28.04.2025

Schadensersatz nach Art. 82 Abs. 1 DSGVO wegen der Verwaltung von Personalakten durch hierzu nicht befugte Dritte

Vor dem BGH hatte die Klage einer Bundesbeamtin Erfolg, die Schadensersatz dafür eingeklagt hatte, dass die Personalaktenverwaltung der Bundesanstalt durch Bedienstete des Landes Niedersachsen vorgenommen wurde. Schon der damit verbundene Kontrollverlust könne einen ersatzfähigen immateriellen Schaden i.S.d. Art. 82 Abs. 1 DSGVO darstellen, entschieden die Karlsruher Richter. Es müsse auch keine über diesen Kontrollverlust hinausgehende benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung vorliegen; auch müsse der Beeinträchtigung des Betroffenen kein besonderes Gewicht zukommen, das über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt.

BGH v. 11.2.2025 - VI ZR 365/22
Der Sachverhalt:
Die Parteien streiten, soweit im Revisionsverfahren noch relevant, über Schadensersatz wegen Verstoßes gegen die DSGVO. Die Klägerin ist seit dem Jahr 1995 Bundesbeamtin bei der Bundesanstalt X. in Hannover. Die Personalaktenverwaltung wurde dort in der Vergangenheit durch Bedienstete des Landes Niedersachsen vorgenommen. Die Klägerin beanstandete dies mehrfach ohne Erfolg und wandte sich schließlich im Jahr 2017 an den Beauftragten für Datenschutz des Landes Niedersachsen, der die Eingabe zuständigkeitshalber an den Bundesbeauftragten für Datenschutz und Informationssicherheit weiterleitete. Dieser teilte der beklagten Bundesrepublik Deutschland im April 2019 mit, dass die dortige Praxis unzulässig sei. Die Beklagte änderte daraufhin mit Organisationsverfügung vom 22.8.2019 die beanstandete Praxis.

Soweit für das Revisionsverfahren noch von Interesse, begehrt die Klägerin mit ihrer Klage die Feststellung, dass die Beklagte wegen rechtswidriger Weitergabe von besonders geschützten Daten an Landesbedienstete zur Leistung von Schadensersatz verpflichtet sei. Erst- und zweitinstanzlich hat die Klägerin zudem ein weiteres, auf den Vorwurf des Mobbings gestütztes Feststellungsbegehren geltend gemacht. Das LG hat die Klage insgesamt ab-, das OLG die Berufung der Klägerin zurückgewiesen. Die Revision der Klägerin hatte vor dem BGH Erfolg.

Die Gründe:
Der mit der Revision noch weiterverfolgte Feststellungsantrag der Klägerin aus Art. 82 DSGVO ist zulässig und begründet. Nach der Rechtsprechung des EuGH erfordert ein Schadensersatzanspruch i.S.d. Art. 82 Abs. 1 DSGVO einen Verstoß gegen die DSGVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Diese Voraussetzungen sind vorliegend erfüllt.

a) Ein Verstoß gegen die DSGVO liegt nach den getroffenen Feststellungen vor. Das Berufungsgericht hat die von der Beklagten bis zum Erlass der Organisationsverfügung vom 22.8.2019 geübte Praxis, die Verwaltung der Personalakten von Bundesbeamten wie der Klägerin durch Bedienstete des Landes Niedersachsen vornehmen zu lassen, ohne Rechtsfehler als von § 111a BBG aF i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO nicht gedeckte Verarbeitung personenbezogener Daten durch Dritte und damit als Verstoß gegen die DSGVO (der Sache nach: gegen Art. 5 Abs. 1 Buchst. a, Art. 28 DSGVO) gewertet. 

b) Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die DSGVO verursachten Schaden der Klägerin verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.

aa) Schon der bloße Kontrollverlust kann einen ersatzfähigen immateriellen Schaden i.S.d. Art. 82 Abs. 1 DSGVO darstellen. Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit
hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt".

bb) Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25.5.2018 die personenbezogenen, in deren Personalakte enthaltenen Daten der Klägerin hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22.8.2019 beendet hat. Der vom Berufungsgericht in diesem Zusammenhang angeführte Umstand, dass auch die mit Personalangelegenheiten betrauten Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens insoweit dem Grunde nach nicht entgegen, sondern wird erst bei Bemessung der Höhe des zu leistenden Schadensersatzes (§ 287 ZPO) zu berücksichtigen sein.

Mehr zum Thema:

Beratermodul Datenschutzrecht
Das Komplettangebot zum Datenschutzrecht: Das Beratermodul Datenschutzrecht bündelt die Inhalte der erstklassigen Standardwerke zum Datenschutzrecht aus den Verlagen Dr. Otto Schmidt und C.F. Müller. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!

Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen.
 

BGH online