Der Bundesgerichtshof hat entschieden, dass kein automatischer Anspruch auf immateriellen Schadensersatz (Art. 82 Abs. 1 DSGVO) wegen der unverschlüsselten Faxübermittlung von Empfangsbekenntnissen durch eine Stadt besteht (BGH, Urteil vom 13.05.2025 – VI ZR 186/22):
„Der bloße Verstoß gegen die Datenschutzgrundverordnung reicht nicht aus, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu begründen. Denn das Vorliegen eines materiellen oder immateriellen „Schadens“ stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die Datenschutzgrundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Insbesondere muss eine Person, die von einem Verstoß gegen die Datenschutzgrundverordnung betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen.“
Die Entscheidung verdeutlicht, dass ein bloßer DSGVO-Verstoß nicht automatisch zu einem Schadensersatzanspruch führt. Es muss ein konkreter immaterieller Schaden (z.B. Kontrollverlust, psychische Belastung mit Substanz, konkrete Nachteile) nachweisbar sein. Ein nur theoretisches Risiko reicht nicht.