Mit seinem Urteil vom 13.05.2025 (Az. VI ZR 186/22) hat der Bundesgerichtshof (BGH) die Anforderungen an einen Schadensersatzanspruch nach Art. 82 DSGVO weiter präzisiert und dabei die Schwelle für einen immateriellen Schaden deutlich gemacht. Im Mittelpunkt stand die Frage, ob die wiederholte unverschlüsselte Faxübermittlung von Empfangsbekenntnissen durch eine Behörde einen ersatzfähigen Schaden darstellt.
Was war geschehen?
Der Kläger verlangt von der beklagten Stadt eine Geldentschädigung wegen mehrfacher unverschlüsselter Faxübermittlungen personenbezogener Daten. Im Jahr 2015 hatte der Kläger der unverschlüsselten Datenübermittlung widersprochen, woraufhin die Stadt bestätigte, dass mit den personenbezogenen Daten des Klägers nach den datenschutzrechtlichen Vorgaben umgegangen werde. Die personenbezogenen Daten des Klägers würden nicht auf unverschlüsseltem elektronischem Wege übermittelt.
Im Februar 2017 übermittelte die Stadt dennoch unverschlüsselt per Fax einen Bescheid mit personenbezogenen Daten des Klägers an ihren Prozessbevollmächtigten. Dieser Bescheid enthielt unter anderem den vollständigen Namen und die Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer. Diese Übermittlung wurde später vom Verwaltungsgericht als rechtswidrig eingestuft. Das Oberverwaltungsgericht wies den Antrag der Beklagten auf Zulassung der Berufung gegen die Entscheidung des Verwaltungsgerichts mit Beschluss vom 22. Juli 2020 zurück.
Im Rahmen weiterer Rechtsstreitigkeiten versandte die Stadt zwischen April 2019 und Dezember 2020 sieben Empfangsbekenntnisse per unverschlüsseltem Fax an das Verwaltungsgericht. Diese enthielten lediglich den Nachnamen des Klägers und Aktenzeichen.
Der Kläger sieht in der Versendung der Empfangsbekenntnisse eine datenschutzrechtlich unzulässige Verarbeitung und fordert 17.500 € Schadensersatz (7 × 2.500 €), da er aufgrund seiner beruflichen Tätigkeit mit explosionsgefährlichen Stoffen besonderen Gefahren ausgesetzt sei. Es bestehe die Gefahr, dass Dritte ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen könnten.
Das Landgericht sprach ihm 7.000 € zu, wies die weitergehende Klage ab. Das Oberlandesgericht bestätigte diese Entscheidung. Beide Parteien legten Revision ein.
Entscheidung des BGH
Der BGH verneinte einen Schadensersatzanspruch, wies die Klage des Klägers insgesamt ab und auch dessen Revision zurück.
Kein Schadensersatz bei rein hypothetischem Risiko
Der bloße Verstoß gegen die Datenschutzgrundverordnung reicht nicht aus, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen „Schadens“ stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die Datenschutzgrundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind, so der BGH. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. BGH, VI ZR 186/22, Rn. 26).
Der BGH stellt in dem Urteil klar, dass ein Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO einen tatsächlichen, spürbaren Schaden voraussetzt. Ein solcher Schaden könne aber nicht allein aufgrund des Eintritts eines Verstoßes vermutet werden. Insbesondere muss eine Person, die von einem Verstoß gegen die Datenschutzgrundverordnung betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen. Ein bloß hypothetisches Risiko – etwa die abstrakte Möglichkeit, dass ein Fax abgefangen wird – genügt hierfür nicht. Hierbei verweist der BGH auch auf die Rechtsprechung des EuGH (vgl. BGH, VI ZR 186/22, Rn. 29).
Nach der EuGH-Rechtsprechung kann ein immaterieller Schaden auch im Verlust der Kontrolle über personenbezogene Daten liegen. Allerdings muss die Befürchtung einer missbräuchlichen Verwendung begründet sein. Bloße hypothetische Risiken genügen nicht. (vgl. EuGH, Urteil vom 4. Oktober 2024 – C-200/23)
Nach Ansicht des BGH war im konkreten Fall die Wahrscheinlichkeit eines unbefugten Zugriffs äußerst gering. Ein Kontrollverlust ist nicht allein darin zu sehen, dass ein Zugriff theoretisch möglich war. Vielmehr muss ein tatsächlicher Verlust der Hoheit über die Daten nachgewiesen werden. Die Befürchtung des Klägers bleibt nach Ansicht des BGH hypothetisch und reicht für einen Schadensersatzanspruch nicht aus. Der Kläger berief sich auf eine abstrakte Gefahr durch seine berufliche Tätigkeit. Der BGH sieht darin jedoch keine konkrete, begründete Befürchtung, sondern ein hypothetisches Risiko. Die polizeiliche Gefährdungseinschätzung ergab zudem nur eine abstrakte Gefahr, keine konkrete Bedrohung (vgl. BGH, VI ZR 186/22, Rn. 32,33).
Keine Präventivfunktion des Art. 82 DSGVO
Unter dem Verweis auf die Rechtsprechung des EuGH (EuGH, Urteil vom 21.12.2023 – C-667/2, wir berichteten; EuGH, Urteil vom 20.6.2024 – C-182/22 und C-189/22) stellt der BGH erneut klar, dass Art. 82 DSGVO dem Ausgleich eingetretener Schäden und nicht der Prävention zukünftiger Verstöße diene (vgl. BGH, VI ZR 186/22, Rn. 35).
Keine Entscheidung zur Rechtswidrigkeit der Faxübermittlung
Der BGH ließ in seinem Urteil offen, ob die unverschlüsselte Faxübermittlung der Empfangsbekenntnisse (2019–2020) gegen die DSGVO verstieß. Entscheidend war vorliegend allein, dass der Kläger keinen immateriellen Schaden dargelegt hatte.
Auswirkungen
Die Schwelle für einen immateriellen Schaden wird durch den BGH deutlich angehoben. Verantwortliche können sich darauf berufen, dass ein bloß hypothetisches Risiko nicht genügt.