Das Oberlandesgericht (OLG) Düsseldorf hat am 10. Juli 2025 in der Sache 16 U 83/24 ein Urteil gefällt, das für Unternehmen wie auch für Betroffene von Datenschutzverstößen von erheblicher Bedeutung ist. Kern der Entscheidung: Schon der Verlust der Kontrolle über personenbezogene Daten kann nach der DSGVO einen Anspruch auf Schadensersatz begründen.
Der Fall im Überblick
Ein Nutzer hatte ein Streaming-Angebot in Anspruch genommen. Seine Daten wurden über einen Auftragsverarbeiter an eine konzernverbundene Gesellschaft weitergegeben – und tauchten später im Darknet auf. Der Kläger argumentierte, er habe dadurch die Kontrolle über seine Daten verloren, und verlangte Schadensersatz.
Das Gericht sprach ihm 200 Euro immateriellen Schadensersatz zu. Außerdem stellte es klar, dass die Beklagte für mögliche zukünftige materielle Schäden aus dem Datenleck ebenfalls einzustehen hat.
Rechtliche Kernaussagen
Das OLG Düsseldorf hat seine Entscheidung auf folgende wesentliche Punkte gestützt:
- Kontrollverlust als Schaden: Schon der Umstand, dass personenbezogene Daten ohne Wissen oder Zustimmung des Betroffenen weitergegeben und unkontrollierbar verbreitet werden, kann ein immaterieller Schaden sein.
- Verantwortung der Unternehmen: Auch wenn ein Auftragsverarbeiter oder Unterauftragnehmer fehlerhaft handelt, bleibt das verantwortliche Unternehmen haftbar. Es reicht nicht, Löschpflichten nur per Mail bestätigen zu lassen.
- Keine Strafzahlung, sondern Ausgleich: Schadensersatz dient dem Ausgleich des immateriellen Schadens, nicht der Bestrafung des Unternehmens.
Das Gericht stützte sich damit auf die Linie des Europäischen Gerichtshofs, der bereits in früheren Entscheidungen betont hatte: „Schon ein selbst kurzzeitiger Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden darstellen.“
Auswirkungen auf Unternehmen
Für Unternehmen bedeutet dieses Urteil eine deutliche Verschärfung der Anforderungen an ihr Datenschutz- und Sicherheitsmanagement. Wer personenbezogene Daten verarbeitet, muss:
- Auftragsverarbeiter eng kontrollieren,
- Löschungen nachweisbar dokumentieren,
- klare Prozesse für Datensicherheit und -überwachung etablieren.
Unternehmen, die diese Anforderungen vernachlässigen, laufen Gefahr, selbst bei scheinbar kleinen Vorfällen in die Haftung genommen zu werden.
Fazit
Das Urteil des OLG Düsseldorf macht deutlich: Datenschutzverstöße sind kein Randthema, sondern können unmittelbare finanzielle Folgen haben. Schon der Kontrollverlust reicht aus, um Schadensersatzansprüche zu begründen. Unternehmen sollten deshalb ihre Datenschutzprozesse kritisch überprüfen und konsequent nachbessern.
Gern stehen wir Ihnen hierbei beratend zur Seite und unterstützen Sie bei allen Fragen rund um die praktische Umsetzung von Datenschutzpflichten.