Der Bundesgerichtshof (BGH) hat im Urteil VI ZR 186/22 vom 13. Mai 2025 klargestellt, dass allein ein rein hypothetisches Risiko für die missbräuchliche Verwendung personenbezogener Daten für einen Schadensersatz nach Art. 82 DSGVO nicht ausreicht. Ein Anspruch auf Geldentschädigung setzt vielmehr voraus, dass der Betroffene konkrete nachteilige Folgen oder einen realen Kontrollverlust nachweisen kann und nicht nur abstrakte Befürchtungen äußert.
Im vorliegenden Fall verlangte der Kläger Schadensersatz, weil die beklagte Stadt sensible personenbezogene Daten wiederholt per unverschlüsseltem Telefax an ein Gericht übermittelt hatte. Der BGH hat die Klage in letzter Instanz abgewiesen, weil die Befürchtung missbräuchlicher Verwendung der Daten ausschließlich auf hypothetischen und nicht begründeten Risiken beruhte. Die Entscheidung stützt sich explizit auf die neue Rechtsprechung des Europäischen Gerichtshofs zur Auslegung von Art. 82 DSGVO: Es reicht nicht aus, nur eine theoretische Gefahr zu behaupten – es müssen tatsächliche belastende Umstände oder Schäden vorliegen.
Die Richter betonen außerdem, dass Art. 82 DSGVO keine Straf-, sondern Ausgleichsfunktion hat. Ein Anspruch auf Schadensersatz soll nicht mit dem Ziel des Schutzes vor zukünftigen Verstößen gewährt werden, sondern nur bei eingetretenen, nachvollziehbaren Schäden.
Empfehlung
Betroffene sollten ihre Ansprüche auf DSGVO-Schadensersatz ausschließlich dann geltend machen, wenn ein realer Schaden oder ein realer Kontrollverlust nachweisbar ist.
Unternehmen müssen bei der Verarbeitung personenbezogener Daten dennoch sorgfältig arbeiten und die Vorgaben der DSGVO beachten und umsetzen. Eine umfassende Dokumentation der eigenen Datenschutzprozesse kann helfen, Ansprüche abzuwehren.
Bildquelle: KI-generiert
Bildquelle: KI-generiert 
Bildquelle: KI-generiert