September 5, 2025

EuGH C-655/23: Negative Gefühle als immaterieller Schaden

Anwalt für Markenrecht » Aktuelles » EuGH C-655/23: Negative Gefühle als immaterieller Schaden

Am 4. September 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-655/23 (IP gegen Quirin Privatbank AG) ein wegweisendes Urteil zur Auslegung der DSGVO gefällt. Es ging um die Fragen, ob Betroffene bei Datenschutzverstößen einen Unterlassungsanspruch haben und wie immaterieller Schaden im Sinne von Art. 82 DSGVO zu verstehen ist. In diesem Beitrag erläutern wir das Urteil des EuGH vom 4. September 2025, C-655/23 (IP gegen Quirin Privatbank AG) und geben Handlungsanweisungen, worauf Unternehmen nun tunlichst achten sollten.

Zufriedene Mandanten

5 Sterne Bewertungen auf Google. Finde unser Google-Profil hier.

Erstklassige Beratung

Wir garantieren erstklassige Beratung auf höchstem Niveau!

Schnelle Reaktionszeiten

Wir melden uns schnell bei Ihnen und kümmern uns um Ihr Anliegen!

Jahrelange Erfahrung

Profitieren Sie von der langjährigen Erfahrung unserer Anwälte!

Rechtsanwalt Daniel Loschelder

Telefon: +49(0) 89 38 666 070
E-Mail: office@ll-ip.com

Fachanwalt für IT-Recht und Gewerblichen Rechtsschutz

Melden Sie sich noch heute für eine individuelle Beratung.

Hintergrund des Falls EuGH C-655/23 (IP gegen Quirin Privatbank AG)

Ein Bewerber („IP“) hatte sich bei der Quirin Privatbank über ein Online-Karrierenetzwerk beworben. Eine Mitarbeiterin der Bank versandte versehentlich eine vertrauliche Nachricht über seine Gehaltsvorstellungen an eine dritte, nicht beteiligte Person. Diese leitete die Nachricht an den Bewerber weiter.

Der Bewerber klagte daraufhin auf:

Unterlassung weiterer unrechtmäßiger Offenlegungen seiner Daten und
Schadensersatz wegen der erlittenen immateriellen Beeinträchtigungen (Sorgen, Rufschädigung, „Schmach“ im Bewerbungsprozess).

Während die erste Instanz beide Ansprüche bejahte, sprach das OLG Frankfurt zwar einen Unterlassungsanspruch nach Art. 17 DSGVO zu, lehnte aber den Schadensersatz ab. Begründung: Es sei kein konkreter immaterieller Schaden nachgewiesen. Der Fall landete schließlich beim Bundesgerichtshof, der dem EuGH mehrere Fragen zur Vorabentscheidung vorlegte.

Kernfragen des EuGH

Der EuGH hatte über folgende Punkte zu entscheiden:

Unterlassungsanspruch: Gewährt die DSGVO selbst einen Anspruch, künftige Datenschutzverstöße zu verhindern?
Immaterieller Schaden: Reichen bloße negative Gefühle wie Ärger oder Sorge aus, um Schadensersatz zu beanspruchen?
Bemessung des Schadensersatzes: Darf der Grad des Verschuldens des Verantwortlichen berücksichtigt werden?
Kumulation von Rechtsbehelfen: Kann ein Unterlassungsanspruch den Schadensersatz mindern?

Das Urteil EuGH vom 4. September 2025, C-655/23

Der EuGH hat mit Urteil vom 4. September 2025, C-655/23 wie folgt entschieden:

1. Kein unionsrechtlicher Unterlassungsanspruch – aber nationale Spielräume

Die DSGVO selbst sieht keinen präventiven Unterlassungsanspruch vor, wenn Betroffene nicht zugleich Löschung oder Einschränkung der Verarbeitung verlangen. Allerdings: Mitgliedstaaten dürfen solche Ansprüche in ihren nationalen Rechtsordnungen vorsehen. Die DSGVO schließt das nicht aus.

2. Immaterieller Schaden umfasst auch „negative Gefühle“

Der EuGH stellte klar:

Ärger, Sorge, Unmut oder Angst können immaterielle Schäden im Sinne von Art. 82 DSGVO darstellen.
Entscheidend ist, dass die Betroffenen nachweisen, dass diese Gefühle kausal auf den Datenschutzverstoß zurückzuführen sind (z. B. Verlust der Kontrolle über Daten, Risiko des Missbrauchs, Rufschädigung).
Es gibt keine Bagatellgrenze – auch geringe Beeinträchtigungen sind ersatzfähig.

3. Keine Berücksichtigung des Verschuldensgrads

Bei der Bemessung des Schadensersatzes kommt es nicht auf den Grad des Verschuldens (fahrlässig oder vorsätzlich) des Verantwortlichen an.
Der Anspruch dient ausschließlich dem Ausgleich des tatsächlich erlittenen Schadens, nicht der Bestrafung oder Abschreckung.

4. Kein Abzug wegen parallelem Unterlassungsanspruch

Ein zugesprochener Unterlassungsanspruch kann den Schadensersatz nicht mindern oder ausschließen. Beide Rechtsbehelfe bestehen unabhängig voneinander.

Bedeutung für Praxis und Rechtsprechung

Das Urteil hat erhebliche Auswirkungen für Unternehmen und Betroffene:

Unternehmen müssen künftig noch stärker damit rechnen, dass schon die unbefugte Weitergabe kleiner Datenmengen zu Schadensersatzansprüchen führt.
Betroffene haben bessere Chancen, immateriellen Schadensersatz einzuklagen, da keine „Erheblichkeitsschwelle“ mehr verlangt wird.
Gerichte in den Mitgliedstaaten dürfen nationale Unterlassungsansprüche anwenden, müssen aber die unionsrechtlichen Vorgaben zur Schadensersatzfunktion beachten.
Datenschutzaufsichtsbehörden können ihre Position stärken, da das Urteil die Bedeutung der individuellen Rechtsdurchsetzung betont.

Fazit zum Urteil des EuGH vom 4. September 2025, C-655/23

Der EuGH hat mit diesem Urteil die Rechte von Betroffenen bei Datenschutzverstößen deutlich gestärkt. Schon „negative Gefühle“ können immaterieller Schaden sein – und sind damit entschädigungsfähig. Gleichzeitig bleibt es den Mitgliedstaaten überlassen, zusätzliche Unterlassungsansprüche vorzusehen. Für Unternehmen bedeutet dies: Noch mehr Sorgfalt im Umgang mit personenbezogenen Daten – sonst drohen auch bei kleinen Fehlern Schadensersatzklagen.

Handlungsempfehlungen für Unternehmen nach dem EuGH-Urteil vom 4. September 2025 (C-655/23)

Das aktuelle EuGH-Urteil zum immateriellen Schadensersatz nach Art. 82 DSGVO verdeutlicht: Schon „negative Gefühle“ wie Sorge, Ärger oder Scham können zu Entschädigungsansprüchen führen – ohne dass eine „Bagatellgrenze“ überschritten werden muss. Für Unternehmen bedeutet das eine erhebliche Verschärfung des Haftungsrisikos (Laden Sie sich hier unsere Handlungsempfehlung zum EuGH-Urteil vom 4. September 2025 (C-655:23)).

1. Interne Prozesse überprüfen und absichern

Kommunikationskanäle prüfen: Vertrauliche Bewerber- oder Kundendaten sollten nicht über unsichere Messenger- oder Netzwerksysteme ausgetauscht werden.
Fehlerquellen minimieren: Klare Arbeitsanweisungen und Standardprozesse für den Umgang mit sensiblen Daten einführen.

2. Mitarbeiter schulen

Sensibilisierung: Mitarbeitende sollten wissen, dass schon die versehentliche Weitergabe kleinster Daten (z. B. E-Mail an den falschen Empfänger) einen ersatzfähigen Schaden begründen kann.
Praktische Übungen: Rollenspiele und Fallbeispiele helfen, die Risiken im Alltag zu veranschaulichen.

3. Datenschutzorganisation stärken

Verarbeitungsverzeichnisse aktuell halten, um jederzeit nachweisen zu können, wo und wie Daten verarbeitet werden.
Technische und organisatorische Maßnahmen (TOMs) regelmäßig evaluieren – insbesondere bei IT-Sicherheit und Zugriffskontrollen.

4. Umgang mit Datenschutzvorfällen professionalisieren

Schnelle Reaktion: Ein internes Meldeverfahren aufbauen, damit Datenschutzvorfälle unverzüglich an die Datenschutzabteilung oder den Datenschutzbeauftragten gemeldet werden.
Dokumentation: Jeder Vorfall sollte dokumentiert werden, um im Streitfall belegen zu können, dass angemessene Maßnahmen ergriffen wurden.
Kommunikation: Betroffene transparent informieren, um Vertrauensverluste und zusätzliche Reputationsschäden zu vermeiden.

5. Strategischer Blick auf Rechtsrisiken

Schadensersatz einkalkulieren: Auch geringe Verstöße können Ansprüche nach sich ziehen – Unternehmen sollten Rückstellungen und Versicherungsschutz prüfen.
Unterlassungsansprüche beachten: Auch wenn die DSGVO selbst keinen unionsrechtlichen Unterlassungsanspruch vorsieht, können nationale Rechtsordnungen (wie in Deutschland) solche Ansprüche ermöglichen. Unternehmen müssen also mit gerichtlichen Unterlassungsverfahren rechnen.

6. Compliance-Kultur fördern

Datenschutz nicht nur als „juristische Pflicht“, sondern als Bestandteil der Unternehmenskultur verankern.
Ein gelebter Datenschutz stärkt das Vertrauen von Bewerbern, Kunden und Geschäftspartnern – und reduziert rechtliche Risiken.

Fachanwalt für IT-Recht für alle Fragen im Datenschutz

Unsere Fachanwälte für IT-Recht beraten Sie zu allen Fragen rund um das Datenschutzrecht. Wir machen Ihr Unternehmen fit, so dass Sie für mögliche Angriffe wegen Datenschutzverstößen bestmöglich gewappnet sind.

Ihr Name*

Ihre E-Mail-Adresse*

Bitte lasse dieses Feld leer.

Betreff

Ihr Anliegen*
Bitte schildern Sie uns hier kurz worum es geht. Dies erleichtert uns die Zuordnung zum passenden Ansprechpartner.

Ihre Dateien*

Sollten Sie eine Abmahnung oder sonstige Schriftstücke erhalten haben, können Sie diese Ihrer Anfrage direkt beifügen. Dies beschleunigt die Bearbeitung.

Bitte laden Sie Ihre Dokumente über dieses Feld hoch. Erlaubt sind die Dokumenttypen .doc, .docx, .pdf, .txt, .rtf, .jpg, .tiff und .png. Sie können bis zu 5 Dateien (maximal 5MB jeweils) hochladen. Sollte Ihr Dokument aus mehreren Dateien bestehen, fassen Sie die Dateien wenn möglich zu einer Datei zusammen. Alternativ können Sie auch eine E-Mail an office@ll-ip.com senden.

Datei 1:
Datei 2:
Datei 3:
Datei 4:
Datei 5:

Unsere Schwerpunkte

Informieren Sie sich gerne über unsere Tätigkeiten im Markenrecht, Wettbewerbsrecht und IT-Recht. Unser Beratungsspektrum finden Sie auf den folgenden Seiten.

Aktuelles

Neuste Beiträge

KI-Compliance Beauftragter - KI-Kompetenz

KI-Beauftragter – Anwalt mit KI-Kompetenz berät zu KI-Compliance

KI-Beauftragter / KI-Kompetenz: das Wichtigste in Kürze KI bringt große Chancen, aber auch erhebliche rechtliche Risiken. Unternehmen müssen KI-Systeme deshalb rechtskonform implementieren und betreiben. Hierbei

Alleinstellungswerbung & Spitzenstellungswerbung: das ist erlaubt!

Alleinstellungswerbung / Spitzenstellungswerbung: Das Wichtigste in Kürze „Nr. 1“ ist selten nur ein Slogan. Viele Adressaten verstehen das als Aussage über eine echte Spitzenposition –