Schadensersatz im Datenschutzrecht – Wann steht Ihnen nach DSGVO Geld zu?

Die Digitalisierung verändert unseren Alltag in einem Tempo, das vor einigen Jahren kaum vorstellbar war. Immer mehr private, berufliche und geschäftliche Prozesse finden online statt, wodurch Unternehmen eine Vielzahl sensibler personenbezogener Daten verarbeiten. Für Sie als Betroffenen ist es daher entscheidend, zu wissen, welche Rechte Ihnen bei Datenschutzverstößen zustehen. Einer dieser Ansprüche gewinnt seit einiger Zeit zunehmend an Bedeutung: der Schadensersatzanspruch im Datenschutzrecht.

Dabei geht es längst nicht mehr nur um Fälle, in denen Kreditkartendaten oder Kontoinformationen offengelegt wurden. Auch Verstöße, die auf den ersten Blick eher abstrakt wirken, können erhebliche Folgen haben. Schon wenige Daten können genügen, um Rückschlüsse auf Ihre Persönlichkeit zu ermöglichen und Ihr Vertrauen nachhaltig zu erschüttern. Um dem zu begegnen, hat der europäische Gesetzgeber den Anspruch auf Schadensersatz im Datenschutzrecht gestärkt.

Viele Unternehmen bemerken erst dann die Tragweite ihrer datenschutzrechtlichen Pflichtverletzungen, wenn sich Betroffene entschließen, ihre Ansprüche durchzusetzen. Gerade deshalb sollten Sie sich bewusst machen, wann ein Anspruch bestehen kann und wie Sie ihn erfolgreich geltend machen.

Übersicht:

Rechtlicher Hintergrund des Schadensersatzanspruchs im Datenschutzrecht
Anspruchsgrundlage: Art. 82 DSGVO
Voraussetzungen des Schadensersatzanspruchs
Was genau ist ein „Schaden“ im Sinne von Art. 82 DSGVO?
Welche Datenschutz-Verstöße kommen typischerweise in Betracht?
Wie hoch kann ein Anspruch ausfallen?
Beweislast und typische Schwierigkeiten aus Sicht eines Betroffenen
Fallkonstellationen aus der Praxis
Strategisch kluges Vorgehen für Betroffene
Fazit: Wann sich die Geltendmachung lohnt

Rechtlicher Hintergrund des Schadensersatzanspruchs im Datenschutzrecht

Der Schutz personenbezogener Daten hat in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen, Behörden und Online-Dienste verarbeiten täglich große Mengen an Informationen, die Rückschlüsse auf Ihre Identität, Interessen und Ihr Verhalten zulassen. Die Vertraulichkeit dieser Daten bildet die Grundlage für ein funktionierendes, digitales Miteinander. Sobald personenbezogene Informationen unbefugt offengelegt oder missbraucht werden, kann dies zu einem tiefgreifenden Vertrauensverlust führen. Daher dient der Schadensersatz rechtlich in erster Linie dem Ausgleich der individuell erlittenen Nachteile. Dass Unternehmen Verstöße ernster nehmen und ihre Datenschutzorganisation verbessern, ist vor allem ein faktischer Nebeneffekt dieses Ausgleichsanspruchs.

Juristisch betrachtet hat sich der Anspruch im Laufe der vergangenen Jahre deutlich weiterentwickelt. Während früher meist mühsam auf allgemeine zivilrechtliche Normen zurückgegriffen wurde, steht mit der europäischen Datenschutz-Grundverordnung nun ein eigenes, klar formuliertes Haftungsregime zur Verfügung. In der Praxis führte dies zu einer wachsenden Zahl von Fällen, in denen Betroffene Schadensersatz fordern. Gerade im Bereich digitaler Dienstleistungen zeigt sich, dass Datenschutzverstöße mittlerweile häufig nicht mehr ungesühnt bleiben.

Die DSGVO spielt in diesem Zusammenhang eine zentrale Rolle. Sie verleiht Betroffenen umfangreiche Rechte und verpflichtet Unternehmen dazu, personenbezogene Daten sorgfältig zu schützen. Mit Art. 82 DSGVO wurde ein eigenständiger Schadensersatzanspruch geschaffen, der sowohl materielle als auch immaterielle Schäden umfasst. Dieser Anspruch ist darauf ausgerichtet, Betroffene wirksam zu schützen und gleichzeitig Unternehmen dazu zu bewegen, technische und organisatorische Maßnahmen stetig zu verbessern. So entsteht ein Ausgleich zwischen individuellem Schutzbedürfnis und wirtschaftlicher Entwicklung – ein Grundpfeiler des modernen Datenschutzrechts.

nach oben

Anspruchsgrundlage: Art. 82 DSGVO

Der gesetzliche Dreh- und Angelpunkt für den Schadensersatz im Datenschutzrecht ist Art. 82 DSGVO. Dort ist geregelt, dass jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz hat.

Damit wird deutlich: Es geht nicht nur um Bußgelder der Aufsichtsbehörden, sondern ganz konkret um Ihren individuellen Ausgleich. Die Vorschrift verfolgt zwei Ziele gleichzeitig: Zum einen sollen Betroffene für erlittene Nachteile entschädigt werden, zum anderen soll ein Anreiz geschaffen werden, dass Unternehmen Datenschutz ernst nehmen und wirksame Schutzmaßnahmen einführen.

Art. 82 DSGVO lässt sich – vereinfacht – in drei Bausteine zerlegen:

• Es muss ein Verstoß gegen die DSGVO vorliegen
• Ihnen muss dadurch ein Schaden entstanden sein
• Der Verstoß muss dem Verantwortlichen oder dem Auftragsverarbeiter zurechenbar sein

Im Folgenden schauen wir uns diese Punkte genauer an.

Welche Rechtsverletzungen erfasst werden

Art. 82 DSGVO ist bewusst weit formuliert. Er knüpft nicht nur an einzelne, besonders gravierende Verstöße an, sondern grundsätzlich an jeden Verstoß gegen die Vorgaben der DSGVO. Das kann unter anderem sein:

• Fehlende oder unzureichende Rechtsgrundlage
  Wenn ein Unternehmen Ihre Daten verarbeitet, ohne dass eine gültige Einwilligung vorliegt oder ohne dass eine gesetzliche Erlaubnis greift, kann dies ein Verstoß sein. Typische Beispiele sind unerwünschte Werbe-E-Mails oder Anrufe ohne wirksame Einwilligung.
• Verstoß gegen Grundsätze der Datenverarbeitung
  Die DSGVO kennt Grundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Speicherbegrenzung. Wenn etwa mehr Daten erhoben werden, als für den Zweck notwendig sind, oder Daten viel länger gespeichert werden, als erforderlich ist, kann dies einen Verstoß begründen.
• Unzureichende Informationspflichten
  Unternehmen müssen transparent informieren, welche Daten zu welchen Zwecken verarbeitet werden. Fehlende oder intransparente Datenschutzerklärungen, unvollständige Hinweise in Formularen oder schwer verständliche Einwilligungstexte können eine Verletzung dieser Pflichten darstellen.
• Missachtung von Betroffenenrechten
  Ihnen stehen umfangreiche Rechte zu: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit. Wenn ein Unternehmen diese Rechte ignoriert, Anfragen verschleppt oder nur unzureichend beantwortet, kann dies ebenfalls ein Verstoß sein.
• Mangelhafte Datensicherheit
  Besonders praxisrelevant sind Verstöße gegen die Pflicht zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit. Fehlende oder unzureichende technische und organisatorische Maßnahmen (etwa kein hinreichender Passwortschutz, veraltete Software, keine Verschlüsselung) führen in der Praxis immer wieder zu Datenlecks. Kommt es dann zu einem Angriff oder einem Verlust von Daten, kann dies auch haftungsrechtlich bedeutsam werden.

Sie sehen: Art. 82 DSGVO beschränkt sich nicht auf spektakuläre Hackerangriffe. Schon eine fehlerhafte Gestaltung von Formularen, Newslettern oder Online-Portalen kann zu einem ersatzfähigen Datenschutzverstoß beitragen, sofern hierdurch ein Schaden entsteht.

Wann ein Schaden vorliegt

Ein bloßer Verstoß gegen die DSGVO reicht für einen Anspruch auf Schadensersatz alleine nicht aus. Es muss zusätzlich ein Schaden entstanden sein. Art. 82 DSGVO unterscheidet ausdrücklich zwischen

• materiellen Schäden und
• immateriellen Schäden.

Materielle Schäden sind vergleichsweise leicht zu greifen. Sie umfassen alles, was sich wirtschaftlich beziffern lässt, zum Beispiel:

• unberechtigte Abbuchungen oder Überweisungen nach einem Datenleck
• Kosten für die Sperrung und Neuausstellung von Karten
• Ausgaben für anwaltliche Beratung im Zusammenhang mit der konkreten Datenschutzverletzung
• entgangener Gewinn, wenn etwa ein Vertrag aufgrund eines Datenschutzverstoßes platzt

Immaterielle Schäden sind in der Praxis oft der zentrale Streitpunkt. Hier geht es um nicht in Geld messbare Beeinträchtigungen, etwa:

• das Gefühl der Überwachung oder des Kontrollverlustes über die eigenen Daten
• Bloßstellung vor Kollegen, Nachbarn oder in der Öffentlichkeit
• Angst vor möglichem Missbrauch der Daten in der Zukunft
• Kränkung oder erhebliche Verunsicherung, wenn intime oder sensible Informationen betroffen sind

Klar ist inzwischen: Ein bloßer Verstoß gegen die DSGVO ohne jede nachteilige Folge für Sie reicht nicht aus. Es muss ein tatsächlich eingetretener materieller oder immaterieller Schaden vorliegen. Zugleich dürfen Gerichte aber keine zusätzliche „Erheblichkeitsschwelle“ einziehen: Auch vergleichsweise geringfügige Beeinträchtigungen können ersatzfähig sein, wenn Sie konkret darlegen, welche negativen Folgen der Verstoß für Sie hatte.

Für Sie als Betroffenen bedeutet das:

Je konkreter Sie darlegen können, wie sich die Datenschutzverletzung auf Ihre Lebenssituation, Ihre Gefühle oder Ihre wirtschaftliche Position ausgewirkt hat, desto überzeugender lässt sich ein Anspruch begründen. Allgemeine Formulierungen wie „Ich bin jetzt verärgert“ genügen dafür meist nicht. Hilfreich können zum Beispiel sein:

• eine genaue Schilderung des Geschehensablaufs
• Beschreibung, wer von der Verletzung erfahren hat
• welche Ängste, Sorgen oder Nachteile konkret entstanden sind
• ob Sie konkrete Schritte ergreifen mussten (z. B. Sperrung von Accounts, Umzug von Profilen etc.)

Bedeutung der Verantwortlichkeit

Der nächste Baustein ist die Zurechnung des Verstoßes. Art. 82 DSGVO unterscheidet zwischen:

• dem Verantwortlichen und
• dem Auftragsverarbeiter.

Verantwortlicher ist die Stelle, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Das ist in der Regel das Unternehmen oder die Behörde, bei der Sie Kunde, Nutzer oder Arbeitnehmer sind.

Auftragsverarbeiter sind externe Dienstleister, die im Auftrag des Verantwortlichen Daten verarbeiten, etwa IT-Provider, Cloud-Dienstleister oder externe Callcenter.

Wichtig ist, dass sowohl Verantwortliche als auch Auftragsverarbeiter grundsätzlich haften können, wenn sie Pflichten aus der DSGVO verletzen. In Konstellationen mit mehreren Beteiligten (zum Beispiel Betreiber einer Plattform und externer Dienstleister) können sogar mehrere Stellen nebeneinander zum Schadensersatz verpflichtet sein. Intern müssen diese Beteiligten dann untereinander klären, wer welchen Anteil trägt.

Besonders praxisrelevant ist die Beweislastverteilung:

• Sie als Betroffener müssen schlüssig darlegen, dass ein Verstoß gegen die DSGVO vorliegt, dass Ihnen ein Schaden entstanden ist und dass zwischen beidem ein Zusammenhang besteht.
• Das Unternehmen kann sich nur dann entlasten, wenn es nachweisen kann, dass es für den Schaden nicht verantwortlich ist, etwa weil es alle angemessenen Sicherungsmaßnahmen getroffen hat und der Verstoß trotzdem unvermeidbar war.

Dieser Entlastungsnachweis ist in der Praxis anspruchsvoll. Unternehmen sind deshalb gut beraten, Datenschutzprozesse sauber zu dokumentieren. Für Sie als Betroffenen kann dies ein Vorteil sein, weil Sie nicht jede technische Einzelheit kennen müssen. Es genügt oft, den äußeren Ablauf und die Folgen nachvollziehbar zu schildern.

Je deutlicher sich aus dem Geschehen ergibt, dass eine datenschutzkonforme Organisation eher fernliegt, desto schwieriger wird es für das Unternehmen, sich vollständig von der Haftung zu lösen.

Kurz zusammengefasst:
Art. 82 DSGVO bietet Ihnen einen eigenständigen Anspruch auf Schadensersatz, wenn ein Datenschutzverstoß zu einem materiellen oder immateriellen Schaden führt. Erfasst sind eine Vielzahl möglicher Rechtsverletzungen – von der fehlenden Einwilligung über mangelhafte Transparenz bis hin zu unzureichender Datensicherheit. Entscheidend ist, dass Sie den entstandenen Schaden nachvollziehbar darstellen und der Verstoß dem Verantwortlichen oder Auftragsverarbeiter zugerechnet werden kann.

nach oben

Voraussetzungen des Schadensersatzanspruchs

Damit ein Anspruch auf Schadensersatz nach Art. 82 DSGVO besteht, müssen mehrere Voraussetzungen erfüllt sein. Diese Hürden sind bewusst so ausgestaltet, dass Betroffene nicht schutzlos sind, Unternehmen aber dennoch die Möglichkeit erhalten, sich zu verteidigen. Entscheidend ist, dass sich die einzelnen Elemente nachvollziehbar verbinden. Nur dann entsteht ein schlüssiger und durchsetzbarer Anspruch.

Verstoß gegen datenschutzrechtliche Pflichten

Am Anfang steht immer ein Verstoß gegen die Vorgaben der DSGVO. Dieser Verstoß kann sich aus vielen Situationen ergeben: von der unzulässigen Erhebung von Daten, über eine rechtswidrige Weitergabe, bis hin zu technischen Sicherheitsmängeln, die einen Angriff erst ermöglicht haben. Auch das Versäumnis, Betroffene rechtzeitig und vollständig zu informieren, oder die Missachtung ihrer Rechte, kann haftungsrelevant sein.

Wichtig ist, dass die Pflichtverletzung tatsächlich gewichtet werden kann. Ein bloßes Gefühl der Unzufriedenheit oder ein rein technisches Problem ohne Bezug zu personenbezogenen Daten reicht nicht aus. Die DSGVO schützt gerade nicht abstrakte Prozesse, sondern ganz konkret personenbezogene Informationen.

Eintritt eines Schadens

Ein Schadensersatzanspruch setzt zwingend voraus, dass ein Schaden entstanden ist. Die DSGVO eröffnet bewusst einen weiten Schadensbegriff und umfasst sowohl materielle als auch immaterielle Schäden. Während finanzielle Einbußen meist vergleichsweise leicht nachweisbar sind, wird es bei immateriellen Schäden häufig komplexer.

Für einen immateriellen Schaden reicht eine rein formelhafte Aussage wie „Ich bin verärgert“ nicht aus. Negative Gefühle – etwa Ärger, Unmut, Sorge oder Angst – können aber sehr wohl einen ersatzfähigen immateriellen Schaden darstellen, wenn Sie diese und ihre Auswirkungen konkret schildern. Entscheidend ist, ob Sie in Ihrer persönlichen Sphäre tatsächlich beeinträchtigt wurden, etwa durch Kontrollverlust, Bloßstellung, Verunsicherung oder den Verlust des Vertrauens in die sichere Verarbeitung Ihrer Daten. Eine nachvollziehbare Darstellung der individuellen Auswirkungen ist daher wichtig.

Kausalität zwischen Verstoß und Schaden

Nicht jeder Schaden führt automatisch zu einem Ersatzanspruch. Der Schaden muss vielmehr durch den Datenschutzverstoß verursacht worden sein. Diese Verbindung wird als Kausalität bezeichnet.

Das bedeutet: Der Schadensfall muss sich vernünftigerweise als Folge des Pflichtverstoßes darstellen lassen. Je besser sich der zeitliche und sachliche Zusammenhang aufzeigen lässt, desto überzeugender ist der Anspruch.

Für Sie als Betroffenen ist das häufig der anspruchsvollste Teil. Es genügt nicht, dass zeitlich einfach nur zwei Ereignisse nebeneinanderstehen. Vielmehr muss nachvollziehbar sein, weshalb der Schaden aufgrund des Datenschutzverstoßes entstanden ist und nicht aus anderen Gründen. Gerade bei immateriellen Schäden wird hier oft sehr genau hingeschaut.

Verschulden des Unternehmens

Schließlich muss die Pflichtverletzung dem Verantwortlichen auch vorwerfbar sein. Juristisch spricht man hier vom Verschulden; erfasst sind sowohl vorsätzliches als auch fahrlässiges Verhalten.

Die DSGVO enthält hierbei eine Besonderheit: Nach Art. 82 Abs. 3 kann sich der Verantwortliche nur entlasten, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Gelingt dieser Nachweis nicht, wird grundsätzlich von einem schuldhaften Verhalten ausgegangen.

Für Sie als Betroffene bedeutet dies: Sie müssen das Verschulden nicht im Detail beweisen. Es genügt, schlüssig darzulegen, dass ein Datenschutzverstoß vorliegt und ein Schaden eingetreten ist; anschließend muss das Unternehmen erläutern, warum es hierfür ausnahmsweise nicht verantwortlich sein will.

Im Kern lässt sich festhalten: Ein Schadensersatzanspruch entsteht dann, wenn ein Datenschutzverstoß zu einem messbaren oder spürbaren Schaden führt, der sachlich auf diesen Verstoß zurückzuführen ist – und das Unternehmen sich nicht erfolgreich entlasten kann.

nach oben

Was genau ist ein „Schaden“ im Sinne von Art. 82 DSGVO?

Der Begriff des „Schadens“ ist im Datenschutzrecht der Dreh- und Angelpunkt Ihres Anspruchs. Art. 82 DSGVO spricht ausdrücklich von materiellem und immateriellem Schaden. Anders als im klassischen Zivilrecht geht es also nicht nur um finanzielle Verluste, sondern auch um fühlbare Beeinträchtigungen Ihrer Persönlichkeit und Ihres Rechts auf Datenschutz.

Wichtig ist: Ohne Schaden kein Schadensersatz. Deshalb lohnt sich ein genauer Blick darauf, was unter „Schaden“ zu verstehen ist und wie Sie ihn darlegen können.

Materielle Schäden

Materielle Schäden sind alle Nachteile, die sich unmittelbar in Geld ausdrücken lassen. Sie greifen dort, wo der Datenschutzverstoß bei Ihnen zu konkreten finanziellen Belastungen geführt hat.

Typische Beispiele:

• Missbrauch von Zahlungs- oder Kontodaten
  Wenn nach einem Datenleck unberechtigte Abbuchungen vorgenommen werden oder Sie Lastschriften mühsam zurückholen müssen.
• Kosten für Sicherheitsmaßnahmen
  Etwa Ausgaben für die Sperrung und Neuausstellung von Karten, die Einrichtung kostenpflichtiger Sicherheitsdienste oder der Wechsel von Accounts und Diensten.
• Rechtsverfolgungskosten im Einzelfall
  Anwaltskosten, die Ihnen im Zusammenhang mit der konkreten Datenschutzverletzung entstehen, können je nach Konstellation ein ersatzfähiger Schaden sein.
• Vertrags- oder Geschäftseinbußen
  Wenn der Datenschutzverstoß dazu führt, dass ein Vertrag scheitert oder Kunden abspringen, kann auch das als materieller Schaden zu berücksichtigen sein.

Für Sie bedeutet das: Sammeln Sie Belege. Rechnungen, Kontoauszüge, Schriftwechsel mit Banken oder Dienstleistern helfen, den materiellen Schaden nachvollziehbar zu beziffern. Je genauer Sie dokumentieren, desto leichter lässt sich der Anspruch untermauern.

Immaterielle Schäden

Der zweite große Bereich sind immaterielle Schäden. Hier geht es um Verletzungen, die nicht unmittelbar messbar sind, aber dennoch sehr belastend sein können. Gerade im Datenschutzrecht spielt dieser Bereich eine zentrale Rolle, weil personenbezogene Daten eng mit Ihrer Persönlichkeit verknüpft sind.

Immaterielle Schäden können zum Beispiel sein:

• Kontrollverlust über persönliche Daten
  Sie wissen nicht mehr, wer was über Sie weiß, wie mit Ihren Daten umgegangen wird und ob weiterer Missbrauch droht.
• Gefühl der Überwachung oder Bloßstellung
  Besonders belastend kann es sein, wenn sensible Informationen an Kollegen, Vorgesetzte oder die Öffentlichkeit gelangen.
• Angst vor zukünftiger Verwendung der Daten
  Gerade bei Datenlecks, die im Internet verbreitet sind, bleibt oft die Unsicherheit, ob und wie diese Informationen in der Zukunft genutzt werden.
• Beeinträchtigung Ihres Ansehens
  Werden falsche oder missverständliche Daten verbreitet, kann dies Ihr berufliches oder privates Ansehen erheblich beeinträchtigen.

Ein immaterieller Schaden liegt typischerweise dann nahe, wenn Ihre Privatsphäre oder Ihr Persönlichkeitsrecht spürbar betroffen ist. Die bloße Information, dass irgendwo ein Verstoß „passiert“ ist, ohne jede Auswirkung auf Ihre Situation, wird eher selten ausreichen.

Deshalb ist es wichtig, dass Sie Ihre persönliche Betroffenheit möglichst konkret schildern:

• Wie haben Sie von der Verletzung erfahren?
• Wer konnte die Daten sehen?
• Welche Sorgen und Folgen hatten Sie im Alltag (z. B. schlaflose Nächte, ständige Angst vor Anrufen, peinliche Situationen im beruflichen Umfeld)?

Je plastischer Sie das beschreiben, desto greifbarer wird der immaterielle Schaden.

Abgrenzung zu Bagatell-Verletzungen

Eine der Kernfragen in der Praxis lautet: Wo verläuft die Grenze zwischen einem ersatzfähigen Schaden und einer bloßen Bagatelle?

Klar ist: Der Schadensbegriff im Datenschutzrecht darf nicht zu eng ausgelegt werden und es gibt keine starre „Bagatellgrenze“. Auch vergleichsweise geringe Beeinträchtigungen können ersatzfähig sein, wenn ein konkreter materieller oder immaterieller Nachteil nachvollziehbar dargelegt wird. Mini-Verstöße ohne jede erkennbare Auswirkung auf Ihre Person bleiben dagegen ohne Anspruch, weil es dann an einem „Schaden“ im Rechtssinne fehlt.

Man kann sich das in etwa so vorstellen:
• Ein rein technischer, kurzfristiger Fehler, der sofort behoben wird und keinerlei Auswirkungen auf Ihre Person hatte, führt mangels Schadens regelmäßig nicht zu einem Anspruch.
• Sobald aber konkrete Nachteile entstehen – etwa weil Dritte Ihre Daten sehen konnten, Sie sich ernsthaft mit den Folgen auseinandersetzen mussten oder ein spürbarer Kontrollverlust eingetreten ist –, liegt ein ersatzfähiger Schaden deutlich näher.

Für Sie heißt das: Konzentrieren Sie sich bei der Darstellung nicht auf abstrakte Rechtsfragen, sondern auf das, was der Verstoß für Sie persönlich bedeutet hat. Je deutlicher wird, dass Sie mehr als nur kurz genervt waren, desto weniger befindet man sich im Bereich bloßer Bagatellen.

Bedeutung der Beweisführung

Die Frage, was ein Schaden ist, hängt eng mit der Beweisführung zusammen. Ein Anspruch lässt sich nur durchsetzen, wenn Sie den Schaden überzeugend darlegen.

Dabei gilt:

• Materielle Schäden
  Hier helfen Belege: Kontoauszüge, Rechnungen, Sperrbestätigungen, Schriftwechsel mit Banken oder Dienstleistern. Ziel ist es, den Geldbetrag möglichst genau nachvollziehbar zu machen.
• Immaterielle Schäden
  Hier stehen Ihre Schilderung und Ihre Glaubwürdigkeit im Mittelpunkt. Hilfreich sein können etwa:
• E-Mails, aus denen sich Reaktionen Dritter ergeben
• ärztliche oder psychologische Atteste, wenn die Belastung sehr stark war
• Zeugen aus dem beruflichen oder privaten Umfeld

Sie müssen nicht jedes Detail mit Dokumenten „beweisen“. Trotzdem sollten Sie Ihre Geschichte in sich stimmig, konkret und nachvollziehbar darstellen. Pauschale Aussagen wie „Ich bin jetzt sehr verunsichert“ wirken schnell austauschbar. Besser ist eine Beschreibung, die Ihre individuelle Situation erkennen lässt.

Gerade hier zeigt sich der Wert einer strukturierten rechtlichen Aufarbeitung:

• Der Verstoß wird sauber eingeordnet
• Der Schaden wird nachvollziehbar herausgearbeitet
• Die Kausalität zwischen beidem wird schlüssig dargestellt

So erhöhen Sie die Chancen, dass Ihr Anspruch ernst genommen und nicht als bloße Bagatelle abgetan wird.

Zusammengefasst lässt sich sagen:
Der „Schaden“ im Sinne von Art. 82 DSGVO umfasst sowohl finanzielle Einbußen als auch spürbare seelische und persönliche Belastungen. Entscheidend ist, dass die Beeinträchtigung über bloße Unannehmlichkeiten hinausgeht und Sie sie überzeugend darlegen können. Eine sorgfältige Dokumentation und eine klare, nachvollziehbare Schilderung Ihrer Betroffenheit sind dafür von zentraler Bedeutung.

nach oben

Welche Datenschutz-Verstöße kommen typischerweise in Betracht?

Schadensersatzansprüche setzen voraus, dass ein datenschutzrechtlich relevanter Verstoß vorliegt. In der Praxis zeigt sich, dass bestimmte Pflichtverletzungen besonders häufig vorkommen und deshalb immer wieder Gegenstand gerichtlicher Auseinandersetzungen sind. Viele davon entstehen im Alltag – oft im Hintergrund und zunächst unbemerkt. Für Betroffene kann das weitreichende Folgen haben.

Im Folgenden lernen Sie die typischen Konstellationen kennen, die zu einem Schadensersatzanspruch nach Art. 82 DSGVO führen können.

Zu weite Datenerhebung

Die DSGVO sieht den Grundsatz der Datenminimierung vor: Es dürfen nur solche personenbezogenen Informationen erhoben werden, die für den jeweiligen Zweck erforderlich sind. Dennoch sammeln Unternehmen häufig weit mehr Daten, als sie tatsächlich benötigen.

Beispiele:

• Abfrage privater Zusatzdaten bei einer einfachen Registrierung
• Speicherung von Daten über lange Zeiträume ohne Anlass
• übermäßige Protokollierung von Nutzeraktivitäten

Gerade in Verbindung mit sensiblen Daten kann dies zu einem spürbaren Kontrollverlust führen und einen immateriellen Schaden begründen.

Datenverlust oder Datenleak

Besonders gravierend sind Fälle, in denen personenbezogene Daten verloren gehen, gestohlen oder unbefugt veröffentlicht werden. Ursache kann sowohl ein Cyberangriff sein als auch ein banaler Organisationsfehler.

Beispiele aus der Praxis:

• ungesicherte oder unverschlüsselte Geräte mit Kundendaten gehen verloren oder werden gestohlen
• Server werden gehackt und Kundendaten gelangen online
• interne Dokumente mit sensiblen Informationen werden versehentlich versendet

Für Betroffene kann das erhebliche Ängste auslösen, insbesondere wenn es sich um Bankdaten, Gesundheitsdaten oder intime private Informationen handelt.

Unzulässige Weitergabe

Viele Datenschutzverstöße beruhen auf der Weitergabe personenbezogener Daten, die rechtlich nicht zulässig war. Dabei spielt es keine Rolle, ob die Weitergabe vorsätzlich geschieht oder nur versehentlich.

Typische Fälle:

• Weitergabe von Kundendaten an Dritte ohne Einwilligung
• Offenlegung von Beschäftigtendaten gegenüber Kollegen
• Einsichtnahme durch Personen, die hierzu keine Befugnis besitzen

Je sensibler die Daten, desto größer das Risiko für einen Schaden – und desto höher sind die Erfolgsaussichten eines Anspruchs.

Fehlerhafte Löschung

Auch eine fehlende oder fehlerhafte Löschung kann einen Datenschutzverstoß darstellen. Daten dürfen nicht unbegrenzt gespeichert werden. Werden Daten entgegen geltender Löschfristen weitergeführt oder auf Nachfrage nicht entfernt, kann dies einen Schaden begründen.

Für Betroffene bedeutet dies oft, dass alte Daten immer noch in Systemen auffindbar sind oder Personen von Informationen erfahren, die längst hätten gelöscht werden müssen.

Unzureichende Datensicherheit

Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um personenbezogene Daten zu schützen. Werden diese Sicherheitsstandards vernachlässigt, liegt häufig ein Verstoß vor – selbst wenn es noch gar nicht zu einem Datenabfluss gekommen ist.

Beispiele:

• fehlende Verschlüsselung
• veraltete Sicherheitssoftware
• ungesicherte Zugänge
• fehlende Zugriffsbeschränkungen

Ist ein Datenleck Folge mangelhafter Sicherheit, kann dies die Haftung zusätzlich verstärken.

E-Mail-Werbung

Besonders häufig treten Schadensersatzforderungen im Zusammenhang mit unerwünschten Werbe-E-Mails auf. Werbemaßnahmen per E-Mail sind nur zulässig, wenn

• eine wirksame Einwilligung vorliegt
  oder
• ein gesetzlicher Ausnahmetatbestand erfüllt ist.

Fehlt eine solche Grundlage, liegt ein Verstoß gegen die DSGVO vor.

Vor allem dann, wenn Betroffene wiederholt unerwünschte Werbung erhalten oder sich trotz Abmeldung weiterhin Nachrichten aufdrängen, kann dies den Anspruch auf Schadensersatz begründen. Die Belastung entsteht oft durch ein Gefühl der Hilflosigkeit, der Belästigung oder durch das Eindringen in die Privatsphäre.

Diese Konstellationen zeigen: Datenschutzverstöße entstehen nicht nur bei großen Datenskandalen. Häufig sind es alltägliche Fehler, Nachlässigkeiten oder organisatorische Lücken, die zu einer Verletzung Ihrer Rechte führen. Wenn hierdurch ein Schaden entsteht, haben Sie die Möglichkeit, Schadensersatz geltend zu machen und Ihre Position gegenüber Unternehmen zu stärken.

nach oben

Wie hoch kann ein Anspruch ausfallen?

Die Frage, wie viel Geld Sie bei einem Datenschutzverstoß verlangen können, lässt sich nicht pauschal beantworten. Anders als im klassischen Verkehrs- oder Schmerzensgeldrecht gibt es für den Datenschutz noch keine flächendeckig gefestigten Tabellen. Die Summen bewegen sich derzeit je nach Fallkonstellation von eher kleineren Beträgen bis hin zu deutlich spürbaren vierstelligen Beträgen. Entscheidend ist immer die Gesamtschau des Einzelfalls.

Damit Sie die Größenordnung besser einschätzen können, ist es sinnvoll, sich die typischen Bemessungskriterien, die Rolle des Einzelfalls und die Tendenzen in der Praxis anzusehen.

Kriterien zur Bemessung

Gerichte stellen regelmäßig auf mehrere Faktoren ab, die sich wechselseitig beeinflussen. Zu den wichtigen Kriterien gehören insbesondere:

• Art der Daten
  Je sensibler die betroffenen Informationen sind, desto eher kommen höhere Beträge in Betracht. Gesundheitsdaten, Daten zur sexuellen Orientierung, politische Meinungen oder besonders intime persönliche Informationen werden meist deutlich strenger bewertet als eine einfache E-Mail-Adresse.
• Umfang und Dauer der Beeinträchtigung
  Es macht einen Unterschied, ob Ihre Daten nur kurzfristig in einem begrenzten Kreis einsehbar waren oder ob sie in großem Umfang und über längere Zeit verbreitet wurden. Auch die Frage, ob der Verstoß einmalig war oder sich über Monate hingezogen hat, wirkt sich aus.
• Reichweite des Verstoßes
  Wenn eine große Anzahl von Personen betroffen ist oder die Daten über das Internet einer unbestimmten Vielzahl von Dritten zugänglich wurden, erhöht dies regelmäßig das Gewicht der Verletzung.
• Schwere der persönlichen Betroffenheit
  Besonders wichtig ist, wie stark Sie persönlich beeinträchtigt sind. Eine massive Bloßstellung im beruflichen Umfeld, erhebliche psychische Belastungen oder nachhaltige Vertrauensverluste wiegen anders als eine einmalige ärgerliche Werbe-E-Mail.
• Verhalten des Unternehmens nach dem Verstoß
  Ein Unternehmen, das transparent informiert, kooperiert, den Fehler zügig abstellt und Gegenmaßnahmen ergreift, kann dadurch weitere Nachteile für Betroffene begrenzen. Je schneller und wirksamer reagiert wird, desto geringer fallen in der Regel die tatsächlichen Schäden aus – und entsprechend niedriger kann der ersatzfähige Betrag sein.
• Grad des Verschuldens
  Ein einmaliges Versehen trotz sonst gut organisierter Datenschutzstrukturen ist etwas anderes als systematische Nachlässigkeit oder bewusste Missachtung von Datenschutzregeln. Für die Höhe des Anspruchs ist aber nicht das „Strafbedürfnis“ gegenüber dem Unternehmen maßgeblich, sondern der Umfang des konkreten Schadens. Ein höheres Verschulden führt daher nur insoweit zu höheren Beträgen, wie es typischerweise mit schwereren oder länger anhaltenden Beeinträchtigungen der Betroffenen einhergeht.

Diese Kriterien werden nicht isoliert, sondern in ihrer Gesamtheit betrachtet. Es geht immer darum, was im konkreten Fall als angemessen erscheint.

Rolle des Einzelfalls

Der Schadensersatz im Datenschutzrecht lebt vom Einzelfall. Zwei äußerlich ähnliche Verstöße können zu deutlich unterschiedlichen Ergebnissen führen, wenn die individuelle Betroffenheit verschieden ist.

Beispiele zur Veranschaulichung:

• Unerwünschte E-Mail-Werbung kann in einem Fall als geringfügige Belästigung bewertet werden, in einem anderen Fall aber zu einem spürbaren immateriellen Schaden führen, etwa wenn eine Person über längere Zeit massiv mit Werbung bedrängt wird oder sich aus besonderen Gründen stark beeinträchtigt fühlt.
• Ein Datenleck mit Kundenadressen kann relativ milde gewichtet werden, wenn die Daten schnell gesichert werden und keine Anhaltspunkte für einen Missbrauch bestehen. Sind hingegen Zahlungsdaten oder sehr intime Informationen betroffen, kann derselbe technische Vorfall im Ergebnis deutlich schwerer wiegen.

Für Sie bedeutet das:

Je genauer Sie Ihre persönliche Situation schildern und je besser sich der konkrete Nachteil nachzeichnen lässt, desto eher wird ein Gericht bereit sein, eine spürbare Entschädigung zuzusprechen. Standardisierte „Fließbandforderungen“ ohne individuelle Begründung werden dagegen häufig kritisch betrachtet.

Tendenzen in der Praxis

In der gerichtlichen Praxis zeichnen sich einige Tendenzen ab:

• Gerichte zeigen sich bei der Höhe immaterieller Schäden häufig zurückhaltend, insbesondere bei einfacheren oder einmaligen Verstößen ohne gravierende Folgen. Hier bewegen sich die Beträge oft im eher niedrigen bis mittleren dreistelligen Bereich.
• Bei schwerwiegenden Verstößen, etwa bei der Offenlegung besonders sensibler Daten oder bei großflächigen Datenlecks, können auch deutlich höhere Summen in Betracht kommen. Entscheidend ist dann, wie stark das Persönlichkeitsrecht konkret beeinträchtigt wurde.
• Rein formale oder sehr geringfügige Verstöße ohne erkennbare Auswirkung auf die betroffene Person führen nicht automatisch zu Zahlungen. In solchen Fällen wird häufig argumentiert, dass zwar ein Verstoß vorliegt, aber kein konkret erlittenen Schaden substantiiert dargelegt wurde.
• Die Praxis befindet sich nach wie vor in Bewegung. Mit zunehmender Zahl an Entscheidungen schärfen Gerichte nach und nach ihre Maßstäbe. Es lässt sich beobachten, dass die Anforderungen an die Darlegung des Schadens eher steigen: Betroffene sollen deutlicher erläutern, worin genau ihre Beeinträchtigung liegt.

Unterm Strich lässt sich festhalten:

Die Höhe eines Datenschutz-Schadensersatzes orientiert sich maßgeblich an der Schwere des Verstoßes und Ihrer persönlichen Betroffenheit. Wer seinen Einzelfall sorgfältig aufbereitet, die Auswirkungen konkret beschreibt und rechtlich strukturiert vorträgt, verbessert seine Chancen auf eine angemessene Entschädigung deutlich.

nach oben

Beweislast und typische Schwierigkeiten aus Sicht eines Betroffenen

Die beste Anspruchsgrundlage nützt wenig, wenn sich der Sachverhalt nicht nachweisen lässt. Im Datenschutzrecht zeigt sich immer wieder: Der juristische Streit dreht sich weniger darum, ob die DSGVO grundsätzlich einen Schadensersatzanspruch vorsieht, sondern vielmehr darum, ob der konkrete Verstoß und der konkrete Schaden ausreichend belegt sind.

Für Sie als Betroffenen bedeutet das: Eine kluge Beweisstrategie ist fast genauso wichtig wie die rechtliche Argumentation. Viele Verfahren scheitern nicht, weil der Verstoß völlig abwegig wäre, sondern weil er nicht nachvollziehbar belegt wird.

Welche Nachweise erforderlich sein können

Im Grundsatz tragen Sie als Betroffener die Darlegungs- und Beweislast dafür, dass

• ein Datenschutzverstoß vorliegt
• Ihnen ein Schaden entstanden ist
• ein Zusammenhang zwischen Verstoß und Schaden besteht

Das klingt streng, wird aber in der Praxis etwas relativiert, weil Unternehmen sich entlasten müssen, wenn sie eine Haftung vermeiden möchten. Dennoch sollten Sie nicht darauf vertrauen, dass sich „schon alles irgendwie aufklärt“.

Hilfreich kann insbesondere sein:

• eine möglichst genaue Schilderung des Geschehensablaufs:
• Wann haben Sie von dem Verstoß erfahren?
• Wer war beteiligt?
• Welche Kommunikation hat es gegeben?
• eine konkrete Darstellung der Folgen:
• Welche Nachteile sind Ihnen entstanden?
• Wie hat sich die Situation auf Ihr Berufs- oder Privatleben ausgewirkt?

Je strukturierter Ihre Darstellung ausfällt, desto leichter lässt sie sich in eine rechtliche Argumentation einbauen. Vage Aussagen nach dem Motto „Da war irgendetwas mit meinen Daten“ sind dafür meist nicht ausreichend.

Rolle von Dokumenten, Screenshots und E-Mails

In Datenschutzfällen spielen digitale Beweismittel eine zentrale Rolle. Sie können den Unterschied ausmachen zwischen einem schwer zu beweisenden Vorwurf und einem belastbaren Anspruch.

Besonders wichtig sind häufig:

• E-Mails und Schriftverkehr
  Nachrichten von dem Unternehmen, Hinweise auf Datenpannen, Newsletter-Bestätigungen, Widerspruchs- oder Löschanfragen, Antworten des Verantwortlichen – all dies kann wertvoll sein. Sie zeigen, dass Sie sich tatsächlich an das Unternehmen gewandt haben und welche Reaktion erfolgt ist.
• Screenshots
  Screenshots sind oft ein wirksames Mittel, um Zustände festzuhalten, die sich später ändern könnten:
• Ein öffentlich einsehbares Profil mit falschen Daten
• ein fehlerhaftes Kundenkonto
• die Anzeige von Daten in einem Portal, obwohl Sie eine Löschung verlangt haben
• unerwünschte Werbe-E-Mails im Posteingang

Wichtig ist, dass Screenshots möglichst Datum, Uhrzeit und die relevante Ansicht erkennen lassen.

• Dokumente und Schreiben
  Verträge, Datenschutzinformationen, Einwilligungstexte, interne Schreiben des Arbeitgebers: Sie können belegen, auf welcher rechtlichen Grundlage die Datenverarbeitung angeblich beruhte und ob diese Basis tragfähig ist.
• Protokolle oder Notizen
  Wenn Sie Telefonate geführt oder persönliche Gespräche gehabt haben, kann es sinnvoll sein, den Inhalt zeitnah zu notieren: Wer hat was geäußert? Welche Zusagen wurden gemacht?

All diese Unterlagen helfen dabei, die eigene Darstellung zu untermauern. Die Erfahrung zeigt: Je besser der Sachverhalt dokumentiert ist, desto ernster wird ein Anspruch genommen.

Für Sie kann es daher sinnvoll sein, frühzeitig damit zu beginnen, alles Relevante zu sammeln – noch bevor rechtliche Schritte eingeleitet werden.

Herausforderung immaterieller Schäden

Besonders anspruchsvoll ist die Beweisführung bei immateriellen Schäden. Während materielle Schäden sich über Rechnungen, Kontoauszüge und Kostenaufstellungen belegen lassen, spielt sich der immaterielle Schaden häufig im Inneren ab: Angst, Kontrollverlust, Bloßstellung, Vertrauensverlust.

Gerichte erwarten hier in der Regel mehr als die bloße Behauptung, man sei „verärgert“ oder „irritiert“. Sie sollten möglichst konkret darlegen:

• Wie genau sich die Datenschutzverletzung in Ihrem Alltag bemerkbar gemacht hat
  Haben Sie über einen längeren Zeitraum Angst vor einem Missbrauch Ihrer Daten gehabt? Mussten Sie bestimmte Dienste meiden? Haben Sie sich im beruflichen Umfeld bloßgestellt gefühlt?
• Welche Auswirkungen die Verletzung auf Ihre Psyche oder Ihr Wohlbefinden hatte
  Kam es zu Schlafstörungen, ständiger Anspannung, gewissem Vermeidungsverhalten? In besonders ernsten Fällen können ärztliche oder psychologische Bescheinigungen unterstützen.
• In welchem sozialen Umfeld die Verletzung „sichtbar“ wurde
  Gelangten Daten an Kollegen, Vorgesetzte, Kunden oder in die breite Öffentlichkeit, kann das Gewicht der Beeinträchtigung erheblich steigen. Eine Veröffentlichung im Internet wird häufig anders bewertet als ein einmaliger, interner Einblick.

Die Herausforderung besteht darin, eine unsichtbare Beeinträchtigung sichtbar zu machen. Das gelingt besser, wenn Sie konkrete Beispiele schildern:

• Situationen, in denen Sie sich unwohl gefühlt haben
• Gespräche mit Dritten, in denen der Vorfall thematisiert wurde
• Veränderungen in Ihrem Verhalten (etwa verstärkte Vorsicht, Meidung bestimmter Plattformen)

Auch hier können E-Mails, Chatverläufe oder Zeugenaussagen unterstützen, etwa wenn Freunde oder Kollegen bestätigen können, dass Sie die Situation stark belastet hat.

Beweislast in der Praxis – ein Spannungsfeld

In vielen Verfahren wird deutlich, dass die Grenze zwischen Darlegungslast des Betroffenen und Entlastungslast des Unternehmens nicht immer scharf verläuft.

Auf der einen Seite sollen Betroffene nicht mit überzogenen Anforderungen überfordert werden. Sie haben keinen Einblick in die internen Abläufe eines Unternehmens und können daher meist nur den äußeren Geschehensablauf schildern.

Auf der anderen Seite sollen Unternehmen nicht für jeden kleinsten Verstoß ohne erkennbare Auswirkungen mit hohen Zahlungen konfrontiert werden.

In diesem Spannungsfeld kommt es stark darauf an, wie klar und strukturiert Ihr Vortrag ist:

• Sie schildern den objektiven Ablauf, die konkrete Verletzung und die persönlichen Folgen
• das Unternehmen muss sich anschließend erklären und kann versuchen, sich zu entlasten

Je besser Sie Ihren Part erfüllen, desto schwieriger wird es für die Gegenseite, den Vorfall herunterzuspielen oder Unklarheiten auszunutzen.

Fazit aus Sicht eines Betroffenen

Die Durchsetzung eines Datenschutz-Schadensersatzanspruchs steht und fällt in vielen Fällen mit der Beweisführung. Wer frühzeitig beginnt, relevante Unterlagen zu sichern, den eigenen Verlauf zu dokumentieren und die persönliche Betroffenheit konkret zu beschreiben, verschafft sich eine deutlich bessere Ausgangsposition.

Gerade bei immateriellen Schäden ist es wichtig, die Auswirkungen nicht nur abstrakt, sondern möglichst anschaulich darzustellen. So entsteht ein stimmiges Gesamtbild, das zeigt, warum der Datenschutzverstoß für Sie mehr war als eine bloße Formalie – und weshalb ein spürbarer Ausgleich gerechtfertigt erscheint.

Typische Gegenargumente von Unternehmen

Wer einen Schadensersatzanspruch nach Art. 82 DSGVO geltend macht, trifft in der Praxis häufig auf erheblichen Widerstand. Unternehmen haben ein nachvollziehbares Interesse daran, Ansprüche abzuwehren oder zumindest zu begrenzen – schon um keine Flut weiterer Forderungen auszulösen.

Daraus haben sich typische Argumentationsmuster entwickelt, die in vielen Fällen in ähnlicher Form auftreten. Wenn Sie diese Strategien kennen, können Sie frühzeitig besser einschätzen, womit Sie konfrontiert werden und wie Ihre Erfolgsaussichten realistisch einzuschätzen sind.

Bestreiten des Schadens

Ein besonders häufiges Gegenargument lautet: „Es ist gar kein Schaden entstanden.“

Unternehmen versuchen dabei, zwischen dem feststellbaren Datenschutzverstoß und der persönlichen Betroffenheit zu trennen. Selbst wenn ein Verstoß eingestanden wird, wird der konkrete Schaden oft bestritten. Typische Argumentationslinien sind:

• Die Beeinträchtigung sei „rein subjektiv“ und nicht nachvollziehbar
• Es habe „nur“ ein kurzer technischer Fehler vorgelegen
• Dritte hätten die Daten faktisch nicht ausgenutzt
• die betroffene Person sei lediglich „verärgert“, was keinen ersatzfähigen Schaden darstelle

Besonders bei immateriellen Schäden ist dieses Bestreiten ein zentrales Verteidigungsmittel. Unternehmen stellen dann in den Vordergrund, dass kein objektiv nachweisbarer Nachteil eingetreten sei und versuchen, den Vorfall als eher harmlos erscheinen zu lassen.

Für Sie als Betroffenen bedeutet das: Eine möglichst konkrete und greifbare Schilderung Ihrer Belastung wird umso wichtiger. Je klarer sich erkennen lässt, dass der Vorfall Ihr Vertrauen, Ihre Privatsphäre oder Ihre Sicherheit spürbar beeinträchtigt hat, desto schwerer wird es, den Schaden als bloße Unmutsreaktion darzustellen.

Verweis auf Eigenverantwortung

Ein weiteres typisches Gegenargument lautet sinngemäß: „Sie sind doch selbst schuld.“

Unternehmen betonen dann etwa:

• Sie hätten unvorsichtig mit Ihren Daten umgegangen
• Sie hätten Sicherheitshinweise nicht beachtet
• Sie hätten leichtfertig auf Links geklickt oder Passwörter weitergegeben
• Sie hätten Einstellungen im Kundenkonto falsch gewählt

Mit diesem Verweis auf Eigenverantwortung soll deutlich gemacht werden, dass der Schaden vor allem auf Ihrem Verhalten beruhe – und nicht auf einem Verstoß des Unternehmens. Diese Argumentation kann in Grenzfällen Gewicht haben, etwa wenn Betroffene sensible Informationen völlig ungeschützt öffentlich zugänglich gemacht haben oder Sicherheitswarnungen über einen längeren Zeitraum ignoriert wurden.

Allerdings entbindet dies Unternehmen nicht ohne Weiteres von ihren Pflichten. Verantwortliche sind weiterhin dazu verpflichtet, angemessene Sicherheitsmaßnahmen zu treffen und transparente Informationen bereitzustellen. Wenn diese Pflichten verletzt werden, kann sich ein reiner Verweis auf das Verhalten der betroffenen Person als nicht ausreichend erweisen.

Für Sie kann es sinnvoll sein, deutlich zu machen:

• welche Hinweise Ihnen tatsächlich gegeben wurden
• welche Schutzmaßnahmen Sie selbst ergriffen haben
• wo Sie sich auf die Organisation und Sicherheit des Unternehmens verlassen durften

So wird deutlich, dass der Verweis auf Eigenverantwortung nicht jede Haftung verschwinden lassen kann.

Geltendmachung unvermeidbarer Umstände

Ein weiteres beliebtes Verteidigungsmuster besteht darin, sich auf unvermeidbare Umstände zu berufen. Das klingt dann oft nach: „Wir konnten das gar nicht verhindern.“

Beispiele:

• Ein außergewöhnlich komplexer Hackerangriff
• Sicherheitslücken in Standardsoftware, die selbst Experten zunächst nicht bekannt waren
• unvorhersehbare technische Störungen, die trotz üblicher Vorsichtsmaßnahmen auftreten

Unternehmen argumentieren in solchen Fällen, dass sie alle angemessenen organisatorischen und technischen Maßnahmen ergriffen hätten und der Vorfall dennoch eingetreten sei. Auf dieser Basis wird versucht, das eigene Verschulden zu verneinen.

Grundsätzlich erkennt das Recht an, dass es Situationen geben kann, in denen sich ein Verstoß kaum vermeiden lässt, obwohl der Verantwortliche sorgfältig gehandelt hat. Allerdings reicht die bloße Berufung auf „höhere Gewalt“ oder „unbekannte Risiken“ regelmäßig nicht.

Wesentlich ist, ob das Unternehmen konkrete und nachvollziehbare Maßnahmen ergriffen hat:

• Gab es ein aktuelles Sicherheitskonzept?
• Wurden Updates zeitnah installiert?
• Waren Prozesse dokumentiert und geschult?

Je deutlicher hier Lücken erkennbar sind, desto weniger trägt der Hinweis auf Unvermeidbarkeit.

Bewertung dieser Einwände

Diese typischen Gegenargumente sollten Sie kennen – aber sie müssen Sie nicht entmutigen. Sie zeigen vor allem, an welchen Stellen Unternehmen versuchen, die Verantwortlichkeit zu relativieren.

Aus Sicht eines Betroffenen lässt sich Folgendes festhalten:

• Das Bestreiten des Schadens lässt sich durch eine sorgfältige, konkrete Darstellung Ihrer individuellen Betroffenheit erschweren. Je genauer Sie schildern, wie sich der Vorfall auf Ihr Leben ausgewirkt hat, desto weniger wird Ihr Anliegen als „Bagatelle“ wahrgenommen.
• Der Verweis auf Eigenverantwortung kann in besonderen Einzelfällen eine Rolle spielen, ersetzt aber nicht die datenschutzrechtlichen Pflichten des Unternehmens. Gerade wenn Sie sich auf die Seriosität und Professionalität des Verantwortlichen verlassen durften, verliert dieses Argument an Schlagkraft.
• Die Geltendmachung unvermeidbarer Umstände setzt eine solide und nachweisbare Datenschutzorganisation voraus. Fehlen entsprechende Nachweise oder sind Sicherheitsmaßnahmen offensichtlich lückenhaft, wirkt dieses Argument schnell konstruiert.

Wichtig ist:

Unternehmen tragen eine aktive Entlastungslast. Das bedeutet, sie müssen im Zweifel zeigen, dass sie nicht verantwortlich sind. Wenn Sie Ihren Teil – die nachvollziehbare Darstellung des Verstoßes und Ihrer Schäden – sorgfältig erfüllen, können Sie diese typischen Einwände zwar nicht vollständig ausschließen, aber deutlich entkräften.

So entsteht ein ausgewogenes Bild: Sie zeigen auf, dass der Datenschutzverstoß für Sie nicht nur eine Formalie war, und zwingen das Unternehmen, seine Pflichten und sein Verhalten im Detail offenzulegen.

nach oben

Fallkonstellationen aus der Praxis

Datenschutzverstöße sind selten abstrakte Konstrukte. In der Praxis spielen sie sich in sehr konkreten Situationen ab – im Online-Shop, in sozialen Netzwerken, im E-Mail-Posteingang oder am Arbeitsplatz. Gerade hier entscheidet sich, ob aus einem gefühlten Unrecht ein rechtlich greifbarer Schadensersatzanspruch wird.

Im Folgenden sehen Sie typische Konstellationen, in denen ein Anspruch nach Art. 82 DSGVO ernsthaft in Betracht kommen kann. Sie bekommen ein Gefühl dafür, worauf es jeweils ankommt und welche Besonderheiten zu beachten sind.

Datenschutzverletzung im Online-Handel

Online-Shops verarbeiten eine Fülle personenbezogener Daten: Name, Adresse, E-Mail, Zahlungsdaten, Bestellhistorie, Nutzungsprofile. Gleichzeitig stehen sie unter starkem Wettbewerbsdruck und setzen häufig auf Marketing- und Tracking-Tools. In dieser Mischung entstehen schnell Fehler.

Typische Konstellationen:

• Offenlegung von Kundendaten im Kundenkonto
  Beispielsweise, wenn Sie nach dem Login plötzlich Bestelldaten oder Adressen anderer Kunden sehen können. Schon der kurze Einblick in fremde Daten kann eine Verletzung des Datenschutzes bedeuten, weil Unbefugte Einblick in personenbezogene Informationen erhalten.
• Übermittlung von Zahlungsdaten an Dritte ohne ausreichende Absicherung
  Wird etwa eine unsichere Schnittstelle zu Zahlungsdienstleistern genutzt oder werden Daten im Klartext übertragen, kann ein Angriff erleichtert werden. Kommt es dann zu Missbrauch, liegt schnell ein materieller und immaterieller Schaden vor.
• Übermäßige Profilbildung und Tracking
  Wenn ein Online-Händler umfassende Bewegungsprofile erstellt, ohne Sie transparent zu informieren oder eine tragfähige Rechtsgrundlage zu haben, kann dies eine eigenständige Datenschutzverletzung darstellen. Besonders sensibel ist dies, wenn das Profil Rückschlüsse auf Ihre Gesundheit, politische Ansichten oder andere sensible Bereiche erlaubt.

In solchen Fällen kann ein Anspruch entstehen, wenn Sie darlegen können, dass die Verletzung zu einem konkreten Nachteil geführt hat – etwa einer fühlbaren Bloßstellung, einem Missbrauch von Zahlungsdaten oder einem erheblichen Verlust des Vertrauens in die Sicherheit des Shops.

Datenleak bei Social-Media-Diensten

Soziale Netzwerke sind für viele Menschen täglicher Begleiter. Sie veröffentlichen dort Bilder, Kommentare, Interessen – oft über Jahre. Diese Daten sind attraktiv für Angriffe und gleichzeitig besonders sensibel, weil sie Ausdruck Ihrer Persönlichkeit und Ihres sozialen Umfelds sind.

Typische Konstellationen:

• Hackerangriffe auf Nutzerkonten
  Greifen Dritte auf Ihr Profil zu, können sie Nachrichten lesen, Bilder kopieren, Identitäten übernehmen oder Inhalte in Ihrem Namen veröffentlichen. Die Folgen reichen von peinlichen Situationen im Freundeskreis bis hin zu beruflichen Schwierigkeiten.
• unbefugte Veröffentlichung von Profildaten
  Werden interne Profildaten, Kontaktlisten oder private Nachrichten durch ein Datenleck öffentlich, liegt regelmäßig ein schwerwiegender Verstoß vor. Gerade bei sensiblen Themen – etwa Gesundheit, Sexualität, politische Einstellungen – ist die Beeinträchtigung schnell erheblich.
• Verknüpfung von Daten aus verschiedenen Quellen
  Werden Daten aus dem Netzwerk mit Informationen aus Tracking-Tools auf Drittseiten kombiniert, kann ein umfassendes Profil entstehen, ohne dass Sie dies durchschauen. Fehlt Transparenz oder eine tragfähige Rechtsgrundlage, kann dies datenschutzrechtlich problematisch sein.

In solchen Fällen stehen immaterielle Schäden im Vordergrund: Kontrollverlust, Bloßstellung, Angst vor zukünftiger Nutzung der Daten. Je konkreter Sie diese Folgen beschreiben können, desto stärker wird Ihr Anspruch.

Newsletter ohne Einwilligung

Unerwünschte Newsletter oder Werbe-E-Mails wirken auf den ersten Blick harmloser als ein großes Datenleck. Dennoch können auch sie einen Datenschutzverstoß darstellen – insbesondere, wenn sie wiederholt auftreten oder besonders aufdringlich sind.

Typische Konstellationen:

• Sie erhalten Werbe-E-Mails, obwohl Sie nie eingewilligt haben
• Sie haben sich abgemeldet, bekommen aber weiterhin Newsletter
• Ihre Adresse wurde erkennbar aus einer anderen Quelle übernommen, ohne dass Sie dem zugestimmt haben

Hier liegt der Verstoß häufig in der fehlenden oder unwirksamen Einwilligung und in der Nutzung Ihrer E-Mail-Adresse zu Werbezwecken gegen Ihren Willen.

Ob daraus ein Schadensersatzanspruch entsteht, hängt von der Intensität der Beeinträchtigung ab. Einzelne E-Mails werden oft als eher geringfügig eingestuft. Wenn Sie jedoch regelmäßig unerwünschte Post erhalten, trotz Widerspruchs keine Ruhe haben oder sich in Ihrer Privatsphäre nachhaltig gestört fühlen, kann ein immaterieller Schaden in Betracht kommen.

Wichtig ist, dass Sie dokumentieren:

• wann Sie welche E-Mails erhalten haben
• ob und wann Sie widersprochen oder sich abgemeldet haben
• welche Reaktion das Unternehmen zeigt

So lässt sich die Beeinträchtigung nachvollziehbar darstellen und die Einwände des Unternehmens („Sie hätten sich einfach abmelden können“) relativieren.

Arbeitgeber als Anspruchsgegner

Besonders sensibel sind Datenschutzverstöße im Arbeitsverhältnis. Hier besteht ein Abhängigkeitsverhältnis, und der Arbeitgeber verfügt über viele Informationen, die Ihre berufliche Stellung und Ihre persönliche Lebenssituation betreffen.

Typische Konstellationen:

• Weitergabe von Mitarbeiterdaten an Kollegen oder Dritte
  Zum Beispiel Gehaltsinformationen, Abmahnungen, Krankheitsdaten oder private Kontaktdaten. Wenn solche Informationen unerlaubt im Unternehmen „die Runde machen“ oder an Dritte gelangen, kann dies Ihr Persönlichkeitsrecht erheblich verletzen.
• unzulässige Überwachung
  Der Einsatz von Monitoring-Software, heimlichen Aufzeichnungen oder detaillierten Auswertungen von E-Mails und Internetnutzung kann gegen Datenschutzrecht verstoßen, wenn keine tragfähige Rechtsgrundlage besteht oder keine transparente Information erfolgt.
• mangelhafte Datensicherheit bei Personalunterlagen
  Werden Personalakten offen zugänglich aufbewahrt oder sind digitale Personalakten unzureichend geschützt, können Unbefugte Einblick in hochsensible Unterlagen erhalten.

In diesen Fällen geht es häufig um immaterielle Schäden: Verlust des Vertrauens, Gefühl der Überwachung, Bloßstellung gegenüber Kolleginnen und Kollegen, Störung des beruflichen Ansehens.

Besonders wichtig ist hier eine sorgfältige Dokumentation:

• Wer hatte Einblick in welche Daten?
• Wo sind welche Informationen aufgetaucht (z. B. Gerüchte über Krankheitsgründe, Gehalt)?
• Wie hat sich das Klima am Arbeitsplatz verändert?

Die Hürde, gegen den eigenen Arbeitgeber vorzugehen, ist oft hoch. Gleichzeitig ist die datenschutzrechtliche Relevanz dieser Fälle regelmäßig besonders groß, weil die Eingriffe tief in Ihre persönliche und berufliche Sphäre reichen.

Was Sie aus diesen Konstellationen mitnehmen sollten

Diese Beispiele machen deutlich: Datenschutzverstöße spielen sich mitten im Alltag ab – beim Einkaufen, beim Scrollen durch Social Media, beim Abrufen des Posteingangs oder im Büro.

Ein Anspruch auf Schadensersatz hängt nicht davon ab, ob ein spektakulärer Datenskandal vorliegt. Entscheidend ist, ob

• ein Verstoß gegen die DSGVO vorliegt
• dieser Verstoß für Sie spürbare Folgen hatte
• Sie diese Folgen nachvollziehbar darstellen und belegen können

Je besser Sie erkennen, in welche „Schublade“ Ihr Fall ungefähr fällt, desto gezielter lässt sich der Sachverhalt aufbereiten und rechtlich bewerten.

nach oben

Strategisch kluges Vorgehen für Betroffene

Ein Datenschutzverstoß sorgt oft zunächst für Verunsicherung. Viele Betroffene fragen sich: „Lohnt sich das überhaupt? Kann ich dagegen wirklich etwas tun?“ Gleichzeitig wissen sie oft nicht genau, welche Schritte sinnvoll sind – und was eher schadet als hilft.

Ein überlegtes Vorgehen kann Ihre Position deutlich stärken. Es geht nicht darum, übereilt zu reagieren, sondern strukturiert und mit Blick auf spätere Beweise zu handeln.

Erste Schritte nach einem Verstoß

Wenn Sie den Eindruck haben, dass Ihre personenbezogenen Daten rechtswidrig verarbeitet wurden oder „in falsche Hände“ geraten sind, sollten Sie einige Punkte möglichst zeitnah angehen:

• Ruhe bewahren und Fakten sammeln
  Notieren Sie, wann und wie Sie von dem Vorfall erfahren haben. Halten Sie fest, welche Daten betroffen sind, und speichern Sie Belege – etwa E-Mails, Schreiben, Screenshots. Diese Dokumentation ist später von großer Bedeutung.
• Betroffenenrechte nutzen
  Sie können Auskunft verlangen, welche Daten verarbeitet wurden, aus welcher Quelle sie stammen und zu welchen Zwecken sie genutzt werden. Ein sachlich formuliertes Auskunftsverlangen hilft, mehr Klarheit über den Umfang des Verstoßes zu gewinnen.
• Unternehmen kontaktieren
  In vielen Fällen ist es sinnvoll, den Verantwortlichen direkt anzuschreiben und den Verstoß zu schildern. Fragen Sie, wie es dazu kommen konnte, welche Maßnahmen ergriffen wurden und ob weitere Risiken für Sie bestehen. Gleichzeitig entsteht so ein nachweisbarer Kommunikationsverlauf.
• Eigene Schutzmaßnahmen ergreifen
  Je nach Art des Verstoßes kann es angebracht sein, Passwörter zu ändern, Karten sperren zu lassen oder bestimmte Dienste zunächst vorsichtiger zu nutzen. Schon aus eigenem Interesse ist es ratsam, mögliche Folgeschäden zu begrenzen.

Wichtig ist, dass Sie diese Schritte möglichst geordnet und nachvollziehbar gehen. Übereilte, unsachliche Schreiben oder emotionale Reaktionen helfen selten weiter und werden später nicht selten gegen Betroffene ausgelegt.

Wann Sie rechtlichen Rat einholen sollten

Spätestens dann, wenn der Vorfall über eine bloße Unannehmlichkeit hinausgeht, sollte geprüft werden, ob rechtlicher Rat sinnvoll ist. Anhaltspunkte dafür können sein:

• Es sind sensible Daten betroffen (Gesundheit, intime Informationen, Finanzdaten)
• Sie fühlen sich nachhaltig verunsichert, bloßgestellt oder unter Druck gesetzt
• Das Unternehmen reagiert ausweichend, verzögert oder gar nicht
• Es gab bereits konkrete Folgeschäden, etwa finanzielle Einbußen oder Probleme im beruflichen Umfeld

Rechtlicher Rat kann Ihnen helfen,

• die Stärke Ihres Anspruchs realistisch einzuschätzen
• typische Fehler bei der Kommunikation mit dem Verantwortlichen zu vermeiden
• Fristen, Beweislast und taktische Optionen besser zu überblicken

Viele Betroffene zögern, weil sie befürchten, ein Vorgehen wirke „überzogen“. Gleichzeitig wird dadurch häufig wertvolle Zeit und Beweiskraft verschenkt. Ein frühes Beratungsgespräch bedeutet nicht automatisch einen Gerichtsprozess, sondern dient oft zunächst der Einordnung und Strategieplanung.

Welche Fehler häufig vermieden werden können

In der Praxis zeigen sich bestimmte Verhaltensmuster, die die Position von Betroffenen unnötig schwächen. Dazu zählen insbesondere:

• Unstrukturierte oder überzogene Schreiben
  Sehr lange, emotional aufgeladene E-Mails ohne klare Forderung oder ohne sachliche Darstellung des Vorfalls sind schwer verwertbar. Besser ist eine knappe, strukturierte Schilderung der Fakten und eine klare Benennung dessen, was Sie erwarten.
• Keine oder lückenhafte Beweissicherung
  Viele löschen aus Ärger E-Mails, leeren ihr Postfach oder fertigen keine Screenshots an. Das erschwert eine spätere Durchsetzung des Anspruchs erheblich. Sinnvoller ist es, alles Relevante zunächst zu sichern und geordnet abzulegen.
• Voreilige Vergleichslösungen
  Manchmal bieten Unternehmen „aus Kulanz“ kleinere Beträge an oder bitten um eine abschließende Erledigungserklärung. Ohne Prüfung kann eine solche Erklärung dazu führen, dass weitergehende Ansprüche ausgeschlossen werden, obwohl die Lage eigentlich deutlich besser gewesen wäre.
• Öffentliche „Selbstjustiz“
  Spontane öffentliche Vorwürfe in sozialen Netzwerken oder Bewertungsportalen mögen verständlich erscheinen, können aber rechtliche Risiken bergen. Unter bestimmten Umständen drohen Gegenvorwürfe – etwa wegen unwahrer Tatsachenbehauptungen oder rufschädigender Äußerungen.

Wer diese Fehler vermeidet, bewahrt sich eine deutlich bessere Ausgangsposition – unabhängig davon, ob es später zu einer einvernehmlichen Lösung oder einem gerichtlichen Verfahren kommt.

Vorteil einer spezialisierten Kanzlei

Datenschutzrecht ist ein dynamisches und komplexes Rechtsgebiet. Es verbindet europäisches Recht, nationales Zivilrecht, Persönlichkeitsrecht und häufig auch arbeitsrechtliche oder medienrechtliche Fragen.

Eine auf Datenschutz- und Persönlichkeitsrecht spezialisierte Kanzlei kann insbesondere folgende Vorteile bieten:

• Realistische Einschätzung der Erfolgsaussichten
  Nicht jeder Verstoß führt automatisch zu einem durchsetzbaren Anspruch. Spezialisten können besser einschätzen, welche Argumente tragfähig sind und wie Gerichte vergleichbare Fälle bislang bewertet haben.
• Professionelle Aufbereitung des Sachverhalts
  Die Kunst liegt häufig darin, den Sachverhalt so darzustellen, dass er rechtlich „greift“: klar, strukturiert, ohne Widersprüche – und mit einem nachvollziehbaren roten Faden vom Verstoß bis hin zum Schaden.
• Taktisch sinnvolles Vorgehen gegenüber Unternehmen
  Viele Unternehmen reagieren anders, wenn sie merken, dass auf der Gegenseite juristisch fundiert argumentiert wird. Eine klare, gut begründete Anspruchsstellung erhöht den Druck, den Vorfall ernsthaft zu prüfen und angemessen zu regulieren.
• Entlastung und Sicherheit für Sie
  Die Auseinandersetzung mit einem Datenschutzverstoß ist für Betroffene oft belastend. Wer die Kommunikation und die rechtliche Strategie in fachkundige Hände legt, schafft sich Freiraum und reduziert das Risiko, aus Unsicherheit unbedachte Schritte zu gehen.

In der Summe kann ein strategisch durchdachtes Vorgehen dazu beitragen, dass aus einem zunächst diffusen Datenschutzvorfall ein sauber aufbereiteter Anspruch wird. Sie behalten die Kontrolle über das Verfahren – und erhöhen die Chancen, dass Ihre Rechte nicht nur auf dem Papier, sondern auch finanziell und persönlich spürbar durchgesetzt werden.

nach oben

Fazit: Wann sich die Geltendmachung lohnt

Die Durchsetzung eines Schadensersatzanspruchs im Datenschutzrecht ist kein Automatismus. Zwischen einem Verstoß gegen die DSGVO und einem tatsächlich realisierbaren Anspruch liegt häufig ein juristisch und tatsächlich anspruchsvoller Weg. Gerade deshalb ist es wichtig, dass Sie für sich klären, in welchen Konstellationen der Aufwand in einem sinnvollen Verhältnis zum möglichen Ergebnis steht.

Ein erster Anhaltspunkt ist die Schwere des Verstoßes. Je sensibler die betroffenen Daten sind und je größer der Kreis der Personen, die davon Kenntnis erlangt hat, desto eher wird ein Anspruch in Betracht kommen. Wenn Gesundheitsdaten, intime Informationen, Finanzdaten oder besonders persönliche Inhalte betroffen sind, kann dies ein deutliches Signal dafür sein, dass die Geltendmachung von Schadensersatz ernsthaft geprüft werden sollte.

Ein weiterer Faktor ist die konkrete Beeinträchtigung in Ihrer Lebenswirklichkeit. Wenn Sie sich nachhaltig verunsichert, bloßgestellt oder in Ihrem beruflichen oder privaten Umfeld spürbar beeinträchtigt fühlen, spricht vieles dafür, den Vorfall nicht einfach hinzunehmen. Das gilt insbesondere dann, wenn Sie Maßnahmen ergreifen mussten, um Folgen abzumildern – etwa Konten sperren, Profile umstellen oder mit Dritten unangenehme Gespräche führen. In solchen Situationen kann ein rein formaler „Hinweis“ an das Unternehmen zu kurz greifen.

Ebenfalls eine Rolle spielt das Verhalten des Unternehmens nach dem Verstoß. Zeigt sich der Verantwortliche transparent, entschuldigt sich, informiert nachvollziehbar und ergreift erkennbare Gegenmaßnahmen, kann eine einvernehmliche Lösung – gegebenenfalls auch ohne gerichtliche Auseinandersetzung – eine Option sein. Reagiert das Unternehmen dagegen abweisend, ausweichend oder gar gar nicht, spricht dies eher dafür, den Anspruch konsequent zu verfolgen und rechtliche Unterstützung in Anspruch zu nehmen.

Finanziell lohnt sich ein Vorgehen besonders dann, wenn Sie entweder konkrete materielle Schäden erlitten haben oder der immaterielle Schaden ein gewisses Gewicht erreicht. Reine Bagatellen oder einmalige, kaum spürbare Unannehmlichkeiten werden in der Praxis eher zurückhaltend bewertet. Sobald der Verstoß jedoch Ihre Privatsphäre, Ihre Sicherheit oder Ihr Ansehen spürbar berührt, verschiebt sich die Waage deutlich zugunsten einer Geltendmachung.

Nicht zu unterschätzen ist ein weiterer Aspekt: Die Geltendmachung von Schadensersatz hat faktisch auch eine präventive Wirkung. Unternehmen, die merken, dass Verstöße nicht folgenlos bleiben, sind eher bereit, ihre Datenschutzorganisation zu verbessern. Rechtlich bleibt der Anspruch dennoch auf den Ausgleich des konkret entstandenen Schadens beschränkt und darf nicht als „Strafe“ oder reines Druckmittel eingesetzt werden. Ihr Vorgehen hat damit sowohl eine individuelle als auch eine strukturelle Dimension: Sie tragen dazu bei, dass Datenschutz nicht nur theoretisch, sondern auch praktisch ernst genommen wird.

Letztlich lässt sich festhalten: Die Geltendmachung eines Datenschutz-Schadensersatzes kann sich insbesondere dann lohnen, wenn ein klar erkennbarer Verstoß vorliegt, Ihre persönliche Betroffenheit über bloßen Ärger hinausgeht und Sie bereit sind, den Sachverhalt strukturiert aufzuarbeiten. Mit einer fundierten rechtlichen Begleitung steigen die Chancen, dass Ihr Anspruch nicht nur gehört, sondern auch ernst genommen wird.

nach oben