Der Mythos der 100 € – warum Bagatellgrenzen im Datenschutzrecht nicht existieren
Was kostet eigentlich eine Datenschutzverletzung?
Diese scheinbar einfache Frage wird in Praxis und Öffentlichkeit erstaunlich oft falsch beantwortet. Nicht selten hört man selbst von Juristinnen und Juristen pauschale Aussagen wie „100 Euro pro Verstoß“, als handle es sich um ein symbolisches Bußgeld. Tatsächlich aber ist die Annahme einer solchen Bagatellgrenze weder europarechtlich noch national haltbar – und für Verantwortliche potenziell teuer.
Der Irrtum der „kleinen Verstöße“
Der Europäische Gerichtshof (EuGH) und der Bundesgerichtshof (BGH) haben in den letzten Jahren mehrfach klargestellt, dass jeder Datenschutzverstoß eigenständig zu prüfen und zu bewerten ist. Schon der Verlust der Kontrolle über personenbezogene Daten – etwa durch eine unberechtigte Weitergabe, eine fehlerhafte E-Mail oder einen ungesicherten Upload – kann einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO** darstellen. Ein solcher Schaden liegt also nicht erst vor, wenn Betroffene psychische oder wirtschaftliche Folgen nachweisen können.
Der BGH stellte etwa am 18. November 2024 (VI ZR 10/24) klar, dass bereits der kurzzeitige Kontrollverlust über persönliche Daten einen ersatzfähigen immateriellen Schaden begründet. Diese Linie wurde durch die Entscheidung VI ZR 97/22 vom 26. September 2023 bestätigt, in der der BGH betonte, dass zwar bloßer Ärger oder Unmut nicht ausreichen, der tatsächliche Kontrollverlust jedoch als eigenständiger immaterieller Schaden anzuerkennen ist.
Pro Verstoß – nicht pro Fall
Ein besonders häufig übersehener Aspekt ist, dass der Schadensersatz nach Art. 82 DSGVO pro Verstoß und nicht pauschal zu bemessen ist. Wird eine Person also mehrfach rechtswidrig betroffen – etwa durch wiederholte E-Mail-Offenlegungen, unzulässige Weitergaben oder fehlerhafte Löschprozesse –, kann jeder einzelne dieser Verstöße eigenständig einen Anspruch begründen. Das hat der BGH am 6. Mai 2025 (VI ZR 53/23) ausdrücklich hervorgehoben.
Auch im Urteil VI ZR 365/22 vom 11. Februar 2025 konkretisierte der BGH die Voraussetzungen:
Es bedarf eines Verstoßes gegen die DSGVO, eines daraus resultierenden Schadens sowie eines Kausalzusammenhangszwischen beiden. Eine pauschale Obergrenze – etwa 100 Euro – sei damit unvereinbar.
Keine Pauschalbeträge – individuelle Bemessung
Der EuGH bekräftigte in der Entscheidung C-590/22 (2024), dass die Bemessung gestuft und individuell zu erfolgen hat. Maßgeblich sind Schwere, Dauer, Art der Daten, der Grad des Verschuldens sowie die persönliche Betroffenheit. Eine symbolische Entschädigung widerspräche Sinn und Zweck des Datenschutzrechts, das dem Schutz eines europäischen Grundrechts dient.
Fazit: 100 € sind keine Rechtsnorm
Die Vorstellung, Datenschutzverletzungen kosteten „höchstens 100 Euro“, ist nicht nur faktisch falsch, sondern rechtlich gefährlich. Verantwortliche, die sich auf solche Pauschalen verlassen, riskieren empfindliche Haftungssummen – und bei mehrfachen oder systematischen Verstößen schnell fünfstellige Beträge.
Der immaterielle Schadensersatz nach Art. 82 DSGVO ist kein Trostpflaster, sondern ein zentrales Durchsetzungsinstrument des Grundrechts auf Datenschutz.
Art. 82 DSGVO – Grundrechtsschutz ohne Bagatellgrenze
Der rechtliche Rahmen des immateriellen Schadensersatzes nach Art. 82 DSGVO zeigt deutlich: Der Datenschutz ist kein Nebenrecht, sondern ein einklagbarer Bestandteil der europäischen Grundrechteordnung. Der Artikel verpflichtet Unternehmen, Behörden und Organisationen dazu, die Persönlichkeitsrechte der Betroffenen aktiv zu schützen – und sieht im Fall eines Verstoßes eine klare zivilrechtliche Haftung vor.
Keine Erheblichkeitsschwelle: EuGH „Österreichische Post“ (C-300/21)
Der Europäische Gerichtshof hat im Urteil „Österreichische Post“ (C-300/21, 4. Mai 2023) klargestellt, dass für einen Anspruch auf Schadensersatz keine Erheblichkeitsschwelle gilt. Bereits der Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden darstellen, selbst wenn keine messbaren materiellen Nachteile eintreten.
In den Randnummern 32 und 51 des Urteils betonte der EuGH, dass der Schadensbegriff weit auszulegen ist, um den Schutzzweck der DSGVO – nämlich den umfassenden Schutz der Privatsphäre – voll zu verwirklichen. Eine Bagatellgrenze würde diesen Schutz faktisch aushöhlen und Betroffene um ihren Anspruch bringen.
Damit steht fest: Jeder Datenschutzverstoß zählt.
Der Schadensersatz entsteht aus dem Rechtsverstoß selbst – nicht erst ab einer bestimmten Schwere oder Dauer.
BGH VI ZR 233/21 – Konkretisierung der nationalen Anforderungen
Der BGH hat in seiner Entscheidung vom 28. Januar 2025 (VI ZR 233/21) die Linie des EuGH aufgegriffen und auf das deutsche Haftungsrecht übertragen. Er stellte klar, dass der Schadensersatz nach Art. 82 DSGVO keine Straf-, sondern eine Ausgleichsfunktion erfüllt.
Die Bemessung erfolgt individuell: Maßgeblich sind die Art des Verstoßes, dessen Dauer, die Sensibilität der betroffenen Daten und die persönliche Betroffenheit. Der BGH hob hervor, dass der Anspruch nicht dazu diene, Unternehmen zu bestrafen, sondern den erlittenen Kontrollverlust oder Vertrauensbruch auszugleichen.
Diese Argumentation findet sich auch in der Entscheidung VI ZR 183/22 vom 28. Januar 2025, in der die Weitergabe personenbezogener Daten an Dritte – etwa an Auskunfteien – als eigenständiger Schaden gewertet wurde, sobald Betroffene keine Kontrolle mehr über ihre Informationen haben.
Generalprävention – Abschreckung ohne Strafcharakter
In der juristischen Literatur wird übereinstimmend betont, dass der immaterielle Schadensersatz eine doppelte Funktionhat: Er gleicht individuelle Beeinträchtigungen aus und wirkt zugleich generalpräventiv. Autoren wie Paal/Pauly und Kühling/Buchner heben hervor, dass die Entschädigungspflicht auch der Abschreckung dient – sie soll Datenschutzverstöße unattraktiv machen und Unternehmen zu präziser Compliance bewegen.
Gleichzeitig bleibt der Schadensersatz zivilrechtlich verankert, ohne Strafcharakter. Das OLG Koblenz (Urt. v. 18. Mai 2022 – 5 U 2141/21) und das OLG Stuttgart (Urt. v. 13. Dezember 2023 – 4 U 51/23) bestätigten diese Linie: Der präventive Effekt ist erwünscht, darf aber nicht zu einer pauschalen Sanktion führen.
Fazit
Art. 82 DSGVO ist ein Kerninstrument des Grundrechtsschutzes. Eine Bagatellgrenze existiert nicht. Jeder einzelne Verstoß kann – bei Nachweis von Schaden, Kausalität und Verschulden – einen Anspruch auf immateriellen Schadensersatz auslösen.
Datenschutzverstöße sind damit keine Bagatelle, sondern rechtlich relevante Eingriffe in das Persönlichkeitsrecht. Der Ausgleichsanspruch nach Art. 82 DSGVO ist Ausdruck des europäischen Verständnisses, dass Datenschutz kein formales Ideal ist, sondern ein reales Schutzrecht mit finanziellen Konsequenzen.
Die Praxis der Gerichte – zwischen 100 € und 10.000 €
Die Praxis deutscher Gerichte zeigt, wie unterschiedlich Datenschutzverstöße bewertet werden. Während einfache technische Fehler zu geringen Beträgen führen, erkennen Gerichte bei schwerwiegenden Eingriffen in das Persönlichkeitsrecht erhebliche Summen zu. Entscheidend sind dabei immer die Umstände des Einzelfalls – insbesondere die Art der Daten, das Verhalten des Verantwortlichen und die Dauer der Beeinträchtigung.
100 € – minimale Verstöße
In Fällen, in denen Betroffene nur kurzfristig oder geringfügig in ihrer Kontrolle über Daten beeinträchtigt wurden, werden regelmäßig niedrige Summen um 100 € zugesprochen. Typisch sind einmalige Fehlversendungen oder versehentlich offengelegte E-Mail-Adressen ohne sensible Inhalte.
Ein Beispiel ist das Urteil des LG Mannheim vom 15. März 2024 (1 O 99/23), in dem für einen Scraping-Vorfall lediglich 100 € zugesprochen wurden. Das Gericht erkannte zwar den Verstoß gegen die DSGVO an, bewertete die Auswirkungen auf die betroffene Person aber als geringfügig, da keine besonderen Daten betroffen waren.
500 € bis 2.000 € – klassische Datenpannen
In der mittleren Kategorie liegen Verstöße, bei denen sensible oder vertrauliche Daten unzulässig verarbeitet oder weitergegeben wurden. Hier setzen die Gerichte regelmäßig Schadenssummen zwischen 500 € und 2.000 € an.
Das Verwaltungsgericht Stuttgart (Urteil vom 20. Juni 2024 – 14 K 870/22) sprach einem Beamten zwischen 1.500 € und 2.000 € zu, nachdem seine Gesundheitsdaten unbefugt an Dritte übermittelt worden waren. Entscheidend war hier, dass Gesundheitsdaten zu den besonders schützenswerten Informationen im Sinne von Art. 9 Abs. 1 DSGVO zählen und die Verletzung nicht bloß formaler Natur war.
5.000 € bis 10.000 € – schwerwiegende Eingriffe
Die höchsten Summen sprechen Gerichte bei besonders sensiblen oder diskriminierenden Eingriffen zu. Dazu zählen Veröffentlichungen intimer Daten, unzulässige Verknüpfungen mit Bonitätsinformationen oder Verstöße, die über längere Zeit andauerten.
Das OLG Koblenz (Urteil vom 18. Mai 2022 – 5 U 2141/21) setzte Maßstäbe für die Bemessung hoher Beträge: Eine unberechtigte SCHUFA-Meldung verletzte die Betroffene in ihrer wirtschaftlichen Handlungsfreiheit und ihrem sozialen Ansehen. Die Kammer betonte, dass der immaterielle Schaden nicht symbolisch abgegolten werden darf, sondern den tatsächlichen Vertrauens- und Kontrollverlust widerspiegeln muss.
Bewertungskriterien der Gerichte
Die gerichtliche Bemessung orientiert sich an mehreren Kriterien:
- Dauer des Verstoßes: Längere oder fortdauernde Verstöße rechtfertigen höhere Summen.
- Art der Daten: Besonders sensible oder intime Informationen (z. B. Gesundheits- oder Finanzdaten) erhöhen die Schwere der Beeinträchtigung.
- Grad des Verschuldens: Fahrlässigkeit oder gar Vorsatz des Verantwortlichen wirken sich deutlich auf die Höhe des Schadensersatzes aus.
- Psychische Belastung: Bei emotionalen oder psychosomatischen Folgewirkungen ziehen Gerichte zunehmend psychologische Gutachten heran.
So wurden etwa im Fall des VG Stuttgart (14 K 870/22) medizinische Stellungnahmen berücksichtigt, die eine andauernde Belastung belegten. Damit bestätigte das Gericht, dass auch psychische Auswirkungen Teil des immateriellen Schadens sein können.
Symbolische Entschädigungen sind unzulässig
Mehrere Entscheidungen betonen ausdrücklich, dass rein symbolische Beträge mit dem Sinn des Art. 82 DSGVO unvereinbar sind. Der Schadensersatz dient nicht der bloßen Anerkennung eines Rechtsverstoßes, sondern der tatsächlichen Kompensation eines Eingriffs in die informationelle Selbstbestimmung.
Das LG Mannheim (15. März 2024) hob hervor, dass niedrige Summen nur in Ausnahmefällen gerechtfertigt sind – etwa, wenn keinerlei subjektive Belastung oder Folgewirkung erkennbar ist.
Fazit
Die gerichtliche Praxis zeigt: Datenschutzverstöße sind kein Bagatelldelikt. Zwischen 100 € und 10.000 € bewegt sich eine stetig wachsende Bandbreite, abhängig von Datenart, Dauer, Fahrlässigkeit und psychischer Auswirkung.
Gerichte werten Datenschutz zunehmend als persönlichkeitsrechtlich relevantes Schutzgut, dessen Verletzung reale und spürbare Folgen hat – finanziell, emotional und reputativ.
Psychische Belastung und Beweislast
Die Frage, wann ein immaterieller Schaden im Sinne des Art. 82 DSGVO als bewiesen gilt, gehört zu den komplexesten Aspekten des Datenschutzrechts. Denn obwohl der Anspruch grundsätzlich weit gefasst ist, müssen Betroffene den konkreten Schaden nachvollziehbar darlegen. Gleichzeitig kehrt die DSGVO die Beweislast in einem zentralen Punkt um – zugunsten der Betroffenen.
Beweislast und Beweislastumkehr
Nach Art. 82 Abs. 3 DSGVO trägt der Verantwortliche die Beweislast für das fehlende Verschulden. Er muss also nachweisen, dass er in keinerlei Hinsicht für den Datenschutzverstoß verantwortlich war. Diese Vorschrift kehrt die klassische Beweisstruktur um und stärkt damit die Position der Betroffenen erheblich.
Die betroffene Person selbst muss hingegen den Verstoß, den Schaden und den Kausalzusammenhang darlegen – nicht aber das Verschulden. Der EuGH (C-741/21, Urteil vom 11. April 2024) hat klargestellt, dass ein immaterieller Schaden nicht automatisch mit jedem Verstoß angenommen werden kann; es bedarf eines nachvollziehbaren Zusammenhangs zwischen der Verletzung und der Beeinträchtigung.
Das OLG Frankfurt (Urteil vom 2. Mai 2025 – 6 U 14/24) bestätigte, dass der Verantwortliche sich nur durch vollständige Entlastung von der Haftung befreien kann – etwa durch den Nachweis, dass der Verstoß auf ein Verhalten Dritter zurückging, das nicht in seiner Verantwortung lag.
Kontrollverlust als eigenständiger Schaden
Als immaterieller Schaden im Sinne des Art. 82 DSGVO gilt bereits der Verlust der Kontrolle über personenbezogene Daten. Dies ergibt sich aus Erwägungsgrund 85 DSGVO und wurde in der Rechtsprechung mehrfach bestätigt.
Das LG Nürnberg-Fürth (Urteil vom 15. Mai 2024 – 10 O 5104/23) erkannte den Kontrollverlust ausdrücklich als eigenständigen Schaden an – auch ohne nachgewiesene emotionale Belastung. Entscheidend war, dass die betroffene Person die Kontrolle über Gesundheits- und Kommunikationsdaten verloren hatte und nicht mehr nachvollziehen konnte, wo und wie diese verwendet wurden.
In einer weiteren Entscheidung (OLG Koblenz, Urteil vom 20. Mai 2025 – 4 U 779/23) wurde der Kontrollverlust als immaterieller Schaden bestätigt, wobei das Gericht betonte, dass die Beklagte die Beweislast für ihre fehlende Verantwortlichkeit trage. Die psychische Belastung, die aus der Ungewissheit über den Verbleib persönlicher Daten entsteht, wurde ausdrücklich in die Schadensbewertung einbezogen.
Psychische Belastung und Gutachten
Zunehmend erkennen Gerichte an, dass Datenschutzverletzungen psychische Folgen auslösen können – etwa Angst vor Datenmissbrauch, Kontrollverlust oder soziale Isolation. Solche Belastungen gehen über bloße Unannehmlichkeiten hinaus und sind daher schadensersatzfähig.
Das LG Lübeck (Urteil vom 4. Oktober 2024 – 15 O 216/23) betonte, dass psychologische Gutachten herangezogen werden können, um die Intensität der emotionalen Reaktion und den Zusammenhang mit der Datenschutzverletzung zu belegen. Diese Praxis stärkt die Position von Betroffenen, die durch die Offenlegung sensibler Informationen – etwa Gesundheitsdaten oder intime Kommunikation – nachhaltig belastet wurden.
Darlegungslast des Betroffenen
Zwar bleibt es Aufgabe der betroffenen Person, den Schaden konkret zu beschreiben und die Kausalität zu erläutern, doch genügt nach der aktuellen Rechtsprechung eine substantiierte Schilderung der Umstände. Eine ärztliche oder psychologische Bestätigung kann die Glaubhaftigkeit erhöhen, ist aber nicht zwingend erforderlich.
Die Rechtsprechung folgt zunehmend dem Ansatz, dass bereits der Verlust der Kontrolle über eigene Daten eine nachvollziehbare emotionale Beeinträchtigung begründen kann – ohne dass objektive Folgeschäden vorliegen müssen. Das bestätigt auch die Tendenz in der Literatur, wonach Datenschutzverletzungen als Eingriffe in das Persönlichkeitsrecht zu werten sind, deren emotionale Dimension nicht unterschätzt werden darf.
Fazit
Die aktuelle Rechtsprechung erkennt an, dass Datenschutzverletzungen nicht nur rechtliche, sondern auch psychologische Dimensionen haben. Der Verlust der Kontrolle über personenbezogene Daten kann – unabhängig von materiellen Folgen – einen immateriellen Schaden darstellen.
Art. 82 Abs. 3 DSGVO verschiebt die Beweislast bewusst zugunsten der Betroffenen und zwingt Verantwortliche, ihre internen Prozesse transparent und nachvollziehbar zu dokumentieren.
Wer sensible Daten verarbeitet, trägt also nicht nur technische, sondern auch psychologische Verantwortung.
Unternehmensrisiko – Haftung, Reputationsschaden und Bußgelder
Datenschutzverstöße sind längst kein reines Compliance-Problem mehr, sondern ein betriebswirtschaftliches Risiko mit enormer Sprengkraft. Neben individuellen Schadensersatzansprüchen nach Art. 82 DSGVO drohen Unternehmen empfindliche Bußgelder nach Art. 83 DSGVO sowie erhebliche Reputationsverluste. Diese Dreifachwirkung – Haftung, Buße, Vertrauensverlust – macht Datenschutzverletzungen zu einem der zentralen Haftungsrisiken moderner Unternehmensführung.
Schadensersatz und Bußgelder – doppelte Sanktion, unterschiedliche Funktion
Art. 82 DSGVO verpflichtet Unternehmen, für materielle und immaterielle Schäden aufzukommen, die durch Verstöße gegen die Datenschutzgrundverordnung entstehen. Dazu zählen nicht nur wirtschaftliche Einbußen, sondern auch psychische und emotionale Belastungen der Betroffenen – etwa bei Kontrollverlust oder Rufschädigung.
Parallel sieht Art. 83 DSGVO empfindliche Bußgelder vor, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können. Während Art. 82 den individuellen Ausgleich sichert, dient Art. 83 der Abschreckungund der konsequenten Durchsetzung der Datenschutzpflichten.
In der Praxis treten beide Normen häufig nebeneinander auf: Nach Cyberangriffen, Datenlecks oder Fehlkonfigurationen von Cloud-Systemen werden Bußgelder verhängt – zusätzlich zu den individuellen Schadensersatzansprüchen der betroffenen Kunden. So etwa im Fall einer internationalen Hotelkette, bei der Millionen Datensätze kompromittiert wurden und sowohl behördliche Sanktionen als auch private Klagen folgten.
Überschneidungen zwischen Art. 82 und Art. 83 DSGVO
Eine direkte Verbindung zwischen Schadensersatz und Bußgeld besteht zwar nicht, doch Gerichte betrachten zunehmend die Gesamtsituation des Unternehmens.
Die parallele Anwendung beider Artikel führt in der Praxis zu einer Verstärkung der Sanktion: Während der immaterielle Schadensersatz den individuellen Ausgleich schafft, erhöht das Bußgeld den allgemeinen Druck auf Unternehmen, Datenschutz systematisch in ihre Organisationsstruktur einzubetten.
Das LG Lüneburg (Urteil vom 21. März 2024 – 6 O 167/23) betonte, dass die Gesamtheit der gegen ein Unternehmen erhobenen Ansprüche auch im Rahmen der Schadensbewertung berücksichtigt werden kann, um eine wirksame Abschreckung zu gewährleisten. Damit wird klar: Datenschutzrechtliche Haftung kann nicht isoliert betrachtet werden, sondern hat immer auch eine gesamtwirtschaftliche Dimension.
Zivilrechtliche Haftung – § 823 BGB analog
Neben der DSGVO kann auch das Bürgerliche Gesetzbuch (BGB) herangezogen werden. Nach § 823 BGB haftet, wer das allgemeine Persönlichkeitsrecht eines anderen verletzt.
Gerichte kombinieren Art. 82 DSGVO und § 823 BGB häufig, um Schadensersatzansprüche auf eine doppelte rechtliche Grundlage zu stützen – insbesondere bei Medienveröffentlichungen, Datenlecks oder unzulässigen Weitergaben von Kundendaten.
Ein Beispiel liefert das LG Leipzig (Urteil vom 4. Juli 2025 – 5 O 2351/23), das einem Betroffenen 5.000 € zusprach, nachdem ein Unternehmen personenbezogene Daten unzulässig über Business-Tools verarbeitet hatte. Das Gericht stützte sich dabei zugleich auf Art. 82 DSGVO und § 823 BGB, um den Schutz des Persönlichkeitsrechts zu untermauern.
Versicherungsrechtliche Aspekte – Prävention und Absicherung
Angesichts der steigenden Haftungsrisiken gewinnen Cyber-Versicherungen und Rechtsschutzversicherungen massiv an Bedeutung.
Cyber-Policen decken typischerweise Kosten für Datenwiederherstellung, Krisen-PR, IT-Forensik und Schadensersatzforderungen ab. Rechtsschutzversicherungen übernehmen dagegen meist die Verteidigungskostengegen Schadensersatzklagen.
Gerade Unternehmen, die regelmäßig personenbezogene Daten verarbeiten – etwa im Gesundheitswesen, E-Commerce oder Finanzbereich – sollten Datenschutzrisiken in ihre betriebliche Risikostrategie einbeziehen. Eine Cyberversicherung kann dabei nicht nur finanzielle Verluste abfedern, sondern auch die Reputation schützen, indem sie schnelle Reaktionsmaßnahmen ermöglicht.
Reputationsschäden – der stille Verlust
Der oft unterschätzte Faktor bei Datenschutzverletzungen ist der Vertrauensverlust. Ein einziger Vorfall kann genügen, um Kundenbeziehungen dauerhaft zu zerstören.
Die öffentliche Wahrnehmung spielt heute eine entscheidende Rolle: Sobald ein Unternehmen mit einem Datenleck in Verbindung gebracht wird, verbreitet sich die Nachricht in sozialen Medien in Minuten. Neben Bußgeldern und Schadensersatz entsteht so ein langfristiger Imageschaden, der weit schwerer wiegt als der finanzielle Verlust.
Fazit
Datenschutzverstöße treffen Unternehmen auf mehreren Ebenen: rechtlich, wirtschaftlich und reputativ.
Die parallele Anwendung von Art. 82 und Art. 83 DSGVO bedeutet, dass aus einem einzelnen Compliance-Fehler ein komplexes Haftungsgeflecht werden kann.
Zivilrechtliche Ansprüche, Bußgelder und Reputationsschäden bilden zusammen ein Risiko, das sich nur durch konsequentes Datenschutzmanagement und präventive Versicherungslösungen beherrschen lässt.
Datenschutz ist damit längst keine juristische Nebensache mehr, sondern ein strategischer Teil unternehmerischer Verantwortung.
Die gesellschaftliche Dimension – Warum Bagatellisierung gefährlich ist
Datenschutzverstöße sind keine reinen Verwaltungsfehler. Sie können gravierende psychologische, soziale und wirtschaftliche Folgen haben. Wer die Verletzung von Datenschutzrechten bagatellisiert, unterschätzt nicht nur die individuellen Konsequenzen für Betroffene, sondern gefährdet auch das gesellschaftliche Vertrauen in digitale Prozesse und Institutionen.
Gefahren der Bagatellisierung
Der Verlust der Kontrolle über personenbezogene Daten kann weitreichende Folgen haben. Identitätsdiebstahl, Diskriminierung und digitale Stalking-Fälle zeigen, dass Datenschutzverletzungen tiefer gehen als viele annehmen. Betroffene erleben häufig einen dauerhaften Kontrollverlust, der mit Angst, Unsicherheit und sozialer Isolation einhergeht.
Der EuGH (C-182/22 und C-189/22, Urteil vom 20. Juni 2024) hat ausdrücklich hervorgehoben, dass Datenschutzverletzungen keine Erheblichkeitsschwelle unterliegen: Schon der Kontrollverlust selbst kann einen immateriellen Schaden darstellen – unabhängig davon, ob ein Missbrauch der Daten nachgewiesen wurde. Damit schützt die DSGVO nicht nur vor wirtschaftlichen, sondern vor psychologischen und gesellschaftlichen Schäden.
Auch das OLG Stuttgart (Urteil vom 22. November 2023 – 4 U 20/23) bestätigte, dass Kontrollverlust und Vertrauensbruch über die bloße „Unannehmlichkeit“ hinausgehen und eine reale Beeinträchtigung darstellen, die zu entschädigen ist.
Verantwortung von Unternehmen und Fachleuten
Die Verantwortung für den Schutz personenbezogener Daten liegt nicht allein bei den Betroffenen. Unternehmen, Datenschutzbeauftragte und Anwälte tragen eine besondere Pflicht, Datenschutzverstöße präventiv zu vermeiden und Betroffene im Schadensfall ernst zu nehmen.
Das Handbuch „Computerkriminalität“ (Peters, 2025) weist darauf hin, dass Datenschutzverletzungen für Unternehmen ein erhebliches Haftungsrisiko darstellen. Die Bagatellisierung solcher Verstöße kann nicht nur finanzielle, sondern auch reputationsbezogene Folgen haben. Fehlende Sensibilität führt dazu, dass Vertrauen in Organisationen und Institutionen verloren geht – und genau dieses Vertrauen bildet das Fundament moderner digitaler Kommunikation.
Gerade in der anwaltlichen Beratung ist es deshalb Pflicht, Datenschutz nicht als Nebenfrage, sondern als Teil des Persönlichkeits- und Grundrechtsschutzes zu begreifen.
Bewertung von Datenschutzschäden – zwischen Kontrolle, Diskriminierung und psychischer Belastung
Gerichte haben mehrfach betont, dass auch geringfügige Verstöße zu immateriellen Schäden führen können, wenn sie zu einem Kontrollverlust oder zu psychischer Belastung führen. Eine Erheblichkeitsschwelle besteht nicht.
Das Hanseatische Oberlandesgericht Hamburg (Urteil vom 20. März 2025 – 5 U 93/24) erkannte an, dass Diskriminierung und Mobbing, die auf einer unzulässigen Datenverarbeitung beruhen, besonders schwerwiegende Eingriffe darstellen.
Solche Verstöße können zu dauerhaften Reputations- und Beziehungsschäden führen, insbesondere, wenn sie sensible Lebensbereiche betreffen – etwa Gesundheitsdaten, sexuelle Orientierung oder private Kommunikation.
Die DSGVO schützt damit nicht nur Datensätze, sondern die Würde und Integrität der betroffenen Person.
Gesellschaftliche Wirkung des Datenschutzrechts
Das Datenschutzrecht ist ein gesellschaftliches Regulativ. Es schützt die Autonomie des Einzelnen in einer zunehmend datengetriebenen Welt. Wenn Datenschutzverstöße als Bagatellen behandelt werden, verliert dieser Schutz seine abschreckende und stabilisierende Wirkung.
Die Entscheidungen des EuGH (C-340/21, 14. Dezember 2023) und nationaler Gerichte zeigen, dass Datenschutzverletzungen auch als soziale Ungleichheiten verstanden werden können: Wer über Ressourcen verfügt, kann sich rechtlich wehren; wer es nicht kann, bleibt oft schutzlos. Eine konsequente Durchsetzung des Schadensersatzrechts nach Art. 82 DSGVO trägt daher zur sozialen Gerechtigkeit und digitalen Chancengleichheit bei.
Fazit
Die Bagatellisierung von Datenschutzverletzungen gefährdet nicht nur die individuelle Rechtsdurchsetzung, sondern das gesellschaftliche Vertrauen in die digitale Ordnung.
Jeder Kontrollverlust, jede unberechtigte Weitergabe von Daten ist ein Eingriff in die Privatsphäre – und damit in die Freiheit.
Es liegt in der Verantwortung von Unternehmen, Behörden und Beratern, Datenschutzverletzungen nicht zu relativieren, sondern sie als das zu behandeln, was sie sind: Echte Grundrechtsverletzungen mit realen Folgen.
.png)
