BGH zu immateriellem Schadenersatz nach Datenschutzverstoß: Wann Betroffene Anspruch haben – und wann nicht 

24. September 2025

Datenschutz und IT-Recht | Urteile

Mit Urteil vom 13. Mai 2025 (Az. VI ZR 67/23) hat der Bundesgerichtshof (BGH) wesentliche Leitlinien zur Auslegung von Art. 82 DSGVO aufgestellt. Konkret ging es um die Frage, unter welchen Voraussetzungen immaterieller Schadenersatz nach einem Datenschutzverstoß verlangt werden kann – und wann ein solcher Anspruch scheitert. Die Anforderungen an die Darlegung eines Schadens wurden präzisiert – pauschale Forderungen ohne konkrete Beeinträchtigung genügen nicht. Gleichzeitig zeigt die Entscheidung, wie schnell ein realer Schaden mit erheblichen finanziellen und rechtlichen Folgen entstehen kann. 

Der Fall: SCHUFA-Negativmeldung und ihre Folgen 

Dem Urteil lag ein praxisnaher Sachverhalt zugrunde: Ein Verbraucher hatte im Jahr 2019 von einem Inkassodienstleister eine SCHUFA-Negativmeldung erhalten. Hintergrund war eine titulierte Forderung gegen ihn, zu der ein Vollstreckungsbescheid vorlag. Die Beklagte, die Betreiberin des Inkassounternehmens ist, meldete die Forderung jedoch bereits am Tag des Erlasses dieses Bescheids an die SCHUFA, ohne abzuwarten, ob der Verbraucher innerhalb der Einspruchsfrist Rechtsmittel einlegen würde. 

Die Eintragung hatte erhebliche Folgen: Der Kläger machte unter anderem geltend, dass Kreditkarten gesperrt, Geschäftsbeziehungen gekündigt und ihm neue Verträge verweigert worden seien. Aufgrund dieser negativen Auswirkungen verlangte er immateriellen Schadenersatz gemäß Art. 82 DSGVO. 

Das Landgericht hatte dem Kläger zunächst Recht gegeben, das Berufungsgericht (OLG Köln) jedoch verneinte den Anspruch – mit der Begründung, es fehle an einem hinreichend konkret dargelegten Schaden. Der BGH hob diese Entscheidung nun auf. 

Die Entscheidung des BGH: Konkrete Darlegung ist entscheidend 

Der Bundesgerichtshof stellt klar: Ein DSGVO-Verstoß allein genügt nicht für einen Anspruch auf Schadenersatz. Entscheidend ist, dass die betroffene Person einen konkreten immateriellen Schaden plausibel und nachvollziehbar darlegt. 

Im vorliegenden Fall sah der BGH die Schilderung der wirtschaftlichen Nachteile, wie die Sperrung von Kreditkarten oder die Verweigerung von Verträgen, als ausreichend an. Die Vorinstanz habe zu hohe Anforderungen gestellt und damit das unionsrechtliche Schutzniveau der DSGVO unterlaufen. 

Gleichzeitig betont der BGH: Nicht jeder Datenschutzverstoß führt automatisch zur Zahlungspflicht – es kommt immer auf die Umstände des Einzelfalls an. Wer allerdings konkrete Beeinträchtigungen glaubhaft macht, kann durchaus einen Anspruch auf immateriellen Schadenersatz haben. 

Bedeutung für Unternehmen: Schutz durch Compliance – aber Vorsicht bei Meldungen 

Für datenverarbeitende Unternehmen – insbesondere solche, die personenbezogene Daten in Auskunfteien oder Inkassoverfahren übermitteln – bedeutet das Urteil eine wichtige Warnung: Automatisierte Prozesse, die ohne sorgfältige Prüfung zur Meldung an die SCHUFA oder andere Stellen führen, können erhebliche Haftungsrisiken auslösen. 

Gleichzeitig stärkt das Urteil aber auch die Position von Unternehmen gegen pauschale Forderungen ohne konkreten Schaden. Wird der behauptete immaterielle Schaden nicht ausreichend dargelegt, können solche Klagen erfolgreich abgewehrt werden – vorausgesetzt, es bestehen klare interne Datenschutzprozesse und dokumentierte Abläufe. 

Typische Fehler: Weder Bagatellisieren noch pauschal zahlen 

In der Praxis erleben wir zwei häufige Reaktionsmuster auf Art. 82 DSGVO-Klagen: 

  1. Bagatellisierung – Unternehmen nehmen Vorwürfe zunächst nicht ernst, da „doch nichts passiert sei“. Das kann fatal sein, wenn sich später doch eine konkrete, nachweisbare Beeinträchtigung zeigt – wie im vorliegenden Fall. 
  1. Pauschale Einigung – Aus Angst vor Prozesskosten oder Imageschäden wird vorschnell gezahlt, auch ohne Prüfung der Anspruchsvoraussetzungen. 

Beides kann vermieden werden: Mit rechtlich fundierten Prüfungen, frühzeitiger Beratung und einer sauberen DSGVO-Dokumentation lassen sich viele dieser Fälle kontrolliert managen oder von vornherein vermeiden. 

Fazit: DSGVO-Ansprüche bleiben risikobehaftet – aber rechtlich steuerbar 

Das Urteil des BGH sorgt für mehr Klarheit in einem dynamischen Rechtsbereich: Nicht jeder DSGVO-Verstoß führt automatisch zu Schadenersatz, aber konkret dargelegte Beeinträchtigungen können durchaus einen Anspruch begründen. 

Für Unternehmen ist das ein klarer Auftrag: Datenschutzprozesse müssen sorgfältig geplant und laufend überprüft werden, insbesondere bei Schnittstellen zu Auskunfteien, Inkassodiensten oder bei automatisierten Meldesystemen. Gleichzeitig gilt: Wer gut dokumentiert und rechtlich vorbereitet ist, hat im Streitfall eine starke Verteidigungslinie. 

Sie möchten wissen, ob Ihre Prozesse im Umgang mit personenbezogenen Daten den aktuellen Anforderungen genügen? Oder benötigen rechtliche Unterstützung bei der Abwehr oder Bewertung eines Schadenersatzanspruchs nach Art. 82 DSGVO? 

Kontaktieren Sie uns jetzt – wir beraten Sie fundiert, effizient und mit digitalem Fokus. Vereinbaren Sie einen Termin für eine Erstberatung.