DSGVO-Schadensersatz nach Art. 82: Wann Betroffene wirklich Geld bekommen
Ihre Daten sind bei einem Datenleck abgeflossen, ein Unternehmen ignoriert Ihre Auskunftsanfrage oder Sie wurden durch fehlerhafte Bonitätsdaten benachteiligt? Art. 82 DSGVO gibt Betroffenen einen eigenen Anspruch auf Ersatz materieller und immaterieller Schäden – vom Kontrollverlust über die eigenen Daten bis zum konkreten finanziellen Nachteil.
Zugleich gilt: Nicht jeder Verstoß bringt automatisch Geld. Der Europäische Gerichtshof verlangt einen nachweisbaren Schaden. Dieser Ratgeber erklärt, welche Ansprüche realistisch sind, welche Beträge Gerichte zusprechen – und wie Sie als Unternehmen überzogene Forderungen abwehren.
Dieser Ratgeber wurde von Rechtsanwalt Demirel von der Kanzlei MANDATI in Essen auf Grundlage der aktuellen Gesetzeslage und Rechtsprechung erstellt. Die Kanzlei berät Unternehmen, Start-ups und Verbraucher im IT-Recht – vor Ort im Ruhrgebiet und bundesweit digital.
1. Der Anspruch aus Art. 82 DSGVO
Art. 82 DSGVO gewährt jeder Person, der wegen eines DSGVO-Verstoßes ein Schaden entstanden ist, einen Anspruch gegen den Verantwortlichen oder Auftragsverarbeiter. Drei Voraussetzungen müssen zusammenkommen:
Die drei Anspruchsvoraussetzungen
- Verstoß gegen die DSGVO – z. B. Datenleck wegen unzureichender Sicherheit, rechtswidrige Verarbeitung, unbeantwortete Auskunft
- Schaden – materiell (z. B. Betrugsfolgen) oder immateriell (z. B. Kontrollverlust, begründete Angst vor Missbrauch)
- Kausalität – der Schaden muss gerade auf dem Verstoß beruhen
Wichtig: Der Verantwortliche haftet verschuldensunabhängig und kann sich nur entlasten, wenn er nachweist, dass er für den Umstand nicht verantwortlich ist – eine hohe Hürde.
2. Was der EuGH klargestellt hat
Die Rechtsprechung des Europäischen Gerichtshofs hat die Konturen des Anspruchs geschärft: Ein bloßer Verstoß genügt nicht – es braucht einen tatsächlichen Schaden. Dafür gibt es aber keine Bagatellgrenze: Auch ein geringfügiger immaterieller Schaden ist ersatzfähig. Und: Schon die begründete Befürchtung, dass abgeflossene Daten missbraucht werden, kann ein immaterieller Schaden sein – etwa nach einem Hackerangriff. Der bloße Ärger über den Verstoß reicht dagegen nicht.
3. Typische Fallgruppen und realistische Beträge
| Fallgruppe | Typischer Rahmen | Anmerkung |
|---|---|---|
| Datenleck / Scraping (z. B. Social-Media-Datensätze) | ca. 100 – 1.500 € | abhängig von Datenart und dargelegtem Kontrollverlust |
| Verspätete oder unterlassene Auskunft (Art. 15) | ca. 500 – 5.000 € | je nach Dauer, Hartnäckigkeit und Folgen |
| Rechtswidrige Bonitäts-/Positivdaten-Meldung | ca. 1.000 – 5.000 € | bei konkreten Nachteilen auch deutlich mehr |
| Offenlegung von Gesundheitsdaten | häufig > 2.000 € | sensible Daten erhöhen das Schadensgewicht |
Einordnung: Die Spannen sind Orientierungswerte aus der veröffentlichten Rechtsprechung – die Beträge variieren je nach Gericht und Einzelfall erheblich. Entscheidend ist die konkrete, glaubhafte Darlegung des Schadens.
4. So setzen Betroffene ihren Anspruch durch
Auskunft verlangen
Mit einem Auskunftsersuchen nach Art. 15 DSGVO klären, welche Daten betroffen sind – das ist oft zugleich die Beweisgrundlage.
Schaden dokumentieren
Konkrete Folgen festhalten: Spam- und Phishing-Wellen, Sperr- und Überwachungsaufwand, psychische Belastung, finanzielle Nachteile.
Anspruch beziffern und geltend machen
Außergerichtliche Zahlungsaufforderung mit Fristsetzung – viele Fälle enden hier mit einem Vergleich.
Klage
Bleibt die Gegenseite hart, klagen wir den Anspruch ein – die Beweislast für die Entlastung trägt weitgehend das Unternehmen.
5. Unternehmenssicht: Forderungen abwehren, Risiko senken
Unternehmen erreichen Art.-82-Forderungen oft in Wellen – etwa nach einem bekannt gewordenen Vorfall oder als Anhängsel von Massenabmahnungen. Verteidigungslinien sind die fehlende Schadensdarlegung, die fehlende Kausalität und der Entlastungsbeweis ordnungsgemäßer Sicherheitsmaßnahmen (Art. 32 DSGVO). Präventiv gilt: Wer Auskunftsersuchen fristgerecht und vollständig beantwortet und Datenpannen sauber managt (siehe unseren Ratgeber zur 72-Stunden-Meldepflicht), entzieht den meisten Forderungen den Boden.
Das Wichtigste in Kürze
Art. 82 DSGVO ist ein scharfes Schwert – aber kein Selbstläufer. Betroffene brauchen einen darlegbaren Schaden; dann sind je nach Fallgruppe drei- bis vierstellige Beträge realistisch. Unternehmen sollten Forderungen weder ignorieren noch reflexhaft zahlen: Schadensdarlegung und Kausalität sind die zentralen Prüfsteine. Auf beiden Seiten gilt – frühzeitige anwaltliche Einordnung zahlt sich aus.
Datenleck oder ignorierte Auskunft?
Wir prüfen kostenlos, ob Ihnen Schadensersatz nach Art. 82 DSGVO zusteht – und setzen Ihren Anspruch außergerichtlich und gerichtlich durch.
Beratung anfragen →6. Häufige Fragen (FAQ)
Bekomme ich automatisch Schadensersatz, wenn meine Daten geleakt wurden?
Nein. Sie müssen einen konkreten Schaden darlegen – das kann aber auch der Kontrollverlust über Ihre Daten oder die begründete Angst vor Missbrauch sein, etwa wenn nach dem Leak Phishing-Anrufe zunehmen. Eine gute Dokumentation ist entscheidend.
Wie hoch ist der Schadensersatz bei einem Datenleck?
Gerichte sprechen je nach Datenart und Einzelfall meist Beträge zwischen etwa 100 und 1.500 Euro zu; bei sensiblen Daten oder konkreten Folgeschäden auch deutlich mehr. Pauschale Versprechen hoher Summen sind unseriös.
Verjährt der Anspruch aus Art. 82 DSGVO?
Ja, nach deutschem Recht regelmäßig in drei Jahren zum Jahresende, gerechnet ab Kenntnis von Verstoß und Schaden. Bei größeren Datenlecks lohnt sich die Prüfung also auch noch Monate später.
Was ist mit unbeantworteten Auskunftsanfragen?
Wird Ihre Auskunftsanfrage nach Art. 15 DSGVO ignoriert oder nur unvollständig beantwortet, ist das ein eigenständiger Verstoß, der Schadensersatzansprüche begründen kann. Zunächst setzen wir die Auskunft selbst durch – sie ist oft die Grundlage für alles Weitere.
Als Unternehmen: Muss ich jede Art.-82-Forderung ernst nehmen?
Prüfen ja, zahlen nicht automatisch. Viele Forderungen scheitern an der Schadensdarlegung oder Kausalität. Reflexhafte Zahlungen sprechen sich in Abmahner-Kreisen herum – eine konsistente, anwaltlich begleitete Linie schützt langfristig.
Übernimmt die Rechtsschutzversicherung solche Verfahren?
Häufig ja – DSGVO-Schadensersatzklagen fallen bei vielen Policen unter den Vertragsrechtsschutz. Wir klären die Deckung auf Wunsch direkt mit Ihrem Versicherer.
7. Ihre Kanzlei für Durchsetzung von DSGVO-Schadensersatzansprüchen in Essen und ganz NRW
Die Kanzlei MANDATI in Essen berät Unternehmen, Start-ups und Verbraucher im IT-Recht – von der DSGVO-Compliance über IT-Verträge bis zur Abwehr von Abmahnungen. Persönlich in Essen oder vollständig digital, bundesweit.
MANDATI Rechtsanwälte – Ihr Anwalt für Durchsetzung von DSGVO-Schadensersatzansprüchen in Essen und dem gesamten Ruhrgebiet. Persönliche Beratung vor Ort oder mandatsbezogen bundesweit.
Hindenburgstr. 23, 45127 Essen, Nordrhein-Westfalen
Telefon: 0201 – 890 722 40 · E-Mail: [email protected]
Öffnungszeiten: Mo–Fr 9–18 Uhr
Einzugsgebiete / „in der Nähe":
- Essen
- Bochum
- Dortmund
- Düsseldorf
- Duisburg
- Mülheim a. d. Ruhr
- Oberhausen
- Gelsenkirchen
- Köln
Kanzlei MANDATI
Hindenburgstr. 23
45127 Essen
Nordrhein-Westfalen
Telefon: 0201 – 890 722 40
E-Mail: [email protected]
Beratung im IT-Recht: vor Ort in Essen · bundesweit digital per Video und Telefon
Art.-82-Forderung erhalten?
Für Unternehmen: Wir prüfen Schadensdarlegung und Kausalität und wehren überzogene Forderungen konsequent ab.
Beratung anfragen →
