Tausende personenbezogene Daten werden in Deutschland jeden Tag unrechtmäßig verarbeitet – durch Cyberangriffe, fehlerhafte Software oder schlichtes menschliches Versagen. Die wenigsten Betroffenen wissen, dass sie nicht nur ein Recht auf Information haben, sondern auch auf finanzielle Entschädigung. Dieser Ratgeber zeigt Ihnen Schritt für Schritt, wann ein Anspruch besteht, wie Sie Beweise sichern und warum auch scheinbare Kleinigkeiten in einem Verfahren entscheidend werden können.
Wann besteht ein Anspruch auf Schadensersatz?
Nach Artikel 82 DSGVO haben Betroffene Anspruch auf Entschädigung, wenn drei Voraussetzungen kumulativ erfüllt sind. Zunächst muss eine rechtswidrige Datenverarbeitung vorliegen – etwa weil ein Unternehmen unzureichende Sicherheitsmaßnahmen ergriffen hat, eine Einwilligung fehlt oder Daten zweckwidrig weitergegeben wurden. Zweitens muss ein konkreter Schaden eingetreten sein. Das können finanzielle Verluste sein – beispielsweise nach einem Identitätsdiebstahl im Anschluss an ein Datenleck – ebenso aber auch immaterielle Schäden wie Rufschädigung, psychische Belastung oder ein nachvollziehbares Gefühl des Kontrollverlusts. Drittens muss ein kausaler Zusammenhang zwischen Verstoß und Schaden bestehen.
Der Bundesgerichtshof hat bereits klargestellt, dass auch geringfügige Schäden ausreichen, sofern die DSGVO verletzt wurde. Eine sogenannte Erheblichkeitsschwelle, wie sie früher manche Gerichte gefordert hatten, existiert nicht mehr. Das stärkt Betroffene erheblich.
Konkrete Fallbeispiele aus der Rechtsprechung
Die zugesprochenen Beträge variieren stark. So musste ein Onlinehändler nach einem Datenleck, bei dem Hacker unverschlüsselte Kundendaten erbeuteten und Konten plünderten, einer Geschädigten 35.000 Euro zahlen. Eine Lehrerin erhielt 8.500 Euro, weil ein Krankenhaus-Mitarbeiter ihre Gesundheitsdaten unbefugt offengelegt hatte. Auch Behörden bleiben nicht außen vor: Ein kommunales Amt wurde zu Schadensersatz verurteilt, nachdem Adressdaten von Schutzsuchenden öffentlich einsehbar waren. Diese Beispiele zeigen, dass DSGVO-Schadensersatz weit über symbolische Beträge hinausreichen kann.
Beweissicherung – das wichtigste Werkzeug
Wer einen Anspruch durchsetzen will, muss den Verstoß und seinen eigenen Schaden darlegen können. Daher gilt: Sobald Sie von einer Datenpanne erfahren, sollten Sie unverzüglich aktiv werden. Bewahren Sie Mitteilungen des Unternehmens, Screenshots, E-Mails, Rechnungen oder Belege über entstandene Folgekosten sorgfältig auf. Stellen Sie ein Auskunftsersuchen nach Artikel 15 DSGVO, um zu erfahren, welche Daten genau betroffen sind und wie sie verarbeitet wurden. Diese Auskunft ist die Grundlage für jede weitere rechtliche Bewertung.
Häufige Auslöser für Schadensersatzansprüche
In der Praxis ergeben sich Ansprüche regelmäßig aus den folgenden typischen Situationen, in denen Unternehmen oder Behörden gegen die DSGVO verstoßen:
- Cyberangriffe oder Hacker-Attacken mit Abfluss personenbezogener Daten
- Versand von E-Mails mit offen sichtbaren Empfängeradressen (CC statt BCC)
- Fehlende oder unwirksame Einwilligungen für Werbung und Tracking
- Übermittlung sensibler Daten an Dritte ohne Rechtsgrundlage
- Unzureichende Antworten auf Auskunftsanfragen
Welche Fristen müssen Sie beachten?
Ansprüche aus der DSGVO verjähren grundsätzlich nach drei Jahren – gerechnet ab dem Schluss des Jahres, in dem Sie Kenntnis vom Verstoß und vom Verantwortlichen erlangt haben (§ 195 BGB). In komplexen Fällen, etwa bei großflächigen Datenlecks, beginnt die Frist häufig erst, wenn die betroffene Person konkret erfahren hat, dass und in welchem Umfang ihre Daten betroffen sind. Trotzdem gilt: Je früher Sie handeln, desto besser stehen Ihre Chancen.
Auch internationale Konzerne sind nicht außen vor
Eine häufige Sorge betrifft die Frage, ob auch US-Unternehmen wie große Social-Media-Konzerne belangt werden können. Die Antwort lautet eindeutig: Ja. Sobald ein Unternehmen Daten von EU-Bürgerinnen und EU-Bürgern verarbeitet, gilt die DSGVO – und deutsche Gerichte sind nach Artikel 79 DSGVO zuständig.
Fazit von Rechto.de
Ein DSGVO-Verstoß ist kein Bagatellfall – er ist ein Verstoß gegen Ihre Grundrechte und kann Ihnen einen handfesten Schadensersatzanspruch verschaffen. Die Herausforderung liegt in der Durchsetzung gegen oft große, anwaltlich beratene Unternehmen. Rechto.de übernimmt diese Durchsetzung für Sie: Wir prüfen Ihren Fall, sichern die Beweislage und machen Ihre Ansprüche konsequent geltend. Unser Honorarmodell ist klar: Wir arbeiten ausschließlich erfolgsbasiert. Sie haben keinerlei Vorkosten – nur im Erfolgsfall fällt eine Vergütung an. Starten Sie noch heute Ihre kostenlose Erstprüfung.