Der inflationäre Kontrollverlust – Plädoyer für eine Tatbestandskonturierung

Seit den Leitentscheidungen des EuGH und BGH gilt der Kontrollverlust als eigenständige Schadenskategorie. Doch was genau ist ein Kontrollverlust? Der folgende Beitrag entwickelt einen Ansatz, der den Kontrollverlust konsequent an das Schutzziel der Vertraulichkeit anknüpft: Ein Schaden liegt nur bei nachweisbarem Zugang unbefugter Dritter vor. 

Hintergrund: Der Kontrollverlust in der Rechtsprechung

Der EuGH hat unter Bezugnahme auf Erwägungsgrund 85 DSGVO klargestellt, dass bereits der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass zusätzliche spürbare negative Folgen nachzuweisen sind (EuGH, Urt. v. 4.10.2024 – C-200/23, Rn. 145, 156). Der BGH hat diese Linie übernommen und entschieden, dass der Kontrollverlust selbst den Schaden darstellt (BGH, Urt. v. 18.11.2024 – VI ZR 10/24, Rn.  30 f.; , siehe auch den Blogbeitrag von Axel von Walter aus November 2024). Beide Gerichte haben damit die Hürden für Schadensersatzklagen gesenkt. Zugleich haben sie eine methodische Lücke hinterlassen: Eine arbeitsfähige Definition des Kontrollverlusts fehlt.

In der Folge wird der Begriff in der Praxis mitunter weit verwendet. Teilweise bejahen Gerichte einen Kontrollverlust, ohne eine tragfähige Subsumtion offenzulegen. Die Entscheidungspraxis beruht damit vereinzelt eher auf einer pauschalen Annahme als auf einer tragfähigen methodischen Herleitung. Dies steht im Spannungsverhältnis zu dem Gebot, jede Anspruchsvoraussetzung eigenständig festzustellen und die hierfür erforderlichen Tatsachenfeststellungen nachvollziehbar offenzulegen. 

Fallbeispiel: BGH zur unverlangten Werbe‑E‑Mail

Dass eine Konturierung möglich und notwendig ist, zeigt die Entscheidung des BGH vom 28. Januar 2025 (VI ZR 109/23; siehe auch den Blogbeitrag von Gudrun Hausner aus März 2025). Der Kläger begehrte nach Erhalt einer unverlangten Werbe‑E-Mail Schadensersatz. Der BGH verneinte einen Kontrollverlust ausdrücklich: Ein solcher könne allenfalls dann angenommen werden, wenn die Daten des Klägers mit Versendung der E-Mail zugleich unbefugten Dritten zugänglich gemacht worden wären (BGH, Urt. v. 28.1.2025 – VI ZR 109/23, Rn. 18). Die unzulässige Nutzung der Daten durch den Verantwortlichen selbst genüge hierfür nicht.

Die Entscheidung macht deutlich: Ein Kontrollverlust muss damit über die Verletzung datenschutzrechtlicher Pflichten hinausreichen. Die dogmatische Richtung ist vorgezeichnet; konkrete Subsumtionskriterien sind bislang offen.

Dogmatischer Lösungsansatz: Rückbindung an Art. 4 Nr. 12 DSGVO

Der Verweis des EuGH auf Erwägungsgrund 85 DSGVO bietet einen systematischen Anknüpfungspunkt. Erwägungsgrund 85 Satz 1 beschreibt die möglichen Folgen einer „Verletzung des Schutzes personenbezogener Daten" und nennt dabei ausdrücklich den „Verlust der Kontrolle". Der Kontrollverlust ist mithin keine freischwebende Kategorie, sondern Konsequenz eines tatbestandlich definierten Ereignisses.

Art. 4 Nr. 12 DSGVO definiert die Verletzung des Schutzes personenbezogener Daten als Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang führt. Diese Tatbestandsvarianten spiegeln die klassischen Schutzziele der Informationssicherheit wider: Verfügbarkeit, Integrität und Vertraulichkeit.

Der Begriff der ‚Kontrolle‘ beschreibt die Befugnis, über den Zugang zu Informationen zu bestimmen. Ein Verlust dieser Kontrolle setzt deshalb voraus, dass unbefugte Dritte tatsächlich Zugang zu den Daten erhalten haben. Dies entspricht einer Vertraulichkeitsverletzung, die den Charakter des Kontrollverlusts maßgeblich prägt. 

Funktionale Differenzierung: Art. 33 DSGVO vs. Art. 82 DSGVO

Die Schutzziele prägen auch die Meldepflicht nach Art. 33 DSGVO. Jedoch ist der Maßstab bei der Bestimmung des Verletzungserfolgs zu differenzieren. Art. 33 DSGVO dient u.a. der Gefahrenabwehr. Die Meldepflicht soll die Aufsichtsbehörde in die Lage versetzen, frühzeitig zu intervenieren, um Folgeschäden zu vermeiden bzw. zu minimieren.  Dies rechtfertigt einen niedrigschwelligen Auslöser: Bei unklaren Tatsachenlagen genügt bereits die mutmaßliche Vertraulichkeitsverletzung (vgl. OH Meldepflichten des BayLfD Rn. 18) bzw. die hinreichende Gewissheit, dass eine Verletzung aufgetreten ist (vgl. EDSA Leitlinien 9/2022 Rn. 31 ff.).

Art. 82 DSGVO hat demgegenüber eine rein kompensatorische Funktion und setzt einen tatsächlich eingetretenen Schaden voraus. Ein solcher Schaden in Gestalt eines Kontrollverlusts liegt nur vor, wenn eine konkret nachweisbare Vertraulichkeitsverletzung gegeben ist. Erst der tatsächliche Zugang unbefugter Dritter auf die Daten erfüllt den erforderlichen Verletzungserfolg. Fehlt es an einem solchen Zugang, fehlt es zugleich an der Anspruchsvoraussetzung des ersatzfähigen Schadens.

Die dargestellte funktionale Differenzierung fügt sich zudem in die allgemeine Systematik des Haftungsrechts ein. Während die Gefährdungshaftung bereits an abstrakte Risiken anknüpft, setzt die Verschuldenshaftung eine tatsächlich eingetretene Rechtsgutsverletzung voraus. Art. 82 DSGVO begründet keine Gefährdungshaftung für Datenverarbeitungsrisiken, sondern eine Haftung für realisierte Schäden. Der bei der Prüfung eines Kontrollverlusts anzulegende Maßstab muss dieser Einordnung Rechnung tragen.

Auch die Entscheidung des BGH vom 28.  Januar 2025 bestätigt diese funktionale Differenzierung: Die bloße Befürchtung, der Verantwortliche könnte die E‑Mail‑Adresse künftig Dritten zugänglich machen, trägt den Kontrollverlust nicht; ein ggf. daraus folgender Schaden hätte seine Ursache nicht im streitgegenständlichen Verstoß (BGH, Urt. v. 28.1.2025 – VI ZR 109/23, Rn. 20).

Mit dem hier vorgeschlagenen Ansatz hätte sich die Entscheidung dogmatisch stringenter begründen lassen: Ein Kontrollverlust setzt eine tatsächliche Vertraulichkeitsverletzung voraus. Eine solche lag nicht vor, da die Daten zu keinem Zeitpunkt unbefugten Dritten zugänglich waren. Der DSGVO-Verstoß betraf allein das Verhältnis zwischen Verantwortlichem und Betroffenem – eine Konstellation, die keinen Kontrollverlust begründet.

Praxishinweise

Für die gerichtliche Praxis folgt aus dem Gesagten: Ein Gericht, das einen Kontrollverlust bejaht, muss feststellen, dass unbefugte Dritte tatsächlich Kenntnis von den betreffenden Daten erlangt haben.  Die Subsumtion erfordert eine Aussage zur Verletzung des Schutzziels Vertraulichkeit.

Für die Verteidigung gegen Schadensersatzansprüche bedeutet dies: Unternehmen sollten zwischen dem DSGVO-Verstoß als solchem und dem Eintritt eines Kontrollverlusts differenzieren. Nicht jeder Verstoß führt zu einem Kontrollverlust, sondern nur bei nachweisbarem Zugang unbefugter Dritter. Diese Differenzierung bietet Ansatzpunkte für eine strukturierte Rechtsverteidigung.