Art. 82 DSGVO: KG Berlin präzisiert immateriellen Schadensersatz

Datenschutzverstöße und deren rechtliche Folgen sind weiterhin ein zentral diskutiertes Thema in der aktuellen Rechtsprechung. Jüngst haben sowohl das Landgericht Berlin als auch das Kammergericht Berlin wegweisende Urteile gefällt, die wichtige Klarheit über den immateriellen Schadensersatz bei DSGVO-Verstößen schaffen. Dabei steht Art. 82 DSGVO im Mittelpunkt, der die Ansprüche Betroffener auf Schadensersatz regelt.

Während der Europäische Gerichtshof (EuGH) bereits entschieden hat, dass es keine Bagatellgrenze für Schadensersatzansprüche gibt, konkretisieren die Berliner Gerichte, dass Betroffene dennoch einen konkreten Nachweis für ihre individuelle Beeinträchtigung erbringen müssen.

Wichtig für Betroffene:
Sorgen, Ängste oder seelische Beeinträchtigungen aufgrund eines Datenlecks können grundsätzlich einen Anspruch auf immateriellen Schadensersatz begründen. Jedoch nur dann, wenn diese individuell dargelegt und belegt werden.

Dies verdeutlicht insbesondere das Urteil des Kammergerichts Berlin vom 22.11.2023 (Az.: 28 U 5/23), in dem es heißt:

„Der bloße Kontrollverlust über personenbezogene Daten reicht nicht automatisch aus, um einen Anspruch auf Schadensersatz nach Art. 82 DSGVO geltend zu machen.“

Hintergrund zum Datenleck: Gebündelte Anspruchsdurchsetzung und Auskunftsanspruch nach Art. 15 DSGVO

Im zugrunde liegenden Fall ging es um einen Hackerangriff auf die Nutzer einer bekannten Fitness-App, bei dem im Juli 2018 rund 1,9 GB personenbezogene Daten entwendet und anschließend auf einer öffentlich zugänglichen Website zum Download bereitgestellt wurden.

Betroffen waren sensible personenbezogene Daten, darunter:

Namen und E-Mail-Adressen
Passwörter
Profilbilder
IP-Adressen

Ein Legal-Tech-Unternehmen hatte daraufhin die Schadensersatzansprüche zahlreicher Betroffener gemäß Art. 82 DSGVO vertraglich an sich abtreten lassen und diese gebündelt im eigenen Namen vor Gericht geltend gemacht. Die Klage umfasste zwei Hauptforderungen:

Umfassende Auskunftserteilung nach Art. 15 DSGVO
Immaterieller Schadensersatz in Höhe von mindestens 5.400 Euro pro betroffener Person

Das Landgericht Berlin wies die Klage jedoch vollständig ab. Es stellte klar, dass der Auskunftsanspruch gemäß Art. 15 DSGVO höchstpersönlich ist und deshalb nicht abgetreten werden kann. Zwar können Betroffene Dritte bevollmächtigen, um ihre Datenschutzansprüche durchzusetzen, die eigentliche Auskunft muss jedoch direkt an die betroffene Person erfolgen.

Kein automatischer Schadensersatz: Was das Kammergericht Berlin entschieden hat

Das Kammergericht Berlin bestätigte die Entscheidung des Landgerichts Berlin vom 24.03.2023 (Az.: 38 O 221/22) und setzte damit wichtige Leitplanken für die Auslegung von Art. 82 DSGVO.

Der Senat betonte ausdrücklich, dass die DSGVO keine Bagatellgrenze vorsieht. Das bedeutet: Jeder immaterielle Schaden kann grundsätzlich ersatzfähig sein. Gleichzeitig stellte das Gericht jedoch klar, dass Betroffene konkrete individuelle Nachteile darlegen müssen, um Schadensersatzansprüche erfolgreich geltend zu machen.

Wichtige Kernaussagen des Kammergerichts

Keine Bagatellgrenze: Auch geringfügige Schäden können ersatzfähig sein.
Konkreter Nachweis erforderlich: Pauschale Behauptungen reichen nicht aus.
Kontrollverlust allein genügt nicht: Der reine Umstand, dass personenbezogene Daten durch ein Datenleck kompromittiert wurden, reicht nicht automatisch für einen Anspruch auf immateriellen Schadensersatz.
Individuelle Beeinträchtigung nachweisen: Angst, Sorgen oder seelische Belastungen müssen konkret und individuell belegt werden.

Damit stärkt das Kammergericht die Position von Unternehmen, die Opfer eines Datenlecks wurden, und schafft gleichzeitig einen klaren Rahmen für Betroffene, die Schadensersatzansprüche nach Art. 82 DSGVO geltend machen wollen.

Praktische Bedeutung

Diese Entscheidung ist besonders relevant für Unternehmen mit hohen Datenschutzrisiken, da sie den Umfang möglicher Haftungen präzisiert. Gleichzeitig erhalten Betroffene klare Hinweise, welche Nachweise erforderlich sind, um vor Gericht erfolgreich zu sein.

Was sollten Unternehmen und Betroffene jetzt tun?

Die Urteile des Landgerichts Berlin und des Kammergerichts Berlin verdeutlichen, dass sowohl Unternehmen als auch Betroffene ihre Strategien im Umgang mit Datenschutzverletzungen und der Durchsetzung von Schadensersatzansprüchen künftig anpassen müssen.

Für Unternehmen bedeutet die Entscheidung, dass die Anforderungen an den Nachweis immaterieller Schäden nach Art. 82 DSGVO nun deutlich präziser gefasst sind. Ein bloßer Kontrollverlust über personenbezogene Daten reicht nicht mehr aus, um Schadensersatzforderungen erfolgreich abzuwehren oder durchzusetzen. Unternehmen sind daher gut beraten, ihre internen Datenschutzmaßnahmen zu überprüfen und rechtssicher zu dokumentieren.

Empfehlungen für Unternehmen

Technische und organisatorische Maßnahmen dokumentieren
→ Sämtliche Schutzmaßnahmen gemäß Art. 32 DSGVO sollten lückenlos festgehalten werden, um im Streitfall Compliance nachweisen zu können.
Transparente Informationspflichten erfüllen
→ Betroffene müssen nach Art. 33 und 34 DSGVO zeitnah und umfassend über Datenpannen informiert werden, um Haftungsrisiken zu minimieren und Vertrauen zu stärken.
Vorbereitung auf gezielte Einzelklagen
→ Da Gerichte künftig eine individuelle Darlegung immaterieller Schäden verlangen, sollten Unternehmen auf präzise Einzelfallprüfungen vorbereitet sein.

Für Betroffene erhöhen die Urteile ebenfalls die Anforderungen an eine erfolgreiche Geltendmachung von Schadensersatzansprüchen. Pauschale Behauptungen reichen nicht mehr aus. Erforderlich ist eine konkrete Darstellung der persönlichen Beeinträchtigung infolge des Datenlecks.

Empfehlungen für Betroffene

Seelische Belastungen belegen
→ Dokumentieren Sie mögliche psychische Belastungen, etwa Stress, Angst oder Schlafstörungen nach einer Datenpanne.
Finanzielle Schäden nachweisen
→ Sammeln Sie Belege für Identitätsdiebstahl, betrügerische Kontoeröffnungen oder Phishing-Angriffe.
Reputationsschäden konkretisieren
→ Betroffene sollten nachweisbare berufliche oder persönliche Nachteile durch die Veröffentlichung personenbezogener Daten dokumentieren.

Diese praxisnahen Leitlinien helfen beiden Seiten, Datenschutzverstöße rechtssicher zu managen und Schadensersatzansprüche nach der DSGVO gezielt vorzubereiten. Andernfalls kann die Entscheidung, wie im vorliegenden Fall, zu Ungunsten der Kläger ausfallen:
Das Landgericht Berlin stellte ausdrücklich fest, dass die Klägerin keine hinreichenden Beweise vorgelegt hatte, ob die entwendeten Daten überhaupt ausgelesen oder missbraucht werden konnten. Daher blieb ihre Klage ohne Erfolg.

Fazit: Wegweisende Urteile zu Schadensersatzansprüchen nach DSGVO

Die Urteile des Landgerichts Berlin und des Kammergerichts Berlin setzen klare Maßstäbe für den immateriellen Schadensersatz nach Art. 82 DSGVO. Sie verdeutlichen, dass kein Anspruch auf Schadensersatz allein durch den Kontrollverlust über personenbezogene Daten entsteht. Betroffene müssen konkrete individuelle Beeinträchtigungen nachweisen, um erfolgreich Schadensersatz geltend machen zu können.

Für Unternehmen bedeutet dies, dass präventiver Datenschutz wichtiger denn je ist: technische und organisatorische Maßnahmen müssen sorgfältig dokumentiert und Betroffene transparent informiert werden. Gleichzeitig wissen Betroffene nun genauer, welche Nachweise erforderlich sind, um ihre Datenschutzansprüche DSGVO-konform durchzusetzen.

❓ FAQ zum immateriellen Schadensersatz nach Art. 82 DSGVO

Wann haben Betroffene Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO?

Betroffene können immateriellen Schadensersatz verlangen, wenn sie durch einen Datenschutzverstoß individuell beeinträchtigt wurden. Ängste, Stress oder seelische Belastungen müssen konkret dargelegt und belegt werden. Ein bloßer Kontrollverlust über personenbezogene Daten reicht laut KG Berlin nicht aus.

Bedeutet jedes Datenleck automatisch einen Anspruch auf Schadensersatz?

Nein. Laut Kammergericht Berlin begründet ein Datenleck allein keinen Anspruch. Nur wenn nachweisbare psychische, finanzielle oder reputationsbezogene Nachteile entstehen, haben Betroffene eine realistische Chance auf Schadensersatzansprüche.

Was müssen Betroffene nach einem DSGVO-Verstoß nachweisen?

Gerichte verlangen einen konkreten Nachweis der individuellen Beeinträchtigung. Dazu zählen z. B.:

Psychische Belastungen wie Stress oder Angstzustände
Finanzielle Schäden durch Identitätsdiebstahl oder Phishing
Berufliche Nachteile oder Reputationsschäden

Warum scheitern viele DSGVO-Klagen?

Viele Klagen werden abgewiesen, weil keine Beweise vorgelegt werden.
Im konkreten Fall stellte das Landgericht Berlin fest, dass nicht nachgewiesen wurde, ob die gestohlenen Daten ausgelesen oder missbraucht wurden – die Klage blieb erfolglos.

Wie können Unternehmen das Risiko von Schadensersatzforderungen minimieren?

Unternehmen sollten:

DSGVO-Compliance lückenlos dokumentieren
Datenpannen schnell melden
Betroffene transparent informieren
Interne Datenschutzstrategien regelmäßig prüfen und anpassen

*Rechtlicher Hinweis

Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Die Inhalte wurden mit größter Sorgfalt und nach bestem Wissen erstellt. Dennoch kann keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität übernommen werden.

Der Beitrag wurde am 15. September 2025 aktualisiert.

Änderungen der Rechtslage oder der Rechtsprechung, die nach diesem Datum erfolgt sind, sind nicht berücksichtigt. Bitte wenden Sie sich für eine individuelle rechtliche Beratung an einen Rechtsanwalt.

Kontaktieren Sie uns!

Haben Sie Fragen oder benötigen Sie rechtliche Unterstützung? Unser Team steht Ihnen zur Verfügung!

Haben Sie eine Rechtsfrage? Dann klicken Sie hier.

Haben Sie eine allgemeine Frage, füllen Sie das Formular unten aus.

Kontaktformular

Nachricht senden

Firma

Name(erforderlich)

Vorname * Nachname *

Telefon

E-Mail

Nachricht(erforderlich)

Nachricht *

CAPTCHA

Phone

Dieses Feld dient zur Validierung und sollte nicht verändert werden.