DSGVO-Schadensersatz: EuGH zur XING-Panne

Das aktuelle EuGH-Urteil C-655/23 zur XING-Panne der Quirin Privatbank setzt neue Maßstäbe für den DSGVO-Schadensersatz. Eine fehlgeleitete Nachricht im Recruiting-Prozess führte bis vor den Europäischen Gerichtshof (EuGH) und klärte entscheidende Fragen rund um den immateriellen Schaden nach Art. 82 DSGVO:

• Wann begründet eine Datenschutzverletzung einen Anspruch auf immateriellen Schaden nach Art. 82 DSGVO?
• Welche Rolle spielen Unterlassungsansprüche nach Art. 17 und 18 DSGVO?
• Wie wird der Kontrollverlust über personenbezogene Daten rechtlich bewertet?

Das Urteil vom 04.09.2025 bringt Klarheit: Schon negative Gefühle wie Sorge, Ärger oder Scham können einen Schadensersatzanspruch nach der DSGVO auslösen. Zudem existiert eine Bagatellgrenze beim DSGVO-Schadensersatz nicht. Gleichzeitig bestätigt der EuGH, dass die Datenschutz-Grundverordnung keinen präventiven Unterlassungsanspruch vorsieht, wenn keine Löschung der Daten beantragt wird.

Für Unternehmen bedeutet das:
Datenschutz im HR und der Umgang mit Bewerberdaten müssen künftig unter Umständen noch sorgfältiger behandelt und nach den Anforderungen der DSGVO ausgerichtet werden.

XING-Panne der Quirin Privatbank: Auslöser für EuGH-Urteil zum DSGVO-Schadensersatz im Recruiting

Sachverhalt der Datenschutzverletzung

Der Fall begann mit einer scheinbar kleinen Recruiting-Panne, die jedoch erhebliche datenschutzrechtliche Fragen auslöste. Eine Personalmitarbeiterin der Quirin Privatbank wollte einem Bewerber über das Karriereportal XING mitteilen, dass dessen Gehaltsvorstellungen die internen Budgets überschreiten. Stattdessen schickte sie die Nachricht versehentlich an einen ehemaligen Kollegen des Bewerbers, der ebenfalls in derselben Branche tätig war – ein klarer Verstoß gegen den Datenschutz im Recruiting.

Dieser leitete die Nachricht an den Bewerber weiter und fragte zugleich, ob dieser aktuell auf Jobsuche sei. Für den Betroffenen war dies mehr als nur eine peinliche Situation:
Er sah seine Vertraulichkeit verletzt und befürchtete, dass sensible Bewerberdaten wie Gehaltswünsche oder sein Bewerbungsstatus nun in der Branche bekannt werden könnten.

Daraufhin erhob der Bewerber Klage auf DSGVO-Schadensersatz und machte zusätzlich einen Unterlassungsanspruch geltend, um eine erneute Datenschutzverletzung zu verhindern.

Instanzenzug bis zum EuGH

• Das LG Darmstadt sprach dem Kläger zunächst 1.000 Euro immateriellen Schadensersatz nach Art. 82 DSGVO zu.
• Das OLG Frankfurt wies diese Forderung jedoch in der Berufung ab.
• Schließlich landete der Fall beim Bundesgerichtshof (BGH), der die zentralen Fragen zur Auslegung der DSGVO an den EuGH weiterleitete.

Die Vorlagefragen des BGH an den EuGH zur Auslegung der DSGVO

Der BGH legte dem EuGH mehrere Vorlagefragen vor, um zentrale Unsicherheiten bei der Auslegung der DSGVO im Zusammenhang mit der XING-Panne der Quirin Privatbank zu klären.
Im Mittelpunkt standen die Rechte der betroffenen Person und die Reichweite von Schadensersatz- und Unterlassungsansprüchen nach der DSGVO.

1. Unterlassungsanspruch ohne Löschungsantrag

Kann eine betroffene Person verlangen, dass der Verantwortliche künftige rechtswidrige Datenverarbeitungen unterlässt, auch wenn sie keine Löschung nach Art. 17 DSGVO beantragt?

2.Präventive Wirkung der DSGVO

Falls die DSGVO selbst keinen präventiven Unterlassungsanspruch vorsieht:
Dürfen Mitgliedstaaten dennoch nationale Rechtsbehelfe schaffen, um Betroffene vor künftigen Datenschutzverletzungen zu schützen?

3. Begriff des immateriellen Schadens

Umfasst Art. 82 DSGVO auch negative Gefühle wie Ärger, Sorge oder Scham?
Reicht bereits der Kontrollverlust über personenbezogene Daten aus, oder müssen Betroffene zusätzliche objektive Nachteile oder Folgeschäden nachweisen?

4. Bedeutung des Verschuldens

Darf der Grad des Verschuldens des Verantwortlichen, z. B. Fahrlässigkeit oder Vorsatz, bei der Berechnung der Höhe des DSGVO-Schadensersatzes berücksichtigt werden?

5. Kombination von Ansprüchen

Wird der Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO reduziert, wenn Betroffene zusätzlich einen Unterlassungstitel durchsetzen können?

Diese Vorlagefragen sind von hoher praktischer Relevanz, weil sie klären, wie weit der Schutz Betroffener nach der DSGVO tatsächlich reicht und in welchen Fällen nationale Rechtsordnungen ergänzend eingreifen dürfen.

Die Antworten des EuGH: Neue Leitlinien zum DSGVO-Schadensersatz und Unterlassungsanspruch

Der EuGH nutzte den Fall der Quirin Privatbank als Gelegenheit, um mehrere bislang umstrittene Fragen zur Auslegung der DSGVO zu klären.
Das Urteil vom 04.09.2025 setzt neue Maßstäbe für den DSGVO-Schadensersatz und präzisiert die Rechte der betroffenen Personen.

1. Kein präventiver Unterlassungsanspruch aus der DSGVO

Die DSGVO selbst sieht keinen Anspruch darauf vor, künftige rechtswidrige Datenverarbeitungen zu verhindern, wenn keine Löschung der Daten nach Art. 17 DSGVO beantragt wird.
Allerdings dürfen die Mitgliedstaaten über ihre nationalen Rechtsordnungen zusätzliche Unterlassungsansprüche ermöglichen.

2. Weit gefasster Begriff des immateriellen Schadens

Der EuGH stellt klar, dass Art. 82 DSGVO auch negative Gefühle wie Ärger, Scham, Sorge oder bereits den bloßen Kontrollverlust über personenbezogene Daten umfasst.
Für einen Schadensersatzanspruch nach der DSGVO ist es nicht erforderlich, dass Betroffene objektive Nachteile wie Rufschädigung oder finanzielle Verluste nachweisen.

3. Keine Bagatellgrenze beim DSGVO-Schadensersatz

Der EuGH bestätigt seine Linie aus dem Verfahren Österreichische Post (C-300/21):
Für den immateriellen Schaden nach Art. 82 DSGVO gibt es keine Erheblichkeitsschwelle.
Jeder nachweisbare Kontrollverlust oder jede belegbare psychische Belastung kann zu einem Anspruch auf DSGVO-Schadensersatz führen.

4. Grad des Verschuldens ist irrelevant

Der DSGVO-Schadensersatz nach Art. 82 DSGVO hat eine reine Ausgleichsfunktion.
Ob der Verantwortliche vorsätzlich oder fahrlässig gehandelt hat, spielt für die Höhe der Entschädigung keine Rolle.
Im Gegensatz zu Geldbußen nach Art. 83 DSGVO geht es hier nicht um Abschreckung, sondern ausschließlich um den Ausgleich des erlittenen Schadens.

5. Unterlassungstitel beeinflusst Schadensersatz nicht

Ein zusätzlich erwirktes Unterlassungsurteil mindert den Anspruch auf DSGVO-Schadensersatz nicht.
Beide Ansprüche bestehen nebeneinander und verfolgen unterschiedliche Ziele:

• Unterlassung schützt präventiv vor künftigen Verstößen.
• Schadensersatz gleicht bereits entstandene Schäden aus.

Mit diesen Leitlinien sorgt der EuGH für mehr Rechtssicherheit, erhöht aber zugleich die Pflichten für Unternehmen:
Schon der Kontrollverlust über personenbezogene Daten oder psychische Belastungen können künftig erhebliche finanzielle Ansprüche auslösen.

Praktische Folgen für Unternehmen, HR-Abteilungen und Recruiting-Prozesse

1. Verstärkte Schadensersatzansprüche im Recruiting

Für HR-Abteilungen bedeutet das Urteil, dass Bewerberinnen und Bewerber künftig verstärkt DSGVO-Schadensersatzansprüche geltend machen können, wenn ihre Bewerberdaten wie Gehaltsvorstellungen, Bewerbungsstatus oder andere vertrauliche Informationen unbefugt an Dritte gelangen.

Dabei spielt es keine Rolle, ob die Daten tatsächlich missbraucht werden:
Schon der Kontrollverlust und daraus resultierende negative Gefühle wie Scham, Ärger oder Sorge genügen künftig, um einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO zu begründen.

2. Erhöhte Anforderungen an Datenschutzmaßnahmen

Auch die Dokumentation von Datenschutzmaßnahmen wird wichtiger denn je:
Unternehmen müssen nachweisen können, dass sie technische und organisatorische Maßnahmen gemäß der DSGVO implementiert haben, um den Schutz personenbezogener Daten zu gewährleisten.

Fehlerhafte Prozesse, unzureichende Schulungen oder unklare Zuständigkeiten können nicht nur Reputationsschäden verursachen, sondern auch zu hohen finanziellen Forderungen führen.

3. Recruiting über soziale Netzwerke kritisch prüfen

Besonders HR-Teams, die soziale Netzwerke wie XING oder LinkedIn im Online-Recruiting nutzen, sollten ihre Abläufe kritisch überprüfen.

Das Urteil macht deutlich:
Datenschutz im Recruiting-Prozess ist keine Formalie, sondern eine strategische Pflicht, die sowohl rechtliche Sicherheit als auch Vertrauen von Bewerbern schützt.

Handlungsempfehlungen zur Vermeidung von DSGVO-Schadensersatz

Das EuGH-Urteil zeigt deutlich: Datenschutz ist kein optionales Thema, sondern eine strategische Pflicht, besonders im Recruiting-Prozess.
Um DSGVO-Risiken und hohe Schadensersatzforderungen zu vermeiden, sollten Unternehmen ihre Recruiting-Compliance konsequent verbessern und die Verarbeitung von Bewerberdaten klar regeln.

Fünf konkrete Maßnahmen zur DSGVO-Optimierung im Recruiting

1. Sensibilisierung und Schulungen für HR-Teams

• HR-Mitarbeiter sollten regelmäßig zu den Anforderungen der DSGVO geschult werden.
• Besonders wichtig: der Umgang mit Bewerberdaten und die Nutzung digitaler Kommunikationskanäle wie XING, LinkedIn oder E-Mail.

2. Technische und organisatorische Datenschutzmaßnahmen

• Nutzung sicherer Kommunikationsplattformen
• Zwei-Faktor-Authentifizierung
• Strikte Zugriffsrechte
  Diese Maßnahmen reduzieren das Risiko von Fehlversendungen und schützen sensible Bewerberinformationen.

3. Klare Verantwortlichkeiten im Recruiting

• Fehler entstehen oft durch unklare Zuständigkeiten.
• Unternehmen sollten eindeutig festlegen, wer für die Verarbeitung, Speicherung und Übermittlung von Bewerberdaten verantwortlich ist.

4. Dokumentationspflichten konsequent umsetzen

• Eine lückenlose Dokumentation ist entscheidend, um im Streitfall nachweisen zu können, dass angemessene technische und organisatorische Maßnahmen zur Einhaltung der DSGVO ergriffen wurden.

5. Reaktionspläne für Datenpannen entwickeln

Wenn es dennoch zu einer Datenschutzverletzung kommt, muss das Unternehmen schnell handeln.
Ein wirksamer Reaktionsplan umfasst:

• interne Meldung der Datenpanne,
• Information der betroffenen Personen,
• Benachrichtigung der Aufsichtsbehörde gemäß Art. 33 DSGVO.

Ergebnis zur DSGVO-Optimierung im Recruiting:

Wer diese Maßnahmen konsequent umsetzt, reduziert nicht nur DSGVO-Risiken und mögliche Schadensersatzforderungen, sondern stärkt gleichzeitig das Vertrauen von Bewerbern.
Das Urteil macht klar: Datenschutz ist ein entscheidender Faktor im HR für Rechtssicherheit und Employer Branding.

Fazit: EuGH-Urteil stärkt Betroffenenrechte und verschärft Recruiting-Pflichten

Das EuGH-Urteil zur XING-Panne der Quirin Privatbank markiert einen Meilenstein für den DSGVO-Schadensersatz.
Der Gerichtshof stellte klar: Bereits negative Gefühle wie Sorge, Scham oder Ärger sowie der Kontrollverlust über personenbezogene Daten können einen immateriellen Schaden im Sinne von Art. 82 DSGVO begründen und zwar selbst dann, wenn kein tatsächlicher Datenmissbrauch vorliegt.

Für Unternehmen und insbesondere HR-Abteilungen bedeutet das:
Der Recruiting-Datenschutz ist keine Nebensache mehr, sondern ein zentraler Bestandteil der DSGVO-Compliance.
Die Prozesse im Online-Recruiting müssen künftig sorgfältig gestaltet, Bewerberdaten besonders geschützt und Mitarbeiter umfassend geschult werden.

Die wichtigste Lehre aus dem Urteil:
Schon kleine Datenschutzfehler, wie das falsche Versenden einer Nachricht im Recruiting-Prozess, können erhebliche rechtliche und finanzielle Konsequenzen haben und einen DSGVO-Schadensersatz begründen.

Unternehmen, die auf Transparenz, sichere Prozesse und konsequente Datenschutzmaßnahmen setzen, können nicht nur DSGVO-Risiken minimieren, sondern zugleich das Vertrauen potenzieller Bewerber stärken.

Fragen zum DSGVO-Schadensersatz im Recruiting? 

Unsere spezialisierten Rechtsanwälte für Datenschutzrecht beraten Sie umfassend zum Thema DSGVO-Schadensersatz und helfen Ihnen, Datenschutzverstöße im Recruiting und HR-Bereich wirksam zu vermeiden. Jetzt Beratung im IT- und Datenschutzrecht anfordern oder unverbindlich Kontakt mit uns aufnehmen!