Mit seinem Urteil vom 04. September 2025 (Az. C-655/23) hat der Europäische Gerichtshof (EuGH) grundlegende Fragen zum DSGVO-Schadensersatz geklärt. Ausgangspunkt war eine XING-Panne im Rahmen eines Bewerbungsverfahrens bei der Quirin Privatbank, der nun Fragen von Unternehmen und Bewerbern zur DSGVO-Compliance klärt.
Im Mittelpunkt der Entscheidung standen drei wesentliche Aspekte:
- Unter welchen Voraussetzungen besteht ein Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO?
- Welche Bedeutung haben Unterlassungsansprüche im Kontext von Art. 17 und Art. 18 DSGVO?
- Wie ist der Kontrollverlust über personenbezogene Daten rechtlich zu bewerten?
Der EuGH stellte klar: Schon emotionale Beeinträchtigungen wie Sorge, Ärger oder Scham können einen DSGVO-Schadensersatzanspruch begründen. Eine Bagatellgrenze lehnten die Richter, wie in der Vergangenheit auch, ausdrücklich ab. Gleichzeitig bestätigte das Gericht, dass die DSGVO selbst keinen eigenständigen präventiven Unterlassungsanspruch vorsieht, sofern keine Löschung der Daten beantragt wird.
Für Unternehmen bedeutet das: Der Umgang mit Bewerberdaten und die Gestaltung von Recruiting-Prozessen müssen künftig noch sorgfältiger erfolgen.
Hintergrund des EuGH-Urteils
Der Rechtsstreit nahm seinen Ursprung in einem vermeintlich kleinen Fehler im Recruiting-Prozess der Quirin Privatbank, der jedoch erhebliche datenschutzrechtliche Folgen hatte. Eine Mitarbeiterin der Personalabteilung wollte einem Bewerber über das Karriereportal XING mitteilen, dass dessen Gehaltsvorstellungen das interne Budget überschreiten. Durch ein Versehen wurde die Nachricht jedoch an einen ehemaligen Kollegen des Bewerbers geschickt, der in derselben Branche tätig war.
Der falsche Empfänger informierte den Bewerber über den Vorgang und fragte ihn zugleich, ob er derzeit auf Jobsuche sei. Für den Bewerber stellte dies eine erhebliche Belastung dar: Er fühlte sich in seiner Vertraulichkeit verletzt und befürchtete, dass sensible Informationen wie Gehaltsangaben und sein Bewerbungsstatus innerhalb der Branche bekannt werden könnten.
Daraufhin klagte der Bewerber gegen die Bank. Er verlangte immateriellen Schadensersatz nach Art. 82 DSGVO und beantragte zusätzlich einen Unterlassungstitel, um weitere Datenschutzverletzungen zu verhindern. Der Fall durchlief mehrere gerichtliche Instanzen:
- Das Landgericht Darmstadt sprach dem Kläger zunächst 1.000 Euro Schadensersatz zu.
- In der Berufung hob das Oberlandesgericht Frankfurt diese Entscheidung jedoch auf.
- Schließlich legte der Bundesgerichtshof (BGH) den Fall dem Europäischen Gerichtshof vor, um grundlegende Fragen zur Auslegung der DSGVO zu klären.
Damit entwickelte sich aus einer einzelnen Recruiting-Panne ein Verfahren, das heute als prägendes Urteil für die Anwendung von Art. 82 DSGVO gilt und die Rechte von Bewerbern nachhaltig stärkt.
Vorlagefragen des BGH zur DSGVO
Der BGH hat dem EuGH im XING-Fall mehrere Punkte zur Auslegung der DSGVO vorgelegt. Im Kern geht es um die Grundlage und Voraussetzungen eines Unterlassungsanspruchs nach der DSGVO, die Anforderungen an den immateriellen Schaden nach Art. 82 DSGVO sowie die Frage, ob andere Ansprüche Einfluss auf die Höhe des Schadensersatzes haben.
1. Unterlassung ohne Löschbegehren – Normgrundlage
Zunächst soll geklärt werden, ob eine betroffene Person vom Verantwortlichen verlangen kann, eine erneute unrechtmäßige Offenlegung künftig zu unterlassen, auch wenn kein Antrag auf Löschung gestellt wurde. Als mögliche Anknüpfungen nennt der BGH Art. 17 DSGVO (Löschung), Art. 18 DSGVO (Einschränkung) oder andere DSGVO-Bestimmungen (insb. Art. 79 DSGVO). Zudem fragt der BGH, für den Fall der Bejahung, ob ein solcher unionsrechtlicher Unterlassungsanspruch vom Vorliegen einer Wiederholungsgefahr abhängt und ob diese aufgrund des Erstverstoßes vermutet werden darf.
2. Nationaler Unterlassungsanspruch, sofern die DSGVO keinen solchen vorsieht
Falls sich ein Unterlassungsanspruch nicht unmittelbar aus Art. 17 oder 18 DSGVO ergibt, möchte der BGH wissen, ob Art. 79 i.V.m. Art. 84 DSGVO es den nationalen Gerichten erlaubt, auf Grundlage nationalen Rechts eine Verbotsverfügung zu erlassen, neben etwaigen Ansprüchen aus Art. 17, 18 und 82 DSGVO.
3. Reichweite des immateriellen Schadens (Art. 82 Abs. 1 DSGVO)
Weiter fragt der BGH, welche Kriterien den immateriellen Schaden begründen: Reichen negative Empfindungen (etwa Sorge, Scham, Ärger) aus, oder bedarf es zusätzlicher objektiver Nachteile für die Bejahung eines DSGVO-Schadensersatzes?
4. Bedeutung des Verschuldensgrads
Zudem soll geklärt werden, ob der Grad des Verschuldens des Verantwortlichen (Fahrlässigkeit/Vorsatz) bei der Bemessung des immateriellen DSGVO-Schadensersatzes nach Art. 82 Abs. 1 DSGVO berücksichtigt werden darf.
5. Wechselwirkung mit Unterlassung
Schließlich fragt der BGH, ob ein Unterlassungsanspruch den DSGVO-Schadensersatz für den bereits eingetretenen immateriellen Schaden mindern oder ausschließen kann.
Antworten des EuGH zum DSGVO-Schadensersatz
Mit seinem Urteil vom 04. September 2025 hat der EuGH mehrere bisher umstrittene Fragen zur DSGVO entschieden. Das Ergebnis schafft mehr Rechtssicherheit für Betroffene und präzisiert für Unternehmen die Anforderungen im Umgang mit personenbezogenen Daten.
1. Kein unmittelbarer Unterlassungsanspruch aus der DSGVO
Der EuGH stellt klar: Die DSGVO selbst gibt keinen allgemeinen Anspruch, künftige Datenschutzverstöße zu verhindern, wenn keine Löschung der Daten nach Art. 17 DSGVO beantragt wird.
Allerdings können die Mitgliedstaaten über ihre eigenen Rechtsordnungen zusätzliche Unterlassungsansprüche schaffen, um Betroffene präventiv zu schützen.
Folge: Unternehmen müssen prüfen, ob nationale Vorschriften strengere Anforderungen enthalten.
2. Immaterieller Schaden wird weit ausgelegt
Der EuGH bleibe seiner Linie zur Reichweite des DSGVO-Schadensersatzes nach Art. 82 DSGVO treu:
Schon negative Empfindungen wie Ärger, Sorge oder Scham können einen Anspruch auslösen.
Auch der bloße Kontrollverlust über personenbezogene Daten reicht aus, ohne dass Betroffene nachweisen müssen, dass ihre Daten missbraucht wurden oder konkrete finanzielle Nachteile entstanden sind.
3. Keine Bagatellgrenze beim DSGVO-Schadensersatz
Der EuGH bestätigt seine bisherige Linie:
Es gibt keine Erheblichkeitsschwelle.
Auch scheinbar kleine Datenschutzverstöße können Entschädigungsansprüche begründen, wenn die betroffene Person eine nachvollziehbare Beeinträchtigung ihrer Rechte oder Freiheiten darlegt, etwa durch Kontrollverlust oder negative emotionale Folgen.
4. Verschuldensgrad ist unbeachtlich
Der Anspruch auf DSGVO-Schadensersatz hat eine reine Ausgleichsfunktion.
Ob der Verantwortliche vorsätzlich oder fahrlässig gehandelt hat, beeinflusst die Höhe der Entschädigung nicht.
Das unterscheidet den Schadensersatz klar von den Bußgeldern nach Art. 83 DSGVO, die ausdrücklich eine abschreckende Wirkung haben.
5. Unterlassung und Schadensersatz sind unabhängig
Der EuGH betont, dass ein erlangter Unterlassungstitel den Anspruch auf DSGVO-Schadensersatz nicht schmälert.
Beide Ansprüche bestehen nebeneinander:
- Unterlassung dient dem präventiven Schutz vor künftigen Verstößen.
- Schadensersatz kompensiert den bereits entstandenen Schaden.
Praktische Konsequenzen für Unternehmen
Mit diesen Leitlinien macht der EuGH deutlich, dass Datenschutzverstöße künftig noch schwerer wiegen:
- Schon Kontrollverluste oder psychische Belastungen können teure Ansprüche begründen.
- Unternehmen müssen ihre Prozesse anpassen, besonders in Recruiting und HR.
- Ein proaktives Datenschutzmanagement wird zum zentralen Baustein der DSGVO-Compliance.
Praktische Auswirkungen auf Recruiting und HR
Das EuGH-Urteil zur XING-Panne hat erhebliche Auswirkungen auf den Umgang mit Bewerberdaten und die Gestaltung von Recruiting-Prozessen. Für Unternehmen bedeutet die Entscheidung, dass selbst kleine Datenschutzverstöße künftig erhebliche rechtliche und finanzielle Folgen haben können. Schon der bloße Verlust der Kontrolle über personenbezogene Daten reicht aus, damit Bewerber immateriellen Schadensersatz nach Art. 82 DSGVO verlangen können und zwar auch dann, wenn die Daten nicht missbraucht wurden.
Besonders betroffen sind HR-Abteilungen. Sie müssen künftig noch sorgfältiger darauf achten, dass Bewerberdaten vertraulich behandelt und nicht versehentlich an unbefugte Dritte weitergegeben werden. Denn bereits das Gefühl von Scham, Ärger oder Sorge auf Seiten der Betroffenen kann ausreichen, um einen Schadensersatzanspruch auszulösen.
Darüber hinaus zeigt das Urteil, dass die Dokumentation von Datenschutzprozessen an Bedeutung gewinnt. Unternehmen müssen jederzeit belegen können, dass sie angemessene technische und organisatorische Maßnahmen ergriffen haben, um personenbezogene Daten zu schützen. Unklare Zuständigkeiten, fehlende Schulungen oder unzureichende Sicherheitsstandards können nicht nur das Vertrauen von Bewerbern gefährden, sondern auch zu hohen finanziellen Forderungen führen.
Ein weiteres Risiko ergibt sich bei der Nutzung von sozialen Netzwerken für das Recruiting, wie etwa XING oder LinkedIn. Gerade hier müssen Unternehmen sicherstellen, dass sensible Bewerberinformationen nur über gesicherte Kommunikationswege verarbeitet und weitergegeben werden. Ein unbedachter Klick oder eine fehlgeleitete Nachricht kann heute ausreichen, um kostspielige Ansprüche auszulösen und den Ruf des Unternehmens nachhaltig zu schädigen.
Insgesamt macht das EuGH-Urteil zur XING-Panne deutlich, dass Datenschutz im Recruiting kein Randthema mehr ist. Unternehmen, die ihre Prozesse nicht an die neuen Anforderungen anpassen, setzen sich einem hohen rechtlichen Risiko aus. Gleichzeitig bietet die Entscheidung die Chance, durch transparente Abläufe und einen sorgfältigen Umgang mit Bewerberdaten das Vertrauen von Kandidaten zu stärken und sich positiv im Wettbewerb um Talente zu positionieren.
Handlungsempfehlungen: DSGVO-Risiken im Recruiting wirksam reduzieren
Das EuGH-Urteil zur XING-Panne macht deutlich, dass Unternehmen ihre Prozesse im Recruiting neu bewerten müssen. Um DSGVO-Schadensersatzansprüche nach Art. 82 DSGVO zu vermeiden und gleichzeitig Bewerberdaten effektiv zu schützen, sind folgende Maßnahmen empfehlenswert:
- Regelmäßige Schulungen der HR-Teams
Mitarbeitende im Recruiting sollten kontinuierlich über die aktuellen Datenschutzanforderungen informiert werden. Schulungen helfen, Fehler bei der Verarbeitung von Bewerberdaten zu vermeiden und sensibilisieren für mögliche Risiken, welche beispielsweise bei der Nutzung von XING auftreten können. - Technische Sicherheitsmaßnahmen konsequent umsetzen
Sichere Kommunikationswege und klare Zugriffsbeschränkungen sind unverzichtbar. Unternehmen sollten u. a. verschlüsselte Datenübertragungen, Zwei-Faktor-Authentifizierung und ein durchdachtes Rechtemanagement implementieren, um Fehlversendungen oder Datenlecks zu verhindern. - Klare Zuständigkeiten definieren
Häufig entstehen Datenschutzprobleme durch unklare Verantwortlichkeiten. Es sollte eindeutig festgelegt sein, wer Bewerberdaten verarbeitet, wer Zugriff erhält und wer die Einhaltung der DSGVO kontrolliert. - Dokumentationspflichten ernst nehmen
Unternehmen müssen jederzeit belegen können, dass sie angemessene Maßnahmen zum Schutz personenbezogener Daten getroffen haben. Eine lückenlose Dokumentation von Prozessen, Verantwortlichkeiten und Datenflüssen ist daher unerlässlich, um DSGVO-Schadensersatzleistungen zu vermeiden. - Notfallkonzepte für Datenpannen entwickeln
Trotz aller Vorsicht kann es zu Datenschutzverstößen kommen. Ein klar strukturierter Reaktionsplan hilft, Schäden zu begrenzen. Dazu gehören die interne Meldung der Panne, die Information der betroffenen Personen sowie – falls erforderlich – die Benachrichtigung der Aufsichtsbehörde nach Art. 33 DSGVO.
Fazit: Mehr Verantwortung beim Datenschutz im Recruiting
Das EuGH-Urteil zur XING-Panne der Quirin Privatbank markiert einen wichtigen Wendepunkt im Umgang mit personenbezogenen Daten im Recruiting. Der Gerichtshof hat klargestellt, dass bereits immaterielle Beeinträchtigungen wie Sorge, Scham oder Ärger ausreichen können, um einen DSGVO-Schadensersatzanspruch zu begründen. Eine Bagatellgrenze existiert damit nicht.
Für Unternehmen bedeutet das, dass selbst kleinste Datenschutzfehler erhebliche finanzielle Folgen haben können. Recruiting-Prozesse müssen daher so gestaltet werden, dass Bewerberdaten besonders geschützt und unbefugte Zugriffe konsequent verhindert werden. Gleichzeitig steigen die Anforderungen an Dokumentation, technische Sicherheitsmaßnahmen und interne Schulungen in den HR-Abteilungen.
Das EuGH-Urteil 2025 macht deutlich, dass Datenschutz längst kein Randthema mehr ist, sondern ein zentrales Element der Compliance. Unternehmen, die transparente Prozesse schaffen und Bewerberdaten verantwortungsvoll behandeln, minimieren nicht nur rechtliche Risiken, sondern stärken auch ihr Employer Branding und gewinnen Vertrauen bei potenziellen Talenten.
Fragen zum DSGVO-Schadensersatz?
Unsere Fachanwälte für IT- und Datenschutzrecht helfen Unternehmen, ihre Recruiting-Prozesse an die aktuelle EuGH-Rechtsprechung zu Art. 82 DSGVO anzupassen und Datenschutzverstöße zu vermeiden. Vereinbaren Sie gerne ein Teams-Meeting mit einem unserer Rechtsanwälte oder stellen Sie direkt Ihre Rechtsfrage!
❓ FAQ zum DSGVO-Schadensersatz
Was bedeutet das EuGH-Urteil für den DSGVO-Schadensersatz bei der XING-Panne?
Das EuGH-Urteil stärkt den DSGVO-Schadensersatz nach Art. 82 DSGVO erheblich. Bereits die versehentliche Weitergabe von Bewerberdaten kann einen Anspruch begründen. Auch emotionale Belastungen oder Kontrollverlust über personenbezogene Daten reichen aus.
Können emotionale Belastungen einen DSGVO-Schadensersatz auslösen?
Ja. Der EuGH bestätigt, dass bereits immaterielle Schäden wie Sorge, Scham oder Ärger einen DSGVO-Schadensersatz nach Art. 82 DSGVO begründen können. Eine Erheblichkeitsschwelle existiert nicht.
Wie wird die Höhe des DSGVO-Schadensersatzes festgelegt?
Die Höhe des DSGVO-Schadensersatzes bestimmen nationale Gerichte im Einzelfall. Maßgeblich sind Art der Daten, Umfang des Verstoßes und die konkrete Belastung der betroffenen Person.
Spielt das Verschulden beim DSGVO-Schadensersatz nach Art. 82 DSGVO eine Rolle?
Nein. Beim DSGVO-Schadensersatz nach Art. 82 DSGVO kommt es nach dem EuGH nicht darauf an, ob ein Unternehmen vorsätzlich oder fahrlässig gehandelt hat. Der Anspruch dient ausschließlich dem Ausgleich des erlittenen immateriellen oder materiellen Schadens. Der Verschuldensgrad beeinflusst daher weder den Anspruch noch die Höhe des DSGVO-Schadensersatzes.
Reicht ein Datenleck im Recruiting für DSGVO-Schadensersatz nach Art. 82 DSGVO aus?
Ja. Ein Datenleck im Recruiting kann einen Anspruch auf DSGVO-Schadensersatz nach Art. 82 DSGVO auslösen. Nach der EuGH-Rechtsprechung reicht oft schon der Kontrollverlust über Bewerberdaten oder eine nachvollziehbare emotionale Beeinträchtigung (z. B. Sorge, Scham). Ein finanzieller Schaden ist dafür nicht zwingend erforderlich.
Gibt es eine Bagatellgrenze beim DSGVO-Schadensersatz nach Art. 82 DSGVO?
Nein. Beim DSGVO-Schadensersatz nach Art. 82 DSGVO gibt es laut EuGH keine Bagatellgrenze und keine feste Erheblichkeitsschwelle. Auch „kleinere“ Datenschutzverstöße können entschädigungspflichtig sein, wenn Betroffene eine konkrete Beeinträchtigung plausibel machen – etwa Kontrollverlust über personenbezogene Daten oder negative Gefühle wie Ärger oder Unsicherheit.
