Mit Urteil vom 11. Februar 2025 (Az.: VI ZR 365/22) hat der Bundesgerichtshof (BGH) ein wichtiges Zeichen für den Datenschutz und die Rechte betroffener Personen – hier konkret: Beamter – gesetzt. Der BGH entschied zugunsten einer Bundesbeamtin, die gegen die Bundesrepublik Deutschland wegen der unrechtmäßigen Verarbeitung ihrer Personalakte durch Landesbedienstete Schadensersatz gemäß Art. 82 DSGVO geltend gemacht hatte. Das Urteil konkretisiert den Begriff des immateriellen Schadens und bestätigt, dass bereits ein bloßer Kontrollverlust über personenbezogene Daten einen ersatzfähigen Schaden darstellen kann.
Sachverhalt und Verfahrensgang
Die Klägerin ist seit 1995 Bundesbeamtin bei der Bundesanstalt X. Ihre Personalakte wurde jahrelang nicht durch Bundesbedienstete, sondern durch Bedienstete des Landes Niedersachsen verwaltet. Diese Praxis beanstandete die Klägerin mehrfach erfolglos. Erst nach Einschaltung der Datenschutzbeauftragten von Land und Bund wurde die Praxis im August 2019 durch eine Organisationsverfügung beendet.
Die Klägerin erhob schließlich Klage auf Feststellung, dass ihr aufgrund der datenschutzwidrigen Praxis ein Anspruch auf Schadensersatz gemäß Art. 82 DSGVO zustehe. Landgericht und Oberlandesgericht wiesen die Klage ab. Die Revision der Klägerin hatte vor dem BGH Erfolg.
Rechtliche Würdigung durch den BGH
1. Datenschutzverstoß liegt vor
Der BGH bestätigte zunächst die Einschätzung des Berufungsgerichts, dass ein Verstoß gegen die Datenschutz-Grundverordnung gegeben sei. Die Praxis der Beklagten, Personalakten von Bundesbeamten durch Landesbedienstete verwalten zu lassen, sei mit den Anforderungen des Art. 5 Abs. 1 lit. a, Art. 28 DSGVO sowie § 111a BBG a.F. und § 26 BDSG nicht vereinbar gewesen. Eine wirksame Beauftragung der Landesbediensteten im datenschutzrechtlichen Sinne habe nicht vorgelegen. Auch eine Zustimmung der obersten Dienstbehörde wurde nicht behauptet.
2. Feststellungsinteresse bejaht
Trotz des abgeschlossenen Lebenssachverhalts bejahte der BGH ein Feststellungsinteresse der Klägerin gemäß § 256 Abs. 1 ZPO. Die Klägerin hatte ihren Antrag ursprünglich auch auf ein behauptetes Mobbing gestützt. Die Tatsache, dass dieser Teil nicht mehr Gegenstand der Revision war, ändere nichts an der ursprünglichen Zulässigkeit der Klage.
3. Schadensersatzanspruch gemäß Art. 82 DSGVO
a) Kumulative Voraussetzungen erfüllt
Ein Anspruch nach Art. 82 Abs. 1 DSGVO setzt voraus:
-
Verstoß gegen die DSGVO
-
Eintritt eines materiellen oder immateriellen Schadens
-
Kausalität zwischen Verstoß und Schaden
Alle drei Voraussetzungen sah der BGH als erfüllt an.
b) Immaterieller Schaden durch Kontrollverlust
Kern der Entscheidung ist die Anerkennung des Kontrollverlustes als eigenständigen immateriellen Schaden. Der BGH folgt damit der jüngsten Rechtsprechung des EuGH (u.a. C-687/21 – MediaMarktSaturn), wonach es keiner zusätzlichen „bloßstellenden“ Persönlichkeitsrechtsverletzung bedarf. Es genügt bereits der temporäre Verlust der Kontrolle über personenbezogene Daten – wie hier durch die unrechtmäßige Übermittlung an unberechtigte Dritte.
c) Keine Schutzobliegenheitspflichtverletzung der Klägerin
Die Beklagte wandte ein, die Klägerin habe nicht alle möglichen Rechtsmittel gegen die Datenweitergabe ausgeschöpft, weshalb § 839 Abs. 3 BGB analog anzuwenden sei. Der BGH wies dieses Argument zurück: Der unionsrechtliche Anspruch aus Art. 82 DSGVO sei autonom und lasse sich nicht durch nationale institute wie § 839 Abs. 3 BGB einschränken.
Praktische Relevanz und Bedeutung des Urteils
1. Maßstäbe für den immateriellen Schadensersatz konkretisiert
Der BGH setzt mit diesem Urteil ein klares Signal: Datenschutzverletzungen können auch dann zu Schadensersatzansprüchen führen, wenn keine „greifbaren“ materiellen Schäden oder gravierende Bloßstellungen vorliegen. Die Schwelle für die Geltendmachung immaterieller Schäden wird gesenkt, was insbesondere Betroffenen zugutekommt, deren Rechte durch subtilere Datenverarbeitungsverstöße verletzt wurden.
2. Bedeutung für das öffentliche Dienstrecht
Das Urteil zeigt eindrucksvoll, dass auch öffentlich-rechtliche Arbeitgeber – hier die Bundesrepublik – nicht über dem Datenschutzrecht stehen. Die Praxis, Verwaltungsaufgaben informell zwischen Bund und Ländern zu delegieren, kann erhebliche datenschutzrechtliche Risiken bergen.
3. Hinweis für künftige Praxis: Dokumentation und Zustimmung
Verantwortliche Stellen sollten sicherstellen, dass jede Form der Auftragsverarbeitung klar geregelt, dokumentiert und datenschutzkonform ist. Fehlt es an einer wirksamen Beauftragung oder Zustimmung nach § 111a BBG bzw. Art. 28 DSGVO, drohen nicht nur aufsichtsrechtliche Maßnahmen, sondern auch zivilrechtliche Schadensersatzansprüche.
Fazit
Das Urteil des BGH vom 11. Februar 2025 stellt einen Wendepunkt im Verständnis des immateriellen Schadens nach der DSGVO dar. Es unterstreicht die Autonomie des europäischen Datenschutzrechts gegenüber nationalen Einschränkungen und stärkt die Position betroffener Personen nachhaltig. Arbeitgeber – auch der öffentliche Dienst – müssen ihre Datenverarbeitungspraxis an diesen hohen Maßstäben messen.
Weitere Informationen zu datenschutzrechtlichen Ansprüchen im Arbeitsverhältnis finden Sie auf unserer Webseite unter:
www.jura.cc – Kanzlei für Kündigungsschutz und Datenschutzrecht
Bei Fragen zum Thema Datenschutzverstoß am Arbeitsplatz oder Beamtenrecht beraten wir Sie gerne persönlich – kompetent und engagiert.