Die Verarbeitung personenbezogener Daten kann sich zunehmend zu einem rechtlichen Risiko entwickeln – vor allem dann, wenn Unternehmen auf externe Dienstleister oder Unterauftragsverarbeiter zurückgreifen. Hackerangriffe und Datenlecks zeigen immer wieder, wie schnell Betroffene die Kontrolle über ihre Informationen verlieren können. Vor diesem Hintergrund entschied nun das OLG Düsseldorf (Urt. v. 10.7.2025 – 16 U 83/24), dass der Kontrollverlust über personenbezogene Daten einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO begründen könne.
Der Kläger war Kunde eines Musikstreamingdienstes, betrieben von der Beklagten mit Sitz in Frankreich, wobei auch Nutzerdaten, zu denen seine E-Mail-Adresse gehörte, gespeichert wurden. Die Beklagte hatte mit einem externen Unternehmen (B. Ltd.) einen Auftragsverarbeitungsvertrag geschlossen, das wiederum einen Unterauftragsverarbeiter (C. Inc.) einsetzte, ohne dass ein schriftlicher Vertrag mit C. Inc. abgeschlossen worden war. Nach Vertragsende wurde von C. Inc. eine Löschung der Daten angekündigt, tatsächlich aber nicht durchgeführt. Überdies kam es 2022 zu einem Datendiebstahl, bei dem Kundendaten, darunter auch Daten des Klägers (z. B. E-Mail-Adresse), im Darknet angeboten wurden. Der Kläger verlangte Auskunft, Schadensersatz für Datenschutzverletzungen, Feststellung der Ersatzpflicht für künftige Schäden, Unterlassung und Freistellung. Das Landgericht Duisburg hatte die Klage überwiegend abgewiesen.
Das OLG Düsseldorf sprach dem Kläger nun 200 € Schadensersatz zu. Ein Verlust der Kontrolle über personenbezogene Daten stelle für sich genommen bereits einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO dar.
Bei der Bemessung des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO sei maßgeblich auf den Umfang und die Sensibilität der betroffenen Daten, die Art und Dauer des Kontrollverlusts sowie die Wiedererlangungsmöglichkeiten abzustellen. Eine Abschreckungs- oder Strafkomponente sei allerdings ausgeschlossen.Das Gericht entschied, dass dem Kläger ein Schadensersatzanspruch i.H.v. 200 € zustehe. Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO setze einen Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus. Diese Voraussetzungen seien hier gegeben.
Der auf Ersatz eines immateriellen Schadens gerichtete Klageantrag zu 1. ist zulässig und auch teilweise begründet. Dem Kläger steht gegen die Beklagte ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO in Höhe von 200 € nebst Zinsen ab Rechtshängigkeit zu.
Gemäß Art. 82 Abs. 1 DSGVO setzt ein Schadensersatzanspruch nach dieser Vorschrift einen Verstoß des Verantwortlichen gegen die Datenschutz-Grundverordnung, den Eintritt eines Schadens sowie einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden voraus (vgl. auch EuGH, Urteile vom 4. Mai 2023 – C-300/21, ZIP 2023, 1244, 1246, Rn. 32, und vom 25. Januar 2024 – C-687/21, DB 2024, 519, 523, Rn. 58). Hier hat die Beklagte nicht nur gegen die Datenschutz-Grundverordnung verstoßen, sondern der Kläger hat dadurch auch einen ersatzfähigen immateriellen Schaden erlitten. Einen ihm durch Datenschutzverstöße der Beklagten entstandenen materiellen Schaden macht der Kläger nicht geltend.
Es könne hier dahinstehen, ob jeder Verstoß gegen die DSGVO oder erst eine verordnungswidrige Datenverarbeitung einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründet. Die Beklagte habe gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c, e DSGVO) verstoßen, da die Daten für den ursprünglichen Zweck nicht mehr erforderlich waren und kein Ausnahmetatbestand vorlag.
Der von Art. 82 Abs. 1 DSGVO für einen Schadensersatzanspruch verlangte Verstoß gegen die Datenschutz-Grundverordnung liegt vor. Dabei kann an dieser Stelle dahinstehen, ob jeder Verstoß gegen materielle oder formelle Bestimmungen der Datenschutz-Grundverordnung oder erst eine verordnungswidrige Datenverarbeitung im Sinne von Art. 82 Abs. 2 Satz 1 DSGVO einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründen kann. Da es zu einer verordnungswidrigen Datenspeicherung bei einem Unterauftragsverarbeiter der Beklagten gekommen ist, liegt nicht nur ein Verstoß gegen die Datenschutz-Grundverordnung, sondern auch eine verordnungswidrige Datenverarbeitung vor.
Gemäß Art. 4 Nr. 2 DSGVO unterfällt dem Begriff der Datenverarbeitung auch jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang der Speicherung. Zum Zeitpunkt des Hacking-Vorfalls waren die personenbezogenen Daten der Nutzer des Streamingdienstes der Beklagten noch bei der C.- Inc. gespeichert, obwohl das Auftragsverarbeitungsverhältnis zwischen der Beklagten und der B.-Ltd. zu diesem Zeitpunkt bereits beendet war.
Bereits in dieser fortdauernden Speicherung der personenbezogenen Daten liegt ein Verstoß gegen die Datenschutz-Grundverordnung. Nach dem in Art. 5 Abs. 1 Buchst. c DSGVO geregelten Grundsatz der Datenminimierung sind Daten zu löschen, wenn sie für die ursprünglichen Verarbeitungszwecke nicht mehr benötigt werden (EuGH, Urteil vom 4. Oktober 2024 – C-446/21, juris, Rn. 56). Der Verantwortliche ist verpflichtet, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (EuGH, Urteil vom 4. Oktober 2024 – C-446/21, juris, Rn. 52). Eine darüberhinausgehende Speicherung kommt gemäß Art. 5 Abs. 1 Buchst. e DSGVO nach dem Grundsatz der Speicherbegrenzung nur für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke in Betracht. Die Darlegungs- und Beweislast für eine rechtmäßige Datenverarbeitung trägt nach Art. 5 Abs. 2 DSGVO der Verantwortliche (EuGH, Urteil vom 4. Juli 2023 – C-252/21, juris, Rn. 95), hier also die Beklagte. Danach war die Datenverarbeitung rechtswidrig. Die Beklagte führt keinen Rechtfertigungsgrund für die vorgenannte Datenverarbeitung an. Sie macht insbesondere selbst nicht geltend, dass die Speicherung über die Dauer des Auftragsverarbeitungsverhältnisses hinaus notwendig war.
Der fortgesetzte Datenschutzverstoß durch Speicherung sei der Beklagten nach Art. 82 Abs. 2 DSGVO zuzurechnen. Eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO scheide aus, da die Beklagte nicht nachweisen konnte, dass sie keinerlei Verantwortung für den Schaden trägt. Sie habe ihre Kontroll- und Organisationspflichten nach Art. 24 DSGVO verletzt, indem sie sich allein auf eine bloße Löschungsankündigung verließ, ohne deren Umsetzung zu überprüfen oder Nachweise einzufordern. Damit wurde der Verstoß erst ermöglicht.
Der in der fortgesetzten Speicherung bei der C.- Inc. liegende Datenschutzverstoß ist der Beklagten als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO auch nach Art. 82 Abs. 2 Satz 1 DSGVO zuzurechnen. Die Beklagte hat nicht nachgewiesen, dass ihr die Datenspeicherung, die zum Schaden geführt hat, nicht zugerechnet werden kann. Einen entsprechenden Nachweis hätte sie erbringen müssen (vgl. EuGH, Urteil vom 21. Dezember 2023 – C-667/21, juris, Rn. 103), hat ihn aber nicht erbracht.
Eine Haftungsbefreiung setzt gemäß Art. 82 Abs. 3 DSGVO den Nachweis des Verantwortlichen voraus, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Aus diesem Grund kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 der Datenschutz-Grundverordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt (siehe EuGH, Urteil vom 11. April 2024 – C-741/21, juris, Rn. 51). Nichts anderes gilt im Verhältnis des Verantwortlichen zum Auftragsverarbeiter.
Dieser notwendige Nachweis scheitert hier daran, dass die Beklagte den Anforderungen des Art. 24 Abs. 1 Satz 1 DSGVO nicht genügt und keine ausreichenden organisatorischen Maßnahmen getroffen hat, um sicherzustellen, dass die der B.-Ltd. zur Auftragsverarbeitung übertragenen Daten nach dem Ende des Auftragsverarbeitungsverhältnisses gelöscht werden. Die Beklagte hat ihre Auftragsverarbeiter – letztlich unstreitig – nicht hinreichend kontrolliert. Sie bezieht sich allein auf eine E-Mail der C.- Inc. vom 30. November 2020 (Anlage B4). Die darin enthaltene Ankündigung, dass alle Daten auf ihrer Seite gelöscht würden, genügte aber nicht einmal den vertraglichen Mindestanforderungen an eine Löschungsmitteilung in dem Rechtsverhältnis zwischen der Beklagten und der B.-Ltd. Weder erkundigte sich die Beklagte bei der C.- Inc. im Anschluss, ob die Löschung auch durchgeführt worden ist, noch verlangte sie einen Nachweis hierüber. Das hat den in der fortgesetzten Speicherung durch die C.- Inc. liegenden Datenschutzverstoß erst ermöglicht. Wäre die Beklagte ihren Kontrollpflichten nachgekommen, wäre aufgefallen, dass die Daten entgegen der Ankündigung nicht gelöscht worden sind.
Das Gericht bejaht das Vorliegen eines immateriellen Schadens i.S.v. Art. 82 Abs. 1 DSGVO. Ein solcher könne bereits im Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass zusätzliche spürbare Folgen nachzuweisen wären. Entsprechend hatte bereits der BGH entschieden. Der Kläger habe substantiiert dargelegt, dass seine Daten (Nachname, Land, E-Mail-Adresse) in einer von Hackern im Darknet veröffentlichten Liste enthalten sind. Dies erfülle die Voraussetzungen eines Kontrollverlusts.
Dem Kläger ist infolge des Datenschutzverstoßes der Beklagten, der den Hackern den Zugriff auf die Daten des Klägers erst ermöglichte, auch ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden.
Der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DSGVO ist in Ermangelung eines in der Vorschrift enthaltenen Verweises auf das innerstaatliche Recht der Mitgliedstaaten autonom unionsrechtlich zu bestimmen. Maßgeblich ist danach das Begriffsverständnis, wie es in der Rechtsprechung des Gerichtshofs der Europäischen Union ausgeformt worden ist. Zwar soll nach Erwägungsgrund 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen der Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr ist darüber hinaus der Eintritt eines Schadens durch diesen Verstoß erforderlich.
Ein haftungsbegründender immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO kann jedoch nach der Rechtsprechung des Gerichtshofs schon in dem – selbst kurzzeitigen – Verlust der Kontrolle über personenbezogene Daten liegen, ohne dass der Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. Insofern schließt sich der Senat nach nochmaliger eigener Prüfung der Rechtsprechung des Gerichtshofs dem vom Bundesgerichtshof hierzu vertretenen Verständnis an (vgl. BGH, Urteile vom 18. November 2024 – VI ZR 10/24, juris, Rn. 30, und vom 11. Februar 2025 – VI ZR 365/22, juris, Rn. 15). Unter einem Verlust der Kontrolle versteht der Senat dabei eine Situation, in der der Betroffene seine personenbezogenen Daten nicht mehr beherrschen kann, weil sie etwa an ihm unbekannte Dritte gelangt oder ohne nennenswerte Eingrenzung preisgegeben sind. Das ist der Fall bei einem Scraping sowie bei einer Veröffentlichung der Daten im Internet, aber noch nicht – beispielsweise – bei einer Weitergabe der Telefonnummer an bestimmte Empfänger oder ihre Verwendung zur Zwei-Faktor-Authentifizierung bei Nutzung von Benutzerkonten (Accounts). In einem solchen Fall sind die Daten noch nicht allgemein veröffentlicht (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 41).
Diesen Anforderungen wird der Vortrag des Klägers spätestens in der Berufungsinstanz jedenfalls insoweit gerecht, als er dort vorgetragen hat, dass sich in der von den Hackern im Darknet veröffentlichten Leak-Liste auch Daten von ihm – nämlich Nachname, Land und E-Mail-Adresse – befänden. Der Kläger hat hierzu in der Berufungsbegründung zudem sinngemäß vorgetragen, diese und weitere bei der Beklagten gespeicherte Daten nicht schon zuvor allgemein veröffentlicht, sondern nur im üblichen Umfang anderen zugänglich gemacht zu haben.
Die Höhe des Schadensersatzes richte sich mangels unionsrechtlicher Vorgaben nach deutschem Recht. Maßgeblich sei ein vollständiger, aber nicht überschießender Schadensausgleich; eine Straf- oder Abschreckungsfunktion komme dem Anspruch nicht zu. Kriterien aus Art. 83 DSGVO seien daher nicht anwendbar. Der Ersatz müsse vollständig und wirksam sein, dürfe aber nicht über den konkret erlittenen Schaden hinausgehen. Bei Kontrollverlust über personenbezogene Daten hänge die Bemessung u.a. ab von Sensibilität und Zweckmäßigkeit der betroffenen Daten, Art und Dauer des Kontrollverlusts sowie den Möglichkeiten, die Kontrolle zurückzuerlangen.
Die Höhe des dem Kläger gemäß Art. 82 Abs. 1 DSGVO für den ihm entstandenen immateriellen Schaden zustehenden Schadensersatzes bemisst sich nach den schadensersatzrechtlichen Grundsätzen des deutschen Rechts.
Die Datenschutz-Grundverordnung enthält keine Bestimmung über die Bemessung des aus Art. 82 Abs. 1 DSGVO geschuldeten Schadensersatzes. Insbesondere können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DSGVO genannten Kriterien herangezogen werden. Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 93). In Deutschland ist damit insbesondere die Verfahrensvorschrift des § 287 ZPO anzuwenden.
Bei der Ermittlung des nach Art. 82 Abs. 1 DSGVO zu ersetzenden Schadens unterliegt die innerstaatliche Verfahrensautonomie allerdings den sich aus dem unionsrechtlichen Äquivalenz- und Effektivitätsgrundsatz ergebenden Einschränkungen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 94). Eine auf Art. 82 Abs. 1 DSGVO gestützte Entschädigung in Geld ist in Anbetracht der Ausgleichsfunktion des in dieser Vorschrift vorgesehenen Schadensersatzanspruchs als „vollständig und wirksam“ im Sinne von Erwägungsgrund 146 Satz 6 DSGVO anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung konkret erlittenen Schaden in vollem Umfang auszugleichen. Eine Abschreckungs- oder Straffunktion soll der Anspruch aus Art. 82 Abs. 1 DSGVO nicht erfüllen. Infolgedessen darf bei der Bemessung einer Geldentschädigung weder die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung, durch den der betreffende Schaden entstanden ist, berücksichtigt werden, noch – wie bereits ausgeführt – der Umstand, ob ein Verantwortlicher mehrere Verstöße gegenüber derselben Person begangen hat oder ob er vorsätzlich oder fahrlässig gehandelt hat (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 96).
Im Ergebnis soll die zuzusprechende Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben, sie darf aber auch nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz des Schadens hinausgeht. Ist der Schaden gering, ist daher auch ein Schadensersatz in nur geringer Höhe zuzusprechen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 97). Dies gilt auch unter Berücksichtigung des Umstands, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger gewichtig ist als eine Körperverletzung (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 97).
Bei der auf § 287 ZPO gestützten Bemessung des Entschädigungsbetrags sind dann, wenn ein Schaden nur in Form eines Kontrollverlusts an personenbezogenen Daten eingetreten ist, weil weitere Schäden nicht nachgewiesen sind, bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten und deren typischerweise zweckmäßige Verwendung zu berücksichtigen. Zudem sind die Art des Kontrollverlusts, die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet oder Änderung des personenbezogenen Datums in den Blick zu nehmen. In Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich ist, kann auch der hypothetische – insbesondere finanzielle – Aufwand für die Wiedererlangung der Kontrolle als Anhalt für einen effektiven Schadensausgleich dienen (siehe zum Ganzen BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 99).
Für den reinen Kontrollverlust seien dem Kläger 100 € zuzusprechen. Ausschlaggebend hierfür sei der Verlust der Kontrolle über seine E-Mail-Adresse, die durch den enthaltenen Nachnamen einen direkten Personenbezug aufweist. Die übrigen bei der Beklagten gespeicherten Daten – abgesehen von Sprache und Land – sind von geringerer Relevanz und beeinflussen die Bewertung nicht wesentlich.
Nach diesen Maßgaben wird der dem Kläger mit dem reinen Kontrollverlust entstandene Schaden mit einem Betrag von 100 € effektiv ausgeglichen. Das ergibt eine Gesamtwürdigung der im Fall des Klägers maßgeblichen Umstände.
Für die Bemessung des Schadensersatzbetrags entscheidend ist der vom Kläger erlittene Verlust der Kontrolle über seine E-Mail-Adresse, zumal diese – für Dritte leicht erkennbar – bereits insofern personalisiert ist, als sie seinen Nachnamen als Bestandteil enthält. Die weiteren von der Beklagten als bei ihr gespeichert zugestandenen Daten des Klägers spielen, mit Ausnahme der Sprache und des Landes, demgegenüber eine nur untergeordnete und nicht ausschlaggebende Rolle, selbst in der ebenfalls dem Kontrollverlust unterliegenden Kombination mit der E-Mail-Adresse. Das sieht ersichtlich auch der Kläger selbst so, wie sich aus seiner Erklärung zur A.-User-ID im Rahmen seiner informatorischen Anhörung ergibt. Dabei ist auch zu berücksichtigen, dass er den Musikstreamingdienst der Beklagten nach den tatbestandlichen Feststellungen im landgerichtlichen Urteil zuletzt im Jahr 2016 genutzt hat („zuletzt im Jahr 2016 bei „A.“ eingeloggt“). Eine nennenswerte Vertiefung des Kontrollverlusts seit dem Datenabgriff im Jahr 2022 ist zudem nicht erkennbar. Zwar erscheint es wenig wahrscheinlich, dass der Kläger die Kontrolle über seine Daten zurückerlangen wird. Es spricht jedoch manches dafür, dass ein an den Daten gegebenenfalls bestehendes Interesse Dritter mit fortschreitender Zeit abnimmt, so dass der durch den Datenschutzverstoß der Beklagten herbeigeführte Kontrollverlust an Bedeutung verlieren könnte. Mithilfe der Daten ist im Übrigen lediglich eine Kontaktaufnahme mit dem Kläger möglich. Zwar kann die E-Mail-Adresse auch zur Übersendung von werbenden, belästigenden oder sogar betrügerischen Spam-Mails genutzt werden. Zu einem etwaigen materiellen Schaden führen solche Spam-Mails jedoch nicht ohne weitere Zwischenschritte. Gegen diese kann sich der für die Gefahr sensibilisierte Kläger durch Achtsamkeit wappnen. Bei den vom Kontrollverlust betroffenen Daten handelt es sich zudem nicht um höchst sensible Daten des Klägers, etwa Gesundheits- oder vergleichbar intime Daten, deren Verbreitung in der Öffentlichkeit dem Ansehen oder dem Fortkommen des Klägers schaden könnte (vgl. auch BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 42). Die im Rahmen seiner informatorischen Anhörung anklingende gegenteilige Besorgnis des Klägers teilt der Senat – auch unter Berücksichtigung der beruflichen Tätigkeit des Klägers – nicht. Es kommt hinzu, dass die E-Mail-Adresse ohnehin regelmäßig der Kontaktaufnahme mit Dritten dient und zu diesem Zweck anderen zugänglich gemacht wird. Allein dadurch besteht immer die Gefahr, dass eine bis zu einem bestimmten Zeitpunkt kontrollierte Weitergabe der E-Mail-Adresse irgendwann nicht mehr kontrollierbar ist, weil schlechterdings niemand vollumfänglichen Einfluss darauf haben kann, wie Dritte mit der E-Mail-Adresse umgehen. Zu berücksichtigen ist schließlich, dass der Kläger einen Wechsel seiner E-Mail-Adresse wegen deren Nutzung im Rahmen seiner aktuellen Fortbildung bei der Handwerkskammer Düsseldorf derzeit zwar scheut, sich aus diesem Umstand aber nicht ergibt, dass ein Wechsel schlechterdings ausgeschlossen ist.
Zusätzliche 100 € sprach das Gericht dem Kläger wegen mit dem Kontrollverlust verbundenen Sorgen zu.
Der dem Kläger für den reinen Kontrollverlust zuzusprechende Betrag von 100 € ist um einen Betrag von weiteren 100 € für die besonderen Sorgen zu erhöhen, die der Kläger im Zusammenhang mit dem Kontrollverlust empfindet.
Mit dem Kontrollverlust verbundene negative Gefühle wie Ängste und Befürchtungen sowie in der Auseinandersetzung mit dem Scraping-Vorfall und dem Schutz vor künftigem Datenmissbrauch aufgewandte Zeit und Mühe stellen Umstände dar, die einen bereits mit dem reinen Kontrollverlust eingetretenen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO vertiefen oder vergrößern können (vgl. BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 31, 35 und 45). Das gilt jedenfalls dann, wenn sie über die mit dem eingetretenen Kontrollverlust für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen (BGH, Urteil vom 18. November 2024 – VI ZR 10/24, juris, Rn. 101). Auch eine etwaige psychische Belastung durch Spam-Anrufe und Spam-SMS, die auf den Kontrollverlust zurückzuführen sind, kann den immateriellen Schaden vergrößern.
Nach informatorischer Anhörung des im Polizeidienst tätigen Klägers ist der Senat davon überzeugt, dass sich der Kläger wegen des Kontrollverlusts über seine Daten, konkret des Verlusts der Kontrolle über seine E-Mail-Adresse, Sorgen darüber macht, welche beruflichen Weiterungen sich daraus für ihn noch ergeben könnten. Dabei handelt es sich – auch wenn diese Besorgnis aus Sicht des Senats wenig begründet erscheint – immer noch um eine der Zurechnung unterliegende seelische Reaktion. Die Zurechnung von Schäden scheitert grundsätzlich nicht daran, dass sie auf einer konstitutiven Schwäche des Verletzten beruhen (BGH, Urteil vom 30. April 1996 – VI ZR 55/95, juris, Rn. 17). Dass eine besondere Schadensanfälligkeit des Verletzten dem Schädiger haftungsrechtlich zuzurechnen ist, gilt grundsätzlich auch für psychische Schäden, die regelmäßig aus einer besonderen Labilität des Betroffenen erwachsen (BGH, Urteil vom 30. April 1996 – VI ZR 55/95, juris, Rn. 18). Einen nicht mehr zuzurechnenden Extremfall, in dem die psychische Reaktion in keinerlei verständlichem Verhältnis zu dem schädigenden Ereignis mehr steht (vgl. BGH, Urteil vom 30. April 1996 – VI ZR 55/95, juris, Rn. 21), vermag der Senat hier nicht zu sehen.
Die betreffende seelische Reaktion des Klägers rechtfertigt unter Berücksichtigung aller Umstände des Falles eine Erhöhung des Schadensersatzbetrags um 100 €. Eine weitere Erhöhung des Schadensersatzbetrags aufgrund weiterer Folgen des Datenschutzverstoßes scheidet hingegen aus.