Der BGH (VI ZR 258/24) hat dem Gerichtshof der Europäischen Union (EuGH) drei zentrale Fragen zur Vorabentscheidung vorgelegt, die nicht nur die juristische Debatte um den Personenbezug dynamischer IP-Adressen neu entfachen, sondern auch die Reichweite von Schadensersatzansprüchen nach Art. 82 DSGVO kritisch hinterfragen. Im Kern geht es um die Spannung zwischen technischer Realität, unionsrechtlichen Schutzstandards und der Gefahr missbräuchlicher Anspruchsgeltendmachung. Die Vorlage berührt die Praxis tausender Website-Betreiber, die sich mit automatisierten Abmahnungen konfrontiert sehen.
Automatisierte Abmahnungen als Ausgangspunkt
Der zugrundeliegende Fall illustriert das uns allen bekannte Phänomen: die systematische Provokation von Datenschutzverstößen, um daraus finanzielle Vorteile zu ziehen. Der Beklagte zu 1 nutzte einen Webcrawler, um Websites zu identifizieren, die Google Fonts dynamisch einbinden und dabei IP-Adressen an Google in den USA übermitteln. Nach einem „Treffer“ auf der Website des Klägers wurde ein Besuch automatisiert simuliert, die IP-Adresse an Google weitergeleitet und anschließend eine Abmahnung mit Forderung nach Schadensersatz versandt. Über 100.000 solcher Schreiben wurden verschickt. Der Kläger, ein Website-Betreiber, zahlte zunächst, forderte das Geld jedoch nach Bekanntwerden der massenhaften Vorgehensweise zurück. Die deutschen Instanzen urteilten zugunsten des Klägers, da sie weder einen Verstoß gegen die DSGVO noch einen ersatzfähigen Schaden erkennen konnten. Der BGH sieht nun Klärungsbedarf beim EuGH.
Die Besonderheit liegt darin, dass der Beklagte den Datenschutzverstoß nicht nur bewusst herbeiführte, sondern dies in industriellem Maßstab betrieb. Dies wirft die Frage auf, ob ein immaterieller Schaden im Sinne der DSGVO überhaupt vorliegen kann, wenn die betroffene Person den Verstoß gezielt provoziert, um daraus Ansprüche abzuleiten. Das Berufungsgericht verneinte dies mit dem Argument, dass ein Schaden eine unfreiwillige Einbuße voraussetze – eine Interpretation, die der BGH nun zur Überprüfung stellt.
Erste Vorlagefrage: Wann ist eine dynamische IP-Adresse personenbezogen?
Die erste Frage zielt auf die Auslegung des Begriffs „personenbezogenes Datum“ in Art. 4 Nr. 1 DSGVO. Der BGH hinterfragt, ob eine dynamische IP-Adresse bereits dann personenbezogen ist, wenn ein Dritter – etwa der Internetzugangsanbieter – über das zur Identifizierung erforderliche Zusatzwissen verfügt. Alternativ könnte es darauf ankommen, ob der Verantwortliche oder der Empfänger der Daten über Mittel verfügen, die eine Identifizierung vernünftigerweise ermöglichen. Das Berufungsgericht hatte letztere Auffassung vertreten und dabei auf die Rechtsprechung des EuGH zur Datenschutzrichtlinie (C-582/14) Bezug genommen. Der BGH zeigt sich jedoch unsicher, ob diese Grundsätze auf die Übermittlung von Daten übertragbar sind.
Hier liegt der Kern des Problems: Während bei der Speicherung einer IP-Adresse durch einen Website-Betreiber noch plausibel ist, auf dessen Identifizierungsmöglichkeiten abzustellen, erscheint dies bei der Übermittlung an Dritte – insbesondere in Drittländer – fragwürdig. Die Übermittlung schafft nicht nur ein Risiko der Identifizierung durch den Empfänger, sondern auch durch beliebige weitere Dritte. Der BGH deutet an, dass ein objektiver Maßstab angezeigt sein könnte, der bereits dann den Personenbezug bejaht, wenn die IP-Adresse generell zur Identifizierung geeignet ist. Dies würde die Hürden für die Annahme personenbezogener Daten deutlich senken.
Die praktischen Konsequenzen wären erheblich. Würde man bereits die abstrakte Möglichkeit der Identifizierung durch Dritte ausreichen lassen, wäre nahezu jede IP-Adresse personenbezogen – selbst wenn der konkrete Verantwortliche oder Empfänger keine realistische Chance auf Identifizierung hätte. Dies hätte weitreichende Folgen für die Rechtmäßigkeit von Datenübermittlungen, insbesondere in die USA, wo die Identifizierung von Nutzern über IP-Adressen oft nur mit hohem Aufwand und unter Einbindung von Behörden möglich ist.
Zweite Vorlagefrage: Kann ein provozierter Verstoß einen immateriellen Schaden begründen?
Die zweite Frage betrifft den Schadensbegriff des Art. 82 Abs. 1 DSGVO. Der BGH fragt, ob ein immaterieller Schaden auch dann vorliegen kann, wenn die betroffene Person den Verstoß bewusst herbeiführt, um ihn später geltend zu machen. Das Berufungsgericht hatte dies verneint, da der Kontrollverlust über die Daten nicht unfreiwillig erfolgte. Der BGH verweist jedoch auf die weite Auslegung des Schadensbegriffs in der DSGVO, die auch den bloßen Verlust der Kontrolle über personenbezogene Daten umfasst.
Die Crux liegt in der Abgrenzung zwischen berechtigten Befürchtungen und rein hypothetischen Risiken. Der EuGH hat in seiner Rechtsprechung betont, dass die bloße Möglichkeit einer missbräuchlichen Datenverwendung ausreichen kann, um einen immateriellen Schaden zu bejahen. Doch gilt dies auch, wenn die betroffene Person den Verstoß gezielt inszeniert? Der BGH sieht hier eine Lücke in der Rechtsprechung. Einerseits könnte man argumentieren, dass der Kontrollverlust unabhängig von der Motivation der betroffenen Person eintritt. Andererseits erscheint es widersprüchlich, einen Schaden anzunehmen, wenn die betroffene Person die Datenübermittlung nicht nur billigend in Kauf nimmt, sondern aktiv anstrebt.
Besonders brisant wird dies vor dem Hintergrund der massenhaften Abmahnpraxis. Wenn selbst provozierte Verstöße Schadensersatzansprüche auslösen, bestünde die Gefahr, dass die DSGVO als Instrument zur Generierung von Gebühren missbraucht wird. Der BGH signalisiert damit, dass die unionsrechtliche Schadensdogmatik an ihre Grenzen stößt, wenn sie mit gezielten Provokationen konfrontiert wird.
Dritte Vorlagefrage: Rechtsmissbrauch als Korrektiv?
Die dritte Frage knüpft hieran an und thematisiert die Möglichkeit, Schadensersatzansprüche wegen Rechtsmissbrauchs zu verneinen. Der BGH verweist auf die ständige Rechtsprechung des EuGH, wonach die missbräuchliche Berufung auf Unionsrecht unzulässig ist. Ein Missbrauch läge vor, wenn trotz formaler Erfüllung der Anspruchsvoraussetzungen das Ziel der DSGVO – ein hohes Schutzniveau für personenbezogene Daten – verfehlt würde und die betroffene Person sich einen ungerechtfertigten Vorteil verschaffen wollte.
Das Berufungsgericht hatte einen Missbrauch bejaht, da die finanzielle Motivation des Beklagten im Vordergrund stand. Der BGH fragt jedoch, ob dies ausreicht oder ob andere Motive – etwa der Hinweis auf Datenschutzprobleme – den Missbrauchsvorwurf entkräften können. Hier zeigt sich die Ambivalenz des Falls: Einerseits handelt es sich um eine offensichtliche Massengeschäftspraxis, andererseits könnte der Beklagte tatsächlich ein legitimes Interesse an der Durchsetzung des Datenschutzes verfolgen.
Die Antwort des EuGH wird klären müssen, unter welchen Umständen die Geltendmachung von Schadensersatzansprüchen als missbräuchlich einzustufen ist. Dabei wird es nicht nur um die subjektive Motivation gehen, sondern auch um die objektiven Auswirkungen auf den Schutz personenbezogener Daten. Ein zu weit gefasster Missbrauchsbegriff könnte die Durchsetzung der DSGVO aushöhlen, während ein zu enger Begriff die Tür für unseriöse Abmahnpraktiken offenließe.
Balanceakt zwischen Datenschutz und Missbrauchsprävention
Die Vorlage war überfällig. Und ich? kann nur hoffen. dass der EUGH sich nicht um die Fragen herumdrückt. Endlich kann der EuGH nicht nur klären, unter welchen Bedingungen dynamische IP-Adressen als personenbezogen gelten, sondern auch, wie ein Schadensersatzanspruch vor missbräuchlicher Inanspruchnahme geschützt werden kann. Dabei Ich vermute, dass der EUGH sich recht klar zum „Ob” postiert, aber das „Wie” den nationalen Gerichten im Einzelfall überlassen.
Für Website-Betreiber und Datenschutzpraktiker wird diese Entscheidung von großer Bedeutung sein. Sollte der EuGH den Personenbezug dynamischer IP-Adressen weit auslegen und gleichzeitig provozierte Verstöße als ersatzfähig anerkennen, was ich bezweifle, könnte dies eine Welle weiterer Abmahnungen auslösen. Eine restriktive Haltung würde hingegen die Durchsetzung der DSGVO erschweren, insbesondere in Fällen, in denen Betroffene tatsächlich Opfer von Datenschutzverstößen werden.
Letztlich geht es um die Frage, ob die DSGVO ein Instrument des Verbraucherschutzes bleibt oder sich zu einem Vehikel für wirtschaftliche Interessen entwickelt. Die Antwort des EuGH wird zeigen, ob das Unionsrecht in der Lage ist, diesen Balanceakt zu meistern – oder ob der Gesetzgeber nachjustieren muss. Bis dahin bleibt die Rechtslage unsicher und Website-Betreiber müssen weiterhin mit dem Damoklesschwert automatisierter Abmahnungen leben. Die letzten „Google Fonts”-Massen-Abmahnungen gingen für der Gros der betroffenen Anwälte meiner Wahrnehmung nach beruflich eher schlecht aus, insoweit sollte man auch hier sehen, dass es Korrektive gibt.
Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
- Verhaltensbedingte Kündigung wegen gelöschter Katzenfotos - 18. Januar 2026
- Cyber, KI und Lieferketten: Die wichtigsten Geschäftsrisiken 2026 im Überblick - 18. Januar 2026
- Einziehung von Bitcoins & Kryptowährungen - 17. Januar 2026
