Das Landgericht München I (LG) hat am 27. August 2025, Az. 33 O 635/25, ein interessantes Urteil zu einer Schadensersatzforderung nach Art. 82 DS-GVO getroffen.
Das Gericht hat die Klage eines Nutzers einer amerikanischen Social Media Plattform (Facebook) u.a. deshalb abgewiesen, weil er sich widersprüchlich verhalten habe.
Der Kläger hat aus der EU heraus Facebook genutzt und dann Schadensersatz verlangt. Im Rahmen seines Klagevortrags argumentierte der Kläger u.a. mit einer rechtswidrigen Übertragung seiner personenbezogenen Daten in die USA.
Nach Auffassung des Gerichts handelt entgegen Treu und Glauben, wer einerseits den Kommunikationsdienst eines Anbieters in Kenntnis des behaupteten Rechtsverstoßes nutzt und andererseits den Anbieter gerade für das Anbieten (des Kommunikationsdienstes) auf Schadensersatz in Anspruch nimmt.
Zum Hintergrund
Nach Art. 82 Abs. 1 DS-GVO kann grundsätzlich jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Schadenersatz von dem Verantwortlichen und/oder von dem Auftragsverarbeiter verlangen. Ein Schadensersatzanspruch kann dem Grunde nach nur gegeben sein, wenn die Datenverarbeitung rechtswidrig ist (hier: die Übermittlung von personenbezogenen Daten aus der EU heraus in die USA ohne Einhaltung der Anforderungen an eine internationale Datenübermittlung nach Art. 44 ff DS-GVO).
Der EuGH erklärte mit der Schrems II-Entscheidung im Jahr 2020 den EU-U.S. Privacy Shield für ungültig. Bis zum Inkrafttreten des EU-U.S. Data Privacy Framework am 11. Juli 2023 konnten daher keine Daten auf Grundlage des Art. 45 Abs. 1 DS-GVO in die USA übermittelt werden.
Der Kläger war der Meinung die Datenübermittlungen von einer europäischen Tochter an die U.S.-amerikanische Konzernmuttergesellschaft im Zeitraum von 2020 bis 2023 sei daher rechtswidrig. Aufgrund der Zugriffsmöglichkeit von U.S.-amerikanischen Behörden auf die übermittelten Daten habe er einen erheblichen Kontrollverlust erlitten und daraus resultierend einen Schaden i. S. d. Art. 82 DS-GVO.
Kernaussagen
- Keine Rechtswidrigkeit der Datenübermittlung in Drittland bei Standardvertragsklauseln.
Eine Datenübermittlung in ein Drittland kann auch ohne Angemessenheitsbeschluss im Sinne des Art. 45 DS-GVO rechtmäßig sein, wenn zwischen dem Verantwortlichen/Auftragsverarbeiter und dem Empfänger Standardvertragsklauseln vereinbart sind und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1, Abs. 2 lit. c DS-GVO). Facebook hatte mit dem Mutterkonzern offensichtlich als Vorsichtsmaßnahme Standartvertragsklauseln vereinbart. Diese sah das Gericht als Rechtsgrundlage für die Datenübermittlung in die USA an. - Kein Anspruch auf eine Verarbeitung von personenbezogenen Daten nur in Europa.
Soziale Netzwerke, die „global konzipiert“ sind, setzen technisch einen internationalen Austausch von personenbezogenen Daten voraus.
Einem Nutzer einer solcher Plattformen ist dieser Umstand hinlänglich bekannt. Es besteht auch kein Anspruch gegen die Betreiberin eines solchen Netzwerks, den Dienst als „rein europäische[…] Plattform[en]“ zu betreiben:
„Die unternehmerische Entscheidung …, ein weltweites Netzwerk anzubieten […] und Daten in den USA zu verarbeiten, ist von den Nutzern, die sich freiwillig für eine entsprechende Nutzung entscheiden, hinzunehmen.“ - Kein Schadensersatz bei widersprüchlichem Nutzerverhalten
Nach Auffassung des Gerichts kann einen Schadensersatzanspruch nicht geltend machen, wer bewusst eine weltweit agierende amerikanische Social Media Plattform nutzt, obwohl allgemein bekannt ist, dass dabei Daten in die USA übermittelt werden und U.S.-amerikanische Geheimdienste auf diese Daten unter Umständen zugreifen können. Ein solches Vorgehen verstoße gegen das Gebot von Treu und Glauben.
Für die Ablehnung des Schadensersatzes war laut dem Gericht entscheidend, dass bloße Ängste oder Befürchtungen vor einem möglichen Zugriff US-amerikanischer Sicherheitsbehörden nicht ausreichen, um einen immateriellen Schaden nachzuweisen. Ein solcher Schaden setze eine konkrete Beeinträchtigung voraus, beispielsweise in Form einer tatsächlichen Datenoffenlegung oder eines individuell spürbaren Nachteils.
Fazit
Bloße Sorge ist noch kein Schaden. Wer internationale Dienste zur Nutzung verwendet, akzeptiert zwangsläufig, dass Daten technisch über Grenzen hinweg verarbeitet werden.
Weitere Informatioenen und Quellen: