung beendet. Vielmehr muss die Bekl. gewährleisten, dass der Kl. ihre Netzwerke DS-GVO-konform (auch in Zukunft) nutzen kann. Gerade durch die hiesige Klage bringt der Kl. zum Ausdruck, dass ihm die Datenschutzverstöße der Bekl. nicht egal sind, sondern er eine DS-GVO-konforme Nutzung durchsetzen will. Anders als in den Scraping-Fällen war es dem Kl. hier zudem – bis auf die vollständige Löschung der Profile – nicht möglich, sein Nutzerverhalten auf den Plattformen der Bekl. so anzupassen, dass weitere Datenschutzverletzungen verhindert werden.“ Auch diese Ausführungen macht sich die Kammer zu eigen.
NEU LG Ellwangen Urt. v. 16.10.2025 – 3 O 480/24	0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz iHv mind. 1.000 EUR nach Art. 82 Abs. 1 DS-GVO oder sonstigem Rechtsgrund, zB § 823 Abs. 1 BGB iVm Art. 2 Abs. 1, 1 Abs. 1 GG. Art. 82 Abs. 1 DS-GVO setzt einen Verstoß gegen die DS-GVO, das Vorliegen eines immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei die Darlegungs- und Beweislast für diese Voraussetzungen den Kl. trifft, während das vermutete Verschulden nach Art. 82 Abs. 3 DS-GVO vom Verantwortlichen iSv Art. 4 Nr. 7 DS-GVO zu widerlegen ist. Auch wenn es ab der Ungültigkeit des Privacy Shield am 16.7.2020 (Schrems II-Urteil, EuGH v. 16.7.2020 – C-311/18) bis zum Inkrafttreten des Datenschutzabkommens EU-US DPF am 11.7.2023 keinen Angemessenheitsbeschluss nach Art. 45 Abs. 3 DS-GVO gab, hat die Bekl. die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DS-GVO eingehalten. Der am 10.7.2023 gefasste Beschluss der EU-Kommission nach Art. 45 Abs. 3 DS-GVO stellt in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, sodass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen. Darüber hinaus liegt für die gesamte Zeit ab dem 16.7.2020 kein Datenschutzverstoß der Bekl. wegen Datenübermittlungen in die USA vor, da diese jedenfalls nach Art. 49 Abs. 1 lit. b DS-GVO iVm Art. 6 Abs. 1 lit. b DS-GVO zulässig waren und sind. IÜ hat der beweisbelastete Kl. einen Schaden bzw. Kontrollverlust nicht bewiesen. Nach Erwägungsgrund 146 S. 3 DS-GVO ist der Schadensbegriff weit auszulegen. Art. 82 Abs. 2 DS-GVO konkretisiert die in Abs. 1 normierte Haftungsgrundlage und nennt drei Voraussetzungen für einen Schadensersatzanspruch: eine Verarbeitung personenbezogener Daten unter Verstoß gegen die DS-GVO, das Entstehen eines Schadens bei der betroffenen Person sowie ein ursächlicher Zusammenhang zwischen der rechtswidrigen Verarbeitung und dem Schaden. Der EuGH stützt sich insoweit auf Erwägungsgrund 146, wonach unter „Schäden“ solche zu verstehen sind, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar ist nicht erforderlich, dass der Schaden ein bestimmtes Erheblichkeitsschwelle erreicht. Gleichwohl muss ein immaterieller Schaden von der betroffenen Person substantiiert dargelegt und nachgewiesen werden. Voraussetzung ist stets, dass der Schaden tatsächlich und sicher entstanden ist. Der EuGH hat in diesem Zusammenhang etwa ausgeführt, dass der bloße Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden darstellt. Darüber hinaus hat der EuGH klargestellt, dass ein bloßer Verstoß gegen DS-GVO-Vorschriften, die der betroffenen Person Rechte einräumen, allein nicht genügt, um einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO zu begründen – unabhängig von der Schwere eines etwaigen tatsächlichen Schadens. Zudem genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten für die Annahme eines Schadens. Im vorliegenden Fall ist es dem Kl. nicht gelungen, konkrete Auswirkungen der Datenübermittlung in die USA darzulegen. Über die pauschale Behauptung eines erlittenen Kontrollverlusts hinaus fehlt es an substantiiertem und nachvollziehbarem Vortrag. Soweit der Kl. eine missbräuchliche Verwendung seiner Daten durch Kriminelle oder US-Geheimdienste befürchtet, bleibt unklar, in welcher konkreten Weise ein solcher Missbrauch erfolgt sein soll.
NEU LG Ansbach Urt. v. 15.10.2025 – 3 O 560/24	0 EUR Dem Kl. stehen keine Ansprüche auf Ersatz immaterieller Schäden für die rechtswidrige Übermittlung personenbezogener Daten in die Vereinigten Staaten sowie die Speicherung personenbezogener Daten auf dort befindlichen Servern zu. Ein solcher Anspruch folgt nicht aus Art. 82 Abs. 1 DS-GVO. Der Anspruch scheitert schon daran, dass ein Verstoß der Bekl. gegen die DS-GVO im Hinblick auf die Datenübertragung und Speicherung personenbezogener Daten des Kl. in die USA nicht vorliegt. Die streitgegenständliche Datenverarbeitung stellt sich als rechtmäßig dar. In diesem Zusammenhang ist zu beachten, dass im Fall einer Datenübermittlung in ein Drittland neben den allgemeinen Anforderungen an die Rechtsgrundlage gem. Art. 5 Abs. 1 DS-GVO iVm Art. 6 DS-GVO zusätzlich die Art. 44 ff. DS-GVO einzuhalten sind. Danach ist die Datenübermittlung in ein Drittland nur aufgrund eines sog. Angemessenheitsbeschlusses der EU-Kommission gem. Art. 45 DS-GVO oder aufgrund geeigneter Garantien gern. Art. 46 DS-GVO zulässig. Letzteres ist insb. dann erfüllt, wenn verbindliche interne Datenschutzvorschriften gem. Art. 47 DS-GVO oder sog. Standdarddatenschutzklauseln vorliegen. Falls weder ein Angemessenheitsbeschluss gem. Art. 45 DS-GVO, noch geeignete Garantien nach Art. 46 DS-GVO vorliegen, ist eine Übermittlung nur unter den Bedingungen des Art. 49 Abs. 1 DS-GVO zulässig.
NEU LG Trier Urt. v. 29.9.2025 – 2 O 94/24	0 EUR Dem Kl. steht kein mit dem Klageantrag zu 1) geltend gemachter Schadensersatzanspruch zu. Ein solcher folgt insb. nicht aus Art. 82 Abs. 1 DS-GVO. Dies gilt zunächst hinsichtlich einer Übertragung der personenbezogenen Daten der Klagepartei in die Vereinigten Staaten von Amerika. Für die Zeit ab dem 10.7.2023 besteht ein Angemessenheitsbeschluss der Kommission iSd Art. 45 DS-GVO. Aber auch für den davorliegenden Zeitraum war eine Datenversendung in die Vereinigten Staaten gerechtfertigt. Sie war nämlich jedenfalls iSd Art. 49 Abs. 1 lit. b, 6 Abs. 1 lit. b DS-GVO zur Erfüllung des Nutzungsvertrags mit der Klagepartei erforderlich. Hiergegen spricht zunächst nicht, dass eine Datenübermittlung in dem vorgenannten Zeitraum nach dem unstrittigen Vortrag beider Parteien nicht nur gelegentlich erfolgt ist. Zwar wird in der datenschutzrechtlichen Literatur teilweise gestützt auf den 111. Erwägungsgrund DS-GVO vertreten, dass jedenfalls bestimmte Tatbestände des Art. 49 Abs. 1 DS-GVO keine routinemäßige Datenübermittlung stützen könnten. Dem vermag das Gericht indes nicht zu folgen. Zwar sind die Erwägungsgründe einer Verordnung bei deren Auslegung in erheblichem Maße zu berücksichtigen. Zutreffend ist auch, dass sich im 111. Erwägungsgrund eine entsprechende Einschränkung findet. Gleichwohl erscheint dies unter systematischen Gesichtspunkten nicht tragfähig. Der Unionsgesetzgeber hat in Art. 49 Abs. 1 S. 2 DS-GVO explizit eine Regelung dahingehend vorgesehen, dass eine Datenübermittlung erfolgen kann, wenn sie nicht wiederholt erfolgt. Dies gilt allerdings nur dann, wenn gerade keiner der Tatbestände des Art. 49 Abs. 1 S. 1 DS-GVO einschlägig ist. Wenn der Unionsgesetzgeber in Satz 2 der Norm die Notwendigkeit einer expliziten Einschränkung auf „nicht wiederholte“ Übertragungen gesehen hat, ist davon auszugehen, dass er dies auch in Satz 1 getan hätte, wenn die Norm entsprechend eingeschränkt werden sollte. Die Datenübermittlung ist überdies auch zur Erfüllung des Nutzungsvertrages erforderlich. Wer das soziale Netzwerk der Bekl. nutzt, dem geht es gerade darum, sich weltweit vernetzen und mit anderen Personen in Kontakt treten zu können. Ohne diese Möglichkeit wäre der Hauptzweck einer Social-Media-Plattform nicht zu erfüllen. Es erscheint dem Gericht auch offenkundig, dass dies eine Kommunikation und ein Versenden von Daten zwischen der Europäischen Union und Servern in Staaten erfordert, die sich außerhalb des Unionsgebietes befinden. Die Klagepartei ist dem entsprechenden Vortrag der Bekl. auch nicht substantiiert entgegengetreten. „F.“ ist bereits seinem Wesen nach als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig international Daten ausgetauscht werden. Allein die Suche nach anderen Nutzern in anderen Ländern kann nur erfolgen, wenn ein grenzüberschreitender Datenaustausch stattfindet. Die Konstruktion eines rein europäischen F. liefe bereits dem – auch mit dem Nutzungsvertrag vereinbarten – Zweck eines weltweiten Netzwerks zuwider. Vereinbart wurde die Nutzung eines weltweit aktiven Social-Media-Netzwerks. Zwischen dem Vertragszweck und der Datenübertragung besteht damit ein untrennbarer Zusammenhang. Dieser Auslandsbezug war für die Klagepartei bei der Erstellung des Nutzerprofils auch erkennbar. Dass eine weltweite Datenübertragung und Speicherung notwendig und damit erforderlich ist, ist dem Nutzungsvertrag immanent. Der Anwendung der Ausnahmevorschrift steht auch insoweit nicht entgegen, dass unter Zugrundelegung des Erwägungsgrundes 111 DS-GVO die Datenübertragung iRd Ausnahmevorschrift nur „gelegentlich“ erfolgen darf. Die Besonderheit des konkreten Nutzervertrages ist, dass dessen Inhalt und Wesen gerade die ständige Vernetzung von Nutzern weltweit ist. Der Kl. hat diesen Nutzervertrag gerade zu diesem Zweck geschlossen. Anders als bei der Übermittlung von konzerninternen Daten, etwa von Arbeitnehmern, ist die Klagepartei in diesem Fall gerade nicht schutzwürdig, sodass auch eine wiederholte Datenübertragung – die vorliegend gerade Inhalt und Zweck des Vertrages ist – unter die Ausnahme des Art. 49 Abs. 1 lit. b DS-GVO fällt. Dem steht auch nicht das „Shrems“ – Urteil des EuGH entgegen. Der EuGH stellte klar, dass die Ausnahmevorschrift des Art. 49 DS-GVO von der Wirksamkeit des Angemessenheitsbeschlusses unberührt bleibt. Etwas anderes folgt auch nicht aus dem IDPC-Beschluss der irischen Datenschutzbehörde. Es existiert bereits keine Bindungswirkung ausländischer Verwaltungsentscheidungen für das vorliegende Zivilverfahren. Weitere geltend gemachte Verstöße (Art. 5, 25, 32, 33, 34 DS-GVO) fallen bereits nicht in den Anwendungsbereich des Art. 82 DS-GVO. Die Norm erfasst nämlich nur solche Schäden, die „durch eine nicht der Verordnung entsprechende Verarbeitung“ verursacht wurden. Nicht erfasst sind somit etwa Verstöße gegen Auskunfts-, Informations- oder Transparenzpflichten. Zwar ist der Wortlaut des Art. 82 Abs. 1 DS-GVO insoweit offen, als er in allgemeiner Weise von (jedweden) Verstößen gegen die Verordnung spricht. Schon der zweite Absatz beschränkt dies aber auf Verstöße durch eine nicht verordnungsgemäße Verarbeitung. Auch der 146. Erwägungsgrund der Richtlinie, der sich mit der Frage des Schadensersatzes ausführlich befasst, sieht lediglich einen Schadensersatz bei Verstößen durch die Verarbeitung von Daten vor. Insb. dieser Erwägungsgrund spricht dafür, Art. 82 DS-GVO einschränkend auszulegen. Soweit hiergegen teilweise Rechtsschutzlücken oder eine fehlende Effektivität des Schadensersatzes eingewandt werden, handelt es sich um einen Zirkelschluss. Welchen Grad an Rechtsschutz ein Sekundärrechtsakt anstrebt oder in welchem Umfang der effet utile eine Haftung gebietet, ist gerade eine Frage der Auslegung des Sekundärrechtsakts. Vor dem Hintergrund des eindeutigen Wortlauts des 146. Erwägungsgrunds kann dem Unionsgesetzgeber nicht unterstellt werden, er habe eine umfassende Haftung für jedweden Verstoß angestrebt, zumal die DS-GVO durchaus über ein differenziertes Sanktionssystem mit öffentlich-rechtlichen und privatrechtlichen Elementen verfügt (vgl. Art. 77 bis 84 DS-GVO). Nach dem Vorgesagten fallen Verstöße gegen Art. 13, 15, 33 und 34 DS-GVO schon nicht unter den Anwendungsbereich des Art. 82 DS-GVO. Sie betreffen alleine Informations-, Auskunfts- oder Transparenzpflichten. Ebenso wenig führt ein Verstoß gegen Art. 25 DS-GVO zu einer Schadensersatzpflicht der Bekl. Art. 25 DS-GVO ist eine organisatorische Verpflichtung, die Schadensersatzansprüche für den Betroffenen nicht auslösen kann. Sie begründet daher keine Schadensersatzpflicht. Gleiches muss für Art. 5 Abs. 1 lit f., 32 DS-GVO gelten, die systematisch im Regelungszusammenhang mit den beiden vorgenannten Normen stehen. Letztlich kann auch dahinstehen, ob ein Verstoß gegen die DS-GVO vorliegt. Die Klagepartei legt jedenfalls bereits nicht dar, dass ein etwaiger Schaden kausal auf einem DS-GVO-Verstoß der Bekl. beruht. Der Begriff des „immateriellen Schadens“ iSd Art. 82 Abs. 1 DS-GVO ist mangels Verweises auf innerstaatliches Recht autonom unionsrechtlich zu definieren. Nach Erwägungsgrund. 146 S. 3 DS-GVO ist der Begriff des Schadens im Ausgangspunkt weit auszulegen. Nach der stRspr des EuGH genügt ein Verstoß gegen die DS-GVO allein nicht, um einen Schadenersatzanspruch zu begründen, erforderlich ist vielmehr neben dem Verstoß gegen die DS-GVO ein darauf kausal beruhender Schaden. Der EuGH hat weiterhin spezifiziert, dass an den Schaden keine Anforderungen iSe etwaigen Erheblichkeitsschwelle gestellt werden dürfen. Ein solcher Schaden kann unter Berücksichtigung des Erwägungsgrund 85 DS-GVO grds. auch in einem – selbst kurzfristigen – Kontrollverlust über die eigenen Daten liegen, ohne dass es des Nachweises zusätzlicher spürbarer negativer Folgen bedarf. Es entspricht dem Willen des Unionsgesetzgebers, unter den Schadensbegriff des Art. 82 Abs. 1 DS-GVO auch den schlichten Verlust der Kontrolle über die eigenen Daten als solchen zu fassen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt ist. Der Nachweis darüber, dass ein in einem Kontrollverlust liegender, kausaler Schaden erlitten wurde, ist durch die Klagepartei zu erbringen. Die erforderliche Kausalität des behaupteten Datenschutzverstoßes für den klägerseitig verspürten Kontrollverlust steht nicht zur Überzeugung des Gerichts fest. Die Klagepartei hat in der mündlichen Verhandlung ausgeführt, dass sie den streitgegenständlichen F.-Account eigentlich gar nicht nutzte und dies, wenn überhaupt, nur passiv nutze, um Beiträge anderer User mitzulesen. Hierbei ist zu berücksichtigen, dass das vom Kl. geschilderte Verhalten – Mitlesen von Beiträgen, kommentieren und liken, nur als Ausnahme – auf der Plattform im öffentlichen Rahmen stattfindet. Die geschilderten Aktivitäten des Kl. können von jeder Person, die selbst einen F.-Account besitzt, durch „Folgen“ des Kl. nachvollzogen werden. Die Sorge des Kl. knüpft damit nicht an eine ggf. rechtswidrige Übertragung von Daten an Dritte an, sondern an seine Entscheidung, eine grds. öffentliche Plattform dergestalt zu nutzen, dass er dort durch Kommentare und Likes seine Meinung zum Ausdruck bringt. Aber auch wenn ein kausaler Kontrollverlust nicht nachgewiesen werden kann, genügt unter Umständen die begründete Befürchtung einer Person, ihre personenbezogenen Daten würden aufgrund eines Verstoßes gegen die DS-GVO von Dritten missbräuchlich verwendet, um einen Schadensersatzanspruch zu begründen. Dabei hat derjenige, der geltend macht, von negativen Folgen eines Verstoßes gegen die DS-GVO betroffen zu sein, nachzuweisen, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Beruft er sich auf die Befürchtung, seine personenbezogenen Daten könnten aufgrund des Verstoßes missbräuchlich verwendet werden, hat das nationale Gericht zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Befürchtungen und negative Folgen müssen dabei ordnungsgemäß nachgewiesen werden. Eine bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen oder ein rein hypothetisches Risiko einer missbräuchlichen Verwendung durch unbefugte Dritte genügen hingegen nicht. Unter Anwendung dieser Grundsätze vermag das Gericht vorliegend keinen immateriellen Schaden des Kl. zu erkennen. Schriftlich ließ die Klagepartei vortragen, sie verbleibe in einem Zustand großen Unwohlseins und großer Sorge über möglichen Missbrauch ihrer sie betreffenden Daten. Das Gericht hat in der mündlichen Verhandlung zunächst nicht den Eindruck gewonnen, dass die vorgetragenen Befürchtungen den Kl. in dem Ausmaß prägen und in seinem Alltag einschränken, wie in der Klageschrift vorgetragen. Die Plattformen der Bekl. nutze er weiter; gleiches gilt für die Plattform L., die ebenfalls ihren Hauptsitz in Amerika hat und auch die Daten der Klagepartei in die USA übertrage. Insgesamt sind die vom Kl. geschilderten – rein abstrakten – Sorgen nach Auffassung des Gerichts nicht als nachgewiesene negative Folgen einzuordnen. Bei dieser Einordnung verkennt das Gericht nicht eine etwaige Bedeutung der Leitentscheidung des BGH v. 18.11.2024 (VI ZR 10/24). In dieser Entscheidung hatte sich der BGH u. a. mit dem Begriff des immateriellen Schadens des Art. 82 DS-GVO auseinandergesetzt und dem Nutzer der Dienste der Bekl. teilweise Recht gegeben. Der vorliegende Sachverhalt ist im Hinblick auf den dem dortigen Revisionsverfahren zugrundeliegenden Sachverhalt nicht gleichgelagert. Im Revisionsverfahren hatte sich die Klagepartei auf ein Datenleck bei der Bekl. berufen und der BGH einen für den Schaden kausalen Datenschutzrechtsverstoß jedenfalls in den DS-GVO-widrigen Voreinstellungen gesehen. Im streitgegenständlichen Verfahren beruft sich der Kl. jedoch weder auf eine Sicherheitslücke in Form eines Datenlecks noch auf einen (durchgreifenden) Datenschutzrechtsverstoß in Form von DS-GVO-widrigen Voreinstellungen. Stattdessen stellt der Kl. vorliegend die Rechtmäßigkeit der Datenübermittlungen der Bekl. in die USA in Frage, die nicht Gegenstand der Leitentscheidung des BGH v. 18.11.2024 war. Da der Kl. keinen kausalen Schaden nachweisen konnte, scheiden auch Schadensersatzansprüche auf anderer rechtlicher Grundlage aus. Ferner hatte die Kammer weiterhin zu beachten, dass der Kl. der Kammer bereits aus dem Verfahren 2 O 48/24 (Kreis, J. ./. L. Ireland Unlimited Company) bekannt ist, worin der Kl. gegen die vorbezeichnete Bekl. wegen etwaiger Datenschutzverstöße vorgegangen ist und die Klage durch Urteil des LG Trier v. 20.12.2024 rechtskräftig abgewiesen wurde. Die entsprechende Akte wurde zum vorliegenden Verfahren beigezogen. IRd dortigen informatorischen Anhörung v. 5.11.2024 räumte der Kl. der Kammer gegenüber ein, im Wesentlichen das amerikanische Netzwerk L. intensiv zu nutzen und dort ein umfangreiches Netzwerk von mehr als 5.000 Kontakten bei seinem dort öffentlichen Account zu unterhalten. In gleicher Weise hat der Kl. im hiesigen Verfahren offen zugegeben, dass ihm selbst keine (personenbezogenen) Daten bekannt wären, die bei der hiesigen Bekl. vorgehalten würde, die nicht auch schon bei L. öffentlich gemacht worden seien. Insoweit erachtet die Kammer das Nutzungsverhalten des Kl. bzgl. der Plattform L. sowohl als erheblichen (und weiteren) Zweifelsansatz für eine Kausalität eines etwaigen Schadens als auch hinsichtlich eines immateriellen Schadens an sich. Dies umso mehr als dass auch aus der Klageschrift, welche ohne tatsächliche Individualisierung auf den Kl. lediglich aus Textbausteinen besteht, welche nach Kenntnis des Gerichts in einer Vielzahl gleichgelagerter Verfahren genutzt werden, ergibt sich die Kausalität eines behaupteten Schadens weiterhin nicht ergibt. Selbst wenn der Kl. – wie vorgetragen – einen erheblichen Kontrollverlust über seine eigenen personenbezogenen Daten verspürt, lässt sich nach Ansicht des Gerichts nicht daraus schließen, dass dies darauf beruht, dass die Bekl. personenbezogene Daten des Kl. in die USA übermittelte. Wie die Bekl. zutreffend ausführte, übermitteln auch andere Unternehmen Daten in Drittstaaten, sodass auch nicht dargelegt ist, dass ein etwaiger Schaden durch Zugriffsmöglichkeiten von US-Geheimdiensten auf einer DS-GVO Verletzung der Bekl. beruht. Gleiches gilt für – wie bereits ausgeführt – die Plattform L. mit allgemein bekanntem Hauptsitz in Amerika, bei der der Angeklagte in erheblichem Umfang und freiwillig seine personenbezogenen Daten der Öffentlichkeit gegenüber preisgibt.
NEU LG Göttingen Urt. v. 28.8.2025 – 8 O 109/24	0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO oder aus anderem Rechtsgrund. Das LG Braunschweig hat mit Urt. v. 4.9.2024 – 9 O 2880/23, wie folgt zutreffend entschieden. Ein, einen Anspruch nach Art. 82 DS-GVO begründender Verstoß der Bekl. gegen die DS-GVO liegt nicht vor, da die Datenübermittlung gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO rechtmäßig war. Nach der informatorischen Anhörung der Kl. in der mündlichen Verhandlung v. 10.1.2025 war für die Kammer nicht erkennbar, dass diese einen durch die Übermittlung der Daten kausal verursachten Schaden erlitten hat. Nach der jüngsten Rspr. des EuGH (v. 4.5.23 (C-300/21; EuGH Urt. v. 20.6.2024 – C-590/22 Rn. 24) eröffnet nicht jeder „Verstoß“ gegen die Bestimmungen der DS-GVO für sich genommen den Schadenersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Der Ersatz eines immateriellen Schadens darf aber andererseits nicht von einer Erheblichkeitsschwelle abhängig gemacht werden. Der „immaterielle Schaden“ muss keine „Bagatellgrenze“ überschreiten, damit dieser Schaden ersatzfähig ist. In EuGH GRUR-RS 2023, 8972 Rn 58 verweist der EuGH zustimmend auf Nr. 39, 49 und 53 der Schlussanträge des GA. Ein „Strafschadensersatz“ sei nicht erforderlich. Es genüge, wenn „der konkret erlittene Schaden in vollem Umfang ausgeglichen“ wird. Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies indes nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen; denn der EuGH führt hierzu explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen“. Die Annahme eines solchen konkreten Schadens setzt in unionsautonomer Auslegung nach ständiger Rspr. des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht. Demnach ist Art. 82 nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Es ist nicht Aufgabe des Schadensersatzrechts, persönliche Empfindlichkeit und eine Schmerzensgeldkultur zu unterstützen, die keinen Bezug zu greifbaren Nachteilen hat. Auch der „präventive“ Effekt von Schadensersatzansprüchen rechtfertigt nicht eine Kommerzialisierung von allgemeinen „Ängsten und Sorgen“. Wenn der Gesetzgeber dies gewollt hätte, hätte er sich vom Schadensersatzrecht lösen müssen. Art. 82 ist auch nicht als Strafschadensersatz falsch zu verstehen. Vielmehr muss es um eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen, die zwar jetzt nicht mehr „besonders schwerwiegend“ sein muss, aber trotzdem für den oder die Betroffenen ein gewisses Gewicht haben muss. Es ist ein tatsächlich erlittener Schaden erforderlich. Ein abstrakter Kontrollverlust ist nicht ausreichend. Die bloße Behauptung einer Befürchtung ohne nachgewiesenen negativen Folgen führt nicht zu einem Schadensersatz. Die psychische Beeinträchtigung muss hinreichend konkret dargelegt und glaubhaft gemacht werden. Erforderlich ist hierfür, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Dies folgt daraus, dass es sich bei solchen Umständen um innere, dem Beweis nur eingeschränkt zugängliche Tatsachen handelt, auf die mittelbar aus äußeren Tatsachen geschlossen werden muss. Hierfür trägt der Anspruchsteller die Darlegungs- und Beweislast mit dem für § 286 ZPO erforderlichen Beweismaß, sodass erst eine Wahrscheinlichkeit ausreicht, die Zweifeln Schweigen gebietet, ohne diese indes endgültig auszuschließen. Die Kl. hat im Rahmen ihrer persönlichen Anhörung keinerlei konkrete Beeinträchtigung infolge der Datenweitergabe glaubhaft geschildert. Sie hat weder geschildert, dass ihr zB ein Vertragsabschluss oder ein Kredit infolge der streitgegenständlichen Datenübermittlung an die S. verwehrt worden sei, noch hat sie konkrete, fassbare psychische Folgen der Datenweitergabe geschildert.
NEU LG München I Urt. v. 27.8.2025 – 33 O 635/25 = ZD 2026, 223	0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines Betrags von 3.000 EUR oder einer niedrigeren Summe nach Art. 82 DS-GVO zu. Bereits im Ausgangspunkt steht dem Kl. kein Schadensersatzanspruch zu, weil die Übertragung der Daten des Kl. in die USA entgegen der Rechtsauffassung des Kl. auch in der Zeit v. 16.7.2020 bis zum 11.7.2023 nicht rechtswidrig war. Die Bekl. konnte sich für den Datenübertrag auf Art. 46 Abs. 1 DS-GVO stützen. Zwischen der Bekl. und ihrem Mutterkonzern waren Standarddatenschutzklauseln vereinbart, die unter Art. 46 Abs. 2 lit. c DS-GVO fallen. Darüber hinaus vermochte der Kl. ein ihm durch den Datenübertrag in die USA entstandenen Schaden auch nicht zur Überzeugung des Gerichts darzulegen.
NEU LG Dortmund Urt. v. 25.8.2025 – 5 O 82/24	0 EUR Der Kl. steht der geltend gemachte Schadensersatz weder aus Art. 82 Abs. 1 DS-GVO, noch aus einer anderen Anspruchsgrundlage zu. Es liegt bereits kein Verstoß gegen die DS-GVO vor, denn die Datenverarbeitung durch die Bekl. war gem. Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt. Überdies hat die Datenverarbeitung – selbst ihre Rechtswidrigkeit unterstellt – jedenfalls nicht zu einem Schaden der Kl. geführt. Ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO wird nicht allein dadurch begründet, dass ein Verstoß gegen die DS-GVO vorliegt. Vielmehr muss der Betroffene das Vorliegen eines Schadens nachweisen, auch wenn ein immaterieller Schaden keinen bestimmten Grad an Erheblichkeit erreichen muss. Dabei kann auch die durch einen Datenschutzverstoß hervorgerufene Befürchtung des Betroffenen, dass seine Daten in Zukunft aufgrund des Verstoßes missbräuchlich verwendet werden könnten, als Schaden anzusehen sein, sofern sich diese Befürchtung nach den Umständen des Einzelfalles als begründet darstellt. Insb. ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten vermag indes nicht zu einer Entschädigung führen. Kontrollverlust ist folglich nicht mit einer unzulässigen Datenübermittlung an einen Dritten gleichzusetzen, sondern verlangt die konkrete Befürchtung der missbräuchlichen Verwendung durch den Dritten. Dies zugrunde gelegt fehlt es hier schon an einem Kontrollverlust über die eingemeldeten Vertragsdaten. Denn anders als etwa in Fällen eines Datenlecks, bei denen Daten von Unbekannten abgegriffen werden und deren weitere Verwendung völlig unklar bleibt, sind die Daten der Kl. nicht veröffentlicht, dh einer unbestimmten Vielzahl von unbekannten Personen zugänglich gemacht worden. Allein aus der Übermittlung an die S. und die etwaige Weiterübermittlung an andere TK-Unternehmen auf deren Anfrage, lassen sich keine Anhaltspunkte für ein unkontrolliertes Verlassen eines datenschutzrechtlichen Rahmens ziehen. Auch unter Berücksichtigung der Angaben der Kl. im Rahmen ihrer persönlichen Anhörung ist der Eintritt eines Schadens nicht feststellbar.
NEU LG Karlsruhe Urt. v. 20.8.2025 – 5 O 284/23	0 EUR Selbst wenn die DS-GVO zeitlich, sowie räumlich und sachlich (Art. 2, 3 Abs. 1 DS-GVO) zur Anwendung käme, wären Ansprüche des Kl. mangels Verstoßes hiergegen sowie mangels Schadens nicht gegeben. Das Gericht ist davon überzeugt, dass der Kl. seine ausdrückliche Einwilligung in die Weitergabe seiner Daten an die S. erteilt hat. Die Übermittlung der Daten betreffend den Abschluss des Mobilfunkvertrags wäre zudem – für den Fall, dass die DS-GVO hier anwendbar wäre – gem. Art. 6 Abs. 1 lit. f DS-GVO rechtmäßig. IÜ sind die Anträge Ziff. 1 und 3 auch deshalb unbegründet, weil der Klagepartei kein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden ist. Art. 82 DS-GVO ist dahingehend auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO ergibt sich vielmehr eindeutig, dass neben einem Verstoß gegen die DS-GVO das Vorliegen eines Schadens und ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß vorliegen müssen. Dabei muss die betroffene Person den Nachweis erbringen, dass sie einen in einem bloßen Kontrollverlust als solchem bestehenden Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss folglich geltend machen (und ggf. nachweisen), dass der Verstoß gegen die DS-GVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen. Dies zugrunde gelegt hat der Kl. einen Schaden durch die Weitergabe der hier streitgegenständlichen Daten – nämlich allein der Tatsache des Abschlusses eines Mobilfunkvertrags – weder nachvollziehbar dargelegt noch bewiesen. Dass die hierzu von den Klägervertretern schriftsätzlich vorgetragenen Sorgen des Kl. überhaupt bestehen und zudem allein auf dieser Weitergabe beruhen, hat der Kl. nicht nachgewiesen. Der BGH hat zwar für den Falls eines „Scrapings“ entschieden, dass schon allein der Kontrollverlust über die eigenen Daten für einen Anspruch auf immateriellen Schadensersatz grds. ausreichen könne (Urt. v. 18.11.2024 – VI ZR 10/24). Allerdings unterscheidet sich die vorliegende Konstellation wesentlich von einem „Scraping“-Ereignis, dass der zitierten BGH-Entscheidung zugrunde lag. Beim „Scraping“ werden verschiedene Daten von Unbekannten ohne Kenntnis der Betroffenen abgegriffen und sodann im Internet verbreitet und einer unbekannten Vielzahl von Personen zugänglich gemacht. Dies unterscheidet sich maßgeblich von der hiesigen Situation, dass ein einzelner Vertragsschluss an die bekannte S. mitgeteilt wird. Anders als in den sog. Scraping-Fällen, in denen unbekannte Dritte personenbezogene Daten unrechtmäßig erlangten und deren Verbleib teils ungeklärt ist, sind in hiesigem Fall die konkret betroffenen Daten sowie deren Verbleib weitgehend geklärt. Die Kammer vermochte auch nach der informatorischen Anhörung des Kl. keinen immateriellen Schaden bei dem Kl. festzustellen. Der Kl. hat angegeben, das Thema Datenschutz sei ihm generell sehr wichtig. Konkrete Auswirkungen der streitgegenständlichen Datenweitergabe wurden nicht angegeben.
NEU LG Gießen Urt. v. 20.8.2025 – 5 O 11/24	1.000 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf Zahlung eines angemessenen Schmerzensgeldes iHv 1.000 EUR wegen der durch die datenschutzrechtlichen Verstöße bzw. der damit einhergehenden Persönlichkeitsrechtsverletzungen entstandenen Schäden, Art. 82 DS-GVO, § 823 Abs. 1 BGB iVm dem Allgemeinen Persönlichkeitsrecht nach Art. 1 Abs. 1, 2 Abs. 1 GG, § 253 Abs. 1 BGB. Die Bekl. ist (Mit-)“Verantwortliche“ iSd Art. 4 Nr. 7 DS-GVO für die durch die Verwendung der „…“ erhobenen Daten. Demnach gilt als Verantwortlicher jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Indem die Bekl. die streitgegenständlichen „…“ zur Erfassung, Speicherung und Weiterleitung von personenbezogenen Daten der Nutzer bestimmter Webseiten und Apps entwickelt und bereitstellt sowie letztlich die durch die Nutzung der „…“ übermittelten Daten jedenfalls speichert, entscheidet sie mit über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Insoweit hat die Kammer hinsichtlich des streitgegenständlichen Sachverhalts die Darstellung des Klägervortrags zugrunde gelegt, den die Bekl. nicht bestritten – sondern in wesentlichen Aspekten iRd mündlichen Verhandlung auf Nachfrage der Kammer eingeräumt hat. Die Bekl. erhält in umfassender Weise Daten von Besuchern von Drittwebseiten bzw. Nutzern von Apps. Dabei ergibt sich aus der von dem Kl. unbestrittenen Liste an Webseiten bereits, dass die von der Bekl. entwickelten und zur Verfügung gestellten „…“ weitverbreitet im Internet zum Einsatz kommen und ihnen auf kurz oder lang nicht „ausgewichen“ werden kann. Dabei soll nicht unerwähnt bleiben, dass die Bekl. im Hinblick auf ihre prozessuale Wahrheitspflicht in bedenklicher Weise in weitschweifenden Schriftsätzen versucht hat, den Eindruck zu vermitteln, es ginge streitgegenständlich ausschließlich um die Datenverarbeitung im Zuge der Nutzeranfrage, ob personalisierte Werbung angezeigt werden dürfe. Dabei hat die Bekl. auch auf ihr kostenpflichtiges Abonnement Bezug genommen, um den Eindruck zu erwecken, dass damit die Nutzer – und auch der hiesige Kl. – eine Einflussmöglichkeit auf die wesentliche Datenverarbeitung der Bekl. nehmen könnten. Das ist unwahr. Dass es sich bei diesem „nebulösen Vortrag“ der Bekl. auch nicht um ein Versehen oder Missverständnis handelt, wird bereits dadurch deutlich, dass sie gerade unter Verwendung dieser Vortragsart die Verurteilung zur Zahlung von Schmerzensgeld wiederholt abwenden konnte und ihr somit die Auswirkungen eines solchen Vortragsverhaltens mehrfach vor Augen geführt worden sind. Nach dem unstreitigen Vortrag steht vielmehr fest, dass die Bekl. die durch die „…“ erhaltenen Daten (von Drittwebseiten und/oder Apps) in jedem Fall verarbeitet – selbst von Personen, die über kein Nutzer-Konto verfügen. Die Nutzer der Plattformen der Bekl. haben lediglich die „Wahl“, die Anzeige personalisierte Werbung gegen Zahlung einer Gebühr zu verhindern – was jedoch in Anbetracht der ohnehin stattfinden Datenverarbeitung grotesk anmutet. Diese (Verhaltens-)Strategie der Bekl. gewährt einen Einblick in ihre Geschäftspraktiken, was die Kammer iRd Höhe des zu verhängenden Schmerzensgeldes nicht unberücksichtigt gelassen hat. Eine Rechtfertigung für die streitgegenständliche Datenverarbeitung durch die Bekl. existiert offenkundig nicht. Die Bekl. beruft sich zwar auf eine ihrerseits eingeholte Einwilligung der Nutzer ihrer Plattformen (… und …). Die von der Bekl. angeführte Einwilligung der Nutzer – und somit auch des hiesigen Kl. – deckt jedoch bereits nach dem Vortrag der Beklagtenseite nicht die tatsächlich streitgegenständliche Datenverarbeitung ab. Die Bekl. verengt die Datenverarbeitung auf die Verwendung der durch die „…“ erhobenen Daten auf die Anzeige personalisierte Werbung. Diesbezüglich trägt sie zu Recht und unstreitig vor, dass dies nur in den Fällen geschieht, in denen die Nutzer ausdrücklich eingewilligt haben. Streitgegenständlich ist jedoch maßgeblich die Verarbeitung von über Drittwebseiten/Apps erhaltenen personenbezogenen Daten, was die Bekl. unabhängig der Auswahlentscheidung ihrer Nutzer ausführt. Der Kl. ist auch ein Betroffener dieser umfassenden Datenverarbeitung. Das diesbezügliche Bestreiten der Bekl. mit Nichtwissen ist unzulässig. Ein Bestreiten mit Nichtwissen ist gem. § 138 Abs. 4 ZPO nur über Tatsachen zulässig, die weder eigene Handlungen der Partei noch Gegenstand ihrer eigenen Wahrnehmung gewesen sind. Es kommt insb. dann nicht in Betracht, wenn die Partei selbst über alle relevanten Informationen verfügt. Dies ist hier aber offensichtlich der Fall. Der Bekl. werden die von dem Kl. auf Drittwebseiten und Apps über die „…“ erhobenen Daten übermittelt. Hinzukommt, dass die Software der Bekl., wie bereits dargelegt, so großflächig zum Einsatz kommt, dass davon auszugehen ist, dass nahezu jeder Internetnutzer von einer Datenverarbeitung der Bekl. betroffen ist. Vor diesem Hintergrund hat die Bekl. auch das allgemeine Persönlichkeitsrecht – in der Ausprägung des Rechts auf informelle Selbstbestimmung – des Kl. erheblich und rechtswidrig verletzt (§ 823 Abs. 1 BGB iVm dem Allgemeinen Persönlichkeitsrecht nach Art. 1 Abs. 1, 2 Abs. 1 GG). Bei der Bestimmung des Schmerzensgeldes hat die Kammer die Auswirkungen des Verstoßes (hier insb. den – potenziellen – Umfang der Datenerhebung), den Grad des Verschuldens der Bekl. sowie ihre wirtschaftlichen Verhältnisse und ihr prozessuales Verhalten berücksichtigt. Die persönlichen Einschränkungen des Kl. durch die Datenschutzverstöße der Bekl. bewertet das Gericht aufgrund seiner Anhörung als eher gering. Größere Ängste, Sorgen oder Nöte schilderte er nicht. Ihn stört ersichtlich bloß der allgemeine und durchaus umfassende Kontrollverlust über seine Daten, weil er nicht wisse, welche Daten von ihm im Hintergrund erhoben werden würden. Hingegen wirkten sich die anderen das Schmerzensgeld bestimmenden Faktoren erhöhend aus. Zwar ermöglicht nach der Rspr. des Gerichtshofs die DS-GVO ausschließlich einen Schadensersatz zum Zwecke des Ausgleichs, nicht auch zur Genugtuung, gleichwohl gilt diese Einschränkung nicht für einen Schmerzensgeldanspruch nach den nationalen Vorschriften wegen einer Verletzung des allgemeinen Persönlichkeitsrechts. Daher konnte die Kammer berücksichtigen, dass die Bekl. diese umfassende Datenerhebung bewusst – das heißt vorsätzlich – ausführt. Sie entwickelte die „…“ und hat sie inzwischen auf einem breiten Anwendungsfeld zum Einsatz gebracht. Selbst unter dem Eindruck bereits verhängter Bußgelder in erheblicher Größenordnung ist eine Veränderung bei den Geschäftspraktiken der Bekl. nicht erkennbar. Insb. das prozessuale (Vortrags)Verhalten in diesem – und in vergleichbaren Prozessen – offenbaren eine fast gleichgültige Haltung gegenüber dem Anspruch anderer auf angemessene Datenkontrolle und angemessenen Datenschutz. Aufgrund der finanziellen Ressourcen der Bekl., die auch aus den gegen sie verhängten Bußgeldbeträgen deutlich werden, musste das Schmerzensgeld eine für die Bekl. spürbare Größenordnung erreichen (Genugtuungsfunktion). Vor diesem Hintergrund erachtet die Kammer iRd ihr nach § 287 ZPO eingeräumten (besonderen) tatrichterlichen Ermessens einen Schmerzensgeldbetrag iHv 1.000 EUR für erforderlich, angemessen aber auch ausreichend. Soweit bereits andere LG weitaus höhere Schmerzensgeldbeträge bei dieser Sachverhaltskonstellation ausgeurteilt haben, sind die dortigen Erwägungen zwar nachvollziehbar gleichwohl rechtfertigen sie nach Auffassung der hiesigen Kammer einen solchen Schmerzensgeldbetrag nicht. Insb. zielt das Schmerzensgeld in Deutschland nur auf einen Ausgleich und eine Genugtuung ab – ein strafender Charakter, mit dem der Schädiger über die Höhe sanktioniert werden soll, ist der hiesigen Rechtsordnung iRd Schmerzensgeldes fremd. Bei Schmerzensgeldbeträgen in der von anderen LG ausgeurteilten Größenordnung von 5.000 EUR und darüber hinaus, wäre jedoch der strafende Charakter regelmäßig nicht nur nicht mehr von der Hand zu weisen, sondern vielmehr der bestimmende Faktor.
NEU LG Leipzig Urt. v. 15.8.2025 – 05 O 1939/24	5.000 EUR (+ 367,23 EUR vorgerichtliche Rechtsanwaltskosten) Der Kl. hat einen Anspruch auf Ersatz des immateriellen Schadens iHv 5.000 EUR gem. Art. 82 DS-GVO nebst Zinsen hieraus im tenorierten Umfang. Ob im Weiteren auch ein Anspruch gem. § 823 Abs. 1 BGB iVm Art. 1, 2 GG besteht, kann dahinstehen, da dieser jedenfalls keinen höheren Schadensersatzanspruch begründet. Darüber hinaus kann der Kl. Verzugszinsen verlangen. Der haftungsbegründende Tatbestand ist erfüllt. Auf der Seite der Bekl. liegt ein Verstoß gegen die Vorgabe der DS-GVO vor. Der Kl. hat einen immateriellen Schaden erlitten. Ein Schaden iSd Art. 82 DS-GVO kann jede materielle oder immaterielle Einbuße sein. Der bloße Verstoß gegen die DS-GVO reicht zwar selbst noch nicht für die Begründung eines Schadensersatzanspruchs aus, es gibt jedoch umgekehrt auch keine Erheblichkeitsschwelle, deren Überschreitung es festzustellen gilt. Als Schäden sind insb. in der Rspr. bereits anerkannt der Verlust von Kontrolle über personenbezogene Daten oder die Befürchtung der missbräuchlichen Verwendung der eigenen Daten. Steht der Kontrollverlust fest, bedarf es darüber hinaus erst einmal nicht der Darlegung besonderer Ängste oder Befürchtungen der betroffenen Person, da diese Umstände lediglich zur Feststellung einer weiteren Schadensvertiefung herangezogen werden können. Der Schaden ist kausal auf das Verhalten der Bekl. zurückzuführen, da diese den Kontrollverlust insb. durch den Einsatz der Business Tools verursacht hat. Art und Umfang des Schadensersatzanspruchs richten sich nach den nationalen Vorschriften in §§ 249 ff. BGB und § 287 BGB iVm den europarechtlichen Vorgaben des haftungsbegründenden Tatbestands in Art. 82 DS-GVO. Nach der Rspr. des EuGH ermöglicht die DS-GVO ausschließlich einen Schadensersatz zum Zwecke des Ausgleichs, nicht auch zur Genugtuung. Die Vorschrift verlangt nicht, dass der Grad der Schwere und die Vorsatzform des Verantwortlichen bei der Schadensbemessung berücksichtigt werden. Im Gegenzug gibt der EuGH den nationalen Gerichten jedoch vor, dass die Höhe des geschuldeten immateriellen Schadensersatzes „seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung“. Der EuGH stellt klar, dass die Art. 83 und 84 DS-GVO, welche im Wesentlichen Strafzwecke erfüllen, nicht iRv Art. 82 DS-GVO herangezogen werden dürfen, da die Vorschrift auf den Ausgleich für erlittene Einbußen abzielt (EuGH, aaO, NJW 2024, 2599 Rn. 22). Abschreckungs- und Strafzwecke sind der Vorschrift damit nicht zugänglich, sodass ein sog. Strafschadensersatz ausscheidet. Der EuGH stellt klar, dass die Art. 83 und 84 DS-GVO, welche im Wesentlichen Strafzwecke erfüllen, nicht iRv Art. 82 DS-GVO herangezogen werden dürfen, da die Vorschrift auf den Ausgleich für erlittene Einbußen abzielt. Abschreckungs- und Strafzwecke sind der Vorschrift damit nicht zugänglich, sodass ein sog. Strafschadensersatz ausscheidet. In Ermangelung eigener europäischer Regelungen zur Bestimmung der Höhe des Anspruchs nach Art. 82 DS-GVO haben die nationalen Gerichte nach der Rspr. des EuGH die bestehenden nationalen Vorschriften im Lichter der Äquivalenz und Effektivität des Unionsrechts anzuwenden. Soweit es der EuGH ausschließt, dass iRd Ausgleichsfunktion des Schadensersatzanspruchs iSv Art. 82 DS-GVO ein möglicher Vorsatz des Verantwortlichen oder der Grad der Schwere des Verstoßes berücksichtigt wird, gibt er jedoch auch zu erkennen, dass der Schadensersatz der Höhe nach den konkret erlittenen Schaden vollständig ausgleichen muss. Mit Blick auf den Vergleich physischer, materieller und immaterieller Schäden rekurriert der EuGH auf den 146. Erwägungsgrund DS-GVO und weist insoweit darauf hin, dass „[d]er Begriff des Schadens … im Lichte der Rspr. des EuGH weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht“, und dass „[d]ie betroffenen Personen … einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten [sollten]“. Weiterhin führt er aus, dass durch die nationalen Vorschriften zur Umsetzung des immateriellen Schadensersatzanspruchs die Ausübung der durch das Unionsrecht verliehenen Rechte, insb. der DS-GVO, nicht unmöglich gemacht oder übermäßig erschwert werden darf. Hiermit bringt der EuGH zum Ausdruck, dass an der deutschen Rspr., die bislang immateriellen Schadensersatz bei Persönlichkeitsrechtsverletzungen grds. nur höchst ausnahmsweise und insgesamt lediglich in geringem Umfang zugesprochen hat, bei der Anwendung der DS-GVO nicht festgehalten werden darf. Daraus folgt nicht zuletzt, dass trotz der Beschränkung auf den bloßen Ausgleich der erlittenen Nachteile, die Höhe des Schmerzensgeldes über die in der nationalen Rechtsprechungspraxis etablierten Beträge aus Schmerzensgeldtabellen o. a. hinausgehen kann. Ein „Sich-Einfügen“ in die bisherige nationale Rechtsprechungspraxis stünde geradezu im Widerspruch zur europarechtsautonomen Auslegung des Schadensersatzanspruchs gem. Art. 82 DS-GVO. Soweit andere Gerichte teilweise auf nationale Schadensersatzansprüche wie § 823 Abs. 1 BGB iVm Art. 1 Abs. 1, 2 Abs. 1 GG zurückgreifen, um die erweiterten Schutzkategorien dieser Ansprüche einbeziehen zu können (Genugtuung und Prävention) – letztlich um die vermeintlichen Restriktionen des EuGH mithilfe dieser Ansprüche dogmatisch zu umgehen – ist dieses Vorgehen ob der oben genannte Gründe redundant. Der EuGH betont bei alldem, dass der Schadensersatzanspruch nach Art. 82 DS-GVO neben den Sanktionen des Art. 83 DS-GVO ebenfalls geeignet sein muss, die Einhaltung der Vorschriften der DS-GVO sicherzustellen. Die Höhe des Schadensersatzanspruchs ist nach der nationalen Vorschrift des § 287 ZPO zu schätzen. Nach § 287 Abs. 1 S. 1 ZPO entscheidet das Gericht nach Würdigung aller Umstände nach freier Überzeugung. Hierbei handelt es sich um das Einfallstor für die o. g. europarechtlichen Vorgaben. Nach § 287 Abs. 1 S. 2 ZPO steht es schließlich im Ermessen des Gerichts, ob es iRd Schadensbemessung eine Beweisaufnahme durchführt. Anknüpfungspunkte für die Bemessung eines immateriellen Schadensersatzanspruchs muss hier vordergründig der auf der Klägerseite eingetretene Verlust der Daten sein. Dieser ist hinsichtlich des unterschiedlichen grundrechtlich garantierten Schutzniveaus der betroffenen Daten zu differenzieren. Dies gilt insb., wenn besondere Kategorien personenbezogener Daten iSv Art. 9 DS-GVO betroffen sind. Zudem sind vor allem der Umfang der gesammelten Daten und die Dauer des Verstoßes zw. der Verletzungshandlung zu berücksichtigen. Hierbei handelt es sich um Kategorien zur Feststellung der Schadenstiefe bzw. -intensität, die nicht gleichzusetzen sind mit dem Grad der Schwere des Verstoßes, den der EuGH für nicht berücksichtigungsfähig erklärt. Darüber hinaus kann die Möglichkeit des Betroffenen an der Wiedererlangung seiner Daten bzw. der Kontrolle über diese eine Rolle spielen. Weiterhin hat das Gericht bei der Schadensschätzung für den Wert der personenbezogenen Daten einen entsprechenden Anknüpfungspunkt festgelegt. Hierfür hat es auf den Wert personenbezogener Daten für die Bekl. – soweit dieser geschätzt werden konnte – abgestellt, zudem auf den allgemeinen Wert personenbezogener Daten auf dem hierfür relevanten legalen oder auch illegalen Markt. Die Berücksichtigung des Wertes der Daten für den Verletzer wird jedenfalls im Bereich der kommerziellen Nutzung auch in der Lit. gefordert. Demnach scheidet auch ein Mitverschulden des Geschädigten iSv § 254 BGB aus, wobei für den Schadensersatzanspruch nach Art. 82 DS-GVO umstritten ist, ob lediglich unter den Voraussetzungen von Art. 82 Abs. 3 DS-GVO ein Ausschluss der Haftung iSe Alles-oder-Nichts-Regelung in Betracht kommt. Der Kl. kann von der Bekl. Freistellung seiner vorgerichtlichen Rechtsanwaltskosten iHv 367,23 EUR verlangen, Art. 82 Abs. 1 DS-GVO, §§ 249 Abs. 1, 257 S. 1 BGB.
NEU LG Traunstein Urt. v. 8.8.2025 – 5 O 1095/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DS-GVO, da die von der Bekl. vorgenommenen Übermittlung von sog. Positivdaten aus dem Mobilfunkvertrag an die SCHUFA keinen Verstoß gegen Regelungen der DS-GVO darstellt und kein ersatzfähiger Schaden des Kl. vorliegt. Die Datenverarbeitung durch die Bekl. war gem. Art. 6 Abs. 1 UAbs. 1 lit. f. DS-GVO gerechtfertigt. Schließlich hat der Kl. mangels Anspruchs in der Hauptsache auch keinen Anspruch gem. Art. 82 Abs. 1 DS-GVO auf Ersatz der Kosten der außergerichtlichen Rechtsverfolgung.
NEU LG Magdeburg Urt. v. 7.8.2025 – 10 O 74/24	0 EUR Der Antrag ist zulässig aber unbegründet. Die Klagepartei hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO. Da es bei Klagen auf Ausgleich immaterieller Schäden im Hinblick auf die Bemessung durch das Gericht nach billigem Ermessen grds. – und wie hier – keiner Bezifferung der Leistungsklage bedarf, ist es auch ausreichend, dass die Klagepartei ihre Vorstellung des auszusprechenden Entschädigungsbetrags einheitlich auf einen Betrag Mindestbetrag veranschlagt. Es besteht kein Anspruch aus Art. 82 Abs. 1 DS-GVO. Die Klagepartei hat ihren Anspruch bereits nicht schlüssig darlegt. Die Klagepartei hat bereits nicht bewiesen, dass ihre persönlichen Daten, die sie nicht einmal benannt hat, weitergeben wurden. Die Klagepartei trägt für Ihre Behauptung die volle Beweislast. Im Zivilrecht ist als Beweislastprinzip im allgemeinen der Grundsatz anerkannt, das jede Partei, die den Eintritt einer Rechtsfolge geltend macht, die Voraussetzungen des ihr günstigen Rechtssatzes zu beweisen hat. Den Anspruchsteller trifft die Beweislast für die rechtsbegründenden Tatsachen, der Gegner muss den Beweis für rechtshemmende, rechtshindernde oder rechtsvernichtende Tatsachen erbringen. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt die Klagepartei. Der EuGH hat in seinem Urt. v. 4.5.2023 (C-300/21) insoweit ausdrücklich festgehalten, dass die von einem Verstoß gegen die DS-GVO betroffene Person den Nachweis führen muss, dass die geltend gemachten Folgen einen immateriellen Schaden iSd Verordnung darstellen. Die Kammer ist sich bewusst, dass ein Sachvortrag bereits dann schlüssig und ausreichend substantiiert ist, wenn die vorgetragenen Tatsachen in Verbindung mit einem Rechtssatz geeignet sind, das geltend gemachte Recht zu begründen. Diese Definition gerät jedoch an eine natürliche Grenze, wenn – wie in den der Kammer vorliegenden DS-GVO Verfahren – inhaltlich und wörtlich identisch mit Textbausteinen vorgetragen wird, weil damit die erforderliche konkret-individuelle und tatsächliche Beeinträchtigung nicht mehr hinreichend dargelegt worden ist. Zu keinem Zeitpunkt wird erläutert und erklärt, welche Daten denn nun aus Sicht des Kl. im konkreten Fall illegal durch Meta und Dritte gesammelt worden sein sollen. Unterstellt man fiktiv zugunsten der Klagepartei ohne weitere Prüfung, dass ihre die Auffassung zu den streitgegenständlichen Business Tools und der streitgegenständlichen Datenverarbeitung zutreffend wäre, trägt weiterhin allein die Klagepartei die Darlegungs- und Beweislast für einen tatsächlich erlittenen und ersatzfähigen Schaden. Wenn zudem, wie hier, die Klagepartei psychische Auswirkungen geltend macht, müsste sie zumindest Beweise für den Nachweis einer pathologisch erkennbaren psychischen Störung erbringen. Konkreter Vortrag und Beweisangebot fehlen. Dem steht auch die Entscheidung des BGH nicht entgegen, wonach immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO sein kann. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Schließlich gewährt Art. 82 DS-GVO keinen Sanktionsanspruch einer Einzelperson. Art. 82 DS-GVO hat anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, etwa die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben, keine Straffunktion, sondern eine Ausgleichsfunktion.
NEU LG Göttingen Urt. v. 11.7.2025 – 4 O 133/24	0 EUR Der Kl. besitzt gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz nebst Prozesszinsen aus Art. 82 Abs. 1 DS-GVO. Nach der Rspr. des EuGH erfordert ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind und die Darlegungs- und Beweislast für diese Voraussetzungen die Person trifft, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Vorliegend kann dahinstehen, ob die Bekl. an der Übermittlung von Positivdaten des Kl. an die S., nämlich seines Namens, seines Geburtsdatums, seiner Anschrift, des Datums des Vertragsschlusses und der Vertragsnummer, gerechtfertigt war, weil der Kl. wirksam darin eingewilligt hatte oder die Abwägung der beiderseitigen Interessen ergäbe, dass die Bekl. berechtigte Interessen iSv Art. 6 DS-GVO hatte, die das Datenschutzinteresse des Kl. überwogen. Es kann nämlich nicht festgestellt werden, dass der Kl. infolge der Übermittlung von Positivdaten an die S. am 26.9.2018 einen immateriellen Schaden erlitt. Der unionsrechtliche Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DS-GVO setzt über den bloßen Verstoß gegen die Bestimmungen der DS-GVO hinaus – iSe eigenständigen Anspruchsvoraussetzung – den Eintritt eines Schadens (durch diesen Verstoß) voraus, wobei nicht erforderlich ist, dass der entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat, die betroffene Person allerdings nachzuweisen muss, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Dabei kann schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Ist ein bloßer Kontrollverlust infolge des Verstoßes gegen die DS-GVO nachgewiesen, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Ebenso wenig stellt der Verlust des Vertrauens in eine Institution einen immateriellen Schaden dar. Das Risiko der Nichterweislichkeit – auch in Bezug auf das konkrete Ausmaß eines etwaigen Schadens – verbleibt beim Anspruchsteller. Die Rechtswidrigkeit der Datenübermittlung an die S. unterstellt, ist das Gericht ist aufgrund des Ergebnisses der persönlichen Anhörung des Kl. nicht gem. § 286 Abs. 1 ZPO davon überzeugt, dass die Datenübermittlung an die S. zu einem Kontrollverlust des Kl. über die betroffenen Daten oder zu seiner begründeten Befürchtung eines Datenmissbrauchs führte.
NEU LG Kiel Urt. v. 9.7.2025 – 10 O 162/24	0 EUR Der Kl. hat gegenüber der Bekl. keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO oder einer anderen Anspruchsgrundlage. Es fehlt vorliegend bereits an einem einen Schadensersatzanspruch des Kl. begründenden Verstoß der Bekl. gegen die Bestimmungen der DS-GVO. Die beanstandete Übermittlung von Positivdaten war von Art. 6 Abs. 1 S. 1 lit. f DS-GVO gedeckt, weshalb die geltend gemachten Ansprüche ausscheiden. Dessen ungeachtet fehlt es hier an einem ersatzfähigen Schaden des Kl. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt der Kl. als Anspruchsteller. Die von einem Verstoß gegen die DS-GVO betroffene Person muss den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden iSd Verordnung darstellen. Die Worte „materieller oder immaterieller Schaden“ verweisen dabei nicht auf das Recht der Mitgliedstaaten, weshalb sie als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen sind und eine einheitliche unionsrechtliche Definition erhalten müssen. Da ein bloßer Verstoß gegen die DS-GVO nicht ausreicht, muss konkret festgestellt werden, dass die (vom Anspruchsteller zu beweisenden) Folgen einen Schaden darstellen. Nach diesen Grundsätzen hat sich vorliegend ein konkreter und individueller Schaden des Kl. nicht feststellen lassen. Schon aus seinem Vortrag erschließt sich nicht, inwieweit die Weitergabe von sog. Positivdaten, nämlich dass er als Kunde einen Mobilfunkvertrag abgeschlossen hat, zu einem immateriellen Schaden führen soll. Sein Sachvortrag dazu ist pauschal und wird – gerichtsbekannt – in zahlreichen weiteren Klagen zumeist wortgleich verwendet. Dass sich sein S.-Score nach der Einmeldung durch die Bekl. nachteilig verändert hat, trägt er selbst schon nicht vor. Auch persönlich gehört schilderte der Kl. lediglich, dass er per se der Ansicht sei, alle Einträge in der S. seien negativ. Dies ist weder nachvollziehbar, noch stellt dies einen Schaden dar. Allein die Meldung des Abschlusses eines Mobilfunkvertrags bei der S. ist aus Sicht des Gerichts objektiv mit keinerlei negativen Bewertung der Bonität des Kl. verbunden. Diese Information ist für sich genommen – anders als ein sog. Negativeintrag – vollkommen neutral. IÜ ist gerichtsbekannt, dass Positivdaten – wie der Name schon sagt – sich positiv auf die Bonität auswirken, im Zweifel also zu einer besseren Bewertung der Bonität führen.
NEU LG Rostock Urt. v. 9.7.2025 – 3 O 7/24	0 EUR Der Kl. behauptet im Kontext seiner Einlassung, dass ihm durch die Übermittlung der Positivdaten ein Schaden entstanden sei. Hierzu trägt er allerdings nur vor, dass die Eingabe zu einer Veränderung in seiner Bonitätsbewertung führte. Unstrittig ist, dass die Positivdaten Einfluss auf den S.-Score haben. Nach dem Sachvortrag des Kl. bleibt aber offen, ob im vorliegenden Fall die streitgegenständliche Information sich nicht auch positive auf den S.-Score des Kl. auswirkte. Soweit der Kl. immaterielle Schäden anführt und diese auf den von ihm behaupteten Kontrollverlust zurückführt, bestehen durchgreifende Zweifel am Vorliegen solche Schäden bzw. auch an der Kausalität evtl. Ängste mit der Informationsübermittlung. Schon die Behauptung, der Kl. habe einen Kontrollverlust erlitten und hierdurch hätte sich dann im Jahr 2023 nach der S.-Mitteilung Ängste entwickelt, ist zweifelhaft. Denn der Kl. schloss den Mobilfunkvertrag 2020 in der Kenntnis davon ab, dass die hier streitgegenständlichen Daten übermittelt werden könnten. Der Kl. wusste also ab 2020, dass eine Übermittlung erfolgen könnte oder bereits erfolgte. Dies führte offenbar noch zu keinen Beeinträchtigungen, Zwängen und Ohnmachtsgefühlen etc.
NEU LG Leipzig Urt. v. 4.7.2025 – 05 O 2351/23 = ZD 2025, 580	5.000 EUR (+ 540,50 EUR vorgerichtliche Rechtsanwaltskosten) Der Kl. hat einen Anspruch auf Ersatz des immateriellen Schadens iHV 5.000 EUR gem. Art. 82 DS-GVO nebst Zinsen hieraus im tenorierten Umfang. Ob im Weiteren auch ein Anspruch gem. § 823 Abs. 1 BGB iVm Art. 1, 2 GG besteht, kann dahinstehen, da dieser jedenfalls keinen höheren Schadensersatzanspruch begründet. Darüber hinaus kann der Kl. Verzugszinsen verlangen. Der Kl. hat einen immateriellen Schaden erlitten. Ein Schaden iSd Art. 82 DS-GVO kann jede materielle oder immaterielle Einbuße sein. Der bloße Verstoß gegen die DS-GVO reicht zwar selbst noch nicht für die Begründung eines Schadensersatzanspruchs aus, es gibt jedoch umgekehrt auch keine Erheblichkeitsschwelle, deren Überschreitung es festzustellen gilt. Als Schäden sind insb. in der Rspr. bereits anerkannt der Verlust von Kontrolle über personenbezogene Daten oder die Befürchtung der missbräuchlichen Verwendung der eigenen Daten. Steht der Kontrollverlust fest, bedarf es darüber hinaus erst einmal nicht der Darlegung besonderer Ängste oder Befürchtungen der betroffenen Person, da diese Umstände lediglich zur Feststellung einer weiteren Schadensvertiefung herangezogen werden können. Hierin liegen in jedem Fall ein erheblicher Kontrollverlust sowie das Risiko einer weiteren missbräuchlichen Verwendung der Daten, da die Verarbeitung personenbezogener Daten im hiesigen Fall besonders umfangreich ist – sie betrifft potenziell unbegrenzte Datenmengen und hat nahezu die vollständige Überwachung des Online-Verhaltens des Nutzers zur Folge – ist es nach der Feststellung des EUGH bereits abstrakt möglich, dass beim Nutzer das Gefühl einer kontinuierlichen Überwachung verursacht wird. Der Schaden ist kausal auf das Verhalten der Bekl. zurückzuführen, da diese den Kontrollverlust insb. durch den Einsatz der Business Tools verursacht hat.
NEU LG Hildesheim Urt. v. 1.7.2025 – 3 O 26/24	0 EUR Der Kl. hat gegenüber der Bekl. keinen Anspruch auf die Leistung eines Ersatzes für immaterielle Schäden nach Art. 82 Abs. 1 DS-GVO. Dahinstehen kann dabei, ob die Bekl. Verstöße gegen die DS-GVO begangen hat, ob die entsprechenden etwaigen Verstöße von der Schadensersatzpflicht aus Art. 82 Abs. 1 DS-GVO erfasst sind und ob für die Auslösung einer Schadensersatzpflicht nach dieser Norm eine erhebliche Beeinträchtigung erforderlich ist. In jedem Fall steht dem Kl. aus etwaig erfolgten Verstößen der Bekl. gegen die DS-GVO kein immaterieller Schadensausgleich zu. Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO enthält die DS-GVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 S. 3 zu der Verordnung sollte der Begriff des Schadens im Lichte der Rspr. des EuGH zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 S. 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten. Nach dem ausdrücklichen Wortlaut der Vorschrift muss der Schaden hierbei „erlitten“ worden sein, woraus sich ergibt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Zwar ist der Begriff des Schadens – wie dargestellt – weit auszulegen, sodass die Betroffenen einen wirksamen Ersatz bekommen; nach Auffassung der Kammer reicht jedoch ein bloßer Verstoß gegen Vorschriften der DS-GVO nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedarf vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Die Kammer geht nicht von einer immateriellen Beeinträchtigung des Kl. aus, ohne dass es darauf ankommt, ob ein Datenvorfall stattgefunden hat. Soweit klägerseits eine emotionale Betroffenheit dadurch vorgetragen wird, dass der Kl. infolge des Datenvorfalls mit einer Mehrzahl von missbräuchlichen Kontaktaufnahmen etwa über Telefon oder Mail konfrontiert wurde, steht nicht mit hinreichender Sicherheit fest, dass die Kontaktaufnahme auf den konkreten Datenvorfall zurückgeht. Zwischen dem eingetretenen Schaden und einem etwaigen Verstoß des Datenverarbeiters gegen Normen der DS-GVO muss ein ursächlicher Zusammenhang bestehen, wobei eine Mitursächlichkeit ausreicht. Die Beweislast auch für diese Ursächlichkeit obliegt dem Anspruchsberechtigten, dies entspricht den allgemeinen deliktischen Voraussetzungen. Eine Beweislastumkehr ist der Norm ausdrücklich nur bzgl. des Gesichtspunkts des Verschuldens zu entnehmen. Dieser Beweislast vermochte der Kl. nicht zur Überzeugung der Kammer zu genügen. Maßstab für die Überzeugungsbildung der Kammer ist der Grundsatz der freien Beweiswürdigung nach § 286 ZPO, der bedeutet, dass der Richter lediglich an die Denk-, Natur-, und Erfahrungsgesetze gebunden ist, ansonsten aber die im Prozess gewonnenen Erkenntnisse grds. ohne Bindung an gesetzliche Beweisregeln nach seiner individuellen Einschätzung bewerten darf. Der Vorgang der Überzeugungsbildung ist nicht von objektiven Kriterien abhängig, sondern beruht auf Erfahrungswissen und Judiz des erkennenden Richters. Als Beweismaß, dh Kriterium für das Bewiesensein der streitigen Behauptung erforderlich, aber auch ausreichend ist die persönliche richterliche Gewissheit, die den Zweifel schweigen gebietet, ohne sie völlig auszuschließen. An diesem Maßstab gemessen verbleiben der Kammer Zweifel daran, dass der streitgegenständliche Vorfall Ursache für die (zugenommene) missbräuchliche Kontaktaufnahme unbekannter Dritter mit dem Kl. war. So trug der Kl. selbst vor, ein Anstieg von Spam-Nachrichten sei im Jahr 2019 und damit unstreitig ein Jahr vor dem streitgegenständlichen Datenvorfall erfolgt. Soweit der Kl. vorträgt, er sei bereits durch den Verlust der Kontrolle über seine Daten infolge des Vorfalls emotional beeinträchtigt worden, greift dies nicht durch. Wie bereits dem Wortlaut des Begriffs „Kontrollverlust“ zu entnehmen ist, setzt dieser voraus, dass der Betroffene zunächst die Kontrolle über das konkrete personenbezogene Datum – der Gerichtshof spricht insoweit von Datenhoheit – hatte und diese Kontrolle später gegen seinen Willen durch den streitgegenständlichen Datenschutzverstoß verloren hat. Dabei muss der potenziell Geschädigte darlegen, dass er die Hoheit über die Daten nicht schon zuvor verloren hatte. Dies gilt jedenfalls bei Daten, bei denen es sich – wie etwa bei dem Namen, dem jedenfalls im europäischen Kulturkreis fast immer aus dem Vornamen ableitbaren Geschlecht und der Telefonnummer – nicht um ein per se sensibles oder der Geheimhaltung unterliegendes personenbezogenes Datum handelt, sondern im Gegenteil um ein Identifizierungsmerkmal. Im Hinblick auf die Telefonnummer ist dabei von Bedeutung, dass es sich um ein solches Datum handelt, das nach seiner Zweckbestimmung dem Betroffenen ermöglichen soll, in Kontakt mit anderen, identifizierbaren Personen zu treten und das daher im täglichen Leben auch solchen anderen Personen oft in großem Umfang zugänglich gemacht wird. In solchen Fällen ist der Betroffene gehalten, dazu vorzutragen, wie er im privaten, geschäftlichen und/oder beruflichen Umfeld mit diesen Daten vor dem Vorfall umgegangen ist, ob und unter welchen Bedingungen er sie an wen weitergegeben hat und dass insofern durch die Veröffentlichung nach dem Vorfall tatsächlich ein Verlust der zuvor über diese Daten durch ihn noch ausgeübten Kontrolle eingetreten ist. Ungeachtet der Tatsache, dass der Kl. diesen Erfordernissen in keiner Weise nachkam, da sein (schriftsätzlicher) Vortrag zu seiner Betroffenheit kaum generischer hätte sein können, kommt es hierauf auch nicht an. Wie dargestellt hat der Kl. bereits im Vorfeld des streitgegenständlichen Geschehens durch einen Datenvorfall bei dem Service „xxx“ die Kontrolle über die vorliegend interessierende E-Mail-Adresse verloren. Der vorliegende Vorfall vermochte entsprechend zu keinem (erstmaligen) Verlust zu führen. Soweit der Kl. meint, etwaige Verstöße der Bekl. gegen die Vorgaben der DS-GVO zB in Gestalt des Unterlassens der Angabe eines Vertreters in der Europäischen Union oder der etwaigen Weitergabe von Daten an Dritte außerhalb des europäischen Wirtschaftsraums würden einen Anspruch nach Art. 82 Abs. 1 DS-GVO auslösen, greift dies nicht durch. Es ist in keiner Weise ersichtlich, wie der Kl. eine immaterielle (spürbare) Beeinträchtigung durch entsprechende mögliche Verstöße erlitten haben mag. Klägerischer Vortrag hierzu erfolgte – insb. auch iRd informatorischen Anhörung – nicht. Eine irgendwie geartete Beeinträchtigung aus einer klägerseits behaupteten Nichterteilung einer Auskunft auf die Mail der für den Kl. auftretenden Sozietät ließ sich der informatorischen Anhörung des Kl. ebenfalls nicht entnehmen. Der Kl. thematisierte auch auf Nachfrage seiner emotionalen Stellung zu dem Geschehen diesen Aspekt in keiner Weise.
NEU LG Hamburg Urt. v. 1.7.2025 – 301 O 20/24	3.000 EUR Dem Kl. steht eine Geldentschädigung iHv 3.000 EUR gem. Art. 82 Abs. 1 DS-GVO zu. Zu den Voraussetzungen des Anspruchs hat das LG Braunschweig ausgeführt: „Der Kl. hat auch einen immateriellen Schaden erlitten. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des EUGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Weiter hat der EUGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS-GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Schließlich hat der EUGH in seiner jüngeren Rspr. unter Bezugnahme auf Erwägungsgrund 85 DS-GVO klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes DS-GVO heißt es, dass „[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht nach der Rspr. des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen Verlust der Kontrolle über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Die betroffene Person muss den Nachweis erbringen, dass sie einen solchen – das heißt in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Nach diesen Maßstäben liegt es in diesem Fall auf der Hand, dass der Kl. einen solchen Kontrollverlust erlitten hat. Die Bekl. hat personenbezogene Daten des Kl. über die streitgegenständlichen MBT ohne eine Einwilligung verarbeitet und bei sich gespeichert. Damit geht denknotwendigerweise einher, dass der Kl. nicht weiß, welche Daten dies sind und er daher einen Kontrollverlust über ihn betreffende personenbezogene Daten erlitten hat. Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kl. unbekannten Datenspeicherung bei der Bekl. und somit zu dem immateriellen Schaden in Form des Kontrollverlusts.“ Bei der Bemessung der Höhe der Entschädigung ist zu berücksichtigen, dass die streitgegenständliche Datenverarbeitung angesichts der Vielzahl der Webseiten, die M. Business Tools verwenden, einen erheblichen Umfang einnimmt und diese Tools seit Jahren verwendet werden. Anders als bei den sog. „Hacking-Fällen“ handelt es sich gerade nicht um ein einmaliges Ereignis. Ferner dienen die M. Business Tools allein dem Zweck der Zuordnung der Internetnutzung auf einen bestimmten Nutzer und werden hierfür von der Bekl. zielgerichtet angeboten. Auch hier unterscheidet sich die Verletzungshandlung von den sog. „Hacking-Fällen“, bei denen den Webseitenbetreibern in der Regel lediglich ein Fahrlässigkeitsvorwurf zu machen ist. Vor dem Hintergrund erscheint der tenorierte Schadensersatzanspruch angemessen aber auch ausreichend, um der Genugtuungsfunktion des immateriellen Schadensersatzanspruchs Rechnung zu tragen. Da der Schadensersatzanspruch sich bereits aus Art. 82 Abs. 1 DS-GVO ergibt, kann hier offenbleiben, ob darüber hinaus der Kl. seinen Anspruch auch auf § 823 Abs. 1 BGB hätte stützen können.
NEU LG Osnabrück Urt. v. 27.6.2025 – 3 O 809/24	0 EUR Wie LG Osnabrück Urt. v. 24.10.2024 – 3 O 2321/23.
NEU LG Osnabrück Urt. v. 17.6.2025 – 3 O 214/25	0 EUR Wie LG Osnabrück Urt. v. 24.10.2024 – 3 O 2321/23.
NEU LG Görlitz Urt. v. 25.6.2025 – 5 O 36/24 (2)	0 EUR Der Klagepartei steht jedoch kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DS-GVO oder auf Feststellung zu; auch aus keinem anderen rechtlichen Gesichtspunkt ergeben sich die geltend gemachten Ansprüche. Es ist nicht festzustellen, dass der streitgegenständliche Scraping-Vorfall in den zeitlichen Anwendungsbereich der DS-GVO fällt. Hinsichtlich der zeitlichen Anwendbarkeit ist nicht der Zeitpunkt der Registrierung eines Nutzerkontos im sozialen Netzwerk der Bekl. maßgeblich, sondern der Zeitpunkt des Scraping-Vorfalls.
NEU LG Osnabrück Urt. v. 17.6.2025 – 3 O 3392/24	0 EUR Wie LG Osnabrück Urt. v. 24.10.2024 – 3 O 2321/23.
LG Braunschweig Urt. v. 4.6.2025 – 9 O 2615/23	500 EUR Dem Kl. steht eine Geldentschädigung iHv 500 EUR zu. Der Anspruch folgt aus Art. 82 DS-GVO. Art. 82 DS-GVO ist in seinem Anwendungsbereich eine vorrangige und abschließende Regelung. Ein Rückgriff auf nationale Vorschriften (§ 823 BGB iVm dem Persönlichkeitsrecht) kommt nicht in Betracht. Durch Art. 82 DS-GVO ist eine einheitliche und abschließende Anspruchsgrundlage für Schadensersatz bei personenbezogenen Daten geschaffen worden, die gegenüber dem nationalen Recht vorrangig ist. Dafür spricht schon ErwGr. 9 DS-GVO, der von der Schaffung eines einheitlichen Schutzniveaus in der Union ausgeht. Der angestrebten Vollharmonisierung würde es entgegenlaufen, wenn in den nationalen Rechtsordnungen unterschiedliche zusätzliche Schadensersatzansprüche vorhanden wären, sodass der DS-GVO insoweit eine Sperrwirkung zukommt. Dem steht auch nicht entgegen, dass ErwGr. 146 S. 3 DS-GVO erklärt, dass der Schadensersatz nach DS-GVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gilt. Demnach bleiben zwar weitere Schadensersatzansprüche grds. erhalten. Dazu zählt auch der allgemeine Schadenersatzanspruch des deutschen Rechts auf Grundlage von § 823 Abs. 1 BGB iVm Art. 2 Abs. 1, Art. 1 Abs. 1 GG (Verletzung des allgemeinen Persönlichkeitsrechts), der weiterhin anwendbar bleibt. Dies bedeutet aber nicht, dass Schadensersatzansprüche, die gerade mit DS-GVO-Verstößen begründet werden, mit anderen Anspruchsgrundlagen als Art. 82 DS-GVO verfolgt werden könnten. Dies dürfte daher iÜ auch der Einordnung von DS-GVO-Normen als Schutzgesetz iSv § 823 Abs. 2 BGB entgegenstehen. Der Kl. hat auch einen immateriellen Schaden erlitten. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des EUGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Weiter hat der EUGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS-GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Schließlich hat der EUGH in seiner jüngeren Rspr. unter Bezugnahme auf Erwägungsgrund 85 DS-GVO klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes der DS-GVO heißt es, dass „[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht nach der Rspr. des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen Verlust der Kontrolle über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Die betroffene Person muss den Nachweis erbringen, dass sie einen solchen – das heißt in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Nach diesen Maßstäben liegt es in diesem Fall auf der Hand, dass der Kl. einen solchen Kontrollverlust erlitten hat. Die Bekl. hat personenbezogene Daten des Kl. über die streitgegenständlichen MBT ohne eine Einwilligung verarbeitet und bei sich gespeichert. Damit geht denknotwendigerweise einher, dass der Kl. nicht weiß, welche Daten dies sind und er daher einen Kontrollverlust über ihn betreffende personenbezogene Daten erlitten hat. Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kl. unbekannten Datenspeicherung bei der Bekl. und somit zu dem immateriellen Schaden in Form des Kontrollverlusts. Zu Unrecht verweist die Bekl. darauf, dass es an einem Kontrollverlust fehle, da die Daten nicht in die Hände von Dritten gelangt seien, eine Weitergabe nicht erfolgt und vorgetragen sei, sodass alle Daten bei der Bekl. verbleiben würden. Die Bekl. hat von den Drittseiten Daten erhalten, diese mit dem Konto des Kl. verknüpft und gespeichert. Es sind eben nicht nur die On-site-Daten über Aktivitäten der Nutzer in den eigenen Programmen der Bekl., sondern auch Daten über die Aktivitäten außerhalb dieser Seiten. Die Bekl. verfügt damit über externe personenbezogene Daten, die sie nicht haben dürfte. Dies begründet den Kontrollverlust. Eine missbräuchliche Verwendung dieser Daten durch die Bekl. ist für einen Anspruch dem Grunde nach nicht erforderlich. Den immateriellen Schaden bemisst das Gericht der Höhe nach mit 500 EUR. Hinsichtlich der Kriterien, nach denen die Höhe eines Schadens zu bemessen ist, enthält die DS-GVO keine Bestimmungen. Insb. können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DS-GVO genannten Kriterien herangezogen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist somit insb. die Verfahrensvorschrift des § 287 ZPO anzuwenden, wonach das Gericht berechtigt ist, die Höhe des Schadens zu schätzen. In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs, wie sie in Erwägungsgrund 146 Satz 6 DS-GVO zum Ausdruck kommt, ist eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO dagegen nicht erfüllen. Folglich darf weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat. Im Ergebnis soll die Höhe der Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Dies gilt auch unter Berücksichtigung des Umstandes, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten – wie hier – gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DS-GVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (zB Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle dienen. Insofern ist zunächst zu berücksichtigen, dass zur Überzeugung des Gerichts nicht festgestellt werden konnte, dass iRd streitgegenständlichen Datenverarbeitung besondere Kategorien personenbezogener Daten iSd Art. 9 DS-GVO verarbeitet wurden. Dazu fehlt substantiierter Vortrag. Weiter war zu berücksichtigen, dass der Kl. in seiner mündlichen Anhörung keine über die abstrakte Betroffenheit hinausgehende Beeinträchtigung nachvollziehbar dargelegt hat. Zu berücksichtigen ist auch, dass der Kl. weiter Nutzer der Bekl. ist. Es wäre ihm ohne weiteres möglich die Nutzung zu beendigen, wenn er überwiegende datenschutzrechtliche Bedenken hätte. Es ist auch weder vorgetragen noch ersichtlich, dass die von der Bekl. gespeicherten Daten außerhalb der hier diskutierten Zwecke an Dritte gelangt sind oder in irgendeiner Form „missbraucht“ worden sind. Eine Anspruchsminderung nach § 254 BGB kommt nicht in Betracht. Unabhängig von der Frage, ob dies iRd Art. 82 DS-GVO überhaupt anwendbar ist hat der Nutzer keine Möglichkeit die Übermittlung von Daten durch MBT vollständig zu unterbinden oder zu kontrollieren.
NEU LG Frankfurt am Main Urt. v. 26.5.2025 – 2-01 O 30/24	2.500 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO, jedoch nicht in der vom Kl. begehrten Höhe. Die Bekl. verarbeitete seit dem 28.5.2018 entgegen Art. 6 DS-GVO zahlreiche personenbezogene Daten des Kl., die über die von der Bekl. vertriebenen Business-Tools an diese übermittelt wurden, darunter zumindest auch solche der im Antrag zu 1) aufgelisteten Art. Dem Kl. ist durch die Speicherung und Verarbeitung der Daten auch ein immaterieller Schaden entstanden. Der Schaden besteht bereits in dem Kontrollverlust, dass er nicht weiß, in welchem Umfang die Bekl. von ihm Daten speichert und zu welchen Zwecken sie diese aggregiert und an Dritte weitergibt, zum anderen in seiner Angst vor Überwachung. Der Feststellung eines Kontrollverlusts steht nicht entgegen, dass die Bekl. ihren Nutzern eine Möglichkeit bereitstellt, Informationen zu ihrem Konto herunterzuladen. Bereits in den vorgetragenen Anleitungen wird nicht deutlich, welche Informationen dies sein sollen. Falls die Bekl. behaupten wollte, „Informationen“ meine alle Daten, so hat der Kl. dies bestritten, ein Beweis wurde nicht angeboten. Bei der Bemessung der Höhe des Schadensersatzes war zu berücksichtigen, dass die unrechtmäßige Datenverarbeitung über einen Zeitraum von mehreren Jahren hinweg erfolgte und sich im konkreten Fall gerade die Gefahr verwirklicht hat, zu deren Abwehr das Datenschutzrecht entstanden ist, nämlich um der Entstehung einer gläsernen Person durch zu umfangreiche Datensammlung an einem Ort und den damit verbundenen Gefahren, insb. einer Freiheitsbeschränkung durch Angst vor Überwachung vorzubeugen. Zu berücksichtigen ist auch, dass die unberechtigte Datenverarbeitung dem Geschäftszweck der Bekl. dient. Auf der anderen Seite sind die Folgen für den Kl. nicht gravierend. Zwar hat er durchaus überzeugend dargelegt, dass er infolge der Kenntnis der Datenverarbeitung sein Internetnutzungsverhalten verändert habe, jedoch ist kein krankheitswertes Leid entstanden. Daher kann weder aus Art. 17 noch aus Art. 82 DS-GVO in analoger Anwendung ein genereller Unterlassungsanspruch abgeleitet werden. Der Kl. hat auch keinen Anspruch aus §§ 823 Abs. 1, 1004 BGB analog iVm Art. 1 und 2 GG. Hinsichtlich der Verarbeitung personenbezogener Daten ist die DS-GVO abschließend.
NEU LG Düsseldorf Urt. v. 22.5.2025 – 9 a O 138/23	100 EUR Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag zu 1. ist zulässig und auch teilweise begründet. Dem Kl. steht gegen die Bekl. ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO iHv 100 EUR nebst Zinsen ab Rechtshängigkeit zu. Entgegen der Ansicht der Bekl. begegnet der Antrag nicht schon Bestimmtheitsbedenken. Wie der Kl. klargestellt hat, stützt er sein Klagebegehren nicht auf eine unzulässige Häufung alternativer Klagegründe oder Streitgegenstände. Vielmehr geht es ihm um den Ersatz eines immateriellen Schadens, der sich aus mehreren Datenschutzverstößen der Bekl. ergeben haben soll. Insoweit nimmt der Kl. auf den einen von ihm beschriebenen Bezug, von dem er im Jahr 2019 betroffen war. Damit liegt dem geltend gemachten Schadensersatzanspruch aber ein eindeutig abgrenzbarer, einheitlicher Lebenssachverhalt und damit ein einheitlicher Streitgegenstand zugrunde. Da es bei Klagen, die auf Ersatz immaterieller Schäden gerichtet sind, keiner Bezifferung des Anspruchs bedarf, sondern vielmehr ausreicht, wenn vom Kl. eine Mindestvorstellung mitgeteilt wird, auf die sich der Ersatzbetrag belaufen soll, konnte der Kl. seinen Antrag auch wie geschehen unter Nennung eines Mindestbetrags formulieren. Der zulässige Antrag ist in der Hauptsache auch teilweise begründet. Gem. Art. 82 Abs. 1 DS-GVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die DS-GVO, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus. Die Bekl. hat nicht nur gegen die DS-GVO verstoßen, sondern der Kl. hat dadurch auch einen ersatzfähigen immateriellen Schaden erlitten. Einen ihm durch Datenschutzverstöße der Bekl. entstandenen materiellen Schaden macht der Kl. nicht geltend. Der von Art. 82 Abs. 1 DS-GVO für einen Schadensersatzanspruch verlangte Verstoß gegen die DS-GVO liegt vor. Dabei kann hier dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der DS-GVO oder erst eine verordnungswidrige Datenverarbeitung iSv Art. 82 Abs. 2 S. 1 DS-GVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründen kann. Da die Bekl. – wie noch auszuführen ist – personenbezogene Daten des Kl. ohne die nach Art. 6 Abs. 1 DS-GVO erforderliche Rechtsgrundlage verarbeitet hat, liegt nicht nur ein Verstoß gegen die DS-GVO, sondern auch eine verordnungswidrige Datenverarbeitung vor. Dem Kl. ist infolge des Datenschutzverstoßes der Bekl. auch ein immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO entstanden. Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DS-GVO ist in Ermangelung eines in der Vorschrift enthaltenen Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu bestimmen. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rspr. des EuGH ausgeformt worden ist. Zwar soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich. Ein haftungsbegründender immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO kann jedoch nach der Rspr. des Gerichtshofs schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rspr. des Gerichtshofs dem vom BGH hierzu vertretenen Verständnis an. Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte gelangt oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping und bei einer Veröffentlichung der Daten im Internet, aber noch nicht – zB – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-FaktorAuthentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht. Eine Situation des Kontrollverlusts hat der Kl. im Hinblick auf seine Mobilfunknummer und ihre Verknüpfung mit seiner Facebook-ID, seinem Vor- und Nachnamen und seinem Geschlecht dargelegt. Insofern reicht es aus, wenn ein Betroffener eine Veröffentlichung seiner Daten im Internet vorträgt und angibt, diese Daten nicht zuvor in einer vergleichbaren Weise allgemein veröffentlicht zu haben. Einen solchen Vortrag hat der Kl. gehalten. Ein bereits zuvor eingetretener Kontrollverlust ergibt sich nicht daraus, dass der Kl. im Rahmen seiner informatorischen Anhörung vor dem LG angegeben hat, seine Mobilfunknummer bei WhatsApp und PayPal sowie für das Online-Banking zu nutzen. Das steht einer allgemeinen Veröffentlichung nicht gleich. Der Abgriff der Daten war in erster Instanz zudem ebenso unstreitig wie eine Veröffentlichung im Internet im Jahr 2021. Zwar hat der Kl. seinen Vor- und Nachnamen und sein Geschlecht auf seinem für jedermann sichtbaren Facebook-Profil eingestellt. Auch war auf der betreffenden Profilseite die Facebook-ID des Kl. zu finden. Für die Mobilfunknummer galt dies nach seinem Vortrag jedoch nicht. Auch war diese nach seinem Vorbringen nicht schon zuvor im Internet für jedermann sichtbar mit den übrigen genannten Daten verknüpft. Daraus folgt, dass nur für die erstgenannten Daten ein Kontrollverlust durch den Datenabgriff und die Veröffentlichung sowohl singulär als auch in ihrer Verknüpfung ausscheidet. Denn diese Daten waren schon zuvor – bei Facebook – allgemein zugänglich im Internet veröffentlicht. Das war dem Kl. bei lebensnaher Betrachtung nicht nur klar, sondern damit war er iSe Einwilligung gem. Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO auch ersichtlich einverstanden, weil er – so ist sein Verhalten zu verstehen – eine Veröffentlichung in Form des von ihm gestalteten Facebook-Profils gerade wollte. Die Bekl. hat zwar bestritten, dass der Kl. die Kontrolle über seine Mobilfunknummer und ihre Verknüpfung mit den weiteren von ihr als abgegriffen eingeräumten Daten erst mit dem Datenabgriff verloren hat. Dieser Vortrag genügte jedoch nicht den Anforderungen an ein in diesem Fall zu forderndes qualifiziertes Bestreiten. Die vom Kl. behauptete negative Tatsache, die Kontrolle über die Daten nicht schon zuvor verloren zu haben, sie insb. nicht bereits allgemein veröffentlicht zu haben, hätte die Bekl. mit der konkreten Angabe bestreiten müssen, wodurch ein Kontrollverlust schon zuvor eingetreten sein soll. Einen solchen Vortrag hat sie nicht gehalten. Soweit die Bekl. erstmals zum Ende der Berufungsinstanz eine Kausalität zwischen dem Datenabgriff und dem Kontrollverlust bestreitet, kann sie hiermit nicht mehr gehört werden. Das Vorbringen ist nach § 138 Abs. 1 ZPO unbeachtlich. Es steht in einem von der Bekl. nicht aufgelösten Widerspruch zu ihrem erstinstanzlichen Vorbringen und dem Inhalt des von ihr in erster Instanz vorgelegten Schreibens v. 9.1.2023. Dessen ungeachtet ist das Vorbringen auch nach § 531 Abs. 2 S. 1 Nr. 3 ZPO nicht mehr zuzulassen, weil erstinstanzlich zwischen den Parteien unstreitig gewesen ist, dass – jedenfalls – die im Schreiben der Bekl. v. 9.1.2023 mitgeteilten Daten des Kl. vom Datenabgriff betroffen waren, und die Bekl. nicht dargelegt hat, warum sie Gegenteiliges nicht schon in erster Instanz vorgetragen hat. Die Höhe des dem Kl. gem. Art. 82 Abs. 1 DS-GVO für den ihm entstandenen immateriellen Schaden zustehenden Schadensersatzes bemisst sich nach den schadensersatzrechtlichen Grundsätzen des deutschen Rechts. Die DS-GVO enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes. Insb. können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DS-GVO genannten Kriterien herangezogen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist damit insb. die Verfahrensvorschrift des § 287 ZPO anzuwenden. Bei der Ermittlung des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens unterliegt die innerstaatliche Verfahrensausautonomie allerdings den sich aus dem unionsrechtlichen Äquivalenz- und Effektivitätsgrundsatz ergebenden Einschränkungen. Eine auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld ist in Anbetracht der Ausgleichsfunktion des in dieser Vorschrift vorgesehenen Schadensersatzanspruchs als „vollständig und wirksam“ iSv Erwägungsgrund 146 S. 6 DS-GVO anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DS-GVO konkret erlittenen Schaden in vollem Umfang auszugleichen. Eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO nicht erfüllen. Infolgedessen darf bei der Bemessung einer Geldentschädigung weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch – wie bereits ausgeführt – der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat oder ob er vorsätzlich oder fahrlässig gehandelt hat. Im Ergebnis soll die zuzusprechende Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausgeht. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Dies gilt auch unter Berücksichtigung des Umstands, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger gewichtig ist als eine Körperverletzung. Bei der auf § 287 ZPO gestützten Bemessung des Entschädigungsbetrags sind dann, wenn ein Schaden nur in Form eines Kontrollverlusts an personenbezogenen Daten eingetreten ist, weil weitere Schäden nicht nachgewiesen sind, bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckmäßige Verwendung zu berücksichtigen. Zudem sind die Art des Kontrollverlusts, die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. In Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich ist, kann auch der hypothetische – insb. finanzielle – Aufwand für die Wiedererlangung der Kontrolle als Anhalt für einen effektiven Schadensausgleich dienen. Nach diesen Maßgaben wird der dem Kl. mit dem Kontrollverlust entstandene Schaden mit einem Betrag von 100 EUR effektiv ausgeglichen. Das ergibt eine Gesamtwürdigung der im Fall des Kl. maßgeblichen Umstände. Ein Kontrollverlust steht nur hinsichtlich der Mobilfunknummer und ihrer Verknüpfung mit der Facebook-ID, dem Vor- und Nachnamen und dem Geschlecht des Kl. fest. Dieser Kontrollverlust dauert zwar seit 2019 an, eine Vertiefung desselben ist jedoch seit der Veröffentlichung der Daten im Internet im Jahr 2021 nicht erkennbar. Zwar erscheint es wenig wahrscheinlich, dass der Kl. die Kontrolle über die Daten durch ihre Entfernung aus dem Internet zu rückerlangen wird. Es spricht jedoch manches dafür, dass ein an den Daten ggf. bestehendes Interesse Dritter mit fortschreitender Zeit abnimmt, sodass der durch den Datenschutzverstoß der Bekl. herbeigeführte Kontrollverlust an Bedeutung verlieren könnte. Mithilfe der Daten ist iÜ lediglich eine Kontaktaufnahme mit dem Kl. möglich. Zwar kann die Mobilfunknummer auch zur Übersendung von Spam-SMS und für werbende, belästigende oder sogar betrügerische Anrufe genutzt werden. Zu einem etwaigen materiellen Schaden führen SMS-Nachrichten und Anrufe jedoch nicht ohne weitere Zwischenschritte. Gegen diese kann sich der für die Gefahr sensibilisierte Kl. durch Achtsamkeit wappnen. Bei den vom Kontrollverlust betroffenen Daten handelt es sich zudem nicht um höchst sensible Daten des Kl., etwa Gesundheits- oder vergleichbar intime Daten, deren Verbreitung in der Öffentlichkeit dem Ansehen oder dem Fortkommen des Kl. schaden könnte. Die Mobilfunknummer dient vielmehr regelmäßig der Kontaktaufnahme mit Dritten und wird zu diesem Zweck anderen zugänglich gemacht. Allein dadurch besteht immer die Gefahr, dass eine bis zu einem bestimmten Zeitpunkt kontrollierte Weitergabe der Telefonnummer irgendwann nicht mehr kontrollierbar ist, weil schlechterdings niemand vollumfänglichen Einfluss darauf haben kann, wie Dritte mit der Nummer umgehen. Es kommt hinzu, dass der Kl. einen Rufnummernwechsel, mit dem er die Kontrolle über seine Mobilfunknummer sofort wiedererlangen könnte, zwar bislang nicht vorgenommen hat, dies aber auf der Grundlage seines Vortrags durchaus könnte. Bei Bemessung der Schadenshöhe nicht zu berücksichtigen sind weitere vom Kl. auf den Kontrollverlust zurückgeführte Unannehmlichkeiten. Zwar stellen mit dem Kontrollverlust verbundene negative Gefühle wie Ängste und Befürchtungen sowie in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Datenmissbrauch aufgewandte Zeit und Mühe Umstände dar, die einen bereits mit dem reinen Kontrollverlust eingetretenen immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO vertiefen oder vergrößern können. Das gilt jedenfalls dann, wenn sie über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen. Auch eine etwaige psychische Belastung durch Spam-Anrufe und Spam-SMS, die auf den Kontrollverlust zurückzuführen sind, kann den immateriellen Schaden vergrößern. Entsprechende Beeinträchtigungen des Kl. hat das LG jedoch nicht festgestellt, obwohl es den Kl. informatorisch angehört hat. Zwar hat der Kl. nach dem Inhalt des landgerichtlichen Sitzungsprotokolls v. 19.4.2024 den Erhalt von Spam-Anrufen bekundet und nach den Ausführungen in den Entscheidungsgründen des landgerichtlichen Urteils darüber hinaus auch den Erhalt von Spam-SMS und Spam-Mails. Von der Kausalität zwischen den vom Kl. geschilderten Spam-Anrufen bzw. Spam-SMS und dem Scraping-Vorfall konnte sich das LG aber keine hinreichende Überzeugung bilden. Es hat zwar nicht dargelegt, von welchem Beweismaßstab es insoweit ausgegangen ist. Steht der geltend gemachte Schadensersatzanspruch dem Grunde nach fest, reicht für die richterliche Entscheidung über die Schadenshöhe gem. § 287 ZPO eine erhebliche, auf gesicherter Grundlage beruhende Wahrscheinlichkeit für die richterliche Überzeugungsbildung aus. So verhält es sich hier, weil der Senat – abweichend von dem LG – schon den reinen Kontrollverlust als den haftungsbegründenden Schaden ansieht. Doch auch unter Anlegung des abgesenkten Beweismaßstabs des § 287 ZPO kann der Senat iRe eigenen Würdigung keine Beeinträchtigung des Kl. durch den Kontrollverlust feststellen, die über die Unannehmlichkeiten hinausgeht, die jedermann durch einen solchen Kontrollverlust erleidet. Insb. Anhaltspunkte, die für eine besondere psychische Beeinträchtigung sprechen könnten, hat die Anhörung des Kl. vor dem LG nicht ergeben. Zwar hat er geschildert, seit einem Jahr arbeitsunfähig an einer Depression erkrankt zu sein. Einen Bezug zu dem Scraping-Vorfall hat er je doch selbst nicht hergestellt, sondern verneint. Angesichts der denkbar vielfältigen Ursachen für Spam-Anrufe und Spam-SMS ist auch nicht zu beanstanden, dass das LG keine Kausalität zwischen dem Scraping-Vorfall und der von dem Kl. geschilderten Spam-Belästigung hat feststellen können. Aus eigener Erfahrung ist dem Senat bekannt, dass es zu Spam-Anrufen und Spam-SMS auf Mobiltelefonen auch kommen kann, wenn Facebook nicht genutzt wird. Dass ihn die Spam-Anrufe „verrückt machten“, wie er bekundet hat, kann der Kl. daher nicht mit Erfolg der Bekl. anlasten. Da sich eine Ursächlichkeit des Scraping-Vorfalls nicht feststellen lässt, kann dahinstehen, ob schon der Erhalt von Spam-Anrufen und Spam-SMS ohne weitere Folgen einen immateriellen Schaden darstellen oder diesen vertiefen kann. Was die vom Kl. vorgetragene Belastung mit Spam-Mails betrifft, kommt deren Berücksichtigung bei der Bemessung des Schadensersatzbetrags schon deshalb nicht in Betracht, weil der Kl. einen seine E-Mail-Adresse betreffenden Kontrollverlust durch den Datenabgriff bei der Bekl. nicht nachgewiesen hat. Der Schadensersatzanspruch des Kl. ist auch nicht aufgrund eines im bislang unterbliebenen Rufnummernwechsel zu sehenden Mitverschuldens zu kürzen. Dass der Kl. seine Mobilfunknummer bislang nicht gewechselt hat, dies aber könnte, ist bei der Bemessung des Schadensersatzbetrags vom Senat bereits berücksichtigt worden.
NEU LG Münster Urt. v. 19.5.2025 – 2 O 193/24	0 EUR Die Klagepartei hat keinen Anspruch gegen die Bekl. auf Zahlung eines angemessenen Schadensersatzes. Ein solcher Anspruch ergibt sich zunächst nicht aus Art. 82 DS-GVO. Die Klagepartei hat bereits nicht ausreichend dargelegt, dass ein Verstoß gegen die DS-GVO vorliegt. Die Klagepartei hat nicht dargelegt, dass eine Verarbeitung personenbezogener Daten entgegen Art. 22 DS-GVO erfolgt. Die Klagepartei hat auch nicht zur Überzeugung des Gerichts vorgetragen, dass ihr ein konkreter Schaden entstanden ist. Zwar können nach der Rspr. des EuGH negative Gefühle in Fällen von Datenverlust oder unrechtmäßiger Datenverwendung einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus. Für die Frage, ob das Gefühl im konkreten Fall „als begründet angesehen werden kann“, ist ein objektiver Maßstab anzulegen. Dem steht nicht entgegen, dass Art. 82 Abs. 1 DS-GVO nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss. Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens ist davon zu unterscheiden. Die Klagepartei lässt in der Klageschrift lediglich pauschal und unsubstantiiert vortragen, dass ihr soziales Ansehen massiv beeinträchtigt sei, da ihre Kreditwürdigkeit durch Dritte eingeschätzt werde. Sie habe ein ungutes Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden seien. Zudem fühle sie Angst und Stress, Komfort- und Zeiteinbuße, sowie Diskriminierung, Stigmatisierung und Rufschädigung. Da die Klagepartei im Termin zur mündlichen Verhandlung nicht erschien, konnte sich das Gericht keinen Eindruck davon verschaffen, wie sich diese Gefühle bei der Klagepartei äußern. Zudem wurden gerade auch keine konkreten wirtschaftlichen Nachteile vorgetragen. Die behaupteten Beeinträchtigungen werden jedenfalls in vergleichbarer Weise in Parallelverfahren vorgetragen, sodass nicht von einer konkreten und individuellen Beeinträchtigung der Klagepartei auszugehen ist. Zudem fehlt es auch an der erforderlichen Kausalität. Anhaltspunkte dafür, dass Kredite oder sonstige Rechtsgeschäfte der Klagepartei mit Dritten aufgrund der Auskunft der Bekl. nicht zustande gekommen sind, ergeben sich allein aus der Auskunft nicht. Darüber hinaus wurde nicht ausreichend dargelegt, dass Dritte ihrer Entscheidung, ob sie ein Vertragsverhältnis mit der Klagepartei begründen, allein von dem Bonitätsscore der Bekl. abhängig machen. Vielmehr geht das Gericht aufgrund der allgemeinen Lebenserfahrung davon aus, dass solchen Entscheidungen zumindest auch andere Umstände zugrunde gelegt werden, zB das vorhandene Vermögen einer Person, die Verfügbarkeit von Sicherheiten oder Erfahrungen aus vorherigen Vertragsbeziehungen mit einer Person. Ein Verstoß gegen die DS-GVO liegt auch nicht darin begründet, dass die Bekl. gegen ihre Auskunftsverpflichtung gem. Art. 15 DS-GVO verstoßen hat. Ein Verstoß gegen die Auskunftsverpflichtung lässt sich nicht feststellen. Die Bekl. hat der Klagepartei am 31.8.2023 eine Kopie ihrer gespeicherten personenbezogenen Daten übermittelt, sodass sie den Auskunftsanspruch erfüllt hat. Ein darüberhinausgehender Auskunftsanspruch gem. Art. 15 Abs. 1 lit. h DS-GVO besteht nicht, denn es fehlt bereits an einer automatisierten Entscheidungsfindung, die Voraussetzung für die Anwendung des Art. 15 Abs. 1 lit. h DS-GVO ist. Die Klagepartei hat auch nicht konkret dazu vorgetragen, dass eine Diskriminierung erfolgt ist. Ausweislich der Datenauskunft der Bekl. wurde bei der Klagepartei kein Score-Verfahren verwendet, welches konkret das Alter oder das Geschlecht der Klagepartei wertend berücksichtigt. Auch Anschriften hat die Bekl. ausweislich der Datenauskunft nicht verwendet. Dies ergibt sich aus der übermittelten Tabelle, wo es unter „Anschriften, Daten“ heißt: „n/v“, welches für nicht verwendet steht. Zudem führt die Bekl. aus, dass lediglich in 0,4 % der Fälle der Wohnort herangezogen wird, und zwar nur für den Versandhandel und nur, wenn die Person, zu der eine Anfrage gestellt wird, der Bekl. nicht bekannt ist. Die Klagepartei ist hingegen der Bekl. aus Geschäftsbeziehung u. a. zu mehreren Banken bekannt. Die Speicherung von personenbezogenen Daten allein begründet auch noch nicht deren Verwendung bei der Erstellung des Scores. Die Daten sind zur Identifizierung erforderlich, um weitere Daten der richtigen Person zuzuordnen und Auskunft über die richtige Person zu erteilen.
LG Essen Urt. v. 19.5.2025 – 3 O 13/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz iHv mindestens 5.000 EUR gem. Art. 82 DS-GVO. Es liegt schon kein Verstoß gegen die DS-GVO vor. Die Übermittlung der Informationen über den Abschluss des Vertrages zwischen dem Kl. und der Bekl. an Wirtschaftsauskunfteien, insb. an die S. durch die Bekl., war nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO gerechtfertigt. Unabhängig davon, ob die Bekl. gegen Vorschriften der DS-GVO verstoßen hat, fehlt es jedenfalls auch schon an einem Schaden des Kl. Für den geltend gemachten immateriellen Schadensersatz gelten die iRv § 253 BGB entwickelten Grundsätze. Dabei hat die Kammer für den Eintritt des Schadens den Beweismaßstab des § 286 ZPO anlegen. Die Ermittlung des Ausmaßes des – unterstellt – festgestellten Schadens obliegt dem Gericht nach § 287 ZPO, wobei Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die konkret betroffenen personenbezogenen Daten zu berücksichtigen sind. Auch wenn ein bestimmter Grad der Erheblichkeit eines (immateriellen) Schadens nicht vorausgesetzt wird, so stellen die aus einem Datenschutzverstoß resultierenden negativen Folgen nicht per se einen haftungsbegründenden Schaden dar. Die Darlegung eines konkreten Schadens setzt vielmehr voraus, dass dieser konkret und individuell dargestellt wird. In diesem Sinne genügt ein bloßer Ärger über den Datenschutzverstoß oder ein subjektives Unmutsgefühl nicht, um einen immateriellen Schaden anzunehmen. Allein eine Verletzung des Datenschutzrechts begründet mithin für sich genommen noch nicht einen Schadensersatzanspruch für die betroffene Person, solange damit nicht im Einzelfall ein (immaterieller) Schaden verbunden ist, dh kausal negative Konsequenzen für den Betroffenen. Einen solchen immateriellen Schaden, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen können, hat der Kl. indes nicht dargelegt. IRd persönlichen Anhörung hat der Kl. zwar einen Kontrollverlust behauptet – einen solchen jedoch aus Sicht des Gerichts nicht ausreichend dargelegt. Dagegen spricht schon, dass sich der Kl. ausschließlich gegen die Einmeldung der seinen Mobilfunkvertrag betreffenden Daten wendet und nicht gegen die weitere Einmeldung – den Mobilfunkvertrag seiner Partnerin betreffend. Wenn aber der Kl. tatsächlich die Kontrolle über den Umstand, dass auf seinen Namen Mobilfunkverträge abgeschlossen worden sind, behalten und ausüben will, hätte ein gerichtliches Vorgehen auch in Bezug auf den auf seinen Namen abgeschlossenen Vertrag seiner Partnerin nahegelegen und so seinen behaupteten Kontrollverlust belegen können. Zudem sind die Daten des Kl. ihm bekannt bei der S. gespeichert und nicht etwa eine unbegrenzten Anzahl von unbekannten Dritten im Internet zugänglich.
LG Potsdam Urt. v. 15.5.2025 – 2 O 93/24	0 EUR Der Kl. hat gegen die Bekl. keine durchsetzbaren Ansprüche auf Zahlung von Schadensersatz, Feststellung der Pflicht der Bekl. zum Ersatz künftiger Schäden und Unterlassung, weil derartigen Ansprüche – ihr Bestehen unterstellt – die von der Bekl. erhobene Einrede der Verjährung mit der Folge entgegensteht, daß die Bekl. zur Verweigerung der Leistung berechtigt ist (§ 214 Abs. 1 BGB). Die genannten mit den Klageanträgen zu 1. – 3. verfolgten Ansprüche unterliegen sämtlichst der drei Jahre betragenden Verjährungsfrist des § 195 BGB. Nach § 199 Abs. 1 BGB iVm § 199 Abs. 5 BGB begann die Verjährung mit Ablauf des Jahres 2019, weil die – als existent unterstellten – Ansprüche mit der Übermittlung der Vertragsdaten durch die Bekl. an die S. am 6.6.2019 entstanden sind (§ 199 Abs. 1 Nr. 1 BGB) bzw. in dieser Datenübermittlung die Zuwiderhandlung iSv § 199 Abs. 5 BGB besteht und der Kl. von dieser nur im Falle grober Fahrlässigkeit nicht bereits im Jahr 2019 Kenntnis erlangt hätte (§ 199 Abs. 1 Nr. 2 BGB). Bei Abschluß des Mobilfunkvertrages mit dem Kl. Anfang November 2020 hat die Bekl. dem Kl. nämlich den Datenschutzhinweis gemäß der Anlage B 1 erteilt, dessen Ziffer 7. den Kl. unmißverständlich davon unterrichtet, daß die Bekl. der S. dessen iRd Vertragsverhältnisses erhobene personenbezogene Daten und den Abschluß des Vertrages selbst („… die Beantragung, die Durchführung …“) übermitteln werde. Sollte der dem Klagevorbringen zufolge um die Integrität seiner Daten sehr besorgte Kl. diese Information nicht verstanden oder gar den Datenschutzhinweis schon nicht gelesen haben, so gereichte ihm dies zum Vorwurf grober Fahrlässigkeit iSe eklatanten, ungewöhnlich groben Außerachtlassung der im Verkehr erforderlichen Sorgfalt. Hat danach die Verjährung mit Ablauf des Jahres 2019 begonnen, war sie mit Ende des Jahres 2022 vollendet; die Erhebung der Klage im Jahr 2024 konnte die Verjährung nicht mehr nach § 204 Abs. 1 Nr. 1 BGB hemmen.
LG Hamburg Urt. v. 9.5.2025 – 324 O 278/23	0 EUR Dem Kl. steht kein Schadensersatzanspruch im Hinblick auf die Verarbeitung der persönlichen Daten durch die Veröffentlichung des Namens des Kl. zu. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO kommt nicht in Betracht. Insoweit ist Art. 82 DS-GVO schon nicht anwendbar, weil die in Kapitel II der DS-GVO geregelten Grundsätze der Datenverarbeitung und die in Kapitel III der DS-GVO geregelten Rechte der betroffenen Person aufgrund der Bereichsausnahme des Art. 85 DS-GVO für den vorliegenden Fall nicht anwendbar sind. Nach der Rspr. des BGH liegt es „auf der Hand, dass ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DS-GVO nicht auf die Verletzung datenschutzrechtlicher Bestimmungen durch eine journalistische Tätigkeit gestützt werden kann, wenn die Bestimmungen für die Tätigkeit gar nicht gelten“. Dabei spiele auch keine Rolle, dass die Öffnungsklausel des Art. 85 Abs. 2 DS-GVO die in Kapitel VIII der Verordnung enthaltene Vorschrift des Art. 82 Abs. 1 DS-GVO nicht ausdrücklich erfasse. Auch im Hinblick auf die vom Kl. als zu spät gerügte Auskunft steht dem Kl. ein Schadensersatzanspruch nicht zu. Art. 82 DS-GVO ist insoweit allerdings anwendbar. Denn wenn ein Auskunftsanspruch nach Art. 15 DS-GVO grds. besteht, kann im Falle einer Verletzung dieses Auskunftsanspruchs auch ein Schadensersatzanspruch nach Art. 82 DS-GVO bestehen. Der Auskunftsanspruch beurteilt sich vorliegend auch in Ansehung der Bereichsausnahme des Art. 85 Abs. 2 DS-GVO nach Art. 15 DS-GVO. Denn es ist nicht ersichtlich, dass nach nationalem Recht eine Regelung eingreift, die einen Auskunftsanspruch nach Art. 15 DS-GVO deswegen ausschließen könnte, weil dies, wie es Art. 85 Abs. 2 DS-GVO verlangt, erforderlich wäre, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Dem Kl. stand ursprünglich ein Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO zu, denn die Bekl. hat durch die Veröffentlichung des Beschlusses mit dem darin enthaltenen Namen des Kl. und den ihn betreffenden Informationen personenbezogene Daten des Kl. iSv Art. 4 Nr. 1 DS-GVO verarbeitet. Im vorliegenden Fall dürfte die Auskunft auch verspätet erteilt worden sein. Gemäß Art. 12 Abs. 3 DS-GVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung; diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Hier hat der Kl. am 5.5.2023 Auskunft verlangt. Die Bekl. hat zwar noch am gleichen Tag geantwortet und die Auskunft auch teilweise erteilt – etwa im Hinblick auf die Herkunft der Daten mitgeteilt, dass die Entscheidung automatisiert aus der amtlichen Datenbank des Landes Berlin übernommen worden sei –, iÜ aber auf die allgemeinen Datenschutzinformationen verwiesen. Eine weitergehende und nach Ansicht der Bekl. vollständige Auskunft hat die Bekl. erst im Laufe des gerichtlichen Verfahrens mit der Klagerwiderung vom 20.10.2023 erteilt, somit rund 5 Monate nach dem Auskunftsbegehren. In rechtlicher Hinsicht umstritten ist, ob der Umstand, dass eine Auskunft verspätet erteilt wird, überhaupt einen Schadensersatzanspruch begründen kann. Teilweise wird dagegen eingewandt, dass von Art. 82 DS-GVO nur solche Schäden erfasst seien, die „durch eine nicht dieser Verordnung entsprechende Verarbeitung“ entstanden sind und dass damit Verstöße gegen Auskunftspflichten aus Art. 12 Abs. 3 bzw. Art. 15 DS-GVO nicht als Grundlage für einen Ersatzanspruch dienen können. Ob die Auskunft verspätet war und eine solche Verspätung einen Schadensersatzanspruch begründen kann, kann hier aber offen bleiben. Denn es fehlt an der schlüssigen Darlegung eines (immateriellen) Schadens, den der Kl. gerade durch die verspätete Auskunft erlitten habe. Der Begriff des immateriellen Schadens ist autonom unionsrechtlich zu definieren. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des EuGH nicht aus, um einen Schadensersatzanspruch zu begründen. Allerdings muss ein Schaden nicht einen bestimmten Grad an Schwere oder Erheblichkeit erreichen. Schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden darstellen, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Auch nach der Rspr. des BGH stellt der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO dar. Der Kl. hat vorgetragen, dass ihm durch die versagte Auskunft ein immaterieller Schaden entstanden sei, da er sich im Ungewissen darüber befinde, welche und wie konkret seine personenbezogenen Daten von der Bekl. verarbeitet wurden und werden. Der hiermit verbundene, sich noch weiter vertiefende Kontrollverlust des Kl. im Hinblick auf den Umgang mit seinen persönlichen Daten sowie die konkrete Gefahr einer Rufschädigung und der Beeinträchtigung seines beruflichen Fortkommens sei für den Kl. unzumutbar, spürbar unangenehm und emotional stark belastend. Nachdem die Bekl. mit der Klageerwiderung weitergehende Auskunft erteilt hat, hat der Kl. vorgetragen, ihm sei durch die monatelang versagte Auskunft ein konkreter immaterieller Schaden entstanden, da er sich stets im Ungewissen darüber befunden habe, welche und wie konkret seine personenbezogenen Daten von der Bekl. verarbeitet wurden und werden. Der hiermit verbundene Kontrollverlust des Kl. im Hinblick auf den Umgang mit seinen persönlichen Daten sowie die konkrete Gefahr einer Rufschädigung und der Beeinträchtigung seines beruflichen Fortkommens sei für den Kl. unzumutbar, enorm unangenehm und emotional stark belastend. Dem Vortrag ist nicht zu entnehmen, inwiefern der Kl. allein durch den Umstand, dass die Auskunft verspätet erteilt worden sei, einen immateriellen Schaden erlitten habe. Dies gilt umso mehr, als ein ganz maßgeblicher Bestandteil der Auskunft – nämlich zur Herkunft der Daten – bereits am Tag des Auskunftsbegehrens beantwortet und dem Kl. mit E-Mail vom 5.5.2024 mitgeteilt wurde, dass die Entscheidung in dieser Form aus der amtlichen Entscheidungsdatenbank des Landes Berlin übernommen wurde. Auch war für den Kl. erkennbar, welche personenbezogene Daten die Bekl. veröffentlicht hatte und an wen sie sich mit dieser Veröffentlichung wandte, nämlich an die gesamte Internetöffentlichkeit. Insofern liegt in der bloß zeitlich verzögerten vollständigen Auskunftserteilung auch kein weitergehender Kontrollverlust als der, der bereits durch die nicht hinreichend anonymisierte Veröffentlichung der Entscheidung eingetreten war. Der Fall liegt auch ganz maßgeblich anders als die vom Kl. angeführte Entscheidung des OLG Köln, worin eine Entschädigung iHv 500 EUR wegen einer verspäteten Auskunftserteilung zugesprochen wurden. Im dortigen Fall hat die Kl. von einem Rechtsanwalt die Herausgabe der Handakten zu ihrem Mandat verlangt. Die dortige Kl. war für eine nicht unerhebliche Dauer vom Rechtsanwalt über das weitere Schicksal des Mandates im Unklaren gelassen worden und war über Monate nicht in der Lage, auf die Handakte zuzugreifen, Kenntnis über den Inhalt der dort gespeicherten Daten zu erlangen und das sie betreffende Verfahren mit dem neuen Prozessbevollmächtigten voran zu treiben.
LG Potsdam Urt. v. 7.5.2025 – 2 O 278/23	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Ersatz eines immateriellen Schadens gemäß Art. 82 Abs. 1 DS-GVO. Gemäß Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Ein derartiger Schadenersatzanspruch setzt dabei einen Verstoß gegen die DS-GVO, den Eintritt eines Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraus. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruches nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor. Die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Der von dem Kl. einzig behauptete und nach seinen Vorstellungen denkbare Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f) DS-GVO liegt bereits nicht vor. Unabhängig von der Frage des Vorliegens eines Datenschutzverstoßes und diesen unterstellt, hat der Kl. jedenfalls nicht hinreichend substantiiert dargelegt, dass ihm aufgrund des behaupteten Datenschutzverstoßes ein kausaler Schaden entstanden ist. Der bloße und auch bereits kurzfristige Kontrollverlust über seine Daten kann zwar einen zu ersetzenden immateriellen Schaden begründen, wie der BGH – im Anschluss an die Rspr. des EuGH – in seinem Urt. v. 18.11.2024 – VI ZR 10/24 – ausführt.
LG Bonn Urt. v. 7.5.2025 – 1 O 96/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz iHv mindestens 4.000 EUR aus Art. 82 Abs. 1 DS-GVO. Es fehlt bereits an einem Verstoß gegen die Verordnung. Entgegen der Ansicht des Kl. fehlt es an einer Verletzung von Art. 5 Abs. 1 lit. a) iVm Art. 6 Abs. 1 DS-GVO. Die Daten des Kl. sind nicht rechtswidrig verarbeitet worden. Es lagen Bedingungen vor, unter denen die Verarbeitung durch die Bekl. Die Kammer schließt sich insoweit der Ansicht des OLG Düsseldorf (Urt. v. 31.10.2024 – I-20 U 51/24, GRUR-RS 2024, 32757 Rn. 43 ff.) an, wonach das Interesse der Bekl. an einer hinreichenden Betrugsbekämpfung die Übermittlung der Positivdaten rechtfertigt. rechtmäßig war. Darüber hinaus fehlt es an der schlüssigen Darlegung eines Schadens. Der EuGH hat ausdrücklich festgestellt, dass aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervorgeht, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Darüber hinaus hat der Gerichtshof Art. 82 Abs. 1 DS-GVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin ausgelegt, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines „immateriellen Schadens“ im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Der EuGH hat des Weiteren ausgeführt, dass der Wortlaut von Art. 82 Abs. 1 DS-GVO nicht ausschließe, dass der in dieser Bestimmung enthaltene Begriff „immaterieller Schaden“ eine Situation umfasst, in der sich die betroffene Person, um Schadensersatz nach dieser Bestimmung zu erhalten, auf ihre Befürchtung beruft, dass ihre personenbezogenen Daten auf Grund des eingetretenen Verstoßes gegen die DS-GVO in Zukunft von Dritten missbräuchlich verwendet werden. Diese wörtliche Auslegung werde durch den 146. Erwägungsgrund DS-GVO bestätigt, der speziell den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadensersatzanspruch betrifft und in dessen drittem Satz es heißt, dass „(d) er Begriff des Schadens … im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden (sollte), die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Vom Unionsgesetzgeber sei also eine weite Auslegung des Begriffs beabsichtigt gewesen. Zudem heißt es im ersten Satz des 85. Erwägungsgrunds DS-GVO, dass „(e) ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen (kann), wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht nach Ansicht des EuGH hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Allerdings hat der EuGH auch ausdrücklich darauf hingewiesen, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Insb. müsse das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft auf Grund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann (EuGH, Urt. v. 14.12.2023 – C340/21, Rn. 84 ff.). In der Entscheidung vom 11.4.2024 (C-741/21) wurde zudem ausgeführt, dass selbst der kurzzeitige Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO Verordnung darstellen könne, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Dementsprechend wäre es auf jeden Fall ausreichend, wenn die Klagepartei nachweist, dass der eingetretene DS-GVO-Verstoß für sie negative Folgen gehabt hat und diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Entscheidend ist, ob diese Befürchtungen als begründet anzusehen bzw. rational nachvollziehbar sind. Diese Darlegungslast trifft die Klägerseite. Sie muss darlegen, dass ein Schaden tatsächlich und sicher besteht und hierzu objektive Umstände darlegen, in denen sich ihre „erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat“. Es obliegt der Klägerseite, die konkreten Missbrauchsfolgen so darzulegen, dass anhand dessen einzelfallbezogen beurteilt werden kann, ob nach der Lebenserfahrung eine durchschnittlich im Datenschutz sensibilisierte Person solche negativen Gefühle entwickeln würde, die über jene hinausgehen, welche sich automatisch entwickeln, wenn ein Gesetz zu Ungunsten der Person verletzt wird. Im Hinblick auf den vermeintlichen Kontrollverlust müsste sie vortragen, dass ein solcher tatsächlich durch die streitgegenständliche Veröffentlichung eingetreten ist und nicht nur rein theoretisch denkbar wäre. Eine bloße pauschale Behauptung, einen „erheblichen Nachteil“ davon getragen zu haben, begründet daher nicht die Annahme eines konkreten Schadens. So führt das OLG Hamm (bereits in Umsetzung des EuGH-Urteils vom 13.12.2023) zutreffend aus, dass der Kl. den Indizienbeweis zum Eintritt eines kausalen immateriellen Schadens führen müsse. Wenn sich eine Person auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft auf Grund eines solchen Verstoßes missbräuchlich verwendet werden, sei das angerufene nationale Gericht zum anderen gehalten, zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Dies bedeutet, dass im vorliegenden konkreten Einzelfall ein Anspruch mangels Nachweises eines Schadens ausscheidet. So will der Kl. aufgrund des Vorfalls ein Gefühl des Kontrollverlustes über seine Daten erlitten haben und sei in einem Zustand der großen Sorge, insb. auch wegen der eigenen Bonität. Das Gefühl des Kontrollverlusts sei geprägt von der Angst, einer unberechtigten Übermittlung an eine Auskunftei wie der S. H. AG ausgesetzt zu sein. Das beunruhige den Kl. bis zum heutigen Tag. Seitdem lebe der Kl. mit der ständigen Angst vor – mindestens – unangenehmen Rückfragen in Bezug auf die eigene Bonität, das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des S. -Scores. Eine Veränderung des sog. S. -Scores, der als Ergebnis der S. -Berechnungen Auskunft über die Vertragstreue und Solvenz der Klägerseite geben soll, habe immense Folgen für Vertragsabschlüsse in der Zukunft. Da davon ein schlichter Mobilfunkvertrag betroffen sein könne, aber auch eine Kreditfinanzierung oder ein Mietvertrag, steigere sich das allgemeine Unwohlsein der Klagepartei bis zu einer schieren Existenzsorge. Diese Auswirkungen behinderten die freie Entscheidung der Klagepartei im Hinblick auf neue Vertragsabschlüsse und untergrüben damit die freien Entfaltungsmöglichkeiten bei der weiteren Gestaltung des eigenen Lebens. Das sorge für das ständige Gefühl von Zwang, sich ggfs. nach einem nicht bekannten Vorbild konform verhalten zu müssen. Beispielsweise in Bezug auf die Wahl des Telekommunikationsanbieters, des Providers oder des Vertragsformats, das von der S. H. AG als werthaltiger bewertet werdeals das jeweils andere. Dieser Zwang sei verbunden mit dem Gefühl der Ohnmacht, da die S. H. AG ein solches etwaiges Vorbild und hierfür relevante Parameter nicht transparent mache. Dieser Textbaustein ließe sich auf beliebige Fälle mit dem entsprechenden Hintergrund übertragen, ohne konkret auf die Klagepartei Bezug zu nehmen. Der Text ist derart offensichtlich vorformuliert, ohne auch nur an einer einzigen Stelle auf die persönliche Situation des Kl. – und nicht nur der „Klagepartei“ – einzugehen, dass die Kammer davon überzeugt ist, dass der Text in keinerlei Zusammenhang mit dem konkreten Einzelfall steht. Es fehlt damit an jeglicher Darlegung eines tatsächlichen Nachteils der Klagepartei. Soweit die Rspr. des EuGH und ihr folgend auch des BGH (Urt. v. 18.11.2024 – VI ZR 10/24 = GRUR 2024, 1910) einen nur kurzzeitigen Kontrollverlust an sich bereits als Schaden ausreichen lässt, der eine Schadenersatzzahlung rechtfertigen soll, ist nicht ersichtlich, weshalb diese zum sog. Scraping ergangenen Entscheidungen auf den hiesigen Fall überhaupt übertragbar sein sollen. So sind die persönlichen Daten des Betroffenen gerade nicht Gegenstand eines Datenlecks geworden, also nicht in undurchsichtigen Kanälen im Darknet verschwunden, wo niemand so genau sagen kann, wer mit ihnen was zukünftig unternehmen kann. Die Daten sind vielmehr an eine einzelne, noch dazu weit bekannte und renommierte Wirtschaftsauskunftei übermittelt worden, sind also letztlich überhaupt nicht „außer Kontrolle“ geraten. Es ist auch nicht ersichtlich, weshalb der Kl. die begründete Befürchtung hätte haben dürfen, dass die Daten möglicherweise unkontrolliert missbräuchlich verwendet werden könnten.
NEU LG Köln Urt. v. 6.5.2025 – 2 O 30/24	0 EUR Die Klagepartei hat insb. keinen Anspruch auf Ersatz immaterieller Schäden gem. Art. 82 Abs. 1 DS-GVO. Allerdings hat der Kl. einen messbaren Schaden nicht ausreichend dargelegt. Allein eine etwaige Verletzung des Datenschutzrechts als solche begründete nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben. Die Verletzung der Vorschriften der DS-GVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Aber nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ist ein Schmerzensgeld zu gewähren. Vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, tatsächlich erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Der einzige Sachverhalt, den der Kl. hierzu vorträgt, besteht darin, dass die vermeintlich unerlaubte Verarbeitung von Daten für den Zweck zielgerichteter Werbung bei der Klägerseite nicht nur das ungute Gefühl permanenter Überwachung in ihrer teilweise die eigene Intimsphäre berührenden Nutzung der sozialen Netzwerke der Bekl. ausgelöst habe, sondern zu erheblichem Ärger über dieses Verhalten der Bekl. geführt habe. Dieser Vortrag ist äußerst vage. Er legt nicht dar, wie und seit wann der Kl. sein F. Profil nutzt, welche Art von Beiträgen er mit „gefällt mir“ oder sonst wie markiert oder teilt oder kommentiert, ob sein Profil öffentlich oder privat ist, welche Information er von sich teilt, etc. Auch teilt er nicht mit, ob er das Angebot eines kostenpflichtigen werbefreien Abos im November 2023 wahrgenommen hat oder nicht. All dies wäre jedoch erforderlich gewesen, um festzustellen, ob das von ihm behauptete Überwachungsgefühl und Verärgerung die Anforderungen an eine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen erfüllt. Auf den erteilten Hinweis der Kammer hat der Kl. nicht weiter vorgetragen.
NEU LG Bonn Urt. v. 30.4.2025 – 13 O 39/24	0 EUR Der Kl. hat gegen die Bekl. auch keinen Anspruch auf Zahlung eines Schmerzensgeldes (Art. 82 Abs. 1 DS-GVO). Unabhängig davon, dass aufgrund der vorstehenden Ausführungen bereits unklar ist, welche Datenkategorien betroffen sind (was sich auf die Höhe eines etwaigen Schmerzensgeldes auswirken kann), ist schon nicht ersichtlich, dass dem Kl. überhaupt ein immaterieller Schaden entstanden ist. Der abstrakte Umstand, dass Daten rechtswidrig verarbeitet worden sind, genügt – auch angesichts der jüngsten Rspr. des EuGH, s. Urt. v. 14.12.2023 – C-340/21 Rn. 75 ff. – für sich gesehen zur Schadensbegründung nicht aus, sondern es muss – davon losgelöst – ein Schaden hierdurch erst kausal begründet worden sein. Ein solcher ist nicht ausreichend dargelegt. Dass jedenfalls technische Daten im Zusammenhang mit der Nutzung des Internets verarbeitet werden, ist ein alltäglicher und allgemein bekannter Umstand, der die wenigstens Menschen davon abhält, das Internet gleichwohl zu nutzen. Dem Kl. ist insoweit zwar zuzugeben, dass es der sog. Off-Site-Daten, um die es in dem hier zu entscheidenden Fall geht, zwar wohl nicht bedarf, da es sich bei den B-Business-Tools unstreitig um ein Geschäftsmodell und keine Sicherheitstechnologie handelt. Es hätte dem Kl. daher in diesem Zusammenhang aber gleichwohl oblegen, deutlich konkreter dazu vorzutragen, worin in seinem Fall durch welche konkreten Datenkategorien welcher immaterielle Schaden begründet liegen soll.
NEU LG Bonn Urt. v. 30.4.2025 – 13 O 189/23	498 EUR (+ 159,94 EUR vorgerichtliche Rechtsanwaltskosten) Die Kl. hat gegen die Bekl. wegen der vorstehend festgestellten unzulässigen Datenverarbeitung einen Anspruch auf Zahlung eines Schmerzensgeldes iHv 498 EUR (Art. 82 Abs. 1 DS-GVO). Der Kl. ist ein Schaden in Form einer Beeinträchtigung der Kontrolle über ihre Daten entstanden, da es zu – aus Sicht der Kl. – unkontrollierten Transfers zwischen den Werbekunden und der Bekl. gekommen ist, die zu einer nicht zulässigen und – aus Sicht der Kl. – auch nicht gewollten Aggregation unterschiedlicher Daten aus unterschiedlichen Quellen gekommen ist. Als Rechtsfolge kann die Kl. ein angemessenes Schmerzensgeld verlangen, welches das Gericht mit dem zugesprochenen Betrag bemisst. Das Schmerzensgeld muss nach Sinn und Zweck der DS-GVO abschreckend sein und sich an Ausgleichs- und Genugtuungsfunktion orientieren, wobei es auf die konkreten Umstände des Einzelfalls ankommt und der Katalog des Art. 83 Abs. 2 DS-GVO Berücksichtigung finden kann. Hierbei ist schmerzensgelderhöhend zu berücksichtigen, dass die streitgegenständlichen Datenverarbeitung Daten in potenziell ganz erheblichem Umfang umfasst, die nicht lediglich aus der Sozialsphäre, sondern zumindest auch der Privatsphäre der Kl. stammen müssen, und welche – durch Verknüpfung – eine Persönlichkeitsprofilierung auch im Hinblick auf besondere Kategorien personenbezogener Daten iSd Art. 9 Abs. 1 DS-GVO ermöglicht. Schmerzensgeldmindernd ist zu berücksichtigen, dass es vorliegend nicht um eine Form von „Leak“ geht, bei welchem die personenbezogenen Daten der Kl. unbefugten Dritten zur Verfügung gestellt wurden, sondern die bestimmungsgemäße Verarbeitung zwischen der Bekl. und ihren Werbekunden, welche einen durchschnittlichen Benutzer der von der Bekl. betriebenen Internet-Portale aufgrund des allgemein bekannten Geschäftsmodells der Bekl. nicht wirklich überraschen sollte. Nicht in die Schmerzensgeldbemessung eingeflossen sind konkrete Folgen, insb. auch nicht im Hinblick auf Daten iSv Art. 9 DS-GVO, da die Kl. hierzu nicht ausreichend vorgetragen hat, insb. nicht dazu, welche Internetseiten sie mit welchen „Event-Daten“ im Einzelnen angesteuert hat. Das zugesprochene Schmerzensgeld versteht sich vor diesem Hintergrund als ein Mindestschaden und berechnet sich nach folgender Ratio: Gerichtsbekannt bietet die Bekl. für die von ihr betriebenen Plattformen mittlerweile sog. Abo-Modelle zu Kosten ab 6 EUR pro Monat an, bei welchen auf personalisierte Werbung verzichtet wird. Dieser Betrag dient als Schätzgrundlage für das Gericht nach der Formel: 6 EUR x streitgegenständliche Monate ab dem Inkrafttreten der DS-GVO. Im hiesigen Fall: 6 EUR x 83 Monate = 498 EUR. Die Kl. hat gegen die Bekl. wegen der rechtswidrigen Datenverarbeitung unter dem Gesichtspunkt des Schadensersatzes einen Anspruch auf Freistellung von ihren vorgerichtlichen Rechtsverfolgungskosten, dies – mangels näherer Erläuterung der geltend gemachten Gebühren – jedoch nur im Umfang einer 1,3 Geschäftsgebühr aus dem – soweit kongruent mit der hiesigen Klage, dh im Hinblick auf das Schmerzensgeld – berechtigten Gegenstandswert von 498 EUR zzgl. 20 EUR Auslagenpauschale und 19 % Umsatzsteuer, dh 159,94 EUR gesamt. Mangels Vortrags dazu, was Gegenstand der außergerichtlichen Tätigkeit im Einzelnen gewesen sein soll, sind die weiteren im Prozess geltend gemachten Ansprüche nicht zu berücksichtigen.
NEU LG Hamburg Urt. v. 17.4.2025 – 325 O 261/23	713,76 EUR Der Schadensersatzanspruch nach Art. 82 DS-GVO schließt die Geltendmachung eines konkurrierenden Anspruchs nach nationalem Recht nicht aus, wie sich aus Erwägungsgrund 146 S. 4 DS-GVO ergibt. Rechtsgrundlage für die Erstattung der Rechtsanwaltskosten ist Art. 82 DS-GVO, da es sich um Kosten handelt, die der Kl. aufgrund der rechtswidrigen Datenverarbeitung eingegangen ist.
NEU LG Hamburg Urt. v. 17.4.2025 – 325 O 22/24	713,76 EUR Wie LG Hamburg Urt. v. 17.4.2025 – 325 O 261/23.
NEU LG Hamburg Urt. v. 17.4.2025 – 325 O 56/24	713,76 EUR Wie LG Hamburg Urt. v. 17.4.2025 – 325 O 261/23.
LG Krefeld Urt. v. 16.4.2025 – 2 O 362/23	0 EUR Der Kl. hat gegen die Bekl. unter keinem rechtlichen Gesichtspunkt einen Anspruch auf Zahlung eines Schmerzensgeldes gemäß Art. 82 Abs. 1 DS-GVO. Als anspruchsbegründende Voraussetzungen erfordert der Schadensersatzanspruch aus Art. 82 DS-GVO eine Verletzungshandlung, einen Schaden, einen hinreichenden Kausalitätszusammenhang sowie ein Verschulden. Es fehlt schon an der erstgenannten Voraussetzung. Der Kl. hat zwar nicht gemäß Art. 6 Abs. 1 lit a) DS-GVO in die Verarbeitung der konkreten streitgegenständlichen Daten eingewilligt. An der Datenweitergabe bestand aber ein berechtigtes Interesse zum Zwecke der Betrugsprävention nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO, das die Datenweitergabe rechtfertigte.
LG Dortmund Urt. v. 16.4.2025 – 6 O 89/24	0 EUR Ein solcher folgt nicht aus Art. 82 Abs. 1 DS-GVO. Gemäß Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Diese Voraussetzungen liegen hier nicht vor. Es fehlt zum einen an einem Verstoß gegen die DS-GVO und zum anderen an der hinreichend substantiierten Darlegung eines Schadens. Zwar stellt die Weitergabe der streitgegenständlichen Positivdaten durch die Bekl. eine Verarbeitung personenbezogener Daten dar, die gemäß Art. 6 Abs. 1 DS-GVO nur dann rechtmäßig ist, wenn sie durch einen Erlaubnistatbestand gedeckt ist. Ein solcher Erlaubnistatbestand ist hier indes gegeben. Selbst wenn man von einem Verstoß gegen die DS-GVO ausginge, würde der Anspruch an der fehlenden Darlegung eines Schadens scheitern. Für den geltend gemachten immateriellen Schadensersatz gelten die iRv § 253 BGB entwickelten Grundsätze. Es ist dabei nicht erforderlich, dass der eingetretene Schaden eine bestimmte Erheblichkeitsschwelle überschreitet; auch Bagatellschäden sind grds. ersatzfähig. Dies bedeutet aber nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen. Ein bloßer Ärger über einen Datenschutzverstoß oder Kontrollverlust an Daten oder ein subjektives Unmutsgefühl reicht nicht aus, um einen immateriellen Schaden anzunehmen. Allein eine Verletzung des Datenschutzrechts begründet mithin für sich genommen noch nicht einen Schadensersatzanspruch für die betroffene Person, solange damit nicht im Einzelfall ein (immaterieller) Schaden verbunden ist, das heißt kausal negative Konsequenzen für den Betroffenen. Dafür spricht ferner der Wortlaut des Art. 82 Abs. 5 DS-GVO, nach dem der Schaden „erlitten“ sein muss. Das ist nur der Fall, wenn dieser wegen eines Verstoßes gegen die Verordnung (Art. 82 Abs. 1 DS-GVO) tatsächlich entstanden, spürbar und objektiv nachvollziehbar ist und nicht nur von dem Betroffenen befürchtet wird. Es bedarf dazu mithin der Darlegung eines konkreten – auch immateriellen – Schadens. Eine solche Darlegung, die diesen Anforderungen entspricht, ist hier in dem klägerischen Vortrag nicht ersichtlich. Der Kl. hat schriftsätzlich insb. das Vorliegen von Ängsten, Sorgen und Stress dargelegt. Diese allgemein gehaltenen Formulierungen ohne erkennbare Individualisierung des Vortrags, die zahlreichen verwendeten Textbausteinen in anderen Verfahren entsprechen und nicht mal den Ansatz eines Einzelfallbezugs enthalten, reichen für die Darlegung eines Schadens nicht aus.
LG Aachen Urt. v. 15.4.2025 – 15 40/24	500 EUR Dem Kl. steht gegen die Bekl. der mit dem Klageantrag zu 5) geltend gemachte Zahlungsanspruch iHv 500 EUR nebst Rechtshängigkeitszinsen zu. Die weitergehende Klage ist dagegen unbegründet und abzuweisen. Der Anspruch des Kl. folgt aus Art. 82 Abs. 1 DS-GVO. Nach der Rspr. des EuGH erfordert ein solcher Schadensersatzanspruch einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt, vorliegend also den Kl. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruches nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS-GVO dem Verantwortlichen. Der erforderliche Verstoß der Bekl. gegen die DS-GVO liegt nach dem oben Gesagten vor. Bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DS-GVO, mithin des zweiten Kapitels der DS-GVO, die Grundsätze für die Verarbeitung von Daten aufstellen, liegt zugleich eine unrechtmäßige Datenverarbeitung vor. Es kommt in diesem Zusammenhang auch nicht darauf an, ob einer oder mehrere Verstöße gegen die DS-GVO festgestellt werden können, da der in Art. 82 Abs. 1 DS-GVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt. Sollte das Vorbringen des Kl. so zu verstehen sein, dass er seinen Anspruch zusätzlich auf einen Verstoß gegen Benachrichtigungs- und Meldepflichten stützt, würde es jedenfalls an der Ursächlichkeit für den geltend gemachten Schaden fehlen. Eine Exkulpation durch die Bekl. ist nicht erfolgt. Dem Kl. ist darüber hinaus ein Schaden entstanden. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten iSd Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des EuGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSd eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Weiter hat der EuGH ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der EuGH auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS-GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Schließlich hat der EuGH in seiner jüngeren Rspr. unter Bezugnahme auf Erwägungsgrund 85 DS-GVO (vgl. ferner Erwägungsgrund 75 DS-GVO) klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Aber auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Unter Zugrundelegung dessen hat der Kl. zunächst das Entstehen eines immateriellen Schadens durch die oben dargelegten Verstöße gegen die DS-GVO ausreichend dargetan. Für eine ordnungsgemäße Darlegung muss das Gericht nach allgemeinen Grundsätzen anhand des Parteivortrags beurteilen können, ob die gesetzlichen Voraussetzungen der an eine Behauptung geknüpften Rechtsfolgen erfüllt sind. Ein Sachvortrag zur Begründung eines Anspruchs ist demnach bereits dann schlüssig und erheblich, wenn die Partei Tatsachen vorträgt, die in Verbindung mit einem Rechtssatz geeignet und erforderlich sind, das geltend gemachte Recht als in der Person der Partei entstanden erscheinen zu lassen. Die Angabe näherer Einzelheiten ist nicht erforderlich, soweit diese für die Rechtsfolgen nicht von Bedeutung sind. Das Gericht muss nur in die Lage versetzt werden, aufgrund des tatsächlichen Vorbringens der Partei zu entscheiden, ob die gesetzlichen Voraussetzungen für das Bestehen des geltend gemachten Rechts vorliegen. Sind diese Anforderungen erfüllt, ist es Sache des Tatrichters, in die Beweisaufnahme einzutreten und dabei ggf. die benannten Zeugen oder die zu vernehmende Partei nach weiteren Einzelheiten zu befragen oder einem Sachverständigen die beweiserheblichen Streitfragen zu unterbreiten. Bei der Bestimmung der Höhe des Ersatzanspruchs ist zu berücksichtigen, dass die DS-GVO keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes enthält. Insb. können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DS-GVO genannten Kriterien herangezogen werden. Die innerstaatliche Verfahrensautonomie bei der Ermittlung des nach Art. 82 DS-GVO zu ersetzenden Schadens unterliegt freilich mehreren aus dem Unionsrecht folgenden Einschränkungen. Die Modalitäten der Schadensermittlung dürfen bei einem – wie im Streitfall – unter das Unionsrecht fallenden Sachverhalt nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Auch dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs, wie sie in Erwägungsgrund 146 Satz 6 DS-GVO zum Ausdruck kommt, ist eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO dagegen nicht erfüllen. Unter Zugrundelegung dessen bemisst das Gericht den dem Kl. entstandenen immateriellen Schaden mit 500 EUR. In diesem Zusammenhang hat das Gericht zunächst berücksichtigt, dass es für den Kl. zum Verlust von Daten gekommen ist, die jedenfalls teilweise zu denen nach Art. 9 Abs. 1 DS-GVO gehören, ohne dass es dabei auf die Intention des Verantwortlichen ankommt. Auch sind die Verstöße gegen die DS-GVO über einen längeren Zeitraum erfolgt. Andererseits sind die Daten keinem unbegrenzten Empfängerkreis zugänglich gemacht worden, sondern Drittunternehmen, die der Bekl. bekannt sind und mit denen die Bekl. konkrete Nutzungsbedingungen vereinbart hat. Dass es zur Weitergabe an Dritte durch die Drittunternehmen gekommen ist, hat der Kl. weder hinreichend dargetan noch ist dies sonst ersichtlich. Hieraus folgt, dass es der Bekl. möglich ist, den Empfängerkreis zu benennen, zudem besteht die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Löschung der Daten bei der Bekl. und/oder den Drittunternehmen. Der damit einhergehenden Aufwand trifft nicht den Kl., sondern die Bekl. bzw. die jeweiligen Drittunternehmen. Andererseits ist zu berücksichtigen, dass nach dem oben Gesagten ein Schaden bei dem Kl. nicht lediglich in Form des Kontrollverlustes eingetreten ist, sondern es bei dem Kl. auch zu den dargelegten Beeinträchtigungen seines Nutzungs- und Rechercheverhaltens sowie seines Sicherheitsgefühls gekommen ist. Andererseits kann nicht davon ausgegangen werden, dass hierdurch die bei dem Kl. bestehenden Schlafprobleme wenigstens mitverursacht worden sind. Unter Berücksichtigung all dessen geht das Gericht davon aus, dass der dem Kl. entstandene Schaden mit einer Zahlung iHv 500 EUR ausgeglichen wird. Dem Kl. steht gegen die Bekl. dem Grunde nach ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus Art. 82 Abs. 1 DS-GVO zu.
LG Stuttgart Urt. v. 10.4.2025 – 10 O 3/24	0 EUR In der Sache bleibt die Klage ohne Erfolg. Vor dem Hintergrund der iRd Vertragsschlusses abgegebenen Erklärung des Kl. ist von einer Einwilligung mit einer Datenübermittlung an die S. auszugehen, sodass die Datenverarbeitung gerechtfertigt war. Außerdem vermochte der Kl. nicht darzulegen, dass er aufgrund der Datenübermittlung einen (materiellen oder immateriellen) Schaden iSd Art. 82 DS-GVO erlitten habe. Darüber hinaus wären entsprechende Ansprüche verjährt. Der geltend gemachte Schadensersatzanspruch scheidet – ebenso wie der auf Feststellung der Ersatzpflicht für weitergehende Schäden gerichtete Antrag – bereits deshalb aus, weil der Kl. in die Datenübermittlung an die S. eingewilligt hat. Der Kl. hat ausweislich der von ihm iRd Vertragsschlusses im V.-Shop in S.-B. C. abgegebenen Erklärung ausdrücklich in den Datenaustausch zwischen der Bekl. und der S. eingewilligt (wobei eine ausdrückliche Einwilligung nicht einmal erforderlich wäre – die DS-GVO schreibt eine solche nur bei risikogesteigerten Verarbeitungen vor, etwa im Fall des Art. 9 Abs. 2 lit. a DS-GVO). Der Kl. hat auch nicht dargetan, dass er einen Schaden iSd Art. 82 DS-GVO erlitten hat. Das Vorliegen eines Verstoßes gegen die DS-GVO genügt für den Geldentschädigungsanspruch gemäß Art. 82 DS-GVO nicht; vielmehr setzt dieser weiter voraus, dass der betroffenen Person tatsächlich ein Schaden entstanden und dass dieser Schaden kausal auf den Verstoß zurückzuführen ist. Die gebotene autonome Auslegung hat sich insb. an den Erwägungsgründen und dem Sinnzusammenhang der Verordnung und des gesamten Unionsrechts zu orientieren. In den Erwägungsgründen finden sich Beispiele für mögliche Schäden. So zählt etwa Erwägungsgrund 85 verschiedene physische, materielle und immaterielle Schäden auf, die die Verletzung des Schutzes personenbezogener Daten nach sich ziehen kann; dort sind genannt der Verlust der Kontrolle über die personenbezogenen Daten einer natürlichen Person oder die Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ iSd Art. 82 Abs. 1 DS-GVO darstellen. Nach diesem Maßstab ist ein Schaden auf Seiten des Kl. nicht feststellbar. Der Kl. hat keinen Kontrollverlust erlitten. Eine Definition enthält die DS-GVO nicht. Das LG Hannover hat etwa angenommen, dass von einem Kontrollverlust gesprochen werden kann, wenn sich die Daten „in einem Maße von der berechtigten Person entfernt haben, dass sie nicht mehr bestimmen kann, wer bei welcher Gelegenheit diese zur Kenntnis nehmen und für weitere Zwecke verwerten kann.“ Dieses Verständnis des „Kontrollverlustes“ legt auch die Kammer zugrunde. Daraus ergibt sich, dass nicht jede unrechtmäßige Datenverarbeitung zwangsläufig zu einem Kontrollverlust führen muss, wie gerade der streitgegenständliche Fall zeigt. Aufgrund der (unterstellten) rechtswidrigen Übermittlung an die S. verfügte letztere über die streitgegenständliche Information, dass der Kl. bei der Bekl. einen Vertrag abgeschlossen hat. Die von der S. vorgehaltene Datenbank ist allerdings nicht öffentlich einsehbar. Informationen werden mithin gerade nicht „ohne Kontrolle“, sondern allenfalls an Vertragspartner weitergegeben und auch nur an solche, die ein berechtigtes Interesse an der Beurteilung der Bonität des Bekl. haben bzw. die das Einverständnis des Bekl. eingeholt haben (sei es nun wirksam oder nicht). Die Daten waren mithin nur einem begrenzten Empfängerkreis überhaupt zugänglich und es blieb für den Bekl. nachvollziehbar, wer diese Empfänger waren. Insb. wurden diese Daten nicht unkontrolliert weiterverbreitet, wie dies etwa bei einem Datendiebstahl, insb. mit anschließender Veröffentlichung der Daten, etwa im D., der Fall sein kann. Eine Verschlechterung des S.-Scores durch die Übermittlung der Informationen, dass der Kl. bei der Bekl. einen Vertrag abgeschlossen und der Vertrag durchgeführt werde, ist vom Kl. schon nicht hinreichend substantiiert dargetan. Die Bekl. hat dargelegt, dass die Übermittlung der streitgegenständlichen Positivdaten grds. zu einer Verbesserung des S. Score führt. Demgegenüber hat der Kl. darlegen lassen, dass in der Pressemitteilung der SCHUFA es dazu heiße, dass wenn zahlreiche Verträge von Unternehmen gemeldet werden, sich dies negativ auf den Bonitätsscore auswirken könne, denn mit jedem einzelnen Vertrag sei eine Zahlungsverpflichtung verbunden. Insoweit kommt die Annahme eines Schadens aus zweierlei Gründen in Betracht. Zunächst trägt der Kl. nicht vor, dass sich die Übermittlung von Positivdaten, dh dem Bestehen und der (ordnungsgemäßen) Durchführung eines Vertrages, ausnahmsweise eine Verschlechterung seines Scores ergeben habe, weil er eine, insb. auffällige und unübliche Vielzahl von Verträgen (oder überhaupt nur mehr als einem Handyvertrag) abgeschlossen habe. Darüber hinaus wäre eine sich hieraus ergebende verschlechterte Einschätzung der Bonität durch die S. normativ auch nicht als ein Schaden anzusehen, mag auch die Übermittlung der zugrunde liegenden Information über den (dann weiteren) Vertragsabschluss durch die Bekl. rechtswidrig gewesen sein. Die entsprechende Einschätzung der Bonität, bei der es sich ohnehin um nicht mehr als eine Prognose aufgrund der vorliegenden Informationen über abgeschlossene (Kredit-) Verträge und deren Einhaltung handelt, wäre jedenfalls nicht falsch. Nach Einschätzung der Kammer kann es nicht als ein Schaden angesehen werden, wenn sich ein drittes Unternehmen auf Grundlage der Prognose durch die S., die auf einer zutreffenden Datenbasis entstanden ist, nicht auf einen Vertrag mit dem Kl. einlässt. Auf diese theoretische Überlegung kommt es jedoch ohnehin nicht entscheidend an, weil dann, wenn sich in dem zum Kl. bei der S. gehaltenen Datensatz nur die Information über einen einzigen, ordnungsgemäß durchgeführten Handyvertrag findet, gerade keine Verschlechterung des Scores zu erwarten ist. Die vom Kl. behaupteten Ängste und Befürchtungen (bis hin zur „schieren Existenzsorge“) vermögen einen Schaden nicht zu begründen. Wie eingangs dargestellt hat der EuGH in der Natsionalna agentsia za prihodite-Entscheidung zwar angenommen, dass bestimmte empfundene Befürchtungen einen Schaden iSd Art. 82 Abs. 1 DS-GVO darstellen können. Abgesehen davon, dass der Kl. vorliegend im Gegensatz zu dem der EuGH-Entscheidung zugrunde liegenden Fall vorliegend keine befürchtete missbräuchliche Verwendung durch Dritte darlegt, hat der EuGH in der zitierten Entscheidung auch ausgeführt, dass selbst in diesem Fall das angerufene nationale Gericht, wenn sich ein Kl. auf eine solche Befürchtung beruft, zu prüfen habe, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Auch hieran fehlt es vorliegend. Die Darlegungen des Kl. lassen die vermeintlich empfundene „schiere Existenzangst“ nicht im Ansatz als nachvollziehbar erscheinen. Geradezu absurd wirkt die Darlegung, dass der Kl. Angst davor habe, im Hinblick auf die – positive – Information, dass er bei der Bekl. ein Vertrag abgeschlossen und diesen ordnungsgemäß bedient habe, Rückfragen in Bezug auf die eigene Bonität ausgesetzt zu sein, insb. bei gleichzeitiger Anwesenheit diverser anderer – negativer – Einträge. Nachvollziehbar sind allein die vom Kl. im konkreten Fall empfundenen Vorbehalte im Hinblick auf die S. an sich, zumal vor dem Hintergrund der von ihm iRd mündlichen Verhandlung geschilderten fehlgeschlagenen Anschlussfinanzierung. Mit der Datenübermittlung durch die Bekl. dürfte all dies indes nichts zu tun haben. Jedenfalls ist ein diesbezüglicher Zusammenhang nicht nachgewiesen, wie dies jedoch von demjenigen, der Ansprüche aus Art. 82 DS-GVO herleitet, zu fordern ist. Ansprüche des Kl. wären jedenfalls verjährt. Wie dargelegt, war der Kl. im Zuge des Vertragsschlusses im Jahr 2018 über die Datenübermittlung an die SCHUFA informiert worden. Aus den dem Kl. vorliegenden Unterlagen ergibt sich insb. auch, dass die Bekl. nicht nur im Falle einer Vertragsstörung Daten übermittelt. Darauf, dass, wie der Kl. behauptet, er diese Information nicht zur Kenntnis genommen und vielmehr „blind“ unterschrieben habe, kommt es nicht an. In dem Fall beruht seine Unkenntnis jedenfalls auf grober Fahrlässigkeit. Insoweit bestimmt § 199 Abs. 1 Nr. 2, das die regelmäßige Verjährungsfrist auch dann beginnt, wenn der Anspruch entstanden ist und der Gläubiger ohne grobe Fahrlässigkeit von den den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangen hätte. Die Verjährung war vorliegend mithin mit Ablauf des Jahres 2021 vollendet. Die Bekl. hat sich auf Verjährung berufen. Insoweit fehlt es vor dem Hintergrund des verjährten Schadensersatzanspruchs (auch) an der Wiederholungsgefahr.
NEU LG Köln Urt. v. 9.4.2025 – 28 O 589/23	2.000 EUR Der Kl. hat gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO einen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 2.000 EUR. Der Kl. hat aufgrund eines Verstoßes der Bekl. gegen die DS-GVO einen Schaden erlitten. Wie ausgeführt, steht zur Überzeugung des Gerichts fest, dass iRv E. P. N. auf Drittwebseiten oder Apps angefallene Daten des Kl. an die Bekl. übermittelt worden sind und von dieser gespeichert werden, ohne dass hierfür ein Rechtfertigungstatbestand vorläge. Es liegt auch ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Der Kontrollverlust des Kl. über seine Daten und die damit verbundene Sorge des Kl. haben zu einem immateriellen Schaden iSv Art. 82 DS-GVO geführt. Der BGH hat im Urt. v. 18.11.2024 (VI ZR 10/24) insofern folgendes ausgeführt: „Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS-GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Schließlich hat der Gerichtshof in seiner jüngeren Rspr. unter Bezugnahme auf Erwägungsgrund 85 DS-GVO (vgl. ferner Erwägungsgrund 75 DS-GVO) klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Im ersten Satz des 85. Erwägungsgrundes DS-GVO heißt es, dass „[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht nach der Rspr. des Gerichtshofs hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen Verlust der Kontrolle („the mere loss of control“, „la simple perte de contrôle“) über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.“ Gemessen hieran ist dem Kl. ein Schaden erwachsen. Es steht fest, dass der Kl. Webseiten besucht hat, welche E. P. N. nutzen und daher Daten an die Bekl. übermittelt haben. So hat der Kl. im Rahmen seiner persönlichen Anhörung angegeben, die Internetseiten M., X., K., L. und R. regelmäßig besucht zu haben. Dabei ist es unstreitig, dass diese Internetseiten D. P. N. nutzen. Soweit die Bekl. den Besuch der Internetseiten durch den Kl. mit Nichtwissen bestreitet, ist dieses Bestreiten unzulässig. Denn der Bekl. ist bekannt, ob und von welcher Internetseite sie den Kl. betreffende Daten über D. P. N. übermittelt bekommen hat. Durch die übermittelten Daten kann die Bekl. das Nutzerverhalten des Kl. auf den betroffenen Internetseiten nachverfolgen und sich so ein Bild von den Aktivitäten der Klagepartei im Internet machen. Welchen Zweck die Bekl. mit diesen angesammelten Daten verfolgt, bleibt im Dunkeln. Dadurch hat der Kl. keine Kontrolle darüber, was mit den auf Drittwebseiten angefallenen Daten bei der Bekl. geschieht. Bei der Höhe des dem Kl. zuzuerkennenden Schadensersatzes berücksichtigt die Kammer, dass einerseits eine Mehrzahl von Datenübertragungen gegenständlich ist, weil der Kl. mehrere Webseiten unter Einbindung von D. P. N. besucht hat. Zudem hat der Kl. im Rahmen seiner Anhörung mitgeteilt, dass er sich aufgrund der streitgegenständlichen Datenverarbeitung gestalkt und ausspioniert fühle. Dies hat er dadurch untermauert, dass er konkrete Angaben zur Verringerung des Risikos weitere Erhebung von Daten durch die D. P. N. ergriffen hat. So hat er angegeben, dass er sein E.-Konto gelöscht habe und dazu übergegangen sei, Technologien einzusetzen, um entsprechendes Abgreifen von Daten zu unterbinden, zB den Bitdefender oder auch ein VPN sowie D.-Plugins, wie zum Beispiel den E.-Container von Mozilla. Aufgrund des persönlichen Eindrucks, den die Kammer von dem Kl. iRd Anhörung gewonnen hat, sowie der nachvollziehbaren Schilderung der ergriffenen Maßnahmen, ist die Kammer davon überzeugt, dass der Kl. sich tatsächlich in einem höheren Maße von der streitgegenständlichen Datenverarbeitung beeinträchtigt fühlt. Unter Berücksichtigung dieser Umstände erscheint ein Schadensersatz iHv 2.000 EUR angemessen. Der Anwendungsbereich des § 823 Abs. 1 BGB wegen einer Verletzung des allgemeinen Persönlichkeitsrechts ist neben Art. 82 DS-GVO eröffnet. Die durch die DS-GVO erfolgte Harmonisierung führt nicht zu einer Sperrwirkung. Denn die DS-GVO bezweckt grds. einen umfassenden Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen. Gerade die ergänzende Anwendung des nationalen Rechts stellt einen umfassenden Rechtsschutz bzgl. der Verarbeitung personenbezogener Daten von natürlichen Personen sicher.
NEU LG München II Endurt. v. 4.4.2025 – 11 O 4205/23	0 EUR Nach Art. 82 Abs. 1 DS-GVO hat jeder, dem wegen eines Verstoßes gegen die DS-GVO ein materieller oder materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Ein Verstoß ergibt sich nicht aus Art. 22 Abs. 1 DS-GVO.
LG Berlin II Urt. v. 4.4.2025 – 39 O 56/24	2.000 EUR Angesichts der rechtswidrigen Datenverarbeitung steht der Klagepartei zumindest gemäß Art. 82 Abs. 1 DS-GVO ein Schadensersatzanspruch iHv 2.000 EUR gegen die Bekl. zu. Dies berücksichtigend ist die Kammer befugt, bereits jetzt über diesen Anspruch zu entscheiden. Die Klagepartei hat nämlich klargestellt, die Stufenklage sei im Falle der Zuerkennung eines solchen Betrags mangels fortbestehender Notwendigkeit in eine ungestufte objektive Klagehäufung gemäß § 260 ZPO umzudeuten. Der Schadensersatzanspruch besteht dem Grunde nach. Wie der EuGH in mittlerweile gefestigter Rspr. entschieden hat, muss ein auf diese Vorschrift gestützter Schadensersatzanspruch drei kumulative Voraussetzungen erfüllen: Es muss eine Verarbeitung personenbezogener Daten unter Verstoß gegen Bestimmungen der DS-GVO erfolgt, der betroffenen Person ein (materieller oder immaterieller) Schaden entstanden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden gegeben sein. Die Darlegungs- und Beweislast für das Vorliegen dieser Voraussetzungen trifft die Person, die auf Grundlage des Art. 82 DS-GVO einen Schadensersatzanspruch geltend macht. Diese Voraussetzungen sind gegeben. Die Bekl. hat gegen die DS-GVO verstoßen, indem sie unrechtmäßig Daten verarbeitet hat. Der Klagepartei ist hierdurch ein erstattungsfähiger immaterieller Schaden entstanden. Der Begriff des immateriellen Schadens ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu definieren. In diesem Zusammenhang hat der EuGH in seiner jüngeren Rspr. mehrfach klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Danach begründet die streitgegenständliche rechtswidrige Speicherung und Individualisierung der mittels der XXXX übermittelten personenbezogenen Daten der Klagepartei einen immateriellen Schaden in Form eines Kontrollverlusts. Denn die Bekl. hat eine Vielzahl von Daten der Klagepartei ohne deren Willen und ohne deren Zugriffs- oder Einwirkungsmöglichkeit erhalten, um diese nach eigenem Gutdünken weiterzuverwerten. Jedoch ist der Schadensersatzanspruch nur iHv 2.000 EUR gerechtfertigt, sodass die darüber hinausgehende Klage abzuweisen ist. Die DS-GVO enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes, insb. können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DS-GVO genannten Kriterien herangezogen werden. Vielmehr richtet sich die Bemessung entsprechend dem Grundsatz der Verfahrensautonomie – wenngleich mit mehreren aus dem Unionsrecht folgenden Einschränkungen – nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist somit insb. die Verfahrensvorschrift des § 287 ZPO anzuwenden. Ist nach den Feststellungen des Gerichts ein Schaden – hier in Form eines Kontrollverlusts an personenbezogenen Daten – gegeben, ist bei dessen Schätzung insb. die Sensibilität der konkret betroffenen personenbezogenen Daten, deren typischerweise zweckgemäße Verwendung, die Art und Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle in den Blick zu nehmen. Bei Anwendung dieser Maßstäbe hält die Kammer in der Gesamtschau nur einen Schadensersatz iHv 2.000 EUR für billig und angemessen. Dabei hat die Kammer zwar u. a. die Vielzahl der betroffenen Daten und deren Betroffenheitsdauer, aber insb. auch berücksichtigt, dass der Klagepartei aufgrund der Datenschutzrichtlinie bekannt gewesen sein könnte, dass entsprechende Daten gesammelt und ggf. weitergegeben wurden. Da die Klagepartei zudem bewusst davon abgesehen hat, konkrete Einzelheiten zu ihrem Nutzerverhalten im Internet offenzulegen, konnten besondere Umstände – vor allem eine Betroffenheit besonders sensibler Daten aus dem Kernbereich des Persönlichkeitsrechts der Klagepartei, da diese allenfalls theoretisch denkbar wäre – bei der Bemessung des Schadensersatzes keinen Niederschlag finden. Aus § 823 Abs. 1 BGB in Verbindung mit Art. 1 und Art. 2 GG wegen einer Verletzung des allgemeinen Persönlichkeitsrechts kann die Klagepartei keinen weiteren Schadensersatzanspruch herleiten. Denn der Regelung des Art. 82 DS-GVO kommt insoweit als abschließender Spezialregelung eine Sperrwirkung gegenüber nationalem Recht zu. Da die Kosten einer erforderlichen und zweckmäßigen außergerichtlichen Rechtsverfolgung auch für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO ersatzfähig sind, kann die Klagepartei hier als Nebenforderung die Freistellung von vorgerichtlichen Rechtsanwaltskosten auf Grundlage desjenigen Gegenstandswerts fordern, der ihrer berechtigten Klageforderung entspricht.
NEU LG Berlin II Urt. v. 4.4.2025 – 39 O 57/24	2.000 EUR Wie LG Berlin II Urt. v. 4.4.2025 – 39 O 56/24.
NEU LG Berlin II Urt. v. 4.4.2025 – 39 O 67/24	2.000 EUR Wie LG Berlin II Urt. v. 4.4.2025 – 39 O 56/24.
NEU LG Berlin II Urt. v. 4.4.2025 – 39 O 97/24	2.000 EUR Wie LG Berlin II Urt. v. 4.4.2025 – 39 O 56/24.
LG Berlin II Urt. v. 4.4.2025 – 39 O 218/24	2.000 EUR Wie LG Berlin II Urt. v. 4.4.2025 – 39 O 56/24.
LG Berlin II Urt. v. 4.4.2025 – 39 O 184/24	2.000 EUR Wie LG Berlin II Urt. v. 4.4.2025 – 39 O 56/24.
NEU LG Trier Urt. v. 4.4.2025 – 2 O 85/24	0 EUR Die Klagepartei hat keinen Anspruch auf Ersatz immaterielle Schäden nach Art. 82 Abs. 1, Abs. 2 DS-GVO, den sie mit dem Klageantrag zu 1) geltend macht. Die Voraussetzungen für den Schadensersatzanspruch nach Art. 82 Abs. 1, Abs. 2 DS-GVO sind nicht erfüllt. Das Gericht ist bereit nicht von einem (schuldhaften) Verstoß der Bekl. gegen die DS-GVO überzeugt.
NEU LG Essen Urt. v. 3.4.2025 – 3 O 298/23	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz in der geltend gemachten Höhe von 3.000 EUR. Ein Anspruch gegen die Bekl. ergibt sich weder aus nationalen Vorschriften noch aus Art. 82 DS-GVO. Es fehlt jedenfalls an der Kausalität zwischen den behaupteten Pflichtverletzungen der Bekl. und dem hier geltend gemachten immateriellen Schadensersatz nach Art. 82 DS-GVO. Zudem ist auch ein konkreter Schaden des Kl. nicht ausreichend dargelegt und bewiesen. Die Kammer folgt in der rechtlichen Bewertung des Sachverhalts zunächst insgesamt der Auffassung des OLG Hamm gemäß Urt. v. 15.8.2023 – 7 U 19/23. Demnach ist die Bekl. im zeitlichen Anwendungsbereich der DS-GVO (Geltung seit dem 25.5.2018 gem. Art 99 Abs. 2 DS-GVO) als Betreiberin der N.-Plattform, was in den sachlichen und hier auch räumlichen Anwendungsbereich der DS-GVO fällt, als Datenverantwortliche iSd Vorschriften anzusehen. In dieser Funktion hat sie Daten der Klagepartei den Vorschriften von Art 5 DS-GVO zuwider in nicht gerechtfertigter Weise iSv Art 6 DS-GVO verarbeitet. Das gilt entsprechend der vorgenannten Rspr., auf deren Begründung im Einzelnen verwiesen wird für die Datenverarbeitung hinsichtlich der Suchbarkeit der Nutzerprofile über die Mobilfunknummer über die Such- und Kontaktimportfunktion und vor allem die diesbezügliche Voreinstellung der Suchbarkeit für „alle“. Des Weiteren liegt ein Verstoß gegen das Gebot des Art. 25 DS-GVO vor, wonach der Grundsatz der datenschutzfreundlichen Grundeinstellungen nicht eingehalten wurde. Zudem entsprach die Datenverarbeitung auch nicht den Grundsätzen der Sicherheit der Verarbeitung iSv Art. 32 DS-GVO. Demnach erreichten die getroffenen Maßnahmen zur Sicherung der Informationssysteme in technischer und qualitativer Hinsicht ein nicht ausreichend akzeptables Niveau. Dagegen fallen etwaige Verstöße der Bekl. gegen die Vorschrift des Art. 13 DS-GVO (Informationspflicht) bereits nicht in den zeitlichen Anwendungsbereich der Norm, denn es ist auf den Zeitpunkt der Datenerhebung abzustellen; diese lag hier zeitlich vor der Geltung der DS-GVO. Gleiche Überlegungen gelten für etwaige Verstöße gegen Art. 35 DS-GVO. Hinsichtlich des geltend gemachten Schadensersatzanspruchs hat der Kl. aber sowohl die Kausalität der Pflichtverletzungen für den behaupteten Schadenseintritt als auch einen konkreten Schaden an sich nicht hinreichend dargelegt und zur Überzeugung des Gerichts bewiesen. Schließlich ist der Kl. selbst bei unterstellter Verletzung der für die Bekl. bestehenden Auskunftspflicht nach Art. 15 DS-GVO kein kausaler Schaden iSv Art. 82 DS-GVO entstanden. Es ist schon nicht ersichtlich, wie eine nach (den vagen) Angaben der Kl. zu erfolgende Auskunft der Bekl. den in Rede stehenden Schadenseintritt hätte verhindern sollen. Letztlich fehlt es vorliegend auch an einer ausreichenden Darlegung der Kausalität im Allgemeinen. Soweit der Kl. schriftsätzlich behauptet, er erhalte Spam-Anrufe, Spam-SMS und Spam-E-Mails, so handelt es sich insoweit zum einen um eine Erscheinung, die bereits mit der Nutzung des Internets als solcher zusammenhängt. Dem Gericht ist insoweit aus eigener Anschauung bekannt, dass auch Personen ohne N.-Account unerwünschte Anrufe unter der vermeintlichen Behauptung, es sei „Interpol“ oder SMS-Nachrichten erhalten. Selbst wenn bei dem Kl. tatsächlich derartige Anrufe seit dem Scraping-Vorfall zugenommen haben mögen, so kann dies vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat und ob ein unberechtigter Datenzugriff an anderer Stelle zu diesem – zu Gunsten des Kl. als wahr unterstellten vermehrten unerwünschten Anruf-Aufkommens – geführt hat. Darüber hinaus hat der Kl. einen konkreten Schadenseintritt nicht ansatzweise dargelegt und bewiesen. Auch wenn ein bestimmter Grad der Erheblichkeit eines (immateriellen) Schadens nicht vorausgesetzt wird, so stellen die aus einem Datenschutzverstoß resultierenden negativen Folgen nicht per se einen haftungsbegründenden Schaden dar. Die Darlegung eines konkreten Schadens setzt vielmehr voraus, dass dieser konkret und individuell dargestellt wird. Der reine – so vom Kl. vorgetragenen Kontrollverlust durch das stattgefundenen Scraping – betrifft das generelle Risiko der nichtgesetzeskonformen Datenverarbeitung. Realisiert sich dieses generelle Risiko, kommt es zwangsläufig zum Kontrollverlust. Soweit der bloße Verlust der Kontrolle über die Daten zur Begründung eines ersatzfähigen Schadens nach einer Entscheidung des EuGH v. 14.12.2023 und zuletzt durch die Entscheidung des BGH v. 18.11.2024 (VI ZR 10/24) ausreichend sein sollte, hat der Kl. aus Sicht des Gerichts gerade nicht dargelegt, dass dieser durch den hier streitgegenständlichen Scraping-Sachverhalt eingetreten und somit kausal auf diesen zurückzuführen ist. Wie bereits dem Wortlaut des Begriffs „Kontrollverlust“ zu entnehmen ist, setzt dieser voraus, dass der Betroffene zunächst die Kontrolle über das konkrete personenbezogene Datum – der Gerichtshof spricht insoweit von Datenhoheit – hatte und diese Kontrolle später gegen seinen Willen durch den streitgegenständlichen Datenschutzverstoß verloren hat. Dabei muss der potenziell Geschädigte darlegen, dass er die Hoheit über die Daten nicht schon zuvor verloren hatte. Dies gilt jedenfalls bei Daten, bei denen es sich – wie etwa bei dem Namen, dem jedenfalls im europäischen Kulturkreis fast immer aus dem Vornamen ableitbaren Geschlecht und der Telefonnummer – nicht um ein per se sensibles oder der Geheimhaltung unterliegendes personenbezogenes Datum handelt, sondern im Gegenteil um ein Identifizierungsmerkmal. Im Hinblick auf die Telefonnummer ist dabei von Bedeutung, dass es sich um ein solches Datum handelt, das nach seiner Zweckbestimmung dem Betroffenen ermöglichen soll, in Kontakt mit anderen, identifizierbaren Personen zu treten und das daher im täglichen Leben auch solchen anderen Personen oft in großem Umfang zugänglich gemacht wird. In solchen Fällen ist der Betroffene gehalten, dazu vorzutragen, wie er im privaten, geschäftlichen und/oder beruflichen Umfeld mit diesen Daten vor dem streitgegenständlichen Scraping-Vorfall umgegangen ist, ob und unter welchen Bedingungen er sie an wen weitergegeben hat und dass insofern durch die Veröffentlichung nach dem Scraping-Vorfall tatsächlich ein Verlust der zuvor über diese Daten durch ihn noch ausgeübten Kontrolle eingetreten ist. Ein hinreichender schriftsätzlicher Vortrag dazu, wie der Kl. im privaten, geschäftlichen und/oder beruflichen Umfeld mit ihrer Handynummer und seiner E-Mail-Adresse vor dem streitgegenständlichen Scraping-Vorfall umgegangen ist, ob und unter welchen Bedingungen sie diese an wen weitergegeben hat und dass insofern durch die Veröffentlichung nach dem Scraping-Vorfall tatsächlich ein Verlust der zuvor über diese Daten durch ihr noch ausgeübten Kontrolle eingetreten ist, fehlt. Personenbezogene Daten des Kl. wie die E-Mail-Adresse, sein Name, Passwörter und teils die Telefonnummer waren ausweislich der Internetseite „I02“ bereits – vor dem streitgegenständlichen Datenschutzvorfall – Gegenstand weiterer (neun) Datenschutzvorfälle, so im Jahr 2013 auf „K.“ sowie aktuell bei „J.“. Das behauptete Datenleck der Bekl. wird bei der dortigen Eingabe der streitgegenständlichen E-Mail-Adresse hingegen – wie auch die entsprechende Inaugenscheinnahme der Webseite im Termin zur mündlichen Verhandlung am 13.3.2025 belegt – nicht angezeigt. Die Kammer vermag mithin auf Grundlage der klägerseitig herangezogenen Konkretisierung des behaupteten Datenverlustes über die Webseite „I02“ keine Feststellung dahingehend zu treffen, dass die streitgegenständliche E-Mail-Adresse durch den Scraping-Vorfall Im Zusammenhang mit der Plattform der Bekl. abgegriffen und veröffentlicht wurde. Der vorgelegte Datensatz weist wiederum die E-Mail-Adresse nicht aus. IÜ dürfte ein Kontrollverlust hinsichtlich der klägerischen E-Mail-Adresse ausscheiden, da – sofern die Bezugnahme auf die Webseite „I02“ als ausreichend erachtet werden sollte – gerade nicht festgestellt werden kann, dass der Kl. zum Zeitpunkt des streitgegenständlichen Scraping-Vorfalls in Anbetracht der sonstigen in Betracht kommenden Datenlecks überhaupt noch die Kontrolle über diese Daten hatte. Auch im Hinblick auf die streitgegenständliche Handynummer kann die Kammer nicht feststellen, dass der Kl. die entsprechende Datenhoheit noch innehatte. So hat der Kl. im Rahmen seiner persönlichen Anhörung angegeben, die streitgegenständliche Handynummer bereits seit etwa 20 Jahren zu nutzen. Selbst bei einer unterstellten überwiegenden Nutzung im privaten Bereich ergibt sich allein aufgrund der zeitlichen Dauer der Nutzung der Handynummer die Weitergabe an eine Vielzahl von Kontakten. So gibt auch der Kl. selbst die Anzahl seiner aktuellen Kontakte jedenfalls mit 300 bis 400 an. Ferner nutzt er die streitgegenständliche Handynummer für Organisatorisches im privaten Bereich zB bei Versicherungen und Banken. IÜ nutzt der Kl. eine Vielzahl sozialer Netzwerke bzw. Dienste wie I01, S. sowie H. Ferner nutzt er D. Ein besonders vorsichtiger Umgang mit der Handynummer liegt aus Sicht der Kammer nicht vor. Ein erst durch den streitgegenständlichen Scraping-Vorfall stattgefundener Kontrollverlust lässt sich vor diesem Hintergrund folglich zur tatrichterlichen Überzeugung nicht feststellen. Darüberhinausgehende immaterielle Schäden, etwa in Form einer persönlichen/psychologischen Beeinträchtigung hat der Kl. nicht schlüssig dargelegt, weder ausdrücklich noch durch Darstellung von Indizien, durch welche auf das Vorliegen innerer Tatsachen geschlossen werden könnte. Der Vortrag hierzu erfolgt vielmehr in der Vielzahl der dem Gericht bekannten Verfahren nahezu wortgleich und allgemein gehalten. So hätte es nahegelegen, konkret die Missbrauchsversuche aufgrund der gescrapten Daten und die Reaktionen der Kl. hierauf darzustellen. Zudem entspricht es auch nicht der allgemeinen Lebenserfahrung, dass das öffentliche Bekanntwerden der eigenen Mobilfunknummer und / oder E-Mail-Adresse regelmäßig oder erfahrungsgemäß zu persönlichen Beeinträchtigungen führt. Auch unter Berücksichtigung der Angaben des Kl. im Rahmen seiner persönlichen Anhörung vermag die Kammer derartige Schäden nicht mit der erforderlichen Sicherheit festzustellen. Die persönlichen Angaben des Kl. stellen sich aus Sicht der Kammer im Hinblick auf die geschilderten Belastungen als pauschal dar. Eine konkrete zeitliche Einordnung des Beginns und der Häufung der Spam-Nachrichten war dem Kl. nicht möglich. Dass eine unbestimmte Anzahl von Anrufen und / oder Nachrichten zu persönlichen/psychologischen Beeinträchtigungen geführt haben sollen, erscheint ferner nicht stimmig oder nachvollziehbar. Dies gilt insb. nach dem persönlichen Eindruck, den die Kammer von dem als Informatiker tätigen Kl. gewonnen hat, der das berichtete Spam-Aufkommen allenfalls als Lästigkeit, nicht aber als persönliche oder gar psychologische Beeinträchtigung darstellte. In Anbetracht des Zeitpunktes des Daten-Scraping bereits zwischen Januar 2018 bis September 2019 wäre bei einer Betroffenheit der klägerischen Daten ferner mit einer zeitnahen Belästigung durch Werbeanrufe und Mails zu rechnen gewesen. IÜ ist für die Kammer – selbst bei einer als wahr unterstellten derartigen Belastung durch Webeanrufe – keinesfalls nachvollziehbar, dass ein Wechsel der Telefonnummer und / oder E-Mail-Adresse seitens des Kl. nicht in Betracht gezogen und / oder tatsächlich erfolgt ist. Demnach verbleibt in Würdigung der eigenen Angaben des Kl. die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen, die aber ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten einen immateriellen Schaden begründen kann. Entsprechend lassen sich die hier wie in allen Verfahren schriftsätzlich pauschal behaupteten Umstände von Komforteinbußen, Mühewaltung und Gefühlen des Beobachtetwerdens sowie der Hilflosigkeit, so sie denn überhaupt relevant wären, nicht feststellen.
NEU LG Essen Urt. v. 3.4.2025 – 3 O 36/24	0 EUR Für einen Schadensersatzanspruch nach Art. 82 DS-GVO muss der Kl., dessen personenbezogene Daten bei einem Cyberangriff abgeflossen sind, darlegen, die Hoheit über seine Daten nicht bereits zuvor verloren zu haben.
LG Tübingen Urt. v. 3.4.2025 – 5 O 8/24	0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO zu. Der Kl. hat schon nicht hinreichend vorgetragen und unter Beweis gestellt, dass durch die Bekl. überhaupt eine Weiterleitung seiner Positivdaten an die Wirtschaftsauskunfteien S. H. AG und C. GmbH erfolgt ist. Allein aus dem Umstand, dass die Bekl. in ihren Datenschutzschutzhinweisen angibt, dass sie „personenbezogene Daten über die Beantragung, die Aufnahme, die Durchführung und die Beendigung von Vertragsverhältnissen sowie über nicht vertragsgemäßes oder betrügerisches Verhalten an Wirtschaftsauskunfteien [übermittelt], soweit nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…), ergibt sich nicht schon, dass eine solche Meldung auch tatsächlich erfolgt wäre. Die Bekl. trägt insoweit auch keine sekundäre Darlegungslast. Bei dem Umfang der Darlegungslast ist zwar zu berücksichtigen, welche Angaben der darlegungsbelasteten Partei zumutbar und möglich sind. Sollte eine Partei keinen Einblick in die Geschehensabläufe haben und ihr die Beweisführung deshalb erschwert sein, darf sie auch nur vermutete Tatsachen unter Beweis stellen. Sie ist grds. nicht daran gehindert, Tatsachen zu behaupten, über die sie keine genauen Kenntnisse hat, sie aber nach ihrer Einschätzung für wahrscheinlich hält. Allerdings hat die Partei in derartigen Fällen zumindest greifbare Umstände vorzutragen, auf die sich ihr Verdacht gründet. Für derartige greifbare Umstände genügen die Angaben in dem Datenschutzhinweis nicht.
NEU LG Bielefeld Urt. v. 1.4.2025 – 6 O 77/24	1.000 EUR (+ 540,50 EUR vorgerichtliche Rechtsanwaltskosten) Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz in zuerkannter Höhe aus Art. 82 Abs. 1 DS-GVO. Ein solcher Schadensersatzanspruch erfordert einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Diese Voraussetzungen liegen hier vor. Der Kl. hat durch die rechtswidrige Verarbeitung seiner Daten einen immateriellen Schaden erlitten. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten iSd Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Art. 82 Abs. 1 DS-GVO steht weiter einer nationalen Regelung oder Praxis nicht entgegen, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS-GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann dabei einen immateriellen Schaden darstellen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Einen solchen Kontrollverlust hat der Kl. erlitten. Die Bekl. hat – wie dargelegt – personenbezogene Daten des Kl. ohne dessen Einwilligung und ohne dessen Kenntnis erhoben und gespeichert. Ferner liegt die erforderliche haftungsbegründende Kausalität vor. Gerade die Datenerhebung auf den Drittwebseiten bzw. Apps führte zu der dem Kl. unbekannten Datenspeicherung bei der Bekl. und somit zu dem immateriellen Schaden in Form des Kontrollverlusts. Der Kl. hat hierdurch auch einen mit 1.000 EUR zu beziffernden immateriellen Schaden erlitten. Bei der Ermittlung der Höhe des festzustellenden Schadens war nach der Rspr. des BGH von folgenden Grundsätzen auszugehen: Die Bemessung richtet sich entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist somit insb. die Verfahrensvorschrift des § 287 ZPO anzuwenden. Allerdings unterliegt die Ermittlung des Schadens unionsrechtlichen Einschränkungen. Die Modalitäten der Schadensermittlung dürfen bei einem – wie im Streitfall – unter das Unionsrecht fallenden Sachverhalt nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Auch dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs, wie sie in Erwägungsgrund 146 S. 6 DS-GVO zum Ausdruck kommt, ist eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO dagegen nicht erfüllen. Folglich darf weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen. Im Ergebnis soll die Höhe der Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausginge. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen. Dies gilt auch unter Berücksichtigung des Umstandes, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten – wie hier – gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DS-GVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums (zB Rufnummernwechsel; neue Kreditkartennummer) in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könnte in den Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle dienen. Nach diesen Maßstäben ist im vorliegenden Fall, ein Schmerzensgeld iHv 1.000 EUR angemessen. Die Bekl. verarbeitet seit geraumer Zeit personenbezogene Daten in nicht erkennbarem Umfang, wobei unter der Annahme eines durchschnittlichen Internet-Nutzungsverhaltens und der oben begründeten Annahme einer weiten Verbreitung der Business Tools davon auszugehen, dass die Daten einen weiten Bereich der privaten Lebensgestaltung des Kl. umfassen. Über den genauen Umfang lässt die Bekl. den Kl. im Unklaren. Der konkrete Umfang der bei der Bekl. gespeicherten Daten ist trotz der Auskunftsverlangen des Kl. nicht von ihr offenbart. Auch sah sich der Kl. veranlasst, nach seinen glaubhaften Angaben im Rahmen seiner mündlichen Anhörung veranlasst, sein Internet-Nutzungsverhalten in Bezug auf Cookies und VPN-Verbindungen umzustellen. Dagegen hat der Kl. etwaige psychische Beeinträchtigungen oder eine sonstige nachhaltige Störung seines Privatlebens, die sicher auf die Datenschutzverstöße der Bekl. zurückzuführen sind, im Rahmen seiner mündlichen Anhörung nicht mitgeteilt. Der Kl. hat ferner einen Anspruch gegen die Bekl. auf Freistellung von den vorgerichtlichen Rechtsanwaltskosten gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO. Bei der Inanspruchnahme anwaltlichen Beistands handelte es sich vorliegend um eine zweckentsprechende Maßnahme der Rechtsverfolgung. Der Anspruch ist der Höhe nach jedoch nur betreffend den berechtigten Teil der mit dem vorprozessualen Aufforderungsschreiben geltend gemachten Ansprüche gerechtfertigt. Im Hinblick darauf, dass dort ein mit dem hier geltend gemachten Feststellungsanspruch (Wert: 1.000 EUR) korrespondierender Anspruch geltend gemacht worden ist, war von einem dem berechtigten Forderungsteil entsprechenden Gegenstandswert von 4.500 EUR auszugehen. Die erstattungsfähigen Rechtsanwaltskosten betragen danach 1540,50 EUR.
NEU LG Hanau Urt. v. 28.3.2025 – 9 O 1286/23	0 EUR Auch ein immaterieller Schadensersatzanspruch auf der Grundlage der DS-GVO scheidet im Ergebnis aus. Im Hinblick auf Art. 82 Abs. 1 DS-GVO fehlt es an einem ersatzfähigen Schaden des Kl. iSd Vorschrift. Es oblag dem Kl., einen über die behaupteten Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen/psychologischen Beeinträchtigung darzulegen. Der von dem Kl. ins Feld geführte Kontrollverlust rechtfertigt als solcher allein auch hier keine Entschädigungsverpflichtung. Der Eintritt des Schadens muss dabei iSd § 287 ZPO als überwiegend wahrscheinlich dargetan werden. Auch wenn der Schadensbegriff iRd DS-GVO weit zu verstehen ist, ist es dem Kl. – der überhaupt kaum Ausführungen hierzu macht – nicht gelungen, einen solchen hinreichend konkret darzulegen. Weil der Schaden iSd Art. 82 Abs. 1 DS-GVO nicht bereits in einer Verletzung der DS-GVO als solcher liegt, oblag es dem Kl., einen auf einem Verstoß gegen die DS-GVO beruhenden Schaden darzulegen. Das Erfordernis eines zusätzlich zu einem Verstoß gegen die DS-GVO eintretenden Schadens folgt dabei bereits aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO, der davon spricht, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz hat. Die Regelung setzt damit voraus, dass es auch Verstöße geben kann, die nicht in einem Schaden resultieren, und lässt somit erkennen, dass es gerade keinen Gleichklang zwischen einem Verstoß gegen die DS-GVO und dem immateriellen Schaden gibt. In dem Erwägungsgrund 146 S. 3 DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird. Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus. Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist zudem auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich zwar aus der DS-GVO nicht, sodass Bagatellschäden nicht grds. auszuschließen sind. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Diesen muss der Kl. darlegen und ggf. beweisen. Eine individuelle Beschreibung des dem Kl. angeblich entstandenen Schadens enthält der Klagevortrag nicht. Der Kl. benennt insoweit als immaterielle Schadensposition die Angst, dass mithilfe von KI eine Analyse seiner Interessen etc. vorgenommen werden könnte, ein subjektives Unmutsgefühl in Bezug auf eine Überwachung seines Privatlebens und einen vor allem durch eine Übertragung in Drittländer ausgelösten Kontrollverlust über seine Daten. Das Gericht kann auf dieser Grundlage nicht mit hinreichender Wahrscheinlichkeit davon ausgehen, dass der Kl. tatsächlich einen entsprechenden immateriellen Schaden erlitten hat. Ein Kontrollverlust betraf als generelles Risiko der Verarbeitung alle Personen, deren Daten übertragen wurden, gleichermaßen. Daraus allein resultiert aber deshalb noch kein tatsächlicher Schaden im konkreten Einzelfall, weil dieser automatisch bei jedem von einem Verstoß gegen die DS-GVO Betroffenen in Form der Offenlegung/Zugänglichmachung von Daten eintritt, also lediglich eine zwangsläufige und generelle Folge war. Daraus folgt, dass es über den Kontrollverlust als Realisierung des generellen Risikos hinaus eines tatsächlichen materiellen oder immateriellen Schadens im konkreten Einzelfall bedarf, den der Kl. hier nicht vorträgt. Bei persönlichen / psychologischen Beeinträchtigungen handelt es sich, soweit – wie hier – keine krankhaften Störungen behauptet werden, um innere Vorgänge. Auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen kann nur mittelbar aus in der Regel auf äußeren Tatsachen basierenden Indizien geschlossen werden. Konkret-individuellen Vortrag dazu, wann, wie häufig und auf welchem Weg der Kl. konkret von Auswirkungen einer Übertragung von „Off-Site-Daten“ betroffen gewesen wäre, wie er darauf jeweils reagiert hat, und warum eine Analyse seiner Interessen für ihn belastend sein könnte, enthält der Klagevortrag nicht. Es entspricht auch schon nicht der allgemeinen Lebenserfahrung, dass das öffentliche Bekanntwerden entsprechender Daten, auch wenn es ungewollt erfolgt ist, regelmäßig/erfahrungsgemäß zu persönlichen/psychologischen Beeinträchtigungen führt. Zudem ist die Zustimmung in Bezug auf die Nutzung der „Off-Site-Daten“ für die Registrierung an sich nicht zwingend erforderlich gewesen. Soweit dem Kl. an der größtmöglichen Geheimhaltung seiner Daten gelegen ist, kann er sich zwecks Nutzung der Social-Media-Plattform auf die Zustimmung zu den „On-Plattform-Daten“ beschränken. Schließlich hat der Kl. auch die erforderliche Kausalität zwischen dem behaupteten Verarbeitungsverstoß und einem vermeintlichen immateriellem Schaden nicht dargelegt und bewiesen. Auch insoweit trifft den Kl. die volle Darlegungs- und Beweislast. Es gilt für die hier betroffene Frage der haftungsbegründenden Kausalität § 286 ZPO. Diese erfordert keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet. Eine bloße, wenn auch erhebliche Wahrscheinlichkeit reicht aber nicht aus. Auf dieser Grundlage ist in erheblichem Maße zweifelhaft, ob die vorgetragenen unguten Gefühle tatsächlich im Zusammenhang mit einer Übertragung von „Off-Site-Daten“ entstanden sind. Es ist gerichtsbekannt, dass auch Personen, die niemals auf dem Portal der Bekl. angemeldet waren, etwa ungebetene Werbung erhalten. Gerade die durch den Kl. recht pauschal geschilderten Ängste können vielerlei Ursachen haben. Es ist völlig unklar und unbekannt, ob und welche Daten der Kl. an anderer Stelle freigegeben hat und ob etwa ein dortiger unberechtigter Datenzugriff, zB iRe Datenlecks, an anderer Stelle zu einer Veröffentlichung von Klägerdaten geführt hat. Ferner gehört derartiges in unserer digitalisierten Welt mittlerweile zum allgemeinen Lebensrisiko, insb. dann, wenn man – wie der Kl. – durch Unterhaltung eines Social-Media-Accounts freigiebig seine personenbezogenen Daten ins Internet stellt. Zudem hat der Kl. auch nicht vorgetragen, dass er sich in Reaktion auf den Vorfall etwa bei der Bekl. abgemeldet oder sein Nutzungsverhalten wesentlich geändert hätte, was bei realen Ängsten zu erwarten gewesen wäre. Erkennbare Konsequenzen hat der Kl. daher nicht gezogen, was im Hinblick auf die dargelegten Befürchtungen nicht plausibel ist. Das Gericht ist auch nicht davon überzeugt, dass der Kl. irgendwelche Komfort- und Zeiteinbußen im Zusammenhang mit dem Streitfall erlitten hat. Er musste sich nicht mit der Bekl. selbst auseinandersetzen oder irgendwelche Nachforschungen anstellen. Nach alledem kann das Gericht einen für den Kl. konkret entstandenen immateriellen Schaden nicht erkennen (§ 287 Abs. 1 ZPO).
LG Stuttgart Urt. v. 28.3.2025 – 17 O 260/23	0 EUR Dem Kl. steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Vorliegend fehlt es bereits an einem Verstoß gegen die Bestimmungen der DS-GVO, aus welchem sich ein Schadensersatzanspruch des Kl. dem Grunde nach ergeben könnte. Insb. liegt der vom Kl. vorgetragene Verstoß der Bekl. gegen Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO nicht vor. Aus diesem Grund muss auch nicht erörtert werden, ob der Kl. möglicherweise sogar in die Datenübermittlung eingewilligt hat. IÜ ist dem Kl. auch kein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Art. 82 DS-GVO ist dahingehend auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO ergibt sich vielmehr eindeutig, dass neben einem Verstoß gegen die DS-GVO das Vorliegen eines Schadens und ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß vorliegen müssen. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Der Begriff des Schadens ist gemäß Erwägungsgrund 146 Satz 3 DS-GVO weit auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Die Erwägungsgründe 75 und 85 nennen zB immaterielle Schäden wie Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung oder andere gesellschaftliche Nachteile. Der Ersatz eines immateriellen Schadens nach Art. 82 DS-GVO ist nicht davon abhängig, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht, sodass auch Bagatellschäden einen Schadensersatzanspruch begründen können. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, muss aber keinen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Das Gericht hat im Einzelfall zu prüfen, ob ein konkreter immaterieller Schaden tatsächlich entstanden ist. Im streitgegenständlichen Fall sieht es das Gericht nicht als überwiegend wahrscheinlich – sondern als unwahrscheinlich – an, dass dem Kl. ein immaterieller Schaden zugefügt wurde. Nach allgemeinen Grundsätzen obliegt es der Klagepartei, die (Mit-)Ursächlichkeit des (vermeintlichen) Verstoßes für die geltend gemachten Schäden darzulegen und zu beweisen. Die Klage ist insoweit schon unschlüssig. Das Klagevorbringen ist formelhaft und ermöglicht dem Gericht keine Beurteilung der für die Person des Kl. behaupteten Einschränkungen. Darüber hinaus ist es auch schlechterdings unlogisch und im Ergebnis unglaubhaft, dass der Kl. durch die streitgegenständliche Positivmeldung eine mentale Beeinträchtigung erfahren haben will. Die als Anlage K 3 zur Klageschrift vorgelegte Schufa-Auskunft des Kl. enthält eine Vielzahl von Einträgen über anderweitige Telekommunikationsverträge und insb. Finanzierungsgeschäfte des Kl. Der Kl. hat in diesem Kontext nicht erläutert, warum ausgerechnet die streitgegenständliche Meldung Ängste und Nöte ausgelöst haben sollte. Anderweitige negative Folgen schließt der allenfalls schlagwortartige Vortrag des Kl. („aufgrund seiner Bonität bereits ein Vertrag verweigert, obwohl sein Score bei der S. gut war“ [Bl. 220]) bei verständiger Würdigung selbst aus. Der Kl. hat die Behauptung eines verweigerten Vertragsschlusses auch in keiner Weise belegt.
LG Stuttgart Urt. v. 28.3.2025 – 11 O 102/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz wegen der Weitergabe der Vertragsdaten an die S., da es an einem über das allgemeine Lebensrisiko hinausgehenden Schaden fehlt. Mangels erkennbarem immateriellem Schaden kann vorliegend offenbleiben, ob es sich bei der Weitergabe der Vertragsdaten von der Bekl. an die S. überhaupt um einen Verstoß gegen die DS-GVO gehandelt hat. Gemäß Art. 82 Abs. 1 DS-GVO ist einem von einem Verstoß gegen die DS-GVO Betroffenen vom Verantwortlichen oder Auftragsverarbeiter jeder aus diesem Verstoß resultierende materielle oder immaterielle Schaden zu ersetzen. Nach diesen Maßstäben ist anhand des Klägervortrags und seiner informatorischen Anhörung kein immaterieller Schaden erkennbar. Die Kammer konnte sich keine hinreichende Überzeugung nach § 286 ZPO bilden, dass dem Kl. durch die Weitergabe der Positivdaten an die S. negative Folgen und darauf basierend ein immaterieller Schaden entstanden ist. Der Kl. hat das Vorliegen eines kausalen immateriellen Schadens bereits schriftlich kaum individuell dargelegt, jedenfalls aber nicht bewiesen.
LG Magdeburg Urt. v. 27.3.2025 – 10 O 67/24	0 EUR Die Klagepartei hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes und Unterlassung aus Art. 82 Abs. 1 DS-GVO, da das beanstandete Verhalten der Bekl. rechtmäßig ist. Rechtfertigungsgrund ist Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO sein.
LG Bamberg Urt. v. 26.3.2025 – 41 O 749/24 KOIN	1.000 EUR Es liegt ein Verstoß gegen Art. 22 DS-GVO vor. Auch der von Art. 82 Abs. 1 DS-GVO vorausgesetzte Schaden bei dem Kl. liegt vor. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten iSd Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des EuGH jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Dabei kann bereits ein kurzzeitiger Kontrollverlust einen immateriellen Schaden darstellen, ohne dass der Nachweis zusätzlicher spürbarer negativer Folgen erforderlich ist. Dies zugrunde gelegt, ist hier vom Vorliegen eines Schadens auszugehen. Wie sich aus der von der Bekl. an den Kl. erteilten Auskunft ergibt, teilte die Bekl. auf verschiedene Anfragen hin Scores hinsichtlich des Kl. an diverse Banken mit, die eine vergleichsweise geringe Erfüllungswahrscheinlichkeit auswiesen. Die bloße Mitteilung von entgegen Art. 22 Abs. 1 DS-GVO automatisiert berechneten Bonitätsscores an potentielle Vertragspartner des Kl. stellt einen beachtlich größeren Eingriff in die Rechtsposition des Kl. dar als dies in der vom BGH entschiedenen Konstellation der Fall war. Denn dort handelte es sich um den Kontrollverlust an selbst in einem sozialen Netzwerk angegebenen Daten, während die vorliegend weitergegebenen Daten nicht vom Kl. selbst mitgeteilt, sondern durch die Bekl. auf rechtswidrige Weise berechnet wurden und zugleich auch unmittelbar die Teilnahme des Kl. am Wirtschaftsleben betreffen. Der Verstoß gegen Art. 22 DS-GVO war für den eingetretenen Schaden auch kausal, da gerade die auf automatisierter Berechnung beruhenden Scores den anfragenden Banken mitgeteilt wurden, wodurch der immaterielle Schaden eintrat. Die DS-GVO enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes. Insb. können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DS-GVO genannten Kriterien herangezogen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung. In Deutschland ist somit insb. die Verfahrensvorschrift des § 287 ZPO anzuwenden. Dabei dürfen die Modalitäten der Schadensermittlung bei einem – wie im Streitfall – unter das Unionsrecht fallenden Sachverhalt nicht ungünstiger sein als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Auch dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). In Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs, wie sie in Erwägungsgrund 146 Satz 6 DS-GVO zum Ausdruck kommt, ist eine auf Art. 82 DS-GVO gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DS-GVO dagegen nicht erfüllen. Folglich darf weder die Schwere des Verstoßes gegen die DS-GVO, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen. Vor dem Hintergrund dieser Erwägungen erscheint im vorliegenden Fall ein Schadensersatz iHv 1.000 EUR angemessen.
NEU LG Stuttgart Urt. v. 24.3.2025 – 4 S 159/24	2x100 EUR (+ 117,10 EUR vorgerichtliche Rechtsanwaltskosten) Die Bekl. hat die Wohnungsbilder der Kl. veröffentlicht, ohne dass diese zuvor nachweislich eingewilligt hätten, wodurch den Kl. ein Schaden entstanden ist, der die Zahlung einer Geldentschädigung iHv jeweils 100 EUR rechtfertigt. Einem darüberhinausgehenden Zahlungsbegehren ist dagegen der Erfolg zu versagen. Die Kl. haben nach Art. 82 DS-GVO iVm Art. 6 DS-GVO einen Anspruch auf Schadensersatz iHv jeweils 100 EUR. Ein Verstoß iSd Art. 82 DS-GVO ist mit der streitgegenständlichen Veröffentlichung der Lichtbilder gegeben. Die Bekl. hat gegen Art. 6 Abs. 1 DS-GVO verstoßen, da die Kl. nicht wirksam in die Verarbeitung von personenbezogenen Daten, namentlich in die Veröffentlichung der Lichtbildaufnahmen vom Inneren der von den Kl. bewohnten Immobilie im Internet eingewilligt haben. Nach durchgeführter Beweisaufnahme konnte zur Überzeugung des Amtsgerichts nicht festgestellt werden, dass die Kl. in die Veröffentlichung der Wohnungsbilder eingewilligt haben. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nach der Rspr. des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – iSe eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich. Weiter hat der Gerichtshof in seiner jüngeren Rspr. unter Bezugnahme auf Erwägungsgrund 85 DS-GVO (vgl. ferner Erwägungsgrund 75 DS-GVO) klargestellt, dass schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Der eingetretene Kontrollverlust liegt vorliegend darin, dass die Kl. die Kontrolle über ihre personenbezogenen Daten gegen ihren Willen durch den Datenschutzverstoß verloren haben. Weitere Beeinträchtigungen, die über den eingetretenen Kontrollverlust hinausgehen, vermag die Kammer auch nach Anhörung der Kl. im Verhandlungstermin nicht zu erkennen. Den Kl. ist in Anbetracht des Pflichtverstoßes der Bekl. nach richterlichem Ermessen gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz iHv je 100 EUR zuzusprechen. Unter Berücksichtigung des Zwecks des Schadensersatzanspruchs gem. Art. 82 DS-GVO einerseits und der Art und Schwere der eingetretenen Rechtsgutsverletzung andererseits ist vorliegend ein Schadensersatz iHv 100 EUR für jeden einzelnen der Kl. angemessen aber auch ausreichend. Zwar wurden die Daten der Kl. im Internet veröffentlicht, aber gerade als Wohnung der Kl. waren die Wohnungsbilder nur einem begrenzten Personenkreis erkennbar. Nach den Umständen des konkreten Einzelfalls ist die Kammer auch davon überzeugt, dass beklagtenseits die streitgegenständliche Veröffentlichung nicht ohne Einwilligung der Kl. beabsichtigt war, sondern aufgrund eines Kommunikationsversehens erfolgt ist.
NEU LG Trier Urt. v. 21.3.2025 – 2 O 28/24	0 EUR Dem Kl. steht weiterhin weder ein Anspruch auf Zahlung eines immateriellen Schadensersatzes noch ein Anspruch auf Zahlung einer angemessenen Entschädigung in Geld zu. Ein solcher Anspruch folgt weder aus Art. 82 DS-GVO noch aus § 823 Abs. 1 BGB iVm Art. 2 Abs. 1, 1 Abs. 1 GG. Der geltend gemachte Anspruch scheitert bereits daran, dass die Klagepartei die Verarbeitung ihrer Daten durch die Bekl. nicht ausreichend substanziiert dargelegt hat. Voraussetzung sowohl für einen Anspruch auf Zahlung eines immateriellen Schadensersatzes nach Art. 82 DS-GVO als auch für eine Entschädigung in Geld nach § 823 Abs. 1 BGB iVm Art. 2 Abs. 1, 1 Abs. 1 GG ist, dass die Bekl. überhaupt persönliche Daten der Klagepartei auf Dritt- Webseiten oder Dritt-Apps verarbeitet. Denn fehlt es bereits an der streitgegenständlichen Datenverarbeitung durch die Bekl., kann auch ein Verstoß gegen die Vorschriften der DS-GVO oder eine Verletzung des Persönlichkeitsrechts des Kl. nicht vorliegen. Auch insoweit fehlt es – wie bereits dargelegt – an einem ausreichenden Vortrag der Klagepartei um dem Grunde nach überhaupt eine Verarbeitung ihrer Daten auf Dritt-Webseiten oder Dritt-Apps durch die Bekl. annehmen zu können. Ein immaterieller Schadensersatzanspruch nach Art. 82 DS-GVO scheitert zudem an dem Umstand, unter Beachtung der fehlenden substantiierten Angaben zur grundsätzlichen Datenverarbeitung durch die …-Tools auch kein adäquat kausaler, konkret auf der klägerseits angeführten Datenverarbeitung beruhender Schaden dargetan worden ist. Nach Art. 82 Abs. 1 DS-GVO kann jeder, dem wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Schadensersatz verlangen. Ein bloßer Verstoß gegen die DS-GVO – einen solchen im konkreten Fall unterstellt – begründet selbst allerdings noch keinen Schadensersatzanspruch. Art. 82 Abs. 1 und Abs. 2 S. 1 DS-GVO lassen einen Verstoß gegen die Verordnung bzw. eine nicht der Verordnung entsprechende Verarbeitung nicht genügen, sondern fordern weiter, dass gerade daraus ein „Schaden entstanden“ ist bzw. ein „Schaden […] verursacht“ wurde. Folglich geht der Verordnungsgeber davon aus, dass der Schaden nicht Reflexwirkung eines DS-GVO-Verstoßes ist, sondern sein Eintritt unabhängig davon festzustellen ist. Somit ist neben einem Verstoß gegen die Verordnung ein dadurch kausal verursachter Schaden durch die Klagepartei darzulegen und durch das Gericht ggf. festzustellen.
NEU LG Aachen Urt. v. 17.3.2025 – 15 O 88/24	500 EUR (+ 220,27 EUR vorgerichtliche Rechtsanwaltskosten) Dem Kl. steht ein Anspruch auf Schadensersatz gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO iHv 500 EUR zu. Die Übermittlung der sog. Positivdaten an die K. stellt eine „Verarbeitung“ der Daten gem. Art. 4 Nr. 2 DS-GVO dar und bedarf daher der Rechtfertigung nach Art. 6 Abs. 1 S. 1 DS-GVO. Es liegt eine rechtswidrige Verarbeitung von Daten der Klägerseite durch die Bekl. durch das Einmelden der Positivdaten an die K. vor. Grds. gilt im Anwendungsbereich der DS-GVO, dass jede Datenverarbeitung rechtswidrig ist, wenn nicht eine der in Art. 6 DS-GVO genannten Bedingungen für eine rechtmäßige Datenverarbeitung erfüllt ist. Des Weiteren liegt auch ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden wurde von dem Kl. nicht vorgetragen. Er beruft sich allein auf das Vorliegen eines immateriellen Schadens. Als Anknüpfungspunkte für einen immateriellen Schaden iSd Art. 82 DS-GVO sind nach der stRspr der Kammer die von der Klägerseite geschilderten Ängste und Sorgen, sowie die Verletzung des Rechts auf informationelle Selbstbestimmung bzw. der damit einhergehende Kontrollverlust an sich denkbar. Unter Beachtung dieser Vorgaben kann ein Schaden iSv Art. 82 DS-GVO nicht mit den geltend gemachten Ängsten und Sorgen des Kl. begründet werden. Denn der Kl. hat den Eintritt eines Schadens in Form von Sorgen und Ängsten nicht zur Überzeugung der Kammer nach § 286 ZPO nachgewiesen. Soweit der Kl. schriftsätzlich vorgetragen hat, die streitgegenständliche Weiterleitung von Positivdaten an die K. habe bei ihm die ständige Angst vor unangenehmen Rückfragen, ein allgemeines Gefühl des Unwohlseins bis zur schieren Existenzsorge und ein Gefühl der Ohnmacht zur Folge gehabt, stimmen diese schriftsätzlich getätigten Angaben nicht mit dem überein, was der Kl. im Rahmen seiner persönlichen Anhörung geschildert hat. Nach alledem erweckt der schriftsätzliche Vortrag den Eindruck textbausteinartig verarbeitet worden zu sein, ohne auf den Schilderungen des hiesigen Kl. zu beruhen. Der Kl. hat im Rahmen seiner persönlichen Anhörung geschildert, dass er insb. die, in seinen Augen, intransparente Datenweitergabe der Bekl. rügen möchte. Ein Schaden iSv Art. 82 DS-GVO liegt jedoch in der Verletzung des Rechts des Kl. auf informationelle Selbstbestimmung vor. Das Recht des Kl. auf informationelle Selbstbestimmung wurde durch die Einmeldung der Positivdaten durch die Bekl. verletzt. Die Kammer geht davon aus, dass bereits der reine Kontrollverlust und damit die hieraus folgende Verletzung des Rechts auf informationelle Selbstbestimmung ausreicht, um einen Schaden zu begründen. Danach kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO ein immaterieller Schaden iSd Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Eine für die Bejahung eines Schadens ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung in Form eines Kontrollverlusts liegt hier eindeutig vor. Das Recht auf informationelle Selbstbestimmung enthält die Befugnis des Einzelnen, grds. selbst zu entscheiden, wann, wo und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Durch die Einmeldung der Positivdaten an die K. hat der Kl. die Kontrolle über seine Daten verloren. Denn hierdurch wurde das dargelegte Recht des Kl. verletzt, selbst zu entscheiden, wo und ob er gegenüber wem diese Daten offenbaren möchte. Der damit gegebene Schaden beruht auch kausal auf den oben festgestellten Verstößen. Die Höhe des Schadensersatzes beziffert das Gericht mit 500 EUR, wobei es diesen Betrag für angemessen, aber auch für ausreichend hält, um den immateriellen Schaden auszugleichen und gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht steht insoweit gem. § 287 ZPO ein Ermessen zu. Insofern ist bei der konkreten Bezifferung zu beachten, dass es sich bei den eingemeldeten Positivdaten um Daten handelt, welche als weniger sensibel einzustufen sind. Sie beinhalten lediglich einige Daten zur Zuordnung der Person (Name etc.) sowie die Information, dass ein Mobilfunkvertrag abgeschlossen worden ist. Diese Daten wurden auch nicht (wie in den Fällen des Verkaufs von Daten etwa von „Hackern“ im Internet- oder Darknet) einem völlig unübersehbaren Empfängerkreis zur Verfügung gestellt, sondern im ersten Schritt lediglich einer klar benennbaren Institution sowie im weiteren Schritt einer – wenn auch größeren, so aber doch abgrenzbaren Zahl an hieran teilnehmenden weiteren Unternehmen. Zudem fehlten dem Kl. auch nicht jedwede Möglichkeiten der Schadensbegrenzung. Insb. hätte er zumindest die Möglichkeit gehabt einen Löschungsantrag zu stellen – wobei die Kammer vorliegend nicht verkennt -, dass damit ein möglicherweise lang andauerndes Prüfverfahren in Gang gesetzt worden wäre ohne zeitnahes und klar absehbares Ergebnis.
NEU LG München II Urt. v. 14.3.2025 – 14 O 1461/24	0 EUR Ein Anspruch der Kl. auf Zahlung eines immateriellen Schadensersatzes ergibt sich weder aus Art. 82 Abs. 1 DS-GVO noch aus §§ 280 Abs. 1, 823 Abs. 1, 253 Abs. 2 BGB iVm Art. 2 Abs. 1 GG und Art. 1 Abs. 1 GG. Voraussetzung sowohl für einen Anspruch auf Zahlung eines immateriellen Schadensersatzes nach Art. 82 DS-GVO als auch für eine Entschädigung in Geld nach §§ 280 Abs. 1, 823 Abs. 1, 253 BGB iVm Art. 2 Abs. 1, 1 Abs. 1 GG ist, dass die Bekl. überhaupt rechtswidrig Daten des Kl. erhebt oder verarbeitet. Der Vortrag der Kl. reicht nicht aus, um eine Verarbeitung seiner Daten auf Dritt- Webseiten oder Dritt-Apps durch die Bekl. annehmen zu können. Der Vortrag der Kl. ist in weiten Teilen sehr allgemein gefasst und weist wenig Bezug zu seiner konkreten Situation auf, was angesichts des Umstands, dass die Prozessbevollmächtigten der Kl. neben ihr auch viele weitere Klageparteien mit demselben Klagebegehren gegenüber der Bekl. vertreten, nicht verwundert. Dennoch ist auch in solchen „Masseverfahren“ ein konkreter, auf die jeweilige Klagepartei zugeschnittener Vortrag zu fordern. Nicht ausreichend ist daher, lediglich allgemein vorzutragen, dass die Bekl. auf Dritt-Webseiten und Dritt-Apps Daten ihrer Nutzer erhebt und verarbeitet. Denn dieser Vortrag lässt zur Frage der individuellen Betroffenheit der Kl. noch keine Rückschlüsse zu. Zu keinem anderen Ergebnis führt sodann der individuelle Vortrag der Kl. zu ihren Internet-Nutzungsgewohnheiten in der mündlichen Verhandlung. Dieser Vortrag ist zwar individuell auf die Kl. bezogen, erschöpft sich inhaltlich aber in pauschalen Behauptungen, ohne auch nur eine einzige Webseite oder App konkret zu benennen.
LG Limburg Urt. v. 14.3.2025 – 10 O 71/24	0 EUR Der Klagepartei steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Vorliegend fehlt es bereits an einem Verstoß gegen die Bestimmungen der DS-GVO, aus welchem sich ein Schadensersatzanspruch der Klagepartei dem Grunde nach ergeben könnte. Der von der Klagepartei vorgetragene Verstoß der Bekl. gegen Art. 6 Abs.1 S. 1 lit. f) DS-GVO liegt nicht vor. IÜ bestehen keine objektiven Anhaltspunkte für einen ersatzfähigen Schaden der Klagepartei iSd Art. 82 Abs. 1 DS-GVO. Nach allgemeinen Grundsätzen obliegt es der Klagepartei, die (Mit-)Ursächlichkeit des vermeintlichen – Verstoßes für die geltend gemachten Schäden darzulegen und ggf. zu beweisen. Dies ist ihr vorliegend nicht gelungen. Der EuGH hat am 4.5.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Insofern muss im jeweiligen Einzelfall konkret festgestellt werden, dass die – vom Anspruchssteller zu beweisenden – Folgen einen Schaden darstellen. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich dabei nicht aus der DS-GVO. Bagatellschäden sind folglich nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Nach aktueller Rspr. des BGH kann ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Diese Voraussetzungen liegen jedoch nicht vor. Anhaltspunkte dafür sind nicht ersichtlich, der Vortrag der Kl. beschränkt sich darin, Behauptungen, die in anderen veröffentlichten Rechtsstreitigkeiten vorgebracht werden, wiederzugeben. Bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, hält das Gericht als Grundlage für einen Schadensersatzanspruch jedenfalls dann für nicht ausreichend, wenn kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist.
LG Cottbus Urt. v. 6.3.2025 – 4 O 8/24	0 EUR Dem Kl. steht gegen die Bekl. ein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO nicht zu. Nach der Rspr. des EuGH erfordert ein Schadensersatzanspruch iSd Art. 82 Art. 1 DS-GVO einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person iRe Schadensersatzanspruchs nach Art. 82 Abs. 1 DS-GVO ein Verschulden des Verantwortlichen. Art. 82 DS-GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Art. 3 DS-GVO dem Verantwortlichen. Ein Anspruch scheidet bereits deshalb aus, weil die Übermittlung der Positivdaten durch die Bekl. an die Schufa sich als rechtmäßig erweist. Überdies hat der Kl. auch den Eintritt eines immateriellen Schaden nicht bewiesen. Die Übermittlung der Positivdaten durch die Bekl. an die Schufa war unabhängig davon, ob der Kl. eine wirksame Einwilligung (vgl. Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO) erteilt hat, rechtmäßig. Denn die Weitergabe der Positivdaten war jedenfalls nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO gerechtfertigt. Die Klage ist überdies deshalb unbegründet, weil der Kl. einen immateriellen Schaden nicht nachgewiesen hat. Allein der bloße Verstoß gegen die Bestimmungen der DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich. Hinsichtlich Art, Ausmaß und Feststellung des Schadens lassen sich die vom Europäischen Gerichtshof und BGH aufgestellten Grundsätze im Wesentlichen wie folgt zusammenfassen: Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach Erwägungsgrund. 146 Satz 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung ist nicht davon abhängig, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Gleichwohl ist diese Person verpflichtet nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Der Unionsgesetzgeber wollte unter den Begriff „Schaden“ insb. auch den bloßen Verlust der Kontrolle („the mere loss of control“, „la simple perte de contrôle“) über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Freilich muss auch insoweit die betroffene Person den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Ist dieser Nachweis erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Den Kl. trifft die volle Darlegungs- und Beweislast iSd § 286 Abs. 1 ZPO für die haftungsbegründende Kausalität. Er muss darlegen und ggf. beweisen, dass der immaterielle Schaden unmittelbar ursächlich auf Datenschutzverstöße der Bekl. zurückzuführen ist. Dies ist dem Kl. nicht gelungen.
NEU LG Traunstein Urt. v. 28.2.2025 – 9 O 116/24	0 EUR Der Klagepartei steht aus keinem Rechtsgrund ein Anspruch auf immateriellen Schadensersatz / Geldentschädigung zu. Ein Schadensersatzanspruch aus Art. 82 DS-GVO ist nicht hinreichend substanziiert dargelegt. Ein Schadensersatzanspruch gem. Art. 82 DS-GVO besteht dann, wenn durch einen Verstoß gegen die DS-GVO bei der Klagepartei ein Schaden kausal hervorgerufen wurde, EuGH, C-300/21. Die Ersatzfähigkeit des Schadens hängt nicht davon ab, dass eine gewisse Erheblichkeitsschwelle überschritten werden dürfte. Gemessen an diesen Grundsätzen hat die Klagepartei das Bestehen eines Schadensersatzanspruchs nach Art. 82 DS-GVO nicht substanziiert dargelegt. Die Klagepartei hat trotz gerichtlicher Hinweise keinerlei konkreter klägerischer Datenverkehr auf Drittangeboten (Drittwebseiten bzw. -apps) vorgetragen. Daher lässt sich auch nicht überprüfen, ob etwaiger Datenverkehr überhaupt der Überwachung durch die Meta Business Tools unterlag. Demzufolge lässt sich auch nicht prüfen, ob es hierfür – ausgehend vom Drittangebot eine Rechtsgrundlage, insb. eine wirksame Einverständniserklärung iSd Art. 6 Abs. 1 lit. a DS-GVO vorlag oder ob Daten gem. Art. 9 Abs. 1 DS-GVO betroffen waren und dort die Anforderungen des Art. 9 Abs. 2 DS-GVO erfüllt wurden. Die Klage ist diesbezüglich gänzlich unsubstantiiert geblieben. Infolgedessen lässt sich auf dieser Grundlage nicht klären, ob ein Verstoß gegen die DS-GVO konkret vorlag, ob ein Schaden entstanden ist und ob jener Schaden durch den Verstoß kausal verursacht wurde. Ein Schadensersatzanspruch gem. Art. 82 DS-GVO kann aufgrund des gegenständlichen Klagevortrags nicht erkannt werden.
LG Landau (Pfalz) Urt. v. 27.2.2025 – 2 O 304/23	0 EUR Es liegt kein Verstoß iSv Art. 82 DS-GVO vor, die streitgegenständliche Einmeldung von Vertragsdaten („Positivdaten“) war von Art. 6 Abs. 1 Unterabsatz 1 lit. f DS-GVO gedeckt.
LG Göttingen Urt. v. 26.2.2025 – 5 O 219/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Schadensersatz aus Art. 82 DS-GVO. Dieser setzt voraus, dass zum Nachteil des Kl. ein Verstoß gegen die DS-GVO vorliegt und ein materieller oder immaterieller Schaden entstanden ist durch bzw. wegen dieses Verstoßes, also der Schaden kausal auf die Pflichtverletzung zurückzuführen ist. Die beanstandete Übermittlung von Positivdaten war von Art. 6 Abs. 1 S. 1 lit. f DS-GVO gedeckt. Auch hat der Kl. keinen Schaden dargetan, bzw. es fehlt insoweit an der erforderlichen Kausalität. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt der Kl. als Anspruchsteller. Der Anspruchsteller muss den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden iSd Verordnung darstellen. Die Worte „materieller oder immaterieller Schaden“ verweisen dabei nicht auf das Recht der Mitgliedstaaten, weshalb sie als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen sind und eine einheitliche unionsrechtliche Definition erhalten müssen. Da ein bloßer Verstoß gegen die DS-GVO nicht ausreicht, muss konkret festgestellt werden, dass die (vom Anspruchssteller zu beweisenden) Folgen einen Schaden darstellen. Das OLG Hamm hat in diesem Zusammenhang zutreffend darauf hingewiesen, dass mit der Realisierung der generellen Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten zwangsläufig ein Kontrollverlust verbunden ist, weil dieser bei jedem Verstoß in der Form einer Offenlegung oder Zugänglichmachung von Daten eintritt, weshalb eine tatsächliche materielle oder immaterielle Beeinträchtigung festzustellen ist. Auch wenn keine Erheblichkeitsschwelle gilt, muss eine über das allgemeine Lebensrisiko, alltägliche Lästigkeiten, ausgelöste negative Gefühle wie Ärger, subjektiv empfundene Unannehmlichkeiten, unspezifische Unlustgefühle, Sorgen und Ängste hinausgehende spürbare Beeinträchtigung vorliegen, muss ein tatsächlich entstandener immaterieller Nachteil festgestellt werden. Dem entspricht, dass nach der Rspr. des EuGH ein zu ersetzender Schaden tatsächlich und sicher entstanden sein muss. Für – den hier relevanten – immateriellen Schaden kann allgemein ausgeführt werden, dass Verletzungen und Beeinträchtigungen des Persönlichkeitsrechts gemeint sind. Ein bloß abstrakter Kontrollverlust genügt nicht.
LG Trier Urt. v. 25.2.2025 – 2 O 78/24	0 EUR Der Klagepartei steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Vorliegend fehlt es bereits an einem Verstoß gegen die Bestimmungen der DS-GVO, aus welchem sich ein Schadensersatzanspruch der Klagepartei dem Grunde nach ergeben könnte. Der von der Klagepartei vorgetragene Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f) DS-GVO liegt nicht vor. IÜ mangelt es an dem Nachweis eines ersatzfähigen Schadens der Klagepartei iSd Art. 82 Abs. 1 DS-GVO. Auf Grundlage der informatorischen Anhörung der Klagepartei in der mündlichen Verhandlung vom 21.1.2025 vermochte sich das Gericht iRd ihm gemäß § 286 ZPO obliegenden freien richterlichen Beweiswürdigung keine Überzeugung dahingehend zu bilden, dass die Klagepartei einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Nach allgemeinen Grundsätzen obliegt es der Klagepartei, die (Mit-)Ursächlichkeit des – vermeintlichen – Verstoßes für die geltend gemachten Schäden darzulegen und ggf. zu beweisen. Dies ist ihr vorliegend nicht gelungen. Der EuGH hat am 4.5.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadensersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Insofern muss im jeweiligen Einzelfall konkret festgestellt werden, dass die – vom Anspruchssteller zu beweisenden – Folgen einen Schaden darstellen. Eine Erheblichkeitsschwelle für das Vorliegen eines solchen Schadens ergibt sich dabei nicht aus der DS-GVO. Bagatellschäden sind folglich nicht auszuschließen. Zu verlangen ist aber jedenfalls, dass ein konkreter immaterieller Schaden auch tatsächlich eingetreten („entstanden“) ist. Nach aktueller Rspr. des BGH kann ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Eine spürbare immaterielle Beeinträchtigung der Klagepartei gerade aufgrund der streitgegenständlichen Weitergabe von Positivdaten konnte anhand dieser Angaben für das Gericht nicht festgestellt werden.
LG Stuttgart Urt. v. 24.2.2025 – 10 O 118/24	0 EUR Der Kl. hat keinen Anspruch gegen die Bekl. auf materiellen oder immateriellen Schadensersatz gem. Art. 82 Abs. 1 DS-GVO. Ob die Bekl. überhaupt gegen die DS-GVO verstoßen hat, braucht deshalb nicht entschieden zu werden. Ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DS-GVO wird nicht allein dadurch begründet, dass ein Verstoß gegen die DS-GVO vorliegt. Vielmehr muss der Anspruchsteller das Vorliegen eines Schadens nachweisen, auch wenn ein immaterieller Schaden keinen bestimmten Grad an Erheblichkeit erreichen muss. Dabei kann auch die durch einen Datenschutzverstoß hervorgerufene Befürchtung des Betroffenen, dass seine Daten in Zukunft aufgrund des Verstoßes missbräuchlich verwendet werden könnten, als Schaden anzusehen sein, sofern diese Befürchtung unter den Umständen des Einzelfalls als begründet angesehen werden kann. Das Gericht konnte sich keine hinreichende Überzeugung bilden (§ 286 ZPO), dass dem Kl. durch einen – unterstellten – Datenschutzverstoß negative Folgen und darauf basierend ein materieller oder immaterieller Schaden entstanden ist. Der Kl. hat das Vorliegen eines kausalen Schadens bereits schriftlich kaum individuell dargelegt, jedenfalls aber nicht bewiesen. Im Hinblick auf einen materiellen Schaden des Kl. fehlen jegliche Anknüpfungspunkte. Der Kl. hat sowohl schriftsätzlich als auch iRd persönlichen Anhörung lediglich allgemein davon gesprochen, kürzlich eine Kreditablehnung erhalten zu haben. Dass dies auf die Datenübermittlung durch die Bekl. zurückzuführen wäre, hat er weder behauptet, noch nachgewiesen. Er hat auch nicht behauptet, deshalb einen anderen Kredit zu schlechteren Konditionen aufgenommen zu haben. Vielmehr hat er iRd informatorischen Anhörung erklärt, anstelle des Bankkredits ein zinsloses Darlehen seiner Schwiegereltern erhalten zu haben. Ein materieller Schaden ist ihm damit schon nicht entstanden. IÜ bleibt es bei seinem Vortrag damit bei – letztlich durch keine objektiven Umstände belegten – Vermutungen. Dies ist zum Nachweis des Eintritts eines kausalen Schadens nicht ausreichend. Andere materielle Schäden sind nicht ersichtlich. Auch einen immateriellen Schaden hat der Kl. nicht nachgewiesen. Eine immaterielle Beeinträchtigung des Kl. ist nicht festzustellen. Unstreitig verlief der Telekommunikationsvertrag zwischen den Parteien ohne besondere Vorkommnisse. Anhaltspunkte für Zweifel an der Bonität des Kl. lagen weder bei der Bekl. vor, noch wurden solche von der Bekl. der S. gemeldet. Den an die S. kommunizierten Abschluss eines Mobilfunkvertrages teilt der Kl. mit einem ganz erheblichen Teil der Bevölkerung, sodass schon aus diesem Grund nicht nachvollziehbar ist, weshalb der Kl. aufgrund dieser Mitteilung an die S. bei künftigen Finanzierungsprojekten um seine Kreditwürdigkeit fürchten müsste. Tatsächlich hat der Kl. iRd Parteianhörung eine solche Befürchtung auch nicht nachvollziehbar geschildert. Vielmehr sind die Finanzen des Kl. nach eigenen Angaben solide und geordnet, was iÜ auch darin zum Ausdruck kommt, dass die vom Kl. unter dem 14. Oktober 2023 eingeholte S.-Auskunft dem Kl. einen Basisscore von 96,87 % von theoretisch möglichen 100 % attestiert. Soweit der Kl. iRd Parteianhörung geschildert hat, für die Renovierung der Heizungsanlage einen Kredit zu benötigen, gibt es keinerlei Anhaltspunkte für die Sorge, die von der Bekl. an die S. übermittelten Positivdaten könnten sich in diesem Zusammenhang irgendwie nachteilig auswirken. Der Kl. hat auch selbst nicht nachvollziehbar geschildert, aufgrund der streitgegenständlichen Datenübermittlung an die S. Nachteile bei der beabsichtigten Kreditaufnahme befürchten zu müssen. Vielmehr konnte er auf gerichtliche Nachfrage, wie er sich erkläre, dass er trotz der Datenübermittlung der Bekl. einen Kredit über 430.000 EUR erhalten habe, keine Angaben machen. Soweit der Kl. iRd Parteianhörung ein Gefühl des Kontrollverlusts geschildert hat, ist ein Schaden nicht festzustellen. Weshalb die Dokumentation seines Mobilfunkvertrags bei der S. bei dem Kl. ein unangenehmes Gefühl des Kontrollverlusts hervorgerufen haben soll, vermochte der Kl. nicht in einer Weise zu schildern, welche eine Überzeugung des Gerichts von einem immateriellen Schaden tragen könnte (§ 286 ZPO). Abgesehen davon, dass der Kl. von einem unguten Gefühl gesprochen hat, fehlt es an einer plausiblen Schilderung, dass der Kl. tatsächlich unter einem solchen unangenehmen Gefühl litte. Überdies wäre die Sorge, die von der Bekl. der S. mitgeteilten Daten könnten unkontrolliert und damit missbräuchlich verwendet, nach den Umständen des Falles auch nicht begründet, weil für einen Zugriff Dritter auf die in der Vergangenheit bei der S. gespeicherten Daten jeder Anhaltspunkt fehlt. Die Sorge um einen möglichen Missbrauch der Daten wäre daher jedenfalls nicht begründet und würde aus diesem Grund keinen Schaden darstellen. Dass sich der Kl. seit der Kenntnisnahme von der Datenübermittlung aus diesem Grund vor dem Abschluss eines neuen Vertrags Gedanken mache, ob er den beabsichtigten Vertrag wirklich abschließen wolle und ihn dies seelisch belaste, nimmt ihm das Gericht nicht ab. IÜ konnte der Kl. auch nicht nachvollziehbar erklären, weshalb er gerade die Datenübermittlung der Bekl. an die S. als besonders belastend ansieht und gerichtlich nur gegen diese vorgeht, obwohl ausweislich des Auskunftsschreibens der S. vom 14. Oktober 2023 auch durch andere Unternehmen Daten über Vertragsverhältnisse mit dem Kl. an die S. übermittelt wurden.
LG Kiel Urt. v. 21.2.2025 – 4 O 100/24	0 EUR Die Kl. hat gegenüber der Bekl. keinen Anspruch auf immateriellen Schadensersatz aus Art. 82 Abs. 1 DS-GVO oder einer anderen Anspruchsgrundlage. Es fehlt vorliegend bereits an einem einen Schadensersatzanspruch der Kl. begründenden Verstoß der Bekl. gegen die Bestimmungen der DS-GVO. Die beanstandete Übermittlung von Positivdaten war von Art. 6 Abs. 1 S. 1 lit. f) DS-GVO gedeckt, weshalb die geltend gemachten Ansprüche ausscheiden. Dessen ungeachtet fehlt es hier an einem ersatzfähigen Schaden der Kl. Die Beweislast für das Vorliegen eines materiellen oder immateriellen Schadens trägt die Kl. als Anspruchstellerin. Die von einem Verstoß gegen die DS-GVO betroffene Person muss den Nachweis führen, dass die geltend gemachten Folgen einen immateriellen Schaden iSd Verordnung darstellen. Die Worte „materieller oder immaterieller Schaden“ verweisen dabei nicht auf das Recht der Mitgliedstaaten, weshalb sie als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen sind und eine einheitliche unionsrechtliche Definition erhalten müssen. Da ein bloßer Verstoß gegen die DS-GVO nicht ausreicht, muss konkret festgestellt werden, dass die (vom Anspruchsteller zu beweisenden) Folgen einen Schaden darstellen. Nach diesen Grundsätzen hat sich vorliegend ein konkreter und individueller Schaden der Kl. nicht feststellen lassen. Schon aus ihrem Vortrag erschließt sich nicht, inwieweit die Weitergabe von sog. Positivdaten, nämlich dass sie als Kundin einen Mobilfunkvertrag abgeschlossen hat, zu einem immateriellen Schaden führen soll. Ihr Sachvortrag dazu ist pauschal und wird – gerichtsbekannt – in zahlreichen weiteren Klagen zumeist wortgleich verwendet. Dass sich ihr S.-Score nach der Einmeldung durch die Bekl. nachteilig verändert und nach Löschung dieses Datensatzes wieder verbessert hat, ist schon deshalb nicht ersichtlich, weil die Kl. die entsprechenden S.-Mitteilungen nicht vorgelegt hat.
LG Hof Urt. v. 21.2.2025 – 32 O 85/24	0 EUR Dem Kl. steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Die Voraussetzungen von Art. 82 DS-GVO sind nicht erfüllt. Vorliegend fehlt es an einem Verstoß gegen die Bestimmungen der DS-GVO, aus welchem sich ein Schadensersatzanspruch des Kl. ergeben könnte. Die Übermittlung der Positivdaten an Wirtschaftsauskunfteien im Anschluss an den Abschluss des Telekommunikationsvertrages dient der Wahrung berechtigter Interessen. IÜ mangelt es an einem ersatzfähigen kausalen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach der informatorischen Anhörung des Kl. in der mündlichen Verhandlung vom 18.10.2024 konnte sich das Gericht keine Überzeugung dahingehend bilden, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat.
LG Nürnberg-Fürth Urt. v. 20.2.2025 – 6 O 1485/24	500 EUR Ein Schadensersatzanspruch ist gegeben, allerdings nur iHv 500 EUR, Art. 82 Abs. 1 DS-GVO. Es handelt sich hierbei um drei kumulativ erforderliche Anspruchsvoraussetzungen. Es muss ein Verstoß gegen die DS-GVO vorlegen, ein Schaden entstanden sein und ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen. Hierfür ist der Anspruchsteller beweisbelastet. Für die Bejahung eines immateriellen Schadens bedarf es keiner Erheblichkeitsschwelle („Bagatellgrenze“). Insb. kann im Hinblick auf die in ErwGr. 146 S. 3 DS-GVO beabsichtigte weite Auslegung des Schadensbegriffes nicht verlangt werden, dass der Anspruchsteller einen spürbaren Nachteil erfahren oder die Beeinträchtigung objektiv sein muss. Auch bedarf es keiner bestimmten Dauer des Schadens, um den Anspruch zu bejahen. Andererseits reicht ein bloßer Verstoß gegen die DS-GVO noch nicht aus. Der Anspruchsteller muss vielmehr beweisen, dass als Folge eines Verstoßes ein Schaden – so geringfügig er auch sein mag – eingetreten ist. Ferner ergibt sich aus ErwGr. 85 S. 1 DS-GVO, dass eine Verletzung des Schutzes personenbezogener Daten zu einem Schaden führen kann, der im Kontrollverlust über die eigenen personenbezogenen Daten liegen kann. Einer konkreten missbräuchlichen Verwendung dieser Daten zum Nachteil des Anspruchsstellers bedarf es hierfür nicht. Dementsprechend reicht es für einen Schaden etwa aus, dass ein von einem Verstoß betroffener Anspruchsteller lediglich befürchtet, dass seine personenbezogenen Daten durch Dritte in der Zukunft missbräuchlich verwendet werden könnten, wobei das nationale Gericht prüfen muss, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Folglich reicht für die Bejahung des immateriellen Schadens bei einem Verstoß gegen die DS-GVO bereits ein Kontrollverlust aus, darüber hinausgehende psychische – und bloße Unannehmlichkeiten übersteigende – Beeinträchtigungen können aber einen höheren Ausgleichsbetrag als Schadensersatz rechtfertigen. Der reine Kontrollverlust ist also bereits ein haftungsbegründender Schaden, psychische Nachteile betreffen dann nur noch die haftungsausfüllende Kausalität der Schadenshöhe. Wie unter 2.1 ausgeführt, verarbeitet die Bekl. die personenbezogenen Daten der Klagepartei auf unrechtmäßige Weise. Insb. ist die Datenverarbeitung weder durch eine Einwilligung der Klagepartei noch durch einen anderen Zulässigkeitstatbestand der Art. 6, 9 DS-GVO gestattet. Hierdurch hat die Klagepartei auch einen Schaden erlitten. Hinsichtlich des geltend gemachten Schadens hat sich das Gericht auf der Grundlage des gesamten Inhalts der Verhandlungen, § 286 Abs. 1 ZPO, von einem – kompensationsfähigen – Kontrollverlust überzeugen können; zusätzlich auch hinsichtlich eines weiteren individuellen Schadens. Der Schaden ist vorliegend auch kausal auf die Datenschutzverletzung der Bekl. zurückzuführen. Der Verantwortliche haftet für kausal durch die rechtswidrige Verarbeitung verursachte Schäden. Eine Mitursächlichkeit des Verstoßes gegen die DS-GVO genügt. So liegt es auch hier. Die Bekl. hat rechtswidrig personenbezogene Daten des Kl. gespeichert und hierdurch dessen Kontrollverlust über seine entsprechenden Daten hervorgerufen. Die Haftung der Bekl. ist auch nicht nach Art. 82 Abs. 3 DS-GVO ausgeschlossen. Denn dies würde den Nachweis erfordern, dass der Verantwortliche – hier: die Bekl. – in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Es ist umstritten, ob es für den Umstand, dass jemand für den Schaden verantwortlich ist, eines Verschuldens bedarf oder, ob es sich bei Art. 82 DS-GVO um eine Gefährdungshaftung handelt, die den Schädiger nur ausnahmsweise aus der Haftung entlässt (ganz ungewöhnliche Kausalverläufe, höhere Gewalt, Fehlverhalten des Geschädigten) und unabhängig von einem Verschulden ist. Die Beweislast trifft jedenfalls, wie sich aus dem eindeutigen Wortlaut der Norm ergibt, den Schädiger. Das Gericht konnte vorliegend offenlassen, welche der aufgeführten beiden Ansichten für den Entlastungsbeweis konkret gelten. Denn es ist kein Beklagtenvortrag vorhanden oder anderweitige Umstände ersichtlich, die den Voraussetzungen von einer dieser Ansichten genügen würde. Der Anspruch ist der Höhe nach mit 500 EUR und damit nur teilweise gerechtfertigt. Das Gericht hält diesen Betrag für angemessen und ausreichend, um den immateriellen Schaden auszugleichen und hat hierfür den Schaden nach § 287 ZPO geschätzt. Für den Anspruch aus Art. 82 DS-GVO enthält die Verordnung keine spezifischen Vorgaben zur Schadensbemessung. Vielmehr richtet sich dies nach den innerstaatlichen Vorschriften der Mitgliedstaaten zum Umfang der finanziellen Entschädigung, soweit die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität gewahrt bleiben. Zu berücksichtigen ist dabei allerdings, dass Art. 82 DS-GVO nur eine Ausgleichsfunktion hat, sodass der aufgrund des Verstoßes erlittene Schaden vollständig auszugleichen ist). Ist der Schaden gering, so ist auch nur Schadensersatz in geringer Höhe zuzusprechen und dabei ist zu berücksichtigen, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. Eine Straf- oder Abschreckungsfunktion, die etwa zur Einbeziehung der Schwere des Verstoßes in die Schadensbemessung führen würde, ist allerdings nicht von Art. 82 DS-GVO umfasst. Dementsprechend gilt, dass auch im Hinblick auf die in ErwGr. 146 (Schadensersatz) und ErwGr. 148 (behördliche Maßnahmen und Sanktionen) DS-GVO unterschiedlichen Regelungsziele es nicht möglich ist, die Bemessungskriterien des Art. 83 DS-GVO (Allgemeine Bedingungen für die Verhängung von Geldbußen) in entsprechender Anwendung auf die Schadensbemessung des Art. 82 DS-GVO zu übertragen. Daher ist es naheliegend für die Bemessung der Schadenshöhe auf die nationale Vorschrift des § 253 BGB zurückzugreifen. Ein Gesichtspunkt kann dabei sein, zu welchem Grad intime, finanziell bedrohliche, potentiell ehrverletzende oder kränkende und persönlich wichtige, insb. in das (Familien-)Gemeinschaftsleben oder das berufliche Umfeld eingreifend, die unrechtmäßig verarbeiteten Daten betroffen sind. Insofern es den reinen Kontrollverlust betrifft, so sind maßgebliche Kriterien der tatrichterlichen Schadensschätzung insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DS-GVO) und deren typischerweise zweckgemäße Verwendung, die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle. Innerhalb dieses abgesteckten Rahmens, der sowohl die Unter- als auch Obergrenze des zu gewährenden Schadensersatzes vorgibt, kann das Gericht eine Schadensschätzung nach § 287 ZPO vornehmen. Vorliegend hat sich das Gericht maßgeblich davon leiten lassen, dass die Bekl. durch die unbestritten hohe Verbreitung ihrer … Tools im Internet ein hohes Datenaufkommen generiert und dadurch Nutzerdaten, auch der Klagepartei, in großem Umfang zusammenführt. Damit geht ein nicht unerheblicher Kontrollverlust an personenbezogenen Daten einher. Das Gericht geht bei einem bloßen Kontrollverlust davon aus, dass ein Betrag von 250 EUR für die Ausgleichsfunktion des Art. 82 DS-GVO ausreichend ist und orientiert sich diesbezüglich an Entscheidungen zu den sog. „Scraping“ – Fällen. Insoweit es dort zu Verurteilungen kam, so wurde Schadensersatz von 100,00 EUR bis 500,00 EUR zugesprochen; dies wurde u. a. damit begründet, dass die betroffenen Daten (u. a. Name, Telefonnummer, Geschlecht) nicht besonders sensibel – betroffen waren etwa keine Gesundheits- oder Kontodaten – seien. Eine Anspruchsminderung scheidet vorliegend aus, § 254 BGB. Dabei ist es grds. umstritten, ob iRd Art. 82 DS-GVO ein schadensminderndes Mitverschulden des Anspruchsstellers überhaupt zu berücksichtigen ist. Dies wird mitunter abgelehnt, da bei Art. 82 DS-GVO entgegen seiner Vorgängernorm keine Haftungseinschränkung bei Mitverschulden vorsehe. Hingegen wird auch vertreten, dass die Rspr. des EuGH gerade die Anwendbarkeit nationaler Regelung eröffnet habe und daher § 254 BGB zur Bemessung der Schadenshöhe herangezogen werden könne. Auch bei Anwendung von § 254 BGB wäre vorliegend kein Mitverschulden gegeben. Insb. könnte der Klagepartei nicht angelastet werden, ob sie bislang ihre Cookie – Einstellungen auf dem Netzwerk nicht geändert hat. Denn die Erläuterungen bei diesen Einstellungen sind nicht geeignet den Nutzer darüber umfassend aufzuklären, welche Daten durch die … Tools an die Bekl. übermittelt und von ihr gespeichert werden. Dasselbe gilt hinsichtlich der Schaltfläche „Informationen über Aktivitäten von Werbepartnern” und den Inhalt der Datenschutzrichtlinie der Bekl.. Hierzu wird auf die Ausführungen unter Ziff. 2.1 Bezug genommen. Dadurch wird die Klagepartei schon nicht in die Lage versetzt, eine aufklärungsgerechte Entscheidung zu treffen, ob und welcher Datenverarbeitung sie zustimmen möchte. Demnach kann ihr nicht anspruchskürzend vorgehalten werden, dass sie zumindest teilweise wieder die Kontrolle über ihre Daten erlangt und damit auch weniger emotionale Beschwerden und sonstige Einschränkungen der Lebensführung erlitten hätte. Ein weiterer Anspruch ergibt sich nicht aus der Verletzung des allgemeinen Persönlichkeitsrechts, § 823 Abs. 1 BGB iVm Art. 1, 2 GG. Denn der Regelung des Art. 82 DS-GVO kommt insoweit eine Sperrwirkung zu. Zwar ist die Kontrolle über die eigenen Daten, etwa bei Fragen der Speicherung, über das Recht auf informationelle Selbstbestimmung gewährleistet, welches eine Ausprägung des allgemeinen Persönlichkeitsrechts darstellt, und wird iRd mittelbaren Drittwirkung als sonstiges Recht vom Schadensersatzanspruch des § 823 Abs. 1 BGB geschützt. Jedoch ist durch Art. 82 DS-GVO eine einheitliche und abschließende Anspruchsgrundlage für Schadensersatz bei personenbezogenen Daten geschaffen worden, die gegenüber dem nationalen Recht vorrangig ist. Dafür spricht schon ErwGr. 9 DS-GVO, der von der Schaffung eines einheitlichen Schutzniveaus in der Union ausgeht. Der angestrebten Vollharmonisierung würde es entgegenlaufen, wenn in den nationalen Rechtsordnungen unterschiedliche zusätzliche Schadensersatzansprüche vorhanden wären, sodass der DS-GVO insoweit eine Sperrwirkung zukommt. Dem steht auch nicht entgegen, dass ErwGr. 146 S. 3 DS-GVO erklärt, dass der Schadensersatz nach DS-GVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gilt. Demnach bleiben zwar weitere Schadensersatzansprüche grds. erhalten. Dazu zählt auch der allgemeine Schadenersatzanspruch des deutschen Rechts auf Grundlage von § 823 Abs. 1 BGB iVm Art. 2 Abs. 1, Art. 1 Abs. 1 GG (Verletzung des allgemeinen Persönlichkeitsrechts), der weiterhin anwendbar bleibt. Dies bedeutet aber nicht, dass Schadensersatzansprüche, die gerade mit DS-GVO-Verstößen begründet werden, mit anderen Anspruchsgrundlagen als Art. 82 DS-GVO verfolgt werden könnten. Dies dürfte daher iÜ auch der Einordnung von DS-GVO – Normen als Schutzgesetz iSv § 823 Abs. 2 BGB entgegenstehen. Ein Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten besteht nicht. Zwar sind vorgerichtliche Rechtsanwaltskosten insb. vom Schadensersatz des Art. 82 Abs. 1 DS-GVO umfasst und hierüber kompensierbar.
LG Mainz Urt. v. 13.2.2025 – 6 O 5/24	0 EUR Der Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes und Unterlassung aus Art. 82 Abs. 1 DS-GVO, da das beanstandete Verhalten der Bekl. rechtmäßig ist. Das Interesse der Bekl. an einer hinreichenden Betrugsbekämpfung rechtfertigt die Übermittlung der Positivdaten.
LG Halle (Saale) Urt. v. 12.2.2025 – 6 O 195/24	0 EUR Die Kl. hat keinen Schadensersatzanspruch aus Art. 82 DS-GVO bzw. § 21 AGG oder § 823 Abs. 1 BGB iVm § 249 Abs. 2 Satz 1 BGB iHv mindestens 5.000 EUR. Ein Anspruch auf Schadensersatz aus Art. 82 DS-GVO besteht nicht, da die Bekl. keine datenschutzrechtlichen Vorgaben bei ihrem Scoring-Verfahren verletzt hat. Darüber hinaus hat die Kl. ohnehin nicht dargelegt, dass ihr durch die Beauskunftung der Bekl. konkret ein Schaden entstanden ist. Die Kl. ist insoweit darlegungs- und beweispflichtig. Pauschal stützt die Kl. ihren Schadensersatzanspruch auf wirtschaftliche Nachteile aufgrund der Ablehnung von Vertragsabschlüssen infolge der Beauftragung durch die Bekl. Konkrete abgelehnte Vertragsabschlüsse bezogen auf die hiesige Kl. benennt sie nicht.
LG Traunstein Urt. v. 11.2.2025 – 5 O 18/24	0 EUR Die Klage ist unbegründet, da das Gericht es zumindest als nicht erwiesen erachtet, dass die Beklagtenseite tatsächlich Daten an Auskunfteien weitergegeben hat. Vielmehr geht das Gericht davon aus, dass in diesem Fall tatsächlich keine Datenweitergabe erfolgt ist. Das Gericht erachtet es nicht als erwiesen an, dass Daten hier weitergegeben wurden und dass der Kl. somit einen Schadensersatzanspruch nach § 82 DS-GVO gegen die Bekl. hat. Denn einerseits fällt auf, dass der Kl. tatsächlich, wie auch die Beklagtenseite moniert, keine S.-Auskunft, aus der sich eine etwaige Einmeldung ergeben könnte, vorlegt.
LG Offenburg Urt. v. 6.2.2025 – 2 O 7/24	0 EUR Der Kl. steht der geltend gemachte Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes der Bekl. gegen Art. 6 DS-GVO nicht zu. Es fehlt jedenfalls an einem kausalen und substantiiert dargelegten Schaden bei der Kl. Die Annahme eines Schadens setzt zwar nicht voraus, dass dieser eine gewisse Erheblichkeit überschreitet. Auch kann ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO sein. Jedoch muss der Schaden nach der Rspr. des EuGH tatsächlich und sicher bestehen. Der bloße Verstoß gegen die DS-GVO reicht nicht aus, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Einen konkreten Schaden hat die Kl. jedoch bereits nicht vorgetragen. Es ist weder vorgetragen noch ersichtlich, dass die Kl. durch die etwaige Übermittlung der Positivdaten materielle oder immaterielle Schäden erlitten hat. Bezüglich des immateriellen Schadens kommt es auf das Vorliegen innerer Tatsachen an, die dem Beweis nur eingeschränkt zugänglich sind. Erforderlich ist, dass der Betroffene Umstände darlegt und beweist, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Von einem solchen immateriellen Schaden – auch etwa in Form eines Kontrollverlustes – konnte sich das Gericht nicht überzeugen. Die von der Kl. schriftsätzlich geschilderten Auswirkungen sind allgemein und pauschal. Das Gericht konnte sich auch iRd informatorischen Anhörung nicht von einem tatsächlichen Schaden der Kl. überzeugen. Soweit die Kl. im Rahmen ihrer informatorischen Anhörung geschildert hat, dass sie von unbekannten Telefonnummern angerufen werde, kann sich das Gericht nicht davon überzeugen, dass dies kausal auf der streitgegenständlichen Datenweitergabe beruht. Die Beklagtenvertreterin hat im Termin vorgetragen, dass keine Telefonnummer übermittelt worden sei, was unbestritten geblieben ist. Es handelt sich hierbei um ein allgemeines Problem der heutigen Zeit. IÜ hat die Kl. Sorgen dahingehend geschildert, dass sich die Datenweitergabe negativ auf ihren S.-Score auswirken könnte. Die Übermittlung von Positivdaten führt jedoch nicht zwingend zu einer Verschlechterung des Score-Wertes. Dass auch nur ein Kontrollverlust vorgelegen hat, konnte damit nicht festgestellt werden. Die schriftsätzlich vorgetragenen Auswirkungen hat die Kl. im Rahmen ihrer persönlichen Anhörung nicht beschrieben. Die Entscheidung des BGH vom 18. November 2024 (Az. VI ZR 10/24) ist zudem nicht ohne weiteres auf den vorliegenden Fall übertragbar, da die gezielte Weitergabe von Daten an bestimmte Empfänger nicht mit der Situation vergleichbar ist, dass Daten im Internet preisgegeben werden. IÜ war die Übermittlung von Positivdaten nach Art. 6 Abs. 1 Uabs. 1 lit. f DS-GVO rechtmäßig, da die Übermittlung der Positivdaten zur Betrugsbekämpfung und zur Aufrechterhaltung eines zuverlässigen Scoring-Systems ein berechtigtes Interesse der Bekl. darstellt. Die Interessen der betroffenen Person überwiegen nicht. Mangels Anspruch der Kl. aus Art. 82 Abs. 1 DS-GVO kommt eine Haftung für die geltend gemachten Rechtsverfolgungskosten sowie Rechtshängigkeitszinsen nicht in Betracht.
LG Frankfurt (Oder) Urt. v. 6.2.2025 – 14 O 7/24	0 EUR Dem Kl. steht gegen die Bekl. der geltend gemachte Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage nicht zu. Der allein vom Kl. vorgetragene und nach seinem Vortrag denkbare Verstoß der Bekl. gegen Art 6 Abs. 1 S. 1 lit. f) DS-GVO liegt nicht vor. Abgesehen von diesen Erwägungen mangelt es überdies an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Auch wenn keine Erheblichkeitsschwelle für das Vorliegen eines Schadens zu fordern ist und Bagatellschäden nicht auszuschließen sind, muss sich aus dem Vortrag eines Kl. doch wenigstens ein solcher Schaden ergeben. Der formelhafte nicht auf die Person des Kl. individualisierte Vortrag genügt hierfür nicht. Die Behauptung des Kl., bei ihm habe sich nach Erhalt der Auskunft der S. wegen der Positivmitteilung der Bekl. ein Gefühl des Kontrollverlustes und der großen Sorge, auch in Bezug auf die Beurteilung seiner Bonität eingestellt, wirkt konstruiert und ist nicht nachvollziehbar. Da in Deutschland jeder Erwachsene üblicherweise über einen Mobilfunkvertrag verfügt, hebt die Information, dass der Kl. auch einen Mobilfunkvertrag abgeschlossen hat, ihn in keiner Weise von Millionen anderen in Deutschland lebenden Erwachsenen ab. Damit kann diese Information anderen Teilnehmern am Wirtschaftsverkehr wie Banken und Versicherungen auch keinen Anlass geben zu kritischer Nachfrage. Soweit der Kl. einen „objektiv falschen“ bzw. einen „beeinflussten“ S.-Score oder auch eine „Veränderung in der Bonitätsbewertung“ bzw. eine „unrichtige Einstufung der Zahlungsausfallwahrscheinlichkeit“ geltend macht, überzeugt auch dies nicht: Da der Kl. den Mobilfunkvertrag abgeschlossen hatte, die Meldung inhaltlich also richtig war, konnte ein unter ihrer Einbeziehung gebildeter Score nicht objektiv falsch sein.
LG Stuttgart Urt. v. 5.2.2025 – 27 O 190/23	300 EUR (+ 220,20 EUR vorgerichtliche Rechtsanwaltskosten) Wie ausgeführt, steht zur Überzeugung des Gerichts fest, dass iRv Facebook Business Tools auf Drittwebseiten oder Apps angefallene Daten des Kl. an die Bekl. übermittelt worden sind und von dieser gespeichert werden, ohne dass hierfür ein Rechtfertigungstatbestand vorläge. Der Kl. hat auch nachgewiesen, dass ihm ein immaterieller Schaden erwachsen ist (Art. 82 Abs. 1 DS-GVO). Der Betroffene eines Datenschutzrechtsverstoßes muss nachweisen, dass ihm über den bloßen Verstoß hinaus ein immaterieller Schaden entstanden ist. Dabei kann aber selbst ein nur kurzzeitiger Verlust der Kontrolle des Betroffenen über seine personenbezogenen Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher negativer Folgen erforderte. Der Betroffene muss aber jedenfalls nachweisen, dass er einen Schaden in Form des Kontrollverlusts erlitten habe. Gemessen hieran ist dem Kl. ein Schaden erwachsen. Es steht fest, dass der Kl. Webseiten besucht hat, welche Facebook Business Tools nutzen und daher Daten an die Bekl. übermittelt hat. Diese Daten kann der Kl. zwar von seinem Nutzerkonto trennen, sodass sie diesem nicht mehr zugeordnet werden können, er kann sie jedoch nicht durch Konfiguration seines Kontos löschen. Welchen Zweck die Bekl. mit diesen angesammelten Daten verfolgt, bleibt im Dunkeln. Dadurch hat der Kl. keine Kontrolle damit, was mit den auf Drittwebseiten angefallenen Eventdaten bei der Bekl. geschieht. Bei der Höhe des dem Kl. zuzuerkennenden Schadensersatzes berücksichtigt das Gericht, dass einerseits eine Mehrzahl von Datenübertragungen gegenständlich ist, weil der Kl. mehrere Webseiten unter Einbindung von Facebook Business Tools besucht hat, namentlich bild.de regelmäßig. Andererseits hat der Kl. iRd Parteianhörung nicht den Eindruck erweckt hat, als verursache dieser Umstand ihm größeren seelischen Schmerz, vielmehr gab er lediglich an, es wäre ihm lieber, die Daten würden gelöscht. Unter Abwägung dieser Gesichtspunkte erachtet das Gericht einen Anspruch auf immateriellen Schadensersatz iHv 300 EUR als angemessen. Soweit der Kl. vorgebracht hat, es müsse auch der Gesichtspunkt der Prävention gegen künftige Verstöße sowie der Vergeltung zu berücksichtigen sein, handelt es sich hierbei um Umstände, welche iRv Art. 82 Abs. 1 DS-GVO nicht von Bedeutung sind, nachdem diese Regelung ausschließlich eine Ausgleichsfunktion erfolgt. Der Kl. kann sich auch nicht mit Erfolg darauf berufen, unter dem Gesichtspunkt der Verletzung des aus Art. 1 und 2 GG abgeleiteten allgemeinen Persönlichkeitsrechts sei ein höherer immaterieller Schadensersatz zuzuerkennen. Unabhängig von der Frage, inwieweit neben Art. 82 Abs. 1 DS-GVO der Rückgriff auf weitergehende Schadensersatznormen nach nationalem Recht überhaupt eröffnet ist, liegt jedenfalls kein solcher Sachverhalt vor, bei welchem der Rechtsschutz von Würde und Ehre des Menschen als verkümmert anzusehen wäre, wenn nicht eine Sanktion in Form einer Geldentschädigung verhängt würde. Immerhin lassen sich die von der Bekl. gesammelten Daten vom Nutzerkonto trennen. Auch wenn sich diese Trennung für den Nutzer wie den Kl. nicht kontrollieren lässt und er sich auf deren Unumkehrbarkeit jedenfalls nicht verlassen kann, so gibt es doch keinen Anhaltspunkt für eine nennenswert fühlbare Beeinträchtigung des Kl. durch die rechtswidrige Datenspeicherung bei der Bekl.
LG Hamburg Urt. v. 5.2.2025 – 314 O 73/24	0 EUR Im übrigen ist der Rechtsschutzfall mit dem Streitgegenstandsbegriff im Bezugsprozess identisch. Der Streitgegenstand im Bezugsprozess wird hier durch das Scraping 2019 und veröffentlichen der Daten in 2021 definiert. Denn der Schadensersatzanspruch iSv Artikel 82 Abs. 1 DS-GVO setzt das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus. Der behauptete Schaden ist allerdings erst durch das Scraping in 2019 entstanden. So hätte die Kl. die nunmehr begehrten Ansprüche auch vorher gar nicht geltend machen können. Ein Rechtsschutzfall wäre von der Bekl. vorher bereits mangels konkreten Schadens abgelehnt worden. So hat auch der BGH bzgl. der zeitlichen Anwendbarkeit der DS-GVO nicht auf den Zeitpunkt der Registrierung eines Nutzerkontos, sondern auf den Zeitpunkt des Scraping-Vorfalls abgestellt. Auf Grund dieses Verstoßes kann die Kl. Schadensersatz gem. § 82 DS-GVO als auch Unterlassungsansprüche gegen die Bekl. geltend machen. Ebenso stehen ihr neben Schadensersatzansprüchen auch Auskunftsansprüche aus den Vorschriften Art. 15 DS-GVO zu.
LG Köln Urt. v. 4.2.2025 – 27 O 3/24	0 EUR Dem Kl. steht der geltend gemachte Schadensersatzanspruch unter keinem rechtlichen Gesichtspunkt zu. Der Anspruch ergibt sich nicht aus Art. 82 Abs. 1 DS-GVO. Es kann dabei dahinstehen, ob der Vortrag des Kl. zum Vorliegen eines Schadenseintritts ausreichend ist. Ein solcher kann sich – anders als in dem vom BGH entschiedenen Fall zum sog. Scraping – jedenfalls nicht aus einem bloßen Kontrollverlust ergeben. Einen solchen hat der KL. gerade nicht dargelegt. Er war unstreitig vor Abschluss des Vertrages auf die Weiterleitung der Daten über den Vertragsschluss an die S. und ähnliche Unternehmen hingewiesen worden. Es fehlt jedenfalls an einem Verstoß gegen die DS-GVO. Die Weitergabe der Daten über den Vertragsschluss des Kl. an die S. AG und die S. GmbH war nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO wegen der Wahrnehmung berechtigter Interessen gerechtfertigt.
LG Augsburg Urt. v. 4.2.2025 – 125 O 1155/24	0 EUR Der Anspruch auf immateriellen Schadensersatz gem. Art. 82 I, II DS-GVO ist unbegründet, denn es liegt kein kausaler Schaden, auch kein durch den Vorfall kausal verursachter Kontrollverlust, vor. Ein Anspruch aus Art. 82 I, II DS-GVO setzt voraus, dass personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO von dem Verantwortlichen verarbeitet wurden, der betroffenen Person ein Schaden entstanden ist und zwischen dem Verstoß und dem Schaden ein Kausalzusammenhang besteht. Obwohl es sich bei dem für die Haftung nach Art. 82 I, II DS-GVO erforderlichen Verstoß gegen die Grundsätze für die Verarbeitung personenbezogener Daten um eine anspruchsbegründende Voraussetzung des Art. 82 I DS-GVO handelt, ist nicht der Kl., sondern die Bekl. darlegungs- und beweisbelastet. Diese Beweislastumkehr folgt aus der in Art. 5 Abs. 2 DS-GVO enthaltenen spezifischen Beweislastregelung. Art. 5 II DS-GVO stellt klar, dass die Beweislast für die Rechtmäßigkeit der Datenverarbeitung beim Verantwortlichen liegt. Dies gilt nicht nur gegenüber Behörden. Auch im Zivilprozess muss die Verantwortliche den Nachweis erbringen. Hierfür muss konkret vorgetragen werden. Ob dies der Fall war und ob der angebotene Sachverständigenbeweis den Nachweis für ausreichende Sicherung gebracht hätte, war nicht entscheidungsrelevant, da kein kausaler Schaden nachgewiesen werden konnte. Denn es steht zwar durchaus zur Überzeugung des Gerichts fest, dass der Kl. einen Kontrollverlust über seine persönlichen Daten erlitten hat, sogar echte Einschränkungen in seinem Alltag in Kauf nehmen musste. Letztere ergeben sich auch aus seiner persönlichen Anhörung am 28.11.2024. Doch der Kl. hat die erforderliche Kausalität zwischen dem (hierfür unterstellten) Verarbeitungsverstoß seitens der Bekl. und dem ihm entstandenen Kontrollverlust nicht bewiesen. Das Risiko der Nichtbeweisbarkeit verbleibt beim Anspruchsteller. Der Kl. konnte nicht beweisen, dass das bei der Bekl. eingetretene Datenleck vom 25. August 2022, ursächlich dafür war, dass er die Kontrolle über seine personenbezogenen Daten verloren hat.
NEU LG Darmstadt Urt. v. 3.2.2025 – 1 O 2/24	0 EUR Es liegt kein Verstoß der Bekl. gegen die Vorschriften der DS-GVO vor, insb. liegen die Voraussetzungen des Art. 82 Abs. 1 DS-GVO nicht vor. Es liegt insb. auch kein Verstoß gegen Art. 6 Abs. 1, 5 Abs. 1 lit. a DS-GVO vor. Die Übermittlung der Vertragsdaten durch die Bekl. konnte auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DS-GVO gestützt werden, sie war mithin rechtmäßig. In Bezug auf den Klageantrag zu I.) kommt hinzu, dass dem Kl. selbst in dem Fall, dass der Bekl. hier ein Verstoß gegen ihre Pflichten aus der DS-GVO anzulasten sein sollte, auf Basis seines eigenen Vortrags im Ergebnis jedenfalls kein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO gegen die Bekl. zusteht, da der insoweit darlegungs- und beweisbelastete Kl. den Eintritt eines auf einem solchen Verstoß beruhenden Schadens nicht substantiiert dargetan hat. Dass der Kl. infolge der von der Bekl. veranlassten Datenweitergabe einen konkreten materiellen Schaden erlitten hätte, wird von ihm nicht behauptet und ist auch sonst nicht ersichtlich. Soweit der Kl. unter Verweis auf die EuGH-Rspr. die Auffassung vertritt, dass es auf konkrete wirtschaftliche oder persönliche Auswirkungen des Datenschutzverstoßes nicht ankomme, weil bereits die Persönlichkeitsverletzung als solche einen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO auslöse, ohne dass eine Erheblichkeitsschwelle erreicht oder überschritten werden müsse, kann dem in dieser Pauschalität nicht gefolgt werden. Denn ein solcher Schaden liegt nicht bereits im Vorliegen eines Verstoßes gegen die DS-GVO selbst. Der Wortlaut des Art. 82 Abs. 1 DS-GVO differenziert vielmehr zwischen einem Schaden einerseits und andererseits einem DS-GVO-Verstoß, auf dem der Schaden erst beruht. Derartige immaterielle Schäden aufgrund seines inneren Erlebens hat der Kl. – nicht erst auf entsprechendes Bestreiten, sondern schon für eine Schlüssigkeit der Klage – konkret darzulegen. Dem genügen allgemein gehaltene, pauschale und formelhafte Bekundungen nicht. Vielmehr obliegt es dem Kl., seine Behauptung mit Leben zu füllen und zu individualisieren. Dies ist hier nicht geschehen. Die klägerischen Schriftsätze enthalten keinerlei Vortrag in Bezug auf einen individuellen Kontrollverlust oder andere spürbare Beeinträchtigungen des Kl. aufgrund der von der Bekl. veranlassten Datenweitergabe. Der Kl. hat zudem mehrere Angebote des Gerichts, sich iRe informatorischen Anhörung persönlich zum Streitgegenstand zu äußern, ausgeschlagen und ist trotz der Anordnung des persönlichen Erscheinens mehrfach unentschuldigt nicht erschienen, sodass eine informatorische Anhörung des Kl., die möglicherweise nähere Einzelheiten hierzu hätte erbringen können, nicht durchgeführt werden konnte. Damit ist aber ein immaterieller Schaden des Kl. iSv Art. 82 Abs. 1 DS-GVO auch unter Berücksichtigung der aktuellen EuGH-Rspr. nicht dargetan. Es wird nicht verkannt, dass es nach dem Urteil des EuGH v. 14.12.2023 (C-340/21) bereits einen immateriellen Schaden darstellen kann, wenn eine betroffene Person infolge eines DS-GVO-Verstoßes befürchtet, ihre personenbezogenen Daten könnten durch Dritte missbräuchlich verwendet werden. Dass dies allerdings (nur) einen Schaden darstellen „kann“ – nicht muss! – zeigt, dass selbst dann das Vorliegen eines solchen Schadens von weiter hinzutretenden Faktoren abhängig ist, zumindest in Form einer Bewertung der jeweiligen Umstände des Einzelfalles. Eine Bewertung als immaterieller Schaden iSv Art. 82 Abs. 1 DS-GVO setzt dann aber voraus, dass die Klägerseite die Ausprägungen des Einzelfalls darstellt, die dazu führen, dass sich die durch den EuGH erkannte Möglichkeit eines Schadens im Einzelfall auch zum Vorliegen eines Schadens konkretisiert hat. Das ist hier, wie oben ausgeführt, nicht geschehen. Etwas Anderes ergibt sich auch nicht aus dem Urteil des EuGH v. 4.5.2023 in der Rechtssache C-300/21. Im Gegenteil stellt der EuGH auch in dieser Entscheidung klar, dass gerade nicht bereits der bloße Verstoß gegen die DS-GVO für sich genommen einen Schadenersatzanspruch aus Art. 82 Abs. 1 DS-GVO begründet. Ein solcher Schadenersatzanspruch setzt vielmehr neben einem Verstoß einen materiellen oder immateriellen Schaden und einen Kausalzusammenhang zwischen Schaden und Verstoß voraus. Die Schadenersatzklage unterscheidet sich damit von anderen in der DS-GVO vorgesehenen Rechtsbehelfen – insb. von jenen, die die Verhängung von Geldbußen erlauben –, für -die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss. Zwar ist der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt, die eine gewisse Erheblichkeit erreichen. Der EuGH hat aber gleichzeitig klargestellt, dass auch im Datenschutzrecht das Erfordernis eines konkreten haftungsbegründenden Schadens besteht. Ein solcher liegt im DS-GVO-Verstoß selbst noch nicht begründet; Schadensersatz kann es nur und erst geben, wenn bei der betroffenen Person tatsächlich ein Schaden eingetreten ist. Einen solchen Schaden hat der Kl. aber, wie oben ausgeführt, hier nicht dargetan. Die Äußerungen des Kl. zu Geschäftsgebaren und Marktposition der Bekl. in der Klagebegründung legen iÜ nahe, dass es dem Kl. mit seiner Klage nicht oder jedenfalls nicht in erster Linie darum geht, Genugtuung für einen tatsächlich bei ihm eingetretenen immateriellen Schaden zu erlangen, sondern die Bekl. für ihr Verhalten zu strafen und davon gleichzeitig selbst wirtschaftlich zu profitieren. Die deutsche Zivilrechtsordnung sieht als Rechtsfolge einer unerlaubten Handlung aber grds. nur den Schadensausgleich vor, nicht aber eine Bereicherung des Geschädigten. Die Bestrafung und Abschreckung sind mögliche Ziele der Kriminalstrafe, die als Geldstrafe an den Staat fließt, nicht des Zivilrechts. Auch die Erwägung, dem Opfer eines Rechtsverstoßes eine Vergünstigung zukommen zu lassen, findet ihre Erklärung in einem Verständnis des Privatrechts als Lebensordnung mit generalpräventiver Wirkung: Anstelle des Staates tritt der Einzelne als „privater Staatsanwalt“ auf. Dies ist nach deutscher Rechtstradition mit dem Bestrafungsmonopol des Staats und den dafür eingeführten besonderen Verfahrensgarantien unvereinbar. Zwar lässt das deutsche Recht mit dem Rechtsinstitut der Vertragsstrafe (§§ 339 ff. BGB) in gewissem Umfang Bestrafungsfunktionen im Privatrecht zu. Dies setzt jedoch eine entsprechende rechtsgeschäftliche Vereinbarung zwischen den Parteien voraus und ist deshalb für die Umschreibung der deutschen Grundsätze für die Deliktshaftung bedeutungslos. Diese Grundsatzentscheidung des deutschen Gesetzgebers, die letztendlich daraus resultiert, dass das Verfassungsgebot der Verhältnismäßigkeit auch im Zivilprozess gilt, muss auch bei der Entscheidung über Schadensersatzansprüche aus Art. 82 Abs. 1 DS-GVO beachtet werden, auch wenn diese Anspruchsgrundlage unionsrechtlichen Ursprungs ist und der Schadensbegriff des innerstaatlichen Zivilrechts aus §§ 249 ff. BGB insoweit keine unmittelbare Anwendung findet. Es konnte hier entschieden werden, ohne der Klägerseite weitere Hinweise zu erteilen oder ihr vor der Urteilsverkündung Gelegenheit zu ergänzendem Vortrag einzuräumen. Es liegt hier insb. keine Überraschungsentscheidung iSv § 139 Abs. 2 ZPO vor. Eine Überraschungsentscheidung idS ist im Anwaltsprozess nur dann gegeben, wenn das Gericht einen Sachverhalt oder ein Vorbringen in einer Weise gewürdigt hat, mit der auch ein gewissenhafter und kundiger Prozessbevollmächtigter nicht zu rechnen brauchte. Es kann dagegen nicht überraschend sein, wenn die Parteien über bestimmte rechtliche und tatsächliche Aspekte debattieren, diese also erkennbar weder übersehen noch für unerheblich gehalten haben, und das Gericht sich anschließend der Auffassung einer bestimmten Seite anschließt. Davon unabhängig wäre der von der Klägerseite für angemessen erachtete Betrag von 5.000 EUR Schadensersatz jedenfalls um ein Vielfaches zu hoch angesetzt sein, wenn man hier einen Schaden des Kl. iSv Art. 82 DS-GVO erkennen wollte.
LG Köln Urt. v. 31.1.2025 – 5 O 16/24	0 EUR Die Übermittlung der so genannten Positivdaten durch die Bekl. an die S. Holding AG stellt zwar eine „Verarbeitung“ der Daten dar (Art. 4 Nr. 2 DS-GVO) und bedarf daher der Rechtfertigung nach Art. 6 Abs. 1 S. 1 DS-GVO. Jedoch ist die Verarbeitung der Daten durch die Bekl. gem. Art. 6 Abs. 1 S. 1 lit. f) DS-GVO gerechtfertigt.
NEU LG Aachen Urt. v. 30.1.2025 – 10 O 257/24	0 EUR Die Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes. Allerdings sind die übrigen Voraussetzungen eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DS-GVO nicht erfüllt. Es fehlt insb. an einem Verstoß der Bekl. gegen die Bestimmungen der DS-GVO. Die Kl. hat sich für die kostenfreie Nutzung der Plattform entschieden und damit die Einwilligung für personalisierte Werbung gegenüber der Bekl. erteilt. Schließlich verstößt die Bekl. nicht gegen die DS-GVO, soweit sie personenbezogene Daten der Klägerin aus der Europäischen Union in Drittstaaten, namentlich die USA, übermittelt. Die entsprechende Datenübermittlung ist von der Einwilligung der Kl. gem. Art. 6 Abs. 1 lit. a DS-GVO gedeckt.
LG Krefeld Urt. v. 29.1.2025 – 2 O 15/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines Schmerzensgeldes gemäß Art. 82 Abs. 1 DS-GVO. Als anspruchsbegründende Voraussetzungen erfordert der Schadensersatzanspruch aus Art. 82 DS-GVO die Aktiv- und Passivlegitimation der Parteien, eine Verletzungshandlung, einen Schaden, einen hinreichenden Kausalitätszusammenhang sowie ein Verschulden. Der Kl. hat nicht gemäß Art. 6 Abs. 1 lit a) DS-GVO in die Verarbeitung der konkreten streitgegenständlichen Daten eingewilligt. An der Datenweitergabe bestand aber ein berechtigtes Interesse zum Zwecke der Betrugsprävention nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO, das die Datenweitergabe rechtfertigte. Das Gericht konnte zudem auch nicht zu der Überzeugung gelangen, dass der Kl. einen Schaden erlitten hat. Nach Art. 82 der DS-GVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DS-GVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DS-GVO reicht demnach nicht aus. Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person, also dem Kl. Da der Erwägungsgrund des 146 S. 3 DS-GVO für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DS-GVO spricht, braucht ein immaterieller Schaden, den die betroffene Person erlitten hat, keinen bestimmten Grad an Erheblichkeit zu erreichen und es sind auch immaterielle „Bagatellschäden“ dem Grunde nach nicht ausgeschlossen. So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Kontrollverlust über diese Daten einen immateriellen Schaden darstellen. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Auch nach dem Urteil des EuGH vom 14.12.2023 (Rs. C-340/21) kann auch ein Kontrollverlust einen Schaden nach Art. 82 DS-GVO darstellen. Das angerufene nationale Gericht hat nach dieser Entscheidung des EuGH dann, wenn sich eine Person auf eine Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, jedoch zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Unbegründete Befürchtungen erkennt der EuGH somit nicht als Schaden an. Gemessen an diesen Grundsätzen ist das Vorliegen eines immateriellen Schadens in Form eines Kontrollverlustes im vorliegenden Fall der Weitergabe der Positivdaten des Kl. an die S.-H. AG nicht ersichtlich. Selbst bei einer Kontrolle Dritter über die in Rede stehenden Daten sind negative Konsequenzen jeglicher Art, seien diese auch nur geringfügig und kurzzeitig für den Betroffenen eintreten könnten, die auch nur geringfügig weniger wahrscheinlich wären, hätte der Betroffene die Kontrolle über die Daten nicht verloren, nicht erkennbar. Kontrollinteressen können sich objektiv durch drohende negative Folgen, wie Stigmatisierung, drohenden kriminellen Missbrauch oder die Verringerung wirtschaftlichen Erfolgs begründen aber auch subjektiv auf Grund von individuellen selbst unbegründeten Befürchtungen und Ängsten hinsichtlich des Verbleibs der Daten. Auch subjektiv ist dem Kl. kein Schaden entstanden, da auch keine subjektiven Kontrollinteressen gegeben sind.
LG Augsburg Urt. v. 29.1.2025 – 121 O 110/24	0 EUR Mangels Verstoßes gegen die DS-GVO besteht kein Schadenersatzanspruch gem. Art. 82 DS-GVO vor. Darüber hinaus hat der Kl. auch keinen Schaden iSd Art. 82 Abs. 1 DS-GVO dargetan. Das Gericht sieht bereits keinen Verstoß der Beklagtenseite gegen Art. 6 Abs. 1 bzw. Art. 5 Abs. 1a) DS-GVO, da die von der Bekl. vorgenommene Datenübermittlung nach der gemäß Art. 6 Abs. 1f) DS-GVO vorzunehmenden Interessenabwägung gerechtfertigt ist. Darüber hinaus fehlt es auch unter Berücksichtigung der Rspr. des BGH mit Urt. v. 18. November 2024 – ZR 10/24 an einem Schaden des Kl. Der Begriff des immateriellen Schadens ist autonom unionsrechtlich zu definieren und grds. weit auszulegen. Der bloße Verstoß gegen Bestimmungen der DS-GVO ist nicht ausreichend, allerdings kann bereits der selbst kurzzeitige Verlust der Kontrolle über personenbezogenen Daten einen immateriellen Schaden darstellen. Ein Kontrollverlust des Kl. ist allerdings nicht eingetreten. Anders als in den Fällen der Veröffentlichung von Daten im Internet nach einem Datenleck, die nicht unterbunden werden und die zu einer nicht kontrollierbaren Verbreitung der Daten führen kann, wurden die die Daten durch die Bekl. lediglich an die benannten Auskunfteien weitergegeben. Im Fall unberechtigter Datenverarbeitung stünde dem Kl. gegen die ihm bekannten Auskunfteien ein durchsetzbarer Anspruch auf Löschung zu. Dass die Auskunfteien die personenbezogenen Daten (und nicht nur die von ihnen ermittelten Scores) des Kl. über die eigene Verarbeitung auch an Dritte weitergeben, ist vom Kl. ebenso wenig vorgebracht, wie der Versuch einen solchen Anspruch gegen die Auskunfteien durchzusetzen. Letzteres lässt auch die vorgebrachten Sorgen wenig plausibel erscheinen. Mangels Verstoßes gegen die DS-GVO kommt auch weder ein Anspruch auf Unterlassen der Mitteilung von Positivdaten noch die Feststellung Pflicht zum Ersatz künftiger Schäden in Betracht. Das gleiche gilt mangels Hauptanspruch in Hinblick auf die Zahlung von Zinsen und die Erstattung außergerichtlicher Anwaltskosten.
LG Düsseldorf Urt. v. 29.1.2025 – 1 a O 275/24	0 EUR Dem Kl. steht kein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Die Bekl. hat weder durch Übermittlung der Positivdaten an die S. im Oktober 2017 noch dadurch, dass sie es unterlassen hat, die S. um Löschung der Daten bis zum 25.5.2018 zu bitte, gegen die DS-GVO verstoßen, insb. nicht gegen Art. 5 Abs. 1 lit. a) iVm Art. 6 Abs. 1 DS-GVO. Dies ist jedoch vorliegend der Fall, da die Voraussetzungen des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO vorliegen.
LG Potsdam Urt. v. 28.1.2025 – 12 O 224/23	0 EUR Der Klageantrag zu 1. Ist nicht begründet, weil dem Kl. kein Schadensersatzanspruch gegen die Bekl. wegen eines datenschutzrechtswidrigen Verhaltens zusteht. Aus diesem Grund sind auch die weiteren Anträge nicht begründet. Es liegt, wie die Bekl. zutreffend ausführt, kein Verstoß gegen Vorschriften der DS-GVO vor, insb. nicht gegen Art. 6 Abs. 1, Art. 5 Abs. 1 lit. a) DS-GVO. Die Übermittlung der Vertragsdaten durch die Bekl. konnte auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DS-GVO gestützt werden, war also rechtmäßig.
LG Hannover Urt. v. 28.1.2025 – 18 O 104/24	0 EUR Dem Kl. steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen Anspruchsgrundlage gegen die Bekl. zu. Zwar stellt die Übermittlung der den Vertragsschluss betreffenden Daten durch die Bekl. an die SCHUFA eine Verarbeitung iSd Art. 6 DS-GVO dar, diese ist jedoch rechtmäßig, da (zumindest) die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. f DS-GVO vorliegen. Neben der Frage hinsichtlich eines Verstoßes der Bekl. gegen die Bestimmungen der DS-GVO scheitert ein Anspruch des Kl. auf Zahlung eines Schadensersatzes gemäß Art. 82 DS-GVO jedenfalls daran, dass ein immaterieller Schaden nicht vorliegt. Ein immaterieller Schaden besteht hier nicht in einem sog. „Kontrollverlust“ bzgl. der übermittelten Positivdaten. Insoweit geht die Kammer zwar davon aus, dass entsprechend dem 85. Erwägungsgrund der DS-GVO auch der „Verlust der Kontrolle“ bei personenbezogener, nach der DS-GVO geschützte Daten zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können. Ferner hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Der vorliegende Fall unterscheidet sich allerdings hinsichtlich der Frage des Kontrollverlusts von anderen von der Kammer entschiedenen Fällen, in welchen dieser Kontrollverlust bejaht wurde, namentlich, wenn nach einem sog. „Datenleck“ bei einer datenspeichernden Einrichtung personenbezogene Daten frei im Internet bzw. im sog. D. kursierten und von jedermann eingesehen, heruntergeladen und vervielfältigt werden konnten. Hier waren die Positivdaten – zunächst einmal nur – bei der die S. H. AG gespeichert. In welchem Umfang die Positivdaten bereits von Dritten, die sich an die Auskunftei gewandt haben, eingesehen wurden, ist nicht sicher. Jedenfalls ist bzgl. der Personen, die sich an die Auskunftei wenden, um namentlich Informationen über die Kreditwürdigkeit des Betroffenen zu erhalten, im Grundsatz davon auszugehen, dass damit einem konkreten Informationsinteresse gefolgt wird und betreffende Dritte die Daten daher nicht umfänglich und kopieren und anderweitig veröffentlichen. Dazu ist jedenfalls nichts bekannt. Daher ist im Grundsatz davon auszugehen, dass die Daten bei der die S. H. AG gelöscht werden können (und zwischenzeitlich auch gelöscht worden sind) und sich damit der Eingriff gleichsam wieder „einfangen lässt“. Ein immaterieller Schaden ergibt sich auch nicht aus sonstigen Belästigungen oder (psychischen, gesundheitlichen u. a.) Nachteilen, die der Kl. infolge der Übertragung der Daten hinsichtlich seines Mobilfunkvertrages erlitten hätte. Hierzu ist auf die informatorische Anhörung des Kl. zu verweisen, § 141 ZPO. Im Rahmen dieser hat der Kl. u. a. angegeben, er sei über den aus der Schufa-Auskunft ersichtlichen Score von 95,03 % schockiert gewesen. Er habe aufgrund der Auskunft der S. Befürchtungen und ein unwohles Gefühl, wenn jemand anderes entscheide, ob er einen Kredit erhalte oder eben nicht. Er habe bzgl. eines Erwerbs einer Eigentumswohnung im Jahr 2024 Finanzierungen bei verschiedenen Banken angefragt, jedoch von 2 bis 3 Banken Ablehnungen dieser Finanzierungen erhalten. Was der Grund für diese Ablehnungen war, könne er nicht sage, die Ablehnungen seien nicht begründet worden. Der Kl. meint jedoch, dass dies an seinem damaligen Scoring der S. gelegen haben muss. Er habe dann eine Finanzierung über die Sparkasse erhalten, jedoch zu schlechteren Konditionen als bei den Banken, die eine Finanzierung abgelehnt haben.
LG Köln Urt. v. 28.1.2025 – 2 O 6/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Ersatz immaterieller Schäden wegen der Einmeldung seiner Positivdaten bei der S. aus Art. 82 Abs. 1 DS-GVO. Denn die Bekl. handelte in Wahrnehmung berechtigter Interessen. Rechtfertigungsgrund ist Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO.
LG Bad Kreuznach Urt. v. 28.1.2025 – 4 O 15/24	0 EUR Dem Kl. steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Vorliegend fehlt es an einem Verstoß gegen die Bestimmungen der DS-GVO, aus welchem sich ein Schadensersatzanspruch des Kl. ergeben könnte. Allerdings verstößt die Bekl. nicht gegen Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO.
LG Verden Urt. v. 27.1.2025 – 3 O 89/24	0 EUR Der allein vom Kl. vorgetragene und nach seinem Vortrag denkbare Verstoß der Bekl. gegen Art 6 Abs. 1 S. 1 lit. f) DS-GVO liegt nicht vor. Abgesehen von diesen Erwägungen mangelt es überdies an einem ersatzfähigen Schaden des Kl. iSd Art. 82 Abs. 1 DS-GVO. Auch wenn keine Erheblichkeitsschwelle für das Vorliegen eines Schadens zu fordern ist und Bagatellschäden nicht auszuschließen sind, muss sich aus dem Vortrag eines Kl. doch wenigstens ein solcher Schaden ergeben. Der formelhafte nicht auf die Person des Kl. individualisierte Vortrag genügt hierfür nicht. Die Behauptung des Kl., bei ihm habe sich nach Erhalt der Auskunft der S. wegen der Positivmitteilung der Bekl. ein Gefühl des Kontrollverlustes und der großen Sorge, auch in Bezug auf die Beurteilung seiner Bonität eingestellt, ist schlichtweg konstruiert. Da in Deutschland jeder Erwachsene üblicherweise über einen Mobilfunkvertrag verfügt, hebt die Information, dass der Kl. auch einen Mobilfunkvertrag abgeschlossen hat, ihn in keiner Weise von Millionen anderer in Deutschland lebender Erwachsenen ab. Damit kann diese Information anderen Teilnehmern am Wirtschaftsverkehr wie Banken und Versicherungen auch keinen Anlass geben zu kritischer Nachfrage. Soweit der Kl. einen „objektiv falschen“ bzw. einen „beeinflussten“ S.-Score oder auch eine „Veränderung in der Bonitätsbewertung“ bzw. eine „unrichtige Einstufung der Zahlungsausfallwahrscheinlichkeit“ geltend macht, überzeugt auch dies nicht: Da der Kl. den Mobilfunkvertrag abgeschlossen hatte, die Meldung inhaltlich also richtig war, konnte ein unter ihrer Einbeziehung gebildeter Score nicht objektiv falsch sein. Auch ist mit Blick auf den niedrigen S.-Score des Kl. bereits nicht ersichtlich, inwiefern die Einmeldung von Positivdaten hier unter Berücksichtigung der erheblichen Zahlungsausfälle des Kl., die maßgeblich den niedrigen S.-Score beeinflusst haben dürfen, ins Gewicht fallen sollen. Soweit der Kl. in der mündlichen Verhandlung angegeben hat, ihm sei ein Telekom-Vertrag abgelehnt worden, ist dieser Vortrag mangels Angaben genauer Daten und Mitteilung der bei der S. zum damaligen Zeitpunkt gespeicherten Daten bereits unsubstantiiert, darüber hinaus ist es aber zur Überzeugung der Kammer auch ausgenommen unwahrscheinlich, dass die eingemeldeten Positivdaten eines bestehenden Mobilfunkvertrags alleine zur Ablehnung eines Telekom-Vertrags geführt haben sollen.
LG Lübeck Urt. v. 24.1.2025 – 15 O 104/23	750 EUR (+220,27 EUR außergerichtliche Rechtsanwaltskosten) Die Klägerseite kann von der Bekl. aus Art. 82 DS-GVO Zahlung von 750 EUR verlangen. Es sind mehrere haftungsbegründende Verstöße der Bekl. gegen die einschlägigen Bestimmungen der DS-GVO festzustellen. Zum ersten liegt eine rechtswidrige Verarbeitung von Daten der Klägerseite durch die Bekl. vor. Grds. gilt im Anwendungsbereich der DS-GVO, dass jede Datenverarbeitung rechtswidrig ist, wenn nicht eine der in Art. 6 DS-GVO genannten Bedingungen für eine rechtmäßige Datenverarbeitung erfüllt ist. Die rechtswidrige Datenverarbeitung kann sodann Schadensersatzansprüche nach Art. 82 DS-GVO auslösen. Eine Verletzung von Art. 32 DS-GVO ist dabei generell vom Schutzbereich des Art. 82 DS-GVO umfasst. Ein Verstoß kann daher die Schadensersatzpflicht nach Art. 82 DS-GVO begründen. Jedoch wäre eine derartige Verletzung von Art. 25 DS-GVO jedenfalls nicht vom Schutzbereich des Art. 82 DS-GVO umfasst und kann daher keine Schadensersatzansprüche auslösen. Systematisch folgt dies bereits aus dem Umstand, dass Art. 82 Abs. 2 DS-GVO voraussetzt, dass der Schaden „durch eine Verarbeitung“ ausgelöst wurde, während Art. 25 DS-GVO Verhaltenspflichten normiert, die vor jeder konkreten Datenverarbeitung liegen und die generellen Voreinstellungen betreffen. Durch ein derartiges Verständnis der Art. 25, 82 DS-GVO wird der Wirkungsbereich des Art. 25 DS-GVO dabei auch nicht in unzulässiger Weise eingeschränkt. Vielmehr werden eventuelle Verstöße gegen Art. 25 DS-GVO bei diesem Verständnis auf Verschuldensebene relevant und hindern ggf. eine Entlastung des Normverpflichteten. Das vermag Gericht auch keine weiteren haftungsbegründenden Verstöße der Bekl. gegen die DS-GVO im Hinblick auf die vorgetragenen Verletzungen von Informationspflichten zu erkennen. Es kann offenbleiben, ob – was nahe liegt – die Bekl. ihre Meldepflichten aus Art. 33, 34 DS-GVO verletzt und weder die Aufsichtsbehörde gemäß Art. 33 DS-GVO noch die Klägerseite entsprechend ihrer unverzüglich zu erfüllenden Verpflichtung aus Art. 34 Abs. 1 DS-GVO informiert hat. Auf entsprechende Verstöße lässt sich ein immaterieller Schadensersatzanspruch vorliegend jedenfalls nicht stützen, weil nicht zur Überzeugung der Kammer festgestellt werden kann, dass die etwaige Verletzung dieser Pflichten für den geltend gemachten Schaden der Klägerseite überhaupt (mit-)kausal geworden ist und diesen zumindest vertieft hat. Vielmehr ist das streitgegenständliche Scraping der Daten mit der öffentlichen Einstellung der Daten im Internet erstmals offenbar geworden. Dass eine in der Folge unterlassene Information hierüber den damit bereits eingetretenen Schaden in Gestalt der Verletzung des allgemeinen Persönlichkeitsrechtes der Klägerseite konkret weiter vertieft hätte, lässt sich bei dieser Sachlage nicht feststellen. Insb. ist nicht ersichtlich, dass der Gefahr, dass die bereits rechtswidrig zirkulierenden Daten auch auf weiteren Seiten angeboten werden, zum Zeitpunkt der unterstellt unterlassenen Information überhaupt noch hätte begegnet werden können. Soweit nach den obigen Ausführungen haftungsbegründende Verletzungen der DS-GVO vorliegen, sind diese auch von der Bekl. zu vertreten. Dabei kann für das vorliegende Verfahren dahinstehen, ob Art. 82 DS-GVO eine verschuldensunabhängige Haftung begründet, eine Gefährdungshaftung mit der bloßen Möglichkeit der rechtsvernichtenden Einwendung fehlenden Verschuldens oder ob mit der wohl h. M. angenommen werden kann, Art. 82 Abs. 3 DS-GVO enthalte ein Verschuldenserfordernis iSd gängigen deutschen Terminologie mit einer entsprechenden Vermutung zu Lasten des Normverletzers und einer bei dem Verpflichteten liegenden Beweislast, dass weder Vorsatz noch Fahrlässigkeit vorlag. Denn selbst wenn Art. 82 DS-GVO eine Exkulpationsmöglichkeit nach gängiger deutscher Terminologie zukommen würde, wäre der Bekl. eine Exkulpation nicht gelungen. Im Hinblick auf die rechtwidrige Verarbeitung der einschlägigen Daten der Klägerseite ist nichts zu erkennen, was die Bekl. zu Exkulpation vortragen könnte. Die konkrete Konfiguration der Voreinstellungen in den Profilen war ebenso wie die technischen Funktionen zur Nutzung der Mobilfunkdaten von der Bekl. im Rahmen ihres Geschäftsbetriebes offenkundig bewusst so verfasst wie oben beschrieben. Insoweit liegt entsprechend zumindest Fährlässigkeit vor. Dies gilt auch für die fehlende Erfüllung der Sorgfaltsanforderungen. Auch insoweit ist jedenfalls Fahrlässigkeit zu vermuten. Einlassungsfähiger Vortrag, der dem Fahrlässigkeitsvorwurf entkräften könnte, setzte zumindest voraus, dass dargelegt wird, aufgrund welcher konkreter Erkenntnisse man ex ante davon hätte ausgehen dürfen, dass die – nicht einlassungsfähig vorgetragenen (vgl. oben) – Maßnahmen zur Erfüllung des Art. 32 DS-GVO ausreichend sein könnten. Derartiges hat die Bekl. nicht vorgetragen. Des Weiteren liegt auch ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Als Anknüpfungspunkte für einen immateriellen Schaden iSd Art. 82 DS-GVO sind hier die von der Klägerseite geschilderten Spam-Emails und Anrufe die vorgetragenen Sorgen und Ängste in Folge des oben festgestellten Datenschutzverstoßes durch die Bekl., die Übermittlung von Daten der Klägerseite an die für das Scraping Verantwortlichen an sich und /oder die Veröffentlichung dieser Daten im Internet denkbar. Vorliegend liegt ein Schaden iSv Art. 82 DS-GVO jedoch in den geltend gemachten Ängsten und Sorgen der Klägerseite begründet. Ein Schaden iSv Art. 82 DS-GVO liegt auch in der Veröffentlichung der streitgegenständlichen Daten der Klägerseite im Internet. Es gelten für die Bemessung der Höhe des immateriellen Schadens die Grundsätze des § 253 BGB.
LG Dortmund Urt. v. 24.1.2025 – 21 O 130/24	0 EUR Dem Kl. steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einem anderen Rechtsgrund gegen die Bekl. zu. Es kann vorliegen dahinstehen, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind. Denn nach dem Ergebnis der Anhörung des Kl. hat dieser nicht nachweisen können, dass ihm ein kausaler immaterieller Schaden entstanden ist. Der EuGH hat am 4.5.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Nach der aktuellen Rspr. des BGH (Urt. v. 18.11.2024, Az. VI ZR 10/24) zu einem Fall des sog. „Datenscraping“ kann immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO sein. Nach dieser Rspr. müsse weder eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein, noch bedürfe es sonstiger zusätzlicher spürbarer negativer Folgen. Diese aktuelle Rspr. des BGH führt im vorliegenden Fall jedoch jedenfalls zu keinem anderen Ergebnis. Denn dem vom BGH behandelten Fall lag bereits eine grundlegend andere Konstellation zugrunde, nämlich da unwillentliche und unfreiwillige Abgreifen von Daten. Vorliegend wurden die Daten des Kl. von Beklagtenseite jedoch allein übermittelt. Dies wurde dem Kl. bereits bei Vertragsschluss mitgeteilt. In seiner persönlichen Anhörung in der mündlichen Verhandlung vom 16.1.2025 hat der Kl. insoweit ausgeführt, das sog. Merkblatt zum Datenschutz der Bekl., in dem auf die Übermittlung und die dem Kl. zustehenden Rechte hingewiesen wurde, auch zur Kenntnis genommen und gelesen zu haben. Selbst wenn nach der aktuellen höchstrichterlichen Rspr. des BGH für einen immateriellen Schaden iSd Art. 82 DS-GVO daher in abstrakter Kontrollverlust über Daten ausreichend sein soll, so liegt dieser bereits nicht vor. Für eine darüberhinausgehende Beeinträchtigung des Kl. trägt dieser die Beweislast. Der Kl. wurde bereits bei Vertragsschluss darauf hingewiesen, dass die Daten im Zusammenhang mit dem Vertragsabschluss an die S. übermittelt würden. Die schriftsätzlich und iRd persönlichen Anhörung des Kl. vorgetragenen Ängste, dass erneut Daten übermittelt würden und dies immer wieder passieren kann, lässt sich nicht nachvollziehen. So ist zwischen den Parteien unstreitig, dass die Bekl. allein sog. Positivdaten an die S. übermittelt hat. Ausweislich der eingeholten S.-Auskunft vom 17.10.2023 werden diese gespeichert, solange die Geschäftsbeziehung zwischen den Parteien besteht. Die erneute Übermittlung von Daten ist daher bereits für die Kammer vollkommen fernliegend. Es ist nicht ersichtlich, welche Daten des Kl. die Bekl. überhaupt an die S. oder andere Auskunfteien übermitteln sollte. Auch die Schilderung des Kl., er fühle sich mit der Weitergabe seiner Daten an die S. unwohl, kann die Kammer nicht nachvollziehen. So sind aus der S.-Auskunft, deren Inhalt dem Kl. nach eigenen Angaben bekannt ist, zahlreiche Eingaben zu erkennen. Zunächst finden sich zahlreiche Anfragen der K. Bank AB. Der Kl. hat hierzu in der mündlichen Verhandlung angegeben, dass ihm durchaus bekannt sei, dass die S. über Daten der K. Bank AB bei Rechnungskäufen verfügt.
LG Lübeck Urt. v. 23.1.2025 – 15 O 262/23	400 EUR (+ 368,78 EUR vorgerichtliche Rechtsanwaltskosten) Dem Kl. steht ein Anspruch auf Schadensersatz gegen die Bekl. aus Art. 82 Abs. 1 DS-GVO zu. Die Übermittlung der sog. Positivdaten an die SCHUFA stellt eine „Verarbeitung“ der Daten gemäß Art. 4 Nr. 2 DS-GVO dar und bedarf daher der Rechtfertigung nach Art. 6 Abs. 1 Satz 1 DS-GVO. Es liegt eine rechtswidrige Verarbeitung von Daten der Klägerseite durch die Bekl. durch das Einmelden der Positivdaten an die SCHUFA vor. Auf die abschließende Beantwortung der Frage, ob die Einmeldung der Positivdaten an die SCHUFA für die Bekl. erforderlich war, kommt es vorliegend nicht an, da die Datenübermittlung der von Art, 6 Abs. 1 S. 1 lit. f) DS-GVO geforderten Abwägung in jedem Fall – mithin auch unter der Prämisse der Erforderlichkeit der Datenübertragung für die oben genannten Verarbeitungszwecke – nicht Stand hält. Des Weiteren liegt auch ein ersatzfähiger Schaden iSV Art. 82 Abs. 1 DS-GVO vor. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden wurde von der Klägerseite nicht vorgetragen. Sie beruft sich allein auf das Vorliegen eines immateriellen Schadens. Als Anknüpfungspunkte für einen immateriellen Schaden iSd Art. 82 DS-GVO sind nach der stRspr der Kammer die von der Klägerseite geschilderten Ängste und Sorgen, sowie die Verletzung des Rechts auf informationelle Selbstbestimmung bzw. der damit einhergehende Kontrollverlust an sich denkbar. Vorliegend kann ein Schaden iSv Art. 82 DS-GVO nicht mit den geltend gemachten Ängsten und Sorgen der Klägerseite begründet werden. Nachdem bis Ende 2023 weitgehend unklar war, ob bereits durch Datenschutzverstöße bedingte Ängste und Sorgen der betroffenen Personen einen hinreichenden Schaden iSv Art. 82 DS-GVO darstellen, hat der EuGH erstmals mit Urt. v. 14. Dezember 2023 klargestellt, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann. Diese Rspr. hat der Gerichtshof sodann mit Urt. v. 25. Januar 2024 vertieft und nochmals entschieden, dass der Begriff „immaterieller Schaden“ eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt – was zu prüfen Sache des angerufenen nationalen Gerichts ist –, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden. Dabei hat der Gerichtshof den nationalen Gerichten allerdings – insoweit einschränkend – die Aufgabe zugewiesen, zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Dies ist etwa dann nicht der Fall, wenn sich das Risiko der rechtswidrigen Datenweitergabe als rein hypothetisch erweist. Ausdrücklich hat er sodann im nachfolgenden Urt. v. 21. Dezember 2023 im Hinblick auf den Grad der zu verlangenden Ängste oder Sorgen ausgesprochen, dass Art. 82 DS-GVO keine Bagatellgrenze kennt. Wiederholt bemüht der Gerichtshof in diesem Zusammenhang hinsichtlich der Schadensintensität die Formel „so geringfügig er auch sein mag“. Dies zugrunde gelegt, hat der Kl. den Eintritt eines Schadens in Form von Sorgen und Ängsten nicht zur Überzeugung der Kammer nach § 286 ZPO nachgewiesen. Soweit der Kl. schriftsätzlich vorgetragen hat, die streitgegenständliche Weiterleitung von Positivdaten an die SCHUFA habe bei ihm die ständige Angst vor unangenehmen Rückfragen, ein allgemeines Gefühl des Unwohlseins bis zur schieren Existenzsorge und ein Gefühl der Ohnmacht zur Folge gehabt, stimmen diese schriftsätzlich getätigten Angaben nicht mit dem überein, was der Kl. im Rahmen seiner persönlichen Anhörung geschildert hat. Nach alledem erweckt der schriftsätzliche Vortrag den Eindruck textbausteinartig verarbeitet worden zu sein, ohne auf den Schilderungen des hiesigen Kl. zu beruhen. Ein Schaden iSv Art. 82 DS-GVO liegt jedoch in der Verletzung des Rechts der Klägerseite auf informationelle Selbstbestimmung. Das Recht des Kl. auf informationelle Selbstbestimmung wurde durch die Einmeldung der Positivdaten durch die Bekl. verletzt. Die Kammer geht in ständiger und mehrjähriger Rspr. davon aus, dass bereits der reine Kontrollverlust und damit die hieraus folgende Verletzung des Rechts auf informationelle Selbstbestimmung ausreicht, um einen Schaden zu begründen und sieht sich hierin auch durch die jüngste Entscheidung des BGH bestätigt. Danach kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO ein immaterieller Schaden iSd Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Eine für die Bejahung eines Schadens ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung in Form eines Kontrollverlustes liegt hier eindeutig vor. Das Recht auf informationelle Selbstbestimmung enthält die Befugnis des Einzelnen, grds. selbst zu entscheiden, wann, wo und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Durch die Einmeldung der Positivdaten an die SCHUFA hat der Kl. die Kontrolle über seine Daten verloren. Denn hierdurch wurde das dargelegte Recht der Klägerseite verletzt, selbst zu entscheiden, wo und ob er gegenüber wem diese Daten offenbaren möchte. Die Gegenargumentation des LG Freiburgs, dass die Daten (Name und Information zum Vertragsschluss) lediglich an die SCHUFA übermittelt worden seien und nicht etwa auf einer frei zugänglichen Liste im Internet vermag insoweit nicht zu überzeugen. Das LG Freiburg verkennt, dass allein durch die Datenweitergabe, der Kl. zumindest zunächst keine Handhabe mehr über diese hat. Es bleibt dem Kl. zwar unbenommen, der Datenverarbeitung im Nachhinein gemäß Art. 21 DS-GVO zu widersprechen. Allerdings kann er zumindest vorübergehend nichts an der Tatsache ändern, dass die Daten bei der SCHUFA gespeichert und von dem dafür vorgesehenen Empfängerkreis auch abrufbar sind. Der Umstand allein, dass die Klägerseite hier (im Unterschied zu den Fällen des Datenabflusses ins freie Internet bzw. Darknet) weiß, an welche Institution die Daten übermittelt wurden, ändert nichts an dem Umstand, dass dies ohne Rechtfertigungsgrund erfolgte und damit das Recht des Kl. verletzt wurde, selbst und autonom darüber zu entscheiden, wem er diese Daten offenbaren möchte. Der damit gegebene Schaden beruht auch kausal auf den oben festgestellten Verstößen. Für den Nachweis der Kausalität zwischen Datenschutzverstoß und Schaden genügt dabei die überwiegende Wahrscheinlichkeit iSd § 287 ZPO, weil es um die Frage der haftungsausfüllenden Kausalität geht. Haftungsbegründend ist nämlich bereits der Datenschutzverstoß als solcher und der darauf beruhende unbefugte Zugriff auf personenbezogene Daten, weil damit die Verletzung des Rechtsguts, hier des Grundrechts auf Sicherheit der persönlichen Daten (Art. 8 Charta der Grundrechte der Europäischen Union, Art. 16 Abs. 1 AEUV, DS-GVO ERW 1, 2) bzw. auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG), vollendet ist. Die Höhe des Schadensersatzes beziffert das Gericht mit 400 EUR, wobei es diesen Betrag für angemessen, aber auch für ausreichend hält, um den immateriellen Schaden auszugleichen und gleichzeitig der erforderlichen Abschreckungswirkung Rechnung zu tragen sowie dabei die besonderen Umstände des Falles zu würdigen. Dem Gericht steht insoweit gemäß § 287 ZPO ein Ermessen zu. Bei den eingemeldeten Positivdaten handelte es sich um Daten, welche als weniger sensibel einzustufen sind. Sie beinhalten lediglich einige Daten zur Zuordnung der Person (Name etc.) sowie die Information, dass ein Mobilfunkvertrag abgeschlossen worden ist. Diese Daten wurden auch nicht (wie in den Fällen des Verkaufs von Daten etwa von „Hackern“ im Internet- oder Darknet) einem völlig unübersehbaren Empfängerkreis zur Verfügung gestellt, sondern im ersten Schritt lediglich einer klar benennbaren Institution sowie im weiteren Schritt einer – wenn auch größeren, so aber doch abgrenzbaren Zahl an hieran teilnehmenden weiteren Unternehmen. Die Daten wurden zudem mittlerweile gelöscht. Zudem fehlten dem Kl. auch nicht jedwede Möglichkeiten der Schadensbegrenzung. Insb. hätte er zumindest die Möglichkeit gehabt einen Löschungsantrag zu stellen – wobei die Kammer vorliegend nicht verkennt, dass damit ein möglicherweise lang andauerndes Prüfverfahren in Gang gesetzt worden wäre ohne zeitnahes und klar absehbares Ergebnis. Um sich der Schadenshöhe zu nähern, zieht die Kammer darüber hinaus auch die schon mehrfach entschiedenen Facebook Scraping Fälle als auch eine jüngst ergangene Entscheidung des EuG heran. In den schon mehrfach entschiedenen Scraping Fällen von Facebook hat die Kammer in stRspr einen immateriellen Schadensersatz iHv 500 EUR für den reinen Datenverlust angenommen. Anders als in dem hier vorliegenden Fall, hatte der dortige Verstoß allerdings zur Folge, dass etwas mehr und etwas sensiblere Daten an einen u. a. auch kriminellen Empfängerhorizont (Darknet) gelangt sind. Das EuG hat in seinem Urt. v. 8.1.2025 In der Rechtssache T-354/22 einen immateriellen Schadensersatz iHv 400 EUR wegen der rechtswidrigen Übermittlung einer IP-Adresse an Dritte (hier: Facebook) angenommen. Die Kammer schätzt nach alledem den Schaden ähnlich ein, wie der EuG bei der rechtswidrigen Übermittlung einer IP-Adresse an Dritte. Unter den Umständen hält die Kammer eine Entschädigung iHv 400 EUR für angemessen. Die vorgerichtlichen Rechtsanwaltskosten sind Teil des gemäß Art. 82 Abs. 1 DS-GVO zu ersetzenden Schadens. Die Hinzuziehung eines Rechtsanwalts zur Durchsetzung der klägerischen Ansprüche hält die Kammer angesichts der Komplexität der Materie für erforderlich.
LG Berlin II Urt. v. 23.1.2025 – 32 O 74/24	0 EUR Dem Kl. steht gegen die Bekl. kein Schadensersatzanspruch wegen der Übermittlung seiner personenbezogenen Daten an die S. AG zu. Der Anspruch rechtfertigt sich nicht aus Art. 82 Abs.1 DS-GVO iVm § 253 Abs. 1 BGB. In der Übermittlung der Positivdaten des Kl. an die S. liegt bereits kein Verstoß gegen die DS-GVO. Die Übermittlung war durch Art. 6 Abs. 1 UAbs. 1 lit f) DS-GVO gedeckt. Darüber hinaus ist dem Kl. durch die Datenübermittlung auch kein kausaler Schaden entstanden. Der Kl. kann seinen Anspruch auch nicht mit Erfolg auf einen eingetretenen Kontrollverlust über seine persönlichen Daten stützen. Zwar hat der BGH in seiner Entscheidung vom 18. November 2024 – VI ZR 10/24 entschieden, dass ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO auch im bloßen und kurzzeitigen Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO liegen kann, ohne dass eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt oder sonstige zusätzliche spürbare negative Folgen eingetreten sein müssen. Im vorliegenden Fall hat die Übermittlung von Positivdaten des Kl. durch die Bekl. an die S. aber nicht zu einem Kontrollverlust geführt. Die Daten des Kl. – Name, Geburtsdatum und Wohnort – sind nach der vom Kl. vorgelegten S.-Auskunft vom 7. Oktober 2023 bereits durch einen anderen Partner (I.-D. AG) zu einem früheren Zeitpunkt an die S. gemeldet worden. Insoweit war die Datenübermittlung der Bekl. jedenfalls nicht kausal für einen angeblichen Kontrollverlust. Der Umstand, dass der Abschluss eines Mobilfunkvertrages aufgrund der Einmeldung der Bekl. nunmehr bei der einzuholenden S.-Auskunft mit dem Namen des Kl. in Verbindung gebracht werden kann, stellt keinen Kontrollverlust dar. Der Abschluss eines Mobilfunkvertrages stellt, zumal nahezu jede erwachsene Person in Deutschland über einen solchen Vertrag verfügt, keine schützenswerte private Information dar. Dies gilt auch, soweit man hieraus den Namen des Mobilfunkanbieters erfährt. Da ein Kontrollverlust daher nicht eingetreten ist, kommt es auf nicht darauf an, ob aufgrund des von ihm behaupteten Kontrollverlusts beim Kl. zusätzlich Ängste, Befürchtungen oder Sorgen aufgetreten sind. Hinzu kommt, dass der Kl. das Vorhandensein solcher subjektiven Gefühle nicht hinreichend dargetan hat. Da er – wie bereits ausgeführt – gemäß der von ihm eingeholten Auskunft in der höchsten Bewertungsstufe eingeordnet worden ist, ist die Sorge, dass er wegen seines Scores Schwierigkeiten beim Abschluss von Kreditverträgen und ähnlichem habe könnte, nicht nachvollziehbar. Anlässlich dieses sehr guten Scores besteht auch keine Gefahr, dass andere Personen mit einem besseren Score ihm gegenüber bevorzugt behandelt werden. Soweit man entgegen den obigen Ausführungen einen Datenschutzverstoß sowie einen kausalen Schadenseintritt bejahen würde, würde sich im vorliegenden Fall allenfalls ein Schadensersatzanspruch in geringer zweistelliger Höhe rechtfertigen. Bei der Bemessung des Schadensersatzes ist § 287 ZPO anzuwenden. Bei einem bloßen Kontrollverlust sind bei der Schätzung der Schadenshöhe neben der Sensibilität der Daten die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerhorizont), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle zu berücksichtigen. In dem von ihm zu entscheidenden Scraping-Fall mit unbegrenztem Empfängerhorizont, einem länger andauernden Kontrollverlust und einer nur schwer wiederzuerlangenden Kontrolle, hat der BGH unter Berücksichtigung dieser Umstände einen Betrag von 100 EUR für angemessen erachtet. Im Gegensatz hierzu ist im vorliegenden Fall der Empfängerhorizont klein. Außerdem war der – unterstellte – Kontrollverlust nach dem vom Kl. nicht substantiiert bestrittenen Vorbringen der Bekl. im Hinblick auf die Ende 2023 erfolgte Löschung der von der Bekl. übermittelten Daten nur von geringer Dauer.
LG Offenburg Urt. v. 22.1.2025 – 2 O 333/23	0 EUR Der Kl. hat keinen Anspruch gemäß Klageantrag zu 6 auf eine angemessene Entschädigung in Geld bzw. auf Ersatz eines immateriellen Schadens iHv mindestens 5.000 EUR gemäß Art. 82 Abs. 2, Abs. 1 DS-GVO, weil er weder eine Pflichtverletzung der Bekl. noch einen ihm daraus etwaig entstandenen Schaden schlüssig dargelegt hat. Das vom Kl. angeführte Störgefühl, das zudem vielerlei Ursachen haben kann, rechtfertigt als solches keine Entschädigungsverpflichtung. Der Kl. muss sich darüber hinaus widersprüchliches Verhalten vorwerfen lassen. Er verletzt seine Obliegenheiten, wenn er einerseits Cookies akzeptiert und damit in die Verwendung der Daten gerade einwilligt, wenn er ansonsten bezahlen müsste, und anderseits eine möglichst weitgehende anonyme Nutzung des Internets für sich in Anspruch nehmen möchte. Es ist zudem gängige Praxis zahlreicher Anbieter von Webseiten im Internet, entweder für die von ihnen erbrachte Leistung eine monetäre Gegenleistung etwa in Form eines Abonnements zu fordern oder bei kostenloser Nutzung das Surfverhalten der User zu Werbezwecken zu tracken („Bezahlen mit persönlichen Daten“). Mangels eines Anspruchs in der Hauptsache besteht kein Anspruch auf vorgerichtliche Rechtsanwaltskosten und Zinsen.
LG Weiden Urt. v. 21.1.2025 – 13 O 137/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO. Das Gericht kann bereits nicht feststellen, dass der Kl. einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat; die Verarbeitung selbst stellt zudem bereits keinen Verstoß gegen die DS-GVO dar, sondern ist von Art. 6 Abs. 1 lit. f DS-GVO gedeckte zulässige Datenverarbeitung. Eine – hier nicht – unzulässige Datenverarbeitung unterstellt, fehlt es darüber hinaus auch an einem durch die Datenweitergabe verursachten, ersatzfähigen Schaden des Kl. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO erfüllt, insb. im Fall eines immateriellen Schadens, ausschließlich eine Ausgleichsfunktion. Eine auf diese Bestimmung gestützte finanzielle Entschädigung soll es ermöglichen, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden in vollem Umfang auszugleichen; eine Abschreckungs- oder Straffunktion kommt dem Anspruch nicht zu. Das Ausmaß des Verschuldens spielt für die Höhe des Schadens keine Rolle. Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liegt beim Betroffenen und kann bei behaupteten persönlichen/psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht wie hier in einer Vielzahl von Fällen gleichartiger – dem Beweis zugänglicher Indizien erfüllt werden. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Dass bloße negative Gefühle wie Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, Grundlage für einen Schadensersatzanspruch sein können, hält das Gericht jedenfalls dann für nicht gerechtfertigt, wenn – wie hier – kein Einfluss auf die Lebensführung ersichtlich und damit ein konkreter Rückschluss von äußeren Umständen auf diese inneren Tatsachen nicht möglich ist. Ein abstrakter „Kontrollverlust“ reicht allein für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast. Nach allgemeinen Grundsätzen obliegt es zudem dem Kl., die Mitursächlichkeit darzulegen und ggf. zu beweisen. Der EuGH hat am 4.5.2023 entschieden, dass Art. 82 DS.GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadenersatzanspruch der betroffenen Person iSv Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider.
LG Düsseldorf Urt. v. 21.1.2025 – 10 O 69/24	0 EUR Dem Kl. steht kein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO zu. Infolge der Ausgestaltung der DS-GVO als Verbot der Datenverarbeitung mit Erlaubnisvorbehalt bedarf es für eine zulässige Verarbeitung des Vorliegens eines Erlaubnistatbestandes gem. Art. 6 Abs. 1 DS-GVO. Nach der vorliegend maßgeblich in Betracht kommenden Regelung aus Art. 6 Abs. 1 lit. f) DS-GVO ist eine Datenverarbeitung dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen der betroffenen Person überwiegen. Eine Rechtfertigung nach Art. 6 Abs. 1 lit. f) DS-GVO ist vorliegend gegeben.
LG Frankenthal Urt. v. 21.1.2025 – 3 O 91/24	0 EUR Es liegt kein Verstoß iSv Art. 82 DS-GVO vor, die streitgegenständliche Einmeldung von Vertragsdaten („Positivdaten“) war von Art. 6 Abs. 1 Unterabsatz 1 lit. f DS-GVO gedeckt.
LG Oldenburg Urt. v. 17.1.2025 – 5 O 3325/23	0 EUR Es kann nicht ausreichend sicher festgestellt werden, dass der Abgriff der Daten erst nach dem Inkrafttreten der DS-GVO am 25.5.2018 stattgefunden hat.
LG Aurich Urt. v. 17.1.2025 – 5 O 1040/23	0 EUR Dem Kl. steht unter keinem rechtlichen Gesichtspunkt ein Anspruch auf Ersatz immateriellen Schadens gegen die Bekl. zu, insb. nicht nach Art. 82 Abs. 1 DS-GVO. Es kann dahinstehen, ob der Bekl. Verstöße gegen die DS-GVO iSd Art. 82 Abs. 1 DS-GVO vorzuwerfen sind, denn der Kl. hat diesbezüglich jedenfalls nicht hinreichend substantiiert dargelegt, dass ihm hierdurch ein Schaden entstanden ist. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadensersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Einer nationalen Regelung oder Praxis, die den Ersatz eines immateriellen Schadens iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat, steht Art. 82 Abs. 1 DS-GVO entgegen. Eine Auslegung von Art. 82 Abs. 1 DS-GVO dahin, dass der Begriff „immaterieller Schaden“ iSd Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird. Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen. Insb. muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nach alledem kann die Befürchtung, dass personenbezogene Daten durch Dritte missbräuchlich verwendet werden könnten, einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Einen immateriellen Schaden hat der Kl. auf dieser Grundlage vorliegend jedoch nicht dargelegt und ein solcher ist auch nicht ersichtlich. Ein bloßer Kontrollverlust ist für sich genommen noch nicht geeignet, einen immateriellen Schaden zu begründen, da es sich hierbei lediglich um die „negative Folge“ eines Datenschutzverstoßes handeln würde. In Fällen wie dem vorliegenden, in denen sich der geltend gemachte Kontrollverlust insb. auf die Information bezieht, der der Betroffene über einen Telekommunikationsvertrag verfügt, fehlt es an tatsächlichen Anhaltspunkten, die den Rückschluss darauf erlauben, dass der entsprechende Kontrollverlust über dieses personenbezogene Datum schon einen immateriellen Schaden darstellt. Der Umstand, dass eine Person Telekommunikationsdienstleistungen wahrnimmt ist aus Sicht des Gerichts letztlich eine im Alltagsleben völlig geläufige, nahezu selbstverständliche Information, welche ohnehin bei jeder Angabe der betroffenen Telefonnummer offengelegt wird. In diesem Zusammenhang ist auch zu berücksichtigen, dass sich die vom Kl. iRd persönlichen Anhörung geäußerten Bedenken in einer Zusammenschau primär auf die Verarbeitung der Daten durch die S. und Einflüsse auf die eigene Bonität für potentielle Vertragspartner bezogen und weniger auf die Weitergabe der Positivdaten durch die Bekl. Auch nach Zusammenführung der schriftsätzlichen Ausführungen und der – im Verhältnis in ihrer Intensität abgeschwächten – persönlichen Schilderungen des Kl. ist ein immaterieller Schaden nicht hinreichend substantiiert vorgetragen. Bei den vom Kl. geschilderten Beeinträchtigungen handelt es sich um – angeblich – gescheiterte Vertragsabschlüsse; einen Kausalzusammenhang hat der Kl. allerdings nicht dargelegt und erwiesen. Alleine die Mitteilung an die S., dass ein Mobilfunkvertrag bestehe, scheint für die Versagung gleichwohl ungeeignet. Insoweit hätte eine Bezifferung nahegelegen und kein Berufen auf psychische Beeinträchtigungen. Um daraus einen Schaden ableiten zu können, also einen Nachteil des Betroffenen, der iSv Erwägungsgrund 146 konkret „erlitten“ wurde und damit über die reine Behauptung des entsprechenden Gefühls hinausgeht, muss der Kl. konkrete Indizien vortragen und unter Beweis stellen, die eine solche psychische Beeinträchtigung ihrer Person stützen können. Für die vom Kl. behaupteten immateriellen Schäden müssen jedenfalls auch objektive Beweisanzeichen vorhanden sein, da andernfalls die bloße Bekundung des Betroffenen, einen immateriellen Schaden in Form belastender Gefühle erlitten zu haben, für einen Ersatzanspruch ausreichen würde. Mag bei einer Veröffentlichung besonders sensibler Daten (wie Bank- oder Gesundheitsdaten bzw. Finanz- und Steuerdaten) bereits deren sensibler Charakter im Einzelfall iRd § 286 Abs. 1 ZPO indiziell dafürsprechen können, dass dies dem Betroffenen tatsächlich Sorge oder Unwohlsein bereitet, so ist dies bei der Information über den Abschluss eines Telekommunikationsvertrags gerade so nicht der Fall. Insofern wäre es Aufgabe des Kl. gewesen, konkret in seiner Person liegende Umstände vorzutragen, die einen Rückschluss darauf zulassen, dass er gerade durch die Meldung der Positivdaten tatsächlich Angst, Ärger oder Unwohlsein erlitten hat. Derartige konkretisierende Umstände hat der Kl. auch nach eingehender Befragung nicht vorgetragen und sind auch nicht aus dem sonstigen Akteninhalt ersichtlich. So berichtet er lediglich von der empfundenen Undurchsichtigkeit der Angelegenheit und „gewisse[n] Ängste[n]“ und Ungewissheiten, die sich jedoch primär auf die Frage der Ermittlung seiner Bonität beziehen. Objektivierbare Anzeichen, die die behauptete immaterielle Beeinträchtigung feststellbar machen, wurden nicht vorgebracht.
LG Münster Urt. v. 16.1.2025 – 014 O 7/24	0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO zu. Der Kl. hat schon nicht hinreichend vorgetragen, dass durch die Bekl. überhaupt eine Weiterleitung seiner Positivdaten an die Wirtschaftsauskunfteien S. Holding AG und C. GmbH erfolgt ist.
LG Stade Urt. v. 16.1.2025 – 3 O 87/24	0 EUR Der Kl. hat keinen Anspruch auf immateriellen Schadensersatz iHv mindestens 5.000 EUR aus Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes der Bekl. gegen Art. 6 DS-GVO. Ihm steht schon dem Grunde nach kein Anspruch zu. Die Weitergabe der streitgegenständlichen (Positiv-)Daten an die S. seitens der Bekl. war rechtmäßig, weil dies zur Wahrung des berechtigten Interesses gem. Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO erforderlich gewesen ist, um ein zuverlässiges Scoring-System aufrecht zu erhalten. Unabhängig davon, dass schon aus den vorstehenden Gründen kein Anspruch besteht, fehlt es auch an der Darlegung eines immateriellen Schadens. Der Kl. verlangt hier einen Mindestbetrag von 5.000 EUR und begründet dies schriftsätzlich lediglich formelhaft, wie im Tatbestand wiedergegeben. In seiner persönlichen Anhörung gem. § 141 ZPO nach Hinweis auf seine Wahrheitspflicht aus § 138 Abs. 1 ZPO hierzu befragt, erklärte der Kl. selbst allerdings, dass der streitgegenständliche S.-Eintrag überhaupt keine Auswirkungen auf sein Leben gehabt hätte. Probleme beim Abschluss von Verträgen habe er deswegen nicht gehabt. Er sei auch erst durch die Anzeige der Kanzlei darauf gestoßen, dass solche Meldungen eventuell nicht zulässig seien. Erst dann sei eine S.-Auskunft über die Eintragung eingeholt worden. Der Kl. vermittelte in seiner persönlichen Anhörung in keiner Weise den Eindruck, dass – wie schriftsätzlich noch pauschal und formelhaft behauptet wurde – sich bei ihm infolge der Kenntniserlangung über den (Positiv-)Eintrag bei der S. ein Gefühl des Kontrollverlustes und der großen Sorge eingestellt habe und er seitdem mit der ständigen Angst vor – mindestens – unangenehmen Rückfragen in Bezug auf die eigene Bonität, das allgemeine Verhalten im Wirtschaftsverkehr oder einer Verfälschung des S.-Scores lebe und außerdem Stress, Unruhe und ein allgemeines Unwohlsein tagtäglich zurückgeblieben sei, was insb. seine freie Entscheidung im Hinblick auf neue Vertragsabschlüsse behindere. Vielmehr war der Kl. nach dem Eindruck der Kammer aus seiner persönlichen Anhörung gänzlich unbeeindruckt von der S.-Eintragung. Seine knappen und nur auf mehrfache Nachfrage überhaupt zu erlangenden Ausführungen dazu waren ohne jede emotionale Beteiligung und spiegelten in keiner Weise die zuvor schriftsätzlich behaupteten diesbezüglichen Emotionen („ständige Angst, Stress, Unruhe, allgemeines Unwohlsein“) wider. Nichts davon äußerte der Kl. in seiner Anhörung. Das Wort „Kontrollverlust“ wurde von ihm erst dann zusammenhanglos in den Raum gestellt, als der Terminsvertreter mit dem Finger ersichtlich auf den entsprechenden Schriftsatz deutete und der Kl. zuvor auf seine Frage, ob „irgendwelche Auswirkungen denn wichtig seien“, vom Vorsitzenden darauf aufmerksam gemacht worden ist, dass er schließlich einen immateriellen Schaden von mindestens 5.000 EUR von der Bekl. verlangen würde und es dafür ja einen Grund geben müsste. Die iÜ daraufhin noch pauschal geäußerten Sorgen wegen der Scheidung und bestehenden Schulden waren allenfalls allgemeiner Art und ohne ernsthaften Bezug zu der hier streitgegenständlichen S.-Eintragung. Den formelhaften schriftsätzlichen Vortrag in der Klageschrift hält die Kammer nach dem Ergebnis der persönlichen Anhörung des Kl. schlicht für falsch, bestenfalls hat dieser keinen konkreten Bezug zu dem hiesigen Fall. Ein immaterieller Schaden ist damit schon nicht hinreichend dargetan. Ein solcher Schaden setzt zwar nicht voraus, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Dies bedeutet indes nicht, dass die aus einem etwaigen Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen. Die Annahme eines solchen konkreten Schadens setzt nach stRspr des EuGH vielmehr voraus, dass dieser „tatsächlich und sicher“ besteht. Es verbleibt auch nach der EuGH-Entscheidung vom 14.12.2023 bei der Beweislast für den Kl. und damit auch bei dessen Darlegungslast. Das bloße pauschale und nicht substantiierte Berufen auf eine abstrakte Befürchtung reicht daher auch hiernach weiterhin nicht zur Darlegung eines immateriellen Schadens aus. Da hier bereits keine Folgen mit Krankheitswert auf Seiten der Kl. infolge eines etwaigen Datenschutzverstoßes der Bekl. behauptet werden, kommt es auf das Vorliegen innerer, dem Beweis nur eingeschränkt zugänglicher Tatsachen an, auf die nur mittelbar aus auf äußeren Tatsachen basierenden Indizien geschlossen werden kann. Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es deshalb erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat.
LG Wiesbaden Urt. v. 15.1.2025 – 2 O 49/24	0 EUR Der Kl. hat keinen Anspruch auf Schadensersatz nach Artikel 82 Absatz 1 DS-GVO hat. Voraussetzung eines Schadensersatzanspruchs gemäß Art. 82 Abs. 1 DS-GVO ist ein Verstoß gegen die DS-GVO. Hieran fehlt es bereits. Vorliegend ist ein Verstoß nur dahingehend denkbar, dass die Bekl. es pflichtwidrig unterlassen haben könnte, Bonitätsauskünfte betreffend den Kl. Dritten gegenüber auf Anforderung zu erteilen. Mithin müsste sich aus der DS-GVO ein Anspruch des Kl. auf Auskunftsteilung ergeben, den die Bekl. pflichtwidrig nicht erfüllt hätte. Der Kl. hat aber keinen Anspruch darauf, dass die Bekl. Dritten gegenüber Bonitätsauskünfte über ihn erteilt. Selbst wenn man entgegen der Rechtsansicht der Kammer eine Verletzung der DS-GVO und einen hieraus resultierenden Schadensersatz- oder Schmerzensgeldanspruch dem Grunde nach annehmen würde, würde gleichwohl selbiger daran scheitern, dass ein anspruchsausschließendes überwiegendes Mitverschulden des Kl. an der Einstellung der Auskunftserteilung anzunehmen ist. Neben der Exculpation gemäß Art. 82 Abs. 3 DS-GVO ist auch ein Mitverschulden des Anspruchsberechtigten nach § 254 BGB zu berücksichtigen. Art. 82 DS-GVO ist ein eigenständiger deliktischer Anspruch, der dem allgemeinen nationalen Haftungsregime des BGB iRd Effektivitätsgrundsatz unterliegt. Zu berücksichtigen ist ergänzend insb. die Regelung des Mitverschuldens nach § 254 BGB.
LG Stade Urt. v. 14.1.2025 – 28 O 56/24	0 EUR Der Kl. steht kein Schadensersatzanspruch gem. Art. 82 DS-GVO zu. Eine zur Auslösung des behaupteten immateriellen Schadens geeignete Beeinträchtigung ist nicht festzustellen. Das Gericht nimmt es der Kl. schon nicht ab, dass sie die Datenschutzhinweise zwar im zeitlichen Zusammenhang mit dem Mobilfunkvertrag gelesen, aber nicht verstanden hatte. Es befassen sich immerhin 3 Seiten der Vertragsunterlagen mit der Weitergabe und Verarbeitung personenbezogener Daten an Wirtschaftsauskunfteien. Selbst wenn die Kl. aber die Tragweite der Datenverarbeitung tatsächlich erst im Zusammenhang mit einem Kreditantrag erfasst haben sollte, nimmt ihr das Gericht nicht ab, dass sich ab diesem Zeitpunkt jenes Unwohlsein eingestellt hatte, das von der persönlich angehörten Kl. selbst nur auffallend wortkarger geschildert werden konnte als von den Klägervertretern in deren Schriftsätzen. Denn bei tatsächlichem Auftreten eines derartigen Unwohlseins hätte nichts nähergelegen, als sich spätestens jetzt nochmals gründlicher mit den Vertragsunterlagen zu befassen, und spätestens dann hätte sie die selbst auf den ersten Blick ins Auge springenden Widerspruchsbelehrungen entdecken müssen. Diese sind optisch hervorgehoben und in einer einfach verständlichen Sprache gehalten. Selbst wenn sich die Kl. zu diesem Zeitpunkt mangels Rechtsschutzversicherung – oder vielleicht schlicht mangels zu ihr durchgedrungener Informationen über Klagemöglichkeiten – nicht zu den letztlich erhobenen Ansprüchen durchringen konnte, hätte bei entsprechend ihrer Behauptung vorliegender psychischer Belastung doch zumindest nahegelegen, den auch durch Bekanntgabe aller Ansprechpartner in den Vertragsunterlagen einfach gestalteten Weg des Widerspruchs gegen die Datenverarbeitung zu beschreiten. Der Umstand, dass die Kl. zu keinem Zeitpunkt vor der Betreuung durch die Klägervertreter auch nur irgendeinen Versuch unternahm, ihr angebliches Leiden zu lindern, spricht gegen dessen Vorliegen. Hinzu kommt, dass die Übermittlung der sog. Positivdaten der Klagepartei an die S. gem. Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gerechtfertigt war.
LG Köln Beschl. v. 13.1.2025 – 21 O 6/24	0 EUR Der Klagepartei steht kein Anspruch auf Ersatz eines immateriellen Schadens gegen die Bekl. nach Art. 82 Abs.1 DS-GVO zu. Es liegt bereits kein Verstoß gegen Vorschriften der DS-GVO vor, insb. nicht gegen Art. 6 Abs. 1, Art. 5 Abs. 1 lit. a DS-GVO. Die durch die Bekl. vorgenommene Datenübermittlung ist nach der gemäß Art. 6 Abs. 1f) DS-GVO vorzunehmenden Interessenabwägung gerechtfertigt. Zwar kommt es auf die Frage, ob dem Kl. ein Schaden entstanden ist, nach dem Vorstehenden nicht mehr an. Gleichwohl sei angemerkt, dass der Kl. einen immateriellen Schaden nicht dargelegt hat und ein solcher auch nicht ersichtlich ist. Art. 82 Abs. 1 DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Kl. einen konkreten immateriellen oder materiellen Schaden darlegen und beweisen, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die nationalen Gerichte haben bei der Festsetzung der Höhe des Schadensersatzes die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Erwägungsgrund 146 S. 3 DS-GVO spricht für eine weite Auslegung des Begriffs des Schadens in Art. 82 Abs. 1 DS-GVO. Damit ist etwa eine Erheblichkeitsschwelle in dem Sinne, dass immaterielle Bagatellschäden nicht ausgeglichen werden müssen, nicht zu vereinbaren. Vorliegend konnte indes kein derartiger Kontrollverlust festgestellt werden. Anders als in den sog. Scraping-Fällen, in denen unbekannte Dritte personenbezogene Daten unrechtmäßig erlangten und diese – für eine potenziell unbegrenzte Anzahl von Personen zugänglich – im Internet oder Darknet veröffentlicht wurden, sind hier die konkret betroffenen Daten sowie deren Empfänger geklärt. Das Gericht vermochte auch nach der persönlichen Anhörung des Kl. keinen immateriellen Schaden bei dem Kl. festzustellen. Entgegen der Auffassung des Kl. liegt ein Schaden auch nicht bereits in der Übermittlung der Positivdaten. Eine derartige Auslegung des Schadensbegriffs liefe im Ergebnis darauf hinaus, dass bereits der Verstoß gegen die Vorschriften der DS-GVO einen Schaden iSd Art. 82 DS-GVO darstellen würde. Denn die Vorschriften der DS-GVO schützen gerade das Recht auf informationelle Selbstbestimmung, sodass mit jedem Verstoß auch eine Verletzung des Rechts auf informationelle Selbstbestimmung einhergeht. Dies reicht jedoch gerade nicht aus, um einen Schadensersatzanspruch zu begründen.
LG Konstanz Urt. v. 13.1.2025 – E 2 O 74/24	0 EUR Der Kl. steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Vorliegend fehlt es bereits an einem Verstoß gegen die Bestimmungen der DS-GVO, aus welchem sich ein Schadensersatzanspruch der Kl. ergeben könnte. Der von ihr vorgetragene Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f) DS-GVO liegt nicht vor. IÜ mangelt es an einem ersatzfähigen Schaden der Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach der informatorischen Anhörung der Kl. in der mündlichen Verhandlung vom 15.11.2024 konnte sich das Gericht keine Überzeugung dahingehend bilden, dass diese einen kausal auf die behaupteten Verstöße zurückzuführenden Schaden erlitten hat. Ein immaterieller Schaden ist auch nicht iSe Kontrollverlustes entstanden, wie ihn die höchstrichterliche Rspr. in den sog. Facebook-Fällen nunmehr angenommen hat. Anders als in den sog. Scraping Fällen, in denen aufgrund der Veröffentlichung von Daten im Internet eine Vielzahl unbekannter Dritter personenbezogene Daten unrechtmäßig erlangten und deren Verbleib teils ungeklärt ist, sind im hiesigen Fall die konkret betroffenen Daten sowie deren Verbleib geklärt. Ein Schadensersatzanspruch des Kl. kann aus Art. 82 Abs. 1 iVm Art. 6 Abs. 1 S. 1 lit. f) DS-GVO nach alledem nicht hergeleitet werden.
LG Trier Urt. v. 10.1.2025 – 2 O 36/24	0 EUR Dem Kl. steht kein Anspruch auf Zahlung immateriellen Schadensersatzes aus Art. 82 Abs. 1 DS-GVO oder einer anderen denkbaren Anspruchsgrundlage gegen die Bekl. zu. Vorliegend fehlt es bereits an einem Verstoß gegen die Bestimmungen der DS-GVO, aus welchem sich ein Schadensersatzanspruch des Kl. dem Grunde nach ergeben könnte. Der vom Kl vorgetragene Verstoß der Bekl. gegen Art. 6 Abs. 1 S. 1 lit. f) DS-GVO liegt nicht vor. IÜ mangelt es an dem Nachweis eines ersatzfähigen Schadens des Kl. iSd Art. 82 Abs. 1 DS-GVO. Nach allgemeinen Grundsätzen obliegt es dem Kl., die (Mit-)Ursächlichkeit des – vermeintlichen – Verstoßes für die geltend gemachten Schäden darzulegen und ggf. zu beweisen. Dies ist ihm vorliegend nicht gelungen.
LG Heilbronn Urt. v. 10.1.2025 – Zw 1 O 190/24	0 EUR Der Kl. hat keinen immateriellen Schadensersatzanspruch gegen die Bekl. aus § 82 Abs. 1 DS-GVO. Die Bekl. hat nicht gegen die DS-GVO verstoßen. Die Übermittlung der Positivdaten war gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO rechtmäßig. Unabhängig davon, ist der Klagepartei jedenfalls kein kausaler immaterieller Schaden entstanden. Zu immateriellen Beeinträchtigungen können ggf. auch subjektive Gefühlslagen wie Ängste, Stress sowie Komfort- und Zeiteinbußen gehören oder eine wiedergutzumachende öffentliche Bloßstellung gehören. Zwar mag eine gewisse Art von Kontrollverlust noch darin zu erkennen sein, dass die Weitergabe der Daten zu einer Vergrößerung des Personenkreises geführt hat, welche Zugriff auf die Positivdaten hatten, ohne dass der Kl. dies hätte verhindern können. Allerdings ist dies aufgrund der weiteren Umstände des Sachverhalts nicht ausreichend für die Annahme eines Kontrollverlusts als Schaden iSv Art. 82 DS-GVO. Denn anders als etwa bei einem „Datenleck“ oder einem unkontrollierten Abgreifen von Daten an unbefugte und/oder unbekannte Dritte im Zuge eines Hacking-Vorfalls, hat der Kl. die Kontrolle über seine Daten hier nicht verloren. Die Daten wurden konkret nachvollziehbaren Dritten, namentlich den betroffenen Auskunfteien, vornehmlich der S. H. AG, weitergegeben, was dem Kl. seit Vertragsschluss aus den Datenschutzinformationen bekannt war oder von ihm ohne Weiteres in Erfahrung gebracht werden konnte. Er kennt mithin den/die Empfänger oder muss diese kennen und kann diesen gegenüber sodann seinerseits durchsetzbare Auskunftsrechte aus Art. 15 DS-GVO sowie die weitere Informations- und Schutzrechte nach der DS-GVO (etwa auch das Widerspruchsrecht aus Art. 21 DS-GVO) geltend machen, soweit es hier zu einer Datenverarbeitung kommt. Erschöpft sich die gerügte Datenverarbeitung – wie hier – in der Weitergabe von Daten an einen dem Betroffenen vorher bekannten Dritten im Rahmen vorhersehbaren Verfahrens und hat der Betroffene diesen gegenüber seinerseits durchsetzbare Ansprüche nach der DS-GVO, kann selbst bei unterstellter Unrechtmäßigkeit der Weitergabe nicht ohne Weiteres von einem Kontrollverlust ausgegangen werden. Dem Kl. ist die Kontrolle im Zuge der Weitergabe womöglich (ungewollt) erschwert worden, gleichwohl hat er die Kontrolle über die Datenverarbeitung ersichtlich nicht verloren. Gegen die ggf. datenschutzwidrige Weiterleitung der Daten kann er sich grds. auf Basis eines Unterlassungsanspruchs zur Wehr setzen. In der Folge fehlte es daher auch an einer begründeten Sorge des Kl. vor einem Datenmissbrauch durch Dritte. Insb. ist die Datenverwertung durch die S. H. AG als solche nicht per se missbräuchlich, da die Auskunfteien im Grundsatz anerkanntermaßen Interessen der Allgemeinheit wahrnehmen. Nichts anderes gilt im Hinblick auf die Sorge des Kl., die Positivdatennutzung könnte bei zukünftigen Vertragsschlüssen negative Auswirkungen haben. Es ist schon nicht hinreichend ersichtlich oder klägerseits erläutert worden, inwieweit sich ausgerechnet die Positivdaten negativ auf den Bonitätsscore des Kl. und damit auf zukünftige Vertragsabschlüsse auswirken könnten; jedenfalls dürften dahingehende Auswirkungen bei lebensnaher Betrachtung nur oder jedenfalls maßgeblich von Negativdaten – also Informationen über Zahlungsverzögerungen oder -ausfälle – ausgehen. Auf dieser Basis bleiben die Auswirkungen der Weitergabe von Positivdaten auf die Bonitätseinschätzung des Kl. höchst spekulativ. Gleiches gilt für die mögliche Beeinflussung eines konkreten (zukünftigen) Vertragsverhältnisses. Eine begründete Sorge des Kl. iSe eines immateriellen Schadens kann hieraus nicht gefolgert werden. Auch eine Stigmatisierung oder Bloßstellung, deren Wiedergutmachung Ansatzpunkt für die Schadenersatzhaftung aus Art. 82 DS-GVO sein könnte, liegt bei lebensnaher Betrachtung und verständiger Würdigung des Klägervortrags nicht vor. Auch hier wirkt sich aus, dass die Positivdaten ihrem Wesen nach eine neutrale, zumindest aber nicht negative Wirkung auf die Einschätzung der Vertragstreue und Bonität haben werden. So ist bei lebensnaher Betrachtung nicht einzusehen, inwieweit Positivdaten wie der Abschluss, die Durchführung und die Beendigung eines Mobilfunkvertrags eine gesellschaftlich stigmatisierende oder bloßstellende Auswirkung haben könnten. Eine dahingehende Sorge wäre jedenfalls nicht begründet.
LG Flensburg Urt. v. 10.1.2025 – 8 O 4/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf immateriellen Schadensersatz wegen der Übermittlung von Positivdaten an die S. zum Abschluss des Mobilfunkvertrages. Ein Anspruch auf Schadensersatz ergibt sich nicht aufgrund von Art. 82 DS-GVO. Die Übermittlung der Daten war zur Wahrung berechtigter Interessen iSv Art. 6 Abs. 1 Unterabsatz 1 lit. F) DS-GVO berechtigt. Dem Kl. ist kein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO entstanden. Der Ersatzanspruch nach Art. 82 DS-GVO setzt neben einer Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO einen der betroffenen Person entstandenen Schaden und einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden voraus. Art. 82 I DS-GVO ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Nach der Rspr. des EuGH kann schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern. Unterstellt, die Weiterleitung der Positivdaten sei nicht durch berechtige Interessen der Bekl. gerechtfertigt, hätte die Weiterleitung dieser Daten aber nicht zu einem Kontrollverlust geführt. Die Daten sind nur an einen beschränkten Kreis – an die Auskunfteien und ggf. deren Vertragspartner – gelangt. Die Empfänger der Daten können nachvollzogen werden. Dem Bekl. waren durch die ihm erteilten datenschutzrechtlichen Informationen bekannt, das die Positivdaten der S. gemeldet wurden. Insoweit unterscheidet sich dieser Fall von sog. Datenleckfällen, in denen Daten ins Internet bzw. ins sog. „Darknet“ gelangt sind und datenschutzrechtliche Ansprüche gegen die Täter zur Verhinderung einer Weitergabe der Daten wegen deren Anonymität aus tatsächlichen Gründen nicht verfolgt werden können. Neben dem Kontrollverlust reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Nach der Rspr. des EuGH können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus; dabei ist die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung. Der Kl. trägt vor, die Übermittlung der Positivdaten habe zu Stress, Unruhe und zu einem allgemeinen Unwohlsein geführt. Er fühle sich durch die Weitergabe seiner persönlichen Daten an eine Auskunftei durch seinen Mobilfunkanbieter zutiefst verletzt und hilflos. Er empfinde ein Gefühl des Kontrollverlusts, da er nicht wisse, welche anderen Dienstleister ebenfalls Zugriff auf seine sensiblen Informationen erhalten hätten. Er wisse auch nicht, in welcher Form, ob und wann eine unmittelbare oder mittelbare Konfrontation mit den Folgen dieses S. Eintrags stattfinde. Die Eintragung habe Folgen für seinen S.-Score bzgl. der Kreditwürdigkeit, seines gesellschaftlichen Standings, der Wohnungsvergabe, der Zusammenarbeit mit Banken und der Bestellung im Internet. Dadurch werde er in der freien Entscheidung im Hinblick auf neue Vertragsabschlüsse behindert und seine freien Entfaltungsmöglichkeiten bei der weiteren Gestaltung des eigenen Lebens werde untergraben. Das Gericht vermag diese Gefühle nicht als nachvollziehbar begründet anzusehen. Etwaige Befürchtungen des Kl. im Hinblick auf seine Bonitätsbewertungen sind nicht objektiv begründbar. Selbst wenn es sich bei der Einmeldung um einen Datenschutzverstoß handeln sollte, ist dieser als marginal anzusehen. Es handelt sich hier um eine Mitteilung des Abschlusses eines Telekommunikationsvertrages. Dies ist kein Umstand, der im Allgemeinen geheim zu halten gepflegt wird. Die Meldung, dass der Kl. einen Mobilfunkvertrag abgeschlossen hat, unterscheidet ihn nicht von einer Vielzahl anderer Verbraucher und gibt keinen Anlass, an seiner Bonität zu zweifeln. Dass der Abschluss eines solchen Vertrages allein keinen signifikanten Einfluss auf die Bonitätsbewertung haben kann, liegt vor dem Hintergrund, dass in Deutschland in fast jedem Haushalt der Abschluss von Telekommunikationsverträgen – insb. Mobilfunkverträge – der Normalfall darstellt, auf der Hand.
LG Lübeck Urt. v. 10.1.2025 – 15 O 269/23	0 EUR Ein Anspruch aus Art. 82 DS-GVO besteht nicht. Zwar geht die Kammer noch davon aus, dass die Klägerseite von der streitgegenständlichen Datenverarbeitung mittels der sog. Business Tools auch individuell – wenn auch nur teilweise – betroffen ist. Wie bereits mit Hinweis vom 27. November 2024 ausgeführt, geht die Kammer insoweit nicht mehr davon aus, dass es auf Klägerseite stets substantiierteren Vortrages zu einzelnen besuchten Seiten bedarf. Vielmehr ist das Maß der Substantiierungspflicht von der jeweiligen Zumutbarkeit im Einzelfall abhängig. Die Pflicht zur Substantiierung findet ihre Grenzen in dem subjektiven Wissen der Partei und der Zumutbarkeit weiterer Ausführungen. Die Kammer schließt hieraus, dass es vorliegend der Klägerseite grds. nicht zumutbar ist, näher zu den im streitgegenständlichen Zeitraum im Einzelnen aufgesuchten und mit Business Tools der Bekl. versehenen Homepages vorzutragen und dass es entsprechend grds. ausreichend ist, wenn sie vorträgt, dass jede Instagram- bzw. Facebook-Nutzerin bzw. jeder Instagram- bzw. Facebook-Nutzer mit erheblicher Wahrscheinlichkeit von Überwachungsmaßnahmen durch die eingesetzten Business-Tools betroffen war. Zum einen kann schon naturgemäß niemand mit vertretbarem Aufwand rekonstruieren, welche Homepages zu welchem Zeitpunkt er oder sie in der Vergangenheit besucht hat und auch ist niemand verpflichtet entsprechende Verlaufsprotokolle in seinen Rechnern vorzuhalten. Zum anderen wäre der Klägerseite aber auch selbst dann, wenn dieses Wissen vorhanden wäre, kein substantiierterer Vortrag möglich, da die Klägerseite keinen auch nur ansatzweise vollständigen Überblick darüber hat, auf welchen Homepages zu welchem Zeitpunkt welche Business Tools der Bekl. enthalten waren. Faktisch wäre die Klägerseite entsprechend gezwungen, ihr gesamtes Internetnutzungsverhalten offen zu legen – was gerichtlicherseits zu verlangen ersichtlich im eklatanten Widerspruch zum Normzweck der DS-GVO stünde. Trotz der damit jedenfalls im Hinblick auf die Verarbeitung der technischen Standarddaten gegebenen individuellen Betroffenheit der Klägerseite besteht ein Schadensersatzanspruch im Ergebnis nicht. Die Kammer vermag keinen Schaden der Klägerseite feststellen. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden wurde von der Klägerseite nicht vorgetragen. Sie beruft sich allein auf das Vorliegen eines immateriellen Schadens. Als Anknüpfungspunkte für einen immateriellen Schaden iSd Art. 82 DS-GVO sind nach der stRspr der Kammer die von der Klägerseite geschilderten Ängste und Sorgen, sowie die Verletzung des Rechts auf informationelle Selbstbestimmung bzw. der damit einhergehende Kontrollverlust an sich denkbar. Im Einzelnen: Vorliegend kann ein Schaden iSv Art. 82 DS-GVO nicht mit den geltend gemachten Ängsten und Sorgen der Klägerseite begründet werden. Nachdem bis Ende 2023 weitgehend unklar war, ob bereits durch Datenschutzverstöße bedingte Ängste und Sorgen der betroffenen Personen einen hinreichenden Schaden iSv Art. 82 DS-GVO darstellen, hat der EuGH erstmals mit Urt. v. 14. Dezember 2023 klargestellt, dass „allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.“. Diese Rspr. hat der Gerichtshof sodann mit Urt. v. 25. Januar 2024 vertieft und nochmals entschieden, dass der Begriff „immaterieller Schaden“ eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt – was zu prüfen Sache des angerufenen nationalen Gerichts ist –, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden. Dabei hat der Gerichtshof den nationalen Gerichten allerdings – insoweit einschränkend – die Aufgabe zugewiesen, zu prüfen, ob diese Befürchtung „unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann“. Dies ist etwa dann nicht der Fall, wenn sich das Risiko der rechtswidrigen Datenweitergabe als rein hypothetisch erweist. Ausdrücklich hat er sodann im nachfolgenden Urt. v. 21. Dezember 2023 im Hinblick auf den Grad der zu verlangenden Ängste oder Sorgen ausgesprochen, dass Art. 82 DS-GVO keine Bagatellgrenze kennt. Wiederholt bemüht der Gerichtshof in diesem Zusammenhang hinsichtlich der Schadensintensität die Formel „so geringfügig er auch sein mag“. Allerdings geht die Kammer dabei – auch dies in stRspr – davon aus, dass die derart begründeten Sorgen bzw. Ängste kausal auf die fragliche Rechtsgutverletzung rückführbar sein müssen. Dies ist in der hier vorliegenden Konstellation von erheblicher Relevanz, weil die persönliche Betroffenheit von der streitgegenständlichen Datenverarbeitung nur in Bezug auf die Verarbeitung der technischen Standarddaten gegeben ist. Hieraus folgt zur Überzeugung der Kammer, dass auch die vorgetragenen Ängste und Sorgen in überzeugendem kausalen Zusammenhang gerade mit dieser spezifischen Verarbeitung stehen müssen. Durch dieses Erfordernis wird auch ausgeschlossen, dass jedwede diffuse Vorstellungen der Klägerseite über das Geschäftsmodell der Bekl. unter dem Schlagwort der „Ängste und Sorgen“ schadensbegründend herangezogen werden können. Erforderlich ist vielmehr, dass die Klägerseite zumindest eine laienhaft näherungsweise präzise Vorstellung von den Verarbeitungsvorgängen der Bekl. bzgl. der allein die persönliche Betroffenheit begründenden technischen Standarddaten gebildet hat und diese Vorstellung zumindest mitursächlich für die geschilderten Ängste und Sorgen ist. Derartiges vermag die Kammer auch nach eingehender persönlicher Anhörung der Klägerseite nicht festzustellen. Aus der persönlichen Anhörung folgt vielmehr, dass sich die Klägerseite lediglich ganz pauschal und weitgehend diffus „irgendwie“ Sorgen über die Verarbeitung diversester Daten bei der Bekl. macht – und dies maßgeblich in Bezug auf ihre Nutzung der gar nicht streitgegenständlichen Plattform „Facebook“. Mehrere der exemplarisch von ihr benannten Datenerhebungsvorgänge (angebliches Abhören von Gesprächen, Spam-Emails, seltsame Anrufe, „Abfischen“ von Suchbegriffen etc.) haben keinerlei Bezug weder zu den hier streitgegenständlichen Datenerhebungsvorgängen, geschweige denn zu der allein ihre persönliche Betroffenheit begründende Verarbeitung der technischen Standarddaten. Bei dieser völlig diffusen Gesamtlage ist es der Kammer unmöglich, festzustellen, inwieweit dieser allein klagebegründende Punkt überhaupt Einfluss auf die geschilderten Ängste und Sorgen hat und welcher Schadensersatzbetrag insoweit angemessen sein könnte. Des Weiteren kann ein Schaden auch nicht unter dem Gesichtspunkt der Verletzung des Rechts auf informationelle Selbstbestimmung bzw. des reinen Kontrollverlustes gestützt werden. Zwar geht die Kammer in ständiger und mehrjähriger Rspr. davon aus, dass bereits der reine Kontrollverlust und damit die hieraus folgende Verletzung des Rechts auf informationelle Selbstbestimmung ausreicht, um einen Schaden zu begründen und sieht sich hierin auch durch die jüngste Entscheidung des BGH bestätigt. Insoweit erachtet es die Kammer auch grds. nicht für ausgeschlossen, dass der Kl. ein Schadensersatzanspruch insoweit zukommen könnte, als dass die Bekl. jedenfalls mithilfe der technischen Standarddaten rechtswidrig verarbeitet, gespeichert und weitergegeben hat, auf welchen Drittseiten sich die Kl. aufgehalten hat und hierdurch einen Kontrollverlust über diese Daten bei der Kl. bewirkt hat. Allerdings geht die Kammer davon aus, dass im Hinblick auf die Schadenshöhe erforderlich ist, dass die Klägerseite jedenfalls näherungsweise darlegt und beweist, welche Art von Datenpunkten in welcher nummerischen Größenordnung hiervon betroffen sind. Ersichtlich ist es für die Bestimmung der Schadenshöhe von erheblicher Relevanz, ob die Bekl. im Verlauf mehrerer Jahre nur einige Male den Besuch einer landläufigen Webseite verarbeitet hat, oder täglich duzende unterschiedliche und teilweise hochpersönlicher Internetbewegungen aufgezeichnet und rechtswidrig zu einem präzisen Persönlichkeitsprofil verarbeitet hat. Nachdem hierzu kein näherungsweise substantiierter Vortrag – geschweige denn taugliche Beweismittel – vorliegt, wäre jede Schadensschätzung völlig frei gegriffen und damit willkürlich. Hieran ändert auch der Vortrag im Schriftsatz nichts, da sich aus der Angabe, die Klägerseite besuche „regelmäßig“ die dort genannten Seiten keine hinreichenden Anknüpfungspunkte für eine auch nur angemessene Schadensschätzung ergeben und die Beklagtenseite zudem im Folgenden unbestritten eingewandt hat, dass auf drei der fünf genannten Seiten überhaupt irgendwelche Business Tools eingebettet sind. Ein Anspruch ergibt sich auch nicht aus der Verletzung des allgemeinen Persönlichkeitsrechts, § 823 Abs. 1 BGB iVm Art. 1, 2 GG. Denn der Regelung des Art. 82 DS-GVO kommt insoweit zur Überzeugung des Gerichts eine Sperrwirkung zu. Auch ein Anspruch auf Ersatz vorgerichtlicher Rechtsanwaltskosten besteht nicht. Zwar sind vorgerichtliche Rechtsanwaltskosten grds. vom Schadensersatzanspruch des Art. 82 Abs. 1 DS-GVO umfasst. Bei dem vorgerichtlichen Vorgehen der Klägervertreter handelte es sich jedoch nicht um eine zweckentsprechende Rechtsverfolgung. Den Klägervertretern musste aus der Vielzahl der von ihnen betreuten Mandate – ebenso wie dem Gericht – bekannt sein, dass die Bekl. auf außergerichtliche Aufforderungen hin zu keinerlei Erfüllung bereit ist. Die Klägervertreter mussten jedenfalls annehmen und die Klagepartei darüber aufklären, dass ein zunächst nur auf die außergerichtliche Geltendmachung beschränktes Mandat nicht zielführend ist und nur unnötige Kosten verursacht. Es lag der Schluss nahe, die Ansprüche des Kl. nur mittels Erhebung einer Klage realisieren zu können, sodass sich die Klägervertreter veranlasst gesehen haben mussten, sich unmittelbar ein unbedingtes Mandat zur Klageerhebung erteilen zu lassen.
LG Landshut Urt. v. 10.1.2025 – 13 O 838/24	0 EUR Es ist nicht festzustellen, dass der streitgegenständliche Scraping-Vorfall in den zeitlichen Anwendungsbereich der DS-GVO fällt. Nach allgemeinen Grundsätzen trägt die Klagepartei die Darlegungs- und Beweislast dafür, dass der zeitliche Anwendungsbereich der DS-GVO eröffnet ist.
NEU LG Aurich Urt. v. 10.1.2025 – 3 O 50/24	0 EUR Ein Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO erfordert einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines (immateriellen) Schadens verlangt. Der EuGH hat ausgeführt, dass Art. 82 Abs. 1 DS-GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS-GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. Schon der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Auch insoweit hat die betroffene Person den Nachweis erbringen, dass sie einen solchen – dh in einem bloßen Kontrollverlust als solchem bestehenden – Schaden erlitten hat. Weiterhin liegt es so, dass auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss also geltend machen und nachweisen, dass ein Verstoß gegen die DS-GVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen. Zur Überzeugung des Gerichts ist es dem Kl. nicht gelungen, einen kausalen Schaden nachzuweisen. Der Kl. hat in seiner informatorischen Anhörung im Wesentlichen angegeben, dass er viel über die Browser Google und Edge im Internet recherchiere. Dabei sei ihm aufgefallen, dass ihm in der Folge häufig Werbung angezeigt worden sie, welche zu seinen vorherigen Suchergebnissen bzw. Suchthemen gepasst hätten. Ebenfalls sei es so gewesen, dass auch seiner Ehefrau zu Hause entsprechende Werbung angezeigt worden sei. Hierbei gehe er davon aus, dass dies an demselben WLAN-Netzwerk liegen könne. Die Anzeige von Werbung betreffe die Plattform Facebook. Auch betreffe dies andere Internetseiten, auf welchen die Werbung dem Kl. am Browser-Rand angezeigt werde, auch bei Instagram werde entsprechend gezielt Werbung angezeigt. Er habe die Befürchtung, dass seine eigenen Recherchen und die darauffolgende Werbung auch auf seine Frau sowie die bei ihm im Haushalt lebenden minderjährigen Kinder „überschwappen“ könnten. Vor diesem Hintergrund und der Tatsache, dass der Kl. nach eigenen Angaben neben Instagram auch andere Plattformen, wie Facebook, LinkedIn und Xing benutzt, kann die vom Kl. geschilderte Anzeige von Werbung auch auf die Benutzung dieser Plattformen bzw. Apps zurückzuführen sein. Ferner konnte das Gericht anhand der Angaben des Kl. nicht die Überzeugung gewinnen, dass dieser gerade aufgrund der Nutzung von Instagram die Befürchtung habe, dass personenbezogene Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet würden. Gegen das tatsächliche Vorliegen einer solchen Befürchtung spricht aus Sicht des Gerichts insb. der tatsächliche Umstand, dass der Kl. die Plattformen der Bekl. Instagram und Facebook weiterhin aktiv nutzt. Das Gericht hat bei seiner Würdigung im Hinblick auf einen etwaigen kausalen Schaden auch in den Blick genommen, dass der Kl. auf Nachfrage bzgl. etwaiger Auswirkungen oder Reaktionen nach seiner Kenntnis von den Business Tools angab, dass er sich nun mehr bzw. häufiger Gedanken darüber mache, ob ich beim Besuch von Internetwebseiten Cookies komplett akzeptiere oder nicht. Dies kann zur Überzeugung jedoch bereits keine negative Folge begründen, sondern stellt vielmehr eine kritische Auseinandersetzung eines informierten Online-Nutzers im Hinblick auf die Zustimmung zur Weitergabe seiner Daten dar. Mangels kausalem Schaden kommt auch kein Anspruch nach § 823 Abs. 1 BGB iVm Art. 2 GG iVm Art. 1 GG in Betracht.
LG Köln Urt. v. 7.1.2025 – 14 O 472/23	320,27 EUR (100 EUR immaterieller Schadensersatz und 220, 27 EUR Rechtsanwaltskosten) Der Kl. hat gegen die Bekl. einen Anspruch auf Zahlung von immateriellen Schadensersatz gemäß Art. 82 Abs. 1 DS-GVO wegen Datenschutzverstößen im Zusammenhang mit dem unstreitigen Datenschutzvorfall bei der Unterauftragnehmerin der Klägerseite. Dieser beläuft sich in der Höhe jedoch nur auf 100 EUR. Die Bekl. ist als Verantwortliche iSd Art. 4 Nr. 7 DS-GVO passivlegitimiert. Der Verantwortliche (und Auftragsverarbeiter) haftet im Grundsatz nach Art. 82 DS-GVO für das Handeln seiner Auftragsverarbeiter und deren Mitarbeiter jedenfalls dann, wenn dem Mitarbeiter erst durch die ihm vom Verantwortlichen oder Auftragsverarbeiter übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken. Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür. Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ iSd Art. 82 Abs. 4 DS-GVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde. Ein Abschieben der Haftung auf den Auftragsverarbeiter widerspricht auch dem Grundgedanken der Auftragsverarbeitung, wonach der Verantwortliche zwar ohne Weiteres Dritte einschalten darf, aber gegenüber der betroffenen Person verantwortlich bleibt. Der Auftragsverarbeiter ist letztlich – mit einigen formalen und inhaltlichen Anforderungen, die aus der fehlenden arbeitsrechtlichen Weisungsbefugnis und tatsächlichen Kontrollmöglichkeit herrühren – wie ein sonstiger Mitarbeiter zu behandeln. Die Bekl. hat gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DS-GVO. Ob daneben die Bekl. ihrer Pflicht zur Einhaltung aller erforderlichen technischen und organisatorischen sowie personellen Sicherheitsstandards im eigenen Hause nachgekommen ist, kann offenbleiben. Gleiches gilt im Ergebnis für die Einhaltung der technischen Sicherheitsstandards im Hause des (Unter-) Auftragsdatenverarbeiters P. Inc. Offenbleiben kann ebenfalls, ob die Bekl. ihre Benachrichtigungspflicht aus Art. 34 DS-GVO gegenüber der Klagepartei, aus Art. 33 DS-GVO gegenüber der Aufsichtsbehörde oder die Auskunftspflicht nach Art. 15 DS-GVO verletzt hat, denn ein kausaler Schaden der Klagepartei, der auf der Verletzung von Benachrichtigungspflichten beruhen könnte, ist nicht ersichtlich. Die nach Art. 82 Abs. 3 DS-GVO notwendige Kausalität des Datenschutzverstoßes für das sodann schadensbegründende Ereignis in Form des Hackerangriffs und der Veröffentlichung von Daten im Darknet ist gegeben. Jedenfalls kann die Bekl. den in Art. 82 Abs. 3 DS-GVO ihr obliegenden Nachweis der in jedweder Hinsicht fehlenden Verantwortlichkeit nicht führen. Durch die Einhaltung der gebotenen Kontrolle der Löschung bei der P. Inc. wäre das Datenleck in seiner streitgegenständlichen Ausprägung wohl vermieden worden. Da insoweit die Kausalität positiv bejaht werden kann, kommt es auf die Verteidigung zu einer fehlenden Kausalität nicht an. Die Bekl. hat den oben dargelegten Datenschutzverstoß in Form der unzureichenden Kontrolle der Löschung der Daten bei der P. Inc. auch zu vertreten. Dieser Verstoß erfolgte jedenfalls fahrlässig, weil die gebotenen Sorgfaltsanforderungen mindestens die Einhaltung der oben dargelegten vertraglich vorgesehenen Kontrolle nach 21 Tagen umfassen. Diese hat die Bekl. offenbar außer Acht gelassen und sich stattdessen mit einer bloßen Ankündigung der Datenlöschung zufrieden gegeben. Angesichts des festgestellten Vertretenmüssens bedarf es keiner Entscheidung des juristischen Meinungsstreits, ob Art. 82 DS-GVO überhaupt ein Verschuldenserfordernis hat. Es liegt auch ein ersatzfähiger Schaden iSv Art. 82 Abs. 1 DS-GVO vor. Grds. ermöglicht Art. 82 Abs. 1 DS-GVO den Ersatz materieller und immaterieller Schäden. Ein materieller Vermögensschaden wurde von der Kl. nicht vorgetragen. Sie beruft sich jedoch erfolgreich auf das Vorliegen eines immateriellen Schadens. Diesen Schadensersatz schätzt das Gericht jedoch lediglich iHv 100 EUR wegen des bei der Kl. eingetretenen Kontrollverlusts. Für einen mit der Klage geltend gemachten Anspruch iHv 3000 EUR fehlt es hingegen an einem weitergehenden immateriellen Schaden. Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Der europäische Gerichtshof stützt sich auf den 146. Erwägungsgrund, der auf „Schäden“ abstellt, „die einer Person aufgrund einer Verarbeitung entstehen“. Zwar muss der Schaden nicht eine gewisse Erheblichkeit erreichen, jedoch besteht ein Nachweiserfordernis für immaterielle Schäden durch die betroffene Person. Allerdings muss der Schaden tatsächlich und sicher entstanden sein. Hierbei hat der EuGH in einem behaupteten Verlust des Vertrauens in eine Institution keinen ersatzfähigen immateriellen Schaden gesehen. Der Kontrollverlust der Daten der Kl. hat zu einem immateriellen Schaden iSv Art. 82 DS-GVO bei der Klagepartei geführt. Der BGH hat im Urt. v. 18.11.2024 (VI ZR 10/24) insofern folgendes ausgeführt. Ein derartiger Schaden in Form eines Kontrollverlustes liegt vorliegend in der hier anzunehmenden Veröffentlichung der Daten der Kl. im Darknet bzw. im frei zugänglichen Internet. Eine für die Bejahung eines Schadens ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung in Form eines Kontrollverlustes liegt hier vor. Das Recht auf informationelle Selbstbestimmung enthält die Befugnis des Einzelnen, grds. selbst zu entscheiden, wann, wo und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. Dieses Recht der Kl. wurde verletzt. Infolge der obigen Verstöße gegen die einschlägigen Bestimmungen der DS-GVO gelangten jedenfalls die im unstreitigen Teil des Tatbestandes aufgeführten Daten auf jedenfalls eine online betriebene Seite im Darknet, auf der sie über einen erheblichen Zeitraum rechtswidrig und massenhaft zum weiteren Vertrieb angeboten werden. Hierdurch wurde das dargelegte Recht der Kl. verletzt, selbst zu entscheiden, wo und ob sie diese Daten offenbaren möchte. Hierin liegt ein von der DS-GVO-Verletzung selbst zu trennender Datenabfluss ins Darknet samt dortiger Weiterverarbeitung und Veröffentlichung durch illegal handelnde Dritte, der tatsächlich passiert ist und damit zu einer konkreten und individuell benennbaren Verletzung des Rechts der Kl. auf informationelle Selbstbestimmung gekommen ist. Bei der Bemessung des dafür ersatzfähigen Schadens hält das Gericht den tenorierten Betrag iHv 100 EUR für angemessen und ausreichend. Es lehnt sich dabei an die Hinweise des BGH im Grundsatzurteil zum Scraping bei Facebook an. Nach diesen Grundsätzen ist zunächst festzustellen, dass die betroffenen Daten maßgeblich den Vor- und Nachnamen, die E-Mail Adresse und das Geburtsdatum enthalten. Dabei handelt es sich nicht um sensible Daten gem. Art. 9 Abs. 1 DS-GVO. Diese Daten sind auch regelmäßig notwendig, um Dienste und Leistungen im Internet wahrzunehmen, da insoweit ein elektronischer Kommunikationsweg geschaffen wird, die Identität der Person klargestellt und ihr Alter etwa zur Prüfung der Volljährigkeit angegeben wird. Dabei ist jedoch die Verbindung von Klarnamen, Geburtsdatum und E-Mail Adresse durchaus geeignet, Missbrauch zu begünstigen. Hinzu kommt, dass diese Daten einem potentiell unbegrenzten Empfängerkreis für eine nicht unerhebliche Zeit zur Verfügung standen. Die Möglichkeit zur Wiedererlangung der Kontrolle über die eigenen Daten besteht faktisch nur darin, die E-Mail Adresse zu ändern – Name und Geburtsdatum sind ersichtlich nicht zu ändern. Kosten werden für einen Wechsel der E-Mail Adresse regelmäßig nicht anfallen, jedoch ein nicht unerheblicher Aufwand, um die neue E-Mail Adresse bei allen Kontakten bekannt zu machen und bei allen genutzten Internet-Diensten etc. zu hinterlegen. Unter Beachtung dieser Aspekte handelt es sich nicht um einen Bagatellfall, jedoch auch nicht um einen außergewöhnlichen Fall. Die vom BGH im Scraping-Komplex bei Facebook in den Raum gestellten 100 EUR erscheinen demnach auch hier als angemessener Betrag. Dabei hat das Gericht auch beachtet, dass die E-Mail Adresse (und damit faktisch auch der darin enthaltene Klarname der Kl.) ausweislich der auch von ihr selbst zur Darlegung ihrer Betroffenheit angeführten Internetseite www.entfernt.com bei insgesamt fünf und neben dem hier gegenständlichen bei vier weiteren angeblichen Datenschutzvorfällen betroffen sein soll. Dies ist in der Gesamtschau jedenfalls kein Grund, den vom BGH vorgeschlagenen Schadensbetrag für den „reinen Kontrollverlust“ nach oben hin anzupassen. Denn dieser Kontrollverlust der Kl. an ihren Daten beruht nach eigenem Vorbringen nicht ausschließlich auf dem DS-GVO-Verstoß der Bekl., sondern fußt auf mehreren Beinen. Eine höhere immaterielle Entschädigung war nicht aufgrund von individuellen psychischen Beeinträchtigungen der Kl. durch den Datenschutz-Vorfall geboten. Unabhängig vom Nachweis eines Kontrollverlusts reicht für einen Anspruch auf einen immateriellen Schadensersatz zwar auch die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Sind derartige psychische Beeinträchtigungen infolge einer Anhörung des Betroffenen nachgewiesen, ist der Entschädigungsbetrag in einer Höhe festzusetzen, die über dem im Falle eines bloßen Kontrollverlustes zuzusprechenden Betrag liegt. Die Kausalität iSe „haftungsausfüllenden Kausalität“ – sofern erforderlich – ist ebenfalls gegeben. Der festgestellte Schaden beruht kausal auf dem oben festgestellten Verstoß gegen die DS-GVO und zwar sowohl äquivalent als auch adäquat kausal. Bei Beachtung der Pflichten im Zuge der Beendigung der Zusammenarbeit mit der P. Inc. wäre es nicht zum hier gegenständlichen Kontrollverlust der Daten der Kl. gekommen. Die Kl. hat keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 DS-GVO wegen angeblich verzögerter Auskunft. Ein Anspruch besteht schon deshalb nicht, weil die Auskunftspflicht nach Art. 15 DS-GVO – wie nachfolgend auszuführen sein wird – nicht verletzt wurde. IÜ ist nicht ersichtlich, welcher Schaden der Kl. aus einer möglichen Verletzung der Auskunftspflicht erwachsen könnte. Selbst wenn die Auskunft zu spät erteilt worden wäre, so kann dies offensichtlich weder kausal für den oben allein als Schaden festgestellten Kontrollverlust sein, noch kann dies einen solchen Kontrollverlust verstärken. Nach diesen Maßstäben kann ein materiell-rechtlicher Kostenerstattungsanspruch aus Art. 82 Abs. 1 DS-GVO für die anwaltliche Tätigkeit in Fallgestaltungen des Scraping-Komplexes im Grundsatz nicht verneint werden.
Amtsgerichte
NEU AG Düsseldorf Urt. v. 19.8.2025 – 42 C 61/25 = ZD 2026, 225	250 EUR Dem Kl. steht gegenüber der Bekl. ein Zahlungsanspruch iHv 250 EUR aus Art. 82 Abs. 1 DS-GVO zu. Die Internetrecherche der Bekl. stellt bereits eine Datenverarbeitung iSd Art. 4 Nr. 2 DS-GVO dar. Die Bekl. ist der Informationspflicht aus Art. 14 DS-GVO nicht nachgekommen. Der Kl. hat durch die nicht erfolgte Information gem. Art. 14 Abs. 1 lit. d DS-GVO auch einen immateriellen Schaden erlitten. Ein Anspruch auf Ersatz des immateriellen Schadens des Kl. scheidet nicht deshalb aus, weil es hier um einen bloßen Verstoß gegen die Bestimmungen der DS-GVO geht, der alleine nicht zur Begründung des Schadensersatzes ausreicht. Der bloße Verstoß gegen die Bestimmungen dieser Verordnung reicht zwar nicht aus, um einen immateriellen Schadensersatzanspruch zu begründen. Die betroffene Person hat nachzuweisen, dass der Verstoß gegen die DS-GVO für sie negative Folgen gehabt hat, welche einen immateriellen Schaden darstellen. Dabei ist aber nicht Voraussetzung, dass der der betroffenen Person entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Der Nachteil muss weder spürbar noch die Beeinträchtigung „objektiv“ sein. Diese Auslegung ergibt sich aus dem dritten Satz des 146. Erwägungsgrundes DS-GVO, in dem es heißt, dass „[d]er Begriff des Schadens … im Lichte der Rspr. des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht“. Dies steht mit den Zielen der DS-GVO im Einklang, namentlich demjenigen, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Dabei hat der EuGH klargestellt, dass der Unionsgesetzgeber unter den Schadensbegriff insb. auch den bloßen „Verlust der Kontrolle“ über die eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Zur Begründung hat er auf den ersten Satz des 85. Erwägungsgrundes DS-GVO verwiesen. Dort wird in einer beispielhaften Aufzählung von möglichen materiellen oder immateriellen Schäden explizit der Verlust der Kontrolle über die eigenen personenbezogenen Daten genannt. Bei der Bemessung des immateriellen Schadensersatzanspruchs ist als einem wichtigen Faktor auf die Intensität der Persönlichkeitsrechtsverletzung abzustellen. In den „gegoogelten“ Beiträgen wird dem Kl. „…“ … unterstellt … Die Datenverarbeitung betraf dementsprechend deutlich negative Werturteile mit Tatsachenkern. Dies beeinträchtigt den Kl. in seinem allgemeinen Persönlichkeitsrecht. Es liegt insoweit auch ein Kontrollverlust auf Seiten des Kl. vor. Das Gericht hält vorliegend allerdings lediglich einen immateriellen Schadensersatz von 250 EUR für angemessen. Ausschlaggebend hierfür ist Folgendes: Das LAG Düsseldorf hat in dem von ihm zu entscheidenden Fall einen immateriellen Schadensersatzanspruch von 1.000 EUR zugesprochen. Dem lag allerdings zugrunde, dass das Ergebnis einer Google-Recherche, nämlich eine nicht rechtskräftige Verurteilung eines Bewerbers wegen gewerbsmäßigen Betrugs im Zusammenhang mit vermeintlichen Scheinbewerbungen auf diverse ausgeschriebene Arbeitsstellen zum Zwecke der Gewinnerzielung durch die Geltendmachung von Schadensersatzansprüchen wegen Verstößen gegen die DS-GVO und andere Vorschriften. Dementsprechend hatte die Recherche unmittelbaren (Mit-) Einfluss auf das Ergebnis eines Bewerbungsverfahrens. Im vorliegenden Fall ist demgegenüber die Recherche während eines laufenden Rechtsstreits zur Wahrnehmung berechtigter Interessen, nämlich zur Verteidigung gegen einen geltend gemachten Schadensersatzanspruch erfolgt. Die Recherche hatte dementsprechend für den Kl. anders als in dem vorgenannten Rechtsstreit keine Außenwirkung außerhalb des Rechtsstreits. Vor diesem Hintergrund ist die immaterielle Beeinträchtigung des Kl. als wesentlich geringer zu bewerten. Außerdem ist nach Auffassung des Gerichts zu berücksichtigen, dass der Kl. nach eigenen Angaben bereits eine Vielzahl von vergleichbaren Verfahren, die ungefähr zu beziffern er sich im Verhandlungstermin weigerte, geführt hat. Unter diesen Umständen dürfte ein Datenschutzverstoß für ihn eine wesentlich geringere Strahlkraft haben als bei einem Durchschnitts-Gegoogeltem. Dem Anspruch steht im konkreten Fall der Einwand des Rechtsmissbrauchs nicht entgegen. Selbst wenn der Kl. sich rechtsmissbräuchlich beworben haben sollte, ändert dies nichts daran, dass es der Bekl. verwehrt war, über ihn unter Verstoß gegen die DS-GVO Daten zu erheben.
NEU AG Wesel Urt. v. 23.7.2025 – 30 C 138/21	2x 500 EUR Die Kl. haben gegen die Bekl. als Gesamtschuldner einen Anspruch auf Zahlung eines immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO, dies jedoch nur iHv jew. 500,00 EUR. Die Bekl. zu 1) ist als juristische Person, die im Rahmen ihrer Tätigkeit über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Verantwortliche iSd Art. 4 Nr. 7 DS-GVO. Die Haftung der Bekl. zu 2) bis 6) als Gesellschafter der Bekl. zu 1) ergibt sich aus § 721 BGB. Die Bekl. zu 1) hat jedenfalls gegen Art. 5 Abs. 1 lit. d DS-GVO verstoßen. Gegen diese Vorgabe haben die Bekl. verstoßen, indem sie die ehemalige Adresse der Kl. nicht vollumfänglich aus dem Datenbestand gelöscht haben. Hierbei ist unerheblich, dass die Adresse durch ein Programm automatisch eingefügt wurde. Nach Maßgabe des Art. 5 Abs. 1 lit. d DS-GVO hatte die Bekl. gerade dafür Sorge zu tragen, dass die Adresse im System überhaupt nicht mehr hinterlegt ist. Ein Verstoß gegen diesen Grundsatz der Datenverarbeitung stellt zugleich eine unrechtmäßige Datenerarbeitung dar, die geeignet ist, die Schadensersatzpflicht gem. Art. 82 DS-GVO auszulösen. Den Kl. ist infolge des Verstoßes auch ein Schaden entstanden. Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS-GVO auf das innerstaatliche Recht der Mitgliedstaaten iSd Bestimmung autonom unionsrechtlich zu definieren. Der Begriff ist mit Blick auf die Zielsetzung der Verordnung weit auszulegen und nicht von dem Überschreiten einer Bagatell-Grenze abhängig. Dennoch stellt der Schaden ein eigenständiges Tatbestandsmerkmal des Art. 82 Abs. 1 DS-GVO dar, der nicht mit dem Verstoß gegen die Verordnung gleichgesetzt werden kann und über den reinen Verstoß hinausgehen muss. Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Dies wird insb. auf den ersten Satz des 85. Erwägungsgrunds DS-GVO gestützt, in dem es heißt, dass „(e)ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen (kann), wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten.“ Diese Formulierung spiegelt auch die zu unterscheidenden Tatbestandsmerkmale des Art. 82 DS-GVO: Die in Art. 82 Abs. 1 DS-GVO vorausgesetzte Datenschutzverletzung, kann, muss aber nicht zu einem die Ersatzpflicht auslösenden Schaden führen; dieser ist gesondert festzustellen, kann aber zB in dem Kontrollverlust, der mögliche, aber nicht zwingende Folge des Verstoßes ist, liegen. Der Anspruchsteller muss aus diesem Grund lediglich den eingetretenen Kontrollverlust, diesen aber vollumfänglich, beweisen. Einen derartigen Kontrollverlust haben die Kl. bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten. Das Gericht ist nach dem Ergebnis der Beweisaufnahme davon überzeugt, dass die von der Bekl. abgesandte Erklärung an der ehemaligen Adresse der Kl. eingegangen und von den Zeugen A in Empfang genommen worden ist. Dies ergibt sich aus den übereinstimmenden und glaubhaften Bekundungen der Zeugen im Rahmen ihrer Vernehmung. Infolge der durch die Bekl. vorgenommenen und kausal durch den Verstoß gegen Art. 5 Abs. 1 lit. d DS-GVO erfolgten, irrtümlichen Versendung war den Kl. die Kontrolle darüber entzogen, welchem Personenkreis die den Bekl. zur Verfügung gestellten und in der Steuererklärung aufgegriffenen personenbezogenen Daten zugänglich waren. Ob die Zeugen den von der Bekl. in Gang gesetzten Kausalverlauf durch das eigenmächtige Öffnen des Briefs unterbrochen haben, ist für den Schadenseintritt unerheblich, da dieser bereits zuvor mit der Versendung des Briefs eingetreten war. Bereits in diesem Zeitpunkt waren die Daten dem Verfügungskreis der Kl. entzogen. Aus diesem Grund ist für das Vorliegen des Schadens nach Maßgabe der vom Gerichtshof aufgestellten und vom BGH aufgegriffenen Grundsätze auch unerheblich, ob und inwieweit die Zeugen von dem Inhalt des Briefs Kenntnis genommen haben. Dieser Umstand ist für den Umfang des Schadens relevant, nicht aber für den Eintritt des Schadens als solcher. Die Kl. hatten mit der Versendung des Briefs nicht mehr in der Hand, welcher Personenkreis von ihren Daten Kenntnis nehmen und diese verwenden kann. Dies allein stellt eine negative Folge des Datenschutzverstoßes dar, die einen immateriellen Schaden begründet. Der Umfang des eingetretenen Schadens liegt aber erheblich unterhalb der von den Kl. angegebenen Größenordnung. Die Ausgleichsfunktion des Art. 82 DS-GVO gebietet eine vollständige und wirksame Entschädigung in Geld, eine Abschreckungs- oder Straffunktion soll der Anspruch aber gerade nicht erfüllen. Weder die Schwere des Verstoßes noch die Anzahl der Verstöße gegen die Verordnung oder ein diesbezüglicher Vorsatz des Verantwortlichen finden bei der Bemessung des Schadens Berücksichtigung. Ist nach den Feststellungen des Gerichts allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten gegeben, weil weitere Schäden nicht nachgewiesen sind, hat der Tatrichter bei der Schätzung des Schadens insb. die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter hat er die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle in den Blick zu nehmen. Unter Berücksichtigung dieser Maßstäbe hält das Gericht ein Schmerzensgeld iHv jew. 500 EUR für angemessen, aber auch ausreichend, § 287 ZPO. Auf Seiten der Kl. ist allein der oben genannte Kontrollverlust bei der Ermittlung der Schadenshöhe zu berücksichtigen und anhand der vorgenannten Kriterien zu bemessen. Denn der Beweis eines darüberhinausgehenden Nachteils ist den Kl. nicht gelungen. Die Aussagen der Zeugen waren insofern unergiebig, da sich aus diesen gerade nicht positiv ergibt, dass die Zeugen von Details der Steuerklärung und den hierin enthaltenen Daten Kenntnis genommen haben. Erst recht bestehen keine Anhaltspunkte dafür, dass die Daten, wie die Kl. befürchten, über die Zeugen einen noch größeren Personenkreis erreicht haben. Zu beachten war, dass die betroffenen Daten naturgemäß sensibel sind. Aus einer Steuererklärung sind eine Vielzahl von Daten ersichtlich, die Rückschlusse auf verschiedene Lebensbereiche der betroffenen Person ermöglichen und die üblicherweise Außenstehenden verborgen bleiben. Auch gibt es für die Kl. keine vergleichbare Möglichkeit wie etwa im Falle der ungewollten Veröffentlichung einer Telefonnummer oder E-Mail-Adresse, die gewechselt werden kann. Begrenzt wird der Anspruch jedoch durch den Umstand, dass über den reinen Kontrollverlust hinaus keine weiteren negativen Folgen erkennbar sind und die Daten an einen begrenzten Empfängerkreis, anders als etwa bei einem unzureichenden Schutz von Daten im Netz, gelangt sind. Die Sensibilität der Daten erfordert den zugesprochenen Ausgleich, ein Schmerzensgeld von mehr als 500 EUR ist aber nicht gerechtfertigt, da nicht festgestellt werden konnte, dass überhaupt ein Dritter von den Daten Kenntnis genommen hat.
NEU AG Singen Urt. v. 16.7.2025 – 11 C 157/24	0 EUR Der Kl. hat keinen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DS-GVO, denn die Verarbeitung der personenbezogenen Daten war zur Wahrung berechtigter Interessen der Bekl. erforderlich und dem Kl. ist darüber hinaus auch kein Schaden entstanden. Die Verarbeitung der personenbezogenen Daten war aber rechtmäßig. Vielmehr ist die Verarbeitung der personenbezogenen Daten des Kl. gem. Art. 6 Abs. 1 lit f DS-GVO gerechtfertigt, weil berechtigte Interessen der Bekl. vorlagen, die eine Verarbeitung erforderlich machten. Dem Kl. ist schließlich kein Schaden entstanden. Er macht vorliegend einen immateriellen Schaden in Form eines tiefen Kontrollverlusts, Ohnmachts- und Angstzuständen sowie Schlafproblemen geltend, die in der Summe seine Lebensqualität beeinflussen. Weiter macht er sich Sorgen wegen seiner Bonität.
NEU AG Marburg Urt. v. 10.7.2025 – 9 C 135/25	0 EUR Der Kl. hat keinen Anspruch gegen die Bekl. auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1, 6 Abs. 1 DS-GVO. Voraussetzung für einen solchen Schadenersatzanspruch wäre, dass die Bekl. gegen ihre Pflichten aus der DS-GVO verstoßen hat, indem sie personenbezogenen Daten des Kl. – Name, Geburtsdatum, Mobilfunkvertragsnummer an die C. GmbH weiterleitete. Das ist jedoch nicht der Fall, denn die Bekl. war hierzu nach Art. 6 Abs. 1 lit. f DS-GVO berechtigt. Auf die Frage, ob dem Kl. überhaupt ein (immaterieller) Schaden entstanden ist, kam es daher nicht an. Nur der Vollständigkeit halber weist das Gericht aber darauf hin, dass hieran erhebliche Zweifel bestehen. Anders als in Fällen eines Hackerangriffs oder sonstigen Datenlecks ist es hier gerade nicht zu einem „Abgreifen“ der Daten durch unbekannte, in der Regel kriminelle, Personen gekommen. Ein auch nur abstrakter Kontrollverlust des Kl. über diese Daten dürfte daher schon gar nicht vorliegen.
NEU AG Nürnberg Urt. v. 9.7.2025 – 22 C 1423/25	0 EUR Ein Schadensersatzanspruch nach Art. 82 DS-GVO ist nicht gegeben. Wie der Kl. schon selbst in seiner persönlichen Anhörung unumwunden eingeräumt hat, ist ein konkretisierbarer Schaden bei ihm nicht entstanden. Er fühlt sich lediglich verunsichert mit Hinblick auf die erfolgte Datenverarbeitung und -übermittlung und kann zukünftige Risiken eines solchen Dateneintrags nicht abschätzen. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen kann nicht zu einem Schadensersatz nach Art. 82 DS-GVO führen. Vielmehr muss nach § 286 ZPO der volle Beweis für einen Schaden erbracht werden. Die o. g. negativen Folgen über den Kontrollverlust hinaus müssen dafür zumindest individuell-konkret vorgetragen werden. Der Kl. hat aber vielmehr zugegeben, dass die Schilderungen der Klägervertreter in der Klageschrift „sehr blumig“ seien. Er konnte insb. auf ausdrückliche Nachfrage nicht bestätigen, dass die Situation ein „tiefgreifendes Gefühl der Unsicherheit und des Kontrollverlustes“ hervorgerufen habe, „welches er nicht länger ignorieren könne“. Nicht bestätigt werden konnte ebenfalls, dass die Sorgen, die durch die unautorisierte Weitergabe seiner Daten hervorgerufen wurden, den Kl. mittlerweile wöchentlich begleiten würden. Der Kl. fühlt sich nicht „in einem System gefangen, das ihn bestraft, ohne, dass er die Möglichkeit hat, sich zu wehren oder die Situation zu ändern“. Auch fühlt sich der Kl. nicht durch unautorisierte Weitergabe seiner Daten und der damit verbundenen Konsequenzen „stark belastet“. Vielmehr hat der Kl. auf Frage des Gerichts offen und durchaus nachvollziehbar eingeräumt, dass es ihm insoweit um das Prinzip gehe, weil er generell mit Daten sparsam im Internet umgehe.
NEU AG Lüdenscheid Urt. v. 25.6.2025 – 93 C 11/25	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes aus Art. 82 Abs. 1, 2 DS-GVO. Die Voraussetzungen des Art. 82 Abs. 1 DS-GVO sind nicht erfüllt. Es liegt kein Verstoß gegen Art. 6 Abs. 1, 5 Abs. 1 lit. a DS-GVO vor. Die Übermittlung der Vertragsdaten durch die Bekl. konnte auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DS-GVO gestützt werden, sie war mithin rechtmäßig. Unabhängig davon, ob die Bekl. gegen Vorschriften der DS-GVO verstoßen hat, fehlt es auch an einem Schaden des Kl. Für den geltend gemachten immateriellen Schadensersatz gelten die iRv § 253 BGB entwickelten Grundsätze. Dabei hat das Gericht für den Eintritt des Schadens den Beweismaßstab des § 286 ZPO anzulegen. Die Ermittlung des Ausmaßes des – unterstellt – festgestellten Schadens obliegt dem Gericht nach § 287 ZPO, wobei Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die konkret betroffenen personenbezogenen Daten zu berücksichtigen sind. Zwar ist ein genereller Ausschluss von Bagatellschäden im Lichte der Erwägungsgründe zur DS-GVO nicht vertretbar. Insoweit ist es nicht erforderlich, dass der eingetretene Schaden eine bestimmte Erheblichkeitsschwelle überschreitet; auch Bagatellschäden sind grds. ersatzfähig. Dies bedeutet aber nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden und überdies finanziell auszugleichenden Schaden darstellen. Der EuGH führt insoweit explizit aus, dass diese Auslegung nicht bedeutet, „dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 dieser Verordnung darstellen. In diesem Sinne genügt ein bloßer Ärger über den Datenschutzverstoß oder Kontrollverlust an Daten oder ein subjektives Unmutsgefühl nicht, um einen immateriellen Schaden anzunehmen. Allein eine Verletzung des Datenschutzrechts begründet mithin für sich genommen noch nicht einen Schadensersatzanspruch für die betroffene Person, solange damit nicht im Einzelfall ein (immaterieller) Schaden verbunden ist, dh kausal negative Konsequenzen für den Betroffenen. Dafür spricht ferner der Wortlaut des Art. 82 Abs. 5 DS-GVO, nach dem der Schaden „erlitten“ sein muss. Das ist nur der Fall, wenn dieser wegen eines Verstoßes gegen die Verordnung tatsächlich entstanden, spürbar und objektiv nachvollziehbar ist und nicht nur von dem Betroffenen befürchtet wird. Es bedarf dazu der Darlegung eines konkreten – auch immateriellen – Schadens. Einen solchen immateriellen Schaden, wozu auch Ängste, Sorgen, Stress sowie Komfort- und Zeiteinbußen zählen können, hat der Kl. indes nicht dargelegt.
NEU AG Nürnberg Urt. v. 6.5.2025 – 15 C 8539/24	0 EUR Soweit vorgerichtlich mit dem Schreiben v. 14.7.2024 Auskunft nach §§ 15 DS-GVO verlangt wurde, besteht kein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten. Zwar wären vorgerichtliche Rechtsverfolgungskosten als materieller Schaden erstattungsfähig. Eine Anspruchsgrundlage hierfür besteht jedoch nicht. Art. 82 Abs. 1 DS-GVO erfordert haftungsbegründend eine gegen die DS-GVO verstoßende Datenverarbeitung und erfasst somit nicht eine reine Verletzung der Auskunftspflicht nach Art. 15 DS-GVO. Eine gegen die DS-GVO verstoßende Datenverarbeitung durch die Bekl. ist durch die Klagepartei indes nicht vorgetragen und auch nicht erkennbar. Allein die Nichterteilung der geforderten Auskunft begründet jedoch keine Schadensersatzpflicht nach Art. 82 Abs. 1 DS-GVO. Ein Schadensersatzanspruch kann auch nicht auf §§ 286, 288 BGB gestützt werden, da erstmals mit Anwaltsschreiben v. 14.7.2024 die Auskunft von der Bekl. verlangt wurde. Das Anwaltsschreiben ist demzufolge erst verzugsbegründend, sodass die vorgerichtlichen Rechtsanwaltskosten nicht als Verzugsschaden ersetzt, verlangt werden können.
AG Rendsburg Urt. v. 11.4.2025 – 45 C 151/24	0 EUR Der Kl. hat keinen Anspruch auf Schadensersatz gemäß § 82 DS-GVO wegen Verstoßes gegen die DS-GVO bzgl. der von der Bekl. an die S. gemeldeten Daten des Kl. Die Verarbeitung der Daten des Kl. ist nach Art. 6 Abs. 1 UAbs.1 lit. f) DS-GVO gerechtfertigt. Auch ein Schadensersatzanspruch gemäß §§ 82, 15 DS-GVO wegen einer unrichtigen Auskunftserteilung steht dem Kl. nicht zu. Selbst wenn man von einer Verletzung der DS-GVO ausgehen würde, weil die Bekl. schuldhaft über die (i. Ü. berechtigte, s. o.) Einmeldung der Positivdaten bei der S. keine Auskunft erteilt hat, hat der Kl. nicht vorgetragen, weshalb ihm aufgrund der dann „falschen“ Auskunft vom 4.4.2024 ein materieller oder immaterieller Schaden entstanden sein soll.
AG Potsdam Urt. v. 9.4.2025 – 30 C 52/24	0 EUR Der Kl. hat gegen die Bekl. keinen Anspruch auf Zahlung eines immateriellen Schadensersatzes iHv 3.000 EUR aus Art. 82 Abs. 1 DS-GVO. Die Bekl. hat nicht gegen Bestimmungen der DS-GVO verstoßen. Die Übermittlung der Positivdaten der Klagepartei an Auskunfteien wie die SCHUFA durch die Bekl. ist rechtmäßig, da sie von der Rechtsgrundlage in Art. 6 Abs. 1 S. 1 lit. f) DS-GVO gedeckt ist. Auch hat der Kl. keinen Schaden dargetan, bzw. es fehlt insoweit an der erforderlichen Kausalität. Nach allgemeinen Grundsätzen obliegt es dem Kl., die Mitursächlichkeit darzulegen und ggf. zu beweisen. Der EuGH hat am 4.5.2023 entschieden, dass Art. 82 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Es geht aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DS-GVO für sich genommen den Schadenersatzanspruch der betroffenen Person eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider. Auch ein abstrakter „Kontrollverlust“ reicht allein für einen immateriellen Schaden iSd Art. 82 DS-GVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast.
NEU AG Frankenthal Urt. v. 25.3.2025 – 3 a C 317/24	400 EUR (+ 360,33 EUR vorgerichtliche Rechtsanwaltskosten) Der Schadensersatzanspruch aus Art 82 Abs. 1, 2 DS-GVO wegen des API-Bugs und der damit verbundenen verspäteten Auskunft ist iHv 400 EUR angemessen, aber auch ausreichend, § 287 ZPO. Der Schadensersatzanspruch wegen des API-Bugs und die in unmittelbarem Zusammenhang stehende fehlerhafte Umsetzung der Auskunftspflichten stellt einen einheitlichen Antragsgegenstand dar. Denn bei natürlicher Betrachtung können die Verstöße gegen die DS-GVO nicht isoliert beurteilt werden, da sie sämtlich in einem einheitlichen Geschehen wurzeln. Erforderlich für einen Anspruch aus Schadensersatzanspruch iSd Art. 82 Abs. 1 DS-GVO ist ein Verstoß gegen die DS-GVO, das Vorliegen eines Schadens sowie einen Kausalzusammenhang zwischen diesen. Ein Verstoß gegen die DS-GVO in Form des Art. 5 Abs. 1 DS-GVO liegt vor. In diesem Rahmen kommt es auch nicht darauf an, ob ein weiterer Verstoß gegen die DS-GVO in Form der Art. 32, 33, 34, 15 DS-GVO festgestellt werden kann, da der Schadensersatzanspruch des Art. 82 Abs. 1 DS-GVO ausschließlich eine Ausgleichsfunktion, jedoch keine Straffunktion erfüllt und daher mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führen. Daneben kann auch der Streit, ob ein Verstoß gegen die DS-GVO nur die unrechtmäßige Verarbeitung von personenbezogenen Daten erfasst, mangels Entscheidungserheblichkeit dahinstehen. Der Kl. ist auch ein Schaden in immaterieller Form entstanden. Der Begriff des Schadens ist in Ermangelung eines Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu definieren. Hier soll nach Erwägungsgrund. 146 S. 3 DS-GVO der Begriff des Schadens weit ausgelegt werden, darf sich aber auch nicht in einem Verstoß gegen die DS-GVO erschöpfen. Nach der Leitentscheidung des BGH in NJW 2025, 298 kann ein immaterieller Schaden iSd Art. 82 Abs. 1 DS-GVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO sein. Weder muss eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen. Der EuGH hat mit Urt. v. 20.6.2024 in der Rechtssache C-590/22 seine bisherige Rspr. bestätigt, dass die Befürchtung einer von einem DS-GVO-Verstoß betroffenen Person, dass ihre Daten von Dritten missbräuchlich verwendet werden können, für sich genommen einen immateriellen Schaden iSv Art. 82 DS-GVO darstellen kann. Zudem stellt der EuGH (erneut) fest, dass die Kriterien für die Bestimmung der Beträge der Geldbußen gem. Art. 83 DS-GVO aufgrund ihrer unterschiedlichen Zielrichtung nicht auf den zu erkennenden Schadensersatz nach Art. 82 DS-GVO anzuwenden sind. Das Gericht betont insoweit, dass dem Schadensersatz nach Art. 82 DS-GVO zwar keine abschreckende oder Straffunktion innewohnt, wohl aber eine Ausgleichsfunktion, die vor dem Äquivalenz- und Effektivitätsgrundsatzes den erlittenen Schaden „vollständig und wirksam“ kompensieren soll. Einen solchen Kontrollverlust über ihre Daten und der damit verbundenen Beunruhigung über einen Missbrauch macht die Kl. hier auch unter Verweis auf die Prüfung der Seite „Have I Been Pwned“ geltend und hat dies im Rahmen ihrer Anhörung gem. § 141 Abs. 1 ZPO auch nachvollziehbar geschildert, § 286 Abs. 1 ZPO. Bezüglich der unzureichenden Sicherheitsvorkehrungen zum Schutz der Daten und des API-Bugs besteht unzweifelhaft ein Kausalzusammenhang. Diesen hat auch die Bekl. auch selbst in ihrer Pressemitteilung v. 5.8.2022 bestätigt. Bzgl. der geltend gemachten verspäteten Auskunft ist das Gericht nicht zur Überzeugung gekommen, dass ein Kausalzusammenhang besteht. Soweit die Kl. geltend macht, durch eine frühzeitige Mitteilung der Bekl. über den Vorfall hätte sie ihre Daten noch schützen können, indem sie ihr Passwort geändert hätte, verkennt sie, dass ein Datendiebstahl von organisierten Datenexperten innerhalb von wenigen Minuten/Sekunden abläuft. Insofern missversteht die zitierte Entscheidung des AG Duisburg ohnehin den Zweck des Art. 82 Abs. 1 DS-GVO. Dieser liegt entgegen dortiger Ansicht nicht in der Abschreckung, sondern nach der Betrachtung des BGH und des EuGH in der Ausgleichsfunktion. Ein Nachweis eines Verschuldens ist nicht notwendig. Der Kl. ist in Anbetracht der Pflichtverstöße der Bekl. nach der gebotenen Gesamtwürdigung gem. § 287 Abs. 1 ZPO ein immaterieller Schadensersatz iHv 400 EUR zuzusprechen. Bei der Bemessung der Schadenshöhe gelten die iRv § 253 BGB entwickelten Grundsätze, wonach der Schaden nach § 287 ZPO zu schätzen ist. Dabei sind hinsichtlich des Art. 82 DS-GVO allgemein die Art, die Schwere und die Dauer, des Verstoßes, der Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße, Auswirkungen für die Betroffenen sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägungen einzubeziehen. Der API-Bug hat die Bekl. nicht nur oberflächlich in ihrer Privatsphäre (Allgemeines Persönlichkeitsrecht) verletzt. Der Datendiebstahl erschöpfte sich nicht nur in wenigen öffentlichen Daten, sondern bezog sich neben der Mail-Adresse, der T*-ID, dem vollständige Namen, dem Verifizierungsstatus auch auf den Wohnort, die Anzahl der Freunde, die Favoritenliste, die URLs zum Profilbild und den Geburtstag. Hierbei lässt sich festhalten, dass insb. der Datendiebstahl der URLs zum Profilbild und des Wohnorts ein erhebliches Gewicht haben. Zudem ist bisher noch ungeklärt, ob noch weitere sensible Daten entwendet wurden. Zusätzlich ist unklar, welcher Empfängerkreis Zugang zu den Daten hat. In diesem Zusammenhang berichtet die Kl. bei ihrer persönlichen Anhörung auch widerspruchsfrei über ihre große Beunruhigung darüber. Diese Unsicherheit erhöht den Schaden der Kl. Daneben ermöglicht der Vorfall potenziell unerwünschte Spam-Anrufe, SMS und Emails, die ebenfalls eindrucksvoll durch die Kl. geschildert worden sind. Auf der anderen Seite hat der API-Bug die Kl. aber auch nicht im Kernbereich des Allgemeinen Persönlichkeitsrechts betroffen. Zum einen hat die Kl. nicht geltend gemacht andere typische Folgen von Scraping erlitten zu haben: So hat sie nicht vorgetragen, dass sie ihr generelles Vertrauen in Social Media und der damit verbundenen Datenspeicherung verloren habe. Daneben hat sie auch weder eine weitergehende psychischen Belastung noch erfolgreiche Phising-Angriffe dargelegt. Zum Anderen waren einige der gestohlenen Daten der Kl. seit 2019 schon im Internet (Darknet) verfügbar. So war die Kl. laut dem Protokoll von Have I Been Pwned vom Scraping der E-Mail-Adresse, des Namens und der Adresse auf der Seite 8fit.com und myheritage.com betroffen. Der Feststellungsantrag auf Ersatz aller zukünftigen Schäden durch den Bekl. hinsichtlich des API-Bugs gem. Art. 82 DS-GVO ist begründet. Der Kontrollverlust der Kl. über ihre Daten dauert noch an.
AG Chemnitz Endurt. v. 14.3.2025 – 16 C 1327/24	1.000 EUR (+ 159,94 EUR vorgerichtliche Rechtsanwaltskosten) Der Kl. hat gegen die Bekl. einen Anspruch auf Zahlung von immateriellem Schadensersatz iHv 1.000 EUR aus Art. 82 Abs. 1 DS-GVO. Nach der einschlägigen Rspr. des EuGH hat der Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO vier Bedingungen. Erforderlich ist „eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden“. Zudem setzt der Schadenersatzanspruch ein Verschulden voraus. Diese Voraussetzungen liegen vor. Der Bekl. ist ein Verstoß gegen die DS-GVO anzulasten. Zwar kann aus dem bloßen Umstand, dass es zu einem Datenabfluss kam, für sich genommen nicht geschlossen werden kann, dass die von der Bekl. ergriffenen technischen und organisatorischen Maßnahmen ungeeignet waren und somit ein Verstoß gegen Art. 32 DS-GVO vorliegt. Andererseits trägt die Bekl. die Darlegungs- und Beweislast für die Geeignetheit der technischen und organisatorischen Maßnahmen, was sich aus dem Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO, Art. 24 DS-GVO) ergibt. In diesem Sinne hat die Bekl. nicht dargelegt und bewiesen, dass sie gemäß Art. 32 Abs. 1 DS-GVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen getroffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Art. 32 DS-GVO enthält keine konkreten Vorgaben zu erforderlichen Maßnahmen. Es ist damit eine Frage des konkreten Einzelfalls, ob die vom Verantwortlichen getroffenen Maßnahmen das Risiko einer Datenverletzung Dritter – aus ex-ante-Sicht – hinreichend zu verhindern geeignet waren. Dem Kl. ist aufgrund der unzureichenden technisch-organisatorischen Maßnahmen der Bekl. auch ein kausaler Schaden entstanden. Der Begriff des immateriellen Schadens ist ein autonom auszulegender Begriff des Unionsrechts. Es ist nicht Voraussetzung eines immateriellen Schadens iSd Art. 82 DS-GVO, dass eine bestimmte Erheblichkeitsschwelle überschritten wird. Darüber hinaus ist es auch nicht erforderlich, „dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss“, es existiert insoweit auch keine Bagatellgrenze. Jedoch muss die betroffene Person den Nachweis erbringen müsse, dass ihr ein immaterieller Schaden iSd Art. 82 DS-GVO entstanden ist. Rein hypothetische Risiken der missbräuchlichen Datenverwendung führen nicht zu einer Entschädigung. Um festzustellen, ob der betroffenen Person idS ein Schaden entstanden ist, ist es erforderlich, dass die betroffene Person Umstände darlegt, in denen sich ihre erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat. Dies folgt daraus, dass es sich bei solchen Umständen um innere, dem Beweis nur eingeschränkt zugängliche Tatsachen handelt, auf die mittelbar aus äußeren Tatsachen geschlossen werden muss. Hierfür trägt der Anspruchssteller die Darlegungs- und Beweislast mit dem für § 286 ZPO erforderlichen Beweismaß, sodass erst eine Wahrscheinlichkeit ausreicht, die Zweifeln Schweigen gebietet, ohne dieses indes endgültig auszuschließen. Dabei ist es dem Gericht jedoch erlaubt, allein aufgrund des Vortrags der Parteien festzustellen, was für wahr zu erachten ist. Der Bekl. ist auch ein Verschulden anzulasten. Aus Art. 82 Abs. 3 DS-GVO folgt eine widerlegliche Vermutung des Verschuldens zu Lasten des Normverletzers, dem die Möglichkeit bleibt, nachzuweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Die Beweislast für das fehlende Verschulden liegt damit beim Verantwortlichen. Dabei handelt es sich um eine gesetzliche Vermutung iSd § 292 ZPO mit der Folge, dass der Beweis des Gegenteils zulässig bleibt. Der Verantwortliche hat also die Möglichkeit, den Beweis zu führen, dass ihn kein Verschulden trifft. Dieser Beweis wurde hier nicht geführt. Es wird insoweit auf die Ausführungen zu den technischen und organisatorischen Maßnahmen verwiesen. Dem Kl. ist auch kein Mitverschulden anzulasten. Insoweit die Bekl. meint, der Kl. sei zum Wechsel seiner Telefonnummer verpflichtet gewesen, kann offen bleiben, ob diesem Argument gefolgt werden kann, weil der Kl. seine Telefonnummer tatsächlich gewechselt hat. Zur Höhe des dem Kl. zustehenden Schadensersatzes ist im Ausgangspunkt davon auszugehen, dass dem Art. 82 DS-GVO eine reine Ausgleichsfunktion zukommt. Die betroffene Person soll einen vollständigen Ausgleich für erlittene materielle und immaterielle Schäden erhalten. Allerdings kommt dem Schadensersatz keine general- oder spezialpräventive Funktion zu, mithin kann eine Abschreckungs- oder Sanktionswirkung bei der Bemessung des Schadensersatzes keine Rolle spielen. Auch die Schwere des Verschuldens kann in die Bemessung der Höhe des Schadensersatzes nicht einbezogen werden. Der Kl. hat aus Art. 82 Abs. 1 DS-GVO unter dem Gesichtspunkt materiellen Schadens auch Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten gegen die Bekl.. Angesichts der Spezialität der Rechtsmaterie und der Komplexität des Sachverhalts war es objektiv erforderlich, sich anwaltlicher Hilfe zu bedienen. Der Anspruch besteht allerdings nur aus einem Streitwert iHv 1.000,00 EUR, denn nur in dieser Höhe war die Klage erfolgreich. Hieraus errechnet sich folgendes Rechtsanwaltshonorar: 1,3 Geschäftsgebühr Nr. 2300, 1008 VV RVG iHv 114,40 EUR, Auslagen Nr. 7001 u. 7002 VV RVG iHv 20,00 EUR und Mehrwertsteuer iHv 25,54 EUR, mithin insgesamt 159,94 EUR.
Bundesarbeitsgericht
BAG Beschl. v. 24.6.2025 – 8 AZR 4/25 (A)	0 EUR Die Parteien streiten über einen Anspruch des Kl. auf immateriellen Schadensersatz gemäß Art. 82 Abs. 1 DS-GVO wegen Verletzung des Auskunftsrechts nach Art. 15 DS-GVO. Der Kl. hat sich ua. auf einen ihm entstandenen Schaden durch Einschränkung seiner Rechte aus der DS-GVO und einen Kontrollverlust berufen. Die Verhandlung im vorliegenden Verfahren wird gemäß § 72 Abs. 5 ArbGG iVm. § 555 Abs. 1 ZPO und einer entsprechenden Anwendung von § 148 Abs. 1 ZPO bis zu einer Entscheidung des EuGH über das durch den BGH mit Vorlagebeschluss vom 6. Mai 2025 (- VI ZR 53/23 -) an den EuGH gestellte Vorabentscheidungsersuchen (Art. 267 AEUV) ausgesetzt.
BAG Beschl. v. 24.6.2025 – 8 AZR 308/24 (A)	0 EUR Wie BAG Beschl. v. 24.6.2025 – 8 AZR 4/25 (A).
NEU BAG Urt. v. 5.6.2025 – 8 AZR 117/24 = ZD 2026, 226	1.000 EUR Der mit dem Feststellungsantrag verfolgte Anspruch auf materiellen Schadensersatz steht dem Kl. auch nicht aus Art. 82 Abs. 1 DS-GVO zu. Hiervon ausgehend kann dahingestellt bleiben, ob die Bekl., soweit sie im Auswahlverfahren Daten über das gegen den Kl. vor dem LG München I geführte Strafverfahren verarbeitet hat, gegen die DS-GVO verstoßen hat, insb. ob hier ein Verstoß gegen Art. 6, 10 DS-GVO und/oder Art. 14 DS-GVO vorliegt. Dies kann vielmehr zugunsten des Kl. unterstellt werden. Es fehlt jedenfalls an der Darlegung eines Kausalzusammenhangs zwischen den vom Kl. angeführten Verstößen gegen die DS-GVO und dem geltend gemachten materiellen Schaden als einer der drei kumulativen Voraussetzungen eines Schadenersatzanspruchs nach Art. 82 Abs. 1 DS-GVO. Der zulässige Klageantrag zu 2. ist, soweit Gegenstand der Revision, unbegründet. Das LAG hat dem Kl. zu Recht keinen über 1.000 EUR zzgl. Zinsen ab dem 28.10.2022 hinausgehenden immateriellen Schadensersatz zugesprochen. Da sich die Bekl. gegen ihre Verurteilung zur Zahlung einer Entschädigung nicht mit einem eigenen Rechtsmittel gewandt hat, ist die Entscheidung des LAG insoweit mit dem Ablauf der Frist für eine mögliche Anschlussrevision rechtskräftig geworden. Zugunsten des Kl. kann unterstellt werden, dass ihm nicht nur – wie vom LAG angenommen – ein Anspruch auf Zahlung immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO wegen eines Verstoßes der Bekl. gegen ihre Informationspflichten aus Art. 14 Abs. 1 lit. d DS-GVO zusteht, sondern die Bekl. bereits die Daten über das gegen den Kl. anhängige Strafverfahren mangels Eingreifens eines Erlaubnistatbestands iSv. Art. 6 und 10 DS-GVO unter Verstoß gegen Bestimmungen der DS-GVO erhoben hat, und demzufolge mehrere Verstöße gegen die Verordnung vorliegen. Dies führt aber nicht dazu, dass der vom Landesarbeitsgericht festgesetzte Entschädigungsbetrag rechtsfehlerhaft bemessen wäre. Bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes haben die nationalen Gerichte in Ermangelung einer Bestimmung in der DS-GVO die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DS-GVO verlangt dabei nicht, dass die Schwere des Verschuldens berücksichtigt wird. Die Ausgleichsfunktion des in Art. 82 Abs. 1 DS-GVO verankerten Schadenersatzanspruchs schließt es sogar aus, dass eine etwaige Vorsätzlichkeit des Verstoßes gegen die DS-GVO bei der Bemessung des Schadensersatzes zum Tragen kommt. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden in vollem Umfang ausgleicht.
NEU BAG Urt. v. 8.5.2025 – 8 AZR 209/21 = ZD 2025, 714	200 EUR Der Kl. hat gegen die Bekl. einen Anspruch auf Zahlung immateriellen Schadensersatzes iHv 200 EUR nebst Zinsen ab dem 26.5.2018. Ein Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO setzt einen Verstoß gegen die DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ gegeben sein müssen. Diese Voraussetzungen sind erfüllt. Die Bekl. hat gegen Bestimmungen der DS-GVO iSv. Art. 82 Abs. 1 DS-GVO verstoßen. Der Kl. hat seinen Schadenersatzanspruch zuletzt ausschließlich noch darauf gestützt, dass die Bekl. personenbezogene Daten verarbeitet hat, die von der BV Duldung nicht erfasst waren. Er hat diese Erklärung in der mündlichen Verhandlung vor dem Senat am 8.5.2025 nach der Vorabentscheidung durch den Gerichtshof abgegeben. Der Kl. beruft sich somit nicht mehr darauf, dass ein Verstoß gegen die DS-GVO auch in Bezug auf diejenigen Daten vorliege, deren Übertragung in Einklang mit der BV Duldung steht. Es kommt daher in Bezug auf die von der BV Duldung erfassten Daten nicht darauf an, ob § 26 Abs. 4 BDSG iVm der BV Duldung als „spezifischere Vorschriften“ iSv. Art. 88 Abs. 1 DS-GVO bewirken, dass ihre Adressaten die sich aus Art. 5, 6 Abs. 1 DS-GVO sowie Art. 9 Abs. 1 und Abs. 2 DS-GVO ergebenden Anforderungen erfüllen. Der Senat hatte daher nicht zu prüfen, ob die Betriebsvereinbarung so ausgestaltet war, dass die Anforderungen der DS-GVO erfüllt wurden. Die Bekl. hat gegen die DS-GVO verstoßen, indem sie die von der BV Duldung nicht erfassten personenbezogenen Daten des Kl. auf eine Sharepoint-Seite der Konzernobergesellschaft übertragen hat, um damit Daten in die Software Workday einzuspeisen und diese dort zu verarbeiten. Dem steht nicht entgegen, dass die Bekl. die personenbezogenen Daten des Kl. bereits in der Zeit zwischen dem 24.4. und dem 18.5.2017 und damit vor Geltung der DS-GVO ab dem 25.5.2018 (Art. 99 Abs. 2 DS-GVO) in Workday übertragen hat. Auch nach der Übertragung war die Bekl. weiterhin Verantwortliche iSv Art. 4 Nr. 7 DS-GVO. Hierfür ist es nicht erforderlich, dass der Verantwortliche allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, dies kann nach Art. 4 Nr. 7 DS-GVO auch gemeinsam mit anderen erfolgen. Die Bekl. hat sich ab dem Zeitpunkt der Geltung der DS-GVO nicht um eine Rückübertragung oder Löschung der Daten des Kl. in Workday bemüht, eine solche hat auch nicht stattgefunden. Vielmehr hat die Bekl. – im Gegenteil – durch die mehrfache Verlängerung des Geltungs- und Nachwirkungszeitraums der BV Duldung, zuletzt bis zum 31.1.2019, zu erkennen gegeben, dass sie fortgesetzt aktiv als Verantwortliche iSv Art. 4 Nr. 7 DS-GVO gehandelt hat, um den vorläufigen Betrieb von Workday durch den Abschluss weiterer Betriebsvereinbarungen sicherzustellen. Soweit die Bekl. von der BV Duldung nicht erfasste Daten wie private Kontaktdaten, Vertrags- und Vergütungsdetails, Sozialversicherungsnummer, Steuer-ID, Staatsangehörigkeit und Familienstand übertragen hat, handelt es sich um personenbezogene Daten des Kl. iSv Art. 4 Nr. 1 DS-GVO. Die Verarbeitung dieser vorgenannten personenbezogenen Daten zu Testzwecken in Workday ist nicht nach Art. 88 Abs. 1 DS-GVO iVm § 26 Abs. 1 BDSG zulässig. § 26 Abs. 1 BDSG hat unangewendet zu bleiben. § 26 Abs. 1 BDSG erfüllt nicht die Voraussetzungen der Öffnungsklausel des Art. 88 DS-GVO. Spezifischere Vorschriften iSv Art. 88 Abs. 1 DS-GVO sind nur gegeben, wenn sie sich nicht auf eine Wiederholung der Bestimmungen der DS-GVO beschränken, sondern einen zum normierten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der DS-GVO unterscheidet. Zudem müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person iSv Art. 88 Abs. 2 DS-GVO umfassen. Diese Anforderungen erfüllt § 26 Abs. 1 S. 1 BDSG schon deshalb nicht, weil es an Schutzmaßnahmen iSv Art. 88 Abs. 2 DS-GVO fehlt. Nationale Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext müssen unangewendet bleiben, wenn sie nicht die in Art. 88 Abs. 1 und Abs. 2 DS-GVO vorgegebenen Voraussetzungen und Grenzen beachten, es sei denn, sie stellen eine Rechtsgrundlage iSv Art. 6 Abs. 3 DS-GVO dar, die den Anforderungen dieser Verordnung genügt. In Bezug auf die Verarbeitung von personenbezogenen Daten in dem vorliegend infrage stehenden Personal-Informationsmanagementsystem Workday stellt § 26 Abs. 1 BDSG keine Rechtsgrundlage iSv Art. 6 Abs. 3 DS-GVO dar. Die Bekl. hat weder geltend gemacht noch ist sonst ersichtlich, dass die Verarbeitung der personenbezogenen Daten des Kl. in Workday zur Erfüllung einer rechtlichen Pflicht iSv Art. 6 Abs. 1 UAbs. 1 lit. c DS-GVO, oder für die Wahrnehmung einer Aufgabe, die iSv Art. 6 Abs. 1 UAbs. 1 lit. e DS-GVO im öffentlichen Interesse liegt, erforderlich gewesen sei. Soweit spezifischere Vorschriften fehlen, die die in Art. 88 DS-GVO vorgegebenen Voraussetzungen und Grenzen erfüllen, wird die Verarbeitung personenbezogener Daten im Beschäftigungskontext unmittelbar durch die Bestimmungen der DS-GVO geregelt. Nach den Bestimmungen der DS-GVO ist die Übertragung der von der BV Duldung nicht erfassten personenbezogenen Daten des Kl. in die Software Workday zu Testzwecken nicht gerechtfertigt. Die Überlassung dieser Daten an die Konzernobergesellschaft ist nicht nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO gerechtfertigt. Eine Rechtfertigung der Verarbeitung personenbezogener Daten im vorläufigen Betrieb von Workday zu „Testzwecken“ ist nicht von vornherein ausgeschlossen, sofern entpersonalisierte sog. Dummy-Versuchsdaten nicht ausreichen, um den Testzweck zu erreichen. Ein vorläufiger Testbetrieb mit personenbezogenen Daten kann im Einzelfall zur Wahrung der berechtigten Interessen des Arbeitgebers erforderlich sein, um eine Softwareumstellung vorzubereiten. Allerdings stellt sich hier die überschießende Datenverarbeitung im Ergebnis schon deshalb als nicht erforderlich iSv Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO dar, weil sie über die Erlaubnis in der BV Duldung hinausgeht. Die Bekl. hat mit dem Betriebsrat in der BV Duldung vereinbart, dass bestimmte personenbezogene Daten zu Testzwecken an die Konzernobergesellschaft übertragen werden. Dabei handelt es sich um die Personalnummer, den Nachnamen, den Vornamen, das Eintrittsdatum, das Eintrittsdatum in den Konzern, den Arbeitsort, die Firma, die geschäftliche Telefonnummer und die geschäftliche E-Mail-Adresse. Nachdem die Bekl. und der Betriebsrat die Erlaubnis auf diese im Einzelnen aufgezählten personenbezogenen Daten beschränkt haben, ist davon auszugehen, dass lediglich diese Daten für Testzwecke erforderlich waren. Die Bekl. behauptet selbst nicht, dass die weiteren von ihr an die Konzernobergesellschaft übertragenen Daten erforderlich gewesen wären, um Workday zu testen. Die Übertragung der über die Erlaubnis in der BV Duldung hinausgehenden Daten ist auch nicht nach Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO gerechtfertigt. Danach ist die Verarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Zwar ist der Senat im Vorlagebeschluss v. 22.9.2022 noch von einer möglichen Rechtfertigung nach Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO ausgegangen. Nach der inzwischen ergangenen Rspr. des Gerichtshofs stellt die hier zu beurteilende Nutzung von personenbezogenen Echtdaten zu Testzwecken für eine Softwareumstellung wohl eine Weiterverarbeitung iSv Art. 5 Abs. 1 lit. b DS-GVO dar, die einem anderen Zweck dient als demjenigen, für den die Daten ursprünglich erhoben worden sind. Die an die Konzernobergesellschaft zu Testzwecken übermittelten Daten dienten daher nicht mehr der Erfüllung des Arbeitsverhältnisses iSv Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO. Jedenfalls stellt sich die Übertragung der über die Erlaubnis in der BV Duldung hinausgehenden Daten iRv Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO ebenso wenig als erforderlich dar wie nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO. Der Kl. hat durch die Übertragung der von der BV Duldung nicht erfassten personenbezogenen Daten einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO erlitten. Der - selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Der Schaden liegt in dem durch die Übertragung der personenbezogenen Daten an die Konzernobergesellschaft und deren weitere Verarbeitung in der Software Workday erlittenen Kontrollverlust. Die hier gegebene Fallgestaltung einer Weitergabe der Daten unterscheidet sich von der verspäteten Auskunft nach Art. 15 DS-GVO, die für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft begründet. Der Schaden in Gestalt des eingetretenen Kontrollverlusts ist auch kausal durch den Verstoß der Bekl. gegen die DS-GVO verursacht. Der Senat kann über die Höhe des immateriellen Schadensersatzes selbst entscheiden, da sämtliche entscheidungsrelevanten Tatsachen feststehen. Dem Kl. steht ein immaterieller Schadensersatz iHv 200 EUR zu. Bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO geschuldeten Schadensersatzes haben die nationalen Gerichte in Ermangelung einer Bestimmung in der DS-GVO die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Art. 82 Abs. 1 DS-GVO verlangt dabei nicht, dass die Schwere des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters berücksichtigt wird. Die Ausgleichsfunktion des in Art. 82 Abs. 1 DS-GVO verankerten Schadenersatzanspruchs schließt es sogar aus, dass eine etwaige Vorsätzlichkeit des Verstoßes gegen die DS-GVO bei der Bemessung des Schadensersatzes berücksichtigt wird. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden in vollem Umfang ausgleicht. Ausgehend von diesen Grundsätzen ist ein Schadensersatz iHv 200 EUR angemessen. Dieser Betrag ist erforderlich aber auch ausreichend, um den dem Kl. entstandenen immateriellen Schaden auszugleichen. Dabei sind insb. die Sensibilität der konkret betroffenen personenbezogenen Daten unterhalb der Schwelle des Art. 9 DS-GVO zu beachten, ebenso wie der größere, jedoch im Konzern begrenzte Empfängerkreis und die Dauer des Kontrollverlusts. Keine Rolle bei der Bemessung der Höhe des Schadensersatzes konnte der Umstand spielen, dass personenbezogene Daten des Kl. in ein Drittland übertragen worden sind. Der Kl. hat erklärt, sich nicht auf Verstöße gegen Art. 44 ff. DS-GVO zu berufen.
BAG Urt. v. 20.2.2025 – 8 AZR 61/24	0 EUR Der Kl. kann von der Bekl. keinen Schadensersatz nach Art. 82 Abs. 1 DS-GVO fordern. Dabei kann dahingestellt bleiben, ob hier eine Verletzung von Art. 15 iVm. Art. 12 Abs. 3 DS-GVO vorliegt. Gleiches gilt für die Frage, ob dies einen Verstoß iSv. Art. 82 Abs. 1 DS-GVO darstellen würde. Der Kl. hat schon keinen Schaden dargelegt. Das Vorliegen eines „Schadens“ ist eine der drei Voraussetzungen für den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadenersatzanspruch, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem erlittenen Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Das Landesarbeitsgericht hat zu Recht angenommen, der Kl. habe keinen Schaden iSv. Art. 82 Abs. 1 DS-GVO dargelegt. Die Voraussetzungen eines Anspruchs wegen des Verlusts der Kontrolle über personenbezogene Daten sind ausgehend vom Vortrag des Kl. nicht erfüllt. Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Ein Kontrollverlust in Form eines Datenverlusts oder Datenmissbrauchs liegt auch nach Darstellung des Kl. nicht vor. Dies hat das Landesarbeitsgericht rechtsfehlerfrei erkannt. Es hat festgehalten, der Kl. habe weder einen „gesetzwidrigen Datenabfluss“ noch eine „unzulässige Datenspeicherung“ behauptet. Er habe bereits im Jahr 2020 eine Auskunft erhalten und auch diesbezüglich nicht behauptet, sie sei falsch gewesen oder habe „Schindluder“ befürchten lassen. Hiergegen wendet sich die Revision nicht. Die Revision vertritt vielmehr die Auffassung, eine verspätete Auskunftserteilung bewirke einen Kontrollverlust, der ohne weitere Voraussetzung einen Schaden iSv. Art. 82 Abs. 1 DS-GVO darstelle. Dies ist aber unzutreffend. Zwar kann ein Kontrollverlust auch dann gegeben sein, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sein sollte, denn es kann die entsprechende Gefahr bestanden haben. Die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden iSv. Art. 82 Abs. 1 DS-GVO darstellen. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen. Unter einem Kontrollverlust versteht der EuGH (im Folgenden Gerichtshof) daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt. Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Je gravierender die Folgen eines Verstoßes gegen die DS-GVO sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen. Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft. Entgegen der Auffassung der Revision ist es dabei ohne Belang, dass Art. 12 Abs. 3 Satz 1 DS-GVO die unverzügliche Erteilung der Informationen als Regelfall vorsieht und den Zeitraum der Ungewissheit damit auf ein Minimum verkürzt. Eine ungerechtfertigte Verzögerung lässt dessen ungeachtet ohne weitere Anhaltspunkte nicht auf einen Datenmissbrauch schließen. Die vom Kl. im vorliegenden Rechtsstreit geschilderte Gefühlslage begründet demnach keinen Schaden im Zusammenhang mit einem Kontrollverlust. Der Kl. hat – wovon das Landesarbeitsgericht zu Recht ausgegangen ist – keine konkreten Befürchtungen einer missbräuchlichen Verwendung seiner Daten dargelegt. Das Landesarbeitsgericht hat ausgehend vom Vorbringen des Kl. auch einen Schaden in Form von negativen Gefühlen allein wegen der verspäteten Erfüllung des Auskunftsanspruchs rechtsfehlerfrei verneint. Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen. Dies betrifft Konstellationen, in denen der bloße Verstoß gegen die DS-GVO zu der Befürchtung eines Datenmissbrauchs führt. Da solche Gefühle für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die DS-GVO iSv. Art. 82 Abs. 1 DS-GVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO. Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der DS-GVO aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DS-GVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem dargestellten Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DS-GVO, das strikt zwischen Verstoß und Schaden unterscheidet, ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt. Entgegen der Auffassung der Revision wird damit keine „vierte Tatbestandsvoraussetzung“, wonach „der Schaden keine dem Verordnungsverstoß immanente Folge sein darf“, geschaffen. Es bedeutet auch nicht, dass „eine besonders enge Kausalität zwischen Verordnungsverstoß und Schaden“ für die Annahme eines Schadens „schädlich“ wäre. Die Rspr. des Gerichtshofs und des Senats folgt nur der in Art. 82 Abs. 1 DS-GVO angelegten Eigenständigkeit des Erfordernisses eines Schadens. Dabei ist im Einzelfall zu beurteilen, ob der Verstoß gegen die DS-GVO ggf. so schwerwiegende Konsequenzen aufweist, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden kann (zB Datenleck bzgl. Bank- oder Gesundheitsdaten) oder ob der Schaden gesondert begründet werden muss. Dementsprechend besteht auch kein Widerspruch zum Urteil des Senats vom 25. Juli 2024 (- 8 AZR 225/23 -). Der Senat hat in diesem Fall einer unzulässigen Überwachung durch Detektive ausgeführt, der Verlust von Kontrolle und die daraus folgende Befürchtung weiterer Überwachung sei selbsterklärend und bedürfe keiner näheren Darlegung. Diese Begründung war der Schwere der Auswirkungen des Verstoßes geschuldet und kann nicht auf eine lediglich verspätete Auskunftserteilung übertragen werden. Dementsprechend geht auch der Hinweis auf die einen anderen Sachverhalt (Datenabfluss) betreffende Entscheidung des BGH vom 18. November 2024 (- VI ZR 10/24 -) fehl. Gleiches gilt bzgl. der von der Revision angeführten Entscheidung des Obersten Gerichtshofs (Österreich) vom 23. Juni 2021 (- 6 Ob 56/21k -). Dieser Beschluss erging vor den maßgeblichen Urteilen des EuGH. Die von der Revision unter Bezugnahme auf Rspr. und Schrifttum zutreffend angeführte Bedeutung des Auskunftsanspruchs für die Transparenz der Datenverarbeitung steht dem Erfordernis der gesonderten Begründung eines Schadens nicht entgegen. Der Verstoß gegen Art. 15 DS-GVO begründet auch dann für sich genommen keinen immateriellen Schaden iSv. Art. 82 Abs. 1 DS-GVO, wenn die verzögerte oder zunächst verweigerte Auskunftserteilung der Durchsetzung von Rechten entgegensteht, denn dies steht in keinem Zusammenhang mit dem Zweck des Schadenersatzanspruchs. Dieser hat nur eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen. Er erfüllt keine Abschreckungs- oder Straffunktion. Daran ändern auch die im Erwägungsgrund 75 zur DS-GVO beschriebenen Risiken nichts. Gleiches gilt für die im Erwägungsgrund 85 zur DS-GVO angeführten Schadensarten. Der von einem Verstoß gegen die Auskunftspflicht betroffenen Person bleibt zudem der Anspruch auf Ersatz eines etwaigen materiellen Schadens. Soweit die Revision die angeführte Rspr. des Senats im Widerspruch zum unionsrechtlichen Grundsatz der Äquivalenz sieht, dringt sie ebenfalls nicht durch. Sie begründet diese These mit einem Vergleich zum Ersatz immaterieller Schäden nach § 15 Abs. 2 AGG. Bei diesem Anspruch liege der immaterielle Schaden bereits in der Rechtsverletzung selbst. Gleiches müsse für den Anspruch nach Art. 82 Abs. 1 DS-GVO gelten, weil der Erwägungsgrund 85 zur DS-GVO die „Diskriminierung“ als Regelschaden benenne. Diese Argumentation verkennt, dass sich der Äquivalenzgrundsatz auf die Ausgestaltung des Verfahrens zur Rechtsdurchsetzung bezieht. Die Revision behauptet selbst nicht, dass ein Anspruch aus Art. 82 Abs. 1 DS-GVO im Hinblick auf das nationale Verfahrensrecht schwerer durchsetzbar wäre als ein solcher aus § 15 Abs. 2 AGG. Sie nimmt lediglich einen Vergleich der materiellen Tatbestandsvoraussetzungen der verschiedenen Normen vor. Deren unterschiedliche Ausgestaltung wird durch den Äquivalenzgrundsatz nicht berührt. Das Landesarbeitsgericht hat vor diesem Hintergrund zu Recht ausgeführt, dass der Vortrag des Kl. bzgl. angeblich zu befürchtenden „Schindluders“ keine nachvollziehbare Begründung enthält, wo die Bekl. doch in den vergangenen sechs Jahren unstreitig kein „Schindluder“ betrieben habe. Ebenfalls rechtsfehlerfrei ist die Auffassung des Landesarbeitsgerichts, wonach behauptete Emotionen wie Ärger oder Frust („genervt sein“), keinen immateriellen Schaden darstellen. Es handelt sich hierbei nur um pauschal gehaltene Unmutsbekundungen. Entgegen der Auffassung der Revision bedarf es keines Vorabentscheidungsersuchens nach Art. 267 AEUV zu der Frage, ob die Nichterfüllung des Auskunftsanspruchs aus Art. 15 iVm. Art. 12 Abs. 3 DS-GVO ohne Weiteres einen immateriellen Schaden darstellt. Die Rechtslage ist aus den genannten Gründen durch den Gerichtshof geklärt. Aus demselben Grund muss auch die Antwort des Gerichtshofs auf die achte Vorlagefrage des Amtsgerichts Arnsberg im Verfahren – C-526/24 – vor dem Gerichtshof nicht abgewartet werden.
Landesarbeitsgericht
NEU LAG Düsseldorf Beschl. v. 29.6.2025 – 3 Ta 60/25	0 EUR Bei unterstellter Zuständigkeit der staatlichen Gerichtsbarkeit ist innerhalb derselben die Arbeitsgerichtsbarkeit für die Auskunfts- und Schadensersatzklage nach Art. 15 und 82 Abs. 1 DS-GVO des Kl. als ehemaligen Bewerbers um eine arbeitsvertragliche Anstellung bei der Bekl. zuständig. Das folgt, wie insoweit auch das Arbeitsgericht bereits völlig zutreffend erkannt und ausgeführt hat, aus § 2 Abs. 1 Nr. 3 lit. c ArbGG. Richtet sich das Auskunfts- und Schadensersatzbegehren wie hier gegen einen potenziellen Arbeitgeber wegen iRe Bewerbungsverfahrens um eine Anstellung als Arbeitnehmer erfolgter Datenverarbeitung, liegt eine bürgerliche Rechtsstreitigkeit vor. Diese resultiert aus Verhandlungen über die Eingehung eines Arbeitsverhältnisses und Streitparteien sind mit dem Bewerber und dem die Stelle ausschreibenden, seinerzeit potenziellen Arbeitgeber dann auch Arbeitnehmer und Arbeitgeber iSd § 2 Abs. 1 Nr. 3 lit. c ArbGG. Denn diese zuständigkeitsbegründende Norm ist wie alle in § 2 ArbGG aufgeführten, zuständigkeitsbegründenden Tatbestände in dem Sinne weit auszulegen, dass alle ein Arbeitsverhältnis betreffenden Streitigkeiten – von der Phase der Bewerbung und den hieraus resultierenden vertragsähnlichen oder gesetzlichen Ansprüchen bis zu den nachvertraglichen Ansprüchen – der Fachgerichtsbarkeit der Arbeitsgerichte zugewiesen werden sollen. Erfasst werden mit § 2 Abs. 1 Nr. 3 lit. c ArbGG sämtliche Streitigkeiten im Zusammenhang mit einem Bewerbungsverfahren um eine arbeitsvertragliche Anstellung, unabhängig davon, ob das Bewerbungsverfahren erfolgreich oder ohne Erfolg verlaufen ist. Mithin ist auch der erfolglose Bewerber „Arbeitnehmer“ iSd Zuständigkeitsnorm des § 2 Abs. 1 Nr. 3 lit. c ArbGG und der nur zeitweise potenzielle Arbeitgeber ist gleichfalls ein solcher im Sinne dieser Norm. Anerkannt ist dementsprechend u. a., dass Schadensersatzklagen erfolgloser Bewerber nach § 15 AGG Streitigkeiten nach § 2 Abs. 1 Nr. 3 lit. c ArbGG betreffen. Gleiches gilt für Herausgabeklagen bzgl. eingereichter Bewerbungsunterlagen und solche auf Auskunftserteilung über Testergebnisse. Nichts anderes hat dann aber konsequenterweise auch für Auskunftsklagen nach Art. 15 DS-GVO und Schadensersatzklagen nach Art. 82 Abs. 1 DS-GVO eines erfolglosen Bewerbers um eine Anstellung in einem Arbeitsverhältnis im Zusammenhang mit den im Rahmen seines Bewerbungsverfahrens erhobenen und verarbeiteten Daten zu gelten.
NEU LAG Düsseldorf Urt. v. 17.6.2025 – 9 SLa 658/24	0 EUR Der Kl. hat schließlich gegenüber der Bekl. keinen Anspruch auf Zahlung einer Entschädigung von mind. 2.000 EUR oder in anderer Höhe. Der Kl. kann von der Bekl. keinen Schadensersatz nach Art. 82 Abs. 1 DS-GVO fordern. Dabei kann dahingestellt bleiben, ob hier eine Verletzung von Art. 15 DS-GVO iVm Art. 12 Abs. 3 DS-GVO vorliegt. Gleiches gilt für die Frage, ob dies einen Verstoß iSv. Art. 82 Abs. 1 DS-GVO darstellen würde. Der Kl. hat schon keinen Schaden dargelegt. Das Vorliegen eines „Schadens“ ist eine der drei Voraussetzungen für den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadenersatzanspruch, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem erlittenen Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Der Kl. hat keinen Schaden iSv. Art. 82 Abs. 1 DS-GVO zur Überzeugung der Berufungskammer dargelegt. Ein solcher Schaden ist nicht in Form eines Kontrollverlusts eingetreten. Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen und damit einen Schadenersatzanspruch begründen, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Ein Kontrollverlust in Form eines Datenverlusts oder Datenmissbrauchs liegt aber auch nach Darstellung des Kl. gar nicht vor. Der Kl. hat weder einen „gesetzwidrigen Datenabfluss“ noch eine „unzulässige Datenspeicherung“ behauptet. Er hat eine Auskunft erhalten, daraufhin seinen gerichtlich geltend gemachten Auskunftsanspruch für erledigt erkläre und auch nicht konkret behauptet, diese sei falsch gewesen oder habe „Schindluder“ befürchten lassen. Jedenfalls legt er nicht dar, was an der erteilten Auskunft fehlerhaft sein soll. Sein allgemeiner Eindruck, die Bekl. zeige sich querulatorisch, begründet noch nicht, dass es tatsächlich zu einem Datenverlust oder -missbrauch gekommen sei. Der Vortrag des Kl. reicht nicht aus, einen Kontrollverlust hier anzunehmen. Ein solcher Kontrollverlust ist offenkundig hier gar nicht eingetreten, es fehlt jedenfalls an einem konkreten Vortrag des Kl. dazu. Notwendig wäre gewesen, dass der Kl. den Nachweis führt, dass tatsächlich ein Schaden zB durch Datenverlust und/oder Datenmissbrauch eingetreten wäre. Hier gibt es keine konkreten Anhaltspunkte dafür. Der Kl. ist vielmehr der Auffassung, allein eine verspätete Auskunftserteilung bewirke einen Kontrollverlust, der ohne weitere Voraussetzung einen Schaden iSv Art. 82 Abs. 1 DS-GVO darstelle. Dies ist aber unzutreffend. Zwar kann ein Kontrollverlust auch dann gegeben sein, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sein sollte, denn es kann eine entsprechende Gefahr bestanden haben. Die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen. Unter einem Kontrollverlust versteht der EuGH (im Folgenden Gerichtshof) daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt. Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Je gravierender die Folgen eines Verstoßes gegen die DS-GVO sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen. Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft. Entgegen der Auffassung des Kl. ist es dabei ohne Belang, dass Art. 12 Abs. 3 S. 1 DS-GVO die unverzügliche Erteilung der Informationen als Regelfall vorsieht und den Zeitraum der Ungewissheit damit auf ein Minimum verkürzt. Eine ungerechtfertigte Verzögerung lässt dessen ungeachtet ohne weitere Anhaltspunkte nicht auf einen Datenmissbrauch schließen. Die vom Kl. hier geschilderte Gefühlslage begründet danach keinen Schaden im Zusammenhang mit einem Kontrollverlust. Der Kl. hat keine konkreten Befürchtungen einer missbräuchlichen Verwendung seiner Daten dargelegt. Es ist auch nicht ersichtlich, was dafürsprechen könnte, dass die Bekl. Daten des Kl. veröffentlicht oder mit anderen Parteien geteilt hätte. Dafür spricht insb. auch nicht, dass der Kl. schon mehrere ähnliche Verfahren und mehrere Klagen auf Entschädigung nach dem AGG gegen verschiedene Arbeitgeber geführt hat und über einen Wikipedia-Eintrag hinsichtlich dieser Tätigkeit und den daraus sich ergebenden Folgen existiert. Dem Kl. ist es nicht gelungen, die Berufungskammer davon zu überzeugen, allein diese Tatsache mache es wahrscheinlicher, dass die Bekl. mit seinen Daten nicht ordnungsgemäß umgegangen ist. Vielmehr spricht anhand der konkreten tatsächlichen Geschehnisse nichts dafür, dass die Gefühlslage des Kl. aus objektiver Sicht als begründet angesehen werden kann. Vielmehr entsteht insb. aufgrund des erst spät geltend gemachten und spät in das Verfahren, das ursprünglich auf Entschädigung nach dem AGG gerichtet war, eingeführten Anspruch der Eindruck, dass der Kl. sich negativer Gefühle insb. berühmt, um einen Anspruch gegenüber der Bekl. Auch der vom Kl. angenommene Rückschluss „wer gegen Art. 15 DS-GVO verstößt, der gibt auch unberechtigt Daten weiter“ dürfte wohl kaum gerechtfertigt sein. Die Berufungskammer vermag dem jedenfalls nicht zu folgen. Hier gibt es keinen Anhaltspunkt dafür, dass der Schaden auf Seiten des Kl. – wenn überhaupt – über bloße negative Gefühle hinausgeht. Ein Entschädigungsanspruch folgt aber auch nicht allein aus negativen Gefühlen, die der Kl. verspürt haben mag. Ein immaterieller Schaden kann zwar auch allein in negativen Gefühlen bestehen. Dies betrifft Konstellationen, in denen der bloße Verstoß gegen die DS-GVO zu der Befürchtung eines Datenmissbrauchs führt. Da solche Gefühle für sich genommen aber nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die DS-GVO iSv Art. 82 Abs. 1 DS-GVO nach richterlicher Beweiswürdigung iSv § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO. Wäre aber schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DS-GVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem dargestellten Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DS-GVO, das strikt zwischen Verstoß und Schaden unterscheidet, ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt. Allein behauptete Emotionen wie Ärger oder Frust („genervt sein“), können jedenfalls keinen immateriellen Schaden darstellen (so ausdrücklich BAG v. 20.2.2025 – 8 AZR 61/24 – aaO, Rn. 26). Dabei handelt es sich um bloß pauschal gehaltene Unmutsbekundungen. Auch besondere Spannungen mit dem Gegner reichen nicht, um einen immateriellen Schaden zu begründen. Besteht der behauptete Schaden in nicht beweisbaren negativen Gefühlen, muss das Gericht die Gesamtsituation beurteilen, wobei sich das Beweismaß mindert, wenn der Verstoß feststeht. Das Auslösen von Befürchtungen durch eine rechtswidrige Handlung reicht indes nicht für einen Schaden, vielmehr muss ein weiterer Umstand hinzutreten, der wenigstens auf einen Datenmissbrauch schließen lässt, zB ein Datendiebstahl. Auch nach diesen Grundsätzen vermag die Berufungskammer aus dem Vortrag des Kl. keinen Schaden abzuleiten. Der Vortrag des Kl. bzgl. angeblich zu befürchtender falscher Datenerhebung und -verarbeitung durch die Bekl. enthält nach diesen Grundsätzen und bei Bewertung der Gesamtsituation durch die Berufungskammer keine nachvollziehbare Begründung, nach der davon auszugehen ist, die Bekl. habe die Befürchtung gesetzt, sie könne Daten des Kl. falsch erhoben haben oder falsch verarbeiten. Wenn der Kl. auf die von ihm erlangte mediale Aufmerksamkeit abstellt, ist der Berufungskammer nicht ersichtlich, warum die Bekl. ein Interesse haben sollte, Daten des Kl. falsch zu verarbeiten oder zu erheben. Insb. folgt daraus nicht, dass eine Verbreitung seiner Daten wahrscheinlicher wäre. Es ist vielmehr zunächst davon auszugehen, dass eine Rechtsanwaltskanzlei sich an die DS-GVO halten wird. Allein, dass eine Auskunft verspätet erteilt wird, spricht nicht dafür, dass es auch zu einem materiellen Datenverstoß kommen werde. Die Eindrücke des Kl. zum Berufsfeld der Juristen inklusive deren Gesinnung mag die Berufungskammer nicht kommentieren. Schon das ArbG hat aber darauf hingewiesen, dass es Sache des Kl. gewesen wäre abgrenzend darzulegen, wie sich seine Befürchtungen durch die die durch die Bekl. erfolgte Datenverarbeitung iSe weitergehenden Schadens verstärken hätten können. Hierzu verhält sich der Vortrag des Kl. auch in der Berufung nicht. Es bleibt gänzlich unklar, was die Bekl. mit dem vom Kl. angenommenen allgemeinen Interesse an seiner Person zu tun haben soll. Weiter bleibt unklar, wo konkret eine Gefahr bestehen soll, dass die Bekl. sich an einem Austausch über den Kl. beteiligen sollte. Insb. fehlt aber jeder Anhaltspunkt dafür, dass eine Kausalität zwischen einem Verstoß gegen die DS-GVO und dem behaupteten Schaden bestehen könnte. Erneut weist die Berufungskammer darauf hin, dass sie der Annahme des Kl., „wer verspätet beauskunftet, gibt auch Daten weiter“ nicht zu folgen vermag. Insb. ist auch nicht ersichtlich, dass falsche Daten des Kl. von einem eventuellen Austausch betroffen sein könnten. Die Argumentation des Kl. würde auch dazu führen, dass jede verspätete Auskunft als Verstoß gegen die DS-GVO schon deshalb zu einem Schadenersatzanspruch führen würde, weil öffentlich über ihn und die von ihm oder gegen ihn geführten Verfahren gesprochen wird, völlig unabhängig von dem Gegner und dem Ablauf der Datenverarbeitung und den näheren Umständen. Dies kann aus Sicht der Berufungskammer nicht richtig sein. Schließlich vermag die Berufungskammer aus den im Berufungsverfahren ergänzend zur Schadenbegründung angeführten Aspekten keinen Schaden ableiten. Wenn der Kl. auf einen Reputationsschaden gegenüber dem Gericht verweist, ist darauf hinzuweisen, dass die Bekl. keine Falschdarstellung vorgenommen hat und offenkundig zur Begründung eines Rechtsmissbrauches den Gegenstand des Wikipedia-Eintrags in das Verfahren einführen durfte. Dazu hat schon das ArbG Stellung genommen. Auch hier gilt, dass nichts dazu vorgetragen ist, wie die Bekl. einen Reputationsschaden des Kl. verstärkt haben soll. Das Gericht ist aufgerufen und in der Lage, ohne Ansehen der Person zu urteilen, dies gilt auch für den Kl. Insoweit ist schon zweifelhaft, ob eine Partei überhaupt über eine Reputation gegenüber einem Gericht verfügt. Das Ergebnis bei Unterstellung der Auffassung des Kl. als richtig, kann auch ausgeschlossen werden. Der Bekl. wäre es verwehrt, allgemein zugängliche Informationen über den Kl. zu ihren Gunsten in ein Verfahren auf Entschädigung nach dem AGG einzubringen. Wie schnell der Kl. auf den Vortrag der Bekl. reagieren konnte, dürfte dabei auch nicht relevant sein, weil die ehrenamtlichen Richter erst am Sitzungstag über den Sachverhalt informiert wurden und die Berufsrichter im Allgemeinen die Akte im Zusammenhang vor dem Kammertermin vorbereiten und die Schriftsätze dann im Detail zur Kenntnis nehmen. Der Kl. teilt aber auch schon gar nicht mit, wie er schneller auf den Schriftsatz der Bekl. reagiert hätte, wenn diese ihn vorab über das gefundene Ergebnis oder die angestellte Recherche informiert hätte. Wenn der Kl. anführt, er müsse sich für den Sachbearbeiter der Bekl. iSe „Fremdscham“ schämen, ist der Berufungskammer schon nicht ersichtlich, was dies im Einzelnen sein soll und wie sich dies äußert, zum anderen wie dies einen Schaden darstellen soll. Zum einen fragt sich die Berufungskammer, ob der Kl. vielleicht dieses Gefühl einfach abstellen kann. Inwieweit das „Fremdschämen“ sich geäußert hat, teilt der Kl. nicht mit. Das Fremdschämen dürfte schon über bloß behauptete Emotionen wie Ärger oder Frust nicht hinausgehen. Diese können keinen immateriellen Schaden darstellen. Da es sich behauptete, um nicht beweisbare negativen Gefühle des Kl. handelt, muss das Gericht die Gesamtsituation beurteilen. Dabei erscheint der Kammer die Darstellung des Kl. so, dass er sich über die Gegenseite geärgert haben mag und nun eine Kategorie für seinen Ärger sucht und erfunden hat. Ein Schaden kann dies nicht sein. Bei der Gelegenheit erlaubt sich die Kammer anzumerken, dass sie dem Kl. wohl nicht zu nahe tritt, wenn sie formuliert, nicht jede seiner Äußerungen in seinen Schriftsätzen sei wohl abgewogen und ausreichend vorsichtig unter Berücksichtigung der Gefühle der Gegenseite formuliert. Dann wird der Kl. aber auch beim Lesen der Schriftsätze der Gegenseite Nachsicht üben müssen, ohne daraus monetäre Ansprüche abzuleiten. Schließlich fehlt aber hier insb. auch eine Kausalität zu dem Datenschutzverstoß, der Anspruch würde jedem Gegner der Bekl. zustehen, der sich für sie schämt. Soweit der Kl. eine unvergütete Erwiderungsnotwendigkeit als immateriellen Schaden angeführt hat, wird dies zum einen kein immaterieller Schaden sein, sondern ein materieller. Zum anderen geht er wohl über einen bloßen Ärger, der in einem gerichtlichen Verfahren – das iÜ hier der Kl. angestrengt hat – nicht vermeidbar ist. Soweit der Kl. eine durch den Vortrag der Bekl. zu dem gegen ihn geführten Strafverfahren eingetretene Retraumatisierung geltend macht, ist eine Kausalität zwischen Verstoß gegen die DS-GVO und einem Schaden insoweit nicht ersichtlich. Ein Verstoß der Bekl. mag in der verspäteten Auskunft und ggf. der fehlenden Vorlage von Datenkopien liegen, nicht aber in der von der Wahrnehmung berechtigter Interessen gedeckten Einführung des Wikipedia-Eintrags in das Verfahren bestehen. Die Retraumatisierung ist aber – wenn überhaupt – nur durch letzteres eingetreten. Hinzu kommt, dass der Kl. nicht konkret vorträgt, wann genau eine Traumatisierung gerade wegen Einführung dieser Tatsache in dieses Verfahren erfolgt sein soll. Der vom Kl. gestellte kurzfristige Verlegungsantrag vor dem ArbG v. 15.8.2024 und seine Begründung legen nahe, dass der Kl. an häufigeren Beeinträchtigungen auch ohne Verhalten der Bekl. leidet. Wie im Einzelnen das Verhalten der Bekl. welche Retraumatisierung verursacht haben soll, oder welchen Anteil es an dieser gehabt haben soll, teilt der Kl. schon gar nicht mit. Insb. fehlt es auch an einer ärztlichen Bestätigung für die behauptete Retraumatisierung. Derartige Auswirkungen dürfen nicht nur behauptet werden, sondern müssen etwa durch einen Arzt dokumentiert werden, wobei die Anforderungen dabei nicht nur einem beweisrechtlichen Zweck, sondern im Zweifel auch dazu dienen, vorgetäuschten Behauptungen zumindest eine gewisse Hemmschwelle vorzuschieben – auch wenn der Gang zum Arzt und die Schilderung von psychischen Einwirkungen freilich ebenfalls einem Missbrauchsrisiko unterliegen. Der Kl. äußert sich überhaupt nicht zu einer Behandlung seiner Retraumatisierung, geschweige denn legt er eine entsprechende ärztliche Bescheinigung vor. Nach alldem fehlt es an der Voraussetzung eines Schadens für den geltend gemachten Anspruch, sodass das ArbG auch diesen Antrag zu Recht abgewiesen hat und die Berufung auch insoweit unbegründet ist. Nach alldem war die Berufung insgesamt zurückzuweisen.
NEU LAG Niedersachsen Urt. v. 9.5.2025 – 14 SLa 719/24	0 EUR Einen Entschädigungsanspruch aus Art. 82 Abs. 1 DS-GVO oder aus einer anderen Anspruchsgrundlage wegen der vorübergehenden Aufführung seines Namens bzw. im Anschluss daran vorübergehend lediglich seiner Initialen auf der Magnettafel hat der Kl. nicht. Der Kl. hat bereits keinen Schaden dargelegt. Der 85. Erwägungsgrund DS-GVO zählt ausdrücklich den „Verlust der Kontrolle“ zu den Schäden, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können. Daher kann nach der Rspr. des EuGH der auch nur kurzzeitige Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Dabei kann die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DS-GVO darstellen. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen. Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nach der Rspr. EuGH sollen auch negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen können. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Dabei ist u. a. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung. Dem steht nicht entgegen, dass Art. 82 Abs. 1 DS-GVO nach der Rspr. des EuGH nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss. Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die DS-GVO iSv Art. 82 Abs. 1 DS-GVO nach richterlicher Beweiswürdigung iSv § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO. Nach den Erörterungen in der mündlichen Verhandlung steht fest, dass sich die Magnettafel in einem in erster Linie für die Mitarbeiter der kleinen Dokumentationsabteilung vorgesehenen abgeschlossenen Teil der Klinik befand. Der Kl. trägt schon nicht vor, dass seine Kollegen auf der Magnettafel von Umständen erfuhren, die ihnen nicht ohnehin bekannt waren, denn schließlich war er von ihnen jahrelang unmittelbar oder mittelbar zu vertreten. Davon unabhängig macht er zwar umfangreiche Rechtsausführungen und behauptet gar pauschal eine angeblich schwerwiegende Persönlichkeitsverletzung, legt aber nicht dar, was konkret er befürchtet, welche Folgen die Darstellung der An- und Abwesenheitszeiten und die grob durch verschiedenfarbige Magnete dargestellten Abwesenheitsgründe auf der Tafel für ihn haben könnten. Dasselbe gilt für die gelegentlich oder auch regelmäßig von ihm genannten Reinigungskräfte oder IT-Mitarbeiter oder sonstiger berechtigter Personen. Es ist nicht feststellbar, dass sich auch aus Sicht des Kl. irgendeine dieser Personen überhaupt für ihn oder seine Arbeits-, Urlaubs- oder Krankheitszeiten interessieren und/oder ihm irgendeinen Nachteil zufügen könnte. Soweit die Magnettafel etwa fünf bis sechs Meter von der gesicherten drahtvergitterten Glastür entfernt an der Wand aufgehängt war, ist schon nicht feststellbar, dass andere Klinikmitarbeiter oder gar Besucher von außen den Inhalt erfassen konnten. Die auf Nachfrage in der mündlichen Verhandlung sinngemäß getätigte Äußerung des Klägervertreters, dass es in erster Linie auf die in der Abteilung anwesenden Personen ankomme, macht dies nicht sehr wahrscheinlich. Davon unabhängig lässt der Kl. wieder völlig offen, wer sich denn überhaupt für diese 5-6 Meter entfernte Tafel mit ihren bunten Magneten und seine Person interessieren sollte und welche Folgen dies für ihn haben könnte. Davon unabhängig erscheint der Kl. mit seinem Anliegen sehr unglaubwürdig, weil die Magnettafel viele Jahre dort hing, ohne dass es ihn offenbar in irgendeiner Weise gestört hätte. Das Gericht geht insgesamt davon aus, dass es sich vorliegend um ein rein hypothetisches Risiko einer missbräuchlichen Datenverwendung handelt, das keinen Entschädigungsanspruch zu begründen vermag. Dasselbe gilt für die pauschalen Vermutungen des Kl. zu der E-Mail-Adresse bei Krankmeldungen. Davon unabhängig ist bei einer Gesamtwürdigung der hier vorliegenden Umstände unter Abwägung der beiderseitigen Interessen das Aufhängen der Magnettafel in der kleinen Abteilung aus gewichtigen arbeitsorganisatorischen Gründen erfolgt und damit jedenfalls eine rechtmäßige Datenverarbeitung iSv Art. 6 Abs. 1f DS-GVO.
NEU LAG Hessen Urt. v. 10.4.2025 – 3 SLa 623/24	0 EUR Dem Kl. steht gegen die Bekl. kein Anspruch auf Ersatz des immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO zu. Es kann dahinstehen, ob überhaupt eine Verletzung von Art. 15 DS-GVO iVm Art. 12 Abs. 3 DS-GVO vorliegt. Gleiches gilt für die Frage, ob dies einen Verstoß iSv Art. 82 Abs. 1 DSG VO darstellen würde. Denn der Kl. hat jedenfalls keinen Schaden dargelegt. Zu einem Sachverhalt, in dem es um eine verspätete Auskunftserteilung ging, hat das BAG in einer Entscheidung v. 20.2.2025 grundlegend ausgeführt. So wörtlich BAG 20.2.2025 – 8 AZR 61/24 Rn. 10 ff. Diesen Ausführungen schließt sich die erkennende Berufungskammer vollumfänglich an. Ausgehend von den dargestellten Grundsätzen steht dem Kl. schon deshalb kein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO gegen die Bekl. zu, weil er keinen Schaden iSd Vorschrift dargelegt hat. Die Voraussetzungen eines Schadensersatzanspruchs wegen Verlust der Kontrolle über seine personenbezogenen Daten ist nach dem Vorbringen des Kl. nicht erfüllt. Der Kl. beruft sich auf einen Kontrollverlust hinsichtlich seiner persönlichen Daten, die er mit der Bewerbung v. 2.7.2023 und den Bewerbungsunterlagen der Bekl. übersendet hat. Der Kontrollverlust sei durch die nicht rechtzeitige Auskunftserteilung der Bekl. nach Art. 15 DS-GVO iVm Art. 12 Abs. 3 DS-GVO und die Einschränkung seiner Betroffenenrechte entstanden. Obwohl sein erstes Auskunftsverlangen v. 5.8.2023 datiert, hat die Bekl. erst im Prozess mit Schreiben v. 20.11.2023 die begehrte Auskunft erteilt. Er meint, dass ein Schaden iSd DS-GVO auch gegeben sei, wenn er als betroffene Person im Ungewissen sei, welche personenbezogenen Daten von ihm im Einzelnen in welcher Weise verarbeitet worden seien. Bereits im Kontrollverlust und in der Einschränkung von Rechten in Gestalt eines temporären Transparenzdefizits könne ein Schaden liegen. Inhaltich macht der Kl. mit seinem Vorbringen zunächst jedenfalls keinen Kontrollverlust in Form eines Datenverlusts oder Datenmissbrauchs geltend. Auch hat er keinerlei konkrete Angaben oder Befürchtungen zu einer missbräuchlichen Verwendung seiner Daten vorgetragen. Darüber hinaus ist zwischen den Parteien unstreitig, dass lediglich eine Person bei der Bekl., nämlich Herr B, Zugriff auf die Bewerbungsunterlagen des Kl. hatte. Die tatbestandlichen Voraussetzungen eines immateriellen Schadens hat er jedenfalls nicht hinreichend dargetan. Mit seinem Vorbringen zu Kontrollverlust und Einschränkung von Rechten in Gestalt eines temporären Transparenzdefizits hat er keinen konkreten Schaden dargelegt. Ebenso wenig hat er konkrete Beeinträchtigungen seiner subjektiven Gefühlslage infolge des temporären „Kontrollverlustes“ auch nur geschildert. Allein die abstrakte Befürchtung eines Verstoßes gegen die Verpflichtungen aus der DS-GVO durch die verspätete Erfüllung des Auskunftsanspruchs genügt nicht für die Annahme eines Schadens und ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen. Dies gilt bereits deshalb, weil ein Dritter – neben Herrn B – die Bewerbungsunterlagen des Kl. unstreitig nicht gesehen hat. Soweit der Kl. sich zur Begründung seines Anspruchs auf eine Entscheidung des LAG Hessen v. 27.1.2023 – 14 Sa 359/22- beruft, ist diese Rspr. inzwischen überholt. Tatsächlich hat das LAG Hessen in der Entscheidung v. 27.1.2023 angenommen, dass allein die Tatsache, dass ein Arbeitgeber dem Auskunftsverlangen nach Art. 15 Abs. 1 DS-GVO nicht innerhalb der Frist des Art. 12 Abs. 3 DS-GVO nachkommt, einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründe, ohne dass es darauf ankomme, ob ein „konkreter“ Schaden nachgewiesen sei. Dabei hat sich das LAG Hessen auf einen Vorlagebeschluss des BAG v. 26.8.2021 – 8 AZR 209/21 (A) bezogen. Über dieses Vorabentscheidungsversuchen hat der EuGH mit Urt. v. 21.12.2023 zwischenzeitlich entschieden und unter Rn. 82 die Rechtsgrundsätze aus seiner Entscheidung Österreichische Post v. 4.5.2023 – C-300/21 bestätigt. Es hat ausgeführt, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Entsprechend wird in zahlreichen nachfolgenden Entscheidungen stets betont wird, dass Voraussetzung für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO das Vorliegen eines Verstoßes, eines Schadens und eines Kausalzusammenhangs zwischen Schaden und Verstoß. Damit bedarf es keiner weiteren Ausführungen zur früheren Rspr. des LAG Hessen v. 27.1.2023 – 14 Sa 359/22. Mangels bestehenden Anspruchs des Kl. kann dahinstehen, ob dessen Geltendmachung -wie die Bekl. meint, rechtsmissbräuchlich sei. Eine gesetzlich begründete Veranlassung zur Zulassung der Revision nach § 72 Abs. 2 ArbGG ist angesichts der vorliegenden Einzelfallentscheidung nicht ersichtlich. Entgegen der Ansicht des Kl. bedarf es weder der Zulassung der Revision noch eines Vorabentscheidungsverfahrens an den EuGH zur Frage, ob die verspätete Erfüllung des Auskunftsanspruchs aus Art. 15 DS-GVO iVm. Art. 12 Abs. 3 DS-GVO ohne Weiteres einen immateriellen Schaden darstellt. Die Rechtslage ist insoweit nunmehr durch den Gerichtshof und nachfolgend das BAG geklärt.
LAG Köln Urt. v. 19.2.2025 – 4 SLa 367/24	0 EUR Denn der Kl. hat keinen Anspruch auf Zahlung eines Schadensersatzes aus Art. 82 Abs. 1 DS- Hierbei kann, wie es das Arbeitsgericht richtig angenommen hat, dahinstehen, ob eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 und Abs. 3 DS-GVO überhaupt einen Anspruch aus Art. 82 Abs. 1 DS-GVO zu begründen vermag und ob die Bekl. ihre Pflichten aus Art. 15 DS-GVO verletzt hat, als sie die Anfrage des Kl. erst nach zwei Wochen beantwortet hat und die Namen der als Dienstleister tätig gewordenen Datenempfänger erst auf Nachfrage des Kl. am 5.12.2023 mitteilte. Denn auch wenn man zugunsten des Kl. eine Pflichtverletzung der Bekl. unterstellt, fehlt es an der für die Geltendmachung eines Schadensersatzanspruchs notwendigen Darlegung eines Schadens iSv Art. 82 Abs. 1 DS-GVO. Aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO geht klar hervor, dass das Vorliegen eines „Schadens „ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Hinsichtlich der Darlegungs- und Beweislast hat der EuGH klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Da der 85. Erwägungsgrund der DS-GVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden „ iSv. Art. 82 Abs. 1 DS-GVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Dabei kann die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden „ iSv. Art. 82 Abs. 1 DS-GVO darstellen. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen. Zusätzlich können nach der Rspr. des EuGH negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, wie dargestellt, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Der Kl. macht geltend, er sei durch die unvollständige Auskunft der Bekl. seit dem 16.8.2024 bis zum 5.12.2024 in Unkenntnis der Namen der Dienstleister gewesen, die seine Daten für die Bekl. verarbeitet haben. Hierdurch habe er einen Kontrollverlust erlitten. Dem ist nicht zu folgen. Nicht jede verspätete Auskunft gem. Art. 15 DS-GVO führt zu einem Kontrollverlust iSd Erwägungsgrunds 85 S. 1 DS-GVO, den der EuGH als Schaden iSd Art. 82 Abs. 1 DS-GVO ansieht. Entgegen der Auffassung des Kl. kann ein Schaden nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DS-GVO – so ein Verstoß dagegen einen Anspruch nach Art. 82 Abs. 1 DS-GVO dem Grunde nach begründen könnte – trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DS-GVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DS-GVO zu ermöglichen. Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DS-GVO zwingend einher. Er ist daher nicht geeignet, einen von der bloßen Verletzung des Art. 15 Abs. 1 DS-GVO unterscheidbaren Schaden zu begründen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DS-GVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt. Soweit der Kl. im Hinblick auf einen Verlust der Kontrolle vorträgt, ihm sei die Prüfung verwehrt, ob und wie die Bekl. oder ihre Dienstleister seine personenbezogenen Daten verarbeite, legt er lediglich ein hypothetisches Risiko einer missbräuchlichen Verwendung dar. Ein objektiv erhöhtes Missbrauchsrisiko in Bezug auf die von dem Auskunftsanspruch betroffenen personenbezogenen Daten zeigt der Kl. gerade nicht auf. Anders als bei einem Datenleck verschlechtert sich durch die unterbliebene Auskunft die Sicherheit der Daten nicht unmittelbar. Es hätte in der vorliegenden Fallgestaltung ergänzender Darlegungen des Kl. bedurft, aus welchen Gründen ein mehr als nur hypothetisches Risiko einer missbräuchlichen Verwendung seiner personenbezogenen Daten bestehen soll. Hier zeigt sich auch der entscheidende Unterschied zu der Rspr. des EuGH, die der Kl. als Beleg für seine Auffassung des Kontrollverlusts als Schaden iRd Auskunft nach Art. 15 DS-GVO heranzieht. In den von dem Gerichtshof zu entscheidendem Fällen wurden personenbezogene Daten der Anspruchsteller jeweils veröffentlicht, dh unbefugten Dritten zugänglich gemacht. Für diese Fälle bejaht der EuGH die Möglichkeit eines Kontrollverlustes als Schaden. Dies ist nachvollziehbar, da durch die unbefugte Veröffentlichung personenbezogener Daten eine nicht bekannte Anzahl von Personen Zugriff auf diese Daten nehmen und diese verarbeiten können, ohne dass es dem Betroffenen aufgrund seiner Unkenntnis der auf seine Daten zugreifenden Personen möglich ist, diese Datenverarbeitung zu kontrollieren oder gar zu unterbinden. In Fällen der Veröffentlichung/Weitergabe an unbefugte Dritte besteht mithin ein objektiv erhöhtes Missbrauchsrisiko und es tritt unmittelbar eine Verschlechterung der Datensicherheit ein. Bei der reinen Verletzung des Auskunftsanspruchs liegt ohne weitere Darlegung hingegen kein erhöhtes und damit zu einem Kontrollverlust als Schaden iSd Art. 82 Abs. 1 DS-GVO führendes Risiko vor. Mit dem von dem Kl. behaupteten emotionalen Ungemach hat er keinen konkreten Schaden dargelegt. Auch dann, wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten. Soweit sich aus dem Vortrag des Kl. – andeutungsweise – negative Gefühle in Form einer Befürchtung der missbräuchlichen Datenverwendung ergeben, können diese unter den gegebenen Umständen nicht als begründet angesehen werden. Das bloße Berufen auf Befürchtungen dieser Art reicht nicht aus. Um zu prüfen, ob das Gefühl als begründet angesehen werden kann, ist ein objektiver Maßstab anzulegen. Dabei ist insb. das objektive Risiko eines Missbrauchs in den Blick zu nehmen, zu dem es vorliegend an ausreichenden Darlegungen fehlt. Das Gleiche gilt im Hinblick auf das Genervtsein des Kl. von der fehlenden Einsicht der Bekl. in Bezug auf seinen Schadensersatzanspruch und dem Aufwand für das Betreiben des vorliegenden Gerichtsverfahrens. Zudem dürfte dieses Gefühl einem Schadensersatzverfahren gem. Art. 82 Abs. 1 DS-GVO immanent sein. Wäre das Berufen auf ein Genervtsein, weil der Anspruchsgegner den Anspruch nicht anerkennt, für die Darlegung eines Schadens ausreichend, würde damit die eigenständige Voraussetzung des Schadens wiederum bedeutungslos. Sie wäre stets erfüllt. Dies ist abzulehnen.
LAG Hamburg Urt. v. 15.1.2025 – 2 Sa 21/23	0 EUR Der Kl. hat keinen Anspruch gegen die Bekl. auf Ersatz eines immateriellen Schadens gern. Art. 82 Abs. 1 DS-GVO wegen der zunächst unvollständigen und dann mit Schreiben der Bekl. vom 8.9.2023 um zwei Monate verspätet erteilten Auskunft nebst Datenkopie. Es kann offen bleiben, ob ein solcher Anspruch des Kl. bereits deshalb ausscheidet, weil es bei einer – wie hier erfolgten – unvollständigen und verspäteten Datenauskunft nach Art. 12 Abs. 3, 15 DS-GVO an einer Datenverarbeitung iSd Art. 4 Abs. 2 DS-GVO fehlt, die Voraussetzung für den Anspruch auf Ersatz eines immateriellen Schadens gem. Art. 82 As. 1 DS-GVO ist. Denn jedenfalls hat der Kl. einen immateriellen Schaden aufgrund der zunächst unvollständigen und dann verspäteten Auskunfterteilung nicht dargelegt. Schon aus diesem Grund scheidet ein Zahlungsanspruch gem. § 82 Abs. 1 aus. Aus dem Wortlaut des Art. 82 Abs. 1 DS-GVO geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Der Schadenersatzanspruch hat, insb. im Fall eines immateriellen Schadens, eine Ausgleichsfunktion, da eine auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion. Der Schaden muss keinen bestimmten Grad an Erheblichkeit erreicht haben. Hinsichtlich der Darlegungs- und Beweislast hat der EuGH klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Da der 85. Erwägungsgrund der DS-GVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung des Schutzes personenbezogener Daten verursacht werden können, hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DS-GVO darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Dabei kann die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DS-GVO darstellen. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen. Das angerufene nationale Gericht muss vielmehr prüfen, ob die Befürchtung der missbräuchlichen Datenverwendung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Nach der Rspr. des EuGH können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung. Dem steht nicht entgegen, dass Art. 82 Abs. 1 DS-GVO nach der Rspr. des EuGH nicht verlangt, dass ein erlittener Nachteil spürbar oder eine Beeinträchtigung objektiv sein muss. Damit hat der Gerichtshof nur klargestellt, dass es keine „Bagatellgrenze“ gibt. Der objektive Maßstab bzgl. des Vorliegens eines Schadens als solchen ist hiervon zu unterscheiden. Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen. Steht ein Verstoß gegen die DS-GVO iSv. Art. 82 Abs. 1 DS-GVO nach richterlicher Beweiswürdigung iSv. § 286 Abs. 1 ZPO zum Nachteil der Klagepartei als geschützter Person fest, mindert sich das Beweismaß bzgl. der Entstehung und der Höhe des Schadens nach § 287 Abs. 1 ZPO. Ausgehend von diesen Grundsätzen hat der Kl. keinen Schaden iSd Art. 82 Abs. 1 DS-GVO dargelegt. Erfolglos macht der Kl. geltend, der Schaden ergebe sich aufgrund des „temporären Kontrollverlusts“, den er wegen der unvollständigen / verspäteten Auskunft der Bekl. erlitten habe. Er rügt insoweit, er sei deshalb nicht in der Lage gewesen, seine Daten zu kontrollieren, womit er wohl eine allgemeine Besorgnis des Datenmissbrauchs zum Ausdruck bringen will. Ebenso wenig habe er wegen der nicht erteilten Auskunft weitergehende Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch sinnvoll prüfen können. Er meint, der mit der verspäteten Auskunft verbundene Kontrollverlust und die dadurch verursachte Einschränkung in der Wahrnehmung seiner Rechte nach der DS-GVO stellten „beispielhafte Regelschäden“ dar. Der Kl. verweist zur Begründung seiner Sichtweise zuletzt auf die Ausführungen in einer jüngsten Entscheidung des BGH zum bloßen und kurzzeitigen Kontrollverlust als immateriellem Schaden. Der Sichtweise des Kl. ist nicht zu folgen. Ein immaterieller Schaden kann nicht allein mit der Begründung angenommen werden, durch eine Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 trete ein Kontrollverlust ein, weil die Überprüfung verhindert werde, ob personenbezogene Daten rechtmäßig verarbeitet werden. Dies hat auch bereits das Arbeitsgericht richtig erkannt. Zwar dient der Auskunftsanspruch des Art. 15 Abs. 1 DS-GVO dem Zweck, Betroffenen die Ausübung der Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch gegen die Verarbeitung nach Art. 16 bis 18 und Art. 21 DS-GVO zu ermöglichen. Ein derartiger Kontrollverlust geht jedoch mit jeder Verletzung des Auskunftsanspruchs aus Art. 15 Abs. 1 DS-GVO zwingend einher. Gleiches gilt für die mit jeder Nichterfüllung des Auskunftsanspruchs zwangsläufig verbundene Sorge eines Verstoßes gegen sonstige Verpflichtungen nach der DS-GVO. Wäre das Berufen auf solche Befürchtungen für die Annahme eines Schadens bereits ausreichend, würde jeder Verstoß gegen Art. 15 DS-GVO praktisch in jedem Fall zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos. Sie wäre stets erfüllt. Dies ist jedoch mit dem Normverständnis des Gerichtshofs von Art. 82 Abs. 1 DS-GVO ebenso wenig zu vereinbaren wie mit den Anforderungen des nationalen Prozessrechts, das die substantiierte Darlegung eines Schadens verlangt. Diese Umstände sind daher nicht geeignet einen von der bloßen Verletzung des Art. 15 Abs. 1 DS-GVO unterscheidbaren Schaden zu begründen. Ebenso wenig genügen die sonstigen Ausführungen des Kl. zur Darlegung eines immateriellen Schadens, wenn er auf „emotionales Ungemach“ und „Genervt sein“ verweist. Hierbei handelt es sich, wie bereits das Arbeitsgericht zutreffend erkannt hat, um bloße Schlagworte ohne inhaltliche Substanz. IÜ fehlt es insoweit auch in der Berufung weiterhin an einem Beweisantritt des Kl. Wenn der Kl. in diesem Zusammenhang das „Genervt sein“ – als immateriellem Schaden – damit begründen will, dass ihn „der ganze Sachverhalt nervt“, da er sich „monatelang mit diesem Rechtsverstoß der Berufungsbeklagten auseinandersetzen muss und Zeit und Mühe investieren muss, nur um seine Rechte als betroffene Person durchzusetzen“ und er dabei auf das vorliegende Verfahren verweist, verhilft dies hier ebenfalls nicht zur Darlegung eines immateriellen Schadens. Der Kl. hatte selbst der Bekl. im Rahmen seiner Bewerbung seine persönlichen Daten zur Verfügung gestellt, diese waren ihm bekannt. Er hat nach Erhalt der Absage von der Bekl. mit E-Mail vom 9. Juni 2023 die Auskunft und Datenkopie gern. Art. 15 DS-GVO verlangt und hierzu ausgeführt, er wolle sich einen Überblick über die Ablehnungsgründe und die Verarbeitung seiner Daten verschaffen. Die Bekl. reagierte hierauf zeitnah mit E-Mail vom 14. Juni 2023 und teilte dem Kl. die genauen Gründe für die Absage mit, informierte ihn über die vorgesehene Dauer der Datenspeicherung (zwei Jahre) und die Gründe dafür – dass nämlich im Falle der Bewerbung auf weitere Stellen bei der Bekl. nicht immer ein neues „Bewerberkonto“ erstellt werden muss. Der Kl. wurde auch darauf hingewiesen, dass er während der Erstellung seines Bewerberkontos – was unstreitig ist – in die Datenverarbeitung eingewilligt hatte. Die Bekl. verwies zudem für „alle wichtigen Informationen zur Speicherung ihrer Daten“ auf einen weiteren Link. Sie bot dem Kl. in ihrer E-Mail ausdrücklich an, sein Bewerberkonto „unverzüglich deaktivieren und löschen“ zu lassen, wenn er dies wünsche. Die Bekl. hat durch die Ausführungen in der E-Mail vom 14. Juni 2023 deutlich zu erkennen gegeben, dass sie nicht etwa die berechtigten Interessen des Kl. an der Auskunft über die Verwendung und Speicherung der ihr iRd Bewerbung zur Verfügung gestellten Daten des Kl. grds. negiert oder nicht ernst nimmt. Sie hat in diesem Schreiben auch nicht dem Kl. gegenüber zum Ausdruck gebracht, dass sie bewusst die Erfüllung des Auskunftsanspruchs verweigert. Sie ist lediglich dem Auskunftsanspruch nicht vollständig nachgekommen, was sie später durch ergänzende Mitteilung und Überlassung der Datenkopie nachgeholt hat (zwei Monate nach Ablauf der Frist). Angesichts der freundlichen Ansprache in der E-Mail vom 14. Juni 2023 hätte es hier durchaus nahegelegen, die Bekl. darauf hinzuweisen, dass die Auskunft unvollständig ist und die Datenkopie fehlt. Ebenso gut konnte der Kl. sich natürlich – wie er es hier getan hat – dafür entscheiden, kommentarlos den Ablauf der einmonatigen Frist abzuwarten und dann mit Schriftsatz vom 17. Juli 2024 Klage auf Auskunft, Erteilung einer Kopie und Geldentschädigung zu erheben. Das Führen dieses Rechtsstreits, etwaige Belastungen die damit verbunden sind und ein sich daraus ergebendes „Genervt sein“ oder „emotionales Ungemach“ sind aber – entgegen der Sichtweise des Kl. – nicht geeignet, einen ersatzpflichtigen immateriellen Schaden iSd. Art. 82 Abs. 1 DS-GVO zu begründen. Denn das Vorgehen im Klagewege ermöglicht dem Kl. ja gerade die Durchsetzung seiner Rechte nach der DS-GVO gegenüber der Bekl.. Es kann damit nicht zugleich schadensbegründend sein, ebenso wenig etwaige persönlichen Beeinträchtigungen („Genervt sein“), die sich gerade aus dem Führen des Rechtsstreits ergeben. Entsprechend hat es das BAG in seiner Entscheidung vom 20. Juni 2024 – 8 AZR 142/23 – zur Darlegung eines immateriellen Schadens nicht ausreichen lassen, dass der Auskunftsverpflichtete die Erteilung der Auskunft sogar vorsätzlich verweigert hatte und die dortige Kl. ausdrücklich auf den Rechtsweg verwiesen hatte, anders als es hier der Fall war, wie oben ausgeführt. Selbst besondere Spannungen mit dem Auskunftsverpflichteten – die hier im Falle des Kl. zudem gar nicht ersichtlich sind – genügen danach nicht, um einen immateriellen Schaden zu belegen, da es bei der grundsätzlichen Ungewissheit verbleibt. Eine Straffunktion kommt dem Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO – wie oben bereits ausgeführt – nicht zu.
Arbeitsgerichte
NEU ArbG Düsseldorf Urt. v. 17.4.2025 – 12 Ca 6307/24	1.000 EUR Die Klage ist zulässig, aber mit dem zuletzt noch gestellten Antrag nur teilweise begründet. Dem Kl. steht dem Grunde nach ein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO zu, der Höhe nach aber begrenzt auf den austitulierten Betrag. Die Klage ist dem Grunde nach vollständig, jedoch bezogen auf die Höhe der geltend gemachten Forderung nur teilweise begründet. Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz iHv 1.000 EUR aus Art. 82 Abs.1 DS-GVO. Die weitergehende Klage ist unbegründet. Nach der Rspr. des EuGH ergibt sich aus Art. 82 Abs. 1 DS-GVO, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß. Folglich sind diese drei Voraussetzungen kumulativ sowie erforderlich und ausreichend für einen Schadenersatzanspruch iSd Art. 82 Abs. 1 DS-GVO. Des Weiteren hat der EuGH entschieden, dass Art. 82 Abs. 1 DS-GVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines „immateriellen Schadens“ iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Daher kann nicht angenommen werden, dass über diese drei o. g. Voraussetzungen hinaus für die Haftung nach Art. 82 Abs. 1 DS-GVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Die Voraussetzungen für einen Schadensersatzanspruch aus Art. 82 DS-GVO sind dem Grunde nach im vorliegenden Fall erfüllt, denn die Bekl. hat gegen die DS-GVO verstoßen, dem Kl. ist ein immaterieller Schaden entstanden und es besteht ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Die Bekl. hat gegen die DS-GVO verstoßen, indem sie dem Kl. die geforderte Auskunft nach Art. 15 Abs. 1 DS-GVO nicht fristgerecht, vollständig und zutreffend erteilt hat. Ein Verstoß gegen die Pflichten aus Art. 15 DS-GVO kann dem Grunde nach einen Anspruch auf Ersatz der materiellen und immateriellen Schäden nach Art. 82 Abs. 1 DS-GVO begründen. Da die DS-GVO in Bezug auf den Sinn und die Tragweite der in dieser Bestimmung enthaltenen Begriffe, insb. in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadensersatz“, nicht auf das Recht der Mitgliedstaaten verweist, sind diese Begriffe für die Anwendung dieser Verordnung als autonome Begriffe des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen sind. Zu diesem Zweck ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, muss das angerufene nationale Gericht daher prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Der Kl. hat durch den oben dargestellten Verstoß der Bekl. gegen die DS-GVO einen immateriellen Schaden erlitten. Der EuGH hat bereits entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der DS-GVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen kann. Insb. geht aus der im ersten Satz des 85. Erwägungsgrundes DS-GVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Außerdem wäre eine Auslegung von Art. 82 Abs. 1 DS-GVO dahin, dass der Begriff „immaterieller Schaden“ iSd Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit dieser Verordnung bezweckt wird. Ebenso wenig kann dieser Begriff allein auf Schäden mit einer gewissen Erheblichkeit beschränkt werden, insb. was die Dauer betrifft, während der die betroffenen Personen den nachteiligen Folgen des Verstoßes gegen diese Verordnung ausgesetzt waren. Somit kann nicht angenommen werden, dass über die drei Voraussetzungen Verstoß gegen die DS-GVO, Schaden und Kausalzusammenhangs zwischen dem Schaden und dem Verstoß hinaus für die Haftung nach Art. 82 Abs. 1 DS-GVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Nach alledem ist Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DS-GVO darstellen. Nach der Rspr. des EuGH können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Dabei ist u. a. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung. Unter Zugrundelegung der vorstehenden Grundsätze ist die erkennende Kammer zu der Ansicht gelangt, dass dem Kl. durch den Verstoß der Bekl. gegen die DS-GVO in Gestalt der Nichterteilung der Auskunft nach Art. 15 Abs. 1 DS-GVO ein Schaden in Form des Kontrollverlusts entstanden ist. Aufgrund der allgemein gehaltenen Auskunft der Bekl. hat der Kl. jedenfalls nach seiner vergeblichen Nachfrage ausreichend Grund für die Befürchtung, seine personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden. Der Verstoß der Bekl. gegen die Rechte des Kl. aus der DS-GVO ist für den vorstehend beschriebenen immateriellen Schaden des Kl. kausal. Hätte die Bekl. auf das Auskunftsersuchen des Kl. pflichtgemäß reagiert, wäre er nicht im Ungewissen über den Umgang mit seinen personenbezogenen Daten geblieben. Er hätte keine Befürchtungen im Hinblick auf eine missbräuchliche Verwendung haben müssen. Der Höhe nach erscheint aus Sicht der erkennenden Kammer ein Schadensersatz iHv 1.000 EUR angemessen. In Höhe des darüberhinausgehenden Betrags war die Klage abzuweisen. Der Kl. hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Auf dieser Grundlage war über die Höhe des Schadens unter Würdigung aller Umstände nach freier Überzeugung des Gerichts zu entscheiden. Bei der Bemessung der Höhe eines Schadenersatzanspruchs nach § 287 Abs. 1 ZPO steht dem Gericht ein weiter Ermessensspielraum zu, innerhalb dessen die Besonderheiten jedes einzelnen Falls zu berücksichtigen sind. Der EuGH hat unter Berücksichtigung des sechsten Satzes des 146. Erwägungsgrunds DS-GVO, der besagt, dass dieses Instrument einen „vollständigen und wirksamen Schadensersatz für den erlittenen Schaden“ sicherstellen soll, festgestellt, dass in Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs eine auf diesen Artikel gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen ist, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert. Der Gerichtshof der der Europäischen Union betont dabei, dass Art. 82 DS-GVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84 DS-GVO, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion hat. Da der in Art. 82 Abs. 1 DS-GVO vorgesehene Anspruch auf Schadensersatz keine abschreckende oder sogar Straffunktion erfüllt, kann sich die Schwere des Verstoßes gegen diese Verordnung, durch den der betreffende Schaden entstanden ist, nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadensersatzes auswirken, auch wenn es sich nicht um einen materiellen, sondern um einen immateriellen Schaden handelt. Folglich darf dieser Betrag nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz dieses Schadens hinausgeht. Infolgedessen ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt. Dabei hat die Kammer – wie schon die 11. Kammer des LAG Düsseldorf berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht auf Auskunftserteilung, wie sich insb. aus der Aufnahme des Art. 15 DS-GVO in den Katalog des Art. 83 Abs. 5 DS-GVO zeigt, per se als bedeutsam bewertet hat. Aus der Verletzung resultieren eine Ungewissheit über den (redlichen) Umgang mit den eigenen Daten sowie die damit verbundene Unmöglichkeit, Rechte gegenüber der Bekl. oder Dritten geltend zu machen. Die vom Kl. geschilderten und als nachvollziehbar bewerteten Befürchtungen, Angst und Sorge um das Schicksal seiner personenbezogenen Daten, und negativen Gefühle wie Ärger, „Genervtsein“ „emotionales Ungemach“ hat die Kammer – wie schon die 11. Kammer des LAG Düsseldorf – in die Würdigung einbezogen. Weitergehende psychische Belastungen, gesellschaftliche oder soziale Nachteile, Einschränkungen in der persönlichen Lebensführung oder der Gestaltungs- und Entfaltungsmöglichkeiten hat der Kl. in diesem Verfahren nicht dargelegt. Ein rechtsmissbräuchliches Verhalten des Kl. liegt ebenfalls nicht vor, denn zu berücksichtigen ist zunächst, dass Art. 15 DS-GVO kein besonderes rechtliches Interesse an der begehrten Auskunft voraussetzt, sondern per se der Durchsetzung des – wie der Kl. zu Recht betont – Grundrechts aus Art. 8 Abs. 1, Abs. 2 S. 2 GRCh dient. Das Auskunftsverlangen des Kl., welches im Hinblick auf seine Bewerbung auf eine Stellenanzeige der Bekl. geltend gemacht wurde, begründet keinen Rechtsmissbrauchseinwand. Das Ziel der DS-GVO, dem Kl. die Überprüfung einer rechtskonformen Datenverarbeitung seiner personenbezogenen Daten durch die Bekl. zu ermöglichen, kann durch einen Auskunftsantrag erreicht werden. Selbst wenn es der Kl. darauf anlegen würde, verantwortliche Stellen, bei denen Daten über ihn gespeichert sind, auf Auskunft in Anspruch zu nehmen, um die Einhaltung der gesetzlichen Vorschriften zu überprüfen und im Falle der Nichteinhaltung weitere Rechte geltend zu machen, kann ein Rechtsmissbrauch damit nicht begründet werden. Denn was der Kl. macht, ist Rechtsgebrauch und nicht dessen Missbrauch. Die Bekl. hätte es ja in der Hand gehabt, das hiesige Verfahren schlicht durch Erteilung einer vollständigen und richtigen Auskunft zu vermeiden.
ArbG Heilbronn Urt. v. 27.3.2025 – 8 Ca 123/24	0 EUR Dem Kl. steht ein Schadensersatzanspruch gegen die Bekl. nach Art. 82 DS-GVO nicht zu. Ein Verstoß gegen die Pflicht zur Erteilung von Auskünften nach Art. 15 DS-GVO wurde unter Berücksichtigung der abgestuften Darlegungs- und Beweislast nicht substantiiert behauptet. Dahinstehen kann, ob eine Auskunftspflichtverletzung überhaupt einen Schadensersatzanspruch nach Art. 82 DS-GVO begründen kann, denn jedenfalls wurde ein kausaler Schaden nicht schlüssig dargelegt. Selbst dann, wenn man vorliegend eine Verletzung des Rechts auf rechtzeitige und/ oder vollständige Auskunft annehmen würde, fehlt es an weiteren Anspruchsvoraussetzungen zur Begründung eines Schadensersatzanspruchs. Es kann dahingestellt bleiben, ob eine Verletzung von Rechten aus Art. 15 DS-GVO überhaupt einen zum Schadensersatz verpflichtenden Verstoß iSv Art. 82 Abs. 1 DS-GVO darstellen kann. Der Kl. hat schon keinen kausal verursachten Schaden dargelegt. Das Vorliegen eines Schadens ist eine der drei Voraussetzungen für den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadenersatzanspruch, ebenso wie das Vorliegen eines Verstoßes gegen die Verordnung und eines Kausalzusammenhangs zwischen dem erlittenen Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ vorliegen müssen. Der Schadenersatzanspruch hat, insb. im Fall eines immateriellen Schadens, eine Ausgleichsfunktion. Die auf Art. 82 Abs. 1 DS-GVO gestützte Entschädigung in Geld soll es ermöglichen, den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig auszugleichen, und erfüllt keine Abschreckungs- oder Straffunktion. Diese Rspr. des EuGH wurde vom BAG fortgeführt. Ersatzfähig als Schaden sind grds. alle zurechenbaren Nachteile, die der Geschädigte an seinem Vermögen oder an sonst rechtlich geschützten Gütern erleidet. Materielle Schäden können etwa entstehen aus Nichteinstellungen oder Entlassungen auf Basis falscher Informationen, aus falscher Eingruppierung in eine teurere Versicherungsstufe, aus Kreditkündigungen oder schlechten Konditionen bei Kreditverträgen oder aus Vertragsverweigerungen auf Basis falscher Bonitätswerte. Der Schaden muss gerade durch den Rechtsverstoß kausal entstanden sein. Eine alleinige Kausalität ist dabei nicht gefordert, sondern es genügt eine Mitursächlichkeit des Verstoßes für den Schaden. Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat. Hinsichtlich der Darlegungs- und Beweislast hat der EuGH klargestellt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Vor diesem Hintergrund hat der Kl. keinen durch eine etwaige lückenhafte Auskunft kausal verursachten materiellen Schaden schlüssig dargelegt. Dieser besteht insb. nicht in Bezug auf die streitigen rund 3.900 Überstunden. Wie bereits oben dargestellt, dient das Auskunftsrecht nach Erwägungsgrund 63 Satz 1 zur DS-GVO der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten dem Zweck, sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Demgegenüber dient die Auskunft nicht in erster Linie dem Interesse des Betroffenen an der Erlangung solcher Informationen, die er für die Geltendmachung von Ansprüchen gegenüber dem Auskunftspflichtigen benötigt. Ebenso wie das Prozessrecht keine allgemeine Auskunftspflicht über die iRv § 138 Abs. 2 ZPO geregelten Pflichten hinaus kennt, kann ein solches Auskunftsrecht nicht über Art. 15 DS-GVO im Ergebnis erreicht werden. Mit anderen Worten: Art. 15 DS-GVO verfolgt im Falle des Kl. nicht den Zweck, ihn in die Lage zu versetzen, die Ableistung von bestrittenen Überstunden detailliert darlegen zu können. An einem ersatzfähigen Schaden fehlt es iÜ bereits nach dem Klägervortrag deshalb, weil nach seiner Auffassung die auf einem von ihm angenommenen Langzeitarbeitszeitkonto vorhandenen Überstunden erst mit Beendigung des Arbeitsverhältnisses abzugelten wären (Dies als Entgegnung dazu, dass aus Sicht der Bekl. etwaige Mehrarbeitsvergütung tariflich verfallen und iÜ verjährt wäre). Da das Arbeitsverhältnis ungekündigt fortbesteht, ist zum jetzigen Zeitpunkt denknotwendig kein Schaden entstanden. Der Ersatz eines vielleicht zukünftig eintretenden Schadens kann auch über Art. 82 DS-GVO nicht verlangt werden. Ein kausal zurechenbarer materieller Schaden würde auch voraussetzen, dass mit hinreichender Wahrscheinlichkeit feststeht, dass es dem Kl. nur aufgrund der fehlenden Informationen durch die Bekl. nicht möglich ist, die Abgeltung der abgeleisteten Überstunden zu erreichen. Mit anderen Worten: Es müsste feststehen, dass es infolge des Verhaltens der Bekl. zu einer Vermögensverschlechterung des Kl. gekommen ist (Differenzhypothese). Dies wiederum setzt voraus, dass mit großer Wahrscheinlichkeit anzunehmen sein müsste, dass die behaupteten Überstunden tatsächlich vergütungspflichtig abgeleistet wurden und dass dies auf Veranlassung der Bekl. geschehen ist. Wäre dies anders, dann könnte allein die Behauptung, ein Arbeitnehmer habe in (beliebigem) Maße Überstunden geleistet, über die ihm keine Auskunft erteilt worden sei, dazu führen, dass der Arbeitnehmer für diese nur behaupteten Überstunden über den Umweg des Schadensersatzes Vergütung erhält. Vorliegend gibt es keine Anhaltspunkte dafür, dass der Kl. in der Lage wäre, substantiiert die abgeleisteten Überstunden sowie deren betriebliche Veranlassung durch die Bekl. darzulegen. Er hat hierzu nur pauschal vorgetragen, er habe ganz erhebliche Mengen an Arbeitsleistung erbracht und quasi 24/7 zur Verfügung stehen müssen. Auf Basis eines solchen Vortrages ist eine Abgeltung der Überstunden unter Darlegung und Beweisgesichtspunkten nicht zu erreichen. Der Kl. hat auch keinen kausal verursachten immateriellen Schaden durch eine eventuell nicht vollständig erteilte Auskunft dargelegt. Grds. genügt ein bloßer Normenverstoß (hier also eine ggf. unvollständig erteilte Auskunft) auch nicht für die Darlegung eines immateriellen Schadens. Vielmehr muss eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie nachteilige Folgen gehabt hat, auch im Bereich des immateriellen Schadens den Nachweis erbringen, dass diese Folgen einen kausal verursachten immateriellen Schaden iSV Art. 82 DS-GVO darstellen. Was einen immateriellen Schaden iSv Art. 82 Abs. 1 DS-GVO darstellt, ist durch eine autonome und einheitliche unionsrechtliche Definition zu bestimmen. Der Begriff des Schadens wird vom Unionsgesetzgeber weit verstanden. Der EuGH hat zuletzt klargestellt, dass ein bestimmter Grad an Erheblichkeit der Beeinträchtigung nicht erforderlich ist. Weiter hat der EuGH festgestellt, dass nicht danach zu unterscheiden ist, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DS-GVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er „nur“ mit ihrer Angst verknüpft ist, dass eine solche Verwendung erst in Zukunft erfolgen könnte. Der Wortlaut von Art. 82 Abs. 1 DS-GVO schließt nicht aus, dass der in dieser Bestimmung enthaltene Begriff des immateriellen Schadens eine Situation umfasst, in der sich die betroffene Person auf ihre Befürchtung beruft, dass ihre personenbezogenen Daten aufgrund des eingetretenen Verstoßes gegen die DS-GVO in Zukunft von Dritten missbräuchlich verwendet werden. Hieraus ist allerdings entgegen der Auffassung des Kl. gerade nicht zu folgern, dass jeder Verstoß gegen Auskunftsansprüche aus der DS-GVO wegen des damit einhergehenden Kontrollverlusts und der Einschränkung von Rechten „automatisch“ einen immateriellen Schaden verursacht, der über Art. 82 Abs. 1 DS-GVO zu ersetzen wäre. Zwar ist richtig, dass der EuGH in der zitierten Entscheidung den Kontrollverlust als einen in Erwägungsgrund 85 „beispielhaft“ aufgezählten Schaden nennt. Der EuGH macht aber zugleich deutlich, dass die betroffene Person in jedem Einzelfall nachweisen muss, dass ihr durch den Kontrollverlust tatsächlich ein Schaden entstanden ist. Erläuternd führt der EuGH aus, dass zB dann, wenn der Betroffene die Befürchtung äußere, seine Daten könnten missbräuchlich verwendet werden, das Gericht zu prüfen habe, ob diese unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Das LAG Düsseldorf zB hat insoweit zu Recht ausgeführt, dass nicht jeder Verstoß gegen Art. 15 DS-GVO zwangsläufig einen Schaden verursacht. Anders ausgedrückt: Empfindet der Betroffene trotz der Vorenthaltung von Informationen über seine Daten keinen Kontrollverlust oder ist das von ihm angegebene Gefühl nach den gegebenen Umständen nicht begründet, so scheidet ein Schadensersatzanspruch aus. Das bloße Berufen auf eine bestimmte Gefühlslage reicht demnach nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Dies zugrunde gelegt, ist es dem Kl. nicht gelungen, die Kammer vom Vorliegen eines kausal verursachten immateriellen Schadens zu überzeugen. Zum einen konnte die Kammer bereits keinen Kontrollverlust anhand einer möglicherweise unvollständigen Datenauskunft feststellen (siehe oben zu 1). Selbst wenn die Datenauskunft nicht vollständig gewesen wäre, sind die Befürchtungen und negativen Gefühle, welche der Kl. äußert, für die Kammer nicht nachvollziehbar. Zum einen macht der Kl. geltend, er könne nicht erkennen, welche Daten die Bekl. an Strafverfolgungsbehörden weitergegeben hat, wodurch sich seine seit Januar 2023 bestehende psychische Erkrankung noch verschlimmert habe. Diese Befürchtung ist nicht nachvollziehbar, da der Kl. positiv weiß, dass bisher weder in Deutschland noch im Ausland gegen ihn ein Strafverfahren anhängig ist. Zum anderen würde eine solche Befürchtung, damit sie nachvollziehbar wäre, in Abgrenzung zur bloßen Spekulation voraussetzen, dass der Kl. sich tatsächlich in der Vergangenheit nicht rechtmäßig verhalten hätte. Nur in diesem Fall wäre die Befürchtung strafrechtlicher Konsequenzen begründet. Für ein rechtswidriges Verhalten des Kl. bestehen jedoch keine Anhaltspunkte. Zum anderen gibt es keinerlei Hinweise darauf, dass die Bekl. inländischen oder ausländischen Ermittlungsbehörden weitere personenbedingte Daten des Kl. außerhalb der elf von diesem geschriebenen E-Mails weitergegeben hat. Auch ein ausländisches Ermittlungsverfahren ist nicht bekannt. Angesichts des mittlerweile verstrichenen Zeitraums von rund zehn Jahren erscheint die zukünftige Einleitung eines solchen auch wenig wahrscheinlich, da der Kl. hauptsächlich mit der Ausarbeitung des damaligen …-Skandals befasst war und dies letztlich auf vierter Hierarchieebene. Die Tatsache, dass die Ehefrau des Kl. möglicherweise bei der Einreise in G. Probleme hatte, legt nicht den Schluss nahe, dass dies in irgendeiner Weise mit der Bekl. zu tun hat. Die vom Kl. dargestellten Zusammenhänge haben aus Sicht der Kammer einen spekulativen Charakter und sind nicht tatsachenbasiert. Dies gilt letztlich auch für die Befürchtung des Kl., außerhalb des Schengen-Raums festgenommen zu werden, weshalb er seine Reisefreiheit beschränkt sieht.
ArbG Düsseldorf Urt. v. 6.2.2025 – 12 Ca 3221/24	1.000 EUR Dem Kl. steht dem Grunde nach ein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO zu, der Höhe nach aber begrenzt auf den austitulierten Betrag. Der noch geltend gemachte Anspruch auf Auskunft durch Erteilung einer Datenkopie ist unbegründet. Die Klage ist dem Grunde nach vollständig, jedoch bezogen auf die Höhe der geltend gemachten Forderung nur teilweise begründet. Der Kl. hat gegen die Bekl. einen Anspruch auf Schadensersatz iHv 1.000 EUR aus Art. 82 Abs.1 DS-GVO. Die weitergehende Klage ist unbegründet. Nach der Rspr. des EuGH ergibt sich aus Art. 82 Abs. 1 DS-GVO, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß. Folglich sind diese drei Voraussetzungen kumulativ sowie erforderlich und ausreichend für einen Schadenersatzanspruch iSd Art. 82 Abs. 1 DS-GVO. Des Weiteren hat der EuGH entschieden, dass Art. 82 Abs. 1 DS-GVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines „immateriellen Schadens“ iSd Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Daher kann nicht angenommen werden, dass über diese drei oben genannten Voraussetzungen hinaus für die Haftung nach Art. 82 Abs. 1 DS-GVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Die Voraussetzungen für einen Schadensersatzanspruch aus Art. 82 DS-GVO sind dem Grunde nach im vorliegenden Fall erfüllt, denn die Bekl. zu 1) hat gegen die DS-GVO verstoßen, dem Kl. ist ein immaterieller Schaden entstanden und es besteht ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Die Bekl. zu 1) hat gegen die DS-GVO verstoßen, indem sie dem Kl. die geforderte Auskunft nach Art. 15 Abs. 1 DS-GVO nicht fristgerecht, vollständig und zutreffend erteilt hat. Ein Verstoß gegen die Pflichten aus Art. 15 DS-GVO kann dem Grunde nach einen Anspruch auf Ersatz der materiellen und immateriellen Schäden nach Art. 82 Abs. 1 DS-GVO begründen. Da die DS-GVO in Bezug auf den Sinn und die Tragweite der in dieser Bestimmung enthaltenen Begriffe, insb. in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadensersatz“, nicht auf das Recht der Mitgliedstaaten verweist, sind diese Begriffe für die Anwendung dieser Verordnung als autonome Begriffe des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen sind. Zu diesem Zweck ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, muss das angerufene nationale Gericht daher prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Der Kl. hat durch den oben dargestellten Verstoß der Bekl. zu 1) gegen die DS-GVO einen immateriellen Schaden erlitten. Der EuGH hat bereits entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der DS-GVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen kann. Insb. geht aus der im ersten Satz des 85. Erwägungsgrundes der DS-GVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insb. auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Außerdem wäre eine Auslegung von Art. 82 Abs. 1 DS-GVO dahin, dass der Begriff „immaterieller Schaden“ iSd Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit dieser Verordnung bezweckt wird. Ebenso wenig kann dieser Begriff allein auf Schäden mit einer gewissen Erheblichkeit beschränkt werden, insb. was die Dauer betrifft, während der die betroffenen Personen den nachteiligen Folgen des Verstoßes gegen diese Verordnung ausgesetzt waren. Somit kann nicht angenommen werden, dass über die drei Voraussetzungen Verstoß gegen die DS-GVO, Schaden und Kausalzusammenhangs zwischen dem Schaden und dem Verstoß hinaus für die Haftung nach Art. 82 Abs. 1 DS-GVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Nach alledem ist Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, sofern diese Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen „immateriellen Schaden“ iSv. Art. 82 Abs. 1 DS-GVO darstellen. Nach der Rspr. des EuGH können negative Gefühle („Befürchtung“) in solchen Konstellationen einen Anspruch auf Ersatz des immateriellen Schadens begründen. Das bloße Berufen auf eine bestimmte Gefühlslage reicht aber nicht aus, denn das Gericht hat, zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann“. Dies setzt zwingend die Anwendung eines objektiven Maßstabs voraus. Dabei ist ua. die objektive Bestimmung des Missbrauchsrisikos der Daten von Bedeutung. Unter Zugrundelegung der vorstehenden Grundsätze ist die erkennende Kammer zu der Ansicht gelangt, dass dem Kl. durch den Verstoß der Bekl. zu 1) gegen die DS-GVO in Gestalt der Nichterteilung der Auskunft nach Art. 15 Abs. 1 DS-GVO ein Schaden in Form des Kontrollverlusts entstanden ist. Aufgrund der unvollständigen und teilweise falschen Auskunft der Bekl. zu 1) hat der Kl. ausreichend Grund für die Befürchtung, seine personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden. Der Verstoß der Bekl. zu 1) gegen die Rechte des Kl. aus der DS-GVO ist für den vorstehend beschriebenen immateriellen Schaden des Kl. kausal. Hätte die Bekl. zu 1) auf das Auskunftsersuchen des Kl. pflichtgemäß reagiert, wäre er nicht im Ungewissen über den Umgang mit seinen personenbezogenen Daten geblieben. Er hätte keine (begründeten) Befürchtungen im Hinblick auf eine missbräuchliche Verwendung haben müssen. Der Höhe nach erscheint aus Sicht der erkennenden Kammer ein Schadensersatz iHv 1.000 EUR angemessen. In Höhe des darüberhinausgehenden Betrages war die Klage abzuweisen. Der Kl. hat die Bemessung der Höhe des immateriellen Schadensersatzes in das Ermessen des Gerichts gestellt, § 287 Abs. 1 S. 1 ZPO. Auf dieser Grundlage war über die Höhe des Schadens unter Würdigung aller Umstände nach freier Überzeugung des Gerichts zu entscheiden. Bei der Bemessung der Höhe eines Schadenersatzanspruchs nach § 287 Abs. 1 ZPO steht dem Gericht ein weiter Ermessensspielraum zu, innerhalb dessen die Besonderheiten jedes einzelnen Falls zu berücksichtigen sind. Der Gerichtshof der der Europäischen Union hat unter Berücksichtigung des sechsten Satzes des 146. Erwägungsgrundes der DS-GVO, der besagt, dass dieses Instrument einen „vollständigen und wirksamen Schadensersatz für den erlittenen Schaden“ sicherstellen soll, festgestellt, dass in Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs eine auf diesen Artikel gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen ist, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert. Der Gerichtshof der der Europäischen Union betont dabei, dass Art. 82 DS-GVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, nämlich die Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion hat. Da der in Art. 82 Abs. 1 DS-GVO vorgesehene Anspruch auf Schadensersatz keine abschreckende oder sogar Straffunktion erfüllt, kann sich die Schwere des Verstoßes gegen diese Verordnung, durch den der betreffende Schaden entstanden ist, nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadensersatzes auswirken, auch wenn es sich nicht um einen materiellen, sondern um einen immateriellen Schaden handelt. Folglich darf dieser Betrag nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz dieses Schadens hinausgeht. Infolgedessen ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, da eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt. Unter Zugrundelegung der vorstehenden Grundsätze hat die Kammer den immateriellen Schaden des Kl. auf 1.000 EUR geschätzt. Dabei hat die Kammer – wie schon die 11. Kammer des Landesarbeitsgerichts Düsseldorf berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht auf Auskunftserteilung, wie sich insb. aus der Aufnahme des Art. 15 DS-GVO in den Katalog des Art. 83 Abs. 5 DS-GVO zeigt, per se als bedeutsam bewertet hat. Aus der Verletzung resultieren eine Ungewissheit über den (redlichen) Umgang mit den eigenen Daten sowie die damit verbundene Unmöglichkeit, Rechte gegenüber der Bekl. zu 1) oder Dritten geltend zu machen. Die vom Kl. geschilderten und als nachvollziehbar bewerteten Befürchtungen, Angst und Sorge um das Schicksal seiner personenbezogenen Daten, und negativen Gefühle wie Ärger, „Genervtsein“ „emotionales Ungemach“ hat die Kammer – wie schon die 11. Kammer des Landesarbeitsgerichts Düsseldorf (Urt. v. 7. März 2024 – 11 Sa 808/23 -, Rn. 65) – in die Würdigung einbezogen. Weitergehende psychische Belastungen, gesellschaftliche oder soziale Nachteile, Einschränkungen in der persönlichen Lebensführung oder der Gestaltungs- und Entfaltungsmöglichkeiten hat der Kl. in diesem Verfahren nicht dargelegt.
Sozialgerichte
NEU SG Dresden Urt. v. 22.10.2025 – S 15 SF 304/24 DS	0 EUR Der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit ist eröffnet (§ 202 S. 1 SGG iVm § 17a Abs. 5 GVG). Dies gilt auch für den geltend gemachten Schadensersatzanspruch nach DS-GVO. Der Kl. steht ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO nicht zu. Es mangelt an einem entsprechenden ersatzfähigen Schaden. Als Rechtsgrundlage für den geltend gemachten Schadensersatzanspruch kommt Art. 82 Abs. 1 DS-GVO in Betracht. Voraussetzung für die Entstehung des Schadenersatzanspruchs nach Art 82 Abs. 1 DS-GVO ist nach stRspr des EuGH eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der VO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Es kann dahinstehen, ob schadensbegründend nur Verstöße gegen die DS-GVO bei der Datenverarbeitung sind oder ob schon der bloße Verordnungsverstoß einen Ersatzanspruch auslöst. Denn vorliegend liegt ein Datenverstoß bei der Datenverarbeitung eindeutig vor, wie auch der Bekl. selbst eingeräumt hat. Jedoch ist der Kl. ein ersatzfähiger Schaden nicht entstanden. In Übereinstimmung mit der stRspr des EuGH reicht ein bloßer Verstoß gegen die DS-GVO ohne Vorliegen eines konkreten materiellen oder immateriellen Schadens für einen Schadensersatzanspruch nicht aus. Art. 82 Abs. 1 DS-GVO verlangt drei erforderliche und ausreichende kumulative Voraussetzungen für diesen Schadensersatzanspruch: einen Verstoß gegen Bestimmungen dieser Verordnung, das Vorliegen eines materiellen oder immateriellen „Schadens“ sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Die betroffene Person, die auf der Grundlage von Art. 82 Abs. 1 DS-GVO Ersatz eines immateriellen Schadens verlangt, muss nicht nur den Verstoß gegen diese Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß tatsächlich ein solcher Schaden entstanden ist. Das BSG hat dazu in seinem Urt. v. 24.9.2024 – B 7 AS 15/23 R Rn. 30 ff. folgendes ausgeführt: „Art 82 Abs. 1 DS-GVO ist nach stRspr des EuGH dahin auszulegen, dass der bloße Verstoß gegen die VO bei der Datenverarbeitung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss auch ein konkreter materieller oder immaterieller Schaden vorliegen. Der Eintritt eines Schadens wird nicht vermutet. Vielmehr trägt die Person, die auf der Grundlage von Art 82 DS-GVO den Ersatz eines immateriellen Schadens verlangt, die objektive Beweislast, dass ihr durch den Verstoß gegen die VO ein solcher Schaden entstanden ist. Der Zweck der DS-GVO, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, würde in sein Gegenteil verkehrt, wenn die pauschale Behauptung eines Nachteils ausreichen würde, um einen ersatzfähigen Schaden zu begründen. Seiner Ausgleichsfunktion wird der Schadensersatz gerecht, wenn er es ermöglicht, den aufgrund des Verstoßes gegen die VO konkret erlittenen Schaden in vollem Umfang auszugleichen; dann ist die auf Art 82 Abs. 1 DS-GVO gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen. Nicht erforderlich ist hingegen, dass der Schaden eine gewisse Erheblichkeitsschwelle übersteigt. Zwar kann eine betroffene Person einen konkreten immateriellen Schaden iSd Art. 82 Abs. 1 DS-GVO auch durch den Verlust der Kontrolle über ihre personenbezogenen Daten erleiden, wie sich aus Wortlaut, Systematik sowie Sinn und Zweck des Art. 82 DS-GVO ergibt. Unter einem Kontrollverlust versteht der EuGH dabei allerdings nur eine Situation, in der die betroffene Person die begründete Befürchtung hegt, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten genügt dafür nicht. Rein hypothetisch ist das Risiko zB dann, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat. Das Schadensverständnis der VO wird auch aus Erwägungsgrund 75 bzw. 85 S. 1 deutlich. Als Regelbeispiele, die einen physischen, materiellen oder immateriellen Schaden begründen können, werden u. a. benannt, wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren.“ Unter Anwendung dieser Maßstäbe war und ist im Fall der Kl. nach ihren eigenen Darstellungen ein immaterieller Schaden, insb. ein Kontrollverlust, zur Überzeugung des Gerichts nicht gegeben. Anhaltspunkte dafür, dass das vom Bekl. verarbeitete Datum „Privatadresse“ verordnungswidrig an einen Dritten gelangt ist oder dass eine der Situationen vorliegt, die den in den Erwägungsgründen regelbeispielhaft Aufgeführten entspricht, trägt die Kl. weder vor noch ist eine solche Situation für das Gericht erkennbar. Die Kl. meint zwar zu befürchten, dass bei einer zukünftigen Akteneinsicht einer Klientin in ihre elektronisch bei dem Bekl. geführte Leistungsakte diese auch das Vorblatt mit der dort vermerkten Privatadresse der Kl. einsehen könnte, sodass die Kl. von ihr unter ihrer Privatadresse aufgesucht werden könnte. Dies reicht vorliegend jedoch zur Annahme eines Schadens nicht aus. Der EuGH hat bereits entschieden, dass die von der betroffenen Person empfundene Befürchtung, ihre personenbezogenen Daten würden infolge eines Verstoßes gegen die DS-GVO in Zukunft missbräuchlich verwendet, für sich genommen einen „immateriellen Schaden“ iSv Art. 82 Abs. 1 DS-GVO darstellen kann, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist, was zu prüfen Sache des angerufenen nationalen Gerichts ist. Mit dem derzeitigen Ausblenden besteht eine derartige begründete Befürchtung jedoch zur Überzeugung des Gerichts nicht. Ihre Privatadresse ist bereits ausgeblendet und kann weder von dem Klienten noch von einem Mitarbeiter des Bekl. alleine wieder eingeblendet werden. Dass das Ausblenden des Datums keine Löschung iSv Art. 17 DS-GVO darstellt, ist bei der Betrachtung nicht von Bedeutung. Beim Schadensbegriff kommt es allein darauf an, ob ein Dritter (hier zB nach dem Vortrag der Kl. eine Klientin) tatsächlich in der Lage ist, aus dem Akteninhalt Kenntnis von der Privatanschrift der Klägerin zu erlangen, um sie dort ggfs. aufsuchen zu können. Dieser Vortrag reicht – wegen der derzeit erfolgten Ausblend-Funktion – noch nicht einmal zur Annahme eines hypothetischen Risikos aus. Dem steht auch die vom Klägervertreter angeführte Entscheidung des EuGH v. 4.9.2025 – C-655/23 nicht entgegen. Der EuGH hat darin u. a. auf die (vierte) Frage des vorlegenden BGH (Beschl. v. 26.9.2023 – VI ZR 97/22), von welchen Voraussetzungen der Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO im Licht ihrer Erwägungsgründe 75 und 85 abhänge, insb. anhand welcher Merkmale ein „immaterieller Schaden“ iSv Art. 82 Abs. 1 DS-GVO festgestellt werden könne, wenn sich die betroffene Person nur auf negative Gefühle berufe, die nach Ansicht des BGH Teil des allgemeinen Lebensrisikos seien, entschieden, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der Begriff „immaterieller Schaden“ in dieser Bestimmung negative Gefühle umfasst, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie zB. Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DS-GVO empfindet. In Anwendung dieser Entscheidung sind die von der Kl. beschriebenen Ängste nicht nachgewiesen. Denn vorliegend ist eine zukünftige unbefugte Übermittlung ihres personenbezogenen Datums „Privatadresse“ an Dritte aufgrund des Ausblendens auch weiterhin nicht gegeben. Ein Vorabentscheidungsverfahren nach Art. 267 AEUV war nicht einzuleiten gewesen. Die Frage eines immateriellen Schadens iSv Art. 82 DS-GVO bei Datenverletzungen ist durch den EuGH bereits geklärt.
Finanzgericht
NEU BFH Beschl. v. 15.9.2025 – IX R 11/23	0 EUR Die nationalen Verfahrensvorschriften bestimmen, wie die von der DS-GVO vorgesehenen Rechtsbehelfe durchzuführen sind. Das gilt auch, soweit der Schutz der dem Einzelnen aus Art. 82 DS-GVO erwachsenen Rechte gewährleistet werden soll. Zu beachten ist allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sein dürfen als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren --Effektivitätsgrundsatz. Danach ist es zwar grds. Sache des nationalen Rechts, die Klagebefugnis und das Rechtsschutzinteresse des Einzelnen zu bestimmen; doch verlangt das Unionsrecht, dass die nationalen Rechtsvorschriften das Recht auf einen effektiven gerichtlichen Rechtsschutz nicht beeinträchtigen. Art. 82 DS-GVO enthält in seinem Absatz 6 Regelungen zur gerichtlichen Geltendmachung des Schadensersatzes. Danach sind mit den Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadensersatz die Gerichte zu befassen, die nach den in Art. 79 Abs. 2 DS-GVO genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Die Regelungen in Art. 79 Abs. 2 DS-GVO betreffen allerdings lediglich die Zuständigkeit, indem sie dem Betroffenen grds. ein Wahlrecht einräumen, vor welchem Gericht er seine Ansprüche gegen den Verantwortlichen oder Auftragsverarbeiter geltend machen will, dem der Niederlassung des Verantwortlichen oder Auftragsverarbeiters oder dem des Ortes seines gewöhnlichen Aufenthalts. Dies folgt auch aus den Regelungen in Art. 82 Abs. 1 und Abs. 3 DS-GVO. Der immaterielle Schadenersatzanspruch kann auch durch eine Entschuldigung erfüllt werden. Die Form des Schadensersatzes hängt von den Umständen des Einzelfalls ab, weshalb die Entscheidung über die Art der Schadenersatzleistung primär dem Verantwortlichen als Verursacher des Schadens obliegt. Der Verantwortliche wird nach Art. 82 Abs. 3 DS-GVO von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Es macht prozessökonomisch Sinn, dass der Verantwortliche seine Einwände zu einem frühen Zeitpunkt geltend macht, um dem Betroffenen die Einschätzung seines gerichtlichen Risikos zu ermöglichen. Schließlich überprüfen die Finanzgerichte die Entscheidung der Behörde. Hierzu ist der tatsächliche Vortrag der Behörde notwendig. Anders als die Kl. meint, schließt Art. 79 DS-GVO nicht das Erfordernis der Beschwer aus. Nach Art. 79 DS-GVO besteht das Recht auf gerichtlichen Rechtsbehelf unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs. Das bedeutet, dass der gerichtliche Rechtsbehelf nicht durch anderweitige Rechtsbehelfe beschränkt werden darf. Art. 79 DS-GVO spricht von einem verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelf, mithin von einem Vorverfahren nach § 44 Abs. 1 FGO. Die Geltendmachung des Schadenersatzanspruchs und die Befassung der Finanzbehörde mit diesem Begehren stellt kein Vorverfahren dar, denn es handelt sich gerade nicht um das Einspruchsverfahren nach § 347 Abs. 1 S. 1 Nr. 1 iVm Abs. 2 AO. Was den Äquivalenzgrundsatz betrifft, bestehen keine Zweifel an der Vereinbarkeit des § 40 Abs. 2 FGO mit diesem Grundsatz. Denn eine Differenzierung nach innerstaatlichen und unionsrechtlichen Sachverhalten erfolgt nicht. In diesem Zusammenhang kommt es nicht auf die Unterschiede in verschiedenen Verfahrensordnungen des deutschen Rechts an. Was den Effektivitätsgrundsatz betrifft, ist ausgeschlossen, dass die vorherige Befassung des Verantwortlichen mit dem Schadenersatzbegehren des Betroffenen die Ausübung der durch das Unionsrecht und insb. durch die DS-GVO verliehenen Rechte praktisch unmöglich macht oder übermäßig erschwert. Denn dem Betroffenen steht gegen die Entscheidung des Verantwortlichen der Rechtsweg zu den Finanzgerichten offen. Von einem Verstoß gegen das „Gebot eines zügigen und wirksamen Rechtsschutzes“ und einer „faktischen Entwertung“ kann deshalb keine Rede sein. Das Erfordernis der vorherigen Befassung durch eine Behörde findet sich auch in anderen datenschutzrechtlich geprägten Zusammenhängen. So hat das BVerwG für den Löschungsanspruch nach Art. 17 DS-GVO entschieden, dass eine Klage auf Löschung unzulässig ist, wenn es an einem entsprechenden vorherigen Antrag bei der Behörde fehlt. Dies gilt unabhängig davon, ob für den Löschungsantrag die Verpflichtungsklage oder die allgemeine Leistungsklage statthaft ist. Das Erfordernis der behördlichen Vorbefassung hat für beide Klagearten Geltung. Dem steht nicht entgegen, dass nach Auffassung des BSG der Schadenersatzanspruch nach Art. 82 DS-GVO vorprozessual nicht gegenüber der Behörde geltend gemacht werden muss. Eine Verwaltungsentscheidung vor Klageerhebung sei weder nach der DS-GVO noch nach nationalem Recht vorgesehen. Dem Interesse des Verantwortlichen, im Fall der unmittelbaren Klageerhebung durch Gerichtskosten nicht belastet zu werden, könne danach durch ein sofortiges Anerkenntnis der Behörde (§ 197a Abs. 1 SGG iVm § 156 VwGO) Rechnung getragen werden. Diese Entscheidung ist auf den vorliegenden Fall nicht übertragbar, weil sich die jeweiligen Verfahrensordnungen erheblich unterscheiden. Denn § 54 Abs. 5 SGG sieht für die allgemeine Leistungsklage -anders als § 40 Abs. 2 FGO – keine vorherige Ablehnung der Leistung durch die Behörde vor. Diese unterschiedliche Behandlung, welche iÜ auch bei Schadenersatzklagen gegen private Verantwortliche gegeben sein kann, widerspricht nicht dem allgemeinen Gleichheitssatz (Art. 3 Abs. 1 GG). Der Gesetzgeber kann zulässigerweise verschiedene Verfahrensordnungen unterschiedlich ausgestalten. Anhaltspunkte für einen Verstoß gegen die Rechtsweggarantie (Art. 19 Abs. 4 GG) liegen darin nicht. Im Streitfall fehlt die vorprozessuale Geltendmachung des Schadenersatzanspruchs. Auch nach einem entsprechenden Hinweis des Senatsvorsitzenden v. 4.6.2025 hat die Kl. nicht vorgetragen, dass und wann sie sich wegen des Schadensersatzes an das FA gewandt hatte. Zwar kann es nach der Rspr. des BVerwG aus prozessökonomischen Gründen angezeigt sein, auf das Erfordernis des vorherigen Antrags bei der Behörde zu verzichten, wenn das Beharren auf einer Vorbefassung der Verwaltung als bloße Förmelei erscheint, weil die Behörde klar und eindeutig zu erkennen gegeben hat, dass sie einen solchen Antrag definitiv ablehnen wird. So liegt der Fall hier jedoch nicht. Der Senat kann dahinstehen lassen, ob unter Anwendung dieser Grundsätze eine konkludente Ablehnung – wie sie die Klägerin behauptet – ausreichen kann. Denn jedenfalls hat das FA den Schadenersatzanspruch bereits deshalb vorprozessual nicht konkludent abgelehnt, weil dieser Anspruch in keiner Weise angesprochen worden war. Weder außergerichtlich noch in ihrer umfangreichen Klagebegründung im erstinstanzlichen Verfahren hat sich die Kl. zuvor dazu geäußert und ein Schadenersatzbegehren angebracht. Die Kl. hat den Schadenersatzanspruch erstmals im Klageverfahren in der mündlichen Verhandlung v. 9.3.2023 geltend gemacht. Das FA konnte den Antrag auf Zahlung von Schadensersatz noch nicht einmal im Verfahren selbst ablehnen, da es an der mündlichen Verhandlung nicht teilgenommen hatte und bis dahin die Kl. keinen Schadensersatz geltend gemacht hatte. Bis jetzt hat sich das FA nicht zu dem Schadenersatzbegehren der Kl. geäußert und in keiner Weise eindeutig zu erkennen gegeben, wie es über einen Schadenersatzanspruch entscheiden werde, zB ob es die Forderung anerkennt und die Kl. klaglos stellt. Selbst wenn ein Auskunftsanspruch nach Art. 15 DS-GVO rechtswidrig abgelehnt worden wäre, läge darin keine konkludente Ablehnung eines Schadenersatzanspruchs. Das ursprüngliche Klagebegehren der Klägerin bezog sich auf diverse Rechtsverstöße anlässlich der Außenprüfung sowie die vermeintliche Weitergabe der Mobilfunknummer des Z an die oberste Landesfinanzbehörde. Nach Ansicht der Kl. stellte dies eine Verletzung der DS-GVO und des Steuergeheimnisses dar. Das Schadenersatzbegehren stellt demgegenüber einen vollständig neuen Streitgegenstand dar, der nur in Teilbereichen mit dem bisherigen Vorbringen im Zusammenhang steht. Insoweit bedarf die Geltendmachung von Schadensersatz nach Art. 82 DS-GVO der tatrichterlichen Feststellung zahlreicher Tatbestandsmerkmale, die iRe umfangreichen Sachaufklärung zu ermitteln sind. Dies gilt nicht zuletzt vor dem Hintergrund, dass die Kl. eine Vielzahl von Datenschutzverstößen in ihrem bisherigen Klagevorbringen gerügt hat.
NEU BFH Beschl. v. 15.9.2025 – IX R 10/23	0 EUR Wie BFH Beschl. v. 15.9.2025 – IX R 11/23.
Verwaltungsgerichte
NEU VG Osnabrück Beschl. v. 12.12.2025 – 7 A 230/25	0 EUR Aus Art. 82 Abs. 6 DS-GVO iVm Art. 79 Abs. 2 DS-GVO folgt nicht, dass das für Primäransprüche zuständige Gericht auch für Ansprüche nach Art. 82 DS-GVO zuständig ist. Die Norm regelt nur die internationale Zuständigkeit. Ansprüche nach Art. 82 DS-GVO sind keine Amtshaftungsansprüche.
NEU VG Kassel Urt. v. 27.10.2025 – 1 K 459/24.KS	0 EUR Der Kl. hat keinen Anspruch auf Schadensersatz und Entschädigung wegen des Verlaufs des Bewerbungsverfahrens oder wegen Verstoßes gegen die DS-GVO. Schließlich hat der Kl. auch keinen Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO. Der Anspruch nach Art. 15 DS-GVO wurde erfüllt. Das Schreiben des Bekl. erfüllt die Anforderungen des Abs. 1 der Vorschrift. Dem Kl. wurden die Auskünfte zu den sämtlichen in den Art. 15 Abs. 1 lit. a – lit. h DS-GVO genannten Daten erteilt und ihm als Datenkopie (Abs. 3) zugesandt. Der Bekl. hat dem Kl. damit alle ihm vorliegenden Daten bzgl. des Kl. ausgehändigt. Dies umfasste alle dem Bekl. vorliegenden den Kl. betreffenden personenbezogenen Daten iSd Art. 4 Nr. 1 DS-GVO. Dies gilt auch für die Bewertungen und Prüfergebnisse, die dem Kl. insoweit bezogen auf seine Person vollständig ausgehändigt worden sind. Jedoch hat der Kl. aus der DS-GVO keinen Anspruch auf vollumfängliche Auskunft über das Einstellungsverfahren. Dem stehen in diesem Zusammenhang die Interessen der weiteren Bewerber entgegen, was nach Art. 15 Abs. 4 DS-GVO zu berücksichtigen ist. Hier ist für die unmittelbar grundrechtsgebundene Hochschule C. bereits das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1, 1 GG) der anderen Bewerber als unmittelbare Grenze zu beachten. Im Kontext des Art. 15 DS-GVO steht es staatlichen Stellen nicht zu, sensible Daten eines Einstellungsvorgangs herauszugeben, sofern sie den Anspruchssteller nicht unmittelbar betreffen. Dem kam der Bekl. mit den geschwärzten Auskünften nach. Zuletzt kann auch grds. dem Argument des Kl. nicht gefolgt werden, dass die Klage aufgrund der unterbliebenen Aushändigung der weiteren Akte zum Einstellungsverfahren erzwungen worden sei. Warum der Anspruch bei entsprechender Auskunft außergerichtlich erledigt worden wäre, ist schon ganz grds. nicht nachvollziehbar. So liegt der Grund für eine Klage doch gerade in der Verweigerung der Anspruchserfüllung selbst.

Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO ab dem Jahr 2025

Anzeigen:

Teilen:

Internet Explorer: Unsere Empfehlung

Übersicht über den Schadensersatzanspruch nach Art. 82 DS-GVO ab dem Jahr 2025

Anzeigen:

Teilen: