Der BGH hat mit Urteil vom 13.05.2025 entschieden, dass ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten keinen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO begründet.
Dem Verfahren lag der Fall eines Unternehmers zugrunde, der der Stadt ausdrücklich untersagt hatte, seine personenbezogenen Daten unverschlüsselt zu übermitteln. Dennoch versandte die Behörde mehrfach gerichtliche Empfangsbekenntnisse per unverschlüsseltem Fax an ein Verwaltungsgericht. Diese enthielten unter anderem seinen Namen sowie Aktenzeichen. Der Kläger, der in einem sicherheitssensiblen Bereich tätig war, sah darin ein Sicherheitsrisiko und verlangte 17.500 EUR DSGVO-Schadensersatz.
Während das LG Osnabrück zunächst 7.000 EUR zusprach und das OLG Oldenburg die Berufung zurückwies, hob der BGH die Vorinstanzen nun auf und wies die Klage insgesamt ab.
Nach Auffassung des Gerichts reicht ein DSGVO-Verstoß allein nicht für einen Schadensersatzanspruch aus. Vielmehr müsse ein tatsächlicher, nachweisbarer Schaden entstanden sein. Das vom Kläger behauptete Risiko sei rein hypothetisch gewesen. Es habe keine konkreten Anhaltspunkte dafür gegeben, dass das Fax abgefangen oder missbräuchlich verwendet worden sei. Auch seien keinerlei konkrete negative Folgen erkennbar gewesen.
Fazit:
Der BGH stellt klar, dass ein Schadensersatzanspruch nach der DSGVO einen realen, belegbaren Schaden voraussetzt. Ein bloßer Datenschutzverstoß genügt ebenso wenig wie ein rein theoretisches Missbrauchsrisiko. Die Entscheidung dürfte erhebliche Auswirkungen auf die Praxis der Geltendmachung von DSGVO-Schäden haben, was leider nach wie vor häufig verkannt wird.
