Hypothetische Risiken im Datenschutz: Bundesgerichtshof definiert Grenzen für Schadensersatzansprüche nach der DSGVO
DSGVO-Schadensersatz: Was zählt wirklich als Schaden?
Das Thema Schadensersatz bei Verstößen gegen den Datenschutz sorgt immer wieder für Diskussionen – sowohl in der Praxis als auch vor Gericht. Mit einer jüngst ergangenen Entscheidung hat der Bundesgerichtshof (BGH) nun einen bedeutenden Beitrag zur Rechtsklarheit geleistet: Im Zentrum stand die Frage, ob und wann Betroffene nach der Datenschutzgrundverordnung (DSGVO) einen Anspruch auf Schadensersatz geltend machen können, wenn ihre personenbezogenen Daten auf unsichere Weise – beispielsweise unverschlüsselt per Fax – übermittelt wurden.
Oft wurde bislang davon ausgegangen, dass bereits der Verstoß gegen Datenschutzbestimmungen ausreicht, um einen Schadensersatzanspruch zu begründen. Doch der BGH stellt klar: Nicht jeder Datenschutzverstoß führt automatisch zu einem Anspruch auf Entschädigung. Entscheidend ist vielmehr das Vorliegen eines konkreten Schadens – sei es materiell oder immateriell. Hypothetische Risiken oder potenzielle Gefahren reichen demnach nicht aus.
Der zugrundeliegende Fall: Faxübermittlungen und Datenschutz
Im verhandelten Fall hatte ein Kläger beanstandet, dass eine Stadt seine personenbezogenen Daten – konkret Informationen wie Name, Adresse und eine Fahrzeugidentifikationsnummer – trotz eines zuvor erklärten Widerspruchs mehrfach unverschlüsselt per Fax an verschiedene Stellen verschickt hatte. Im weiteren Verlauf wurden hierzu auch Empfangsbekenntnisse mit Namensnennung per Fax übermittelt.
Der Kläger machte geltend, dass durch diese Übermittlungen seine Sicherheit gefährdet sei, da er beruflich mit gefährlichen Stoffen zu tun habe. Die abstrakte Möglichkeit, dass Unbefugte auf das Fax zugreifen könnten, genüge seiner Ansicht nach für die Annahme eines Schadens – und er forderte eine hohe Entschädigungssumme.
Die Entscheidung des BGH: Schwelle für den Schadensersatzanspruch
Der Bundesgerichtshof hat den Fall umfassend geprüft und eine eindeutige Linie gezogen: Für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO müssen mehrere Voraussetzungen kumulativ erfüllt sein – darunter ein nachweisbarer materieller oder immaterieller Schaden. Ein bloßer Verstoß reicht nicht, ebenso wenig das Vorliegen eines nur theoretischen Risikos.
Weiterhin muss der Betroffene nicht nur den Datenschutzverstoß, sondern auch die daraus resultierende spürbare Beeinträchtigung konkret belegen. Die rein abstrakte Möglichkeit, dass ein Fax von Dritten abgefangen werden könnte, reichte dem BGH nicht. Es bedarf eines nachweisbaren, auf die Person durch den Datenschutzverstoß tatsächlich eingetretenen Schadens.
Das Gericht hebt zudem hervor: Die DSGVO zielt mit dem Schadensersatz auf den Ausgleich erlittener Schäden ab – nicht auf eine präventive Abschreckungsfunktion. Ein präventiver Ansatz, der Schadensersatz bereits beim abstrakten Risiko ermöglichen würde, sei nicht im Sinne der DSGVO.
Auswirkungen des BGH-Urteils: Praktische Hinweise für Unternehmen und Betroffene
Höhere Hürden für Schadensersatzforderungen
Das Urteil wirkt sich spürbar auf die Praxis aus: Die Schwelle für einen erfolgreichen Schadensersatzanspruch wird deutlich angehoben. Gerade für Unternehmen, Behörden und andere Verantwortliche bringt dies mehr Rechtssicherheit im Umgang mit Datenschutzvorfällen, da nicht jedes denkbare Risiko gleich zu einer Ersatzforderung führen muss.
Allerdings darf auch die andere Seite nicht vergessen werden: Betroffene, die sich tatsächlich in einer konkreten und belegbaren Weise geschädigt fühlen, müssen ihre Ansprüche sorgfältig begründen und nachweisen. Allein die Angst vor dem Missbrauch der eigenen Daten – sofern sie rein hypothetischer Natur bleibt – genügt nach neuesten Maßgaben nicht.
Gestärkte Bedeutung der Dokumentation und Risikoabwägung
Für Unternehmen und öffentliche Stellen stellt dieses Urteil einen deutlichen Anreiz dar, die internen Prozesse bei der Verarbeitung personenbezogener Daten weiterhin genau zu überprüfen und gut zu dokumentieren. Kommt es zum Konfliktfall, lässt sich so besser belegen, wie mit Risiken umgegangen und welche Maßnahmen eingeleitet wurden.
Zugleich macht das Urteil aber auch deutlich, dass jede tatsächliche Datenpanne genau analysiert werden muss. Entscheidend ist dabei weniger die rein technische Möglichkeit eines Eingriffs, sondern ob ein konkreter Schaden nachweisbar entstanden ist. Das unterstreicht die Bedeutung eines aktiven Risikomanagements und regelmäßiger Datenschutzschulungen innerhalb der Organisation.
Fazit: Sorgfalt und Nachweis bleiben entscheidend
Das neue Urteil des Bundesgerichtshofs schafft Klarheit und Orientierung für alle Seiten. Verantwortliche erhalten mehr Sicherheit, dass nicht jedes abstrakte Risiko oder jeder technische Zwischenfall automatisch Schadensersatzforderungen nach sich zieht. Für Betroffene bedeutet dies jedoch auch, dass sie konkrete und nachweisbare Nachteile darlegen müssen, um Ansprüche geltend zu machen.
Gleichzeitig betont der BGH die Wichtigkeit des Schutzes personenbezogener Daten – sowohl für Unternehmen als auch für Privatpersonen ist und bleibt der verantwortungsvolle Umgang mit Informationen von höchster Bedeutung. Letztlich sollte das Urteil als Anstoß verstanden werden, Datenschutzprozesse weiter zu optimieren und nachweisbar Risiken fachgerecht zu begegnen.
Sie benötigen Unterstützung bei der rechtssicheren Gestaltung Ihrer Datenschutzprozesse oder bei der Bewertung von Datenschutzvorfällen? Kontaktieren Sie uns – wir beraten Sie gerne kompetent und individuell!