Die Hoffnung vieler Verbraucher war groß: Ein unerwünschter Werbeanruf, eine Spam-E-Mail oder ein kleines Datenleck – und schon winkt eine pauschale Entschädigung von mehreren hundert Euro? Diese Vorstellung eines „automatischen Schmerzensgeldes“ im Datenschutzrecht hat der Bundesgerichtshof (BGH) in seinem Urteil vom 28. Januar 2025 (Az. VI ZR 109/23) nun deutlich zurechtgerückt.
Für Betroffene und Unternehmen schafft dieses Urteil endlich mehr Klarheit. Es zeigt auf, dass der Datenschutz ernst genommen werden muss, aber nicht jeder Fehler automatisch zu Geldzahlungen führt. Rechtsanwalt Christian Kramarz, LL.M., Fachanwalt für IT-Recht, ordnet die Entscheidung für Sie ein.
Kein Automatismus: Verstoß bedeutet nicht gleich Schaden
Der wohl wichtigste Grundsatz des Urteils lautet: Der bloße Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) reicht nicht aus, um Schadensersatz zu erhalten. Artikel 82 DSGVO ist keine Strafvorschrift, sondern dient dem Ausgleich erlittener Nachteile.
Das Gericht stellte klar, dass der Eintritt eines Schadens eine eigenständige Voraussetzung ist, die der Kläger beweisen muss. Wer also nur darlegt, dass ein Unternehmen gegen Vorschriften verstoßen hat (etwa durch eine unerlaubte Werbe-E-Mail), hat damit noch keinen Anspruch auf Geld. Es muss etwas „passiert“ sein, das über den reinen Regelverstoß hinausgeht.
Haben Sie Fragen dazu, ob in Ihrem Fall ein Schaden vorliegt? Nutzen Sie gerne die kostenlose telefonische Erstberatung der Kanzlei Kramarz unter 06151-2768227.
Das Ende der „Bagatellgrenze“ – aber mit einem Haken
Lange Zeit argumentierten Gerichte, dass Bagatellschäden (Kleinigkeiten) gar nicht ersatzfähig seien. Hier folgt der BGH der strengen Linie des Europäischen Gerichtshofs (EuGH): Es gibt keine untere „Erheblichkeitsschwelle“ oder Bagatellgrenze. Auch kleine immaterielle Schäden können grundsätzlich ausgeglichen werden.
Das klingt zunächst positiv für Kläger, doch der Teufel steckt im Detail der Beweislast. Zwar wird keine Schwere des Schadens vorausgesetzt, aber das Vorliegen eines Schadens an sich muss „substantiiert dargelegt“ werden.
Ein bloßes „ungutes Gefühl“ oder allgemeiner Ärger über eine Spam-Mail reichen nicht aus. Im verhandelten Fall hatte der Kläger unerwünschte Werbung erhalten und argumentierte mit einem Gefühl des Kontrollverlusts. Der BGH lehnte dies ab: Da die E-Mail-Adresse nicht an Dritte weitergegeben wurde, lag objektiv kein Kontrollverlust vor.
Kontrollverlust und Angst als Schaden?
Wann also gibt es Geld? Der BGH differenziert hier sehr genau:
Tatsächlicher Kontrollverlust: Wenn Daten unbefugt abfließen (z.B. durch einen Hack oder unerlaubte Weitergabe an Dritte), stellt dieser Verlust der Datenhoheit oft schon selbst den immateriellen Schaden dar. Hier stehen die Chancen auf Schadensersatz besser.
Befürchtung von Missbrauch: Die reine Angst, dass Daten missbraucht werden könnten, reicht nur dann, wenn sie begründet ist. Eine hypothetische Sorge („Wer weiß, was der Absender noch macht“) genügt nicht.
Fazit: Qualität vor Quantität bei Klagen
Das Urteil stärkt die Position von Unternehmen gegen massenhafte Klagen wegen geringfügiger Verstöße (wie einzelner Werbe-E-Mails), schützt aber weiterhin Betroffene, deren Daten tatsächlich „in falsche Hände“ geraten sind. Es kommt mehr den je auf die saubere juristische Aufarbeitung des Einzelfalls an.
Wer Schadensersatz fordert, muss konkret beschreiben, wie sich der Verstoß auf das persönliche Leben ausgewirkt hat. Pauschale Textbausteine funktionieren vor Gericht nicht mehr.
Haben Sie den Verdacht, dass Ihre Daten missbraucht wurden, oder sieht sich Ihr Unternehmen mit unberechtigten Forderungen konfrontiert? Rechtsanwalt Christian Kramarz steht Ihnen mit 15 Jahren Erfahrung im IT- und Medienrecht zur Seite. Kontaktieren Sie uns einfach per E-Mail an anfrage@kanzlei-kramarz.de oder informieren Sie sich auf kanzlei-kramarz.de/kontakt.
Reicht ein bloßer Verstoß gegen die DSGVO für Schadensersatz aus?
Nein. Der Bundesgerichtshof (BGH) hat mit Bezug auf die Rechtsprechung des EuGH klargestellt, dass der reine Verstoß gegen die Datenschutz-Grundverordnung nicht genügt. Es muss zusätzlich ein konkreter Schaden entstanden sein, der durch diesen Verstoß verursacht wurde. Ein Automatismus "Verstoß = Geld" existiert nicht. Für eine Einschätzung Ihres Falles steht Ihnen die Kanzlei Kramarz gerne zur Verfügung.
Gibt es eine Bagatellgrenze für Schäden im Datenschutzrecht?
Nein, eine starre Erheblichkeitsschwelle oder "Bagatellgrenze" gibt es laut BGH und EuGH nicht. Auch kleine Schäden können ersatzfähig sein. Allerdings muss der Kläger beweisen, dass überhaupt ein spürbarer Nachteil (wie z.B. Kontrollverlust oder begründete Angst) eingetreten ist. Bloßer Ärger oder Unannehmlichkeiten reichen oft nicht aus.
Wann gilt ein "Kontrollverlust" über Daten als Schaden?
Ein Kontrollverlust liegt vor, wenn Daten unbefugt Dritten zugänglich gemacht wurden. In diesem Fall kann der Kontrollverlust selbst den Schaden darstellen. Wird eine E-Mail aber "nur" unerlaubt für Werbung genutzt, ohne dass Dritte Zugriff erhalten, liegt laut BGH meist kein relevanter Kontrollverlust vor. Lassen Sie sich hierzu gerne unter anfrage@kanzlei-kramarz.de beraten.
Wie unterstützt mich Rechtsanwalt Kramarz bei Datenschutzverstößen?
Rechtsanwalt Christian Kramarz, LL.M., Fachanwalt für IT-Recht, prüft für Sie, ob ein Datenschutzverstoß vorliegt und ob dieser einen einklagbaren Schaden verursacht hat. Mit 15 Jahren Erfahrung vertritt er Ihre Interessen kompetent – ob als betroffene Privatperson oder als abgemahntes Unternehmen. Nutzen Sie die kostenlose telefonische Erstberatung unter 06151-2768227 oder informieren Sie sich auf kanzlei-kramarz.de.
