SPAM löst nicht unbedingt Schadensersatz wegen Datenschutzverstoß aus

Datenschutzverstöße und immaterieller Schadensersatz: BGH setzt hohe Hürden für Ansprüche nach Art. 82 DSGVO

Die Datenschutz-Grundverordnung (DSGVO) hat die Rechte von Betroffenen bei Verstößen gegen den Schutz personenbezogener Daten gestärkt. Doch nicht jede Verletzung führt automatisch zu einem finanziellen Ausgleich. Dies verdeutlicht ein aktuelles Urteil des Bundesgerichtshofs (BGH) vom 28.01.2025 (Az.: VI ZR 109/23), das die Voraussetzungen für immateriellen Schadensersatz bei Datenschutzverstößen präzisiert. Der Fall wirft grundlegende Fragen zur Auslegung von Art. 82 Abs. 1 DSGVO auf und zeigt die Spannung zwischen dem Schutz der Privatsphäre und der Vermeidung von „Bagatellklagen“.  

Hintergrund: Unerwünschte E-Mails und der Kampf um 500 Euro 

Ein Verbraucher, der vertragliche Beziehungen zu einem Unternehmen unterhielt, erhielt wiederholt unerwünschte Werbe-E-Mails. Er sah darin einen Verstoß gegen die DSGVO, da seine E-Mail-Adresse ohne seine ausdrückliche Einwilligung genutzt worden sei. Neben einem Unterlassungsanspruch forderte er 500 Euro immateriellen Schadensersatz für die erlittene Belästigung und den empfundenen Kontrollverlust über seine Daten. Die Vorinstanzen – Amtsgericht und Landgericht – gaben dem Unterlassungsbegehren recht, verneinten jedoch den Schadensersatzanspruch. Der BGH musste nun klären, ob bereits der bloße DSGVO-Verstoß eine Entschädigungspflicht auslöst oder ob zusätzliche Voraussetzungen erforderlich sind.  

BGH-Urteil: Kein Schadensersatz ohne konkrete Beeinträchtigung 

Der BGH bestätigte die Entscheidung der Vorgerichte und lehnte den Schadensersatzanspruch ab. Zwar stellte das Gericht klar, dass die Nutzung der E-Mail-Adresse rechtswidrig erfolgt war, da keine wirksame Einwilligung oder anderer Rechtsgrund (z. B. berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO) vorlag. Dennoch reiche dieser Verstoß allein nicht aus, um einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO zu begründen.  
Entscheidend sei, ob durch den Verstoß eine spürbare Beeinträchtigung persönlichkeitsrechtlicher Belange eingetreten ist. Der Kläger müsse darlegen und im Zweifel beweisen, dass die Rechtsverletzung zu einer „objektiv feststellbaren Einbuße an Lebensqualität“ geführt habe. Im konkreten Fall sah der BGH hierfür keine Anhaltspunkte:  - Die erhaltenen E-Mails waren nicht beleidigend, herabsetzend oder besonders aufdringlich.  - Ein Kontrollverlust über die Daten konnte nicht nachgewiesen werden – die Adresse wurde lediglich für Werbezwecke genutzt, ohne dass Dritte Zugriff erhielten.  - Die subjektive Empfindung der Belästigung reiche nicht aus, solange keine objektiv nachvollziehbaren Folgen (z. B. psychische Erkrankungen, Reputationsschäden) vorlägen.  

Rechtliche Einordnung: Abgrenzung zur „Planet49“-Rechtsprechung 

Das Urteil steht in Kontrast zu früheren Entscheidungen, etwa dem EuGH-Urteil „Planet49“ (C-673/17), das die Bedeutung der Einwilligung betonte. Der BGH betont jedoch, dass nicht jeder formale Verstoß gegen die DSGVO automatisch einen Schaden begründet. Vielmehr sei eine qualitative und quantitative Betrachtung erforderlich: 

- Qualitativ muss die Beeinträchtigung über bloße Unannehmlichkeiten hinausgehen.  

- Quantitativ ist die Häufigkeit und Intensität der Rechtsverletzung zu prüfen – vereinzelte E-Mails genügen hier regelmäßig nicht.  

Praxisrelevanz: Folgen für Betroffene und Unternehmen 

Die Entscheidung hat weitreichende Konsequenzen:  

1. Für Betroffene: Die Hürden für Schadensersatzansprüche bei Datenschutzverstößen sind hoch. Es reicht nicht aus, lediglich auf den Verstoß zu verweisen – konkrete Nachweise für erlittene Nachteile sind erforderlich. 

 2. Für Unternehmen: Zwar mildert das Urteil das Risiko von „Kulanzklagen“, doch bleibt die Pflicht zur Einhaltung der DSGVO bestehen. Unterlassungsansprüche können weiterhin durchgesetzt werden, was hohe Kosten (z. B. Abmahnungen) verursachen kann. 

 3. Für die Rechtsanwendung: Gerichte müssen künftig stärker zwischen „bagatellhaften“ und „gravierenden“ Verstößen differenzieren, was zu einer uneinheitlichen Rechtsprechung führen könnte.  

Kritik und offene Fragen 

Datenschutzverbände kritisieren das Urteil als Rückschritt für die Privatsphäre. Sie argumentieren, dass bereits die unrechtmäßige Verarbeitung von Daten per se einen immateriellen Schaden darstelle, da sie das Selbstbestimmungsrecht aushöhle. Zudem befürchten sie, dass Betroffene ohne finanzielle Sanktionsmöglichkeiten kaum Anreize hätten, ihre Rechte durchzusetzen – insbesondere bei geringfügigen Verstößen.  
Der BGH lässt jedoch bewusst Raum für Ausnahmen: In Fällen mit systematischer Datenweitergabe, Missbrauchsrisiken (z. B. bei sensiblen Gesundheitsdaten) oder massiven Belästigungen könnte weiterhin Schadensersatz greifen. Ungeklärt bleibt, ab welcher Schwelle genau eine „spürbare Beeinträchtigung“ anzunehmen ist – hier wird die künftige Rechtsprechung weitere Präzision erfordern.  

Gesellschaftlicher Kontext: Datenschutz im Zeitalter der Digitalisierung 

Der Fall spiegelt die Spannung zwischen dem gestiegenen Bewusstsein für Datenschutz und der praktischen Handhabbarkeit von Rechtsansprüchen wider. Während die DSGVO ein mächtiges Instrument gegen Datenmissbrauch ist, droht ihre Überdehnung durch unzählige Kleinigkeiten die Gerichte zu überlasten. Der BGH versucht hier, eine pragmatische Balance zu wahren: Der Schutz der Privatsphäre bleibt prioritär, doch nicht jeder Verstoß soll als „Goldesel“ für Betroffene dienen.  

Fazit: Klarheit mit Ambivalenz 

Das Urteil des BGH schafft Klarheit darüber, dass nicht jeder DSGVO-Verstoß einen Geldanspruch rechtfertigt. Es stärkt die Rechtssicherheit für Unternehmen, indem es vorab berechenbare Risiken begrenzt. Gleichzeitig könnte es jedoch die Durchsetzung von Datenschutzrechten erschweren, da Betroffene oft keine Ressourcen haben, um komplexe Beeinträchtigungen nachzuweisen.  

Die Entscheidung unterstreicht, dass die DSGVO kein „Allheilmittel“ für jede Form der Datenbelästigung ist, sondern ein abgestuftes Sanktionssystem erfordert. Letztlich liegt es am Gesetzgeber, durch präzisere Regelungen – etwa Mindeststandards für Schadensersatz – die Lücken zwischen Theorie und Praxis zu schließen. Bis dahin bleibt die Rechtsprechung gefordert, im Einzelfall zwischen berechtigten Interessen und Missbrauch abzuwägen.  

Dieser Fall zeigt exemplarisch, wie dynamisch das Datenschutzrecht ist – und wie wichtig eine differenzierte Betrachtung bleibt, um sowohl die Privatsphäre als auch die Funktionsfähigkeit der Wirtschaft zu schützen.