Kein DSGVO-Schadensersatz bei nur hypothetischem Risiko

Datenschutzverstöße sind ernst. Aber nicht jeder Verstoß führt automatisch zu Geld. Das hat der Bundesgerichtshof (BGH) mit Urteil vom 13.05.2025 (VI ZR 186/22) unmissverständlich klargestellt: Ein rein hypothetisches Risiko eines künftigen Datenmissbrauchs genügt nicht für eine Entschädigung nach Art. 82 DSGVO. Entscheidend bleibt, ob Sie einen echten, konkreten Schaden darlegen können.

Worum ging es konkret? Der Sachverhalt – Schritt für Schritt

Ein Unternehmer, der sprengstoffhaltige Produkte vor allem an staatliche Sicherheitsbehörden liefert, hatte die beklagte Stadt schon Jahre zuvor ausdrücklich angewiesen, seine personenbezogenen Daten nicht unverschlüsselt zu übermitteln. Die Stadt bestätigte schriftlich, sich daran zu halten.

Trotzdem verschickte die Stadt in späteren verwaltungsgerichtlichen Verfahren mehrfach gerichtliche Empfangsbekenntnisse per unverschlüsseltem Fax an das Verwaltungsgericht. Inhalt dieser Faxe: der Nachname des Klägers, die Bezeichnung der Parteien („in der Verwaltungsstreitsache …“), das gerichtliche Aktenzeichen und ein behördliches Aktenzeichen. Eine Adresse oder sensible Detaildaten enthielten die Empfangsbekenntnisse nicht; sie ließen allenfalls Rückschlüsse zu, wenn weitere, nicht allgemein zugängliche Informationen hinzugezogen würden.

Der Kläger argumentierte, gerade in seinem sensiblen Geschäftsbereich bestehe ein erhöhtes Risiko. Ein abgefangenes Fax könne Dritten ermöglichen, über Aktenzeichen weitere Daten zu beschaffen; daraus drohe – so die Befürchtung – eine Gefahr für Leib und Leben, etwa durch Entführung oder Raub. Er verlangte deshalb 17.500 € Schadensersatz (7 Vorgänge à 2.500 €) nach Art. 82 DSGVO.

Der rechtliche Rahmen: Was verlangt Art. 82 DSGVO?

Art. 82 DSGVO gewährt Schadensersatz bei Verstößen gegen die Verordnung, und zwar für materielle und immaterielle Schäden. Ausreichend ist nicht der Verstoß an sich, sondern der Verstoß muss bei Ihnen einen Schaden verursacht haben. Für immaterielle Schäden (z. B. Angst, Stress, Kontrollverlust) gilt: Sie können ersatzfähig sein, aber sie müssen greifbar, plausibel und nachvollziehbar dargelegt werden. Reine Unmutsgefühle oder abstrakte Befürchtungen reichen nicht.

Wichtig ist außerdem die Trennlinie zur Durchsetzung anderer Datenschutzrechte: Art. 82 DSGVO dient dem Ausgleich eines konkreten Schadens – nicht der Bestrafung des Verantwortlichen und nicht der generalpräventiven Abschreckung. Für Sanktionen gibt es das behördliche Bußgeldsystem, für Unterlassung künftiger Verstöße z. B. aufsichtsbehördliche Maßnahmen oder zivilrechtliche Unterlassungsansprüche.

Die Kernbotschaft des BGH

Der BGH formuliert den Leitsatz in aller Klarheit: Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung nach Art. 82 Abs. 1 DSGVO führen.

Das Gericht betont drei Punkte:

1. Bloßer DSGVO-Verstoß genügt nicht. Selbst wenn man einen Datenschutzverstoß unterstellt, entsteht daraus noch kein Automatismus „Verstoß = Geld“. Es braucht den Nachweis eines Schadens.
2. Kein Schaden ohne greifbare Folgen. Die bloße Möglichkeit, dass ein Fax abgefangen werden könnte, ist zu wenig. Es fehlte jeder Anhaltspunkt, dass tatsächlich jemand unbefugt Einsicht nahm oder die Daten missbrauchte, oder dass konkrete negative Folgen eintraten.
3. Kontrollverlust ist nicht schon die theoretische Abfangmöglichkeit. Ein „Kontrollverlust“ über Daten kann zwar einen immateriellen Schaden begründen. Aber der BGH stellt klar: Dass eine unverschlüsselte Übermittlung das Abfangen theoretisch erleichtert, reicht nicht, um allein daraus einen kontrollverlustbedingten Schaden herzuleiten. Andernfalls hätte die Schadensvoraussetzung in solchen Konstellationen keine eigenständige Bedeutung mehr.

Entscheidungsgründe im Detail

Der BGH geht den Prüfungsweg sauber ab:

• Tatbestand und Datenumfang: Übermittelt wurden siebenmal lediglich Empfangsbekenntnisse mit Nachnamen und Aktenzeichen, ohne Wohnanschrift. Ein Rückschluss auf die Privatadresse wäre – wenn überhaupt – nur über weitere, nicht allgemein zugängliche Informationen möglich.
• Gefährdungslage: Die Polizei hatte die Gefährdung des Klägers als „abstrakt“ eingestuft. Eine konkrete Gefahr war nicht erkennbar. Die Wahrscheinlichkeit eines unbefugten Zugriffs und daraus erwachsender konkreter Gefährdungen ist äußerst gering.
• Kein immaterieller Schaden: Der Kläger trug keine nachweisbaren Folgen vor. Seine Befürchtungen blieben theoretisch. Auch ein „Kontrollverlust“ wurde nicht tragfähig dargelegt; allein die Möglichkeit eines leichteren Zugriffs ist kein Schaden.
• Kein Sanktionsersatz über Art. 82 DSGVO: Die Argumentation, ein Geldanspruch müsse schon aus generalpräventiven Gründen zuerkannt werden, weist der BGH zurück. Art. 82 gleicht aus, er bestraft nicht.
• Offenlassen eines etwaigen Verstoßes: Bemerkenswert ist, dass der BGH offenlässt, ob die konkrete Faxübersendung tatsächlich gegen die DSGVO verstieß. Das ist prozessökonomisch: Selbst wenn ein Verstoß vorläge, fehlte es am Schaden – die Klage scheitert also in jedem Fall.
• Prozessualer Rahmen und Tenor: Der BGH hob die Entscheidungen von LG und OLG im Umfang der Verurteilung auf und wies die Klage insgesamt ab. Der Kläger trägt die Kosten des Rechtsstreits.

Einordnung in die jüngere Rechtsprechung

Das Urteil fügt sich in die Linie ein, wonach ein immaterieller Schaden zwar weit verstanden werden kann, aber konkret dargelegt werden muss. Der BGH verweist – im Kontext seiner Begründung – auf die maßgebliche europarechtliche Vorgabe: Die bloße Behauptung einer Befürchtung reicht nicht. Ein „Kontrollverlust“ ist denkbar, verlangt aber greifbare Umstände, die über eine rein theoretische Möglichkeit hinausgehen.

Damit präzisiert der BGH zugleich die Abgrenzung zu Fallgruppen, in denen immaterieller Schaden eher nahe liegt, etwa bei Datenpannen mit tatsächlicher Kenntnisnahme Dritter oder bei einer Veröffentlichung im Internet, bei der die Daten faktisch der Öffentlichkeit zugänglich sind. In solchen Konstellationen können sich Kontrollverlust und spürbare Beeinträchtigungen anders darstellen. Im Fax-Fall blieb es jedoch bei der bloßen Möglichkeit.

Was heißt das für Betroffene?

Wenn Sie Schadensersatz nach Art. 82 DSGVO geltend machen wollen, sollten Sie:

• Konkrete Auswirkungen dokumentieren: Haben Sie messbare Folgen erlebt? Etwa Ablehnung einer Leistung, Rufschaden, psychische Belastung mit ärztlicher Bescheinigung, Kosten, Zeitaufwand? Je konkreter, desto besser.
• Kontrollverlust substantiiert darlegen: Reichte die Verarbeitung tatsächlich dazu, dass Dritte Ihre Daten zur Kenntnis nahmen oder dass Sie die Hoheit über Ihre Daten faktisch verloren? Wo sind die Anhaltspunkte dafür?
• Kausalität herstellen: Zeigen Sie, dass gerade der Verstoß die Folgen verursacht hat.
• Nicht nur abstrakte Befürchtungen vortragen: Allgemeine Angst vor einem „Vielleicht-irgendwann“ überzeugt die Gerichte nicht.

Tipp: Häufig ist es strategisch klüger, zunächst Auskunfts- und Unterlassungsansprüche sowie behördliche Schritte (Datenschutzaufsicht) zu verfolgen und den Schadensersatzanspruch belastbar vorzubereiten, statt ihn sofort „ins Blaue hinein“ zu beziffern.

Was heißt das für Unternehmen und Behörden?

• Compliance bleibt Pflicht: Das Urteil ist kein Freifahrtschein. Technische und organisatorische Maßnahmen (TOMs) sind einzuhalten. Verstöße können Bußgelder, aufsichtsbehördliche Maßnahmen und Unterlassungsansprüche nach sich ziehen.
• Dokumentation schützt: Weisen Sie Entscheidungswege nach (z. B. warum welcher Kommunikationsweg gewählt wurde). Klare Richtlinien zu E-Mail-/Fax-Nutzung, Verschlüsselung und Alternativen (z. B. Post, EGVP, beBPo) minimieren Risiken.
• Schadensersatzrisiken realistischer einschätzen: Ohne konkrete Nachteile auf Betroffenenseite sind hohe immaterielle Forderungen schwer durchsetzbar. Umgekehrt steigen die Risiken massiv, wenn Daten tatsächlich in falsche Hände geraten oder veröffentlicht werden.
• Reaktionsroutine bei Vorfällen: Meldeketten, schnelle Ursachenanalyse, Betroffeneninformation und Abhilfe mindern Schäden und Haftungsrisiken.

Praxis-Checkliste

Für Betroffene, die Schadensersatz verlangen wollen:

• Liegt mehr vor als ein abstraktes Risiko?
• Welche belastbaren Anzeichen für Kenntnisnahme/Missbrauch Dritter gibt es?
• Welche konkreten (auch immateriellen) Folgen kann ich belegen?
• Wie stelle ich die Kausalität zum Verstoß dar?
• Welche flankierenden Ansprüche (Auskunft, Unterlassung, Löschung) setze ich parallel durch?

Für Verantwortliche/Behörden:

• Ist der gewählte Übermittlungsweg datenschutzkonform und erforderlich?
• Gibt es risikoadäquate Alternativen (Verschlüsselung, Post, sichere Leitungen/Portale)?
• Ist die Gefährdungslage der betroffenen Person berücksichtigt und dokumentiert?
• Sind Mitarbeitende zu „No-Go’s“ bei unverschlüsselter Kommunikation geschult?
• Ist ein Incident-Response-Plan vorhanden und aktuell?

Fazit

Das BGH-Urteil bringt dringend benötigte Klarheit: Für Geldentschädigung nach Art. 82 DSGVO genügt kein „Was-wäre-wenn“. Wer Schadensersatz will, muss greifbare Nachteile oder einen tragfähigen Kontrollverlust darlegen. Für Verantwortliche bedeutet das: Verlässliche Datenschutz-Compliance bleibt Pflicht – aber pauschale Forderungen ohne Substanz haben deutlich schlechtere Karten.

Wenn Sie prüfen möchten, ob Ihr Fall die Schwelle vom bloßen Risiko zum echten Schaden überschreitet, unterstützen wir Sie gerne mit einer Ersteinschätzung und einer klaren Prozessstrategie.