DSGVO-Schadensersatz: Wann Betroffene Anspruch haben – und wie Unternehmen sich schützen können

24.9.2025 | Ratgeber - Datenschutzrecht Mehr zum Thema: Datenschutzrecht, Datenschutz, DSGVO, Schadensersatz, DSGVO-Schadensersatz, Datenschutzverstoß

Eins ist klar: Bei Datenschutzverletzungen drohen teure Konsequenzen – Ermittlungen durch Datenschutzbehörden, Bußgelder und Imageschaden. Parallel dazu können betroffene Personen aber auch selbst Schadensersatz nach der DSGVO geltend machen – wenn bestimmte Voraussetzungen erfüllt sind. In diesem Artikel klären wir, wann solche Ansprüche bestehen und wie sich Unternehmen möglichst effektiv schützen können.

1. Grundlagen: Wann greift Art. 82 DSGVO?

Die Basis für Schadensersatzansprüche bildet Art. 82 der DSGVO. Danach kann jede Person, die durch einen Verstoß gegen die DSGVO materiellen oder immateriellen Schaden erlitten hat, Schadensersatz verlangen – sowohl gegen den Verantwortlichen als auch gegen Auftragsverarbeitende.

Drei zentrale Voraussetzungen müssen vorliegen:

1. Verstoß gegen die DSGVO oder nationale Datenschutzgesetze
2. Schaden, der sowohl materiell (z. B. finanzieller Verlust) oder immateriell (etwa Stress, Kontrollverlust) sein kann
3. Kausalität: Der Schaden muss durch den Verstoß verursacht sein

Für den Schadensersatz gibt es keine Bagatellgrenze – auch kleinere Schäden können also Grundlage für Ansprüche sein.

2. Materielle vs. immaterielle Schäden – mit Beispielen

Materieller Schaden ist schnell verständlich: Er umfasst direkt messbare Verluste – etwa Geld, das durch Identitätsdiebstahl, betrügerische Umsätze oder Kündigungen von Verträgen verloren geht.

Immaterieller Schaden ist häufig schwerer greifbar, kann aber trotzdem berechtigt sein. Typische Beispiele:

• Stress, Angst, Verlust von Vertrauen nach einem Datenleck
• Rufschädigung durch Online-Datenveröffentlichungen
• Kontrollverlust über persönliche Daten (z. B. bei ungesicherter Datenweitergabe)

Laut Urteilen des EuGH kann bereits das Gefühl von Kontrollverlust einen immateriellen Schaden begründen – sofern er nachvollziehbar und konkret dargelegt wird.

3. Was sagen die Gerichte – aktuelle Entwicklungen

Ob Betroffene DSGVO-Schadensersatz erhalten, hängt stark vom Einzelfall ab. Besonders immaterielle Schäden wie Kontrollverlust, Stress oder Rufschädigung sorgen für uneinheitliche Urteile.

EuGH: Kein Bagatellvorbehalt, aber Nachweispflicht

In einem Grundsatzurteil (C-300/21) hat der EuGH klargestellt:
Ein Verstoß gegen die DSGVO allein reicht nicht für einen Schadensersatz. Es muss ein konkreter Schaden vorliegen – auch bei immateriellen Beeinträchtigungen wie Kontrollverlust über persönliche Daten. Eine Bagatellgrenze gibt es nicht, aber bloße Unannehmlichkeiten genügen nicht.

BGH stärkt Rechte von Betroffenen

Der BGH hat in seinen Entscheidungen die Rechte von Betroffenen gestärkt: Kontrollverlust, wirtschaftliche Nachteile oder Kündigungen von Verträgen nach falschen SCHUFA-Einträgen können konkrete immaterielle Schäden darstellen – und damit einen Anspruch begründen. Entscheidend ist, ob die Betroffenen den Nachteil plausibel und nachvollziehbar schildern können.

4. Risiken und Konsequenzen für Unternehmen

Unternehmen müssen bei Datenschutzverstößen mit folgenden Risiken rechnen:

• Bußgelder durch die Aufsichtsbehörde – unabhängig vom Schadensersatz
• Schadensersatzforderungen von Betroffenen – auch bei kleineren Schäden!
• Reputationsverlust, insbesondere bei öffentlich bekannt gewordenen Verstößen
• Kostenintensive Klagen, wenn Betroffene ihren Anspruch juristisch durchsetzen wollen

Gerade im Fall von immateriellen Schäden helfen klare Kommunikation, Dokumentation und solide Datenschutznachweise, um Forderungen vorzubeugen.

5. Wie Sie sich als Unternehmen schützen können

Um Ihr Unternehmen effektiv abzusichern:

• Schutzmaßnahmen dokumentieren: Technisch-organisatorische Maßnahmen (TOMs) klar darstellen
• Risikoanalysen und Datenschutzkonzept implementieren
• Einwilligungen transparent einholen und nachweisbar machen (z. B. für Newsletter)
• Schnelle Reaktion auf Vorfälle: Datenpanne innerhalb von 72 Stunden an die Behörden melden, Betroffene informieren und mit der Datenschutzbehörde kooperieren
• Schulung von Mitarbeitenden zu Datenschutzpflichten

Je sauberer Sie Ihre Prozesse dokumentieren, desto eher können Sie im Streitfall Ihre Verantwortung nachweisen und Haftung vermeiden.

6. Wann Sie advomare zur Beratung hinzuziehen sollten

Bei Datenschutzschäden sind spezialisierte juristische Ansprechpartner sinnvoll. advomare bietet:

• Kostenfreie Ersteinschätzung im Schadensfall
• Prüfung, ob Ansprüche bestehen und Erfolgsaussichten
• Verhandlung mit Betroffenen bzw. Aufsichtsbehörden
• Vertretung bei gerichtlichen Verfahren
• Prävention durch Datenschutzkonzepte, Schulungen, Risikoprävention

Kanzleien wie advomare unterstützen Sie dabei, den richtigen Umgang mit Datenschutzverstößen zu finden – rechtskonform, effizient und krisenfest. Kontaktieren Sie uns gerne für eine kostenfreie Ersteinschätzung.

 

Fazit

Schadensersatz nach Art. 82 DSGVO ist möglich – auch für immaterielle Schäden, sofern sie konkret und glaubhaft dargelegt werden können. Für Unternehmen bedeutet das: Datenschutz braucht Sorgfalt, Transparenz und Dokumentation, um unerwartete Forderungen zu vermeiden. Wer sich professionalisiert aufstellt, minimiert Risiken und schützt nicht nur seine Kund:innen – sondern auch sein Image und seine Bilanz.

Möchten Sie Ihren Datenschutz auf ein sicheres Fundament stellen? advomare bietet Ihnen gezielte Beratung – für Sicherheit statt Unsicherheit.