personenbezogene Daten

Kein Schadensersatz nach Art. 82 DSGVO bei rein hypothetischem Risiko

Wolfgang Riegger

Die Datenschutz-Grundverordnung (DSGVO) hat die Haftungsrisiken für Unternehmen und Behörden, die mit personenbezogenen Daten arbeiten, erheblich verschärft. Insbesondere der in Art. 82 DSGVO geregelte Anspruch auf immateriellen Schadensersatz – umgangssprachlich auch Schmerzensgeld genannt – sorgt seit Langem für Unsicherheit. Wann genau liegt ein ersatzfähiger Schaden vor? Der Bundesgerichtshof (BGH), AZ: VI ZR 186/22, hat hierzu eine wichtige Klarstellung getroffen, die für die Praxis von großer Bedeutung ist.

Worum ging es in dem Fall?

Ein Unternehmer, der nach eigener Aussage explosionsgefährliche Stoffe vertreibt und deshalb einem erhöhten, abstrakten Sicherheitsrisiko ausgesetzt ist, hatte gegen eine Stadt geklagt. Die Stadt hatte über einen längeren Zeitraum hinweg gerichtliche Empfangsbekenntnisse per unverschlüsseltem Fax an ein Verwaltungsgericht gesendet. Diese Faxe enthielten lediglich den Nachnamen des Unternehmers und das jeweilige Aktenzeichen.

Der Kläger war der Ansicht, dass die unverschlüsselte Übermittlung seiner Daten ein rechtswidriger Verstoß gegen die DSGVO sei und verlangte eine Geldentschädigung. Er argumentierte, dass die Daten von Dritten hätten abgefangen werden können, was potenzielle Täter in die Lage versetzen würde, seine private Anschrift zu ermitteln und ihn körperlich zu gefährden. Das Landgericht und das Oberlandesgericht hatten ihm teilweise recht gegeben und der Stadt zur Zahlung von 7.000 € verurteilt.

Das Urteil des Bundesgerichtshofs: Ein hypothetisches Risiko reicht nicht aus

Der BGH hob die Urteile der Vorinstanzen auf und wies die Klage des Unternehmers ab. Er stellte klar, dass ein bloßer Verstoß gegen die DSGVO allein nicht automatisch einen Anspruch auf Schadensersatz begründet. Die betroffene Person muss vielmehr einen tatsächlich erlittenen materiellen oder immateriellen Schaden nachweisen. Eine „Befürchtung“ eines möglichen Schadens kann zwar unter bestimmten Umständen einen ersatzfähigen immateriellen Schaden darstellen. Doch dies gilt nicht für ein „rein hypothetisches Risiko“ der missbräuchlichen Verwendung von Daten durch unbefugte Dritte.

Im vorliegenden Fall sah der BGH keine Anhaltspunkte für einen tatsächlichen „Kontrollverlust“ über die Daten. Die bloße theoretische Möglichkeit, dass die Faxe abgefangen werden könnten, reiche nicht aus, um einen ersatzfähigen Schaden zu begründen. Die vom Kläger dargelegten Gefahren für Leib und Leben seien in diesem Kontext lediglich als abstrakt und wenig wahrscheinlich einzustufen.

Auch die Auffassung der Vorinstanzen, der Schadensersatz diene auch dem Schutz vor zukünftigen Verstößen, wurde vom BGH zurückgewiesen. Der BGH betonte, dass der Schadensersatz nach Art. 82 DSGVO keine Straf-, sondern eine Ausgleichsfunktion hat.

Was bedeutet das für Unternehmer und Praxis?

Das Urteil stärkt die Position von datenverarbeitenden Stellen, also Unternehmen und Behörden. Es verdeutlicht, dass nicht jeder, noch so kleine, Datenschutzverstoß sofort zu einer Schadensersatzpflicht führt. Der bloße „Verlust der Kontrolle“ über Daten, der in manchen Fällen bereits als Schaden gewertet wird, liegt nicht automatisch vor, nur weil die Möglichkeit eines unberechtigten Zugriffs besteht.

Für die Geltendmachung eines Schadensersatzanspruchs nach der DSGVO ist es somit entscheidend, dass die betroffene Person konkrete, nachweisbare negative Folgen des Verstoßes darlegen kann. Eine rein spekulative Befürchtung reicht nicht aus.

Fazit

Das Urteil des BGH bringt eine dringend benötigte Rechtssicherheit für alle, die im Geschäftsleben oder in der Verwaltung mit personenbezogenen Daten arbeiten. Es zieht eine klare Linie zwischen einem tatsächlichen Schaden und einem bloß theoretischen Risiko. Dennoch bleibt die Einhaltung der DSGVO-Vorschriften von zentraler Bedeutung, da Verstöße weiterhin mit Bußgeldern geahndet werden können.

Gericht, Datum, Aktenzeichen:

Bundesgerichtshof, Urteil vom 13. Mai 2025 Az.: VI ZR 186/22

Datenschutz beim Einsatz externer Terminverwaltungs- und KI-Dienstleister – nicht nur für Ärzte relevant

Wolfgang Riegger

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 16. Juni 2025 ein Positionspapier zum datenschutzkonformen Einsatz externer Terminverwaltungsdienste veröffentlicht. Anlass war die zunehmende Auslagerung der Terminorganisation in Arzt- und Zahnarztpraxen. Die darin formulierten Anforderungen lassen sich jedoch in weiten Teilen auf andere Berufsgruppen wie Rechtsanwälte, Steuerberater, Architekten sowie Unternehmen übertragen, die personenbezogene Daten verarbeiten oder KI-gestützte Systeme nutzen.

Das Papier stellt klar, unter welchen Voraussetzungen die Beauftragung externer Anbieter zulässig ist und welche Pflichten bestehen.

Zulässigkeit der Beauftragung

Die Einbindung eines externen Dienstleisters zur Terminorganisation stellt regelmäßig eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO dar. Eine gesonderte Einwilligung der betroffenen Personen ist nicht erforderlich, sofern die Datenverarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen notwendig ist. Maßgeblich ist der Grundsatz der Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für die Organisation des jeweiligen Termins erforderlich sind.

Datenminimierung und Zweckbindung

Eine pauschale Übermittlung sämtlicher Stammdaten aller Mandanten oder Kunden ist unzulässig. Für die Terminvereinbarung erforderlich sind in der Regel Name, Kontaktdaten, Terminart und gegebenenfalls die Zuordnung zu einem konkreten Vorgang oder Aktenzeichen. Eine weitergehende Speicherung darf nur erfolgen, wenn sie für die Erfüllung gesetzlicher Aufbewahrungspflichten oder Dokumentationspflichten erforderlich ist.

Keine Nutzung zu eigenen Zwecken

Die vom Dienstleister verarbeiteten Daten dürfen ausschließlich im Rahmen des Auftrags und nach Weisung der verantwortlichen Stelle verwendet werden. Eine Nutzung zu eigenen Zwecken, etwa zur Profilbildung oder für Marketingmaßnahmen, ist unzulässig. Im Falle eines Verstoßes besteht für die verantwortliche Stelle die Pflicht, unverzüglich Maßnahmen zur Herstellung eines datenschutzkonformen Zustands zu treffen.

Erinnerungs- und Servicenachrichten

Die Versendung von Terminerinnerungen oder Servicehinweisen per SMS oder E-Mail stellt eine zusätzliche Verarbeitung dar, für die regelmäßig eine ausdrückliche Einwilligung der betroffenen Personen erforderlich ist. Diese Einwilligung sollte dokumentiert werden.

Löschung nach Zweckerfüllung

Nach Durchführung des Termins sind die erhobenen Daten grundsätzlich zeitnah zu löschen, soweit sie nicht in die Pflichtdokumentation übernommen werden. Die Einträge in einem Online-Terminkalender unterliegen in der Regel keiner gesonderten Aufbewahrungspflicht und sind daher nach Ablauf des Zwecks zu entfernen.

Technisch-organisatorische Maßnahmen

Verantwortliche müssen sicherstellen, dass geeignete technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Dazu zählen insbesondere eine verschlüsselte Datenübertragung, Zugriffsbeschränkungen, Protokollierung von Zugriffen, Mandantentrennung beim Anbieter sowie Maßnahmen zur Verfügbarkeit und Integrität der Systeme. Diese Vorkehrungen sind vertraglich festzulegen.

Besonderheiten bei KI-Assistenzsystemen und Cloud-Lösungen

Der Einsatz KI-gestützter Systeme oder cloudbasierter Terminverwaltungsdienste unterliegt denselben Vorgaben der Auftragsverarbeitung. Dabei ist zusätzlich zu prüfen, ob der Anbieter Daten in Drittstaaten verarbeitet. Ist dies der Fall, müssen geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen, beispielsweise Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission.

Informationspflichten

Nach Art. 13 DSGVO besteht die Pflicht, betroffene Personen transparent über die Datenverarbeitung zu informieren. Hierzu gehört insbesondere die namentliche Benennung des Dienstleisters, die Darstellung der Zwecke der Verarbeitung sowie der Rechtsgrundlagen und der Speicherdauer.

Übertragbarkeit auf andere Berufsgruppen

Die im Positionspapier beschriebenen Grundsätze gelten nicht nur für Arztpraxen, sondern in vergleichbarer Weise auch für andere Berufsgruppen mit besonderen Verschwiegenheitspflichten. Rechtsanwälte, Steuerberater, Wirtschaftsprüfer oder Architekten müssen bei der Nutzung von Terminportalen oder KI-Assistenzsystemen sicherstellen, dass Vertraulichkeit und Datenschutz jederzeit gewahrt bleiben. Die datenschutzrechtlichen Pflichten bestehen unabhängig von der Unternehmensgröße und auch dann, wenn moderne digitale Werkzeuge eingesetzt werden.

Fazit

Das aktuelle Positionspapier der Datenschutzkonferenz verdeutlicht die hohen Anforderungen an eine datenschutzkonforme Einbindung externer Dienstleister und KI-gestützter Systeme. Verantwortliche sollten bestehende Verträge, Prozesse und Informationspflichten prüfen und anpassen, um die rechtlichen Vorgaben umzusetzen und das Vertrauen der Mandanten, Kunden oder Patienten zu wahren.

Kein Schmerzensgeld für unerwünschte Werbe-E-Mail

Wolfgang Riegger

Der Bundesgerichtshof (BGH) hat mit Urteil vom 28. Januar 2025 (Az. VI ZR 109/23) entschieden, dass eine einzelne unerwünschte Werbe-E-Mail nicht ausreicht, um einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Damit wurde die Klage eines Verbrauchers auf Schmerzensgeld in Höhe von 500 Euro zurückgewiesen.

Sachverhalt

Der Kläger hatte im Januar 2019 beim Beklagten Aufkleber für seinen Briefkasten mit der Aufschrift „Betteln und Hausieren verboten“ erworben. Am 20. März 2020 erhielt er vom Beklagten eine Werbe-E-Mail, in der ihm weiterhin Dienstleistungen angeboten wurden. Daraufhin widersprach der Kläger der Nutzung seiner personenbezogenen Daten für Werbezwecke und forderte eine strafbewehrte Unterlassungserklärung sowie ein „Schmerzensgeld“ in Höhe von 500 Euro nach Art. 82 DSGVO.

Der Beklagte erkannte den Unterlassungsanspruch an, verweigerte jedoch die Zahlung des immateriellen Schadensersatzes. Das Amtsgericht Tuttlingen und das Landgericht Rottweil wiesen die Klage insoweit zurück. Der Kläger legte daraufhin Revision beim BGH ein.

Entscheidung des BGH

Der BGH wies die Revision des Klägers zurück und entschied, dass ein bloßer DSGVO-Verstoß allein nicht automatisch einen Anspruch auf immateriellen Schadensersatz auslöst. Ein Schaden muss konkret dargelegt werden.

  1. Kein genereller Anspruch bei Bagatellverstößen: Der EuGH hatte bereits klargestellt, dass es keine Erheblichkeitsschwelle gibt, ein immaterieller Schaden aber nachweisbar sein muss.
  2. Fehlende substantielle Darlegung eines Schadens: Der Kläger habe lediglich subjektive Unannehmlichkeiten beschrieben, aber keine nachweisbaren negativen Folgen erläutert.
  3. Kein Kontrollverlust über personenbezogene Daten: Da die E-Mail-Adresse des Klägers nicht an Dritte weitergegeben wurde, fehle es an einem relevanten Kontrollverlust.
  4. Hypothetische Befürchtungen reichen nicht aus: Eine bloße Sorge um einen möglichen Missbrauch personenbezogener Daten genügt nicht für die Annahme eines immateriellen Schadens.

Fazit

Das Urteil des BGH bestätigt, dass nicht jede ungewollte Nutzung personenbezogener Daten automatisch einen Entschädigungsanspruch nach der DSGVO auslöst. Wer Schadensersatz beansprucht, muss nachweisen, dass ihm ein spürbarer Nachteil entstanden ist. Dies dürfte insbesondere für Unternehmen von Bedeutung sein, die mit DSGVO-basierten Schadensersatzforderungen konfrontiert werden.

Das Urteil stellt eine Klarstellung für den Umgang mit unerwünschter Werbung per E-Mail dar und zeigt, dass nicht jede Datenschutzverletzung automatisch eine finanzielle Entschädigung nach sich zieht.

Ungültigkeit des sog. Privacy-Shield-Abkommens zwischen der EU und der USA: Was sind die Folgen?

Wolfgang Riegger

Das Urteil des EuGH zur Ungültigkeit des sog. Privacy-Shield-Abkommens zwischen der EU und der USA vom 16.07.2020, Az.: C-311/18, wurde in zahlreichen Medienberichten thematisiert. .

Nachdem dazu bereits auch Fragen bei mir eingegangen sind, das Wichtigste im Überblick:

Was ist das Privacy-Shield-Abkommen?

Dabei handelt es sich um eine Absprache zwischen der EU und der USA auf dem Gebiet des Datenschutzrechts, und zwar für die Übermittlung von personenbezogenen Daten aus der EU in die USA.

Kurz gesagt ging es darum, dass sich US-Unternehmen in eine Liste eintragen konnten und dadurch zusicherten, dass ein US-Unternehmen einen gewissen Mindestschutz für personenbezogene Daten auf Grundlage des EU-Datenschutzrechts einhält.

Wollte also ein Unternehmen aus der EU in die USA personenbezogene Daten übermitteln, musste das EU-Unternehmen lediglich prüfen, ob das US-Unternehmen in der Privacy-Shield-Liste eingetragen war. War dem der Fall, so sollte die Übermittlung der personenbezogenen Daten zulässig sein.

Was hat der EuGH entschieden?

Der EuGH hat den Beschluss der EU-Kommission zum Privacy-Shield-Abkommen für ungültig erklärt. Nach Auffassung des EuGH könne das Privacy-Shield-Abkommen kein nach EU-Recht angemessenes Datenschutzniveau gewährleisten, weil amerikanische Behörden zu weitreichende Befugnisse hätten, um auf die übermittelten personenbezogenen Daten aus der EU zuzugreifen.

Ist damit die Übermittlung personenbezogener Daten in die USA generell unzulässig?

Nein.

In seinem Urteil hat der EuGH nämlich auch entschieden, dass die sog. EU-Standardvertragsklauseln gültig seien.

Diese sog. EU-Standardvertragsklauseln gehen zurück auf einen Beschluss der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern. Zu diesen Drittländern gehört auch die USA.

Diesem Beschluss ist als Anhang ein Mustervertrag für Auftragsverarbeiter in diesen Drittländern beigefügt. Und diesen Standardvertrag hat der EuGH für gültig erklärt.

Daraus folgt:

Wer nun aus der EU in die USA personenbezogene Daten übermitteln möchte, muss nun mehr tun als zuvor vor dem EuGH-Urteil:

Es genügt nicht mehr zu prüfen, ob das US-Unternehmen, an das die Daten übermittelt werden sollen, dem Privacy-Shield-Abkommen beigetreten ist.

Es muss nun – am besten – der Mustervertrag der EU-Kommission für die Auftragsverarbeitung personenbezogener Daten verwendet werden, so dass das EU-Unternehmen mit dem US-Unternehmen explizit einen solchen Individualvertrag abschließen muss.

Dazu gibt es auch zwischenzeitlich eine Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.07.2020. Dabei betont die DSK, dass es nicht genüge, dass das EU-Unternehmen mit dem US-Unternehmen die EU-Standardvertragsklauseln verwende, sondern darüber hinaus auch eine individuelle Verantwortung des Unternehmens in der EU bestehe, so dass auch geprüft werden solle, ob diese Klauseln vom US-Unternehmen auch tatsächlich eingehalten und beachtet werden.

Nachtrag (25.08.2020):

Eine erste Orientierungshilfe einer deutschen Aufsichtsbehörde zum Thema internationaler Datentransfer kommt nun vom Landesdatenschutzbeauftragten von Baden-Württemberg.

Danach muss ein EU-Unternehmen, welches personenbezogene Daten in die USA übermittelt, nicht nur bei einem Vertragsschluss die oben genannten EU-Standardvertragsklauseln nutzen sondern auch prüfen, ob in den USA ein Zugriff auf die übermittelten Daten z.B. durch US Behörden nicht möglich ist.

In der Orientierungshilfe heißt es dazu:

„Der Verantwortliche muss hier zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen; dies wäre in folgenden Fällen denkbar:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann.“

Das würde vermutlich das faktische „Aus“ für die Übermittlung von personenenbezogenen Daten in die USA bedeuten.