Verletzung des Datenschutzes: Anspruch auf Schadensersatz?

Nach Artikel 82 der DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen denjenigen, der die Daten in fremdem Auftrag verarbeitet hat. Die DSGVO gilt in allen EU-Ländern unmittelbar und kann direkt Grundlage für Klagen vor deutschen Gerichten sein. Das deutsche Bundesdatenschutzgesetz sieht in § 83 einen entsprechenden Schadensersatzanspruch vor.

Materieller Schaden bedeutet, dass tatsächlich ein greifbarer Schaden entstanden ist. Beispiel: Zugangsdaten zu einem Online-Shopping-Account sind in fremde Hände gelangt und Unbekannte haben auf Kosten des Geschädigten Waren an eine Fake-Adresse bestellt.

Bei einem immateriellen Schaden spricht man oft auch von Schmerzensgeld. Hier muss also kein finanziell bezifferbarer Schaden entstanden sein. Es genügt ein Verlust der Kontrolle über die eigenen Daten, das Gefühl dauerhafter Überwachung oder eine Rufschädigung durch verbreitete Falschinformationen oder manipulierte Accounts. Die Gerichte verlangen jedoch, dass die jeweilige Person zumindest einen konkreten Nachteil erlitten hat.

Lange waren sich die Gerichte nicht darüber einig, ob für einen Schadensersatz nach der DSGVO ein konkreter Schaden nachgewiesen werden muss oder ob ein Verstoß gegen die Datenschutzregeln ausreicht. Der Europäische Gerichtshof hat entschieden, dass der Kläger tatsächlich einen Schaden erlitten haben muss (Urteil vom 4.5.2023, Az. C-300/21). Dies muss allerdings kein finanzieller Schaden sein.

Für einen Schadensersatz nach der DSGVO gibt es daher drei Voraussetzungen:

1. Bei der Datenverarbeitung wurde gegen die Regeln der DSGVO verstoßen.

2. Der oder die Betroffene hat einen materiellen oder immateriellen Schaden erlitten. Immateriell bedeutet: Es muss kein konkreter Schaden in Geld entstanden sein. Auch zum Beispiel ein Kontrollverlust über die eigenen Daten kann ausreichen.

3. Der Regelverstoß muss für den Schaden ursächlich sein.

Nach Artikel 82 DSGVO haftet jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht vorschriftsmäßige Datenverarbeitung verursacht wurde.

Viele Daten werden von externen Dienstleistern verarbeitet. Dies kann zum Beispiel ein Inkassounternehmen sein oder eine Marketingagentur, die für Unternehmen Kontakt zu Kunden aufnimmt, oder ein Buchhaltungsdienstleister, der Rechnungen an Kunden verarbeitet. Auch diese sogenannten Auftragsverarbeiter können sich insbesondere in drei Fällen schadensersatzpflichtig machen:

1. Es ist ein Schaden entstanden, weil der Auftragsverarbeiter seinen Pflichten aus der DSGVO nicht nachgekommen ist. Dazu gehört der Abschluss eines korrekten Vertrages zur Auftragsdatenverarbeitung und die Zusammenarbeit mit den Aufsichtsbehörden.

2. Es ist ein Schaden entstanden, weil der Auftragsverarbeiter eine rechtmäßige Anweisung des ursprünglich für die Datenverarbeitung Verantwortlichen nicht beachtet hat.

3. Es ist ein Schaden entstanden, weil der Auftragsverarbeiter gegen eine solche Anweisung gehandelt hat.

Verarbeitet der Auftragnehmer unerlaubt Daten für eigene Zwecke, haftet er wie ein Verantwortlicher.

Sowohl der Verantwortliche als auch der Auftragsverarbeiter sind von der Haftung befreit, wenn sie nachweisen, dass sie nicht für den Umstand, der den Schaden verursacht hat, verantwortlich sind.

Gibt es für den gleichen Datenverarbeitungsvorgang mehrere Verantwortliche oder Auftragsverarbeiter, haften alle Beteiligten gleichermaßen für den gesamten Schaden. So soll sichergestellt werden, dass die betroffene Person wirksam entschädigt wird. Hat ein Verantwortlicher oder Auftragsverarbeiter den vollständigen Schadensersatz bezahlt, kann er von anderen Beteiligten verlangen, dass diese ihm einen ihrer Verantwortung entsprechenden Anteil ersetzen.

Das Bundesarbeitsgericht hat einem Arbeitnehmer einen Schadensersatz von 200 Euro zugesprochen, weil dessen Arbeitgeber persönliche Daten ohne vertragliche Grundlage bei einem Test der Software Workday verarbeitet und an die Konzernmutter in den USA weitergeleitet hatte (Urteil vom 8.5.2025, Az. 8 AZR 209/21).

Das OLG Düsseldorf hat einem Kunden 200 Euro Schadensersatz wegen Kontrollverlustes über seine Daten zugesprochen, weil ein Musikstreamingdienst sich nicht ausreichend gegen Hackerangriffe abgesichert hatte und die Daten gestohlen wurden. Der Streamingdienst muss auch mögliche zukünftige Schäden ersetzen (Urteil vom 10.7.2025, Az. 16 U 83/24).

Das Landgericht Bayreuth hat einem Verbraucher 3.000 Euro Schadensersatz zugesprochen, weil eine Wirtschaftsauskunftei Daten zu seiner Finanzlage regelwidrig vollständig automatisiert verarbeitet hatte. Die sich daraus ergebenden Score-Werte hatten zur Ablehnung von Kreditanträgen geführt. Das Gericht ging hier davon aus, dass in jedem Fall auch ein immaterieller Schaden vorliege. Dieser beruhe auf dem Ohnmachtsgefühl, einer rein automatischen Datenverarbeitung ausgeliefert zu sein (Urteil vom 29.4.2025, Az. 31 O 593/24).

Das Arbeitsgericht Duisburg hat einem Arbeitnehmer 10.000 Euro Schadensersatz zugesprochen. Dessen Arbeitgeber, ein Luftsportverband, hatte in einer Rundmail an 10.000 Vereinsmitglieder mitgeteilt, dass sich der Betreffende "seit November 2022 im Krankenstand" befinde und ihm wegen gegen die Geschäftsleitung erhobener Anschuldigungen gekündigt werde. Das Gericht sah darin eine unerlaubte Weitergabe von Gesundheitsdaten (Urteil vom 26.9.2024, Az. 3 Ca 77/24).

Beim Daten-Scraping werden, oft durch Bots bzw. selbstständig agierende Software, Daten aus fremden Websites gewonnen, um diese dann ungefragt selbst zu verarbeiten und für eigene Zwecke zu nutzen. 2021 wurde insbesondere Facebook Ziel von Daten-Scraping. Dort wurden die Daten von 500 Millionen Nutzern gestohlen und online veröffentlicht bzw. im Darknet weiterverkauft. Facebook wurde daraufhin wegen mangelhafter Sicherheitsvorkehrungen von diversen deutschen Gerichten zu Schadensersatzzahlungen verurteilt.

Für das sogenannte Daten-Scraping bei Facebook gesteht der Bundesgerichtshof Nutzern bisher einen pauschalen Schadensersatz von 100 Euro zu, wenn außer dem Kontrollverlust über die eigenen Daten kein weiterer Schaden entstanden ist. Dieser Betrag kann sich erhöhen, wenn weitere Schäden eingetreten sind (Urteil vom 18.11.2024, Az. VI ZR 10/24).

Dementsprechend hat das Amtsgericht Chemnitz einem Facebook-Nutzer 1.000 Euro Schadensersatz wegen Daten-Scraping zugestanden. Seine Telefonnummer war weiterverkauft worden. Daraufhin hatte er über 200 Nummern von ihn belästigenden Anrufern blockieren und sich eine neue Telefonnummer zulegen müssen (Urteil vom 14.3.2025, Az. 16 C 1327/24).

Das Landgericht Leipzig hat einem Facebook-Nutzer 5.000 Euro Schadensersatz zugesprochen, weil die sogenannten Meta-Business-Tools, darunter das Facebook-Plugin, eine plattformübergreifende Überwachung seiner Online-Aktivitäten erlauben, ohne bei Facebook eingeloggt zu sein. Das Gericht nahm nicht einmal eine persönliche Anhörung des Betroffenen vor. Es begründete den hohen Schadensersatzbetrag mit dem hohen Gewinn, den Facebook durch die Nutzung von Kundendaten erwirtschafte. Die plattformübergreifende Verfolgung von Nutzeraktivitäten würde bei jedem aufmerksamen und verständigen Durchschnittsnutzer das Gefühl einer ständigen Überwachung durch Fremde verursachen (Urteil vom 4.7.2025, Az. 05 O 2351/23).

Das Landgericht Aachen hat einem Facebook-Nutzer in der gleichen Situation 500 Euro Schadensersatz wegen Kontrollverlustes über seine Daten zugesprochen (Urteil vom 15.4.2025, Az. 15 O 40/24).

Wichtig ist es, sich zuerst zu überlegen, welche Schäden oder Beeinträchtigungen man durch den Datenschutzverstoß genau erlitten hat und wie sich diese nachweisen lassen. Im Arbeitsverhältnis kann der Betriebsrat ein erster Ansprechpartner sein.

Ein Schadensersatzanspruch kann zuerst außergerichtlich eingefordert werden. Dies wird oft wenig Erfolg versprechen. Dann ist der nächste Schritt die Erhebung einer Schadensersatzklage vor Gericht. In beiden Phasen empfiehlt sich die Hinzuziehung eines Anwalts.

Ein Schadensersatz nach der DSGVO muss vor einem Zivilgericht eingeklagt werden. Bei Datenschutzverstößen im Arbeitsverhältnis ist das Arbeitsgericht zuständig.

Der beste Ansprechpartner im Fall eines Datenschutzverstoßes ist ein Rechtsanwalt für Zivilrecht. Dieser sollte Erfahrung im Datenschutzrecht haben. Ein besonders qualifizierter Ansprechpartner ist ein Fachanwalt für Informationstechnologierecht.