Der Europäische Gerichtshof (EuGH) hat mit einem Urteil vom 3. September 2025 in der Sache C‑655/23 die Hürden für Schadensersatzklagen nach der DSGVO deutlich gesenkt. Künftig können auch rein immaterielle Beeinträchtigungen wie Ärger, Kontrollverlust oder Sorgen über den Missbrauch von Daten einen Anspruch begründen. Für Unternehmen bedeutet das: Selbst kleine Datenschutzverstöße können erhebliche finanzielle Folgen haben.
Hintergrund
Im Fall, über den der EuGH zu entscheiden hatte, gibg es sich um die Frage, wann ein immaterieller Schaden im Sinne von Artikel 82 DSGVO vorliegt. Es war umstritten, ob bloße negative Gefühle ausreichen oder ob Betroffene konkrete materielle Nachteile wie finanzielle Einbußen oder messbare psychische Belastungen nachweisen müssen. Mehrere nationale Gerichte hatten dazu Vorlagen an den EuGH geschickt, da die Auslegung uneinheitlich war.
Mit dem Urteil hat der EuGH Klarheit geschaffen: Ein immaterieller Schaden kann auch dann bestehen, wenn Betroffene „Ärger, Angst oder Kontrollverlust“ über die Verwendung ihrer personenbezogenen Daten erleiden. Entscheidend sei nicht die Intensität der Belastung, sondern ob ein spürbarer Nachteil für die betroffene Person vorliegt. Damit erweitert der EuGH den Anwendungsbereich erheblich.
Rechtliche Einordnung
Artikel 82 DSGVO gewährt Betroffenen einen Anspruch auf Schadensersatz, wenn ihnen durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entsteht. Während materielle Schäden leicht zu beziffern sind – etwa durch Identitätsdiebstahl oder unrechtmäßige Abbuchungen – war die Definition immaterieller Schäden bislang unklar.
Der EuGH betont nun, dass auch subjektive Beeinträchtigungen wie der Verlust der Kontrolle über eigene Daten oder das Gefühl, nicht mehr Herr der eigenen Informationen zu sein, einen Schaden darstellen können. Unternehmen können sich daher nicht mehr darauf verlassen, dass „kleine“ Verstöße ohne finanzielle Folgen bleiben. Entscheidend ist, ob die betroffene Person plausibel darlegen kann, dass sie durch den Vorfall einen Nachteil verspürt hat.
Bedeutung
Für Unternehmen hat das Urteil weitreichende Konsequenzen. Jede Datenpanne, selbst wenn sie nur wenige Datensätze betrifft oder scheinbar „harmlose“ Informationen umfasst, birgt nun das Risiko von Schadensersatzforderungen. Auch fehlerhafte Datenübermittlungen oder unzureichend dokumentierte Einwilligungen können zu Klagen führen.
Besonders riskant ist, dass immaterielle Schäden schwer objektiv messbar sind. Betroffene müssen keine finanziellen Verluste oder messbaren psychischen Schäden vorweisen, sondern können allein mit dem Hinweis auf Ärger, Sorgen oder Kontrollverlust Ansprüche geltend machen. Das erhöht die Unsicherheit und könnte eine Welle von Schadensersatzklagen nach sich ziehen.
Unternehmen sind daher gut beraten, ihre Datenschutzprozesse kritisch zu überprüfen. Wichtig sind insbesondere eine lückenlose Dokumentation von Einwilligungen, klare Prozesse zur Meldung und Behandlung von Datenpannen sowie transparente Kommunikationswege gegenüber Betroffenen. Ein professionelles Incident-Response-Management wird damit noch wichtiger, um Risiken frühzeitig zu erkennen und zu minimieren.
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt, LL.M. ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.