13.02.2026
Datenschutzrecht. Der Gerichtshof der Europäischen Union (EuGH) beantwortete in seinem Urteil vom 04.09.2025 (in der Rechtssache C-655/23) im Rahmen einer Vorabentscheidung gem. Art. 267 AEUV weitere praxisrelevante Auslegungsfragen zur Datenschutz-Grundverordnung (DSGVO).
Sachverhalt
Der Kläger hielt im Rahmen eines Bewerbungsprozesses mit der Beklagten, der Quirin Privatbank, Gehaltsverhandlungen. Infolgedessen wurde eine entsprechende Ablehnung des Gehaltsvorschlags des Klägers an einen falschen Adressaten verschickt. Der Empfänger dieser Nachricht ist ehemaliger Arbeitskollege des Klägers und konnte diesen dementsprechend über den Fehler in Kenntnis setzen, einhergehend mit der Frage, ob er auf Stellensuche sei. Aufgrund dessen machte der Kläger sodann geltend, einen immateriellen Schaden erlitten zu haben. Dieser schlage sich in drei Sorgen nieder:
- Ein bekannter Dritter aus der gleichen Branche ist nun dazu in der Lage, die vertraulichen Daten an ehemalige oder potenzielle Abreitgeber weiterzugeben.
- Der Dritte könnte ihm gegenüber einen Vorteil in einer etwaigen Konkurrenzsituation bei einer Bewerbung haben.
- Der Dritte konnte seine Demütigung aufgrund des Unterliegens in den Gehaltsverhandlungen wahrnehmen.
Der Kläger verklagte die Bank somit auf Schadensersatz und Unterlassung zukünftiger Verarbeitung personenbezogener Daten im Rahmen seiner Bewerbung, soweit dadurch die unbefugte Offenlegung dieser sensiblen Daten infolge des Versendens der Nachricht wiederholt wird.
Instanzenzug
Nachdem das Verfahren vor dem Landgericht Darmstadt und Oberlandesgericht Frankfurt am Main weder Kläger, noch Beklagten zufriedenstellte, legten beide Parteien Revision vor dem Bundesgerichtshof (BGH) ein. Aufgrund der Anwendbarkeit der DSGVO legte der BGH legte sodann 6 Fragen, betreffend der Auslegung verschiedener Normen und der Reichweite von bestimmten Unterlassungs- und Schadensersatzansprüchen, dem EuGH zur Vorabentscheidung vor.
Fragen des BGH
Zusammengefasst stellte der BGH dem EuGH folgende Fragen zur Vorabentscheidung:
- a) Normiert Art. 17 DSGVO einen Unterlassungsanspruch, auch wenn keine Löschung der Daten begehrt wurde?
- b) Ergibt sich ein derartiger Unterlassungsanspruch aus Art. 18 oder anderen Normen der DSGVO? Falls 1a) und b) bejaht werden:
- a) Setzt der unionsrechtliche Unterlassungsanspruch Wiederholungsgefahr voraus?
- b) Wird Wiederholungsgefahr durch einen Verstoß gegen die DSGVO vermutet? Falls 1a) und b) verneint werden:
- Erlauben Art. 84 i.V.m. Art. 79 DSGVO nationalen Richten neben den Ansprüchen aus der DSGVO einen Unterlassungsanspruch nach nationalem Recht zu gewähren?
- Art. 82 I DSGVO: Sind für einen immateriellen Schaden bloße negative Gefühle ausreichend oder ist ein darüberhinausgehender Schaden erforderlich?
- Art. 82 I DSGVO: Stellt der grad des Verschuldens bei der Schadensbemessung ein relevantes Kriterium dar? Falls 1a), b) oder 3) bejaht werden:
- Art. 82 I DSGVO: Wirkt sich ein Unterlassungsanspruch anspruchsmindernd auf den Schadensersatz aus?
Entscheidung des EuGH
Der EuGH betont zunächst insbesondere die Zielsetzung der Verordnung, ein hohes Schutzniveau für natürliche Personen bei Verarbeitung personenbezogener Daten zu gewährleisten, welche sich insbesondere in Art. 1 und Erwägungsgrund 1 der Verordnung niederschlagen.
Art. 1 II DSGVO:
„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“
Erwägungsgrund 1:
„Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden ‚Charta‘) sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
Zu Frage 1) – 3):
Zur Beantwortung der ersten drei Fragen stellt der EuGH klar, dass die DSGVO keine Norm vorsieht, die lediglich einen Unterlassungsanspruch gewährt, ohne die Löschung zu beantragen. Sie verbiete allerdings den Mitgliedsstaaten nicht, im Rahmen des nationalen Rechts einen solchen Anspruch zu gewähren. Zwar enthält die Verordnung keine spezielle Öffnungsklausel hierfür, jedoch steht diese Möglichkeit im Einklang mit den Zielen der Verordnung, indem man hierdurch _„die praktische Wirksamkeit dieser Bestimmungen verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau für die betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern“ _ kann.
Zu Frage 4):
Der Begriff „immaterieller Schade“ ist weit auszulegen. Umfasst sind somit auch negative Gefühle, die nachweislich gerade aufgrund des Verstoßes gegen die DSGVO – z.B. durch unbefugte Übermittlung personenbezogener Daten an einen Dritten – entstehen. Gründe wie „Rufschädigung“ und „Verlust der Kontrolle“ über die Daten werden außerdem ausdrücklich in den Erwägungsgründen 75 und 85 als mögliche Schäden aufgeführt. Es wird somit keine „Bagatellgrenze“ gefordert, die der immaterielle schaden überschreiten müsse.
Zu Frage 5) – 6):
Die DSGVO enthält keine Bestimmungen, die die Bemessung des Schadensersatzes regeln. Demnach müsste man auf nationale Regelungen ausweichen. Allerdings sind hierbei stets die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität zu wahren. Da der Schadensersatz gem. Art. 82 I DSGVO ausschließlich des Ausgleiches und nicht der Abschreckung oder Strafe dient, sind Faktoren, wie der Grad des Verschuldens oder ein bereits gewährter Unterlassungsanspruch, nicht bei der Berechnung der Höhe des Schadensersatzes zu berücksichtigen.
Fazit
Somit konnte sich der EuGH anhand dieses Falles zu grundlegenden Fragen äußern, die sich im Rahmen der DSGVO, insbesondere bezüglich etwaiger Unterlassungs- und Schadensersatzansprüche stellen. Diese Entscheidung ist somit nicht nur relevant für den gegenständlichen Rechtsstreit, sondern hat auch vielmehr Bedeutung für zukünftige Fälle, die Verstöße gegen die DSGVO betreffen.
"EuGH: Datenschutz-Verletzung bei Gehaltsablehnung gegenüber falschen Adressaten"
von Žana Stepanović, LL.B., wiss. Mit.