Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 12/25

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil

Schadensersatz nach DSGVO

Ob mit oder ohne „s“ – beim Schadensersatz bzw. Schadenersatz im Datenschutz ist stets das Gleiche gemeint: Ein Umgang mit personenbezogenen Daten, der gegen Datenschutzvorschriften der DSGVO oder des BDSG verstößt, kann bei betroffenen Personen zu einem Schaden führen. Und die Betroffenen können daraufhin unter bestimmten Bedingungen Schadensersatz fordern.

➜ Wer hat wann Anspruch auf Schadensersatz nach DSGVO?

Kein Schadensersatz für Übermittlungen in die USA

Kein Schadensersatz für Übermittlungen in die USA
Bild: Chinnapong / iStock Editorial / Getty Images Plus
Ausreißer-Urteil oder Vorbote für mehr?
Kein Schadensersatz für Übermittlungen in die USA

Ein Nutzer von Facebook verlangt Schadensersatz, weil die Betreiberin dieses sozialen Netzwerks Daten des Nutzers angeblich ohne Rechtsgrundlage in die USA übermittelt hat. Das Landgericht München I erteilt ihm jedoch eine herbe Abfuhr.

Urteil
31. Oktober 2025

Dauernde Videoüberwachung bei der Arbeit

Videoüberwachung am Arbeitsplatz muss gut begründet sein, sonst drohen Bßgelder nach DSGVO.
Bild: Rudzhan Nagiev / iStock / Getty Images Plus
15.000 Euro Schadensersatz
Dauernde Videoüberwachung bei der Arbeit

34 Videokameras in einem Unternehmen halten sogar jeden Gang Richtung Toilette lückenlos in HD-Qualität fest. So geht das trotz Protest eines davon betroffenen Arbeitnehmers 22 Monate lang. Die Quittung: Er erhält 15.000 € Schmerzensgeld!

Urteil
6. Oktober 2025

Tratsch über eine Bewerbung

Bewerbungsverfahren müssen vertraulich ablaufen. Ansonst drohen rechtliche Folgen.
Bild: z_wei / iStock / Getty Images Plus
Unterlassungsanspruch und Schadensersatz
Tratsch über eine Bewerbung

Bewerbungsverfahren müssen vertraulich ablaufen, sonst bewirbt sich bald niemand mehr. Welche rechtlichen Folgen hat es, wenn sich jemand aus der Personalabteilung nicht an diese Spielregeln hält? Der Europäische Gerichtshof (EuGH) gibt darauf einige Antworten.

Urteil
18. September 2025

KI und das Recht an der eigenen Stimme

Auch im Zeitalter von künstlicher Intelligenz (KI) gilt das Recht an der eigenen Stimme
Bild: Ole_CNX / iStock / Getty Images Plus
Schadensersatz und Unterlassung
KI und das Recht an der eigenen Stimme

Ein Video erstellen und dabei die Stimme eines bekannten Menschen verwenden? KI macht das locker möglich. Aber wehe, wenn der bekannte Mensch damit nicht einverstanden ist! Dann kann es teuer werden.

Urteil
9. September 2025

Unzulässige Negativmeldung an die SCHUFA

Negativeintrag bei der SCHUFA: Der Scoring-Pfeil steht auf einem Farbstrahl auf rot, davor ist eine junge Frau im Kostüm zu sehen, im Hintergrund ein Taschenrechner. Das Bild ist gezeichnet.
Bild: Mono / iStock / Getty Images Plus
Immer gleich 500 € Schadensersatz?
Unzulässige Negativmeldung an die SCHUFA

Laut Bundesgerichtshof bekommt man 500 € Schadensersatz, wenn ein Unternehmen der SCHUFA zu Unrecht eine Negativmeldung schickt! So lauteten Meldungen im Internet. Lesen Sie, welcher wahre Kern darin steckt und was daran Fantasie ist! Das ist für alle Unternehmen wichtig, die - egal in welcher Form - mit der SCHUFA zusammenarbeiten.

Urteil
28. Februar 2025

Kontrollverlust als Schaden

DP+
Über eine halbe Milliarde Facebook-Datensätze landeten ohne Zustimmung der Betroffenen im öffentlichen Internet. Für diese stellt das laut BGH einen immateriellen Schaden dar. Ein solcher Schaden droht auch bei Ransomware-Angriffen.
DSGVO-Schadensersatz
Kontrollverlust als Schaden

Der Begriff des Schadens ist laut EuGH weit auszulegen. Bei einem Datenschutzvorfall, der 533 Millionen Facebook-Nutzerkonten betraf, zog der BGH daraus jetzt die Konsequenzen: Schon der bloße Verlust der Kontrolle über die eigenen Daten stellt einen Schaden dar. Die Folgen dieser Auslegung reichen weit über den konkreten Fall hinaus.

Urteil
21. Januar 2025

Rechtswidrige Datentransfers in die USA

Datentransfer in die USA hier symbolisiert durch ein Kabel in dem bunte Streifen und Code zu sehen sind
Bild: style-photography / iStock / Getty Images Plus
400 € Schadensersatz für eine einzige Übermittlung
Rechtswidrige Datentransfers in die USA

Am 10.7.2023 hat die Europäische Kommission ihren Beschluss betreffend die Angemessenheit des Schutzniveaus für personenbezogene Daten bei Beachtung des „Datenschutzrahmens EU-USA“ erlassen. Ein Urteil des Gerichts der Europäischen Union erster Instanz (EuG) zeigt, welche Schadensersatzforderungen Unternehmen drohen könnten, falls der EuGH diesen Beschluss irgendwann „kippen“ sollte.

Urteil
17. Januar 2025

Detektiv-Überwachung von Beschäftigten

Ein Detektiv schaut durch eine Lupe
Bild: kuppa_rock/iStock/Getty Images Plus
DSGVO-Schadensersatz
Detektiv-Überwachung von Beschäftigten

Zwischen einem Vertriebsmitarbeiter und seinem Arbeitgeber besteht ein gespanntes Verhältnis. Mehrere Kündigungsversuche des Arbeitgebers bleiben erfolglos. Als sich der Vertriebler krank meldet, traut der Arbeitgeber der Sache nicht. Er beauftragt einen Detektiv. Am Ende muss der Arbeitgeber wegen der Überwachung Schadensersatz zahlen.

Urteil
10. Dezember 2024

EuGH: Risikomanagement ja, Risikofreiheit nein

DP+
Der Europäische Gerichtshof (EuGH) hat zwei wichtige Entscheidungen getroffen. Ein Fall beschreibt das Versagen von technischen, der andere das Versagen von organisatorischen Maßnahmen.
Bild: iStock.com/Flashvector
Grundsatzentscheidungen
EuGH: Risikomanagement ja, Risikofreiheit nein

In zwei Entscheidungen hat der EuGH klargestellt, dass den Verantwortlichen die Pflicht zu einem Risikomanagement trifft, aber keine Pflicht zur Risikofreiheit besteht. Auch für den Schadensersatz stellt der EuGH die Weichen. Diese Entscheidungen des EuGH haben damit grundsätzliche Bedeutung für die Umsetzung der DSGVO.

Urteil
11. November 2024

Massenklagen auf Schadensersatz nach DSGVO

DP+
Die DSGVO definiert den Begriff des Schadens weit und macht den Anspruch auf Schadensersatz von keiner bestimmten Schwelle abhängig. Sie beschränkt den Anspruch nicht auf Schäden von einer gewissen Erheblichkeit.
Bild: iStock.com/bymuratdeniz
Alles nicht so schlimm? Oder doch?
Massenklagen auf Schadensersatz nach DSGVO

Neuerdings hört man Behauptungen wie: Der EuGH hält sich beim Thema Schadensersatz zurück. Und für Bagatellen wie ein „ungutes Gefühl“ gibt es ohnehin nichts. Was ist daran Dichtung, was ist Wahrheit? Eine Analyse von vier EuGH-Entscheidungen schafft Klarheit.

Urteil
5. November 2024
1 von 3
1 von 3

Gesetze und Vorschriften zum Schadensersatz im Datenschutz

  • Art. 82 DSGVO (Haftung und Recht auf Schadenersatz)
  • § 44 BDSG (Klagen gegen den Verantwortlichen oder Auftragsverarbeiter)

Schadenersatz wird zum hohen Risiko

Die praktische Bedeutung der Regelung war zunächst ausgesprochen gering. Zum einen machten betroffene Personen Schäden nur relativ selten geltend. Zum anderen gibt es daneben weitere Anspruchsgrundlagen, die nicht speziell für solche Fälle geschaffen sind, aber hier Anwendung finden. Zu denken ist dabei an vertragliche Ansprüche, aber auch an Ansprüche aus unerlaubter Handlung (etwa gemäß § 823 BGB).

Mittlerweile entwickelt sich der Schadenersatz im Datenschutz jedoch zu einem größeren Risiko für Unternehmen als das Bußgeld: Schadensersatzansprüche: Das unterschätzte Risiko der DSGVO

Anspruchsvoraussetzungen von Art. 82 DSGVO

Ein Schadensersatzanspruch besteht gemäß Art. 82 Abs. 1 DSGVO dann, wenn

  • ein Verantwortlicher oder
  • ein Auftragsverarbeiter
  • der betroffenen Person einen materiellen oder immateriellen Schaden zufügt
  • durch einen Verstoß gegen die DSGVO.

Beispiel 1: Infolge schlampiger Führung der Personalien verwechselt eine Bank zwei Personen. Sie hält daher einen Kunden für einen Pleitier und kündigt ihm einen Kredit. Ihm entgehen dadurch einträgliche Geschäfte. – Die Bank muss den entstandenen Schaden ersetzen. Dazu gehören auch entgangene Gewinne.

Beispiel 2: Ein Versandhaus verbucht Zahlungen eines Kunden falsch. Die scheinbaren Rückstände klagt sie ein. – Das Versandhaus muss dem Kunden die Anwaltskosten ersetzen.

Datenschutzverstoß

Die DSGVO versteht unter Datenschutzverstößen einerseits Datenverarbeitungen, die nicht ihren Vorschriften entsprechen, z.B. die Verarbeitung von Daten einer betroffenen Person ohne deren Einwilligung.

Andererseits geht es um Datenverarbeitungen, die nicht den Regelungen weiterer Rechtsakte oder den jeweiligen nationalen Vorschriften zur DSGVO, wie in Deutschland dem Bundesdatenschutzgesetz (BDSG), entsprechen.

Schadensarten

Der betroffenen Person muss durch den Datenschutzverstoß ein Schaden entstanden sein. Im Gegensatz zur bisherigen Rechtslage kann dieser Schaden sowohl materieller als auch immaterieller Art sein.

  • Zu den materiellen Schäden gehören alle in Geld messbaren Nachteile, wie etwa der Verlust eines Guthabens auf dem Ba nkkonto.
  • Zu den immateriellen Schäden gehören z.B. Ansprüche auf Schmerzensgeld. Diese hat die DSGVO neu aufgenommen.

Nach der Rechtslage vor der DSGVO ließen sich solche Schäden nur ersetzen, wenn eine öffentliche Stelle das Persönlichkeitsrecht der betroffenen Person schwer verletzt hatte.

Aber auch nach der derzeitigen Rechtslage führt nicht jeder Bagatellverstoß gegen die DSGVO ohne ernsthafte Beeinträchtigung der betroffenen Person zu einem Schadensersatzanspruch in Form von Schmerzensgeld (Amtsgericht Diez, Urteil vom 07.11.2018 – Az. 8 C 130/18).

Im vorliegenden Fall ging es um eine einzige unzulässig übersandte E-Mail, in der am ersten Geltungstag der DSGVO nach der Einwilligung zum Newsletterversand gefragt wurde. Einen Schmerzensgeldanspruch lehnte das Gericht ab. Andererseits kann es auch so ausgehen: 300 € Schadensersatz für eine einzige unerlaubte E-Mail

Für einen Schmerzensgeldanspruch muss der betroffenen Person ein spürbarer Nachteil entstanden sein, und es muss um objektiv nachvollziehbare Beeinträchtigungen von Persönlichkeitsbelangen gehen, die ein gewisses Gewicht aufweisen.

Die DSGVO setzt bei einem weit zu fassenden Schadensbegriff an. Betroffene Personen sollen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Als Beispiele für Schäden nennen die Erwägungsgründe zur DSGVO Fälle von Identitätsdiebstahl oder Identitätsbetrug, finanzielle Verluste, Rufschädigungen oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Auftragsverarbeitung

Bei der Auftragsverarbeitung kommen bei Schäden Ansprüche sowohl gegen den Verantwortlichen als auch gegen den Auftragsverarbeiter infrage.

Auftragsverarbeiter haften für Schäden, die ihre Verarbeitung verursacht, wenn sie

  • entweder den Pflichten für Auftragsverarbeiter nach der DSGVO nicht nachgekommen sind,
  • Anweisungen des Verantwortlichen nicht beachtet haben oder sogar
  • entgegen den Anweisungen des Verantwortlichen gehandelt haben.

Auch bei Auftragsverarbeitern wird das Verschulden vermutet, sodass auch sie nachweisen können, für den Schaden nicht verantwortlich zu sein, und somit nicht haften.

Mehrere Schadensverursacher

Sind sowohl Verantwortlicher als auch Auftragsverarbeiter für Schäden bei der betroffenen Person verantwortlich, so haften sie als Gesamtschuldner.

Das heißt, die betroffene Person kann von jedem zunächst verlangen, dass er ihr den gesamten Schaden ersetzt. Das hat für die betroffene Person den Vorteil, dass sie im schlimmsten Fall nicht mehrere Verursacher verklagen muss.

Verantwortlicher und Auftragsverarbeiter gleichen danach je nach ihrem Anteil an der Schadensverursachung den Schadensersatz, den sie an die betroffene Person gezahlt haben, untereinander aus.

Verjährung von Ansprüchen auf Schadensersatz im Datenschutz

Die Vorschrift spricht diesen Punkt nicht ausdrücklich an. Deshalb gelten in Deutschland die allgemeinen Regeln des Bürgerlichen Gesetzbuchs (BGB): Der Anspruch verjährt drei Jahre, nachdem der Geschädigte den Schaden festgestellt hat (§§ 195, 199 BGB), spätestens aber 30 Jahre nach der Handlung, die den Schaden verursacht hat.

Gerichtsstand

Nach Art. 79 DSGVO, § 44 BDSG sind für Klagen gegen den Verantwortlichen oder den Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder Auftragsverarbeiter eine Niederlassung hat.

Allerdings steht der betroffenen Person ein Wahlrecht zu. Sie kann die Klage auch bei einem Gericht einreichen, in dessen Mitgliedstaat die betroffene Person ihren Aufenthaltsort hat, d.h. am Wohnort.

Dieses Wahlrecht entfällt, wenn eine Behörde in Ausübung ihrer hoheitlichen Befugnisse den Schaden verursacht hat.

Gerichtsurteile zum Schadensersatz nach DSGVO

Es gibt bereits einige Gerichtsentscheidungen über Schadensersatzansprüche betroffener Personen bei Datenschutzverletzungen. Einen Überblick und Beispiele finden Sie hier:

Schadenersatz nach DSGVO: Das zeigen aktuelle Urteile

DSGVO: Auskunftspflicht verletzt, Schadenersatz berechtigt?

Vorlagen an den Europäischen Gerichtshof (EuGH)

Im Verfahren eines Rechtsanwalts, der ohne Einwilligung Werbe-E-Mails eines Unternehmens erhielt, sah das Amtsgericht Goslar zwar einen Datenschutzverstoß, jedoch keinen Anlass für einen Schadensersatz. Die Verfassungsbeschwerde zum Bundesverfassungsgericht (BVerfG) war allerdings erfolgreich.

Das BVerfG (Beschluss vom 14.01.2021, 1 BvR 2853/19) entschied eine Aufhebung des Urteils des Amtsgerichts und eine Zurückverweisung zur erneuten Verhandlung an dieses Gericht.

Das begründete das Gericht damit, dass das Amtsgericht seiner Vorlagepflicht an den EuGH nicht nachgekommen sei. Denn es hätte dem EuGH die Frage zur Klärung vorlegen müssen, ob durch die datenschutzwidrige Verwendung einer E-Mail-Adresse ein Schmerzensgeldanspruch entstehe.

Darüber hinaus hat auch der Oberste Gerichtshof der Republik Österreich (Az. 6 Ob25/21x vom 15.04.2021) dem EuGH folgende Fragen zum Schadensersatz als Vorabentscheidung vorgelegt:

  • Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
  • Bestehen für die Bemessung des Schadenersatzes im Datenschutz neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
  • Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.