Wann gibt es Schadensersatz wegen Verletzung des Datenschutzes?

Lange waren sich die Gerichte nicht darüber einig, ob für einen Schadensersatz nach der DSGVO ein konkreter Schaden nachgewiesen werden muss oder ob ein Verstoß gegen die Datenschutzregeln ausreicht. Der Europäische Gerichtshof hat entschieden, dass der Kläger tatsächlich einen Schaden erlitten haben muss (Urteil vom 4.5.2023, Az. C-300/21). Dies muss allerdings kein finanzieller Schaden sein.

Für einen Schadensersatz nach der DSGVO gibt es daher drei Voraussetzungen:

1. Bei der Datenverarbeitung wurde gegen die Regeln der DSGVO verstoßen.

2. Der oder die Betroffene hat einen materiellen oder immateriellen Schaden erlitten. Immateriell bedeutet: Es muss kein konkreter Schaden in Geld entstanden sein. Auch zum Beispiel ein Kontrollverlust über die eigenen Daten kann ausreichen.

3. Der Regelverstoß muss für den Schaden ursächlich sein.

Nach Artikel 82 DSGVO haftet jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht vorschriftsmäßige Datenverarbeitung verursacht wurde.

Viele Daten werden von externen Dienstleistern verarbeitet. Dies kann zum Beispiel ein Inkassounternehmen sein oder eine Marketingagentur, die für Unternehmen Kontakt zu Kunden aufnimmt, oder ein Buchhaltungsdienstleister, der Rechnungen an Kunden verarbeitet. Auch diese sogenannten Auftragsverarbeiter können sich insbesondere in drei Fällen schadensersatzpflichtig machen:

1. Es ist ein Schaden entstanden, weil der Auftragsverarbeiter seinen Pflichten aus der DSGVO nicht nachgekommen ist. Dazu gehört der Abschluss eines korrekten Vertrages zur Auftragsdatenverarbeitung und die Zusammenarbeit mit den Aufsichtsbehörden.

2. Es ist ein Schaden entstanden, weil der Auftragsverarbeiter eine rechtmäßige Anweisung des ursprünglich für die Datenverarbeitung Verantwortlichen nicht beachtet hat.

3. Es ist ein Schaden entstanden, weil der Auftragsverarbeiter gegen eine solche Anweisung gehandelt hat.

Verarbeitet der Auftragnehmer unerlaubt Daten für eigene Zwecke, haftet er wie ein Verantwortlicher.

Sowohl der Verantwortliche als auch der Auftragsverarbeiter sind von der Haftung befreit, wenn sie nachweisen, dass sie nicht für den Umstand, der den Schaden verursacht hat, verantwortlich sind.

Gibt es für den gleichen Datenverarbeitungsvorgang mehrere Verantwortliche oder Auftragsverarbeiter, haften alle Beteiligten gleichermaßen für den gesamten Schaden. So soll sichergestellt werden, dass die betroffene Person wirksam entschädigt wird. Hat ein Verantwortlicher oder Auftragsverarbeiter den vollständigen Schadensersatz bezahlt, kann er von anderen Beteiligten verlangen, dass diese ihm einen ihrer Verantwortung entsprechenden Anteil ersetzen.

Das Bundesarbeitsgericht hat einem Arbeitnehmer einen Schadensersatz von 200 Euro zugesprochen, weil dessen Arbeitgeber persönliche Daten ohne vertragliche Grundlage bei einem Test der Software Workday verarbeitet und an die Konzernmutter in den USA weitergeleitet hatte (Urteil vom 8.5.2025, Az. 8 AZR 209/21).

Das OLG Düsseldorf hat einem Kunden 200 Euro Schadensersatz wegen Kontrollverlustes über seine Daten zugesprochen, weil ein Musikstreamingdienst sich nicht ausreichend gegen Hackerangriffe abgesichert hatte und die Daten gestohlen wurden. Der Streamingdienst muss auch mögliche zukünftige Schäden ersetzen (Urteil vom 10.7.2025, Az. 16 U 83/24).

Das Landgericht Bayreuth hat einem Verbraucher 3.000 Euro Schadensersatz zugesprochen, weil eine Wirtschaftsauskunftei Daten zu seiner Finanzlage regelwidrig vollständig automatisiert verarbeitet hatte. Die sich daraus ergebenden Score-Werte hatten zur Ablehnung von Kreditanträgen geführt. Das Gericht ging hier davon aus, dass in jedem Fall auch ein immaterieller Schaden vorliege. Dieser beruhe auf dem Ohnmachtsgefühl, einer rein automatischen Datenverarbeitung ausgeliefert zu sein (Urteil vom 29.4.2025, Az. 31 O 593/24).

Das Arbeitsgericht Duisburg hat einem Arbeitnehmer 10.000 Euro Schadensersatz zugesprochen. Dessen Arbeitgeber, ein Luftsportverband, hatte in einer Rundmail an 10.000 Vereinsmitglieder mitgeteilt, dass sich der Betreffende "seit November 2022 im Krankenstand" befinde und ihm wegen gegen die Geschäftsleitung erhobener Anschuldigungen gekündigt werde. Das Gericht sah darin eine unerlaubte Weitergabe von Gesundheitsdaten (Urteil vom 26.9.2024, Az. 3 Ca 77/24).

Beim Daten-Scraping werden, oft durch Bots bzw. selbstständig agierende Software, Daten aus fremden Websites gewonnen, um diese dann ungefragt selbst zu verarbeiten und für eigene Zwecke zu nutzen. 2021 wurde insbesondere Facebook Ziel von Daten-Scraping. Dort wurden die Daten von 500 Millionen Nutzern gestohlen und online veröffentlicht bzw. im Darknet weiterverkauft. Facebook wurde daraufhin wegen mangelhafter Sicherheitsvorkehrungen von diversen deutschen Gerichten zu Schadensersatzzahlungen verurteilt.

Für das sogenannte Daten-Scraping bei Facebook gesteht der Bundesgerichtshof Nutzern bisher einen pauschalen Schadensersatz von 100 Euro zu, wenn außer dem Kontrollverlust über die eigenen Daten kein weiterer Schaden entstanden ist. Dieser Betrag kann sich erhöhen, wenn weitere Schäden eingetreten sind (Urteil vom 18.11.2024, Az. VI ZR 10/24).

Dementsprechend hat das Amtsgericht Chemnitz einem Facebook-Nutzer 1.000 Euro Schadensersatz wegen Daten-Scraping zugestanden. Seine Telefonnummer war weiterverkauft worden. Daraufhin hatte er über 200 Nummern von ihn belästigenden Anrufern blockieren und sich eine neue Telefonnummer zulegen müssen (Urteil vom 14.3.2025, Az. 16 C 1327/24).

Das Landgericht Leipzig hat einem Facebook-Nutzer 5.000 Euro Schadensersatz zugesprochen, weil die sogenannten Meta-Business-Tools, darunter das Facebook-Plugin, eine plattformübergreifende Überwachung seiner Online-Aktivitäten erlauben, ohne bei Facebook eingeloggt zu sein. Das Gericht nahm nicht einmal eine persönliche Anhörung des Betroffenen vor. Es begründete den hohen Schadensersatzbetrag mit dem hohen Gewinn, den Facebook durch die Nutzung von Kundendaten erwirtschafte. Die plattformübergreifende Verfolgung von Nutzeraktivitäten würde bei jedem aufmerksamen und verständigen Durchschnittsnutzer das Gefühl einer ständigen Überwachung durch Fremde verursachen (Urteil vom 4.7.2025, Az. 05 O 2351/23).

Das Landgericht Aachen hat einem Facebook-Nutzer in der gleichen Situation 500 Euro Schadensersatz wegen Kontrollverlustes über seine Daten zugesprochen (Urteil vom 15.4.2025, Az. 15 O 40/24).

Wichtig ist es, sich zuerst zu überlegen, welche Schäden oder Beeinträchtigungen man durch den Datenschutzverstoß genau erlitten hat und wie sich diese nachweisen lassen. Im Arbeitsverhältnis kann der Betriebsrat ein erster Ansprechpartner sein.

Ein Schadensersatzanspruch kann zuerst außergerichtlich eingefordert werden. Dies wird oft wenig Erfolg versprechen. Dann ist der nächste Schritt die Erhebung einer Schadensersatzklage vor Gericht. In beiden Phasen empfiehlt sich die Hinzuziehung eines Anwalts.

Ein Schadensersatz nach der DSGVO muss vor einem Zivilgericht eingeklagt werden. Bei Datenschutzverstößen im Arbeitsverhältnis ist das Arbeitsgericht zuständig.

Falschparker den Behörden zu melden, scheint einigen Menschen Befriedigung zu verschaffen. Allerdings kann es auch nach hinten losgehen, wie ein Fall zeigt, der vor dem Oberlandesgericht Dresden verhandelt wurde. Ein Mann hatte ein nach seiner Meinung falsch geparktes Auto fotografiert und das Foto an eine App weitergeleitet, über die Parkverstöße an Behörden weitergemeldet werden. Allerdings hatte in dem Auto auch noch ein Beifahrer gesessen, der auf das Zurückkommen des Fahrers wartete. Dieser fand das Fotografiertwerden nicht so lustig. Er verklagte den selbsternannten Parkwächter auf Schadensersatz.

Das OLG überlegte zunächst, welche Vorschriften hier maßgeblich waren. Ging es um das Recht am eigenen Bild aus dem Kunsturheberrechtsgesetz? Nach Ansicht des OLG nicht, denn die Datenschutz-Grundverordnung hat Vorrang vor dem nationalen Recht. Dies gilt nicht für journalistiche Aufnahmen, um die es hier aber nicht ging. Auch ein Schadensersatzanspruch nach § 823 BGB wegen Verletzung des allgemeinen Persönlichkeitsrechts kam aus dem gleichen Grund nicht in Frage.

Allerdings handelte es sich recht eindeutig um eine Verarbeitung personenbezogener Daten, nämlich des Fotos vom Gesicht des Klägers, das inklusive Zeit, Ortsangabe und weiteren Metadaten hochgeladen worden war. Schon das Hochladen war aus Sicht des Gerichts eine automatisierte Verarbeitung personenbezogener Daten. Mögliche Ausnahmen stellen die Datenverarbeitung für rein familiäre oder persönliche Zwecke oder Fotos durch Strafverfolgungsbehörden dar. Hier ging es aber nicht um Erinnerungsfotos fürs private Familienalbum und der Fotograf war eben gerade kein Polizist. Damit handelte er unberechtigt und die Datenverarbeitung war unzulässig. Das Ergebnis: Das Gericht sprach dem Beifahrer einen Schadensersatz nach der DSGVO von 100 Euro zu. Darüber hinaus musste der Beklagte auch noch die Anwaltskosten des Klägers in Höhe von 627 Euro übernehmen (Beschluss vom 9.9.2025, Az. 4 U 464/25).

Datenschutzverstöße sind insbesondere vor dem Hintergrund der Verarbeitung großer Informationsmengen von pesonenbezogenen Daten, aber auch in Bereichen wie dem Arbeitsverhältnis oder unerlaubter Werbung, immer wieder ein Thema. Der beste Ansprechpartner im Fall eines Datenschutzverstoßes ist ein Rechtsanwalt, der auf Datenschutzrecht spezialisiert ist.