Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Im Mai 2025 entschied der Bundesgerichtshof (BGH) eine wichtige Frage in Bezug auf den Schadensersatz aus Artikel 82 Absatz 1 der Datenschutzgrundverordnung (DSGVO). Das Gericht stellte dabei klar, dass kein Anspruch auf den DSGVO-Schadensersatz wegen eines rein hypothetischen Risikos der missbräuchlichen Verwendung personenbezogener Daten wegen Verstößen entstehen darf.
Im Falle eines materiellen oder immateriellen Schadens, der wegen eines Verstoßes gegen die DSGVO entstanden ist, hat der Geschädigte nach Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadensersatz. Dahingehend stellte der BGH explizit klar, dass ein Verstoß gegen die Verordnung allein nicht für die Begründung eines Schadensersatzanspruchs reicht, sondern das Vorliegen eines kausalen Schadens ebenso Voraussetzung ist wie es der Verstoß selbst ist.
Die personenbezogenen Daten des Klägers des vom BGH zu entscheidenden Sachverhalts hätten allerdings möglicherweise einen besonderen Schutz gebrauchen können. Auslöser dafür war der Beruf des Klägers: laut seinen Angaben vor Gericht sei er Inhaber einer Firma, die - insbesondere an nationale Sicherheitsbehörden - explosionsgefährliche Stoffe vertreibe. Aufgrund dessen hätte es in der Vergangenheit bereits seit 2010 ein "knappes Dutzend" erfolgloser Einbruchsversuche auf sein Unternehmen gegeben. Er fürchtet daher, dass es auch Angriffe auf seinen privaten Wohnsitz gäbe, wenn seine Anschrift nicht ausreichend geschützt und geheim gehalten würde.
Im Rahmen einer vorangegangenen gerichtlichen Auseinandersetzung übermittelte der Beklagte sieben unverschlüsselte Faxe an das zuständige Verwaltungsgericht, die unter anderem den Nachnamen des Klägers und das Aktenzeichen der Streitigkeit enthielten. Durch die berufsbezogene Gefährdung des Klägers verlangte dieser statt der unverschlüsselten Übermittlung via Fax eine Zustellung der Daten auf postalischem Wege, da die Faxe abgefangen werden könnten. Die Befürchtung des Klägers, durch die Übermittlung seines Nachnamens könnte auf seine Privatanschrift geschlossen werden, beruhte vor allem darauf, dass in seiner Wohngegend keine andere Person mit dessen Nachnamen wohnte.
Um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen, muss die vermeintlich benachteiligte Person den Nachweis erbringen, dass der DSGVO-Verstoß nachteilige Folgen, die einen immateriellen Schaden darstellen, nach sich zieht. Nach Auffassung des BGH wurde mit der möglichen Gefährdung noch kein immaterieller Schaden durch den Kläger aufgezeigt. Der 85. Erwägungsgrund der Verordnung enthält eine beispielhafte Aufzählung möglicher Schäden, die bereits den bloßen "Verlust der Kontrolle" über die eigenen personenbezogenen Daten umfasst - selbst wenn es noch nicht zu einer konkreten missbräuchlichen Verwendung gekommen ist.
Der Kläger befürchtet ein Sicherheitsrisiko durch die unverschlüsselte Übermittlung seiner personenbezogenen Daten per Telefax, indem potenzielle Täter diese abfangen und durch das Aktenzeichen an zusätzliche Daten kommen könnten. Zwar schätzte die Polizei im Rahmen ihrer Gefährdungseinschätzung ein, dass der Kläger aufgrund seiner beruflichen Tätigkeit einer erhöhten Gefahr ausgesetzt wäre, dabei allerdings kein konkretes Risiko ersichtlich sei. Die Wahrscheinlichkeit eines unbefugten Zugriffs, der einen Rückschluss ohne weiteres zulassen würde und die daraus erwachsende konkrete Gefährdung sei überaus gering.
Die Befürchtung des Klägers, die unverschlüsselten Faxe könnten abgefangen und die in den gerichtlichen Dokumenten enthaltenen personenbezogenen Daten könnten von Dritten missbraucht werden, wurde von ihm nicht ausreichend konkret begründet. Art. 82 DSGVO hat zudem keine Straf-, sondern nur eine Ausgleichsfunktion für bereits entstandene Schäden, wodurch kein Schadensersatz für lediglich mögliche zukünftige Verstöße und missbräuchliche Verwendungen begründet werden kann.
Wie auch die Befürchtung des Klägers in diesem Fall zeigt, können durch die missbräuchliche Verwendung personenbezogener Daten erhebliche Schäden für die direkt Betroffenen und verbundene Dritte herbeigeführt werden. Deshalb ist es für Privatpersonen besonders wichtig, ihre Daten zu schützen, und für Unternehmen und sonstige Verantwortliche für die Datenverarbeitung, den optimalen Schutz der personenbezogenen Daten zu gewährleisten.
Zögern Sie nicht, sich bei uns zu melden! Mit ihrer jahrelangen fachlichen Expertise stehen Ihnen unsere Anwälte von SBS LEGAL bei allen Anliegen im Datenschutzrecht mit Rat und Tat zur Seite, um Ihre Interessen optimal zu vertreten.