Seit dem Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 hat sich das Datenschutzrecht in Deutschland grundlegend verändert. Verbraucherinnen und Verbraucher haben heute ein scharfes Schwert in der Hand: Bei Verstößen gegen die DSGVO steht ihnen ein eigenständiger Anspruch auf Schadensersatz zu – und zwar nicht nur bei finanziellen Verlusten, sondern auch bei rein immateriellen Schäden. In diesem Ratgeber erfahren Sie, wann Sie Geld verlangen können, welche Voraussetzungen erfüllt sein müssen und welche Summen Gerichte bereits zugesprochen haben.
Die rechtliche Grundlage: Artikel 82 DSGVO
Der zentrale Hebel für jeden Schadensersatzanspruch ist Artikel 82 Absatz 1 DSGVO. Danach hat jede Person, der durch einen Verstoß gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Ausgleich gegen das verantwortliche Unternehmen oder den Auftragsverarbeiter. Bemerkenswert ist dabei vor allem die ausdrückliche Erwähnung des immateriellen Schadens. Vor der DSGVO war es in Deutschland nur in engen Grenzen möglich, für nicht-finanzielle Beeinträchtigungen Geld zu verlangen – die DSGVO hat hier eine erhebliche Erweiterung gebracht.
Der Europäische Gerichtshof hat in seiner Entscheidung vom 14. Dezember 2023 klargestellt, dass der Begriff des immateriellen Schadens weit auszulegen ist. Erfasst sind danach auch Befürchtungen über den Verlust der Kontrolle über die eigenen Daten sowie die Sorge vor einer möglichen missbräuchlichen Nutzung. Damit liegt die Hürde für Betroffene deutlich niedriger als im klassischen Schmerzensgeldrecht.
Die drei zentralen Voraussetzungen
Damit ein Anspruch auf Schadensersatz nach der DSGVO entsteht, müssen drei Bedingungen zusammenkommen. Erstens muss ein Verstoß gegen die Verordnung vorliegen, also etwa eine unberechtigte Datenverarbeitung, eine fehlende Einwilligung oder unzureichende technische und organisatorische Sicherheitsmaßnahmen. Zweitens muss ein konkreter Schaden eingetreten sein sei es ein wirtschaftlicher Nachteil oder eine immaterielle Beeinträchtigung wie Stress, Angst oder Kontrollverlust. Drittens muss zwischen Verstoß und Schaden ein kausaler Zusammenhang bestehen, der Schaden also gerade durch die Pflichtverletzung des Verantwortlichen ausgelöst worden sein.
Welche Summen sprechen Gerichte zu?
Die Spannweite der zugesprochenen Schadensersatzbeträge ist groß und hängt vom Einzelfall ab. Folgende Konstellationen sind in der bisherigen Rechtsprechung besonders häufig anzutreffen:
- Unberechtigte oder fehlerhafte SCHUFA-Einträge: zwischen 500 und 5.000 Euro
- Datenlecks bei Finanzdienstleistern mit Abfluss von Konto- und Ausweisdaten: 1.200 bis 2.500 Euro
- Werbe-E-Mails ohne vorherige Einwilligung: meist drei- bis niedrige vierstellige Beträge
- Verlust der Kontrolle über persönliche Daten in sozialen Netzwerken: 200 bis 750 Euro
Diese Beträge sind keine starre Tabelle, sondern Anhaltspunkte. Entscheidend bleiben Schwere, Dauer und Intensität des Verstoßes sowie die persönlichen Folgen für die betroffene Person.
Typische Fallkonstellationen aus der Praxis
In den vergangenen Jahren haben deutsche Gerichte zahlreiche Konstellationen entschieden, die für Betroffene von Bedeutung sind. Dazu zählen Datenpannen bei großen Onlineplattformen, das sogenannte Scraping bei Facebook und Instagram, fehlerhafte Meldungen an Wirtschaftsauskunfteien sowie Datenweitergaben innerhalb von Konzernen ohne ausreichende Rechtsgrundlage. Auch im Arbeitsverhältnis kommt es regelmäßig zu Verstößen, etwa wenn der Arbeitgeber sensible Gesundheitsdaten ohne Erforderlichkeit weitergibt.
Für die erfolgreiche Durchsetzung kommt es entscheidend auf eine saubere Dokumentation an. Wer betroffen ist, sollte Screenshots, Mitteilungen über Datenpannen und Korrespondenz mit dem Unternehmen sorgfältig aufbewahren. Auskunftsersuchen nach Artikel 15 DSGVO sind ein wirksames Mittel, um den Sachverhalt aufzuklären, bevor weitere Schritte eingeleitet werden.
Verjährung beachten
Schadensersatzansprüche nach der DSGVO unterliegen der regelmäßigen Verjährungsfrist von drei Jahren ab Kenntnis des Verstoßes und der Person des Verantwortlichen. Wer also zu lange wartet, riskiert den Verlust seiner Rechte. Eine zeitnahe Prüfung ist daher dringend zu empfehlen.
Fazit von Rechto.de
Die Rechtslage spielt Betroffenen in vielen Fällen klar in die Karten – doch die Durchsetzung der eigenen Ansprüche ist im Alltag häufig komplex und für juristische Laien kaum zu bewältigen. Genau hier setzen wir an: Rechto.de unterstützt Sie bei der Durchsetzung Ihrer DSGVO-Schadensersatzansprüche von der ersten Einschätzung bis zur außergerichtlichen oder gerichtlichen Geltendmachung. Wir arbeiten ausschließlich erfolgsbasiert – das bedeutet für Sie: keine Vorkosten, kein finanzielles Risiko. Nur wenn wir für Sie etwas erreichen, fällt eine Vergütung an. Lassen Sie Ihren Fall jetzt kostenlos prüfen.