Der Bundesgerichtshof (BGH) hat mit Urteil vom 13. Mai 2025 (veröffentlich am 28.07.2025) entschieden, das für viele Menschen, die sich gegen einen negativen Schufa-Eintrag wehren, wichtige Klarstellungen bringt. Es geht insbesondere um die Frage: Wann bekommt man bei einem Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) tatsächlich Schadensersatz?
Worum ging es im Fall?
Ein Inkassounternehmen hatte eine offene, durch Vollstreckungsbescheid titulierte Forderung (gegen die aber noch Rechtsmittelmöglichkeiten bestanden) gegen einen Verbraucher unberechtigt an die Schufa gemeldet. Der Negativeintrag wurde etwa vier Monate später wieder gelöscht. Der betroffene Mann fühlte sich dadurch stark beeinträchtigt: Angeblich wurden Kreditkarten gekündigt, Geschäftsbeziehungen bedroht, und beinahe eine Immobilienfinanzierung gescheitert. Er verlangte deshalb mindestens 10.000 Euro Schadensersatz.
Die entscheidenden Fragen
Die bisherige Rechtsprechung war sich uneinig: Reicht ein Datenschutzverstoß allein schon für einen Schadensersatz? Oder muss tatsächlich ein nachweisbarer Schaden – zum Beispiel Ärger, Zeitaufwand, wirtschaftlich – eingetreten sein? Und: Muss der Schaden eine gewisse „Schwere“ haben oder genügen auch schon kleinere Beeinträchtigungen?
Was entschied der BGH?
1. Kein Schadensersatz „automatisch“ bei jedem Datenschutzverstoß
Der bloße Verstoß gegen die DSGVO – etwa eine rechtswidrige Meldung an die Schufa – reicht nicht aus, um automatisch Anspruch auf Schadensersatz zu haben. Es muss wirklich ein Schaden eingetreten sein. Das kann z. B. ein Verlust der Kontrolle über eigene Daten sein, aber auch konkrete Einschränkungen im wirtschaftlichen oder privaten Leben.
2. Keine Hürde: Schadensersatz auch bei geringfügigen Beeinträchtigungen
Der Schaden muss kein „schwerwiegender“ sein: Auch kleinere, nicht bloß ganz unerhebliche Nachteile können einen Ausgleich auslösen – etwa, wenn Kreditkarten gekündigt wurden oder sogar nur die Kreditwürdigkeit gelitten hat.
3. Klares Signal: Anforderungen an die Darlegungspflicht
Das Berufungsgericht war zu streng und verlangte detaillierte Nachweise des Schadens. Es reicht, wenn jemand nachvollziehbar schildert, welche konkreten negativen Folgen – etwa Kündigung von Kreditkarten oder Einschüchterung durch drohende Kreditausfälle – entstanden sind. Diesen Vortrag muss das Gericht berücksichtigen.
4. Verlust der Datenkontrolle als ersatzfähiger Schaden
Schon allein der Verlust der Kontrolle über eigene Daten durch eine unberechtigte Meldung an ein Unternehmen wie die Schufa kann einen „immateriellen Schaden“ im Sinne der DSGVO darstellen – selbst wenn daraus keine handfesten wirtschaftlichen Verluste entstehen.
5. Mitverschulden spielt für das „Ob“ des Schadens nicht die entscheidende Rolle
Es kommt nicht darauf an, ob der betroffene Verbraucher durch eigenes Verhalten die Lage (z. B. verspätete Zahlung) mitverursacht hat. Entscheidend ist, ob durch die Falschmeldung ein (weiterer) Schaden entstanden ist.
Was bedeutet das für Betroffene?
- Wer glaubt, durch einen unberechtigten Schufa-Eintrag geschädigt worden zu sein, muss dies nicht in allergrößter Detailtiefe, aber nachvollziehbar darlegen.
- Auch „kleinere“ Nachteile – wie der kurzfristige Verlust von Kreditkarten – können schon einen Anspruch auf Schadensersatz auslösen.
- Der Kontrollverlust über die eigenen Daten ist als Schaden anerkannt.
- Die Durchsetzung solcher Ansprüche wird mit der BGH-Entscheidung deutlich erleichtert.
Fazit
Das BGH-Urteil stärkt die Rechte von Verbrauchern bei Datenschutzverstößen. Zwar bleibt es dabei, dass nicht jeder Verstoß zu Schadensersatz führt, aber die Hürden für den Nachweis eines Schadens sind gesunken. Wer durch einen zu Unrecht erfolgten Schufa-Eintrag Nachteile erfährt, sollte seine Ansprüche künftig leichter einklagen können.