Mit Urteil vom 13. Mai 2025 (VI ZR 67/23) hat der Bundesgerichtshof eine zentrale Frage des Datenschutzrechts vertieft: Unter welchen Voraussetzungen kann ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO beansprucht werden, wenn ein Unternehmen voreilig eine Forderung an die SCHUFA meldet? Die Entscheidung knüpft an die jüngste Rechtsprechung des Europäischen Gerichtshofs an und grenzt die Darlegungslast des Betroffenen klar von einer unzulässigen „Erheblichkeitsschwelle“ ab.
Sachverhalt
Der Kläger hatte eine Stromforderung erst nach deren Titulierung durch Vollstreckungsbescheid beglichen. Die Beklagte, ein Inkassounternehmen, meldete den Titel am selben Tag an die SCHUFA, ohne – so der Kläger – den Ablauf der Einspruchsfrist abzuwarten. Der Negativeintrag wurde nach rund vier Monaten gelöscht. Der Kläger machte geltend, die Meldung habe seine wirtschaftliche Handlungsfähigkeit empfindlich beeinträchtigt: Kreditkarten seien gekündigt worden, ein neuer Vertrag sei storniert worden, die Auflösung einer gesamten Geschäftsbeziehung mit Fälligstellung erheblicher Verbindlichkeiten sei angedroht worden. Zudem habe eine Immobilienfinanzierung zu scheitern gedroht. Er verlangte immateriellen Schadensersatz von mindestens 10.000 Euro. Während das Landgericht ihm 5.000 Euro zusprach, verneinte das Oberlandesgericht einen ersatzfähigen Schaden vollständig.
Juristische Analyse
Art. 82 Abs. 1 DSGVO gewährt einen Anspruch auf Ersatz materieller und immaterieller Schäden, die durch einen Verstoß gegen die Verordnung verursacht werden. Der BGH knüpft an die gefestigte EuGH-Linie an, wonach der Schadensbegriff weit zu verstehen ist und keine Bagatellgrenze gilt. Zwar reicht der bloße Verstoß nicht aus; erforderlich ist eine konkrete negative Folge, die als immaterieller Schaden zu qualifizieren ist. Der Kläger hatte jedoch nicht nur abstrakt auf eine mögliche Rufschädigung verwiesen, sondern die unmittelbaren Auswirkungen auf seine Kreditwürdigkeit im Detail geschildert. Dazu zählten die Kündigung bestehender Kreditkartenverträge, die Verhinderung einer neuen Kreditverbindung und die ernsthafte Gefahr einer umfassenden Geschäftsauflösung durch die Bank. Diese Vorgänge verkörperten nach Auffassung des BGH bereits den geltend gemachten immateriellen Schaden in Form einer Beeinträchtigung des wirtschaftlichen Rufs, ohne dass weitere Folgewirkungen erforderlich gewesen wären.
Das Berufungsgericht hatte spekuliert, der Kläger könne über andere Kreditkarten verfügt haben, sodass keine tatsächliche Einschränkung seiner Dispositionsfreiheit bestanden habe. Der BGH beanstandete dies als unzulässige Mutmaßung ohne Tatsachengrundlage, zumal die geschilderten Ersatzbemühungen gerade für eine Abhängigkeit von den gekündigten Karten sprachen. Hinzu trat der vom Kläger ebenfalls gerügte Kontrollverlust über seine personenbezogenen Daten, der nach der DSGVO eigenständig einen immateriellen Schaden darstellen kann. Unerheblich war, ob der Kläger durch seine verspätete Zahlung die Ausgangslage selbst mitverursacht hatte; dieser Umstand mag die Höhe, nicht jedoch das „Ob“ des Schadensersatzes betreffen.
Dogmatische Einordnung und Bedeutung
Die Entscheidung verdeutlicht, dass wirtschaftliche Rufschäden und Bonitätsbeeinträchtigungen als immaterielle Schäden im Sinne des Datenschutzrechts zu werten sind, wenn sie plausibel dargelegt werden. Die Grenze liegt nicht in einer von Gerichten zu definierenden Schwere, sondern in der Erforderlichkeit eines tatsächlichen Nachweises konkreter Folgen. Der BGH bestätigt zugleich, dass der Verlust der Kontrolle über personenbezogene Daten kein bloßer Annex ist, sondern eine eigenständige Verletzung darstellt, die ersatzfähig sein kann. Damit stärkt er die Rechtsposition Betroffener gerade in sensiblen Bereichen wie der Kreditwürdigkeitsprüfung, wo schon kurzfristige Einträge erhebliche Wirkungen entfalten können.
Fazit
Das Urteil verschiebt die Waage zugunsten der Betroffenen, indem es klarstellt, dass Gerichte keine faktischen Hürden einziehen dürfen, die der europäische Gesetzgeber bewusst vermieden hat. Wer nachvollziehbar darlegt, dass eine unzulässige Datenübermittlung zu einer Beeinträchtigung seines wirtschaftlichen Rufs oder zu einem Kontrollverlust über seine Daten geführt hat, erfüllt die Anspruchsvoraussetzungen. Für datenverarbeitende Unternehmen erhöht sich damit das Risiko, auch bei nur vermeintlich geringfügigen Verstößen zu Schadensersatz verpflichtet zu werden.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
