EuGH-Urteil v. 04.09.2025, Rechtssache C-655/23
Case Note von Eva Ghazari-Arndt
Die Datenschutz-Grundverordnung (DSGVO) gewährleistet einen unionsweit einheitlichen Schutz personenbezogener Daten, lässt jedoch zentrale Fragen der individuellen Rechtsdurchsetzung offen. Dabei wirft auch das Verhältnis zwischen präventivem Rechtsschutz und Schadensersatz folgende Fragen auf: Ist das Datenschutzrecht primär auf die Sanktion bereits eingetretener Verstöße ausgerichtet, oder eröffnet es betroffenen Personen auch wirksame Möglichkeiten, künftige Rechtsverletzungen effektiv zu verhindern? Eng damit verbunden ist die Frage, unter welchen Voraussetzungen immaterielle Schäden rechtlich relevant werden und welche Funktion dem Schadensersatz im System der DSGVO zukommt. Diese Schnittstellen zwischen Grundrechtsschutz, zivilrechtlicher Haftung und nationaler Rechtsdurchsetzung bilden den rechtlichen Hintergrund der nachfolgend dargestellten Entscheidung des Europäischen Gerichtshofs (EuGH) im Rahmen eines Vorabentscheidungsverfahrens.
A. Sachverhalt
Der Kläger des Ausgangsverfahrens befand sich bei der Quirin Privatbank, einer Gesellschaft deutschen Rechts, in einem Bewerbungsverfahren, das über ein Online-Karrierenetzwerk durchgeführt wurde. Im Verlauf dieses Verfahrens übermittelte eine Mitarbeiterin der Bank über den integrierten Nachrichtendienst eine Mitteilung an den Kläger, die ausschließlich an ihn gerichtet sein sollte. Inhalt der Mitteilung war die Ablehnung der vom Kläger angegebenen Gehaltsvorstellung, verbunden mit dem Angebot einer abweichenden Vergütung. Diese Nachricht wurde jedoch an eine dritte Person versandt, die nicht in das Bewerbungsverfahren eingebunden war. Der Empfänger der Nachricht kannte den Kläger aus einer früheren beruflichen Zusammenarbeit, sodass er die Mitteilung an den Kläger weiterleitete und ihn in diesem Zusammenhang fragte, ob er derzeit auf Stellensuche sei.
Daraufhin erhob der Kläger vor dem Landgericht (LG) Darmstadt Klage. Er beantragte, der Quirin Privatbank die weitere Verarbeitung seiner im Zusammenhang mit dem Bewerbungsverfahren stehenden personenbezogenen Daten zu untersagen, soweit hierdurch erneut eine unbefugte Offenlegung dieser Daten eintreten könnte. Zudem machte er einen Anspruch auf Schadensersatz wegen eines immateriellen Schadens geltend. Zur Begründung trug er vor, dass er infolge der Übermittlung der vertraulichen Informationen an eine ihm bekannte Person aus demselben beruflichen Umfeld eine mögliche Weitergabe dieser Daten sowie daraus resultierende Nachteile in einer etwaigen Bewerbungssituation befürchte, sowie das Unterliegen in den Gehaltsverhandlungen gegenüber Dritten als Schmach empfunden habe.
B. Verfahrensverlauf und Vorlagefragen
Das LG Darmstadt verurteilte die Quirin Privatbank zur Unterlassung sowie zur Zahlung eines Schadensersatzes i. H. v. 1.000 EUR nebst Zinsen an den Kläger. Gegen diese Entscheidung legte die Quirin Privatbank Berufung ein. Das Oberlandesgericht (OLG) Frankfurt wies das erstinstanzliche Urteil teilweise ab, indem es dem Kläger zwar einen Anspruch auf Unterlassung der künftigen Verarbeitung seiner personenbezogenen Daten in einer mit dem streitgegenständlichen Vorgang vergleichbaren Form zuerkannte und insoweit eine Wiederholungsgefahr bejahte. Den geltend gemachten Schadensersatzanspruch nach Art. 82 DSGVO wies das Gericht jedoch zurück. Zur Begründung führte das OLG aus, dass zwar ein Verstoß gegen datenschutzrechtliche Vorschriften in Form der unbefugten Übermittlung personenbezogener Daten an einen Dritten vorliege, der Kläger jedoch keinen konkreten immateriellen Schaden dargelegt habe; auch eine etwa empfundene Schmach sei nicht als immaterieller Schaden i. S. d. DSGVO zu qualifizieren.
Gegen dieses Urteil legten sowohl der Kläger als auch die Quirin Privatbank Revision zum Bundesgerichtshof (BGH) ein. Während der Kläger seine ursprünglichen Anträge weiterverfolgte, begehrte die Quirin Privatbank die vollständige Abweisung der Klage. Der BGH vertrat dabei die Auffassung, dass die beanstandeten Vorgänge in den sachlichen Anwendungsbereich der DSGVO fielen und eine Verarbeitung personenbezogener Daten des Klägers darstellten, für die die Quirin Privatbank als Verantwortliche i. S. d. Verordnung anzusehen sei. Da die unbefugte Übermittlung dieser Daten an einen Dritten mangels Einwilligung des Klägers jedoch unstreitig rechtswidrig erfolgt war, setzte der BGH das Verfahren aus, weil aus seiner Sicht ungeklärt war, ob die DSGVO einen solchen präventiven Rechtsschutz überhaupt vorsehe. Der BGH legte dem EuGH daher mehrere Fragen zur Vorabentscheidung vor.
Im Mittelpunkt stand die Frage, ob die DSGVO selbst einen präventiven Unterlassungsanspruch gegen künftige Datenschutzverstöße begründet, auch ohne Geltendmachung von Löschungs- oder Einschränkungsrechten durch die betroffene Person, und ob sich ein solcher Anspruch aus Art. 17, 18 oder Art. 79 DSGVO oder aus anderen Bestimmungen der Verordnung ableiten lässt. In diesem Zusammenhang war zudem zu klären, ob das Bestehen einer Wiederholungsgefahr Voraussetzung eines solchen Anspruchs ist und ob diese aus einem bereits begangenen Verstoß vermutet werden darf. Für den Fall der Verneinung eines unionsrechtlichen Unterlassungsanspruchs stellte sich ferner die Frage, ob Art. 79 i. V. m. Art. 84 DSGVO den nationalen Gerichten Raum lässt, ergänzend nach nationalem Recht einen Unterlassungsanspruch zuzuerkennen. Daneben begehrte der BGH Klarheit über die Reichweite des Schadensersatzanspruchs nach Art. 82 DSGVO, insbesondere über die unionsrechtliche Auslegung des immateriellen Schadens, die Anforderungen an dessen Nachweis sowie darüber, ob der Grad des Verschuldens des Verantwortlichen oder das Bestehen eines Unterlassungsanspruchs bei der Bemessung der Schadenshöhe berücksichtigt werden darf.
C. Kernaussage des Urteils
Der EuGH stellt zunächst klar, dass die DSGVO keinen eigenständigen unionsrechtlichen Anspruch auf präventive Unterlassung künftiger Datenschutzverstöße begründet, sofern die betroffene Person nicht die Löschung oder Einschränkung der Verarbeitung ihrer Daten begehrt. Ein solcher Anspruch lässt sich weder aus Art. 17 noch aus Art. 18 DSGVO noch aus den Rechtsbehelfsregelungen des Kapitels VIII, insbesondere aus Art. 79 DSGVO, herleiten. Zwar zielt die DSGVO auf ein hohes und unionsweit einheitliches Datenschutzniveau ab und beruht auf dem Grundrecht auf Schutz personenbezogener Daten nach Art. 8 EU-Grundrechtecharta, sie bezweckt jedoch keine vollständige Harmonisierung sämtlicher denkbarer Rechtsbehelfe. Gleichzeitig schließt die DSGVO nationale Regelungen, die einen präventiven Unterlassungsanspruch vorsehen, nicht aus. Aus dem in Art. 79 DSGVO verankerten Vorbehalt zugunsten weiterer Rechtsbehelfe folgt, dass die Mitgliedstaaten befugt bleiben, ergänzende nationale Instrumente des präventiven Rechtsschutzes vorzusehen. Solche Regelungen stehen nach Auffassung des EuGH mit den Zielen der DSGVO in Einklang, da sie deren praktische Wirksamkeit stärken und das angestrebte hohe Schutzniveau für personenbezogene Daten absichern können.
Zudem stellt der EuGH klar, dass der Begriff des immateriellen Schadens in Art. 82 DSGVO unionsautonom und weit auszulegen ist. Ein Anspruch auf Schadensersatz setzt kumulativ einen Verstoß gegen die DSGVO, das tatsächliche Entstehen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen Verstoß und Schaden voraus; der bloße Verstoß genügt dabei nicht. Eine Erheblichkeitsschwelle kennt Art. 82 DSGVO nicht, sodass auch geringfügige Beeinträchtigungen ersatzfähig sein können, sofern sie tatsächlich eingetreten sind. Als immaterielle Schäden kommen insbesondere ein Verlust der Kontrolle über personenbezogene Daten, das Risiko ihrer missbräuchlichen Verwendung oder eine Rufschädigung in Betracht. Auch negative Gefühle wie Sorge, Ärger oder Angst können einen ersatzfähigen immateriellen Schaden darstellen, wenn sie konkret nachgewiesen werden und kausal auf den Datenschutzverstoß zurückzuführen sind. Entscheidend ist dabei stets die tatsächliche Beeinträchtigung der betroffenen Person, deren Vorliegen von den nationalen Gerichten zu prüfen ist.
Hinsichtlich der Bemessung des Schadensersatzes betont der EuGH, dass der Schadensersatzanspruch nach Art. 82 DSGVO ausschließlich eine Ausgleichsfunktion erfüllt. Er dient dem vollständigen und wirksamen Ausgleich des konkret erlittenen Schadens, nicht jedoch der Sanktionierung oder Abschreckung des Verantwortlichen. Zwar setzt die Haftung ein dem Verantwortlichen zurechenbares Verschulden voraus, dieses ist jedoch allein für das Bestehen der Haftung relevant und darf bei der Bemessung der Schadenshöhe nicht berücksichtigt werden. Ebenso darf der Umfang des Schadensersatzes nicht dadurch gemindert oder ersetzt werden, dass der betroffenen Person auch ein Unterlassungsanspruch gegen den Verantwortlichen zusteht. Ein Unterlassungsanspruch verfolgt eine präventive Zielsetzung und ist nicht geeignet, bereits eingetretene immaterielle Schäden auszugleichen. Art. 82 DSGVO schließt es daher aus, den Schadensersatz ganz oder teilweise durch präventive Maßnahmen zu substituieren oder zu reduzieren.
D. Einordnung und Bewertung
Der EuGH bekräftigt mit diesem Urteil seine bisherige Linie, die DSGVO als materiell-rechtliches Regelungswerk mit grundrechtlichem Gehalt einzuordnen, das zwar über ein eigenes unionsautonomes Durchsetzungsregime verfügt, ohne sie jedoch zu einer vollständig harmonisierten Prozess- oder Rechtsbehelfsordnung fortzuentwickeln. Die Verneinung eines unmittelbar unionsrechtlich gewährten präventiven Unterlassungsanspruchs bestätigt das Verständnis der DSGVO als Rahmen- und Mindestordnung, die den Mitgliedstaaten Raum für ergänzende Rechtsdurchsetzung belässt. Dogmatisch überzeugt dies, da Art. 17 und 18 DSGVO statusbezogene Individualrechte darstellen und Art. 79 DSGVO keinen spezifischen präventiven Anspruch normiert. Zugleich ist hervorzuheben, dass der EuGH nationale Unterlassungsansprüche ausdrücklich als unionsrechtlich zulässige Ergänzung anerkennt. Damit wahrt er die Verfahrensautonomie der Mitgliedstaaten, stärkt die praktische Wirksamkeit der DSGVO und verhindert eine Absenkung bestehender nationaler Schutzniveaus. Aus integrationsrechtlicher Perspektive gelingt so ein ausgewogener Ausgleich zwischen Harmonisierung und pluraler Rechtsdurchsetzung.
Im Bereich des Schadensersatzes konsolidiert der EuGH seine Rechtsprechung zu Art. 82 DSGVO und bestätigt eine weite Auslegung des immateriellen Schadensbegriffs, ohne diesen jedoch schrankenlos auszugestalten. Zwar lehnt er eine Bagatellschwelle ab und erkennt u.a. den Verlust der Kontrolle über personenbezogene Daten als eigenständige immaterielle Beeinträchtigung an, begrenzt den Anspruch jedoch durch strikte Anforderungen an den tatsächlichen Schadenseintritt sowie an den Kausalzusammenhang zwischen Datenverstoß und Schaden. Zugleich stellt der EuGH klar, dass der Schadensersatz nach Art. 82 DSGVO ausschließlich eine ausgleichende Funktion erfüllt und weder als Sanktion noch zu generalpräventiven Zwecken dient. Abschreckende Elemente sind damit ausgeschlossen und verbleiben dem aufsichtsrechtlichen Sanktionssystem, insbesondere dem Bußgeldregime nach Art. 83 DSGVO. Folgerichtig lehnt der EuGH jede Verrechnung von Unterlassung und Schadensersatz ab, da präventive Unterlassungsansprüche bereits eingetretene Schäden weder mindern noch beheben können. Diese konsequente Trennung wahrt die Eigenständigkeit des Schadensersatzanspruchs und schützt die Effektivität individueller Datenschutzrechte. Insgesamt erweist sich das Urteil als dogmatisch präzise, systematisch konsistent und grundrechtsfreundlich.
E. Fazit und Ausblick
Das Urteil bestätigt die grundrechtsbezogene Ausrichtung der DSGVO und präzisiert zentrale dogmatische Leitlinien, ohne das bestehende System zu überdehnen. Für die zukünftige Anwendung rückt insbesondere die nationale Rechtsdurchsetzung in den Fokus: Sowohl die Ausgestaltung präventiver Unterlassungsansprüche als auch die Konkretisierung immaterieller Schäden werden maßgeblich durch die Rechtsprechung der Mitgliedstaaten geprägt. Die Weiterentwicklung des Datenschutzrechts erfolgt damit nicht allein auf europäischer Ebene, sondern im Zusammenspiel von unionsrechtlichen Vorgaben und nationaler richterlicher Konkretisierung. Während der EuGH den rechtlichen Rahmen und die grundlegenden Leitlinien vorgibt, liegt die konkrete Anwendung und Fortentwicklung des Datenschutzrechts bei den nationalen Gerichten, die einen effektiven Grundrechtsschutz sicherstellen müssen, ohne die unionsweite Kohärenz zu gefährden.
Zitiervorschlag: Ghazari-Arndt, Eva, Unterlassungsanspruch und immaterieller Schaden im Datenschutzrecht , jean-monnet-saar 2026.
Gefördert durch die Deutsche Forschungsgemeinschaft (DFG) – Projektnummer: 525576645
