Personenbezogene Daten – und das hypothetische Risiko ihrer mißbräuchlichen Verwendung

Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung gemäß Art. 82 Abs. 1 DSGVO führen.

In dem hier vom Bundesgerichtshof entschiedenen Fall nimmt der Bürger die beklagte Stadt wegen der unverschlüsselten Versendung von verwaltungsgerichtlichen Empfangsbekenntnissen durch Telefax auf Geldentschädigung in Anspruch.

Mit Schreiben vom 09.12.2015 widersprach der klagende Bürger gegenüber der beklagten Stadt aus besonderen persönlichen Gründen jeder unverschlüsselten Übermittlung von personenbezogenen Daten. Darauf bestätigte die beklagte Stadt am 25.02.2016, dass mit personenbezogenen Daten des Bürgers nach den datenschutzrechtlichen Vorgaben umgegangen werde. Sie würden nicht auf unverschlüsseltem elektronischen Wege übermittelt. Mit Telefax vom 07.02.2017 übersandte die beklagte Stadt an ihren Prozessbevollmächtigten unverschlüsselt einen Bescheid vom 03.02.2017 über die Anordnung einer Übermittlungssperre bezüglich eines Fahrzeugs des Bürgers. Dieser Bescheid enthielt unter anderem den vollständigen Namen und die Anschrift des Bürgers sowie die Fahrzeugidentifikationsnummer. Mit Urteil vom 30.01.2019 stellte das Verwaltungsgericht fest, dass die unverschlüsselte Übermittlung des Bescheides vom 03.02.2017 per Fax durch die beklagte Stadt an ihren Prozessbevollmächtigten rechtswidrig gewesen sei. Das Niedersächsische Oberverwaltungsgericht wies den Antrag der beklagten Stadt auf Zulassung der Berufung gegen die Entscheidung des Verwaltungsgerichts mit Beschluss vom 22.07.2020 zurück¹.

Anlässlich weiterer Rechtsstreitigkeiten zwischen den Parteien versandte die beklagte Stadt im Zeitraum vom 10.04.2019 bis zum 28.12.2020 siebenmal ein Empfangsbekenntnis durch unverschlüsseltes Telefax an das Verwaltungsgericht. Die Empfangsbekenntnisse enthielten jeweils den Nachnamen des Bürgers und die Bezeichnung der beklagten Stadt („in der Verwaltungsstreitsache [Nachname des Bürgers] ./. [beklagte Stadt]“), das verwaltungsgerichtliche Aktenzeichen und das Aktenzeichen der beklagten Stadt („Ihr Zeichen […]“).

Der Bürger vertritt die Auffassung, auch die Versendung der Telefaxe sei aus datenschutzrechtlichen Gründen unzulässig gewesen und verlangt die Zahlung einer Geldentschädigung von 2.500 € für jeden der sieben Fälle, insgesamt 17.500 €.

Das Landgericht Osnabrück hat die beklagte Stadt verurteilt, an den Bürger 7.000 € zu zahlen, und die weitergehende Klage abgewiesen². Das Oberlandesgericht Oldenburg hat die Berufungen des Bürgers und der beklagten Stadt zurückgewiesen³. Mit den vom Oberlandesgericht Oldenburg zugelassenen Revisionen verfolgen der Bürger und die beklagte Stadt ihre Berufungsanträge weiter. Die Revision des Bürgers hat der Bundesgerichtshof abgewiesen; auf die Revision der beklagten Stadt hat der Bundesgerichtshof die Entscheidungen der Vorinstanzen aufgehoben und die Klage insgesamt abgewiesen:

Das Oberlandesgericht Oldenburg hat rechtsfehlerhaft angenommen, dass der Bürger gegen die beklagte Stadt einen Anspruch auf Schadensersatz hat, weil diese anlässlich verschiedener Rechtsstreitigkeiten zwischen den Parteien im Zeitraum vom 10.04.2019 bis zum 28.12.2020 siebenmal Empfangsbekenntnisse mit dem Nachnamen des Bürgers und der Bezeichnung der beklagten Stadt („in der Verwaltungsstreitsache [Nachname des Bürgers] ./. [beklagte Stadt]“), dem verwaltungsgerichtlichen Aktenzeichen und dem Aktenzeichen der beklagten Stadt („Ihr Zeichen […]“) durch unverschlüsseltes Telefax an das Verwaltungsgericht übersandte.

Der vom Bürger geltend gemachte Anspruch kann sich nicht aus § 54 NDSG ergeben, da diese Vorschrift schon nicht anwendbar ist. Sie befindet sich im zweiten Teil des Niedersächsischen Datenschutzgesetzes, der nur für die in § 23 Abs. 1 und Abs. 2 NDSG genannten öffentlichen Stellen gilt⁴. Die beklagte Stadt handelte nicht als solche Stelle, als sie die Empfangsbekenntnisse durch Telefax an das Verwaltungsgericht übersandte.

Der Bürger hat entgegen der Auffassung des Oberlandesgerichts Oldenburg – dem allerdings die nachfolgend genannten, zwischenzeitlich ergangenen Entscheidungen nicht bekannt sein konnten – gegen die beklagte Stadt auch keinen Anspruch aus Art. 82 Abs. 1 DSGVO.

Es bedarf keiner Entscheidung, ob die beklagte Stadt durch die unverschlüsselte Übersendung der gerichtlichen Empfangsbekenntnisse gegen die Datenschutzgrundverordnung verstieß. Insbesondere kann offenbleiben, ob die Erwägungen, die das Oberverwaltungsgericht¹ zur Übermittlung eines Bescheids mit den als besonders sensibel bewerteten personenbezogenen Daten des Namens und der Adresse des Bürgers sowie der Fahrzeugidentifikationsnummer und des amtlichen Kennzeichens seines Fahrzeugs anstellte, auch auf die Übermittlung eines gerichtlichen Empfangsbekenntnisses zutreffen, dem nur der Nachname des Bürgers sowie gerichtliche und behördliche Aktenzeichen zu entnehmen sind.

Jedenfalls hat der Bürger nicht dargelegt, einen immateriellen Schaden erlitten zu haben.

Der bloße Verstoß gegen die Datenschutzgrundverordnung reicht nicht aus, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen „Schadens“ stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die Datenschutzgrundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Insbesondere muss eine Person, die von einem Verstoß gegen die Datenschutzgrundverordnung betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen⁵.

Aus der im ersten Satz des 85. Erwägungsgrundes der Datenschutzgrundverordnung enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutzgrundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte⁶.

Nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der Datenschutzgrundverordnung verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt sich, dass die durch einen Verstoß gegen die Datenschutzgrundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann⁷.

Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, ist zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann⁸. Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen reicht nicht aus⁹. Ein rein hypothetisches Risiko der missbräuch- 16 lichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen¹⁰.

Davon ausgehend hat das Oberlandesgericht Oldenburg rechtsfehlerhaft angenommen, dass die vom Bürger geltend gemachte Befürchtung, dass die in den gerichtlichen Empfangsbekenntnissen enthaltenen personenbezogenen Daten von Dritten missbräuchlich verwendet werden, einen ersatzfähigen immateriellen Schaden darstellt. Aus seinem Vorbringen ergibt sich kein Kontrollverlust, sondern ein rein hypothetisches Risiko.

Der Bürger behauptet, er sei Inhaber einer Firma, die explosionsgefährliche Stoffe vertreibe, und zwar vornehmlich an nationale Sicherheitsbehörden, die diese für die Wahrnehmung hoheitlicher Aufgaben benötigten. Angesichts dessen sei er aufgrund seiner beruflichen Tätigkeit Gefahren für Leib und Leben ausgesetzt. Es bestehe die Gefahr, dass Dritte ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen könnten. Die beklagte Stadt habe daher die Versendung der Telefaxe in unverschlüsselter Form nicht vornehmen, sondern die Empfangsbekenntnisse vielmehr ausschließlich auf dem Postweg versenden dürfen. Insofern sei zu berücksichtigen, dass beim Abfangen eines der Faxe unter anderem gerichtliche Aktenzeichen bekannt würden, die es potentiellen Tätern ermöglichten, hierüber weitere Daten des Bürgers auszuspähen. Zudem wohne im Zuständigkeitsbereich der beklagten Stadt auch keine weitere Person mit dem gleichen Nachnamen.

Das Oberlandesgericht Oldenburg hat in Übereinstimmung mit der polizeilichen Gefährdungseinschätzung festgestellt, dass der Bürger aufgrund seiner beruflichen Tätigkeit lediglich einer erhöhten abstrakten Gefahr von Straftaten gegen seine Person ausgesetzt ist und dass eine konkrete Gefährdung seiner Person nicht ersichtlich ist. Die Wahrscheinlichkeit eines unbefugten Zugriffs auf die Daten des Bürgers, die noch dazu einen Rückschluss auf seinen Wohnsitz nicht ohne weiteres zuließen, und einer daraus erwachsenden konkreten Gefährdung, ist äußerst gering.

Den Verlust der Kontrolle über die in den gerichtlichen Empfangsbekenntnissen enthaltenen Daten hat der Bürger nicht dargelegt. Entgegen seiner Auffassung liegt ein Kontrollverlust nicht bereits deshalb vor, weil wegen der unverschlüsselten Übersendung durch Telefax theoretisch die Möglichkeit bestand, diese abzufangen¹¹. Denn der Verstoß gegen eine datenschutzrechtlich gebotene Sicherungsmaßnahme führt regelmäßig dazu, dass Dritte auf die zu schützenden Daten zumindest einfacher zugreifen könnten. Würde schon allein die Möglichkeit des erleichterten Zugriffs einen Kontrollverlust und damit einen Schaden darstellen, hätte diese Voraussetzung in derartigen Fallkonstellationen praktisch keine eigenständige Bedeutung mehr.

Die Befürchtung des Bürgers, die unverschlüsselt übersandten Telefaxe könnten abgefangen worden sein und die in den gerichtlichen Empfangsbekenntnissen enthaltenen Daten könnten von Dritten missbraucht werden, ergibt sich aus einem lediglich hypothetischen Risiko. Zwar mag es sein, dass – wie das Oberlandesgericht Oldenburg meint – eine besondere Gefährdung des Bürgers aus der Offenlegung seiner Privatanschrift resultieren könnte. Weiter mag es zutreffen, dass hinter dem deshalb bestehenden Interesse des Bürgers an einem besonders sensiblen Umgang mit seinen persönlichen Daten das Interesse der beklagten Stadt, die Empfangsbekenntnisse unverschlüsselt auf elektronischem Wege zu übermitteln, zurücktreten muss, weil im Falle der Realisierung der Gefahr ein erheblicher Schaden für den Bürger wie auch für unbeteiligte Dritte droht und der beklagten Stadt lediglich ein geringer Mehraufwand durch einen postalischen Versand der Empfangsbekenntnisse oder deren verschlüsselter Übermittlung entsteht. All dies ändert jedoch nichts daran, dass das vom Bürger nur schlagwortartig geschilderte Risiko, die von der beklagten Stadt an das Verwaltungsgericht versandten Telefaxe könnten abgefangen worden sein und letztlich seine Privatanschrift ausgespäht werden, lediglich rein hypothetisch ist¹².

Entgegen der Auffassung des Oberlandesgerichts Oldenburg hat Art. 82 DSGVO keine Straf, sondern eine Ausgleichsfunktion, sodass mit dem Ziel des Schutzes vor zukünftigen Verstößen ein Schadensersatzanspruch nicht begründet werden kann¹³.

Bundesgerichtshof, Urteil vom 13. Mai 2025 – VI ZR 186/22

1. Nds. OVG, NJW 2020, 2743[↩][↩]
2. LG Osnabrück, Urteil vom 15.02.2022 – 6 O 2332/21[↩]
3. OLG Oldenburg, Urteil vom 31.05.2022 – 13 U 17/22[↩]
4. siehe weiter – insbesondere zur Umsetzung der JI-RL durch diese Vorschriften – HK-NDSG/Heermann, 2023, § 23 Rn. 1 f.; HK-NDSG/Krügel/Schlee, vor § 1 Rn. 12; HKNDSG/Barnitzke, § 54 Rn. 2 f.[↩]
5. vgl. EuGH, Urteil vom 04.10.2024 – C-200/23, DB 2024, 2952 Rn. 140 ff.; BGH, Urteil vom 18.11.2024 – VI ZR 10/24, BGHZ 242, 180 Rn. 28 f.; jeweils mwN[↩]
6. vgl. EuGH, Urteil vom 04.10.2024 – C-200/23, DB 2024, 2952 Rn. 145 mwN[↩]
7. vgl. EuGH, Urteil vom 04.10.2024 – C-200/23, DB 2024, 2952 Rn. 144 mwN[↩]
8. vgl. EuGH, Urteil vom 04.10.2024 – C-200/23, DB 2024, 2952 Rn. 143 mwN[↩]
9. vgl. EuGH, Urteil vom 20.06.2024 – C590/22, DB 2024, 1676 Rn. 35[↩]
10. vgl. EuGH, Urteil vom 25.01.2024 – C-687/21, DB 2024, 519 Rn. 68[↩]
11. vgl. dazu EuGH, Urteil vom 25.01.2024 – C-687/21, DB 2024, 519 Rn. 62 f., 68 f.[↩]
12. vgl. einerseits EuGH, Urteil vom 25.01.2024 – C-687/21, DB 2024, 519 Rn. 69 zur Weitergabe eines Dokuments, das personenbezogene Daten enthält, an einen unbefugten Dritten, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, und der Befürchtung der betroffenen Person, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet; andererseits EuGH, Urteil vom 20.06.2024 – C-590/22, DB 2024, 1676 Rn. 8 ff., 29 ff.; BGH, Urteile vom 28.01.2025 – VI ZR 183/22, NJW 2025, 1059 Rn. 2, 12; vom 11.02.2025 – VI ZR 365/22, NJW 2025, 1656 Rn. 14 ff.; vom 13.05.2025 – VI ZR 67/23, unter II. 2.c); zur Veröffentlichung personenbezogener Daten im Internet und dem daraus resultierenden Verlust der Hoheit über diese Daten EuGH, Urteile vom 04.10.2024 – C-200/23, DB 2024, 2952 Rn. 35 ff., 150; vom 14.12.2023 – C-340/21, DB 2024, 246 Rn. 10 ff., 75 ff.; BGH, Urteil vom 18.11.2024 – VI ZR 10/24, BGHZ 242, 180 Rn. 1 ff., 27 ff.[↩]
13. vgl. EuGH, Urteile vom 21.12.2023 – C-667/21, NZA 2024, 393 Rn. 85; vom 20.06.2024 – C-182/22 und – C-189/22, DB 2024, 1671 Rn. 23; BGH, Urteile vom 28.01.2025 – VI ZR 183/22, NJW 2025, 1059 Rn. 10; vom 18.11.2024 – VI ZR 10/24, BGHZ 242, 180 Rn. 18, 96[↩]