Kontrollverlust

DSGVO-Schadensersatz: EuGH öffnet die Tore, BGH zeigt die Notbremse für Blogs

Wolfgang Riegger

Die Datenschutz-Grundverordnung (DSGVO) ist für viele Unternehmer ein Feld voller rechtlicher Minen. Besonders die Frage, wann und in welcher Höhe Schadensersatz für Datenschutzverstöße zu zahlen ist, sorgt für massive Unsicherheit. Zwei hochkarätige Urteile des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH) stecken das Spielfeld nun neu ab. Das Ergebnis: Die Haftungsrisiken steigen, doch es gibt auch neue, wichtige Verteidigungsmöglichkeiten.

1. EuGH: Jeder Ärger zählt – Die Schwelle für Schadensersatz fällt

In einer grundlegenden Entscheidung hat der EuGH (Urteil vom 4. September 2025, Az. C-655/23) die Hürden für Kläger, die einen immateriellen Schaden nach Art. 82 DSGVO geltend machen, praktisch eingerissen. Der Fall war alltäglich: Eine Bank hatte im Rahmen eines Bewerbungsprozesses eine Nachricht mit Gehaltsdetails versehentlich an einen Dritten geschickt. Der Kläger forderte Schadensersatz für die Sorge, den Kontrollverlust über seine Daten und die empfundene Bloßstellung.

Die Kernaussagen des EuGH sind für Unternehmen alarmierend:

  • Keine „Bagatellgrenze“: Für einen ersatzfähigen Schaden muss keine Erheblichkeitsschwelle überschritten werden. Bloße negative Gefühle wie Ärger, Unmut, Sorge oder Angst, die aus dem Verstoß resultieren, können ausreichen, um einen Schadensersatzanspruch zu begründen.
  • Verschulden irrelevant für die Höhe: Bei der Bemessung der Entschädigungshöhe darf der Grad des Verschuldens (also ob der Fehler fahrlässig oder vorsätzlich geschah) keine Rolle spielen. Der Schadensersatz soll allein den erlittenen Schaden ausgleichen, nicht den Verantwortlichen bestrafen.

Das Urteil öffnet Tür und Tor für eine Klagewelle, die das eigentliche Schutzziel der DSGVO ad absurdum führen könnte. Wenn bereits alltägliche negative Empfindungen, die nach Ansicht des vorlegenden Gerichts zum „allgemeinen Lebensrisiko“ gehören, für einen Anspruch ausreichen, wird aus dem Datenschutzrecht ein Reparaturbetrieb für Befindlichkeiten. Für Unternehmen bedeutet dies eine Rechtsunsicherheit. Jeder noch so kleine Fehler, wie ein falsch adressierter Newsletter, kann nun potenziell zu Schadensersatzforderungen führen.

Zudem hebelt der EuGH damit faktisch die bisherige, differenziertere Rechtsprechung des BGH aus. Dieser hatte zwar jüngst den „Kontrollverlust“ über Daten ebenfalls als Schaden anerkannt, jedoch verlangten deutsche Gerichte bislang oft einen substantiierten Vortrag, worin der Schaden konkret besteht. Diese Anforderung dürfte nach dem Verdikt aus Luxemburg schwer haltbar sein. Der Kläger muss zwar weiterhin nachweisen, dass der Verstoß die negativen Gefühle verursacht hat, die Messlatte dafür liegt nun aber niedrig.

2. BGH: Die Ausnahme für die Öffentlichkeit – Das unterschätzte Medienprivileg

Während der EuGH die Haftung ausweitet, liefert der BGH in einer anderen Entscheidung (Urteil vom 29. Juli 2025, Az. VI ZR 426/24) eine wichtige Einschränkung, die für viele Blogger relevant ist: das Medienprivileg nach Art. 85 DSGVO.

In dem Fall nutzte eine rechtsextreme Kleinstpartei den Namen eines Politikers der Linken auf ihrem Telegram-Kanal, um für eine Demonstration zu werben. Der Politiker klagte unter anderem auf Schadensersatz nach der DSGVO – und scheiterte.

Die Begründung des BGH ist ein Weckruf für alle, die öffentlich kommunizieren:

  • Journalismus ist nicht nur Presse: Die Verarbeitung von Daten „zu journalistischen Zwecken“ ist von vielen strengen DSGVO-Regeln ausgenommen. Der BGH legt diesen Begriff sehr weit aus. Er umfasst jede Tätigkeit, die darauf abzielt, Informationen in der Öffentlichkeit zu verbreiten und an der Meinungsbildung mitzuwirken.
  • Auch Parteien und Unternehmen können „Journalisten“ sein: Dieses Privileg gilt nicht nur für klassische Medien. Auch ein Telegram-Kanal einer politischen Partei kann darunterfallen. Entscheidend ist der Zweck der Veröffentlichung, nicht die Organisationsform.
  • Folge: Kein DSGVO-Anspruch: Unterfällt eine Veröffentlichung dem Medienprivileg, sind zentrale DSGVO-Vorschriften wie Art. 6 (Rechtmäßigkeit) nicht anwendbar. Damit entfällt auch die Grundlage für einen Schadensersatzanspruch nach Art. 82 DSGVO, der auf der Verletzung dieser Vorschriften beruht.

Aber: Der BGH stellte jedoch auch unmissverständlich klar: Nur weil der DSGVO-Anspruch durch das Medienprivileg blockiert ist, bedeutet das keinen Freifahrtschein. Ansprüche aus nationalem Recht, insbesondere wegen der Verletzung des allgemeinen Persönlichkeitsrechts (§ 823 BGB), bleiben davon unberührt und können parallel bestehen. Genau hier nahm der BGH eine entscheidende Weichenstellung vor und erklärte den Unterschied zwischen einem Unterlassungsanspruch (der in erster Instanz bereits erfolgreich war) und einem Anspruch auf Geldentschädigung. Der Unterlassungsanspruch (präventiv): Dieser Anspruch hat eine niedrigere Hürde. Um eine Äußerung für die Zukunft zu verbieten, reicht es bereits aus, wenn sie mehrdeutig ist und eine der möglichen Interpretationen die Rechte einer Person verletzt. Es geht darum, potenziellem Schaden vorzubeugen. Der Schadensersatzanspruch (Sanktion): Hier liegt die Messlatte höher. Da es sich um eine Sanktion für einen bereits entstandenen Schaden handelt, muss bei mehrdeutigen Äußerungen die für den Beklagten günstigste und den Kläger am wenigsten verletzende Deutungsvariante zugrunde gelegt werden.

3. Fazit:

à Risiko-Maximierung bei internen Prozessen: Nach dem EuGH-Urteil muss jeder interne Prozess, bei dem personenbezogene Daten verarbeitet werden (HR, Marketing, Vertrieb), absolut wasserdicht sein. Die Verteidigung, ein Fehler habe „keinen echten Schaden“ verursacht, ist massiv geschwächt.

-> Risiko-Minimierung bei öffentlicher Kommunikation: Wenn Ihr Unternehmen öffentlich kommuniziert – sei es über einen Corporate Blog, Pressemitteilungen oder Social-Media-Kanäle – und damit zur öffentlichen Meinungsbildung beiträgt, könnten Sie sich auf das Medienprivileg berufen. Dies kann ein starker Schutzschild gegen Schadensersatzforderungen nach der DSGVO sein.

-> Nationales Recht bleibt bestehen: Achtung: Das Medienprivileg schützt nur vor den Ansprüchen aus der DSGVO. Ansprüche aus anderen Gesetzen, wie dem allgemeinen Persönlichkeitsrecht, bleiben davon unberührt.

Gericht, Datum, Aktenzeichen:

Europäischer Gerichtshof (EuGH), Urteil vom 4. September 2025, Az. C-655/23

Bundesgerichtshof (BGH), Urteil vom 29. Juli 2025, Az. VI ZR 426/24

Kein Schadensersatz nach Art. 82 DSGVO bei rein hypothetischem Risiko

Wolfgang Riegger

Die Datenschutz-Grundverordnung (DSGVO) hat die Haftungsrisiken für Unternehmen und Behörden, die mit personenbezogenen Daten arbeiten, erheblich verschärft. Insbesondere der in Art. 82 DSGVO geregelte Anspruch auf immateriellen Schadensersatz – umgangssprachlich auch Schmerzensgeld genannt – sorgt seit Langem für Unsicherheit. Wann genau liegt ein ersatzfähiger Schaden vor? Der Bundesgerichtshof (BGH), AZ: VI ZR 186/22, hat hierzu eine wichtige Klarstellung getroffen, die für die Praxis von großer Bedeutung ist.

Worum ging es in dem Fall?

Ein Unternehmer, der nach eigener Aussage explosionsgefährliche Stoffe vertreibt und deshalb einem erhöhten, abstrakten Sicherheitsrisiko ausgesetzt ist, hatte gegen eine Stadt geklagt. Die Stadt hatte über einen längeren Zeitraum hinweg gerichtliche Empfangsbekenntnisse per unverschlüsseltem Fax an ein Verwaltungsgericht gesendet. Diese Faxe enthielten lediglich den Nachnamen des Unternehmers und das jeweilige Aktenzeichen.

Der Kläger war der Ansicht, dass die unverschlüsselte Übermittlung seiner Daten ein rechtswidriger Verstoß gegen die DSGVO sei und verlangte eine Geldentschädigung. Er argumentierte, dass die Daten von Dritten hätten abgefangen werden können, was potenzielle Täter in die Lage versetzen würde, seine private Anschrift zu ermitteln und ihn körperlich zu gefährden. Das Landgericht und das Oberlandesgericht hatten ihm teilweise recht gegeben und der Stadt zur Zahlung von 7.000 € verurteilt.

Das Urteil des Bundesgerichtshofs: Ein hypothetisches Risiko reicht nicht aus

Der BGH hob die Urteile der Vorinstanzen auf und wies die Klage des Unternehmers ab. Er stellte klar, dass ein bloßer Verstoß gegen die DSGVO allein nicht automatisch einen Anspruch auf Schadensersatz begründet. Die betroffene Person muss vielmehr einen tatsächlich erlittenen materiellen oder immateriellen Schaden nachweisen. Eine „Befürchtung“ eines möglichen Schadens kann zwar unter bestimmten Umständen einen ersatzfähigen immateriellen Schaden darstellen. Doch dies gilt nicht für ein „rein hypothetisches Risiko“ der missbräuchlichen Verwendung von Daten durch unbefugte Dritte.

Im vorliegenden Fall sah der BGH keine Anhaltspunkte für einen tatsächlichen „Kontrollverlust“ über die Daten. Die bloße theoretische Möglichkeit, dass die Faxe abgefangen werden könnten, reiche nicht aus, um einen ersatzfähigen Schaden zu begründen. Die vom Kläger dargelegten Gefahren für Leib und Leben seien in diesem Kontext lediglich als abstrakt und wenig wahrscheinlich einzustufen.

Auch die Auffassung der Vorinstanzen, der Schadensersatz diene auch dem Schutz vor zukünftigen Verstößen, wurde vom BGH zurückgewiesen. Der BGH betonte, dass der Schadensersatz nach Art. 82 DSGVO keine Straf-, sondern eine Ausgleichsfunktion hat.

Was bedeutet das für Unternehmer und Praxis?

Das Urteil stärkt die Position von datenverarbeitenden Stellen, also Unternehmen und Behörden. Es verdeutlicht, dass nicht jeder, noch so kleine, Datenschutzverstoß sofort zu einer Schadensersatzpflicht führt. Der bloße „Verlust der Kontrolle“ über Daten, der in manchen Fällen bereits als Schaden gewertet wird, liegt nicht automatisch vor, nur weil die Möglichkeit eines unberechtigten Zugriffs besteht.

Für die Geltendmachung eines Schadensersatzanspruchs nach der DSGVO ist es somit entscheidend, dass die betroffene Person konkrete, nachweisbare negative Folgen des Verstoßes darlegen kann. Eine rein spekulative Befürchtung reicht nicht aus.

Fazit

Das Urteil des BGH bringt eine dringend benötigte Rechtssicherheit für alle, die im Geschäftsleben oder in der Verwaltung mit personenbezogenen Daten arbeiten. Es zieht eine klare Linie zwischen einem tatsächlichen Schaden und einem bloß theoretischen Risiko. Dennoch bleibt die Einhaltung der DSGVO-Vorschriften von zentraler Bedeutung, da Verstöße weiterhin mit Bußgeldern geahndet werden können.

Gericht, Datum, Aktenzeichen:

Bundesgerichtshof, Urteil vom 13. Mai 2025 Az.: VI ZR 186/22