VI ZR 186/22

ECLI:DE:BGH:2025:130525UVIZR186.22.0 BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL VI ZR 186/22 Verkündet am: 13. Mai 2025 Böhringer-Mangold Justizamtsinspektorin als Urkundsbeamtin der Geschäftsstelle in dem Rechtsstreit Nachschlagewerk: ja BGHZ: nein BGHR: ja JNeu: ja DSGVO Art. 82 Abs. 1 Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personen- bezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschä- digung gemäß Art. 82 Abs. 1 DSGVO führen. BGH, Urteil vom 13. Mai 2025 - VI ZR 186/22 - OLG Oldenburg LG Osnabrück - 2 - Der VI. Zivilsenat des Bundesgerichtshofs hat auf die mündliche Verhandlung vom 13. Mai 2025 durch den Vorsitzenden Richter Seiters, die Richterinnen Dr. Oehler und Müller, den Richter Dr. Allgayer sowie die Richterin Dr. Linder für Recht erkannt: Auf die Rechtsmittel der Beklagten werden das Urteil des 13. Zi- vilsenats des Oberlandesgerichts Oldenburg vom 31. Mai 2022 und das Urteil der 6. Zivilkammer des Landgerichts Osnabrück vom 15. Februar 2022 im Kostenpunkt und insoweit aufgehoben, als zum Nachteil der Beklagten entschieden worden ist. Die Klage wird insgesamt abgewiesen. Die Revision des Klägers wird zurückgewiesen. Der Kläger trägt die Kosten des Rechtsstreits. Von Rechts wegen Tatbestand: Der Kläger nimmt die beklagte Stadt wegen der unverschlüsselten Ver- sendung von verwaltungsgerichtlichen Empfangsbekenntnissen durch Telefax auf Geldentschädigung in Anspruch. Mit Schreiben vom 9. Dezember 2015 widersprach der Kläger gegenüber der Beklagten aus besonderen persönlichen Gründen jeder unverschlüsselten Übermittlung von personenbezogenen Daten. Darauf bestätigte die Beklagte am 25. Februar 2016, dass mit personenbezogenen Daten des Klägers nach den 1 2 - 3 - datenschutzrechtlichen Vorgaben umgegangen werde. Sie würden nicht auf un- verschlüsseltem elektronischen Wege übermittelt. Mit Telefax vom 7. Februar 2017 übersandte die Beklagte an ihren Prozessbevollmächtigten unverschlüsselt einen Bescheid vom 3. Februar 2017 über die Anordnung einer Übermittlungs- sperre bezüglich eines Fahrzeugs des Klägers. Dieser Bescheid enthielt unter anderem den vollständigen Namen und die Anschrift des Klägers sowie die Fahr- zeugidentifikationsnummer. Mit Urteil vom 30. Januar 2019 stellte das Verwal- tungsgericht fest, dass die unverschlüsselte Übermittlung des Bescheides vom 3. Februar 2017 per Fax durch die Beklagte an ihren Prozessbevollmächtigten rechtswidrig gewesen sei. Das Oberverwaltungsgericht wies den Antrag der Be- klagten auf Zulassung der Berufung gegen die Entscheidung des Verwaltungs- gerichts mit Beschluss vom 22. Juli 2020 zurück (NJW 2020, 2743). Anlässlich weiterer Rechtsstreitigkeiten zwischen den Parteien versandte die Beklagte im Zeitraum vom 10. April 2019 bis zum 28. Dezember 2020 sie- benmal ein Empfangsbekenntnis durch unverschlüsseltes Telefax an das Ver- waltungsgericht. Die Empfangsbekenntnisse enthielten jeweils den Nachnamen des Klägers und die Bezeichnung der Beklagten ("in der Verwaltungsstreitsache [Nachname des Klägers] ./. [Beklagte]"), das verwaltungsgerichtliche Aktenzei- chen und das Aktenzeichen der Beklagten ("Ihr Zeichen […]"). Der Kläger vertritt die Auffassung, auch die Versendung der Telefaxe sei aus datenschutzrechtlichen Gründen unzulässig gewesen und verlangt die Zah- lung einer Geldentschädigung von 17.500 € (7 x 2.500 €). Hierzu behauptet er, er sei Inhaber einer Firma, die explosionsgefährliche Stoffe vertreibe, und zwar vornehmlich an nationale Sicherheitsbehörden, die diese für die Wahrnehmung hoheitlicher Aufgaben benötigten. Angesichts dessen sei er aufgrund seiner be- ruflichen Tätigkeit Gefahren für Leib und Leben ausgesetzt. Es bestehe die Ge- fahr, dass Dritte ihn zur Erlangung seiner Produkte entführen oder einen Raub 3 4 - 4 - begehen könnten. Die Beklagte habe daher die Versendung der Telefaxe in un- verschlüsselter Form nicht vornehmen, sondern die Empfangsbekenntnisse viel- mehr ausschließlich auf dem Postweg versenden dürfen. Insofern sei zu berück- sichtigen, dass beim Abfangen eines der Faxe unter anderem gerichtliche Akten- zeichen bekannt würden, die es potentiellen Tätern ermöglichten, hierüber wei- tere Daten des Klägers auszuspähen. Zudem wohne im Zuständigkeitsbereich der Beklagten auch keine weitere Person mit dem gleichen Nachnamen. Das Landgericht hat die Beklagte verurteilt, an den Kläger 7.000 € zu zah- len, und die weitergehende Klage abgewiesen. Das Oberlandesgericht hat die Berufungen des Klägers und der Beklagten zurückgewiesen. Mit den vom Beru- fungsgericht zugelassenen Revisionen verfolgen der Kläger und die Beklagte ihre Berufungsanträge weiter. Entscheidungsgründe: I. Das Berufungsgericht hat ausgeführt, die Klage sei zulässig, obwohl der Kläger keine ladungsfähige Anschrift angegeben habe. Der Kläger habe darge- legt, dass er ein schutzwürdiges Interesse daran habe, seine Privatanschrift im Rahmen des Möglichen geheim zu halten. Zwar könne diesem Interesse auch durch einen besonders sensiblen Umgang des Gerichts und der weiteren Ver- fahrensbeteiligten mit den Daten Rechnung getragen werden. Gleichwohl ver- bleibe zumindest die naheliegende Möglichkeit einer unbeabsichtigten Weiter- gabe der Daten. Zudem bestehe an der Identität des Klägers für die Beklagte, die bereits diverse Rechtsstreitigkeiten gegen den Kläger geführt habe und seine Anschrift kenne, kein Zweifel. Der Kläger habe sowohl in erster wie in zweiter 5 6 - 5 - Instanz gezeigt, dass er Ladungen Folge leiste. Schließlich vermöge das Gericht sein Ermessen über die Verpflichtung zum persönlichen Erscheinen aufgrund der Angabe des Wohnortes sachgerecht auszuüben. Die Beklagte sei dem Kläger gemäß § 54 Abs. 1, Abs. 2 NDSG, Art. 82 Abs. 1 DSGVO zum Ersatz seines immateriellen Schadens verpflichtet. Die Über- sendung der Faxnachrichten stelle eine rechtswidrige Verarbeitung personenbe- zogener Daten gemäß § 3 Satz 1 NDSG i.V.m. Art. 6 DSGVO dar. Die Beklagte könne sich nicht auf Art. 6 Abs. 1 Satz 1 Buchst. c DSGVO berufen. Die Über- sendung per Fax sei schon deshalb nicht erforderlich gewesen, weil auch die Möglichkeit bestanden habe, die Empfangsbekenntnisse auf dem Postweg an das Verwaltungsgericht zurückzusenden. Schließlich erweise sich die Daten- übermittIung nicht gemäß Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO als rechtmäßig, da die schützenswerten Interessen des Klägers das Interesse der Beklagten an der Übermittlung überwögen. Der Kläger sei aufgrund seiner beruflichen Tätigkeit einer erhöhten abstrakten Gefahr von Straftaten gegen seine Person ausgesetzt. Hinter seinem daraus resultierenden Interesse an einem besonders sensiblen Umgang mit seinen persönlichen Daten trete das Interesse der Beklagten, die Empfangsbekenntnisse unverschlüsselt auf elektronischem Wege zu übermit- teln, zurück. Dabei sei zu berücksichtigen, dass die Wahrscheinlichkeit eines un- befugten Zugriffs auf die Daten des Klägers, die noch dazu einen Rückschluss auf seinen Wohnsitz nicht ohne weiteres zuließen, und einer daraus erwachsen- den konkreten Gefährdung, gering sei. Etwas anderes habe der Kläger nicht dar- getan. Andererseits drohe im Falle der Realisierung dieser Gefahr ein erheblicher Schaden für den Kläger wie auch für unbeteiligte Dritte. Dem stehe auf Seiten der Beklagten lediglich ein geringer Mehraufwand durch einen postalischen Ver- sand der Empfangsbekenntnisse oder deren verschlüsselter Übermittlung ge- genüber. Ihr Interesse an der unverschlüsselten elektronischen Übermittlung 7 - 6 - habe daher hinter den Belangen des Klägers zurückzutreten. Die Schutzwürdig- keit der Interessen des Klägers entfalle nicht deshalb, weil er selbst seine Daten anderweitig einem größeren Personenkreis zugänglich gemacht habe. Eine besondere Gefährdung des Klägers resultiere aus der Offenlegung seiner Privatanschrift. Der Kläger habe dazu ausgeführt, dass es in der Vergan- genheit mehrfach Einbruchversuche in seine auf verschiedene Bundesländer verteilten Sprengstofflager gegeben habe. Diese seien jedoch stets erfolglos ge- blieben, da die Lagerstätten in besonderer Weise gesichert seien. Zu befürchten sei nunmehr, dass Kriminelle seine Privatanschrift aufsuchen könnten, um dort gewaltsam in den Besitz von Schlüsseln zu den Lagern zu gelangen. Seine Pri- vatanschrift versuche der Kläger daher nach Möglichkeit geheim zu halten. Le- diglich der Gemeinde B. sei sie im Rahmen der Gewerbeanmeldung bekannt ge- macht worden. Die Gemeinde habe jedoch mitgeteilt, der Kläger habe auch dort eine Sperrung seiner Daten, namentlich seiner Privatanschrift, erwirkt. Einem größeren Personenkreis zugänglich seien mithin lediglich die Daten seiner ge- werblichen Niederlassung, nicht jedoch ein örtlicher Bezug des Klägers zum Ge- meindegebiet der Beklagten. Hinzu komme, dass der Kläger einer unverschlüs- selten elektronischen Übermittlung seiner personenbezogenen Daten bereits mit Schreiben vom 9. Dezember 2015 widersprochen habe. Die Beklagte habe dem Kläger am 25. Februar 2016 schriftlich bestätigt, dass auf nichtverschlüsseltem elektronischen Wege keine personenbezogenen Daten übermittelt würden. Der Versand der unverschlüsselten Telefaxe erweise sich angesichts dessen auch gemäß Art. 18 Abs. 1 Buchst. d DSGVO i.V.m. Art. 21 Abs. 1 DSGVO als rechts- widrig. Die Beklagte könne einer Haftung nicht entgegenhalten, die potentielle Gefährdung des Klägers durch die unverschlüsselte Übermittlung seiner Daten 8 9 - 7 - sei für sie nicht erkennbar gewesen, weshalb sie den datenschutzrechtlichen Ver- stoß nicht zu vertreten habe (§ 54 Abs. 3 NDSG, Art. 82 Abs. 3 DSGVO). Bereits aufgrund der Entscheidung des Verwaltungsgerichts aus dem Januar 2019 habe die Beklagte von einer Gefährdung des Klägers ausgehen und auf die unver- schlüsselte Übermittlung personenbezogener Daten verzichten müssen. Darüber hinaus würde selbst die fehlende Erkennbarkeit der erhöhten Schutzbedürftigkeit der Daten des Klägers den Verstoß gegen Art. 18 Abs. 1 Buchst. d DSGVO i.V.m. Art. 21 Abs. 1 DSGVO nicht entfallen lassen. Gemäß § 54 Abs. 1 und Abs. 2 NDSG, Art. 82 Abs. 1 DSGVO hafte die Beklagte dem Kläger folglich für die ihm erwachsenen Schäden, was auch im- materielle Schäden umfasse. Der datenschutzrechtliche Verstoß der Beklagten verletze den Kläger in seinem Recht auf informationelle Selbstbestimmung und damit in seinem allgemeinen Persönlichkeitsrecht. Insoweit sei der Beklagten al- lerdings zuzugestehen, dass nach bisheriger Rechtslage vor Inkrafttreten der Da- tenschutzgrundverordnung nicht jede Persönlichkeitsrechtsverletzung eine Geldentschädigung wegen eines immateriellen Schadens rechtfertige. Welches Schutzniveau nunmehr auf der Grundlage von Art. 82 DSGVO gelte, werde in Rechtsprechung und Literatur unterschiedlich beantwortet. Bei Anlegung der verschiedenen Maßstäbe ergebe sich jedenfalls ein An- spruch des Klägers. Es liege eine schwerwiegende Persönlichkeitsrechtsverlet- zung vor, die einen Ausgleich durch Geldzahlung gebiete. Der Rechtsverstoß der Beklagten begründe für den Kläger nicht lediglich die Gefahr von Unannehmlich- keiten oder einer Beeinträchtigung seines Ansehens, sondern eine - wenn auch abstrakte und wenig wahrscheinliche - Gefährdung für Leib und Leben. Die Be- klagte habe aufgrund des Schreibens des Klägers vom 9. Dezember 2015, der Entscheidung des Verwaltungsgerichts aus dem Januar 2019 und der sich an- 10 11 - 8 - schließenden langandauernden Auseinandersetzung der Parteien über die Ge- fährdungssituation des Klägers allen Anlass gehabt, im Umgang mit dessen Da- ten besonders vorsichtig zu sein, entsprechende organisatorische Maßnahmen zu ergreifen und - gemäß ihrer Zusicherung vom 25. Februar 2016 - auf die un- verschlüsselte elektronische Übermittlung zu verzichten, was im konkreten Fall ohne nennenswerten Mehraufwand möglich gewesen wäre. Die schwerwiegende Verletzung des Persönlichkeitsrechts des Klägers entfalle nicht deshalb, weil sich die mit der Datenverarbeitung begründete Gefahr nicht realisiert habe. Es sei dem Kläger wegen der wiederholten Verstöße, die jedenfalls eine Sorglosigkeit auf Seiten der Beklagten belegten, nicht zuzumuten, Rechtsverletzungen so- lange ersatzlos hinzunehmen, bis eine sich damit begründete abstrakte Gefahr in eine konkrete umwandele. Vielmehr gebiete der effektive Schutz des Persön- lichkeitsrechts bereits jetzt eine Entschädigung, da die Beklagte die berechtigten Interessen des Klägers beharrlich verletzt habe. Das diene neben dem Ausgleich des erlittenen Schadens auch dem Schutz vor zukünftigen weiteren Verstößen. Die aufgezeigten Umstände rechtfertigten daher ein Schmerzensgeld, das auf 1.000 € pro Verstoß, mithin auf 7.000 € zu bemessen sei. Soweit der Kläger mit seiner Berufung eine Erhöhung dieses Betrages er- strebe, sei ihm nicht zu folgen. Der besonderen Sensibilität der personenbezo- genen Daten des Klägers sei bereits dadurch ausreichend Rechnung getragen, dass von einer schwerwiegenden, ein Schmerzensgeld rechtfertigenden Persön- lichkeitsrechtsverletzung ausgegangen worden sei, obwohl die Faxe lediglich sei- nen Namen und das Aktenzeichen des verwaltungsgerichtlichen Verfahrens ent- halten hätten, die eine Ermittlung des Wohnsitzes des Klägers erst unter Heran- ziehung weiterer, nicht allgemein zugänglicher Informationen zuließen. Auch der Umstand, dass die Beklagte wiederholt gegen die datenschutzrechtlichen Vorga- ben verstoßen und offenbar keine ausreichenden Sicherungsmaßnahmen ergrif- 12 - 9 - fen habe, sei in die Bemessung des Schmerzensgeldes bereits eingeflossen. So- weit der Kläger auf Entscheidungen hinweise, in denen bis zu sechsstellige Schmerzensgeldbeträge zuerkannt worden seien, weil der Berechtigte durch eine Handlung des Schädigers in Lebensgefahr gebracht worden sei, verkenne er, dass eine konkrete Gefährdung seiner Person nicht ersichtlich sei. Soweit er in der Berufungsinstanz erstmals behaupte, er sei durch die nicht auszuräu- mende Gefahr, dass seine Daten unbefugten Dritten bekannt geworden sein könnten, enorm psychisch belastet, handele es sich um neues Vorbringen, das gemäß § 531 ZPO unbeachtlich sei. Das Landgericht sei nicht zu Unrecht von versehentlichen Verstößen gegen die datenschutzrechtlichen Vorschriften aus- gegangen. Der Kläger verkenne, dass er für die eine Erhöhung des Schmerzens- geldes maßgeblichen Umstände darlegungs- und beweisbelastet sei. Auch die wiederholte Versendung der Empfangsbekenntnisse per Fax lasse nicht den si- cheren Schluss zu, Beschäftigte der Beklagten hätten sich vorsätzlich über be- stehende Vorschriften hinweggesetzt. Insbesondere die Mitteilung des Verwal- tungsgerichts, wonach die Empfangsbekenntnisse per Post oder Fax hätten übermittelt werden können, lasse einen versehentlichen Verstoß plausibel er- scheinen, ohne dass der angesprochene Hinweis die Beklagte von der Verant- wortlichkeit für die Einhaltung der datenschutzrechtlichen Vorgaben habe entbin- den können. Soweit der Kläger auf eine Gefährdung der AIIgemeinheit abstelle, rechtfertige dies eine Erhöhung des Schmerzensgeldes nicht. II. Die Rechtsmittel der Beklagten haben Erfolg und führen zur Abweisung der Klage. 13 - 10 - 1. Zwar ist die Klage entgegen der Auffassung der Beklagten nicht deshalb unzulässig, weil der Kläger eine Postfachadresse, jedoch keine ladungsfähige Anschrift angegeben hat. a) Gemäß § 253 Abs. 2 Nr. 1 ZPO muss die Klageschrift die Bezeichnung der Parteien enthalten. Auf die Klageschrift sind gemäß § 253 Abs. 4 ZPO die allgemeinen Vorschriften über die vorbereitenden Schriftsätze anzuwenden. Nach § 130 Nr. 1 Halbsatz 1 ZPO sollen diese die Bezeichnung der Parteien und ihrer gesetzlichen Vertreter nach Namen, Stand oder Gewerbe, Wohnort und Parteistellung enthalten. Zu dieser in jeder Lage des Verfahrens und damit auch noch in der Revisionsinstanz von Amts wegen zu prüfenden Sachurteilsvoraus- setzung der ordnungsgemäßen Klageerhebung gehört unter Berücksichtigung der Bedeutung der Klageschrift für den Gang des Verfahrens nach der ständigen Rechtsprechung des Bundesgerichtshofs grundsätzlich auch die Angabe der la- dungsfähigen Anschrift des Klägers. Wird diese Angabe, obgleich möglich, schlechthin oder ohne zureichenden Grund - wie etwa schutzwürdige Geheim- haltungsinteressen der Partei - verweigert, ist die Klage grundsätzlich unzulässig, was auch dann gilt, wenn ein Kläger (wie hier) durch einen Prozessbevollmäch- tigten vertreten ist. Die Angabe einer ladungsfähigen Anschrift dient der Identifi- zierung des Klägers. Gleichzeitig dokumentiert dieser hiermit seine Bereitschaft, sich möglichen nachteiligen Folgen des Prozesses, insbesondere einer Kosten- tragungspflicht, zu stellen und damit den Prozess nicht aus dem Verborgenen heraus zu führen. Zudem wird dem Gericht nur hierdurch ermöglicht, das persön- liche Erscheinen des Klägers anzuordnen, da die Ladung hierzu nach § 141 Abs. 2 Satz 2 Halbsatz 1 ZPO der Partei selbst mitzuteilen ist, auch wenn sie einen Prozessbevollmächtigten bestellt hat (vgl. BGH, Urteil vom 7. Juli 2023 - V ZR 210/22, NJW-RR 2023, 1291 Rn. 6 mwN). Wenn schutzwürdige Geheim- haltungsinteressen der Angabe der ladungsfähigen Anschrift des Klägers entge- genstehen, müssen dem Gericht die insoweit maßgebenden Gründe unterbreitet 14 15 - 11 - werden, damit es prüfen kann, ob ausnahmsweise auf die Mitteilung der ladungs- fähigen Anschrift des Klägers verzichtet werden kann (vgl. BGH, Urteil vom 9. Dezember 1987 - IVb ZR 4/87, BGHZ 102, 332, juris Rn. 9). b) Danach ist die Angabe eines Postfaches zwar grundsätzlich nicht aus- reichend (vgl. BeckOK ZPO/Bacher, 56. Ed. 1.3.2025, § 253 Rn. 46.1a). Denn die ladungsfähige Anschrift ist nicht jede Anschrift, unter der eine Zustellung an den Zustelladressaten möglich ist, sondern eine solche, unter der der Zustellad- ressat tatsächlich zu erreichen ist und die ernsthafte Möglichkeit der Übergabe eines zuzustellenden Schriftstückes an ihn selbst besteht. Diese Definition knüpft an die Regelung des § 177 ZPO an, der von dem Leitbild der unmittelbaren Zu- stellung durch Übergabe an die Person, der zugestellt werden soll, ausgeht; die Ersatzzustellung stellt demgegenüber nur eine Hilfslösung dar (vgl. BGH, Urteil vom 7. Juli 2023 - V ZR 210/22, NJW-RR 2023, 1291 Rn. 9). c) Allerdings hat der Kläger entgegen der Auffassung der Beklagten aus- reichend dargelegt, dass schutzwürdige Geheimhaltungsinteressen der Angabe seiner ladungsfähigen Anschrift entgegenstehen. Bei seiner Anhörung durch das Landgericht hat er angegeben, explosionsgefährliche Sprengstoffe für behördli- che Zwecke zu vertreiben, die er in erster Linie an staatliche Sicherheitsbehörden verkaufe. Es habe seit 2010 auch schon ein knappes Dutzend erfolglose Ein- bruchsversuche in seine Sprengstofflager gegeben. Deren zweite Türen seien so massiv, dass man für die Öffnung die Schlüssel brauche. Deshalb bestehe die Gefahr, dass seine Privatanschrift herausgefunden werden solle, um an die Schlüssel für die zweiten Türen zu gelangen. Abweichendes ergibt sich nicht aus dem Hinweis der Beklagten auf die Angaben, die ein für Gefährdungsbewertungen zuständiger Polizeibeamter am 16 17 18 - 12 - 19. Mai 2020 als Zeuge vor dem Oberverwaltungsgericht machte. Danach ge- langte der Polizeibeamte im Jahr 2019 zu dem Ergebnis, dass der Kläger auf einem achtstufigen Prognoseschema auf der Stufe sieben einzustufen sei, d.h. eine Gefährdung nicht auszuschließen sei. Er halte den Kläger nicht für konkret, sondern für abstrakt gefährdet. Der Hinweis der Beklagten, dass die weitere Begründung des Berufungs- gerichts, es beständen keine Zweifel an der Identität des Klägers, dessen An- schrift sei der Beklagten bekannt, der Kläger habe Ladungen in erster und zweiter Instanz Folge geleistet und das Gericht könne aufgrund der Angabe des Wohn- orts sein Ermessen zur Anordnung des persönlichen Erscheinens sachgerecht ausüben, lediglich auf die bisherige Zuverlässigkeit des Klägers abziele, ist im Ausgangspunkt richtig. Aus den vom Berufungsgericht angeführten Umständen ergibt sich allerdings nicht, dass geringere Anforderungen an die Schutzwürdig- keit des Klägers zu stellen sind. Vielmehr deuten sie darauf hin, dass der Kläger seine ladungsfähige Anschrift nur wegen seiner Gefährdung nicht angibt und da- mit keine anderen, nicht schutzwürdigen Zwecke verfolgt. Das weitere Vorbringen der Beklagten, es beständen erhebliche Zweifel an der Zuverlässigkeit des Klägers und es gebe Anlass zu der Annahme, dass der Kläger formalistisch-pedantisch auf sein Recht bestehen werde, mit der Folge, dass er dann, wenn es ihm zum Vorteil gereiche, geltend machen werde, mangels ladungsfähiger Anschrift nicht ordnungsgemäß geladen worden zu sein oder ein zuzustellendes Dokument habe ihn nicht erreicht, wird weder substanti- iert noch belegt. 2. Das Berufungsgericht hat jedoch rechtsfehlerhaft angenommen, dass der Kläger gegen die Beklagte einen Anspruch auf Schadensersatz hat, weil diese anlässlich verschiedener Rechtsstreitigkeiten zwischen den Parteien im 19 20 21 - 13 - Zeitraum vom 10. April 2019 bis zum 28. Dezember 2020 siebenmal Empfangs- bekenntnisse mit dem Nachnamen des Klägers und der Bezeichnung der Be- klagten ("in der Verwaltungsstreitsache [Nachname des Klägers] ./. [Beklagte]"), dem verwaltungsgerichtlichen Aktenzeichen und dem Aktenzeichen der Beklag- ten ("Ihr Zeichen […]") durch unverschlüsseltes Telefax an das Verwaltungsge- richt übersandte. a) Der vom Kläger geltend gemachte Anspruch kann sich nicht aus § 54 NDSG ergeben, da diese Vorschrift schon nicht anwendbar ist. Sie befindet sich im zweiten Teil des Niedersächsischen Datenschutzgesetzes, der nur für die in § 23 Abs. 1 und Abs. 2 NDSG genannten öffentlichen Stellen gilt (siehe weiter - insbesondere zur Umsetzung der JI-RL durch diese Vorschriften - HK-NDSG/ Heermann, 2023, § 23 Rn. 1 f.; HK-NDSG/Krügel/Schlee, vor § 1 Rn. 12; HK- NDSG/Barnitzke, § 54 Rn. 2 f.). Die Beklagte handelte nicht als solche Stelle, als sie die Empfangsbekenntnisse durch Telefax an das Verwaltungsgericht über- sandte. b) Der Kläger hat entgegen der Auffassung des Berufungsgerichts - dem allerdings die nachfolgend genannten, zwischenzeitlich ergangenen Entschei- dungen nicht bekannt sein konnten - gegen die Beklagte auch keinen Anspruch aus Art. 82 Abs. 1 DSGVO. aa) Es bedarf keiner Entscheidung, ob die Beklagte durch die unverschlüs- selte Übersendung der gerichtlichen Empfangsbekenntnisse gegen die Daten- schutzgrundverordnung verstieß. Insbesondere kann offenbleiben, ob die Erwä- gungen, die das Oberverwaltungsgericht (NJW 2020, 2743) zur Übermittlung ei- nes Bescheids mit den als besonders sensibel bewerteten personenbezogenen Daten des Namens und der Adresse des Klägers sowie der Fahrzeugidentifikati- onsnummer und des amtlichen Kennzeichens seines Fahrzeugs anstellte, auch 22 23 24 - 14 - auf die Übermittlung eines gerichtlichen Empfangsbekenntnisses zutreffen, dem nur der Nachname des Klägers sowie gerichtliche und behördliche Aktenzeichen zu entnehmen sind. bb) Jedenfalls hat der Kläger nicht dargelegt, einen immateriellen Schaden erlitten zu haben. (1) Der bloße Verstoß gegen die Datenschutzgrundverordnung reicht nicht aus, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu be- gründen. Denn das Vorliegen eines materiellen oder immateriellen "Schadens" stellt ebenso eine der Voraussetzungen für den in dieser Bestimmung vorgese- henen Schadensersatzanspruch dar, wie das Vorliegen eines Verstoßes gegen die Datenschutzgrundverordnung und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Insofern muss die Person, die auf der Grundlage dieser Bestimmung Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmun- gen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Ver- stoß ein solcher Schaden entstanden ist. Ein solcher Schaden kann daher nicht allein aufgrund des Eintritts dieses Verstoßes vermutet werden. Insbesondere muss eine Person, die von einem Verstoß gegen die Datenschutzgrundverord- nung betroffen ist, der für sie nachteilige Folgen hatte, den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 140 ff.; Senat, Urteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 28 f.; jeweils mwN). Aus der im ersten Satz des 85. Erwägungsgrundes der Datenschutzgrund- verordnung enthaltenen beispielhaften Aufzählung der "Schäden", die den be- troffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber 25 26 27 - 15 - unter den Begriff "Schaden" insbesondere auch den bloßen "Verlust der Kon- trolle" über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz- grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Ver- wendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 145 mwN). Nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Er- wägungsgründe 85 und 146, wonach der Begriff "immaterieller Schaden" im Sinne dieses Artikels weit zu verstehen ist, sondern auch aus dem mit der Da- tenschutzgrundverordnung verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt sich, dass die durch einen Verstoß gegen die Datenschutzgrundver- ordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezo- genen Daten könnten von Dritten missbräuchlich verwendet werden, für sich ge- nommen einen "immateriellen Schaden" im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 144 mwN). Wenn sich eine Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Schadensersatz fordert, auf die Befürchtung beruft, dass ihre personenbezoge- nen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwen- det werden, ist zu prüfen, ob diese Befürchtung unter den gegebenen besonde- ren Umständen und im Hinblick auf die betroffene Person als begründet angese- hen werden kann (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 143 mwN). Die bloße Behauptung einer Befürchtung ohne nachgewie- sene negative Folgen reicht nicht aus (vgl. EuGH, Urteil vom 20. Juni 2024 - C- 590/22, DB 2024, 1676 Rn. 35). Ein rein hypothetisches Risiko der missbräuch- 28 29 - 16 - lichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschä- digung führen (vgl. EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519 Rn. 68). (2) Davon ausgehend hat das Berufungsgericht rechtsfehlerhaft angenom- men, dass die vom Kläger geltend gemachte Befürchtung, dass die in den ge- richtlichen Empfangsbekenntnissen enthaltenen personenbezogenen Daten von Dritten missbräuchlich verwendet werden, einen ersatzfähigen immateriellen Schaden darstellt. Aus seinem Vorbringen ergibt sich kein Kontrollverlust, son- dern ein rein hypothetisches Risiko. (a) Der Kläger behauptet, er sei Inhaber einer Firma, die explosionsge- fährliche Stoffe vertreibe, und zwar vornehmlich an nationale Sicherheitsbehör- den, die diese für die Wahrnehmung hoheitlicher Aufgaben benötigten. Ange- sichts dessen sei er aufgrund seiner beruflichen Tätigkeit Gefahren für Leib und Leben ausgesetzt. Es bestehe die Gefahr, dass Dritte ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen könnten. Die Beklagte habe daher die Versendung der Telefaxe in unverschlüsselter Form nicht vornehmen, son- dern die Empfangsbekenntnisse vielmehr ausschließlich auf dem Postweg ver- senden dürfen. Insofern sei zu berücksichtigen, dass beim Abfangen eines der Faxe unter anderem gerichtliche Aktenzeichen bekannt würden, die es potentiel- len Tätern ermöglichten, hierüber weitere Daten des Klägers auszuspähen. Zu- dem wohne im Zuständigkeitsbereich der Beklagten auch keine weitere Person mit dem gleichen Nachnamen. Das Berufungsgericht hat in Übereinstimmung mit der polizeilichen Ge- fährdungseinschätzung festgestellt, dass der Kläger aufgrund seiner beruflichen Tätigkeit lediglich einer erhöhten abstrakten Gefahr von Straftaten gegen seine Person ausgesetzt ist und dass eine konkrete Gefährdung seiner Person nicht 30 31 32 - 17 - ersichtlich ist. Die Wahrscheinlichkeit eines unbefugten Zugriffs auf die Daten des Klägers, die noch dazu einen Rückschluss auf seinen Wohnsitz nicht ohne wei- teres zuließen, und einer daraus erwachsenden konkreten Gefährdung, ist äu- ßerst gering. (b) Den Verlust der Kontrolle über die in den gerichtlichen Empfangsbe- kenntnissen enthaltenen Daten hat der Kläger nicht dargelegt. Entgegen seiner Auffassung liegt ein Kontrollverlust nicht bereits deshalb vor, weil wegen der un- verschlüsselten Übersendung durch Telefax theoretisch die Möglichkeit bestand, diese abzufangen (vgl. dazu EuGH, Urteil vom 25. Januar 2024 - C-687/21, DB 2024, 519 Rn. 62 f., 68 f.). Denn der Verstoß gegen eine datenschutzrechtlich gebotene Sicherungsmaßnahme führt regelmäßig dazu, dass Dritte auf die zu schützenden Daten zumindest einfacher zugreifen könnten. Würde schon allein die Möglichkeit des erleichterten Zugriffs einen Kontrollverlust und damit einen Schaden darstellen, hätte diese Voraussetzung in derartigen Fallkonstellationen praktisch keine eigenständige Bedeutung mehr. Die Befürchtung des Klägers, die unverschlüsselt übersandten Telefaxe könnten abgefangen worden sein und die in den gerichtlichen Empfangsbekennt- nissen enthaltenen Daten könnten von Dritten missbraucht werden, ergibt sich aus einem lediglich hypothetischen Risiko. Zwar mag es sein, dass - wie das Berufungsgericht meint - eine besondere Gefährdung des Klägers aus der Offen- legung seiner Privatanschrift resultieren könnte. Weiter mag es zutreffen, dass hinter dem deshalb bestehenden Interesse des Klägers an einem besonders sen- siblen Umgang mit seinen persönlichen Daten das Interesse der Beklagten, die Empfangsbekenntnisse unverschlüsselt auf elektronischem Wege zu übermit- teln, zurücktreten muss, weil im Falle der Realisierung der Gefahr ein erheblicher Schaden für den Kläger wie auch für unbeteiligte Dritte droht und der Beklagten 33 34 - 18 - lediglich ein geringer Mehraufwand durch einen postalischen Versand der Emp- fangsbekenntnisse oder deren verschlüsselter Übermittlung entsteht. All dies än- dert jedoch nichts daran, dass das vom Kläger nur schlagwortartig geschilderte Risiko, die von der Beklagten an das Verwaltungsgericht versandten Telefaxe könnten abgefangen worden sein und letztlich seine Privatanschrift ausgespäht werden, lediglich rein hypothetisch ist (vgl. einerseits EuGH, Urteil vom 25. Ja- nuar 2024 - C-687/21, DB 2024, 519 Rn. 69 zur Weitergabe eines Dokuments, das personenbezogene Daten enthält, an einen unbefugten Dritten, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, und der Befürchtung der betroffenen Person, dass im Anschluss an die Weitergabe, die es ermög- lichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet; andererseits EuGH, Urteil vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 8 ff., 29 ff.; Senat, Urteile vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 2, 12; vom 11. Februar 2025 - VI ZR 365/22, NJW 2025, 1656 Rn. 14 ff.; vom 13. Mai 2025 - VI ZR 67/23, unter II.2.c); zur Veröffentlichung personenbezoge- ner Daten im Internet und dem daraus resultierenden Verlust der Hoheit über diese Daten EuGH, Urteile vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 35 ff., 150; vom 14. Dezember 2023 - C-340/21, DB 2024, 246 Rn. 10 ff., 75 ff.; Senat, Urteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 1 ff., 27 ff.). (3) Entgegen der Auffassung des Berufungsgerichts hat Art. 82 DSGVO keine Straf-, sondern eine Ausgleichsfunktion, sodass mit dem Ziel des Schutzes vor zukünftigen Verstößen ein Schadensersatzanspruch nicht begründet werden kann (vgl. EuGH, Urteile vom 21. Dezember 2023 - C-667/21, NZA 2024, 393 Rn. 85; vom 20. Juni 2024 - C-182/22 und C-189/22, DB 2024, 1671 Rn. 23; Se- nat, Urteile vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 10; vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 18, 96). 35 - 19 - III. Die Revision des Klägers ist zulässig, aber nicht begründet. 1. Entgegen der Auffassung der Beklagten ist die Revision des Klägers nicht deshalb unzulässig, weil dieser in seiner Revisionsschrift ein Postfach und keine ladungsfähige Adresse angegeben hat. Eine Rechtsmittelschrift ist auch dann ordnungsgemäß, wenn die ladungsfähige Anschrift des Rechtsmittelführers fehlt (vgl. BGH, Urteile vom 13. Januar 2012 - V ZR 183/10, NJW-RR 2012, 429 Rn. 4; vom 11. Oktober 2005 - XI ZR 398/04, NJW 2005, 3773 Rn. 10 ff. mwN; MüKoZPO/Krüger, 6. Aufl., § 549 Rn. 3). Der Verweis in § 549 Abs. 2 ZPO auf die Sollvorschrift des § 130 Nr. 1 ZPO ändert daran nichts. Nur wenn der Rechts- mittelführer rechtsmissbräuchlich den Rechtsstreit "aus dem Verborgenen" führt und seine Anschrift nicht preisgibt, um Kostenerstattungsansprüche des Gegners zu vereiteln, fehlt das erforderliche Rechtsschutzinteresse (vgl. BGH, Urteil vom 13. Januar 2012 - V ZR 183/10, NJW-RR 2012, 429 Rn. 4 mwN). Dafür bestehen hier keine Anhaltspunkte (siehe oben II.1.c). Abweichendes ergibt sich nicht aus dem Hinweis der Beklagten auf BGH, Urteil vom 18. Dezember 2019 - VIII ZR 332/18, NJW-RR 2020, 472 Rn. 15, wonach die Person des Rechtsmittelklägers zweifelsfrei erkennbar sein muss. Denn die Anschrift einer Partei ist nicht not- wendig, um ihre Parteirolle in der Rechtsmittelinstanz zu bestimmen (vgl. BGH, Urteil vom 9. Dezember 1987 - IVb ZR 4/87, BGHZ 102, 332, juris Rn. 6). 2. Die Revision des Klägers, der eine höhere Geldentschädigung anstrebt, ist aber unbegründet, da bereits dem Grunde nach kein Anspruch besteht (siehe oben II.2.). 36 37 38 - 20 - IV. Der Senat entscheidet in der Sache selbst, da die Sache zur Endentschei- dung reif ist (§ 563 Abs. 3 ZPO). Seiters Oehler Müller Allgayer Linder Vorinstanzen: LG Osnabrück, Entscheidung vom 15.02.2022 - 6 O 2332/21 - OLG Oldenburg, Entscheidung vom 31.05.2022 - 13 U 17/22 - 39