EuGH: XING-Nachricht an den falschen Adressaten kann zu Schadenersatzanspruch führen

Wahrscheinlich ist es jedem schon einmal passiert: das versehentliche Absenden einer E-Mail oder anderen elektronischen Nachricht an den falschen Adressaten.

Darin kann ein Datenschutzverstoß liegen, der die betroffene Person zu Schadenersatz berechtigt, wenn die Nachricht personenbezogene Daten enthält (EuGH, Urteil vom 4. September 2025, Rechtssache C-655/23 – Quirin Privatbank).

Sachverhalt

Der Kläger hatte sich über das Online-Karrierenetzwerk XING bei einer Bank beworben. Versehentlich versandte die Bank ihre Antwort nicht an den Kläger, sondern an einen Dritten. In der Antwort hieß es, die Bank fände die Bewerbung des Klägers interessant, könne jedoch seine Gehaltsvorstellungen nicht erfüllen. Die Bank bot dem Kläger eine andere Vergütung an und fragte nach, ob diese für den Kläger interessant sei.

Der Kläger verklagte daraufhin die Bank auf Schadensersatz in Höhe von EUR 2.500,00. Er befürchte, dass Dritte von dieser Kommunikation Kenntnis erhalten könnten. Er empfinde das „Unterliegen“ in den Gehaltsverhandlungen als Schmach. Nachdem der Kläger vor den Instanzgerichten zuletzt erfolglos geblieben war, legte der Bundesgerichtshof dem Europäischen Gerichtshof mehrere Vorlagefragen vor (BGH, Beschluss vom 26. September 2023 – VI ZR 97/22). Darin wurde u.a. danach gefragt, ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen sei, dass der Begriff „immaterieller Schaden“ auch negative Gefühle umfasse, die die betroffene Person in Folge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie z.B. Sorge oder Ärger über den Verlust der Kontrolle über die Daten, deren mögliche missbräuchliche Verwendung oder eine eventuelle Rufschädigung. 

Die Entscheidung

Der Europäische Gerichtshof entschied, dass der Begriff des „immateriellen Schadens“ im Sinne von Art. 82 Abs. 1 DSGVO auch negativen Gefühle, wie Sorge oder Ärger, mit umfasse. Dies folge daraus, dass der Ersatz eines immateriellen Schadens nicht davon abhängig gemacht werden könne, dass eine Bagatellgrenze überschritten wird. Der „Verlust der Kontrolle“ über Daten werde in Erwägungsgrund 85 der DSGVO ausdrücklich als Beispiel für mögliche immaterielle Schäden aufgeführt. Grundsätzlich sei ein immaterieller Schaden zu ersetzen, so geringfügig er auch sein möge. Die betroffene Person müsse aber das Vorliegen solcher Gefühle samt ihren negativen Folgen, die gerade auf dem in Rede stehenden Datenschutzverstoß beruhen müssten, nachweisen. Dies zu prüfen sei Sache der nationalen Gerichte. Bei der Bemessung eines ggf. geschuldeten immateriellen Schadensersatzes sei der Grad des Verschuldens des Verantwortlichen nicht zu berücksichtigen. Anders als eine Geldbuße nach Art. 83 DSGVO habe der Schadenersatzanspruch nach Art. 82 DSGVO keine Abschreckungs- oder Straffunktion. Er diene ausschließlich dem Ausgleich des konkret erlittenen Schadens. 

Praxistipp

Die Entscheidung dürfte die mittlerweile überbordende Geltendmachung von Schadenersatzansprüchen wegen datenschutzrechtlicher Bagatellverstöße erschweren. Zwar hält der Europäische Gerichtshof an seiner Rechtsprechung fest, dass auch jeder noch so kleine immaterielle Schaden zu ersetzen ist (so schon EuGH im Urteil vom 4. Mai 2023, Rechtssache C-300/21 – Österreichische Post). Und auch die Feststellung, dass bloße Gefühle, wie Sorgen oder Ängste, schon zur Geltendmachung eines immateriellen Schadens berechtigten, eröffnet zunächst ein weites Feld für die Geltendmachung von Schadenersatzansprüchen. Dass der Europäische Gerichtshof dann aber fordert, dass die betroffene Person nachweisen müsse, dass sie solche Gefühle empfunden habe und die geltenden gemachten negativen Folgen gerade aufgrund des in Rede stehenden Datenschutzverstoßes eingetreten seien, dürfte praktisch eine hohe Hürde darstellen. Ohnehin wird die Kausalität vermeintlicher Schädigungen durch Datenschutzverstöße zunehmend kritisch von den Gerichten hinterfragt – so z.B. bei den mittlerweile massenhaft erhobenen Klagen wegen Mitteilung des Abschlusses von Mobilfunkverträgen an die SCHUFA, was der Betrugsprävention dient, die Bonität des Mobilfunkkunden aber nicht beeinträchtigt (siehe dazu erst kürzlich OLG Düsseldorf vom 25. September 2025, GRUR-RS 2025, 25375). Und auch das Festhalten des Europäischen Gerichtshofes an seiner Auffassung, dass der Schadenersatzanspruch aus Art. 82 DSGVO keine Abschreckungs- oder Straffunktion hat, sondern ausschließlich der Ausgleichung des konkret entstandenen Schadens dient, dürfte das Einklagen immateriellen Schadensersatzes wegen Bagatellverstößen wirtschaftlich unattraktiv machen. Denn bei nüchterner Betrachtung wird häufig nur ein Schadenersatz in Höhe eines ein- oder zweistelligen Eurobetrages angemessen sein (siehe dazu Paal, NJW 2024, 1689 ff., Rn. 37).