Die Datenschutz-Grundverordnung (DSGVO) hat die Haftungsrisiken für Unternehmen und Behörden, die mit personenbezogenen Daten arbeiten, erheblich verschärft. Insbesondere der in Art. 82 DSGVO geregelte Anspruch auf immateriellen Schadensersatz – umgangssprachlich auch Schmerzensgeld genannt – sorgt seit Langem für Unsicherheit. Wann genau liegt ein ersatzfähiger Schaden vor? Der Bundesgerichtshof (BGH), AZ: VI ZR 186/22, hat hierzu eine wichtige Klarstellung getroffen, die für die Praxis von großer Bedeutung ist.
Worum ging es in dem Fall?
Ein Unternehmer, der nach eigener Aussage explosionsgefährliche Stoffe vertreibt und deshalb einem erhöhten, abstrakten Sicherheitsrisiko ausgesetzt ist, hatte gegen eine Stadt geklagt. Die Stadt hatte über einen längeren Zeitraum hinweg gerichtliche Empfangsbekenntnisse per unverschlüsseltem Fax an ein Verwaltungsgericht gesendet. Diese Faxe enthielten lediglich den Nachnamen des Unternehmers und das jeweilige Aktenzeichen.
Der Kläger war der Ansicht, dass die unverschlüsselte Übermittlung seiner Daten ein rechtswidriger Verstoß gegen die DSGVO sei und verlangte eine Geldentschädigung. Er argumentierte, dass die Daten von Dritten hätten abgefangen werden können, was potenzielle Täter in die Lage versetzen würde, seine private Anschrift zu ermitteln und ihn körperlich zu gefährden. Das Landgericht und das Oberlandesgericht hatten ihm teilweise recht gegeben und der Stadt zur Zahlung von 7.000 € verurteilt.
Das Urteil des Bundesgerichtshofs: Ein hypothetisches Risiko reicht nicht aus
Der BGH hob die Urteile der Vorinstanzen auf und wies die Klage des Unternehmers ab. Er stellte klar, dass ein bloßer Verstoß gegen die DSGVO allein nicht automatisch einen Anspruch auf Schadensersatz begründet. Die betroffene Person muss vielmehr einen tatsächlich erlittenen materiellen oder immateriellen Schaden nachweisen. Eine „Befürchtung“ eines möglichen Schadens kann zwar unter bestimmten Umständen einen ersatzfähigen immateriellen Schaden darstellen. Doch dies gilt nicht für ein „rein hypothetisches Risiko“ der missbräuchlichen Verwendung von Daten durch unbefugte Dritte.
Im vorliegenden Fall sah der BGH keine Anhaltspunkte für einen tatsächlichen „Kontrollverlust“ über die Daten. Die bloße theoretische Möglichkeit, dass die Faxe abgefangen werden könnten, reiche nicht aus, um einen ersatzfähigen Schaden zu begründen. Die vom Kläger dargelegten Gefahren für Leib und Leben seien in diesem Kontext lediglich als abstrakt und wenig wahrscheinlich einzustufen.
Auch die Auffassung der Vorinstanzen, der Schadensersatz diene auch dem Schutz vor zukünftigen Verstößen, wurde vom BGH zurückgewiesen. Der BGH betonte, dass der Schadensersatz nach Art. 82 DSGVO keine Straf-, sondern eine Ausgleichsfunktion hat.
Was bedeutet das für Unternehmer und Praxis?
Das Urteil stärkt die Position von datenverarbeitenden Stellen, also Unternehmen und Behörden. Es verdeutlicht, dass nicht jeder, noch so kleine, Datenschutzverstoß sofort zu einer Schadensersatzpflicht führt. Der bloße „Verlust der Kontrolle“ über Daten, der in manchen Fällen bereits als Schaden gewertet wird, liegt nicht automatisch vor, nur weil die Möglichkeit eines unberechtigten Zugriffs besteht.
Für die Geltendmachung eines Schadensersatzanspruchs nach der DSGVO ist es somit entscheidend, dass die betroffene Person konkrete, nachweisbare negative Folgen des Verstoßes darlegen kann. Eine rein spekulative Befürchtung reicht nicht aus.
Fazit
Das Urteil des BGH bringt eine dringend benötigte Rechtssicherheit für alle, die im Geschäftsleben oder in der Verwaltung mit personenbezogenen Daten arbeiten. Es zieht eine klare Linie zwischen einem tatsächlichen Schaden und einem bloß theoretischen Risiko. Dennoch bleibt die Einhaltung der DSGVO-Vorschriften von zentraler Bedeutung, da Verstöße weiterhin mit Bußgeldern geahndet werden können.
Gericht, Datum, Aktenzeichen:
Bundesgerichtshof, Urteil vom 13. Mai 2025 Az.: VI ZR 186/22