Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Wann führt ein Datenschutzverstoß tatsächlich zu einem Anspruch auf immateriellen Schadensersatz? Der Bundesgerichtshof hat mit Urteil vom 28. Januar 2025 (Az. VI ZR 109/23) klargestellt: Allein der Erhalt einer unerwünschten Werbe-E-Mail reicht dafür nicht aus. Ohne einen konkreten oder nachvollziehbar begründeten Kontrollverlust über personenbezogene Daten fehlt es an der Grundlage für einen Anspruch nach Art. 82 Abs. 1 DSGVO. Dieses Urteil setzt damit klare Grenzen für Schadensersatzforderungen im Datenschutzrecht.
Ein immaterieller Schaden umfasst Verletzungen, die keinen direkten finanziellen Nachteil darstellen, etwa emotionalen Stress, Kontrollverlust über persönliche Daten oder imagebezogene Beeinträchtigungen. Solche nichtvermögensrechtlichen Schäden berechtigen Betroffene unter bestimmten Bedingungen zum Ersatz.
Beispiele für immaterielle Schäden:
Ein Verbraucher bestellte Ware in einem Online-Shop. Kurz nach dem Kauf erhielt er eine E-Mail, in der der Händler ohne vorherige Einwilligung für weitere Angebote warb. Der Empfänger widersprach noch am selben Tag der Nutzung seiner Daten zu Werbezwecken und verlangte vom Händler eine strafbewehrte Unterlassungserklärung. Zusätzlich forderte er 500 € immateriellen Schadensersatz nach Art. 82 DSGVO.
Den Unterlassungsanspruch erkannte der Händler an. Streitpunkt blieb allein die Frage, ob der Erhalt einer einzigen ungewollten Werbe-E-Mail einen ersatzfähigen immateriellen Schaden darstellt.
Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Der Bundesgerichtshof hat in seinem Urteil klargestellt, dass der bloße Erhalt einer einzelnen ungewollten Werbe-E-Mail keinen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO begründet. Zwar besteht nach der Rechtsprechung des EuGH keine Bagatellgrenze, ein Verstoß gegen die DSGVO allein reicht jedoch nicht aus.
Erforderlich ist stets der Nachweis eines konkreten immateriellen Schadens, etwa in Form eines tatsächlichen Kontrollverlusts über personenbezogene Daten oder einer begründeten und belegten Befürchtung eines solchen Kontrollverlusts mit negativen Folgen. Im vorliegenden Fall konnte der Kläger nicht darlegen, dass seine Daten unbefugt an Dritte weitergegeben oder anders missbraucht wurden. Eine rein hypothetische Gefahr oder ein „ungutes Gefühl“ genügen dafür nicht.
Das Urteil reiht sich in eine Linie jüngerer Entscheidungen ein, in denen Gerichte Schadensersatzansprüche im Datenschutzrecht auf tatsächlich nachweisbare Beeinträchtigungen beschränken. Ziel ist nicht die Abschreckung, sondern der Ausgleich realer, feststellbarer Schäden.
Kernaussagen des Urteils:
Das aktuelle BGH-Urteil unterstreicht, dass ein DSGVO-Verstoß allein nicht genügt, um immateriellen Schadensersatz zu verlangen. Entscheidend ist der konkrete Nachweis eines Schadens – etwa ein tatsächlich eingetretener Kontrollverlust über personenbezogene Daten oder eine fundierte, belegbare Befürchtung eines solchen. Der Erhalt einer einzelnen unerwünschten Werbe-E-Mail oder ein allgemeines Unwohlsein stellen keine ausreichende Grundlage dar.
Für Unternehmen schafft das Urteil mehr Rechtssicherheit. Nicht jede Datenschutzpanne wird automatisch teuer, solange kein echter, nachweisbarer Schaden entstanden ist. Dennoch bleibt die Pflicht bestehen, Daten rechtskonform zu verarbeiten, Einwilligungen einzuholen und Verstöße transparent zu behandeln.
Verbraucher sollten hingegen wissen, wer DSGVO-Schadensersatz beansprucht, muss konkrete und nachvollziehbare Beeinträchtigungen darlegen können. Ein immaterieller Schaden im Sinne der DSGVO kann dann gegeben sein, wenn personenbezogene Daten in einem Datenleck unbefugt offengelegt werden oder Dritte die erlangten Informationen missbräuchlich verwenden. Auch ein glaubhaft dargelegtes Gefühl der Überwachung oder des Ausgeliefertseins kann einen solchen Schaden darstellen. Ebenso kommen nachvollziehbare psychische Belastungen oder gesundheitliche Beeinträchtigungen, die direkt auf den Datenschutzverstoß zurückzuführen sind, als Grundlage für einen Anspruch in Betracht.
Möchten Sie wissen, ob Ihnen nach einem DSGVO-Verstoß ein Anspruch auf immateriellen Schadensersatz zusteht? Fragen Sie sich, wie Sie sich gegen ungewollte Werbe-E-Mails wehren oder als Unternehmen Bußgelder vermeiden können? Benötigen Sie Unterstützung bei der datenschutzkonformen Gestaltung Ihrer Geschäftsprozesse, Online-Angebote oder Marketingmaßnahmen?
Wir bieten Ihnen umfassende Beratung und Vertretung in allen Bereichen des Datenschutzrechts, von der Erstellung maßgeschneiderter Datenschutzerklärungen über die Abwehr von Abmahnungen und einstweiligen Verfügungen bis hin zur rechtlichen Prüfung Ihrer gesamten Unternehmensprozesse.
Wir begleiten Sie bei der Gestaltung von Werbe- und PR-Maßnahmen, prüfen Ihre Online-Shops und E-Commerce-Angebote, beraten zu internationalen Datentransfers, erstellen und prüfen AV-Verträge oder Joint Controller Agreements und führen Audits zur Einhaltung der DSGVO durch. Auch Compliance-Richtlinien, Mitarbeiterverpflichtungen und alle datenschutzrechtlich erforderlichen Rechtstexte gehören zu unserem Leistungsangebot.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?