Bei DSGVO-Verletzungen automatisch Schadensersatz?

Nein, auf keinen Fall! Das zeigen zwei aktuelle BGH-Urteile

Martin Bahr

Dr. Bahr ist Rechtsanwalt in Hamburg und auf das Recht der Neuen Medien und den gewerblichen Rechtsschutz (Marken-, Urheber- und Wettbewerbsrecht) spezialisiert. Neben der reinen juristischen Qualifikation besitzt er ausgezeichnete Kenntnisse im Soft- und Hardware-Bereich. Unter Law-Podcasting.de betreibt er seit 2006 einen eigenen Podcast und unter Law-Vodcast.de einen Video-Vodcast.

Mehr von diesem Autor Artikel als PDF laden

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) ist umstritten, ob dem von einer Datenschutzverletzung Betroffenen quasi automatisch ein Anspruch auf immateriellen Schadensersatz zusteht oder ob es nicht vielmehr weiterer Voraussetzungen bedarf, damit ein Schadensersatzanspruch überhaupt begründet ist. Zwar sind längst nicht alle Fragen in diesem Zusammenhang höchstrichterlich abschließend geklärt. Mehrere aktuelle höchstrichterliche Entscheidungen schaffen jedoch eine erste rechtssichere Grundlage, um sich erfolgreich gegen überhöhte DSGVO-Forderungen zur Wehr zu setzen.

1. Auch subjektive, immaterielle Einbußen fallen unter den Schadensbegriff

Die ersten beiden wichtigen Entscheidungen, die hier zu nennen sind, stammen vom Europäischen Gerichtshof (EuGH) und sind beide im Dezember 2024 ergangen.

a. Auch immaterielle Schäden

Im ersten Urteil stellt der EuGH¹ klar, dass bereits die Befürchtung eines möglichen Missbrauchs personenbezogener Daten einen immateriellen Schaden darstellen kann.

Im Urteil stellen die Richter fest:

„Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen ‚immateriellen Schaden‘ darstellen.“

Der EuGH stellt jedoch ausdrücklich fest, dass eine Beeinträchtigung nur dann vorliegt, wenn die Befürchtung aufgrund nachvollziehbarer Umstände auch gerechtfertigt ist.

„Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen […].

Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“

Es reicht also nicht aus, dass der Betroffene lediglich pauschal Schadensersatz verlangt, sondern er muss ganz konkrete Umstände darlegen, die ihn aus Sicht eines verständigen Dritten zu einer solchen Befürchtung veranlassen.

War zum Beispiel eine betroffene E-Mail-Adresse schon einmal Teil eines Datenlecks, kann der Betroffene bei einer erneuten Verletzung keine hinreichende Besorgnis mehr haben.² Ein Schadensersatzanspruch besteht dann nicht.

In der zweiten Entscheidung bekräftigt der EuGH³ seine Auffassung und stellt noch einmal ausdrücklich klar, dass auch rein subjektive Beeinträchtigungen einen Entschädigungsanspruch auslösen können. Aber auch hier betonen die Richter, dass der Betroffene einen tatsächlichen Schaden nachweisen muss:

„Unter diesen Umständen steht zwar nichts dem entgegen, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen ‚immateriellen Schaden‘ im Sinne von Art. 82 Abs. 1 DSGVO zufügen können, der zum Schadenersatz berechtigt, doch müssen diese Personen den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben.“

2. Bei bloßem Kontrollverlust in der Regel maximaler Schadensersatz von 100 Euro

Bundesweites Aufsehen erregte die Entscheidung des BGH von November 2024⁴. Dort hatte ein Verbraucher wegen des datenschutzwidrigen Scrapings bei Facebook geklagt und mehrere Tausend Euro Schadensersatz gefordert.

Der BGH bejahte zunächst, dass auch der sogenannte Kontrollverlust über die eigenen Daten einen Schadensersatz nach der DSGVO darstellt.

Sodann hat er ausgeführt, dass in Fällen, in denen keine besonderen Umstände vorliegen, die einen höheren Betrag rechtfertigen, der Schadensersatz maximal 100 Euro beträgt.

Aufgrund dieser Vorgaben hat inzwischen eine Vielzahl von Oberlandesgerichten ein Schmerzensgeld von maximal 100 Euro zugesprochen und darüber hinausgehende Ansprüche als unbegründet zurückgewiesen.

3. Selbst unberechtigter SCHUFA-Eintrag bringt „nur“ 500 Euro Schadensersatz

In dem Urteil aus dem Januar 2025⁵ ging es um einen unberechtigten SCHUFA-Eintrag.

Die Beklagte hatte mit der Klägerin, einem Telekommunikationsunternehmen, einen Mobilfunkvertrag geschlossen. Im Zusammenhang mit der Vertragsabwicklung kam es zu einer unberechtigten SCHUFA-Eintragung durch die Klägerin.

Im Rahmen der gerichtlichen Auseinandersetzung erhob die Beklagte Widerklage und verlangte 6.000 Euro Schadensersatz wegen des Verstoßes gegen die DSGVO. Die unberechtigte SCHUFA-Eintragung habe erhebliche Folgen gehabt. So sei ein Kredit bei ihrer Hausbank gestoppt worden. Auch sei zu befürchten, dass ihr künftig bei Online-Geschäften der Kauf auf Rechnung verweigert werde. Sie sei als zahlungsunfähige oder jedenfalls zahlungsunwillige Kundin stigmatisiert worden.

Die Vorinstanz, das OLG Koblenz, sprach trotz dieser Umstände nur ein Schmerzensgeld in Höhe von 500 Euro zu. Dagegen wandte sich die Betroffene mit der Begründung, dieser Betrag reiche nicht aus, um den ihr entstandenen Schaden auszugleichen.

Diesem Standpunkt erteilte der BGH eine klare Absage. Die 500 Euro seien vollkommen ausreichend. Eine höhere Entschädigung komme auch aufgrund des fehlenden Strafcharakters des DSGVO-Schadensersatzes nicht in Betracht. Die DSGVO habe nur den Zweck, die tatsächlich erlittenen Nachteile auszugleichen, und diene nicht der Bestrafung oder Abschreibung:

„Als immateriellen Schaden hat das Berufungsgericht zum einen die Weitergabe von personenbezogenen Daten der Beklagten an die SCHUFA, die im Rahmen etwaiger SCHUFA-Abfragen zu einem für eine unbekannte Zahl von Dritten einsehbaren Eintrag bei der SCHUFA zu Lasten der Beklagten führte, berücksichtigt […].

Die Revision hat weder geltend gemacht noch ist ersichtlich, dass der vom Berufungsgericht zuerkannte Betrag von 500 € nicht ausreichend wäre, um den immateriellen Schaden der Beklagten auszugleichen. Das Berufungsgericht hat bei der Bemessung des Schadensersatzes neben dem Kreis derjenigen, die Zugriff auf die personenbezogenen Daten der Klägerin bei der SCHUFA hatten, auch die Dauer des Eintrags und dessen Folgen für die Beklagte in den Blick genommen.“

Es ist wichtig, zu verstehen, dass der BGH nicht entschieden hat, dass solche Verstöße grundsätzlich einen Schadensersatz von 500 Euro auslösen.

Vielmehr ist das Urteil dahingehend zu verstehen, dass die 500 Euro in diesen Fällen die Obergrenze der Entschädigung darstellen. Nur in besonderen Einzelfällen, in denen schwerwiegendere Folgen eingetreten sind, kann ein höherer Betrag angemessen sein.

Im vorliegenden Verfahren war der BGH prozessual an den Betrag in Höhe von 500 Euro gebunden. Die Beklagte hatte nämlich Berufung eingelegt und einen höheren Betrag als die bereits vom OLG Koblenz zugesprochenen 500 Euro gefordert. Die Richter konnten daher nur über den 500 Euro übersteigenden Betrag entscheiden. Hinsichtlich der „unteren“ 500 Euro waren sie jedoch an das Urteil der Vorinstanz gebunden.

Es ist also falsch, wenn behauptet wird, der BGH habe 500 Euro Schadensersatz für einen unberechtigten SCHUFA-Eintrag zugesprochen. Dies hat das Gericht gerade nicht entschieden. Es sind bereits weitere Revisionsverfahren anhängig, in denen der BGH in Kürze auch über die genaue Höhe entscheiden wird.

4. Für unerwünschte Werbe-E-Mails gibt es gar keinen Schadensersatz

Im Januar 2025 war es so weit, dass der BGH⁶ eine wichtige, in der Praxis sehr umstrittene Frage beantwortet hat: Hat der Empfänger einer Werbe-E-Mail einen Anspruch auf DSGVO-Schadensersatz?

Inzwischen werden in den allermeisten anwaltlichen Abmahnungen wegen unerlaubter E-Mail-Werbung neben den Abmahnkosten pauschal einige Hundert Euro Schadensersatz für den vermeintlich Geschädigten geltend gemacht.

Diesem modernen Raubrittertum hat der BGH mit seinem Urteil einen Riegel vorgeschoben.

Mit deutlichen Worten stellt der BGH klar, dass es für Werbe-E-Mails grundsätzlich nichts gibt, weil es an der Beeinträchtigung fehlt.

Pauschal vorgetragene Befürchtungen reichen nicht aus:

„Die Befürchtung samt ihrer negativen Folgen muss dabei ordnungsgemäß nachgewiesen sein […]. Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten […].

Die Revision verweist hierzu auf Vortrag des Klägers, aus dem sich die Befürchtung ergebe, der Beklagte werde die E-Mail-Adresse des Klägers auch Dritten zugänglich machen, da er sie bereits unbefugt (gegenüber dem Kläger) verwendet habe. Damit legt der Kläger aber nur die – im Übrigen aus sich heraus nicht ohne Weiteres nachvollziehbare – Befürchtung weiterer Verstöße gegen die Datenschutz-Grundverordnung durch den Beklagten dar.“

Eine sehr wichtige Grundsatzentscheidung für die tägliche Praxis. Damit ist höchstrichterlich klargestellt, dass eine Spam-Mail grundsätzlich keinen Schadensersatzanspruch nach der DSGVO auslöst.

Seit Inkrafttreten der DSGVO wurden immer wieder solche pauschalen Ansprüche geltend gemacht. Mit dem vorliegenden Urteil des BGH wird dem ein Riegel vorgeschoben.

^{1. EuGH, Urt. v. 14.12.2023 – Az.: C‑340/21.
2. OLG Dresden, Beschl. v. 08.01.2025 – Az.: 4 U 812/24.
3. EuGH, Urt. v. 14.12.2023 – Az.: C-456/22.
4. BGH, Urt. 19.11.2024 – Az.: VI ZR 10/24.
5. BGH, Urt. v. 28.01.2025 – Az.: VI ZR 183/22.
6. BGH, Urt. v. 28.01.2025 – Az.: VI ZR 109/23.}

5. Zusammenfassung

Wie die dargestellte Rechtsprechung zeigt, führt ein Verstoß gegen die DSGVO keineswegs automatisch zu einem Schadensersatzanspruch. Zwar können subjektive Einschätzungen (wie zum Beispiel die Befürchtung eines Datenmissbrauchs) durchaus einen Schaden begründen.

Hierfür ist es aber erforderlich, dass der Betroffene aus der Sicht eines verständigen Dritten nachvollziehbare Umstände dafür vorbringt. Pauschale oder allgemeine Behauptungen reichen nicht aus, zumal der Betroffene die volle Beweislast trägt.

Selbst in den Fällen, in denen der BGH einen Schadensersatzanspruch bejaht hat, beträgt dieser gerade einmal 100 Euro beziehungsweise 500 Euro. Für Werbe-E-Mails gibt es dagegen nicht einmal etwas.

Als Unternehmer, der eine Abmahnung mit horrenden DSGVO-Schadensersatzsummen erhält, sollte man also nicht gleich klein beigeben, denn es bestehen durchaus realistische Chancen, solche Bettelbriefe erfolgreich zurückzuweisen.

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_gcl_au	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet.	3 Monate	HTML	Google
AMP_TOKEN	Enthält einen Token, der verwendet werden kann, um eine Client-ID vom AMP-Client-ID-Dienst abzurufen.	1 Jahr	HTML	Google
_dc_gtm_--property-id--	Wird von DoubleClick (Google Tag Manager) verwendet, um die Besucher nach Alter, Geschlecht oder Interessen zu identifizieren.	2 Jahre	HTML	Google