Sachverhalt
Die Anspruchstellerin war Kundin bei einem Telekommunikationsunternehmen. Das Unternehmen hatte eine sog. SCHUFA-Meldung über die Anspruchstellerin erstellt, weil diese angeblich eine Forderung nicht beglich. Die Anspruchstellerin wehrte sich gegen die Forderung mit dem Argument, sie habe den Vertrag widerrufen. Nachdem das Unternehmen die eigene Forderung vor Gericht einklagte, machte die Anspruchstellerin ihrerseits Schadensersatz nach Art. 82 Abs. 1 DSGVO geltend, weil das Unternehmen mit seiner Meldung gegen Datenschutzvorgaben verstoßen habe.
Nachdem das Landgericht in erster Instanz den Anspruch auf Schadensersatz noch abgewiesen hatte, sprach das Oberlandesgericht (OLG) Koblenz sprach der Anspruchstellerin EUR 500 zu. Sie wendete sich daraufhin an den BGH, um eine höhere Summe (bis zu EUR 6.000) zu erlangen. Der BGH bestätigte allerdings die Summe des OLG und deutete an, dass diese Summe möglicherweise sogar zu hoch bemessen sei, da Art. 82 DSGVO keine abschreckende oder strafende Funktion hat.
Rechtlicher Hintergrund
Das Datenschutzrecht wird in Deutschland nicht ausschließlich von Behörden durchgesetzt, sondern auch Privatpersonen können Ansprüche geltend machen, insbesondere Schadensersatz verlangen, wenn personenbezogene Daten unrechtmäßig verarbeitet wurden. Zwar erleiden Personen bei Datenschutzverstößen häufig keine unmittelbar messbaren finanziellen Einbußen, allerdings gewährt Art. 82 DSGVO auch sog. immateriellen Schadensersatz, also etwas ähnliches wie Schmerzensgeld. Voraussetzungen und Höhe des immateriellen Schadensersatzes sind allerdings weitgehend umstritten.
Wesentliche Aussagen des BGH
Bestätigung der bisherigen Rechtsprechung
Der BGH bestätigt zum wiederholten Mal die Rechtsprechung des EuGH, wonach der immaterielle Schadensersatz nach Art. 82 DSGVO ausschließlich eine Ausgleichsfunktion hat. Eine abschreckende oder generalpräventive Wirkung ist ausgeschlossen. Das ist eine wichtige Aussage, denn mit Hilfe einer Abschreckungsfunktion könnten häufig deutlich höhere Schadenssummen gerechtfertigt werden als ausschließlich mit der Ausgleichsfunktion.
Schadenshöhe: Tendenz zu geringeren Beträgen
Der BGH setzt zudem den Trend fort, dass Schadenssummen bei DSGVO-Verstößen eher im unteren dreistelligen Bereich anzusiedeln sind. Insbesondere mit dem Verweis auf die fehlende Abschreckungsfunktion weist der BGH darauf hin, dass das OLG Koblenz den Schadensersatz tendenziell zu hoch bemessen hat. Ein Anspruch auf immateriellen Schadensersatz von über EUR 500 dürfte daher regelmäßig nicht gerechtfertigt sein.
Eine geringere Summe aus EUR 500 konnte der BGH aus prozessrechtlichen Gründen nicht zusprechen, auch wenn er sie wohl für angemessen hielt. Denn nach § 557 Abs. 1 ZPO darf der BGH nicht zulasten der sog. Revisionsklägerin entscheiden, also derjenigen Partei, die Revision eingelegt hat. Hier hatte allerdings nur die Anspruchstellerin Revision eingelegt mit dem Ziel mehr zu erhalten. Das in Anspruch genommene Unternehmen hatte keine Revision eingelegt. Der BGH konnte die zugesprochene Summe daher nicht weiter zulasten der Anspruchstellerin reduzieren.
Auswirkungen und praktische Bedeutung
Anforderungen an den Nachweis über die Schadenshöhe steigen
Die Entscheidung zeigt erneut, dass nach der DSGVO hohe Schadenssummen keine Selbstläufer sind. Wer substantielle Beträge erstreiten möchte, muss konkrete Schäden nachweisen. Bei einer SCHUFA-Meldung könnten das etwa nachweislich höhere Kreditzinsen wegen der schlechterer Bonität oder abgelehnte Verträge oder Kredite sein.
So ist es etwa dem Kläger in einem kürzlich vom OLG Hamburg entschiedenen vergleichbaren Fall gelungen, berechtigte Zinsschäden geltend zu machen. Hier könnte das EuGH-Urteil (C-203/22, „Dun & Bradstreet Austria“) vom 27. Februar 2025 relevant werden: Es stärkt die Transparenzpflichten bei automatisierten Bonitätsbewertungen. Unternehmen müssen offenlegen, wie eine Bonitätsbewertung zustande kommt und wie sich einzelne Faktoren ausgewirkt haben – darunter könnte der SCHUFA-Score fallen. Dies könnte Betroffenen helfen, Schäden nachzuweisen und Ansprüche besser zu begründen.
Relevanz für Unternehmen
Auf den ersten Blick ist die BGH-Rechtsprechung zum DSGVO-Schadensersatz positiv für Unternehmen, weil die BGH-Rechtsprechung deutlich in Richtung niedriger Schadenssummen deutet. Allerdings können sich die Schadensersatzsummen schnell summieren. Unternehmen sollten daher mit ausreichenden technischen und organisatorischen Maßnahmen (TOMs) dafür sorgen, dass es möglichst gar nicht erst zu Schadensersatzforderungen kommt.
Speziell im Hinblick auf das Forderungsmanagement sollten daher SCHUFA-Meldungen nur dann abgegeben werden, wenn Forderungen eindeutig bestehen.
Fazit
Der BGH bestätigt die bisherige Linie: kein Strafschadensersatz, sondern nur Ausgleich für konkrete Nachteile. Die Tendenz geht zu niedrigeren Entschädigungssummen. Betroffene müssen stärker darlegen, welche wirtschaftlichen Folgen eine unrechtmäßige SCHUFA-Meldung hatte.
Gleichzeitig bestätigt das Urteil aber auch unsere Einschätzung, dass Kläger häufig überzogene Forderungen geltend machen. Eine quantitative Auswertung der Rechtsprechung findet sich hier.
