Art. 82 DSGVO: EuGH schafft Klarheit beim Schadensersatz

Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 11. April 2024 (C-741/21) grundlegende Maßstäbe für Schadensersatzansprüche im Datenschutzrecht gesetzt. Insbesondere konkretisierte er die Voraussetzungen des Art. 82 DSGVO hinsichtlich immaterieller Schäden. Die Entscheidung hat erhebliche Auswirkungen auf Unternehmen, Betroffene und die gerichtliche Praxis – und stellt die Anforderungen an Schadensnachweise deutlich höher als bisher vermutet.

Hintergrund: Der Fall juris GmbH

Der Kläger, ein selbstständiger Rechtsanwalt, war Kunde des juristischen Datenbankanbieters juris GmbH. Nachdem er erfuhr, dass seine personenbezogenen Daten für Werbezwecke verwendet wurden, widerrief er im November 2018 sämtliche Einwilligungen zur Direktwerbung – mit Ausnahme des Newsletters. Dennoch erhielt er im Januar und Mai 2019 erneut Werbeschreiben mit personalisierten Testcodes, über die auf Bestellmasken mit voreingetragenen Kundendaten zugegriffen werden konnte.

Er machte geltend, einen Kontrollverlust über seine personenbezogenen Daten erlitten zu haben, forderte materiellen Schadensersatz für Notarkosten sowie immateriellen Schadensersatz aufgrund einer Persönlichkeitsrechtsverletzung. Die beklagte juris GmbH verwies auf organisatorische Maßnahmen und machte ein Fehlverhalten einzelner Mitarbeitender geltend. Das Landgericht Saarbrücken legte dem EuGH daraufhin mehrere Auslegungsfragen zu Art. 82 DSGVO vor.

Die Vorlagefragen des LG Saarbrücken

Das Verfahren offenbarte erneut, wie interpretationsbedürftig Art. 82 DSGVO ist – selbst sechs Jahre nach Inkrafttreten der Verordnung. Die Vorlagefragen betrafen vor allem:

Reicht ein DSGVO-Verstoß allein aus für einen Schadensersatzanspruch?
Muss der Schaden konkret, spürbar oder substantiell sein?
Kann ein immaterieller Schaden entstehen, selbst wenn die Daten öffentlich zugänglich sind (z. B. Telefonbuch)?
Ist eine Haftung nur bei menschlichem Versagen möglich – oder auch bei technischen Fehlern?
Hat der Grad des Verschuldens Einfluss auf die Höhe des Anspruchs?
Wie ist bei mehrfachen Verstößen zu verfahren – einzeln oder pauschal?

Diese offenen Fragen führten dazu, dass das LG Saarbrücken den EuGH zur Auslegung anrief.

Kernaussagen des EuGH

Kein Schadensersatz ohne konkreten Nachweis

Der EuGH entschied: Ein DSGVO-Verstoß allein reicht nicht. Für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO müssen drei Elemente gemeinsam vorliegen:

Ein Verstoß gegen die DSGVO
Ein konkret erlittenes materielles oder immaterielles Schadenserlebnis
Ein Kausalzusammenhang zwischen Verstoß und Schaden

Praxishinweis: Ein „Kontrollverlust“ über personenbezogene Daten kann gemäß Erwägungsgrund 85 DSGVO grundsätzlich als immaterieller Schaden anerkannt werden. Allerdings ist eine konkrete und nachvollziehbare Darlegung erforderlich.

Kein Ausschluss der Verantwortlichkeit bei Mitarbeiterfehlverhalten

Art. 82 Abs. 3 DSGVO sieht einen Haftungsausschluss vor, wenn der Verantwortliche den Nachweis erbringt, dass er für den entstandenen Schaden in keinerlei Hinsicht verantwortlich ist. Die juris GmbH berief sich auf diesen Absatz – wegen angeblich weisungswidrigen Verhaltens ihrer Mitarbeitenden.

Doch der EuGH widersprach deutlich: Der Verweis auf Mitarbeiter reicht nicht aus. Unternehmen müssen durch technische und organisatorische Maßnahmen (Art. 24, 25, 32 DSGVO) sicherstellen, dass Datenschutzregelungen umgesetzt werden.

„Unternehmen müssen sich das Fehlverhalten ihrer Mitarbeitenden zurechnen lassen – selbst bei internen Verstößen.“

Strafmaßkriterien aus Art. 83 DSGVO nicht auf Art. 82 übertragbar

Die Kriterien zur Bußgeldhöhe (Art. 83 DSGVO) – etwa Schwere, Dauer oder Wiederholung – sind nicht anwendbar auf Schadensersatzforderungen. Der EuGH stellt klar: Art. 82 DSGVO hat eine rein ausgleichende Funktion und dient nicht der Abschreckung.

Maßgeblich ist ausschließlich der individuell eingetretene Schaden. Auch bei mehreren Verstößen ist der Gesamtschaden entscheidend – nicht die Anzahl der Einzelfälle.

Bewertung und praktische Konsequenzen

Die Entscheidung des EuGH bringt sowohl Klarheit als auch neue Herausforderungen – insbesondere für datensensible Branchen wie LegalTech, Gesundheitswesen, E-Commerce und Finanzdienstleister.

Auswirkungen auf Unternehmen:

Interne Prozesse müssen klar dokumentiert werden
Mitarbeitende sind regelmäßig zu schulen (z. B. E-Learnings zu DSGVO-Grundlagen)
Datenschutzmanagement muss auditierbar und nachweisbar gestaltet sein
Externe Berater sollten regelmäßig Audits oder Datenschutz-Folgeabschätzungen durchführen

Anforderungen an Betroffene:

Betroffene müssen nachvollziehbar darlegen, inwiefern ein konkreter Schaden entstanden ist
Bloße Rechtsverletzung reicht nicht mehr für immateriellen Ersatz
Psychologische, gesundheitliche oder wirtschaftliche Folgen müssen unter Umständen belegt werden

Fazit: Was Unternehmen jetzt tun sollten

Das Urteil bringt Unternehmen auf der einen Seite Rechtssicherheit – auf der anderen Seite verlangt es höchste Sorgfalt bei der Einhaltung von Datenschutzpflichten.

Zusammengefasst:

❌ Kein Schaden = Kein Anspruch
❌ Keine Haftungsausschlüsse durch „Einzelfehler“
✅ Konkrete Nachweise erforderlich
✅ Schulung, Dokumentation und technischer Datenschutz gewinnen an Gewicht

❓ FAQ: Schadensersatz nach Art. 82 DSGVO laut EuGH

Was regelt Art. 82 DSGVO?

Art. 82 DSGVO begründet das Recht auf Schadensersatz für Personen, deren Datenschutzrechte verletzt wurden – sowohl bei materiellen als auch immateriellen Schäden.

Genügt ein bloßer Kontrollverlust über Daten für Schadensersatz?

Nein, laut EuGH reicht der bloße Kontrollverlust nicht aus. Der Schaden muss konkret und nachvollziehbar dargelegt werden – z. B. durch Gutachten oder wirtschaftliche Nachteile.

Können auch immaterielle Schäden ersetzt werden?

Ja, aber nur wenn sie konkret belegt werden können. Allgemeine Unannehmlichkeiten oder bloße Rechtsverstöße reichen nicht aus.

Ist eine Haftungsfreistellung bei Mitarbeiterfehlern möglich?

Nur in Ausnahmefällen. Unternehmen müssen beweisen, dass sie keinerlei Pflichtverletzung begangen haben und organisatorisch alles Mögliche zur Verhinderung getan wurde.

Welche Rolle spielt der Verschuldensgrad?

Für den Schadensersatz nach Art. 82 ist der Verschuldensgrad nicht maßgeblich – anders als bei Bußgeldern nach Art. 83 DSGVO. Entscheidend ist der tatsächliche Schaden.

Wie sollten sich Unternehmen jetzt aufstellen?

Unternehmen sollten ihre Datenschutzmaßnahmen dokumentieren, Mitarbeitende regelmäßig schulen und technische sowie organisatorische Maßnahmen kontinuierlich prüfen und verbessern.

*Rechtlicher Hinweis

Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Die Inhalte wurden mit größter Sorgfalt und nach bestem Wissen erstellt. Dennoch kann keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität übernommen werden.

Der Beitrag wurde am 07. August 2025 aktualisiert.

Änderungen der Rechtslage oder der Rechtsprechung, die nach diesem Datum erfolgt sind, sind nicht berücksichtigt. Bitte wenden Sie sich für eine individuelle rechtliche Beratung an einen Rechtsanwalt.

Kontaktieren Sie uns!

Haben Sie Fragen oder benötigen Sie rechtliche Unterstützung? Unser Team steht Ihnen zur Verfügung!

Haben Sie eine Rechtsfrage? Dann klicken Sie hier.

Haben Sie eine allgemeine Frage, füllen Sie das Formular unten aus.

Kontaktformular

Nachricht senden

Firma

Name(erforderlich)

Vorname * Nachname *

Telefon

E-Mail

Nachricht(erforderlich)

Nachricht *

CAPTCHA

Phone

Dieses Feld dient zur Validierung und sollte nicht verändert werden.