Der BGH präzisiert in einer aktuellen Entscheidung zu Art. 82 Abs. 1 DSGVO: Ein bloß hypothetisches Risiko des Missbrauchs personenbezogener Daten reicht nicht für einen immateriellen Schaden aus. Für Unternehmen eröffnet das bessere Abwehrchancen gegen standardisiert an sie adressierte Geldforderungen.
Problemaufriss
Immer häufiger werden Unternehmen von unterschiedlichen Personen mit pauschalen Behauptungen (wie z. B. „Kontrollverlust“ oder „erhebliche Verunsicherung“) oder Serienforderungen konfrontiert. Oft sind diese gestützt auf Formulartexte, ohne belastbaren Nachweis eines erlittenen konkreten Schadens. Ziel der “Angreifer” ist nicht selten eine schnelle Vergleichszahlung. Das bindet Ressourcen und erzeugt Druck, obwohl die Rechtslage weniger eindeutig ist, als die Schreiben vermuten lassen.
Rechtlicher Rahmen: Art. 82 DSGVO
Die Datenschutz-Grundverordnung räumt betroffenen Personen im Falle eines Datenschutzverstoßes das Recht ein, vom Verantwortlichen Ersatz für die durch die rechtswidrige Verarbeitung ihrer personenbezogenen Daten entstandenen Schäden zu verlangen. Art. 82 DSGVO gewährt Schadensersatz jedoch nur bei konkretem, nachvollziehbar dargelegtem Schaden.
Betroffene müssen den Verstoß, den erlittenen Schaden und die Kausalität zwischen Verstoß und Schaden nachvollziehbar geltend machen. Zugleich trifft den Verantwortlichen im Rahmen einer Klage nach Art. 82 DSGVO die Darlegungs- und Beweislast, dass seine technischen und organisatorischen Maßnahmen nach Art. 5 Abs. 2 DSGVO geeignet waren – hier entscheidet belastbare Dokumentation oft den Fall.
Im Massengeschäft kann § 242 BGB (Rechtsmissbrauch) offenkundig zweckwidrige Serienforderungen bremsen (wie etwa bei der Google-Fonts-Abmahnwelle durch LG München I, Urt. v. 30.03.2023 – 4 O 13063/22). Es handelt sich dabei aber eher um eine Einzelfallenscheidung. Eine Sachprüfung zu Verstoß, Schaden und Kausalität bleibt daher unverzichtbar.
Das Urteil des BGH – Kernaussagen
BGH, Urt. v. 13.05.2025 – VI ZR 186/22
Der Kläger rügte, die beklagte Stadt habe in den Jahren 2019 und 2020 sieben Empfangsbekenntnisse in einem Klageverfahren unverschlüsselt per Fax an das Verwaltungsgericht übersandt. Die Faxe enthielten seinen Nachnamen, die Parteibezeichnung sowie Gerichts- und Behördenaktenzeichen. Eine Privatanschrift war nicht enthalten. Bereits 2015 hatte der Kläger unverschlüsselten Übermittlungen widersprochen. Die Stadt sagte 2016 zu, dies zu beachten. 2017 wurde dennoch ein weiteres Fax unverschlüsselt versandt. Es enthielt Name, Anschrift und Fahrzeugdaten des Klägers. Das Verwaltungsgericht bewertete diesen Versand 2019 als rechtswidrig. Die Berufung wurde 2020 nicht zugelassen. Auf dieser Grundlage verlangte der Kläger 17.500 € immateriellen Schadensersatz nach Art. 82 DSGVO. Er machte eine erhöhte Gefährdung seiner Person geltend, da er mit explosionsgefährlichen Stoffen handle und Entführung oder Raub befürchte. Außerdem könnten Faxe abgefangen und zur Ermittlung weiterer personenbezogener Daten genutzt werden. Aus seiner Sicht seien daher nur verschlüsselte oder postalische Übermittlungen zulässig.
Der BGH wies die Klage – anders als die Vorinstanz – mit folgender Begründung ab: “Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung gemäß Art. 82 Abs. 1 DSGVO führen.”
Damit ein Anspruch besteht, müsse ein konkreter Schaden entstanden sein, der auf den Datenschutzverstoß zurückzuführen sei. Eine Schadensvermutung bestehe dabei nicht.
Bloße Befürchtungen – etwa ein möglicher künftiger Datenmissbrauch – begründen nur dann einen immateriellen Schaden, wenn sie den Umständen nach objektiv nachvollziehbar sind. Ein rein hypothetisches Risiko reicht daher nicht. Ein „Kontrollverlust“ liegt insbesondere nicht schon deshalb vor, weil eine „unsichere Übermittlung theoretisch abgefangen werden könnte“, so der BGH. Insgesamt hat Art. 82 Abs. 1 DSGVO daher eine Ausgleichs-, keine Sanktionsfunktion. Reine Präventions- oder Abschreckungserwägungen tragen den Anspruch daher nicht.
Der BGH schärft damit seine jüngere Rechtsprechung im Lichte der EuGH-Vorgaben und zieht eine Linie gegen pauschale Schmerzensgeldforderungen ohne nachgewiesene, spürbare Beeinträchtigung.
Praktische Folgen für Unternehmen
- Größere Chancen in der Abwehr: Standardisierte Forderungen mit nur abstrakten Gefährdungsszenarien sind besser abwehrbar. Nachzuweisen sind konkrete Nachteile oder eine belegte, begründete Furcht – nicht die bloß abstrakte Möglichkeit.
- Risiken bleiben: Ein nachweisbarer Kontrollverlust (z. B. tatsächliche Veröffentlichung der personenbezogenen Daten im Netz) oder die dokumentierte psychische Belastung mit Bezug zum Verstoß können weiterhin ersatzfähig sein.
- Prozessökonomie: Gute Dokumentation & Datenschutzmanagement reduziert den Vergleichsdruck und stärkt die Verteidigungsoptionen.
Vorsorge ist besser als Nachsorge:
Wir unterstützen Sie dabei, ihr Datenschutzmanagement sauber aufzusetzen (u.a. Verzeichnis von Verarbeitungstätigkeiten, Prozesse, Schulungen, Datenschutzinformationen und Policies).Das Urteil verschiebt die Gewichte spürbar zugunsten sauber arbeitender Unternehmen: Ohne konkreten, begründeten Schaden ist auch kein Geld nach Art. 82 Abs. 1 DSGVO zu zahlen. Wer Prävention und Beweisführung im Griff hat, wehrt Serienforderungen effizient ab – KREMER LEGAL unterstützt Sie dabei, auf Wunsch auch anhand automatisierter und individualisierter Legal Tech Tools.
Autoren: Heiko Schöning und Dante Browder