Art. 82 DSGVO: EuGH konkretisiert Anspruch auf immateriellen Schadensersatz

Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 11. April 2024 (C-741/21) grundlegende Maßstäbe für materielle und immaterielle Schadensersatzansprüche im Datenschutzrecht gesetzt. Insbesondere konkretisierte er die Voraussetzungen des Art. 82 DSGVO. Die Entscheidung hat erhebliche Auswirkungen auf Unternehmen, Betroffene und die gerichtliche Praxis – und stellt die Anforderungen an Schadensnachweise im Datenschutzrecht deutlich höher als bisher vermutet.

Hintergrund des EuGH-Urteils: Der Fall juris GmbH und Art. 82 DSGVO

Der Kläger, ein selbstständiger Rechtsanwalt, war Kunde des juristischen Datenbankanbieters juris GmbH. Nachdem er erfuhr, dass seine Daten für Werbezwecke verwendet wurden, widerrief er im November 2018 sämtliche Einwilligungen zur Direktwerbung – mit Ausnahme des Newsletters. Dennoch erhielt er im Januar und Mai 2019 erneut Werbeschreiben mit personalisierten Testcodes, über die auf Bestellmasken mit voreingetragenen Kundendaten zugegriffen werden konnte.

Er machte geltend, einen Kontrollverlust über seine personenbezogenen Daten erlitten zu haben, forderte materiellen Schadensersatz für Notarkosten sowie immateriellen Schadensersatz aufgrund einer Persönlichkeitsrechtsverletzung nach Art. 82 DSGVO. Die beklagte juris GmbH verwies auf organisatorische Maßnahmen und machte ein Fehlverhalten einzelner Mitarbeitender geltend. Das Landgericht Saarbrücken legte dem EuGH daraufhin mehrere Auslegungsfragen zu Art. 82 DSGVO und damit zum materiellen und immateriellen Schadensersatz im Datenschutzrecht vor.

Vorlagefragen des LG Saarbrücken an den EuGH zu Art. 82 DSGVO

Das Verfahren offenbarte erneut, wie interpretationsbedürftig Art. 82 DSGVO ist – selbst sechs Jahre nach Inkrafttreten der DSGVO. Die Vorlagefragen betrafen insbesondere die Voraussetzungen für den immateriellen Schadensersatz gemäß der DSGVO:

Reicht ein DSGVO-Verstoß allein aus für einen immateriellen Schadensersatzanspruch?
Muss der Schaden konkret, spürbar oder substantiell sein?
Kann ein immaterieller Schaden entstehen, selbst wenn die Daten öffentlich zugänglich sind (z. B. Telefonbuch)?
Ist eine Haftung nach der DSGVO nur bei menschlichem Versagen möglich – oder auch bei technischen Fehlern?
Hat der Grad des Verschuldens Einfluss auf die Höhe des immateriellen Schadensersatzanspruchs?
Wie ist bei mehrfachen DSGVO-Verstößen zu verfahren – einzeln oder pauschal?

Kernaussagen des EuGH zur DSGVO und zum immateriellen Schadensersatz

Kein immaterieller Schadensersatz ohne konkreten Nachweis

Der EuGH entschied: Ein DSGVO-Verstoß allein reicht nicht. Für einen Anspruch auf materiellen oder immateriellen Schadensersatz nach Art. 82 DSGVO müssen drei Elemente gemeinsam vorliegen:

Ein Verstoß gegen die DSGVO
Ein konkret erlittenes materielles oder immaterielles Schadenserlebnis
Ein Kausalzusammenhang zwischen Verstoß und Schaden

Praxishinweis: Ein „Kontrollverlust“ über personenbezogene Daten kann gemäß Erwägungsgrund 85 DSGVO grundsätzlich als immaterieller Schaden anerkannt werden. Allerdings ist eine konkrete und nachvollziehbare Darlegung des Schadens erforderlich.

EuGH zu Art. 82 DSGVO: Keine Entlastung bei Mitarbeiterfehlern

Art. 82 Abs. 3 DSGVO sieht einen Haftungsausschluss vor, wenn der Verantwortliche den Nachweis erbringt, dass er für den entstandenen Schaden in keinerlei Hinsicht verantwortlich ist. Die juris GmbH berief sich auf diesen Absatz – wegen angeblich weisungswidrigen Verhaltens ihrer Mitarbeitenden.

Doch der EuGH widersprach deutlich: Der Verweis auf Mitarbeiter reicht nicht aus. Unternehmen müssen durch technische und organisatorische Maßnahmen (Art. 24, 25, 32 DSGVO) sicherstellen, dass Datenschutzregelungen umgesetzt werden.

„Unternehmen müssen sich das Fehlverhalten ihrer Mitarbeitenden zurechnen lassen – selbst bei internen Datenschutzverstößen.“

Strafmaßkriterien aus Art. 83 DSGVO nicht auf Art. 82 DSGVO übertragbar

Die Kriterien zur Bußgeldhöhe nach Art. 83 DSGVO – etwa Schwere, Dauer oder Wiederholung von Datenschutzverstößen – sind nicht anwendbar auf materielle oder immaterielle Schadensersatzforderungen. Der EuGH stellt klar: Art. 82 DSGVO hat eine rein ausgleichende Funktion und dient nicht der Abschreckung.

Maßgeblich ist ausschließlich der individuell eingetretene materielle oder immaterielle Schaden. Auch bei mehreren Verstößen ist der Gesamtschaden entscheidend – nicht die Anzahl der Einzelfälle.

Bewertung des EuGH-Urteils zu Art. 82 DSGVO und Folgen für die Datenschutz-Compliance

Die Entscheidung des EuGH zu Art. 82 DSGVO bringt sowohl Klarheit als auch neue Herausforderungen – insbesondere für datensensible Branchen wie LegalTech, Gesundheitswesen, E-Commerce und Finanzdienstleister.

Auswirkungen auf Unternehmen:

Interne Datenschutzprozesse müssen klar dokumentiert werden
Mitarbeitende sind regelmäßig zu schulen (z. B. E-Learnings zu DSGVO-Grundlagen, wie unsere DSGVO-Schulung für Mitarbeiter, welche Sie sofort buchen können!)
Datenschutzmanagement muss auditierbar und nachweisbar gestaltet sein
Externe Berater sollten regelmäßig Audits oder Datenschutz-Folgeabschätzungen durchführen

Anforderungen an Betroffene:

Betroffene müssen nachvollziehbar darlegen, inwiefern ein konkreter materieller oder immaterieller Schaden gemäß der DSGVO entstanden ist
Bloße Rechtsverletzung reicht nicht mehr für immateriellen Schadensersatz
Psychologische, gesundheitliche oder wirtschaftliche Folgen müssen unter Umständen belegt werden, um immateriellen Schadensersatz zu erhalten

Fazit zu Art. 82 DSGVO: Was Unternehmen jetzt tun sollten

Das EuGH-Urteil zu Art. 82 DSGVO bringt Unternehmen auf der einen Seite Rechtssicherheit – auf der anderen Seite verlangt es höchste Sorgfalt bei der Einhaltung von Datenschutzpflichten.

Zusammengefasst:

Kein Schaden = Kein Anspruch auf materiellen oder immateriellen Schadensersatz gemäß der DSGVO
Keine Haftungsausschlüsse durch „Einzelfehler“ von Mitarbeitern
Konkrete Nachweise erforderlich
Schulung, Dokumentation und technischer Datenschutz gewinnen an Gewicht

Fragen zur rechtlichen Umsetzung der EuGH-Vorgaben bei Schadensersatzansprüchen nach Art. 82 DSGVO?

Unsere spezialisierten Rechtsanwälte für Datenschutzrecht und IT-Recht beraten Sie umfassend zu Schadensersatzansprüchen nach Art. 82 DSGVO und unterstützen Sie bei der rechtssicheren Umsetzung der EuGH-Vorgaben. Jetzt Beratungstermin vereinbaren!

❓ FAQ: EuGH-Urteil zum immateriellen Schadensersatz nach Art. 82 DSGVO

Was regelt Art. 82 DSGVO?

Art. 82 DSGVO begründet das Recht auf Schadensersatz für Personen, deren Datenschutzrechte verletzt wurden – sowohl bei materiellen als auch immateriellen Schäden.

Genügt ein bloßer Kontrollverlust über Daten für immateriellen Schadensersatz?

Nein, laut EuGH reicht der bloße Kontrollverlust für einen immateriellen Schaden nicht aus. Der Schaden muss konkret und nachvollziehbar dargelegt werden – z. B. durch Gutachten oder wirtschaftliche Nachteile.

Können auch immaterielle Schäden ersetzt werden?

Ja, aber nur wenn die immateriellen Schäden auch konkret belegt werden können. Allgemeine Unannehmlichkeiten oder bloße Rechtsverstöße reichen nicht aus.

Ist eine Haftungsfreistellung bei Mitarbeiterfehlern möglich?

Nur in Ausnahmefällen. Unternehmen müssen beweisen, dass sie keinerlei Pflichtverletzung begangen haben und organisatorisch alles Mögliche zur Verhinderung getan wurde.

Welche Rolle spielt der Verschuldensgrad?

Für den materiellen oder immateriellen Schadensersatz nach Art. 82 ist der Verschuldensgrad nicht maßgeblich – anders als bei Bußgeldern nach Art. 83 DSGVO. Entscheidend ist der tatsächliche Schaden.

Wie sollten sich Unternehmen jetzt aufstellen?

Unternehmen sollten ihre Datenschutzmaßnahmen dokumentieren, Mitarbeitende regelmäßig schulen und technische sowie organisatorische Maßnahmen kontinuierlich prüfen und verbessern, um das Risiko von Schadensersatzansprüchen nach Art. 82 DSGVO zu minimieren

Weiterführende Themen

DSGVO: EuGH stärkt Verbraucherschutzverbände - 1

DSGVO: EuGH stärkt Verbraucherschutzverbände und Verbandsklagen

DSGVO: EuGH stärkt Verbraucherschutzverbände – Zwei richtungsweisende Urteile verändern die Spielregeln im Datenschutzrecht: Verbände dürfen künftig auch ohne konkreten Auftrag gegen Unternehmen vorgehen. Was das für Ihre Datenschutzerklärung, Einwilligungsprozesse und die Abmahngefahr bedeutet, erfahren Sie hier.

Sonderkündigungsschutz für Datenschutzbeauftragte bestätigt - 1

EuGH bestätigt Sonderkündigungsschutz für Datenschutzbeauftragte

Der EuGH hat entschieden: Der Sonderkündigungsschutz für Datenschutzbeauftragte ist mit Art. 38 DSGVO vereinbar – allerdings nicht ohne Grenzen. Was das Urteil für Unternehmen, interne DSBs und künftige Kündigungen bedeutet, lesen Sie hier.

Art. 82 DSGVO: EuGH schafft Klarheit beim Schadensersatz - 1

Art. 82 DSGVO: EuGH konkretisiert Anspruch auf immateriellen Schadensersatz

Schadensersatz bei Datenschutzverstößen bleibt möglich – aber nur unter klaren Voraussetzungen. Der EuGH konkretisiert die Anforderungen an Art. 82 DSGVO.

*Rechtlicher Hinweis

Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Die Inhalte wurden mit größter Sorgfalt und nach bestem Wissen erstellt. Dennoch kann keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität übernommen werden.

Der Beitrag wurde am 03. November 2025 aktualisiert.

Änderungen der Rechtslage oder der Rechtsprechung, die nach diesem Datum erfolgt sind, sind nicht berücksichtigt. Bitte wenden Sie sich für eine individuelle rechtliche Beratung an einen Rechtsanwalt.

Kontaktieren Sie uns!

Haben Sie Fragen oder benötigen Sie rechtliche Unterstützung? Unser Team steht Ihnen zur Verfügung!

Haben Sie eine Rechtsfrage? Dann klicken Sie hier.

Haben Sie eine allgemeine Frage, füllen Sie das Formular unten aus.

Kontaktformular

Nachricht senden

Comments

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Firma

Name(erforderlich)

Vorname * Nachname *

Telefon

E-Mail

Nachricht(erforderlich)

Nachricht *

CAPTCHA