Datenschutzverstoß

Ein Blick in die DSGVO-Absurdität: Warum eine Google-Recherche 250 Euro kosten kann

Wolfgang Riegger

Das Amtsgericht Düsseldorf hat mit seinem Urteil vom 19. August 2025 (Az. 42 C 61/25) eine Entscheidung getroffen, die erneut zeigt, welche absurden Blüten die Datenschutz-Grundverordnung (DSGVO) in der Praxis treiben kann.

Die Fallkonstellation: Recherche im Rechtsstreit

Ein Unternehmen hatte sich gegen eine Klage verteidigt, die von einem Kläger eingereicht wurde, der sich zuvor bei ihm beworben hatte. Um die Glaubwürdigkeit des Klägers zu überprüfen und einen möglichen Missbrauch zu klären, führte das Unternehmen eine Recherche durch – ganz einfach per Google. Dabei stieß es auf Informationen, die es für den Rechtsstreit als relevant ansah und in einem Schriftsatz vor Gericht verwendete. Was das Unternehmen jedoch versäumte: Es informierte den Kläger nicht unmittelbar über die durchgeführte Recherche.

Was das Gericht sagt: Der Recherche ist die Transparenz zu folgen

Das Gericht stellte fest, dass die Recherche an sich zulässig war, da sie der Wahrung berechtigter Interessen des Unternehmens diente, nämlich der Rechtsverteidigung in einem Gerichtsverfahren. Das Amtsgericht Düsseldorf stellte klar, dass dies auch gilt, wenn die Ergebnisse der Google-Suche negative oder abwertende Inhalte über die betroffene Person zutage fördern.

Der entscheidende Haken, der die Verurteilung auslöste, war die fehlende Information des Klägers über die Datenerhebung. Nach Ansicht des Gerichts genügte es nicht, die Recherche-Ergebnisse lediglich im gerichtlichen Schriftsatz zu erwähnen. Das Unternehmen hätte den Kläger vielmehr „unverzüglich“ und „unmittelbar“ nach der Durchführung der Recherche über die Kategorien der verarbeiteten Daten informieren müssen.

Immaterieller Schaden ohne „Erheblichkeit“: Der Kontrollverlust genügt

Das Urteil unterstreicht, dass bereits ein einfacher Verstoß gegen die Informationspflicht einen Anspruch auf immateriellen Schadensersatz auslösen kann. Ein „erheblicher Nachteil“ der betroffenen Person ist dabei nicht erforderlich. Das Gericht beruft sich hierbei auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH), wonach bereits der „Verlust der Kontrolle“ über die eigenen Daten einen ersatzfähigen immateriellen Schaden darstellt, selbst wenn es zu keiner missbräuchlichen Verwendung gekommen ist.

Besonders bemerkenswert ist, dass das Gericht dem Kläger in diesem Fall einen Schadensersatz von 250 Euro zusprach. Zur Begründung wurde darauf hingewiesen, dass die Recherche im Gegensatz zu anderen Fällen keine Außenwirkung hatte, da sie ausschließlich im Rahmen des Rechtsstreits stattfand. Zudem berücksichtigte das Gericht, dass der Kläger nach eigenen Angaben bereits eine Vielzahl vergleichbarer Verfahren geführt hatte und ein Datenschutzverstoß für ihn daher eine geringere „Strahlkraft“ habe.

Ein Fazit, das die Absurditäten der DSGVO offenlegt

Dieses Urteil ist ein beispielhafter Beweis für die Absurditäten der DSGVO. Es macht deutlich, dass selbst ein Unternehmen, das sich in einem Gerichtsverfahren wehrt und dafür im Internet frei verfügbare Informationen über den Kläger recherchiert, in eine DSGVO-Falle tappen kann. Die DSGVO verlangt hier nicht nur Transparenz, sie verlangt sie unverzüglich. Die Folgen sind bekannt: Auch wenn man alles richtig gemacht hat, kann man wegen eines Formfehlers zu Schadensersatz verurteilt werden.

An dieser Stelle drängt sich der Verweis auf unser Blog-Update vom 5. September 2025 auf. Dort haben wir bereits dargelegt, wie die aktuelle Rechtsprechung die DSGVO-Auswüchse weiter befeuert. Insbesondere sei hier auf das jüngste Urteil des EuGH vom 4. September 2025 (Az. C-655/23) verwiesen, das dem Trend des „Schadensersatzes ohne Schaden“ Tür und Tor öffnet und die Situation für Unternehmen noch weiter verschärft.

Gericht: Amtsgericht Düsseldorf
Datum: 19.08.2025
Aktenzeichen: 42 C 61/25
Fundstelle: GRUR-RS 2025, 22886

DSGVO-Schadensersatz: EuGH öffnet die Tore, BGH zeigt die Notbremse für Blogs

Wolfgang Riegger

Die Datenschutz-Grundverordnung (DSGVO) ist für viele Unternehmer ein Feld voller rechtlicher Minen. Besonders die Frage, wann und in welcher Höhe Schadensersatz für Datenschutzverstöße zu zahlen ist, sorgt für massive Unsicherheit. Zwei hochkarätige Urteile des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) stecken das Spielfeld nun neu ab. Das Ergebnis: Die Haftungsrisiken steigen, doch es gibt auch neue, wichtige Verteidigungsmöglichkeiten.

1. EuGH: Jeder Ärger zählt – Die Schwelle für Schadensersatz fällt

In einer grundlegenden Entscheidung hat der EuGH (Urteil vom 4. September 2025, Az. C-655/23) die Hürden für Kläger, die einen immateriellen Schaden nach Art. 82 DSGVO geltend machen, praktisch eingerissen. Der Fall war alltäglich: Eine Bank hatte im Rahmen eines Bewerbungsprozesses eine Nachricht mit Gehaltsdetails versehentlich an einen Dritten geschickt. Der Kläger forderte Schadensersatz für die Sorge, den Kontrollverlust über seine Daten und die empfundene Bloßstellung.

Die Kernaussagen des EuGH sind für Unternehmen alarmierend:

  • Keine „Bagatellgrenze“: Für einen ersatzfähigen Schaden muss keine Erheblichkeitsschwelle überschritten werden. Bloße negative Gefühle wie Ärger, Unmut, Sorge oder Angst, die aus dem Verstoß resultieren, können ausreichen, um einen Schadensersatzanspruch zu begründen.
  • Verschulden irrelevant für die Höhe: Bei der Bemessung der Entschädigungshöhe darf der Grad des Verschuldens (also ob der Fehler fahrlässig oder vorsätzlich geschah) keine Rolle spielen. Der Schadensersatz soll allein den erlittenen Schaden ausgleichen, nicht den Verantwortlichen bestrafen.

Das Urteil öffnet Tür und Tor für eine Klagewelle, die das eigentliche Schutzziel der DSGVO ad absurdum führen könnte. Wenn bereits alltägliche negative Empfindungen, die nach Ansicht des vorlegenden Gerichts zum „allgemeinen Lebensrisiko“ gehören, für einen Anspruch ausreichen, wird aus dem Datenschutzrecht ein Reparaturbetrieb für Befindlichkeiten. Für Unternehmen bedeutet dies eine Rechtsunsicherheit. Jeder noch so kleine Fehler, wie ein falsch adressierter Newsletter, kann nun potenziell zu Schadensersatzforderungen führen.

Zudem hebelt der EuGH damit faktisch die bisherige, differenziertere Rechtsprechung des BGH aus. Dieser hatte zwar jüngst den „Kontrollverlust“ über Daten ebenfalls als Schaden anerkannt, jedoch verlangten deutsche Gerichte bislang oft einen substantiierten Vortrag, worin der Schaden konkret besteht. Diese Anforderung dürfte nach dem Verdikt aus Luxemburg schwer haltbar sein. Der Kläger muss zwar weiterhin nachweisen, dass der Verstoß die negativen Gefühle verursacht hat, die Messlatte dafür liegt nun aber niedrig.

2. BGH: Die Ausnahme für die Öffentlichkeit – Das unterschätzte Medienprivileg

Während der EuGH die Haftung ausweitet, liefert der BGH in einer anderen Entscheidung (Urteil vom 29. Juli 2025, Az. VI ZR 426/24) eine wichtige Einschränkung, die für viele Blogger relevant ist: das Medienprivileg nach Art. 85 DSGVO.

In dem Fall nutzte eine rechtsextreme Kleinstpartei den Namen eines Politikers der Linken auf ihrem Telegram-Kanal, um für eine Demonstration zu werben. Der Politiker klagte unter anderem auf Schadensersatz nach der DSGVO – und scheiterte.

Die Begründung des BGH ist ein Weckruf für alle, die öffentlich kommunizieren:

  • Journalismus ist nicht nur Presse: Die Verarbeitung von Daten „zu journalistischen Zwecken“ ist von vielen strengen DSGVO-Regeln ausgenommen. Der BGH legt diesen Begriff sehr weit aus. Er umfasst jede Tätigkeit, die darauf abzielt, Informationen in der Öffentlichkeit zu verbreiten und an der Meinungsbildung mitzuwirken.
  • Auch Parteien und Unternehmen können „Journalisten“ sein: Dieses Privileg gilt nicht nur für klassische Medien. Auch ein Telegram-Kanal einer politischen Partei kann darunterfallen. Entscheidend ist der Zweck der Veröffentlichung, nicht die Organisationsform.
  • Folge: Kein DSGVO-Anspruch: Unterfällt eine Veröffentlichung dem Medienprivileg, sind zentrale DSGVO-Vorschriften wie Art. 6 (Rechtmäßigkeit) nicht anwendbar. Damit entfällt auch die Grundlage für einen Schadensersatzanspruch nach Art. 82 DSGVO, der auf der Verletzung dieser Vorschriften beruht.

Aber: Der BGH stellte jedoch auch unmissverständlich klar: Nur weil der DSGVO-Anspruch durch das Medienprivileg blockiert ist, bedeutet das keinen Freifahrtschein. Ansprüche aus nationalem Recht, insbesondere wegen der Verletzung des allgemeinen Persönlichkeitsrechts (§ 823 BGB), bleiben davon unberührt und können parallel bestehen. Genau hier nahm der BGH eine entscheidende Weichenstellung vor und erklärte den Unterschied zwischen einem Unterlassungsanspruch (der in erster Instanz bereits erfolgreich war) und einem Anspruch auf Geldentschädigung. Der Unterlassungsanspruch (präventiv): Dieser Anspruch hat eine niedrigere Hürde. Um eine Äußerung für die Zukunft zu verbieten, reicht es bereits aus, wenn sie mehrdeutig ist und eine der möglichen Interpretationen die Rechte einer Person verletzt. Es geht darum, potenziellem Schaden vorzubeugen. Der Schadensersatzanspruch (Sanktion): Hier liegt die Messlatte höher. Da es sich um eine Sanktion für einen bereits entstandenen Schaden handelt, muss bei mehrdeutigen Äußerungen die für den Beklagten günstigste und den Kläger am wenigsten verletzende Deutungsvariante zugrunde gelegt werden.

3. Fazit:

à Risiko-Maximierung bei internen Prozessen: Nach dem EuGH-Urteil muss jeder interne Prozess, bei dem personenbezogene Daten verarbeitet werden (HR, Marketing, Vertrieb), absolut wasserdicht sein. Die Verteidigung, ein Fehler habe „keinen echten Schaden“ verursacht, ist massiv geschwächt.

-> Risiko-Minimierung bei öffentlicher Kommunikation: Wenn Ihr Unternehmen öffentlich kommuniziert – sei es über einen Corporate Blog, Pressemitteilungen oder Social-Media-Kanäle – und damit zur öffentlichen Meinungsbildung beiträgt, könnten Sie sich auf das Medienprivileg berufen. Dies kann ein starker Schutzschild gegen Schadensersatzforderungen nach der DSGVO sein.

-> Nationales Recht bleibt bestehen: Achtung: Das Medienprivileg schützt nur vor den Ansprüchen aus der DSGVO. Ansprüche aus anderen Gesetzen, wie dem allgemeinen Persönlichkeitsrecht, bleiben davon unberührt.

Gericht, Datum, Aktenzeichen:

Europäischer Gerichtshof (EuGH), Urteil vom 4. September 2025, Az. C-655/23

Bundesgerichtshof (BGH), Urteil vom 29. Juli 2025, Az. VI ZR 426/24