Kein Schaden
bei Datenübertragung
in die USA.
Kein Schaden
bei Datenübertragung
in die USA.
von
Reicht die Angst vor den US-Behörden aus, um nach dem Datenschutzrecht Geld zu erhalten? Und wie präzise müssen Anträge gegen internationale Datenflüsse formuliert sein? Mit diesen Fragen setzte sich das Landgericht München I in einer Entscheidung auseinander, die zeigt, wie hoch die Hürden für Schadensersatz- und Unterlassungsklagen nach der Datenschutz-Grundverordnung liegen.
Worum geht’s?
Eine Privatperson forderte von Facebook Schadensersatz, Unterlassung, Auskunft sowie die Feststellung einer künftigen Ersatzpflicht. Hintergrund war die Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika. Die Person berief sich darauf, dass solche Transfers seit dem Urteil des Europäischen Gerichtshofs in der Rechtssache „Schrems II” aus dem Jahr 2020 rechtswidrig seien.
Sie machte geltend, dass US-Behörden möglicherweise auf ihre Daten zugreifen könnten, wodurch bei ihr psychische und körperliche Beschwerden ausgelöst worden seien. Facebook verteidigte sich mit Verweis auf die damals gültigen Standardvertragsklauseln, ergänzende Schutzmaßnahmen und – für spätere Zeiträume – die Anwendung des EU-U.S. Data Privacy Frameworks. Zusätzlich verwies es auf sein Self-Service-Portal, über das Betroffene ihre gespeicherten Daten einsehen können.
Hintergrund
Seit dem „Schrems II“-Urteil des Europäischen Gerichtshofs im Juli 2020 beschäftigen sich Juristen, Aufsichtsbehörden und Unternehmen gleichermaßen mit internationalen Datentransfers. Während der EuGH den Privacy Shield für ungültig erklärte, blieben die Standardvertragsklauseln als zentrale Rechtsgrundlage bestehen – allerdings nur, wenn sie durch zusätzliche technische und organisatorische Maßnahmen flankiert werden. Im Jahr 2023 schuf die Europäische Kommission mit dem EU-U.S. Data Privacy Framework einen neuen Angemessenheitsbeschluss. Unternehmen können sich seither auf dieses System stützen, wenn sie personenbezogene Daten in die USA übermitteln. Dennoch bleibt die Unsicherheit groß, insbesondere wenn Betroffene Schadensersatz geltend machen wollen, ohne einen konkreten Datenmissbrauch nachweisen zu können. Genau hier setzt das Urteil des LG München I an.
Entscheidung in Kürze
Das Landgericht München I wies die Klage mit Urteil vom 27.08.2025 – Az. 33 O 635/25 vollständig ab. Weder Unterlassungs‑ noch Auskunfts‑ oder Feststellungsanträge hatten Erfolg, und auch ein Schadensersatzanspruch wurde verneint.
Nach Auffassung des Gerichts fehlte es den Anträgen teilweise an der erforderlichen Bestimmtheit und teilweise am Rechtsschutzbedürfnis. Zudem sah das Gericht keinen ersatzfähigen immateriellen Schaden, da die bloße Befürchtung eines möglichen Zugriffs durch US‑Behörden keine hinreichende Beeinträchtigung im Sinne des Datenschutzrechts darstellt.
Der bloße Speicherort der Daten begründet für sich genommen keinen ersatzfähigen Schaden.
Das Gericht stellte klar, dass Unterlassungsanträge präzise formuliert sein müssen. Es reicht nicht aus, pauschal die Unterlassung jeglicher Datenübertragung in die USA zu verlangen, ohne genau anzugeben, welche Daten betroffen sind und welche Empfänger gemeint sind. Ein Gericht dürfe nicht erst im Vollstreckungsverfahren klären müssen, was eigentlich verboten ist.
Auch der Auskunftsantrag scheiterte, da das Unternehmen bereits umfassende Informationen erteilt hatte und ein digitales Portal zur Einsicht bereitstellte. In solchen Fällen fehlt nach Ansicht der Richter das Rechtsschutzbedürfnis, weil Betroffene über einfache Mittel verfügen, um ihr Informationsrecht selbst auszuüben. Der Feststellungsantrag schließlich blieb erfolglos, weil keine greifbare Wahrscheinlichkeit künftiger Schäden bestand.
Für die Ablehnung des Schadensersatzes war laut dem Gericht entscheidend, dass bloße Ängste oder Befürchtungen vor einem möglichen Zugriff US-amerikanischer Sicherheitsbehörden nicht ausreichen, um einen immateriellen Schaden nachzuweisen. Ein solcher Schaden setze eine konkrete Beeinträchtigung voraus, beispielsweise in Form einer tatsächlichen Datenoffenlegung oder eines individuell spürbaren Nachteils. Auch die geschilderten körperlichen Beschwerden konnten den erforderlichen Zusammenhang nicht herstellen. Das Gericht führte weiter aus, dass sich Nutzer globaler Kommunikationsdienste bewusst auf die internationale Struktur solcher Systeme einlassen. Wer also freiwillig eine Plattform nutzt, deren Funktionalität auf weltweiter Datenverarbeitung beruht, kann sich später nicht auf denselben Mechanismus berufen, um Schadensersatz zu verlangen.
Was bedeutet das für die Praxis?
Das Urteil bestätigt für internationale Plattformbetreiber und Anbieter von Software-as-a-Service-Lösungen die Bedeutung einer sorgfältigen Dokumentation. Transfer-Impact-Assessments, saubere Verträge und gegebenenfalls Zertifizierungen nach dem Data Privacy Framework bilden das Fundament einer rechtssicheren Praxis.
Ebenso wichtig ist eine transparente Kommunikation gegenüber den Nutzern: Wer offenlegt, warum bestimmte Datenflüsse technisch erforderlich sind und welche Schutzmaßnahmen bestehen, minimiert das Risiko gerichtlicher Auseinandersetzungen. Das Gericht bewertet den Einsatz von Self-Service-Tools, die es den Betroffenen ermöglichen, ihre Daten selbstständig abzurufen, besonders positiv und können zu einem fehlenden Rechtsschutzbedürfnis von Klägern führen.
Für Unternehmen, die selbst Dienste mit US-Bezug einsetzen, zeigt das Urteil: Vorsicht ja, Panik nein. Es lohnt sich, die Transfer-Mechanismen der eingesetzten Tools zu dokumentieren und regelmäßig zu überprüfen. Wer nachweisen kann, dass Standardvertragsklauseln verwendet und zusätzliche technische Sicherungen implementiert sind, steht derzeit noch auf solider Grundlage. Auch der neue Angemessenheitsbeschluss bietet Handlungssicherheit. Entscheidend sind die konkreten Garantien und Maßnahmen, nicht die Schlagzeile.
Für Anspruchsteller wiederum macht die Entscheidung deutlich, dass Schadensersatzklagen nach der DSGVO nur mit Substanz Aussicht auf Erfolg haben. Wer keine individuellen Beeinträchtigungen oder konkreten Folgen darlegen kann, wird regelmäßig scheitern. Die bloße Befürchtung, irgendwo in einem Datenzentrum in Kalifornien könne jemand theoretisch mitlesen, genügt schlicht nicht.
Einordnung und Ausblick
Das Urteil des Landgerichts München I reiht sich in eine Reihe jüngerer Entscheidungen deutscher Gerichte ein, die die Schwelle für immaterielle Schadensersatzansprüche hoch ansetzen. Gleichzeitig unterstreicht es die Bedeutung pragmatischer Lösungen im internationalen Datenverkehr. Während politische Debatten über das nächste US-Abkommen laufen, setzt die Rechtsprechung zunehmend auf Realismus und Verhältnismäßigkeit. Das Gericht zeigt Verständnis dafür, dass global agierende Dienste auf globale Infrastrukturen angewiesen sind und den Nutzerinnen und Nutzern diese Tatsache bekannt ist. Neu ist die Klarheit, mit der das Gericht die Diskrepanz zwischen theoretischer Datenschutzangst und praktischer Nutzung globaler Plattformen aufzeigt.
Fazit
Bloße Sorge ist noch kein Schaden. Wer internationale Dienste nutzt, akzeptiert zwangsläufig, dass Daten technisch über Grenzen hinweg verarbeitet werden. Für Unternehmen ist es entscheidend, diesen Umstand sauber zu dokumentieren, transparent zu kommunizieren und die Betroffenenrechte praktisch umsetzbar zu gestalten. Damit lassen sich viele Streitigkeiten vermeiden und manche Klage wird bereits im Ansatz für unzulässig erklärt.
Wir beraten
Sie gerne zum
Datenschutz!
