Knowledge Hub
Datenschutz

Schadensersatz nach Art. 82 DSGVO: Kontrollverlust als immaterieller Schaden

Verfasst von
Max Hortmann
Lesezeit:
Diesen Beitrag teilen

Art. 82 DSGVO und der Kontrollverlust: Die Entwicklung des immateriellen Schadensersatzes in der aktuellen Rechtsprechung

I. Einleitung: Art. 82 DSGVO als Schutzinstrument gegen intransparente Datenverarbeitung

Art. 82 DSGVO schafft einen unionsrechtlichen Anspruch auf Schadensersatz für materielle und immaterielle Schäden. Lange war unklar, welche Anforderungen an die Darlegung des immateriellen Schadens zu stellen sind. Die Diskussion galt vor allem der Frage, ob es einer Erheblichkeitsschwelle bedarf und ob der bloße Kontrollverlust über personenbezogene Daten ausreichen kann. Die moderne Rechtsprechung – sowohl auf europäischer als auch auf nationaler Ebene – hat diese Frage weitgehend geklärt.

Heute steht fest: Bereits die Unsicherheit darüber, wie personenbezogene Daten verarbeitet werden, kann einen immateriellen Schaden darstellen. Der EuGH, zahlreiche Landgerichte und Oberlandesgerichte haben diesen Ansatz bestätigt. Der Kontrollverlust wurde als eigenständiger und vollwertiger immaterieller Schaden anerkannt. Der Betroffene muss weder Missbrauch noch konkreten Schaden nachweisen. Entscheidend ist die Beeinträchtigung der durch die DSGVO geschützten Transparenz- und Kontrollrechte.

Damit kommt dem Art. 82 DSGVO eine weitreichende Schutzfunktion zu. Der Anspruch dient nicht der Sanktion, sondern dem Ausgleich. Die Modernität dieser Auslegung zeigt sich insbesondere in Entscheidungen wie EuGH C-687/21 sowie der Rechtsprechung des LG Leipzig, LG Bonn, LG Osnabrück, OLG Frankfurt und des Brandenburgischen OLG.

II. Rechtlicher Rahmen: Art. 82 DSGVO und seine systematische Einordnung

1. Normstruktur und Tatbestandsvoraussetzungen

Art. 82 Abs. 1 DSGVO eröffnet einen Schadensersatzanspruch, wenn folgende Voraussetzungen vorliegen:

  • Eine Verarbeitung personenbezogener Daten,
  • ein Verstoß gegen die DSGVO,
  • ein (materieller oder immaterieller) Schaden,
  • eine Kausalität zwischen Verstoß und Schaden.

Die Norm ist weit auszulegen. Die Haftung ist verschuldensunabhängig; Art. 82 Abs. 3 DSGVO kehrt die Beweislast in weiten Teilen um.

2. Keine Erheblichkeitsschwelle

Mehrere Gerichte lehnen eine Erheblichkeitsschwelle ab. Der EuGH hat in C-687/21 deutlich gemacht, dass der immaterielle Schaden nicht erst ab einer gewissen Intensität eintritt. Der Betroffene muss keinen „gewichtigen Nachteil“ nachweisen.

Der Schaden liegt gerade in der Beeinträchtigung des durch die DSGVO garantierten Kontrollanspruchs.

3. Beweislast und Darlegungslast

Der Verantwortliche trägt die Darlegungs- und Beweislast für:

  • Rechtmäßigkeit der Verarbeitung,
  • technische und organisatorische Maßnahmen (Art. 24, 25, 32 DSGVO),
  • Einhaltung der Transparenzpflichten.

Fehlt eine Dokumentation, spricht dies gegen den Verantwortlichen. Das FG Berlin-Brandenburg und der EuGH (C-340/21) betonen, dass die Rechenschaftspflicht eine eigene objektive Darlegungspflicht schafft.

III. Typische Verstöße, die zu einem immateriellen Schaden führen

1. Unvollständige oder verspätete Auskünfte nach Art. 15 DSGVO

Ein verspätetes oder unvollständiges Auskunftsverfahren erzeugt Unsicherheit über:

  • den Datenbestand,
  • die Empfänger,
  • die Zwecke,
  • die Risiken.

Gerichte wie das LG Leipzig und LG Bonn haben bestätigt, dass eine unzureichende Auskunft einen immateriellen Schaden begründen kann.

2. Fehlende Transparenz

Wenn ein Verantwortlicher nicht erklären kann:

  • wohin Daten gelangt sind,
  • wie Zugriffe erfolgten,
  • ob Daten gelöscht wurden,
  • oder welche Kategorien existieren,

liegt eine Verletzung von Art. 5 DSGVO vor.
Mehrere Gerichte (LG Osnabrück, OLG Frankfurt) sehen darin die Beeinträchtigung des Kontrollanspruchs als Schadenstatbestand.

3. Technische und organisatorische Defizite

Mangelhafte Systeme – etwa unzureichende E-Mail-Konfigurationen, fehlende Logs oder unklare Berechtigungen – führen zu Kontrollverlusten. Das LG Wuppertal und das LG Baden-Baden sehen strukturelle Defizite als Verstoß gegen Art. 24 und Art. 32 DSGVO.

4. Fehlerhafte oder unzulässige Datenerhebungen

Wenn Daten ohne gerechtfertigten Zweck erhoben wurden — etwa durch unzulässige Rückfragen, unzulässige Social-Media-Recherchen oder unnötige Datensammlungen — liegt eine Verletzung von Art. 5 Abs. 1 lit. c und Art. 6 DSGVO vor.

Der immaterielle Schaden ergibt sich daraus, dass der Betroffene nicht mehr nachvollziehen kann, welche Daten über ihn existieren.

5. Weitergabe an unklare Empfängerkreise

Fehlen dokumentierte Empfängerlisten oder stimmt das Verzeichnis nach Art. 30 DSGVO nicht mit realen Datenflüssen überein, entsteht Unsicherheit über mögliche Datenabflüsse.

IV. Dogmatische Bewertung: Warum der Kontrollverlust ein ersatzfähiger Schaden ist

1. Strukturprinzip der DSGVO: Transparenz als Primärrecht

Die DSGVO schützt nicht nur die Daten an sich, sondern die Fähigkeit des Einzelnen, über die Verarbeitungen informiert zu sein. Dieser Kontrollanspruch ist Kernbestandteil der gesamten Systematik. Wird dieser Anspruch verletzt, liegt ein Eingriff in die rechtlich garantierte Position der betroffenen Person vor.

2. Bewertung durch die Rechtsprechung

Der EuGH hebt in C-687/21 hervor, dass bereits die begründete Befürchtung eines Kontrollverlusts einen immateriellen Schaden darstellen kann. Nationale Gerichte, darunter das LG Leipzig und LG Osnabrück, folgen dieser Linie.

Auch das OLG Frankfurt und das Brandenburgische OLG haben bestätigt, dass es für den immateriellen Schaden keiner besonderen Erheblichkeit bedarf.

3. Kein Erfordernis eines objektiv gravierenden Nachteils

Art. 82 DSGVO dient dem Ausgleich, nicht der Bestrafung. Der Schaden liegt im Verlust der Transparenz — einem unionsrechtlich geschützten Rechtsgut.

4. Bedeutung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Die Rechenschaftspflicht wirkt haftungsverschärfend.
Kann ein Verantwortlicher nicht nachweisen, dass er die DSGVO eingehalten hat, wird im Zweifel gegen ihn entschieden.

V. Folgen für Betroffene

Betroffene Personen sind häufig nicht nur unsicher über:

  • den Umfang der Datenverarbeitung,
  • die Datenquellen,
  • die Zwecke,
  • die Empfänger,
  • die Speicherdauer,

sondern können ihre Rechte mangels Transparenz nicht ausüben.

Dies führt zu strukturellen Beeinträchtigungen, etwa:

  • Unsicherheit über Risiken,
  • Unmöglichkeit der Löschung,
  • Mangel an Kontrolle,
  • fehlende Reaktionsmöglichkeiten.

Die Rechtsprechung erkennt diese Situation als immateriellen Schaden an.

„Abstrakte digitale Grafik zur DSGVO-Compliance, die moderne Datenverarbeitung, IT-Sicherheit und Datenschutzstrukturen in Unternehmen visualisiert.“
„Futuristische Darstellung von Datenschutz, Datenfluss und IT-Sicherheitsarchitektur im Kontext der DSGVO und moderner Compliance-Prozesse.“

VI. Folgen für Verantwortliche

1. Schadensersatzansprüche

Art. 82 DSGVO begründet unmittelbare Haftung.
Verantwortliche müssen den Schaden ersetzen, sofern sie nicht nachweisen können, dass sie für den Verstoß nicht verantwortlich sind.

2. Bußgelder nach Art. 83 DSGVO

Verstöße gegen Transparenz- und Dokumentationspflichten führen häufig zu Bußgeldern, insbesondere wenn strukturelle Defizite bestehen.

3. Organisatorische Neuausrichtung

Fehlen Strukturen zur Einhaltung der DSGVO, müssen Verantwortliche ihre Prozesse überarbeiten.

4. Reputationsrisiken

Ein unzureichender Umgang mit Betroffenenrechten führt regelmäßig zu Vertrauensverlust.

VII. Anforderungen an Unternehmen zur Vermeidung von Haftungsfällen

Ein DSGVO-konformes Unternehmen muss:

  1. vollständige Transparenz gewährleisten,
  2. jede Verarbeitung dokumentieren,
  3. Betroffenenrechte fristgerecht erfüllen,
  4. technische und organisatorische Maßnahmen einhalten,
  5. rechtswidrige Datenverarbeitungen vermeiden,
  6. unzulässige Datenerhebungen ausschließen,
  7. Risiken laufend bewerten,
  8. Schulungen durchführen,
  9. Logs und Dokumentationen pflegen.

Diese Anforderungen ergeben sich aus Art. 5, 12, 24, 30 und 32 DSGVO sowie der Rechtsprechung des EuGH und der nationalen Gerichte.

VIII. Handlungsempfehlungen für Betroffene

Betroffene sollten:

  • Auskunft nach Art. 15 DSGVO einholen,
  • insbesondere Herkunft, Empfänger und Kategorien prüfen,
  • Verzögerungen dokumentieren,
  • bei Unklarheiten nachfragen,
  • Schadensersatz nach Art. 82 DSGVO prüfen lassen,
  • Aufsichtsbehörden einschalten, wenn Transparenz fehlt.

IX. Schlussbetrachtung

Art. 82 DSGVO ist ein zentrales Instrument zum Schutz der Betroffenenrechte. Die Rechtsprechung hat klar definiert, dass der immaterielle Schaden bereits im Kontrollverlust liegt. Die DSGVO verlangt vollständige Transparenz, umfassende Dokumentation und nachvollziehbare Prozesse. Fehlen diese Voraussetzungen, ist ein Schadensersatzanspruch regelmäßig begründet. Die Anforderungen an Unternehmen sind hoch — und die Folgen bei Verstößen erheblich.

CTA

Wenn Sie prüfen möchten, ob ein immaterieller Schaden nach Art. 82 DSGVO vorliegt oder ob ein Verantwortlicher seine Transparenzpflichten verletzt hat, stehe ich Ihnen für eine fundierte und vertrauliche Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

  1. DSGVO-Auskunft im Spamfilter
    https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
  2. Unvollständige Auskünfte nach Art. 15 DSGVO
    https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
  3. Rückfragen als Datenfalle
    https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
  4. Social-Media-Überwachung durch Unternehmen
    https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
  5. Organisationsfehler nach Art. 24 DSGVO
    https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
  6. Privacy by Design – warum es in der Praxis scheitert
    https://www.hortmannlaw.com/articles/privacy-by-design-scheitert
  7. DSGVO-Probleme in Großunternehmen
    https://www.hortmannlaw.com/articles/dsgvo-grossunternehmen-probleme
  8. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
    https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
  9. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
    https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
  10. Einwilligung unter Druck – unzulässige Kopplungen
    https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
  11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
  12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
  13. Privatsphäre-Schutz für Hochvermögende
    https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
  14. Art. 9 DSGVO & digitale Intimsphäre
    https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
  15. DeFi, Krypto-Betrug & Datenschutz
    https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
  16. Crypto.com & DSGVO-Pflichten
    https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
  17. Datenlecks im Krypto-Betrug
    https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
  18. Verfahrens- & Systemdaten im Netz
    https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
  19. Love Scam & Datenmissbrauch
    https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
  20. Datenschutzpflichten von Krypto-Plattformen
    https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
  21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
  22. Was eine Datenschutzverletzung wirklich kostet
    https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

Max Hortmann
Rechtsanwalt
,
Hortmann Law

Suchen Sie dringend diskrete, juristische Unterstüzung?

Wir helfen Ihnen gerne persönlich weiter – schildern Sie uns Ihr Anliegen und wir finden gemeinsam eine Lösung.

Kontakt aufnehmen
Verwandte Artikel

Das könnte Sie auch interessieren

Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.

Datenschutz
11/13/2025
November 13, 2025

Wenn Unternehmen Betroffene verantwortlich machen: Rechenschaftspflicht erklärt

Viele Verantwortliche schieben Betroffenen ihre eigenen Fehler zu – ein klarer Verstoß gegen Art. 5 Abs. 2 DSGVO.

Artikel lesen
Datenschutz
11/13/2025
November 13, 2025

DSGVO-Einwilligung unter Druck: Unzulässige Kopplungen erkennen

Unternehmen setzen Betroffene oft unter faktischen Druck. Dieser Beitrag zeigt, wann eine Einwilligung nicht freiwillig ist.

Artikel lesen
Datenschutz
11/13/2025
November 13, 2025

E-Mail-Systeme als DSGVO-Risiko: Warum interne Kommunikation versagt

Interne E-Mails sind die größte Schwachstelle: Filter, Weiterleitungen, fehlende Protokolle – detaillierter Risikobericht.

Artikel lesen
Mehr anzeigen