Der Bundesgerichtshof (BGH) hat am 13.05.2025 (VI ZR 186/22) entschieden, dass ein ausschließlich hypothetisches Risiko einer missbräuchlichen Verwendung personenbezogener Daten durch Dritte keinen Schadensersatz nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) begründet.
Weiterlesen: BGH: Hypothetisches Risiko begründet keinen SchadensersatzZugrundeliegender Sachverhalt
Der Kläger hatte eine Stadt mehrfach ausdrücklich darauf hingewiesen, dass er keine unverschlüsselte elektronische Übermittlung seiner personenbezogenen Daten wünscht. Vielmehr bevorzugt er eine Versendung per Post. Die Stadt bestätigte ihm daraufhin, dass mit seinen personenbezogenen Daten datenschutzkonform umgegangen würde. Einen daraufhin versandten unverschlüsselten Bescheid, erklärte das Verwaltungsgericht im Januar 2019 für rechtswidrig. Dennoch versandte die Stadt zwischen April 2019 und Dezember 2020 insgesamt sieben weitere Empfangsbekenntnisse per unverschlüsseltem Fax an das Verwaltungsgericht. Diese Faxe enthielten erneut unter anderem den Nachnamen des Klägers sowie Aktenzeichen.
Der Kläger sah darin eine erhebliche Gefahr für seine Sicherheit, da er mit seiner Firma explosionsgefährliche Stoffe an staatliche Sicherheitsbehörden liefert und es in der Vergangenheit bereits zu Einbruchsversuchen auf seine Lagerstätten gekommen war. Er fürchte, dass Kriminelle bei Erlangung der Daten Rückschlüsse auf ihn ziehen könnten, was aufgrund möglicher Entführung durch Erlangung der Stoffe eine Gefahr für sein Leib und Leben sei. Er verlangte deshalb aufgrund von Datenschutzverletzungen immateriellen Schadensersatz in Höhe von insgesamt 17.500 Euro, also 2.500 Euro je unverschlüsselt versendetes Schreiben.
Entscheidungen der Vorinstanzen
Das Landgericht Osnabrück sprach dem Kläger 7.000 Euro Schadensersatz zu, was pro versendetes Fax einen Betrag von 1.000 Euro entspricht. Das Oberlandesgericht Oldenburg bestätigte dieses Urteil und sah in der Versendung der Nachrichten ebenfalls eine rechtswidrige Datenverarbeitung. Insbesondere handle es sich bei dem Postversand nur um einen geringen Mehraufwand für die beklagte Stadt. Der immaterielle Schaden ergebe sich aus der abstrakten Gefahr von Straftaten zulasten des Klägers. Für den Kläger sei es insbesondere nicht hinzunehmen, abwarten zu müssen, bis eine konkrete Gefahr eintrete.
Rechtliche Bewertung durch den BGH
Der BGH empfand das Urteil des Berufungsgerichts als rechtsfehlerhaft und verneint einen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO. Ob tatsächlich eine Datenschutzverletzung vorliegt, entscheidet der BGH in seinem Urteil nicht. Maßgeblich sei lediglich, dass der Kläger nicht dargelegt habe, dass tatsächlich ein materieller oder immaterieller Schaden eingetreten ist. Ein solcher ergebe sich nicht schon aus der Datenschutzverletzung selbst. Das bloße Risiko eines möglichen künftigen Missbrauchs genüge ebenfalls nicht. Eine abstrakte Gefahr, die sich allein aus der Art der Datenübermittlung ergebe, ohne dass eine konkrete Beeinträchtigung festgestellt werden könne, erfülle den Tatbestand nicht.
Hier hatte sich der Kläger auf die (wenn hinreichend dargelegt, ausreichende) Befürchtung gestützt, dass seine Daten missbräuchlich verwendet werden könnten. Dann sei zu prüfen, ob diese Befürchtung aufgrund der Umstände des Falls als begründet angesehen werden können. Das verneint hier der BGH, da sich aus dem Vorbringen kein Kontrollverlust ergebe, der eine solche Befürchtung hätte begründen können. Im Übrigen stellt der BGH auch fest, dass die Wahrscheinlichkeit eines Zugriffs auf die Daten „äußerst gering“ sei.
Bedeutung für die Praxis
Das Urteil verdeutlicht, dass nicht jede Datenschutzverletzung automatisch einen Anspruch auf immateriellen Schadensersatz nach der DSGVO auslöst. Unternehmen und Behörden müssen zwar weiterhin datenschutzrechtliche Vorgaben strikt einhalten, doch für Schadensersatzklagen reicht der bloße Verweis auf eine abstrakte Gefährdung nicht aus. Erforderlich ist vielmehr ein konkret nachweisbarer Schaden, der über die bloße Möglichkeit einer Beeinträchtigung hinausgeht.
Fazit
Mit seinem Urteil hat der BGH entschieden, dass ein hypothetisches Risiko noch keinen immateriellen Schadensersatz begründet. Damit folgt er der Linie des EuGH, nach der ein tatsächlicher Schaden, auch wenn er immateriell ist, hinreichend darzulegen ist. Insofern bringt das Urteil für datenverarbeitende Organisationen eine weitere wichtige Klarstellung und sorgt dafür, dass die Voraussetzungen des immateriellen Schadensersatzes konkretisiert werden. Allein die abstrakte Möglichkeit eines künftigen Missbrauchs personenbezogener Daten genügt nicht.
