OLG Dresden: Kein DSGVO-Schadensersatz für Unternehmen nach Art. 82 DSGVO

Das OLG Dresden hat am 14. März 2023 (Az. 4 U 1377/22) entschieden, dass Unternehmen keinen DSGVO-Schadensersatz nach Art. 82 DSGVO geltend machen können. Die Entscheidung hat erhebliche Bedeutung für den Datenschutz im Unternehmenskontext.
Demnach können juristische Personen – etwa GmbHs, AGs oder Vereine – grundsätzlich keine DSGVO-Schadensersatzansprüche nach Art. 82 DSGVO geltend machen, wenn es um die Verarbeitung personenbezogener Daten geht.

Kernaussage des Urteils: Unternehmen sind nicht anspruchsberechtigt nach Art. 82 DSGVO

Das Gericht stellte fest, dass die DSGVO ausschließlich natürliche Personen schützt. Daher sind Unternehmen nicht anspruchsberechtigt, wenn es um Schadensersatz nach Art. 82 DSGVO geht.
Diese Feststellung ist entscheidend für alle B2B-Datenschutzverfahren.

Hintergrund des Verfahrens: Streit über interne Mitarbeiterdaten

Der Rechtsstreit begann, als ein Unternehmen gerichtlich gegen die Verwendung interner Mitarbeiterinformationen vorging. Im Zentrum stand die Frage, ob ein DSGVO Schadensersatz für Unternehmen nach Art. 82 DSGVO möglich ist.

Welche Daten offengelegt wurden

Der Beklagte hatte im Rahmen eines anderen Verfahrens Urlaubslisten, Angaben zu krankheitsbedingten Fehlzeiten und Prämienzahlungen vorgelegt. Diese Daten stammten aus der internen Lohnbuchhaltung der Klägerin.

Auf welche Rechtsgrundlage sich die Klägerin berief

Das Unternehmen sah darin einen unzulässigen Eingriff in den Datenschutz und stützte seine Klage auf mehrere Rechtsgrundlagen: die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) sowie allgemeine zivilrechtliche Ansprüche nach §§ 823, 1004 BGB.

Die Klägerin argumentierte, dass bereits die Weitergabe und Nutzung dieser internen Listen eine Verletzung des Datenschutzrechts darstelle, unabhängig davon, ob die betroffenen Personen – hier die Mitarbeiter – selbst geklagt hätten. Sie sah sich als Inhaberin der Daten berechtigt, Unterlassung, Auskunft über die Datenverwendung sowie Herausgabe der übermittelten Informationen zu verlangen.

Warum der Fall für Unternehmen relevant wurde

Der Fall bot dem Gericht die Gelegenheit, zentrale Fragen zur Anwendbarkeit der DSGVO auf Unternehmen, zur Reichweite des BDSG und zum Schutzumfang des Geschäftsgeheimnisrechts zu klären. Die Entscheidung des OLG Dresden sollte schließlich deutlich machen, welche rechtlichen Grenzen für Unternehmen bei der Berufung auf Datenschutz bestehen.

Warum Unternehmen keinen DSGVO-Schadensersatz nach Art. 82 DSGVO erhalten

Das OLG Dresden nutzte den Fall, um zentrale Grundsatzfragen zur Reichweite des Datenschutzrechts für juristische Personen zu klären. Ausgangspunkt war Art. 4 Nr. 1 DSGVO, der den Schutz personenbezogener Daten ausdrücklich nur für natürliche Personen vorsieht. Juristische Personen – wie GmbHs, AGs oder Vereine – fallen nicht darunter. Folglich können Unternehmen keinen Schadensersatz nach Art. 82 DSGVO beanspruchen.

Das Gericht prüfte zudem das Bundesdatenschutzgesetz (BDSG). Ergebnis: Das BDSG schafft keine eigenständigen Ansprüche für Unternehmen, sondern dient der Umsetzung und Ergänzung der DSGVO, insbesondere im Bereich des Beschäftigtendatenschutzes. Nationale Gesetze dürfen laut OLG Dresden nicht genutzt werden, um über die DSGVO hinaus Ansprüche zu konstruieren. Dies folgt aus dem Anwendungsvorrang des EU-Rechts.

Warum datenschutzrechtliche Ansprüche „höchstpersönlich“ sind

Besondere Bedeutung hat die Feststellung, dass datenschutzrechtliche Ansprüche höchstpersönlicher Natur sind. Das heißt: Sie können nicht übertragen werden und stehen ausschließlich den unmittelbar betroffenen Personen zu. Unternehmen müssen daher alternative rechtliche Instrumente nutzen, um ihre Interessen zu schützen – etwa vertragliche Vereinbarungen, das Geschäftsgeheimnisrecht oder andere spezialgesetzliche Regelungen.

Zu unterscheiden sind daher Fälle, in denen entsprechende Verträge mit Dienstleistern verletzt werden. Dann ergeben sich die Ansprüche natürlich aus dem Vertrag, was aber nichts mit Datenschutzrecht zu tun hat.

In Fällen, in denen kein Vertrag besteht, haben die Ansprüche nur die Betroffenen, deren Daten tatsächlich verarbeitet werden. Dies könnten beispielsweise Arbeitnehmer der juristischen Person sein.

Bedeutung des OLG-Dresden-Urteils für den Datenschutz im Unternehmen

Der Datenschutz im Unternehmenskontext sollte als strategische Daueraufgabe verstanden werden, die über die reine Anwendung der DSGVO hinausgeht. Unternehmen sind gut beraten, ihre Datenschutzkonzepte um ergänzende rechtliche Instrumente – wie vertragliche Regelungen, branchenspezifische Vorschriften und das Geschäftsgeheimnisrecht – zu erweitern. Das Urteil des OLG Dresden trägt zwar zu mehr Rechtssicherheit bei, zieht jedoch zugleich eine klare Grenze: Juristische Personen können sich nicht auf Schadensersatzansprüche nach Art. 82 DSGVO stützen.

Sie haben tiefgehende Fragen zur DSGVO? Besuchen Sie unsere DSGVO-Sprechstunde!

Geschäftsgeheimnisse: Gelten Mitarbeiterdaten als Geschäftsgeheimnis?

Ein zentrales Element der Entscheidung des OLG Dresden war die Frage, ob Urlaubslisten, Krankheitszeiten und Prämienzahlungen von Mitarbeitern als Geschäftsgeheimnisse im Sinne des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) gelten. Das Gericht verneinte dies eindeutig. Der Grund: Solche personenbezogenen Daten haben in der Regel keinen wirtschaftlichen Wert im wettbewerbsrechtlichen Sinne.

Voraussetzungen eines Geschäftsgeheimnisses nach § 2 Nr. 1 GeschGehG

1. Geheimhaltung: Die Information ist weder insgesamt noch in ihrer konkreten Zusammensetzung und Anordnung allgemein bekannt oder für Fachkreise ohne Weiteres zugänglich.
2. Wirtschaftlicher Wert: Sie besitzt aufgrund ihrer Geheimhaltung einen wirtschaftlichen Wert.
3. Schutzmaßnahmen: Der rechtmäßige Inhaber hat unter Berücksichtigung der Umstände angemessene Maßnahmen ergriffen, um die Information geheim zu halten.
4. Berechtigtes Geheimhaltungsinteresse: Es besteht ein nachvollziehbares Interesse daran, dass die Information nicht öffentlich wird.

Warum der wirtschaftliche Wert hier fehlt

Im vorliegenden Fall konnte das Unternehmen nicht darlegen, dass die Offenlegung der Urlaubslisten seine Wettbewerbsposition beeinträchtigen würde. Damit fehlte das entscheidende Kriterium des wirtschaftlichen Nutzens. Das OLG Dresden stellte klar: Auch wenn Arbeitgeber ein berechtigtes Interesse am Schutz solcher Listen haben, reicht dies allein nicht für den gesetzlichen Geheimnisschutz aus.

Abgrenzung: Wann interne Daten als Geschäftsgeheimnis gelten können

Für Unternehmen bedeutet dies: Nicht jede interne Information fällt automatisch unter das Geschäftsgeheimnisrecht. Sensible Unternehmensdaten sollten deshalb gezielt klassifiziert, dokumentiert und – falls wirtschaftlich relevant – durch vertragliche und technische Maßnahmen abgesichert werden. Nur so ist ein wirksamer Schutz nach dem GeschGehG gewährleistet.

Persönlichkeitsrecht und Datenschutz: Warum Unternehmen sich nicht darauf berufen können

Das OLG Dresden stellte in seinem Urteil klar, dass sich juristische Personen nicht auf das Allgemeine Persönlichkeitsrecht oder das daraus abgeleitete Recht auf informationelle Selbstbestimmung berufen können, um datenschutzrechtliche Unterlassungsansprüche durchzusetzen. Diese Grundrechte sind ausschließlich zum Schutz natürlicher Personen konzipiert und dienen der Wahrung ihrer persönlichen Entfaltung.

Zwar können Unternehmen in bestimmten Ausnahmefällen einen zivilrechtlichen Persönlichkeitsschutz genießen – etwa wenn ihre geschäftliche Reputation oder ihre Stellung als Arbeitgeber massiv bedroht ist. Im vorliegenden Verfahren lagen solche besonderen Umstände jedoch nicht vor. Die fraglichen E-Mails enthielten ausschließlich wahre Tatsachenbehauptungen, die weder rufschädigend noch ehrenrührig waren.

Trennung zwischen Persönlichkeitsrecht und DSGVO-Ansprüchen

Das Gericht betonte, dass der Anwendungsbereich des Persönlichkeitsrechts strikt von datenschutzrechtlichen Ansprüchen zu trennen ist. Unternehmen können ihre Interessen im Bereich Datenschutz daher nicht über Grundrechte absichern, sondern müssen auf vertragliche Schutzmechanismen und spezialgesetzliche Vorschriften zurückgreifen.

Praxisrelevanz und Handlungsempfehlungen für Unternehmen

Die Entscheidung des OLG Dresden hat erhebliche Auswirkungen auf den Umgang mit Datenschutz im Unternehmenskontext – insbesondere im Hinblick auf den DSGVO Schadensersatz für Unternehmen. Sie stellt klar: Schadensersatzansprüche nach Art. 82 DSGVO stehen ausschließlich natürlichen Personen zu. Unternehmen als juristische Personen können sich nicht auf diese Vorschrift stützen, selbst wenn interne Mitarbeiterdaten unbefugt verarbeitet werden. Damit entfällt ein oft vermuteter Rechtsweg, um sich gegen Datenschutzverletzungen zu wehren.

In der Praxis bedeutet dies, dass Unternehmen ihre Datenschutz- und Compliance-Strategien neu ausrichten müssen. Der Fokus sollte stärker auf der Prävention liegen, welche durch vertraglichen Schutzmechanismen, internen Richtlinien und dem gezielten Einsatz des Geschäftsgeheimnisrechts umgesetzt werden kann. Der bloße Verweis auf die DSGVO reicht nicht aus, um Unternehmensinformationen zu sichern, wenn diese keinen wirtschaftlichen Wert im Sinne des GeschGehG besitzen.

Empfohlene Maßnahmen zur rechtssicheren Datenverarbeitung im Unternehmen

• Arbeitsverträge und Geheimhaltungsvereinbarungen (NDAs) regelmäßig prüfen und anpassen.
• Interne Daten nach wirtschaftlicher Relevanz und Schutzwürdigkeit klassifizieren.
• Technische Schutzmaßnahmen (z. B. Zugriffsbeschränkungen, Verschlüsselung) implementieren.
• Führungskräfte und Mitarbeiter im sicheren Umgang mit sensiblen Daten schulen.
• Dokumentation aller Datenschutz- und Geheimnisschutzmaßnahmen führen.

Langfristig stärkt dieses Urteil das Bewusstsein, dass Datenschutz im Unternehmenskontext strategisch geplant werden muss. Unternehmen sollten daher proaktiv Strukturen schaffen, um personenbezogene Daten rechtssicher zu schützen – denn das Urteil zum DSGVO Schadensersatz für Unternehmen verdeutlicht, dass rechtliche Ansprüche hier nicht greifen.

Fazit: Klare Grenzen des Art. 82 DSGVO für Unternehmen

Das Urteil des OLG Dresden verdeutlicht, dass Schadensersatzansprüche nach Art. 82 DSGVO ausschließlich natürlichen Personen zustehen. Unternehmen müssen daher alternative rechtliche Instrumente nutzen, um ihre Daten und Interessen wirksam zu schützen. Für die Praxis bedeutet dies eine stärkere Fokussierung auf Prävention, Compliance und Geschäftsgeheimnisschutz.

Fragen zum DSGVO-Schadensersatz nach Art. 82 DSGVO oder zum Datenschutz im Unternehmen?

Wenn Sie unsicher sind, ob und in welchem Umfang Schadensersatzansprüche nach Art. 82 DSGVO bestehen oder wie Sie Ihr Unternehmen datenschutzrechtlich und über das Geschäftsgeheimnisrecht wirksam absichern können, unterstützen wir Sie gerne. Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht prüfen die rechtliche Ausgangslage, bewerten Haftungs- sowie Prozessrisiken.

Darüber hinaus beraten wir Sie in diversen Rechtsgebieten – vom AGB- und Vertragsrecht bis hin zum Insolvenzrecht. Ebenso können Sie an einer unserer vielen Schulungen und Webinaren teilnehmen!

Kontaktieren Sie uns gerne oder vereinbaren Sie direkt einen Beratungstermin.