DSGVO Schadensersatz: Datenschutzverletzung melden und Entschädigung erhalten (2025)
DSGVO-Schadensersatz bei Datenschutzverstößen. 100-5.000€ Entschädigung möglich. BGH-Urteile 2025. Kontrollverlust als Schaden anerkannt. Beschwerde-Leitfaden.
By Compens.ai Collective Intelligence
Insurance Claims Expert
DSGVO Schadensersatz: Datenschutzverletzung melden und Entschädigung erhalten (2025)
Datenschutzverstoß erlitten? Art. 82 DSGVO gibt Ihnen das Recht auf Schadensersatz. Der EuGH hat 2024 klargestellt: Schon der Kontrollverlust über Ihre Daten ist ein ersatzfähiger Schaden.
Schnellübersicht: Ihre Rechte
| Aspekt | Details | |--------|---------| | Rechtsgrundlage | Art. 82 DSGVO | | Entschädigungshöhe | €100 - €5.000+ je nach Schwere | | Verjährung | 3 Jahre ab Kenntnis | | Beschwerdestelle | Landesdatenschutzbehörde (kostenlos) | | Gerichtsstand | Ordentliche Gerichte |
---
1. Was ist ein DSGVO-Schadensersatzanspruch?
Rechtliche Grundlage: Art. 82 DSGVO
Art. 82 Abs. 1 DSGVO bestimmt:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter."
Drei Voraussetzungen für Ihren Anspruch
1. Verstoß gegen die DSGVO- •Unbefugte Datenweitergabe
- •Unzureichende Sicherheitsmaßnahmen
- •Fehlende Einwilligung
- •Verstoß gegen Betroffenenrechte
- •Finanzieller Verlust
- •Identitätsdiebstahl
- •Kontrollverlust über Daten
- •Angst, Stress, Rufschädigung
- •Der Verstoß muss den Schaden verursacht haben
---
2. EuGH-Rechtsprechung 2024: Durchbruch für Betroffene
Wegweisende Entscheidungen
EuGH C-300/21 (Österreichische Post):- •Kontrollverlust über Daten = immaterieller Schaden
- •Keine Erheblichkeitsschwelle erforderlich
- •Entschädigung muss „vollständig und wirksam" sein
- •Bereits der bloße Verstoß kann Schadenersatz begründen
- •Gefühl der Bloßstellung ist ersatzfähig
- •Keine Nachweispflicht für psychische Beeinträchtigung
- •Befürchtung missbräuchlicher Verwendung reicht aus
- •Beweiserleichterung für Betroffene
- •Verstoß gegen Rechenschaftspflicht begründet Anspruch
Deutsche Gerichte folgen dem EuGH
- •BGH VI ZR 111/23: Bestätigt niedrige Schwelle für immateriellen Schaden
- •OLG Düsseldorf 16 U 154/23: €500 für unbefugte Bonitätsabfrage
- •LG München 31 O 2122/23: €1.500 für Datenleck mit Kontaktdaten
---
3. Typische Datenschutzverstöße und Entschädigungen
Häufige Verstöße
Datenpannen und Leaks:- •Hackerangriffe mit Datenabfluss
- •Fehlversendung von Unterlagen
- •Öffentlich zugängliche Datenbanken
- •Typische Entschädigung: €500 - €3.000
- •Verkauf von Kundendaten
- •Weitergabe an Dritte ohne Einwilligung
- •Scoring ohne Rechtsgrundlage
- •Typische Entschädigung: €300 - €2.000
- •Ignorierte Auskunftsanfragen
- •Verzögerte Löschung
- •Fehlende Einwilligungserklärung
- •Typische Entschädigung: €200 - €1.500
- •Heimliche E-Mail-Überwachung
- •GPS-Tracking ohne Information
- •Videoüberwachung ohne Hinweis
- •Typische Entschädigung: €1.000 - €5.000
Entschädigungstabelle nach Rechtsprechung
| Verstoß | Entschädigung | Gerichtsurteil | |---------|---------------|----------------| | Facebook-Datenleck | €100 - €500 | Diverse AG/LG | | SCHUFA-Falscheintrag | €1.000 - €5.000 | OLG Schleswig | | Unbefugte Videoüberwachung | €1.500 - €3.000 | LAG Hamm | | Gesundheitsdaten-Leak | €2.000 - €10.000 | LG Bonn | | Identitätsdiebstahl-Folgen | €5.000+ | Diverse |
---
4. So setzen Sie Ihren Anspruch durch
Schritt 1: Dokumentation
Sammeln Sie Beweise:- •Screenshots des Verstoßes
- •E-Mail-Verkehr mit dem Unternehmen
- •Benachrichtigungen über Datenpannen
- •Nachweise über entstandene Schäden
- •Datum der Kenntnisnahme
- •Betroffene Datenkategorien
- •Konkrete Auswirkungen auf Sie
Schritt 2: Auskunftsanfrage (Art. 15 DSGVO)
Musterformulierung:
Sehr geehrte Damen und Herren,
gemäß Art. 15 DSGVO bitte ich um vollständige Auskunft über
alle zu meiner Person gespeicherten personenbezogenen Daten,
insbesondere:
- •Verarbeitungszwecke
- •Kategorien personenbezogener Daten
- •Empfänger oder Kategorien von Empfängern
- •Speicherdauer
- •Herkunft der Daten
Bitte bestätigen Sie innerhalb eines Monats.
Mit freundlichen Grüßen [Name]
Schritt 3: Beschwerde bei der Datenschutzbehörde
Zuständige Behörden:- •Bayern: BayLDA (Ansbach)
- •Baden-Württemberg: LfDI Stuttgart
- •NRW: LDI NRW (Düsseldorf)
- •Berlin: BlnBDI
- •Bundesebene: BfDI (für Bundesbehörden)
- •Kostenlos
- •Ermittlungsbefugnisse der Behörde
- •Kann zu Bußgeldern führen
- •Stärkt Ihre Position für Zivilklage
Schritt 4: Außergerichtliche Einigung
Aufforderungsschreiben:- •Sachverhalt schildern
- •Auf DSGVO-Verstoß hinweisen
- •Konkrete Forderung stellen
- •Frist setzen (14-21 Tage)
- •Beginnen Sie mit höherer Forderung
- •Verweisen Sie auf EuGH-Rechtsprechung
- •Drohen Sie mit Klage und Behördenbeschwerde
- •Bleiben Sie sachlich und dokumentieren Sie alles
Schritt 5: Gerichtliche Durchsetzung
Zuständigkeit:- •Amtsgericht: bis €5.000 Streitwert
- •Landgericht: über €5.000 Streitwert
- •Gerichtsstand: Wohnsitz des Klägers (Art. 79 Abs. 2 DSGVO)
- •Gerichtskosten abhängig vom Streitwert
- •Anwaltskosten (bei Erfolg erstattungsfähig)
- •Prozessfinanzierer übernehmen oft das Risiko
---
5. Besondere Fallkonstellationen
Arbeitnehmer und DSGVO
Häufige Verstöße:- •Unzulässige Mitarbeiterüberwachung
- •Weitergabe von Krankheitsdaten
- •Heimliche Leistungskontrolle
- •BAG 2 AZR 426/20: GPS-Tracking ohne Information unzulässig
- •LAG Köln 4 Sa 242/21: €2.000 für E-Mail-Überwachung
Social Media und Plattformen
Facebook/Meta-Datenlecks:- •Mehrere Sammelklagen in Deutschland
- •Individuelle Klagen erfolgreich (€100-€500)
- •Verjährung beachten!
- •Scraping-Vorfälle begründen Ansprüche
- •Meldepflicht bei Datenpannen
Gesundheitsdaten
Besonderer Schutz (Art. 9 DSGVO):- •Höhere Entschädigungen
- •Strengere Anforderungen an Verarbeitung
- •Krankenkassen, Ärzte, Krankenhäuser betroffen
---
6. Verjährung und Fristen
Verjährungsfristen
Dreijährige Verjährung (§ 195 BGB):- •Beginnt mit Schluss des Jahres der Kenntniserlangung
- •Kenntnis von Verstoß und Schädiger erforderlich
Beispiel: Datenleck entdeckt am 15.03.2024 → Verjährung am 31.12.2027
Fristen bei Behörden
- •Auskunftserteilung: 1 Monat (verlängerbar auf 3 Monate)
- •Reaktion auf Beschwerde: keine feste Frist, typisch 3-6 Monate
---
7. Sammelklagen und Verbandsklagen
Verbraucherschutzverbände
Klagebefugte Verbände:- •Verbraucherzentrale Bundesverband
- •vzbv
- •Datenschutz-Organisationen
- •Für viele Betroffene bei gleichem Sachverhalt
- •Anmeldung im Klageregister
- •Bindungswirkung für nachfolgende Einzelklagen
Legal-Tech-Anbieter
Funktionsweise:- •Übernahme des Kostenrisikos
- •Erfolgsbasierte Vergütung (25-35%)
- •Bündelung von Fällen
---
8. Präventionsmaßnahmen
Selbstschutz
Datensparsamkeit:- •Nur notwendige Daten preisgeben
- •Starke Passwörter verwenden
- •Zwei-Faktor-Authentifizierung aktivieren
- •Regelmäßige Auskunftsanfragen stellen
- •SCHUFA-Selbstauskunft (kostenlos 1x jährlich)
- •Have I Been Pwned prüfen
---
Fazit: Ihre DSGVO-Rechte durchsetzen
Die DSGVO gibt Ihnen starke Rechte bei Datenschutzverstößen. Der EuGH hat 2024 klargestellt, dass bereits der Kontrollverlust über Ihre Daten einen ersatzfähigen Schaden darstellt. Nutzen Sie diese Rechte:
- •Dokumentieren Sie jeden Verstoß
- •Fordern Sie Auskunft und Löschung
- •Beschweren Sie sich bei der Datenschutzbehörde
- •Fordern Sie Schadensersatz – außergerichtlich oder vor Gericht
Mit dem richtigen Vorgehen und der aktuellen Rechtsprechung im Rücken stehen Ihre Chancen auf Entschädigung gut.
---
Dieser Leitfaden stellt keine Rechtsberatung dar. Bei komplexen Fällen konsultieren Sie einen spezialisierten Rechtsanwalt.