Das OLG Dresden hat am 14. März 2023 (Az. 4 U 1377/22) entschieden, dass Unternehmen keinen DSGVO-Schadensersatz nach Art. 82 DSGVO geltend machen können. Die Entscheidung hat erhebliche Bedeutung für den Datenschutz im Unternehmenskontext. Damit setzt das Gericht klare Grenzen für den DSGVO-Schadensersatz für Unternehmen und stärkt die Linie, dass Art. 82 DSGVO primär Individualschutz bezweckt.
Demnach können juristische Personen – etwa GmbHs, AGs oder Vereine – grundsätzlich keine DSGVO-Schadensersatzansprüche nach Art. 82 DSGVO geltend machen, wenn es um die Verarbeitung personenbezogener Daten geht.
Kernaussage: Kein DSGVO-Schadensersatz für Unternehmen
Das Gericht stellte fest, dass die DSGVO ausschließlich natürliche Personen schützt. Daher sind Unternehmen nicht anspruchsberechtigt, wenn es um Schadensersatz nach Art. 82 DSGVO geht.
Diese Feststellung ist entscheidend für alle B2B-Datenschutzverfahren.
Hintergrund des OLG-Dresden-Verfahrens
Der Rechtsstreit begann, als ein Unternehmen gerichtlich gegen die Verwendung interner Mitarbeiterinformationen vorging. Im Zentrum stand die Frage, ob ein DSGVO-Schadensersatz für Unternehmen nach Art. 82 DSGVO möglich ist.
Welche Daten offengelegt wurden
Der Beklagte hatte im Rahmen eines anderen Verfahrens Urlaubslisten, Angaben zu krankheitsbedingten Fehlzeiten und Prämienzahlungen vorgelegt. Diese Daten stammten aus der internen Lohnbuchhaltung der Klägerin.
Auf welche Rechtsgrundlage sich die Klägerin berief
Das Unternehmen sah darin einen unzulässigen Eingriff in den Datenschutz und stützte seine Klage auf mehrere Rechtsgrundlagen: die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) sowie allgemeine zivilrechtliche Ansprüche nach §§ 823, 1004 BGB.
Die Klägerin argumentierte, dass bereits die Weitergabe und Nutzung dieser internen Listen eine Verletzung des Datenschutzrechts darstelle, unabhängig davon, ob die betroffenen Personen – hier die Mitarbeiter – selbst geklagt hätten. Sie sah sich als Inhaberin der Daten berechtigt, Unterlassung, Auskunft über die Datenverwendung sowie Herausgabe der übermittelten Informationen zu verlangen.
Warum der Fall für Unternehmen relevant wurde
Der Fall bot dem Gericht die Gelegenheit, zentrale Fragen zur Anwendbarkeit der DSGVO auf Unternehmen, zur Reichweite des BDSG und zum Schutzumfang des Geschäftsgeheimnisrechts zu klären. Die Entscheidung des OLG Dresden sollte schließlich deutlich machen, welche rechtlichen Grenzen für Unternehmen bei der Berufung auf Datenschutz bestehen.
Warum Art. 82 DSGVO nur natürliche Personen schützt
Das OLG Dresden nutzte den Fall, um zentrale Grundsatzfragen zur Reichweite des Datenschutzrechts für juristische Personen zu klären. Ausgangspunkt war Art. 4 Nr. 1 DSGVO, der den Schutz personenbezogener Daten ausdrücklich nur für natürliche Personen vorsieht. Juristische Personen – wie GmbHs, AGs oder Vereine – fallen nicht darunter. Folglich können Unternehmen keinen Schadensersatz nach Art. 82 DSGVO beanspruchen.
Das Gericht prüfte zudem das Bundesdatenschutzgesetz (BDSG). Ergebnis: Das BDSG schafft keine eigenständigen Ansprüche für Unternehmen, sondern dient der Umsetzung und Ergänzung der DSGVO, insbesondere im Bereich des Beschäftigtendatenschutzes. Nationale Gesetze dürfen laut OLG Dresden nicht genutzt werden, um über die DSGVO hinaus Ansprüche zu konstruieren. Dies folgt aus dem Anwendungsvorrang des EU-Rechts.
Datenschutzrechtliche Ansprüche und ihre Grenzen
Besondere Bedeutung hat die Feststellung, dass datenschutzrechtliche Ansprüche höchstpersönlicher Natur sind. Das heißt: Sie können nicht übertragen werden und stehen ausschließlich den unmittelbar betroffenen Personen zu. Unternehmen müssen daher alternative rechtliche Instrumente nutzen, um ihre Interessen zu schützen – etwa vertragliche Vereinbarungen, das Geschäftsgeheimnisrecht oder andere spezialgesetzliche Regelungen.
Zu unterscheiden sind daher Fälle, in denen entsprechende Verträge mit Dienstleistern verletzt werden. Dann ergeben sich die Ansprüche natürlich aus dem Vertrag, was aber nichts mit Datenschutzrecht zu tun hat.
In Fällen, in denen kein Vertrag besteht, haben die Ansprüche nur die Betroffenen, deren Daten tatsächlich verarbeitet werden. Dies könnten beispielsweise Arbeitnehmer der juristischen Person sein.
Bedeutung des Urteils für Unternehmen
Der Datenschutz im Unternehmenskontext sollte als strategische Daueraufgabe verstanden werden, die über die reine Anwendung der DSGVO hinausgeht. Unternehmen sind gut beraten, ihre Datenschutzkonzepte um ergänzende rechtliche Instrumente – wie vertragliche Regelungen, branchenspezifische Vorschriften und das Geschäftsgeheimnisrecht – zu erweitern. Das Urteil des OLG Dresden trägt zwar zu mehr Rechtssicherheit bei, zieht jedoch zugleich eine klare Grenze: Juristische Personen können sich nicht auf Schadensersatzansprüche nach Art. 82 DSGVO stützen.
Mitarbeiterdaten und Geschäftsgeheimnisse
Ein zentrales Element der Entscheidung des OLG Dresden war die Frage, ob Urlaubslisten, Krankheitszeiten und Prämienzahlungen von Mitarbeitern als Geschäftsgeheimnisse im Sinne des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) gelten. Das Gericht verneinte dies eindeutig. Der Grund: Solche personenbezogenen Daten haben in der Regel keinen wirtschaftlichen Wert im wettbewerbsrechtlichen Sinne.
Voraussetzungen eines Geschäftsgeheimnisses
- Geheimhaltung: Die Information ist weder insgesamt noch in ihrer konkreten Zusammensetzung und Anordnung allgemein bekannt oder für Fachkreise ohne Weiteres zugänglich.
- Wirtschaftlicher Wert: Sie besitzt aufgrund ihrer Geheimhaltung einen wirtschaftlichen Wert.
- Schutzmaßnahmen: Der rechtmäßige Inhaber hat unter Berücksichtigung der Umstände angemessene Maßnahmen ergriffen, um die Information geheim zu halten.
- Berechtigtes Geheimhaltungsinteresse: Es besteht ein nachvollziehbares Interesse daran, dass die Information nicht öffentlich wird.
DSGVO-Schadensersatz für Unternehmen: Warum der wirtschaftliche Wert hier fehlt
Im vorliegenden Fall konnte das Unternehmen nicht darlegen, dass die Offenlegung der Urlaubslisten seine Wettbewerbsposition beeinträchtigen würde. Damit fehlte das entscheidende Kriterium des wirtschaftlichen Nutzens. Das OLG Dresden stellte klar: Auch wenn Arbeitgeber ein berechtigtes Interesse am Schutz solcher Listen haben, reicht dies allein nicht für den gesetzlichen Geheimnisschutz aus.
Abgrenzung: Wann interne Daten als Geschäftsgeheimnis gelten können
Für Unternehmen bedeutet dies: Nicht jede interne Information fällt automatisch unter das Geschäftsgeheimnisrecht. Sensible Unternehmensdaten sollten deshalb gezielt klassifiziert, dokumentiert und – falls wirtschaftlich relevant – durch vertragliche und technische Maßnahmen abgesichert werden. Nur so ist ein wirksamer Schutz nach dem GeschGehG gewährleistet.
Höchstpersönlichkeit datenschutzrechtlicher Ansprüche
Das OLG Dresden stellte in seinem Urteil klar, dass sich juristische Personen nicht auf das Allgemeine Persönlichkeitsrecht oder das daraus abgeleitete Recht auf informationelle Selbstbestimmung berufen können, um datenschutzrechtliche Unterlassungsansprüche durchzusetzen. Diese Grundrechte sind ausschließlich zum Schutz natürlicher Personen konzipiert und dienen der Wahrung ihrer persönlichen Entfaltung.
Zwar können Unternehmen in bestimmten Ausnahmefällen einen zivilrechtlichen Persönlichkeitsschutz genießen – etwa wenn ihre geschäftliche Reputation oder ihre Stellung als Arbeitgeber massiv bedroht ist. Im vorliegenden Verfahren lagen solche besonderen Umstände jedoch nicht vor. Die fraglichen E-Mails enthielten ausschließlich wahre Tatsachenbehauptungen, die weder rufschädigend noch ehrenrührig waren.
Alternativen zum DSGVO-Schadensersatz für Unternehmen
Das Gericht betonte, dass der Anwendungsbereich des Persönlichkeitsrechts strikt von datenschutzrechtlichen Ansprüchen zu trennen ist. Unternehmen können ihre Interessen im Bereich Datenschutz daher nicht über Grundrechte absichern, sondern müssen auf vertragliche Schutzmechanismen und spezialgesetzliche Vorschriften zurückgreifen.
Handlungsempfehlungen für den Datenschutz im Unternehmen
Die Entscheidung des OLG Dresden hat erhebliche Auswirkungen auf den Umgang mit Datenschutz im Unternehmenskontext – insbesondere im Hinblick auf den DSGVO-Schadensersatz für Unternehmen. Sie stellt klar: Schadensersatzansprüche nach Art. 82 DSGVO stehen ausschließlich natürlichen Personen zu. Unternehmen als juristische Personen können sich nicht auf diese Vorschrift stützen, selbst wenn interne Mitarbeiterdaten unbefugt verarbeitet werden. Damit entfällt ein oft vermuteter Rechtsweg, um sich gegen Datenschutzverletzungen zu wehren.
In der Praxis bedeutet dies, dass Unternehmen ihre Datenschutz- und Compliance-Strategien neu ausrichten müssen. Der Fokus sollte stärker auf der Prävention liegen, welche durch vertraglichen Schutzmechanismen, internen Richtlinien und dem gezielten Einsatz des Geschäftsgeheimnisrechts umgesetzt werden kann. Der bloße Verweis auf die DSGVO reicht nicht aus, um Unternehmensinformationen zu sichern, wenn diese keinen wirtschaftlichen Wert im Sinne des GeschGehG besitzen.
Empfohlene Maßnahmen zur rechtssicheren Datenverarbeitung im Unternehmen
- Arbeitsverträge und Geheimhaltungsvereinbarungen (NDAs) regelmäßig prüfen und anpassen.
- Interne Daten nach wirtschaftlicher Relevanz und Schutzwürdigkeit klassifizieren.
- Technische Schutzmaßnahmen (z. B. Zugriffsbeschränkungen, Verschlüsselung) implementieren.
- Führungskräfte und Mitarbeiter im sicheren Umgang mit sensiblen Daten schulen.
- Dokumentation aller Datenschutz- und Geheimnisschutzmaßnahmen führen.
Langfristig stärkt dieses Urteil das Bewusstsein, dass Datenschutz im Unternehmenskontext strategisch geplant werden muss. Unternehmen sollten daher proaktiv Strukturen schaffen, um personenbezogene Daten rechtssicher zu schützen – denn das Urteil zum DSGVO-Schadensersatz für Unternehmen verdeutlicht, dass rechtliche Ansprüche hier nicht greifen.
Fazit: Klare Grenzen des DSGVO-Schadensersatzes für Unternehmen
Das Urteil des OLG Dresden verdeutlicht, dass Schadensersatzansprüche nach Art. 82 DSGVO ausschließlich natürlichen Personen zustehen. Ein DSGVO-Schadensersatz für Unternehmen scheidet damit grundsätzlich aus, sodass juristische Personen ihre Interessen nur über andere Anspruchsgrundlagen und Schutzmechanismen durchsetzen können. Unternehmen müssen daher alternative rechtliche Instrumente nutzen, um ihre Daten und Interessen wirksam zu schützen. Für die Praxis bedeutet dies eine stärkere Fokussierung auf Prävention, Compliance und Geschäftsgeheimnisschutz.
Fragen zum DSGVO-Schadensersatz für Unternehmen?
Wenn Sie unsicher sind, ob und in welchem Umfang Schadensersatzansprüche nach Art. 82 DSGVO bestehen oder wie Sie Ihr Unternehmen datenschutzrechtlich und über das Geschäftsgeheimnisrecht wirksam absichern können, unterstützen wir Sie gerne. Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht prüfen die rechtliche Ausgangslage, bewerten Haftungs- sowie Prozessrisiken.
Kontaktieren Sie uns gerne oder vereinbaren Sie direkt einen Beratungstermin.
❓ FAQ zum OLG-Dresden-Urteil: Kein DSGVO-Schadensersatz für Unternehmen - Entscheidung zu Art. 82 DSGVO
Das OLG Dresden entschied, dass Unternehmen keinen DSGVO-Schadensersatz für Unternehmen nach Art. 82 DSGVO verlangen können. Die DSGVO schützt ausschließlich natürliche Personen. Juristische Personen sind nicht anspruchsberechtigt, selbst wenn Mitarbeiterdaten unbefugt verarbeitet wurden.
Nein. Nach dem Urteil des OLG Dresden können juristische Personen grundsätzlich keinen Schadensersatz nach Art. 82 DSGVO verlangen. Der DSGVO-Schadensersatz für Unternehmen scheidet aus, weil Art. 82 DSGVO nur natürliche Personen schützt. Unternehmen können allenfalls andere Ansprüche prüfen, etwa aus Vertrag, Geschäftsgeheimnisschutz oder Deliktsrecht.
Der DSGVO-Schadensersatz für Unternehmen ist ausgeschlossen, weil die DSGVO den Schutz personenbezogener Daten ausdrücklich auf natürliche Personen beschränkt. Juristische Personen wie GmbH oder AG sind nicht „betroffene Personen“ im Sinne der DSGVO. Deshalb können sie keine immateriellen oder materiellen Schäden nach Art. 82 DSGVO geltend machen, selbst wenn interne Daten betroffen sind.
Auch ohne DSGVO-Schadensersatz für Unternehmen können Firmen ihre Interessen durch andere Rechtsinstrumente schützen. In Betracht kommen insbesondere vertragliche Ansprüche (z. B. gegen Dienstleister), Unterlassungs- und Beseitigungsansprüche nach §§ 823, 1004 BGB, arbeitsrechtliche Maßnahmen sowie – bei wirtschaftlich relevanten Informationen – Schutz nach dem Geschäftsgeheimnisgesetz (GeschGehG). Entscheidend ist die konkrete Anspruchsgrundlage.
Das Urteil schafft Klarheit: DSGVO-Schadensersatz für Unternehmen ist kein rechtlicher Weg, um Datenschutzverstöße im B2B-Kontext zu kompensieren. Für die Praxis heißt das: Unternehmen müssen stärker auf Prävention, Compliance, Zugriffsbeschränkungen und vertragliche Schutzmechanismen setzen. Zudem sollten interne Prozesse zur Dokumentation, Schulung und zum Umgang mit sensiblen Daten konsequent ausgebaut werden.
Ja. Während DSGVO-Schadensersatz für Unternehmen grundsätzlich ausgeschlossen ist, können betroffene Mitarbeiter als natürliche Personen nach Art. 82 DSGVO Schadensersatz verlangen, wenn ihre personenbezogenen Daten rechtswidrig verarbeitet wurden und ein Schaden entstanden ist. Arbeitgeber sollten daher Datenschutzverstöße ernst nehmen, Melde- und Dokumentationspflichten einhalten und Risiken durch klare Prozesse und Schulungen minimieren.
Weiterführende Themen
Art. 82 DSGVO: EuGH konkretisiert Anspruch auf immateriellen Schadensersatz
Schadensersatz bei Datenschutzverstößen bleibt möglich – aber nur unter klaren Voraussetzungen. Der EuGH konkretisiert die Anforderungen an Art. 82 DSGVO.
EuGH-Urteil zu Schadensersatz nach Art. 82 DSGVO
Der EuGH hat mit seinem Urteil vom 4. Mai 2023 erstmals klargestellt, wann ein Schadensersatz nach Art. 82 DSGVO möglich ist. Ein bloßer DSGVO-Verstoß reicht nicht aus – Betroffene müssen einen konkreten materiellen oder immateriellen Schaden nachweisen.
OLG Hamm Facebook-Datenleck und Art. 82 DSGVO
Das OLG Hamm verneint einen DSGVO-Schadensersatz beim Facebook-Datenleck. Trotz Datenschutzverstoß fehlt ohne konkreten immateriellen Schaden ein Anspruch nach Art. 82 DSGVO. Das Urteil ist richtungsweisend für Scraping-Fälle und Klagen gegen Meta.