DSGVO: Kein Schadensersatz bei nur rein hypothetischem Risiko
BGH v. 13.5.2025 - VI ZR 186/22
Der Sachverhalt:
Der Kläger hatte mit Schreiben vom 9.12.2015 gegenüber der beklagten Stadt aus besonderen persönlichen Gründen jeder unverschlüsselten Übermittlung von personenbezogenen Daten widersprochen. Darauf bestätigte die Beklagte am 25.2.2016, dass mit personenbezogenen Daten des Klägers nach den datenschutzrechtlichen Vorgaben umgegangen werde. Sie würden nicht auf unverschlüsseltem elektronischen Wege übermittelt. Mit Telefax vom 7.2.2017 übersandte die Beklagte an ihren Prozessbevollmächtigten unverschlüsselt einen Bescheid über die Anordnung einer Übermittlungssperre bezüglich eines Fahrzeugs des Klägers. Dieser Bescheid enthielt u.a. den vollständigen Namen und die Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer.
Mit Urteil vom 30.1.2019 stellte das VG fest, dass der oben genannte Vorgang rechtswidrig gewesen sei. Anlässlich weiterer Rechtsstreitigkeiten zwischen den Parteien versandte die Beklagte zwischen April 2019 und Dezember 2020 sieben Empfangsbekenntnisse durch unverschlüsseltes Telefax an das VG. Diese enthielten den Nachnamen des Klägers. Dieser war der Ansicht, auch die Versendung der Telefaxe sei aus datenschutzrechtlichen Gründen unzulässig gewesen und verlangte eine Geldentschädigung von 17.500 €. Er sei Inhaber einer Firma, die explosionsgefährliche Stoffe vertreibe. Es bestehe die Gefahr, dass Dritte ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen könnten.
Das LG hat die Beklagte verurteilt, an den Kläger 7.000 € zu zahlen, und die weitergehende Klage abgewiesen. Das OLG hat die Berufungen des Klägers und der Beklagten zurückgewiesen. Auf die Revision der Beklagten hat der BGH die Entscheidungen aufgehoben und die Klage insgesamt abgewiesen.
Gründe:
Zwar war die Klage entgegen der Auffassung der Beklagten nicht deshalb unzulässig, weil der Kläger eine Postfachadresse, jedoch keine ladungsfähige Anschrift angegeben hatte. Denn der Kläger hatte ausreichend dargelegt, dass schutzwürdige Geheimhaltungsinteressen der Angabe seiner ladungsfähigen Anschrift entgegenstanden. Das Berufungsgericht hat jedoch rechtsfehlerhaft einen Anspruch auf Schadensersatz der Kläger gegen die Beklagte angenommen.
Der Kläger hat entgegen der Auffassung des Berufungsgerichts - dem allerdings die nachfolgend genannten, zwischenzeitlich ergangenen Entscheidungen nicht bekannt sein konnten - gegen die Beklagte keinen Anspruch aus Art. 82 Abs. 1 DSGVO. Der bloße Verstoß gegen die DSGVO reicht nicht aus, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen "Schadens" stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. EuGH, Urt. v. 4.10.2024 - C-200/23; BGH, Urt. v. 18.11.2024 - VI ZR 10/24.
Davon ausgehend hat das Berufungsgericht rechtsfehlerhaft angenommen, dass die vom Kläger geltend gemachte Befürchtung, dass die in den gerichtlichen Empfangsbekenntnissen enthaltenen personenbezogenen Daten von Dritten missbräuchlich verwendet werden, einen ersatzfähigen immateriellen Schaden darstellt. Aus seinem Vorbringen ergab sich kein Kontrollverlust, sondern ein rein hypothetisches Risiko. Entgegen der Auffassung des Berufungsgerichts hat Art. 82 DSGVO auch keine Straf-, sondern eine Ausgleichsfunktion, sodass mit dem Ziel des Schutzes vor zukünftigen Verstößen ein Schadensersatzanspruch nicht begründet werden kann. Infolgedessen kann ein - wie hier - rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten nicht zu einer Entschädigung gem. Art. 82 Abs. 1 DSGVO führen.
Mehr zum Thema:
Beratermodul Datenschutzrecht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!
Beratermodul IT-Recht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
BGH online
Der Kläger hatte mit Schreiben vom 9.12.2015 gegenüber der beklagten Stadt aus besonderen persönlichen Gründen jeder unverschlüsselten Übermittlung von personenbezogenen Daten widersprochen. Darauf bestätigte die Beklagte am 25.2.2016, dass mit personenbezogenen Daten des Klägers nach den datenschutzrechtlichen Vorgaben umgegangen werde. Sie würden nicht auf unverschlüsseltem elektronischen Wege übermittelt. Mit Telefax vom 7.2.2017 übersandte die Beklagte an ihren Prozessbevollmächtigten unverschlüsselt einen Bescheid über die Anordnung einer Übermittlungssperre bezüglich eines Fahrzeugs des Klägers. Dieser Bescheid enthielt u.a. den vollständigen Namen und die Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer.
Mit Urteil vom 30.1.2019 stellte das VG fest, dass der oben genannte Vorgang rechtswidrig gewesen sei. Anlässlich weiterer Rechtsstreitigkeiten zwischen den Parteien versandte die Beklagte zwischen April 2019 und Dezember 2020 sieben Empfangsbekenntnisse durch unverschlüsseltes Telefax an das VG. Diese enthielten den Nachnamen des Klägers. Dieser war der Ansicht, auch die Versendung der Telefaxe sei aus datenschutzrechtlichen Gründen unzulässig gewesen und verlangte eine Geldentschädigung von 17.500 €. Er sei Inhaber einer Firma, die explosionsgefährliche Stoffe vertreibe. Es bestehe die Gefahr, dass Dritte ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen könnten.
Das LG hat die Beklagte verurteilt, an den Kläger 7.000 € zu zahlen, und die weitergehende Klage abgewiesen. Das OLG hat die Berufungen des Klägers und der Beklagten zurückgewiesen. Auf die Revision der Beklagten hat der BGH die Entscheidungen aufgehoben und die Klage insgesamt abgewiesen.
Gründe:
Zwar war die Klage entgegen der Auffassung der Beklagten nicht deshalb unzulässig, weil der Kläger eine Postfachadresse, jedoch keine ladungsfähige Anschrift angegeben hatte. Denn der Kläger hatte ausreichend dargelegt, dass schutzwürdige Geheimhaltungsinteressen der Angabe seiner ladungsfähigen Anschrift entgegenstanden. Das Berufungsgericht hat jedoch rechtsfehlerhaft einen Anspruch auf Schadensersatz der Kläger gegen die Beklagte angenommen.
Der Kläger hat entgegen der Auffassung des Berufungsgerichts - dem allerdings die nachfolgend genannten, zwischenzeitlich ergangenen Entscheidungen nicht bekannt sein konnten - gegen die Beklagte keinen Anspruch aus Art. 82 Abs. 1 DSGVO. Der bloße Verstoß gegen die DSGVO reicht nicht aus, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen "Schadens" stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. EuGH, Urt. v. 4.10.2024 - C-200/23; BGH, Urt. v. 18.11.2024 - VI ZR 10/24.
Davon ausgehend hat das Berufungsgericht rechtsfehlerhaft angenommen, dass die vom Kläger geltend gemachte Befürchtung, dass die in den gerichtlichen Empfangsbekenntnissen enthaltenen personenbezogenen Daten von Dritten missbräuchlich verwendet werden, einen ersatzfähigen immateriellen Schaden darstellt. Aus seinem Vorbringen ergab sich kein Kontrollverlust, sondern ein rein hypothetisches Risiko. Entgegen der Auffassung des Berufungsgerichts hat Art. 82 DSGVO auch keine Straf-, sondern eine Ausgleichsfunktion, sodass mit dem Ziel des Schutzes vor zukünftigen Verstößen ein Schadensersatzanspruch nicht begründet werden kann. Infolgedessen kann ein - wie hier - rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten nicht zu einer Entschädigung gem. Art. 82 Abs. 1 DSGVO führen.
Beratermodul Datenschutzrecht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!
Beratermodul IT-Recht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!