BGH setzt Grenzen: Kein Schadensersatz bei abstrakten Datenschutzrisiken

Verfasst von Matthias S

20. August 2025

Der Bundesgerichtshof hat mit Urteil vom 13.05.2025 (Az.: VI ZR 186/22) entschieden, dass ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten nicht zu einer Entschädigung nach Art. 82 Abs. 1 DSGVO führt.

Sachverhalt

Der Kläger nahm eine Stadt (im Folgenden: Beklagte) auf Schadensersatz in Anspruch, weil diese in mehreren Verfahren gerichtliche Empfangsbekenntnisse unverschlüsselt per Telefax an das Verwaltungsgericht übermittelt hatte.

Die Dokumente enthielten u. a. den Namen des Klägers sowie Aktenzeichen. Der Kläger hatte bereits zuvor ausdrücklich verlangt, dass seine personenbezogenen Daten nicht unverschlüsselt übermittelt werden.

Er machte geltend, dass aufgrund seiner beruflichen Tätigkeit im Bereich explosionsgefährlicher Stoffe eine besondere Gefährdungslage bestehe. Durch die ungesicherte Fax-Übermittlung bestehe das Risiko, dass Dritte seine Daten abfangen und missbrauchen könnten. Er verlangte daher eine Geldentschädigung in Höhe von 17.500 €.

Die Beklagte argumentierte, es liege kein ersatzfähiger immaterieller Schaden vor. Ein bloß theoretisches Risiko könne keinen Anspruch auf Schadensersatz begründen.

Rechtliche Einordnung

Der BGH wies die Klage ab und stellte klar:

  • Ein bloßer Verstoß gegen die DSGVO genügt nicht.

  • Für einen Anspruch nach Art. 82 Abs. 1 DSGVO muss ein konkreter Schaden – materiell oder immateriell – nachgewiesen werden.

  • Ein rein hypothetisches Risiko (z. B. die Möglichkeit, dass ein Fax abgefangen werden könnte) reicht nicht aus.

Der BGH folgte damit der Rechtsprechung des EuGH (u. a. EuGH, Urt. v. 25.01.2024 – C-687/21; EuGH, Urt. v. 04.10.2024 – C-200/23), wonach zwar auch der Verlust der Kontrolle über personenbezogene Daten ein Schaden sein kann – jedoch nicht, wenn nur eine abstrakte Gefahr ohne konkrete negative Folgen vorliegt.

Zudem stellte der BGH klar, dass Art. 82 DSGVO keine Straf-, sondern Ausgleichsfunktion hat: Ein Anspruch auf Schadensersatz kann nicht mit dem Ziel begründet werden, zukünftige Datenschutzverstöße zu verhindern.

Fazit

Das Urteil setzt enge Grenzen für immateriellen Schadensersatz nach der DSGVO:

  • Nicht jeder Datenschutzverstoß löst automatisch einen Anspruch aus.

  • Erforderlich ist stets ein nachweisbarer immaterieller Schaden.

  • Abstrakte oder hypothetische Risiken genügen nicht.

Damit stärkt der BGH die Rechtssicherheit für datenverarbeitende Stellen: Haftung besteht nur, wenn Betroffene durch einen Datenschutzverstoß tatsächlich konkrete Nachteile erleiden.

 

 

Matthias S
Weiter

Gericht entscheidet erstmals über KI-Training mit Bildern