Schadensersatz­an­sprüche bei Daten­schutz­ver­stößen

Lupe vor einem Schloss mit Schlüssel

Die DSGVO sieht ein Recht auf Schadensersatz bei Datenschutzverstößen vor. Neue Urteile des EuGHs haben dieses Recht bestärkt und die Schwelle für den Nachweis von Schäden gesenkt.  

In diesem Rechtstipp der Woche möchten wir einen Überblick über Schadensersatzansprüche geben und erklären, wie man sie vermeiden kann.  

Was regelt die DSGVO zu Schadensersatzansprüchen? 

Die DSGVO sieht in Art. 82 einen Anspruch auf Schadensersatz vor für „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“. Jeder Verantwortliche haftet für den Schaden, den er durch Verstöße gegen die DSGVO verursacht hat. Von dieser Haftung kann er sich nur befreien, wenn er nachweisen kann, dass er die Umstände, die zum Schaden geführt haben, nicht zu verantworten hat.  

Ein Schaden kann beispielsweise entstehen, wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung oder der unbefugten Aufhebung der Pseudonymisierung führt. Prinzipiell ist jeder wirtschaftliche oder gesellschaftliche Nachteil ein Schaden. Allein der Verlust über die Kontrolle der Daten ist bereits ein Schaden. Dies ist etwa der Fall, wenn Daten in die Hände von Dritten gelangen.  

Die DSGVO erhält keine Vorgaben über die Höhe des Schadensersatzes und wie diese bestimmt werden kann.  

Was hat der EuGH zur Erheblichkeitsschwelle und zum Nachweis des Schadens geurteilt?  

Der EuGH hat mit Urteil vom 04.05.2023 (C‑300/21) entschieden, dass der bloße Verstoß gegen Bestimmungen der DSGVO nicht reicht, um einen Schadensersatzanspruch geltend zu machen. Vielmehr muss ein tatsächlicher Schaden entstanden sein, der durch Verstöße gegen die DSGVO verursacht wurde. Gleichzeitig wurde aber auch geurteilt, dass es für entstandene Schäden keine Erheblichkeitsschwelle gibt. 

Das bedeutet, dass der Begriff des Schadens weit gefasst wird und auch immaterielle Schäden mitumfasst sind. Dies wäre beispielsweise der Fall, wenn es durch ein Datenleck zu einem Kontrollverlust über E-Mail-Adressen kommt. Der EuG hat mit seinem Urteil vom 08.01.2025 (T354/22) nochmals festgehalten und betont, dass allein der Verlust über die Kontrolle über die Daten die Rechte und Freiheiten des Klägers beeinträchtigt und damit ein immaterieller Schaden ist. Auch in diesem Urteil wird festgestellt, dass es keine Erheblichkeitsschwelle gibt. Der Kontrollverlust kann im Fall von E-Mail-Adressen beispielsweise dazu führen, dass Betroffene unerwünschte E-Mails bekommen oder ihre E-Mail-Adresse gegen ihren Willen veröffentlicht wird. Auch wenn solche Kontrollverluste auf den ersten Blick nicht gravierend erscheinen, so lassen sie doch einen Anspruch auf Schadensersatz entstehen.  

Im Urteil vom 04.10.2024 (C200/23) hat sich der EuGH unter anderem mit der Frage beschäftigt, ob der Begriff des immateriellen Schadens den Nachweis spürbarer negativer Folgen erfordert. Laut dem EuGH trägt der Betroffene zwar die Beweislast für den immateriellen Schaden, aber es ist nicht erforderlich, dass eine tatsächliche missbräuchliche Verwendung der betroffenen Daten zum Nachteil des Betroffenen erfolgt ist. Vielmehr reicht bereits die Befürchtung, dass die Daten durch den Kontrollverlust missbräuchlich verwendet werden könnten und es muss kein Nachweis über spürbare nachteilige Folgen erbracht werden. Bei einem Kontrollverlust könnten Daten etwa genutzt werden, um im Namen des Betroffenen in Online-Shops Bestellungen aufzugeben oder um ihn mit dem erlangten Wissen zu erpressen. Eine missbräuchliche Verwendung können aber auch vermeintlich harmlose Handlungen wie der unerwünschte Versand von Werbung sein.  

Die DSGVO soll laut dem EuGH einen vollständigen und wirksamen Schadensersatz sicherstellen, der den erlittenen Schaden in vollem Umfang ausgleichen soll. Die Bemessung der Höhe des Schadensersatzes unterfällt jedoch den nationalen Gerichten, die die jeweiligen nationalen Vorschriften anzuwenden haben.  

Welche Schadensersatzansprüche wurden durch deutsche Gerichte zugesprochen?  

In Deutschland haben verschiedene Gerichte Betroffenen Schadensersatz nach Datenschutzverstößen zugesprochen. So bekam eine Klägerin vom Landgericht Zwickau (Urteil vom 14.09.2022 – Az. 7 O 334/22) 1.000€ Schadensersatz von Facebook zugesprochen, weil Dritte unbefugten Zugriff auf ihr Facebook-Konto hatten und Daten hieraus im Internet verbreitet haben. Der Verstoß seitens Facebook war das Unterlassen von Sicherheitsmaßnahmen, die den Zugriff Dritter hätten verhindern können. Der immaterielle Schaden der Klägerin war die Möglichkeit von Missbrauch ihrer Daten, z. B. im Rahmen eines Identitätsdiebstahls oder dem Versand von Phising-Nachrichten.  

In einem anderen Fall bekam der Kläger vom Landgericht Oldenburg (Urteil vom 8. Oktober 2022 – Az. 5 O 1809/22) insgesamt 3.000€ Schadensersatz von Meta, der Muttergesellschaft von Facebook, zugesprochen. Der Schadensersatz verteilte sich auf unbefugten Zugriff auf Daten sowie die Nichterteilung eines Auskunftsersuchens. An diesem Urteil ist bemerkenswert, dass der Kläger sich nicht auf ein bereits eingetretenes konkretes Schadensereignis berufen hat, sondern, dass allein die Möglichkeit des unbefugten Zugriffs für den Anspruch auf Schadensersatz ausreichend war.  

Die zugesprochenen Summen erscheinen für sich allein betrachtet nicht übermäßig hoch; es sollte jedoch beachtet werden, dass jeder geschädigten Person ein solcher Anspruch zusteht. Bei Datenlecks und Sicherheitsvorfällen können tausende Personen betroffen sein und jede dieser Personen hätte jeweils einen entsprechenden Anspruch auf Schadensersatz.  

Was bedeuten diese Urteile in der Praxis? 

Diese Urteile führen dazu, dass Betroffene im Falle von Datenschutzverletzungen Schadensersatz von Unternehmen fordern können, auch wenn ihnen kein spürbarer Nachteil entstanden ist. Der Begriff des Schadens umfasst materielle und immaterielle Schäden und wird weit gefasst. Für den Anspruch auf Schadensersatz reicht es, dass die Kontrolle über die Daten beispielsweise durch einen Phishing- oder Hackerangriff aufgrund mangelnder Schutzmaßnahmen verloren wurden oder die Daten nach einer Übermittlung nicht mehr ausreichend geschützt werden. Hierbei ist zu beachten, dass dies auch gilt, wenn die Kontrolle über vermeintlich harmlose Daten wie etwa Namen, Telefonnummer oder E-Mail-Adressen verloren wurde. Es gibt keine Bagatellgrenze und keine Schwelle bis zu der ein Kontrollverlust als unkritisch gilt. Alle Daten, die einen Bezug zu einer bestimmten bzw. bestimmbaren Person haben, müssen durch geeignete Maßnahmen geschützt werden.  

Von der Haftung für Schäden können sich Unternehmen nur befreien, wenn sie nachweisen können, dass sie die Umstände, die zum Schaden geführt haben, nicht zu vertreten haben. An diesem Punkt tragen sie die Beweislast. Schuldhaftes Verhalten ihrer Mitarbeitenden müssen sich Unternehmen zurechnen lassen.   

Was kann ich tun, um Schadensersatzansprüche zu verhindern? 

Um Schadensersatzansprüche zu vermeiden, musst du in erster Linie die Anforderungen der DSGVO vollständig umsetzen und dies auch nachweisen können, um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen. Konkret bedeutet dies insbesondere auf die folgenden Punkte zu achten. 

  • Datenverarbeitungen nur mit Rechtsgrundlage: Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage und eines legitimen konkreten Zwecks 
  • Information der Betroffenen: Die Betroffenen werden über die Datenverarbeitung informiert  
  • Wahrung der Betroffenenrechte: Die Betroffenen können ihre Betroffenenrechte geltend machen und erhalten auf entsprechende Anfragen eine zeitnahe Reaktion  
  • Einhaltung der korrekten Speicherdauer: Die Daten werden nur so lange gespeichert, wie sie benötigt werden und danach endgültig gelöscht 
  • Schulung der Mitarbeitenden: Die Mitarbeitenden werden regelmäßig geschult und für sie relevante Themen sensibilisiert  
  • Übermittlung nur bei Zulässigkeit: Daten werden nur übermittelt, wenn eine Rechtsgrundlage vorliegt oder mit dem Dienstleister eine datenschutzkonforme vertragliche Regelung vorliegt 
  • Technische und organisatorische Maßnahmen: Die Daten werden mit angemessenen Schutzmaßnahmen geschützt, die dem Stand der Technik entsprechen und regelmäßig überprüft werden 

Unser Tipp  

Wenn du die Vorschriften der DSGVO erfüllst, kannst du dein Risiko von Schadensersatzansprüchen auf nahezu null senken. Unsere Kundinnen und Kunden mit einem Legal Ultimate Paket können hierfür eine Vielzahl an Leistungen nutzen. Wir beraten individuell, prüfen deinen Online-Shop, schulen dich und deine Mitarbeiterinnen und Mitarbeiter im Datenschutz und können auf Wunsch auch als externer Datenschutzbeauftragter bestellt werden. Außerdem können mit unseren Online-Tools Rechtstexte verfasst, das Verarbeitungsverzeichnis erstellt und mit unserem Consent-Manager DSGVO-konforme Cookie-Banner generiert werden.  

06.02.25
Mareike Michel

Mareike Michel

Mareike Michel, LL.M., ist als Legal Consultant bei Trusted Shops tätig und berät Kundinnen und Kunden zu allen Fragen rund um Datenschutz.

Weitere relevante Artikel

Das Bild symbolisiert den Datenaustausch zwischen der EU und der Schweiz.

Der Angemessen­heits­be­schluss CH: Daten­aus­tausch Schweiz – EU

 Datenschutzbeauftrage am Laptop

Betriebliche Daten­schutz­be­auf­tragte: Wer eignet sich?

 Verarbeitungsverzeichnis nach der DSGVO – Warum benötige ich das?

Verarbeitungsverzeichnis nach der DSGVO – Warum benötige ich das?

Weitere interessante Blog-Artikel

Online-Handel in Legal

BFSG: So gestaltest du deinen Online-Shop barrierefrei

Ab 28. Juni 2025 sind Online-Shops gesetzlich verpflichtet, barrierefrei zu werden. Wir verraten dir, wie du deinen Shop barrierefrei gestaltest.

Jetzt lesen
6min. Lesezeit  |  13.02.25
Datenschutz in Legal

Schadensersatz­an­sprüche bei Daten­schutz­ver­stößen

Die DSGVO sieht ein Recht auf Schadensersatz bei Datenschutzverstößen vor. Wir geben einen Überblick und erklären, wie sich Ansprüche vermeiden lassen.

Jetzt lesen
6min. Lesezeit  |  06.02.25
Verbraucherschutzrecht in Legal

Stolperfalle Verbraucher­recht: Hin- und Rück­sende­kosten nach dem Widerruf

Wer trägt im Widerrufsfall die Rücksendekosten? Das Thema ist ein Dauerbrenner, der Online-Shops beschäftigt. Wir geben Antwort auf gängige Fragen.

Jetzt lesen
4min. Lesezeit  |  28.01.25
Land auswählen:
DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM

© 2025 Trusted Shops SE Impressum Datenschutz Cookies