Schadensersatz nach Datenschutzverletzungen – Was Kreative und Unternehmen wissen sollten

Plötzlich landet eine Spam-SMS im Posteingang oder ein Newsletter flattert herein, obwohl man nie zugestimmt hat – und dann stellt sich die Frage: Habe ich Anspruch auf Schadensersatz? Genau diese Frage steht im Mittelpunkt der aktuellen Folge des Podcasts Kaffeerecht von TWW.Law.

Die Datenschutz-Grundverordnung (DSGVO) verspricht klare Regeln – und ebenso klare Konsequenzen bei Verstößen. Doch wann entsteht tatsächlich ein Anspruch auf Schadensersatz? Welche Fälle haben vor Gericht Bestand? Und wie hoch kann der Schadensersatz ausfallen?

Datenschutzverstöße – keine Ausnahme mehr

Ein kurzer Blick auf die Realität zeigt: Datenlecks und ungewollte Werbe-E-Mails sind längst kein Ausnahmefall mehr. Ob durch ein Datenleck bei großen Plattformen oder durch versehentlich versendete E-Mails – Datenschutzverletzungen betreffen Unternehmen jeder Größe. Besonders Online-Shops und digitale Dienstleistungen sind hier gefordert, sauber zu arbeiten.

Im Podcast erzählen die Hosts von ihren eigenen Erlebnissen – etwa durch Phishing-Mails oder das ungewollte Teilen von Kontodaten. Diese realen Beispiele zeigen: Die Gefahr ist allgegenwärtig. Doch wie sieht es mit rechtlichen Ansprüchen aus?

Schadensersatz nach Artikel 82 DSGVO

Die DSGVO regelt den Anspruch auf Schadensersatz in Artikel 82 Absatz 1: Jeder, dem durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entsteht, hat Anspruch auf Ersatz. Klingt zunächst klar, doch in der Praxis wird genau hier intensiv gestritten.

▸ Materieller Schaden

Darunter fallen konkrete finanzielle Verluste, etwa Kosten durch das Wechseln einer Telefonnummer nach Spam-Anrufen. Wer durch eine Datenschutzverletzung also direkt Geld verliert, kann diesen Verlust grundsätzlich ersetzt verlangen.

▸ Immaterieller Schaden

Hier wird es komplex: Immaterielle Schäden betreffen das allgemeine Persönlichkeitsrecht – etwa das Gefühl des Kontrollverlusts über eigene Daten. Beispiel: Die eigenen Gesundheitsdaten gelangen durch ein Versehen an fremde Empfänger. Auch ohne finanziellen Verlust kann ein solcher Eingriff entschädigungspflichtig sein – zumindest theoretisch. Die Herausforderung liegt darin, den Schaden nachvollziehbar zu belegen.

Typische Konstellationen mit Schadensersatzpotenzial

    1. Verarbeitung ohne Rechtsgrundlage

Wer z. B. einen Newsletter verschickt, ohne vorherige Einwilligung eingeholt zu haben, verletzt die DSGVO. Je nach Intensität kann das zu Schadensersatz führen – bei einmaliger Mail eher gering, bei massenhafter Zusendung höher.

    2. Nichtbeachtung von Betroffenenrechten

Die DSGVO gewährt Betroffenen u. a. ein Recht auf Auskunft oder Löschung. Wird ein Auskunftsersuchen ignoriert oder zu spät beantwortet (Frist: 1 Monat), kann das ebenfalls einen Anspruch begründen.

▶ Beispiel: Ein Arbeitnehmer erhielt eine verspätete Auskunft – das Arbeitsgericht Oldenburg sprach 10.000 € Schadensersatz zu.

    3. Technisch-organisatorische Mängel (TOMs)

Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um Daten zu schützen – digital wie analog. Wer Daten unverschlüsselt speichert oder etwa ungeschützte Personalakten im Büro offen liegen lässt, riskiert Verstöße.

▶ Aber: Erst wenn daraus ein konkreter Schaden entsteht (z. B. durch ein Datenleck), besteht Aussicht auf Schadensersatz.

    4. Fehlende Verträge mit Dienstleistern

Wer mit Drittanbietern arbeitet – etwa Zahlungsdienstleister oder Versanddienstleister – muss klare DSGVO-konforme Vereinbarungen treffen. Fehlt diese Grundlage oder wird sie nicht in der Datenschutzerklärung benannt, drohen Bußgelder und mögliche Schadensersatzansprüche.

Bemessung des Schadensersatzes: Viel Spielraum

Die Rechtsprechung ist uneinheitlich: Während in einem Fall der Versand einer ungewollten E-Mail mit 25 € bewertet wird, liegt die Grenze bei anderen Fällen (z. B. Excel-Datei mit Gesundheitsdaten an 1200 Personen) bei 100 €.

Spannend ist hier die Abwägung: Gerichte bewerten Art und Sensibilität der Daten, Reichweite des Verstoßes und konkrete Auswirkungen auf die betroffene Person. Ein “ungutes Gefühl” reicht oft nicht – aber sobald der Alltag spürbar beeinträchtigt ist, kann das Gericht anders entscheiden.

Wie können Betroffene ihre Rechte durchsetzen?

Je nach Fall stehen unterschiedliche Wege zur Verfügung:

• Direkte Klage vor dem zuständigen Gericht
• Abtretung des Anspruchs an spezialisierte Legal-Tech-Dienstleister
• Teilnahme an einer Musterfeststellungsklage über einen Verband (z. B. Verbraucherzentrale)

Letzteres hat den Vorteil, dass rechtliche Grundsatzfragen gebündelt geklärt werden – allerdings muss der eigentliche Schadensersatzanspruch danach individuell geltend gemacht werden.

Was bedeutet das für Unternehmen?

Auch wenn viele Schadensersatzsummen vergleichsweise niedrig ausfallen, zeigen die Urteile: Rechtsverstöße bleiben nicht folgenlos. Neben Bußgeldern drohen:

• Gerichtskosten und Anwaltskosten
• Imageverlust
• Unnötiger Aufwand durch Verfahren

Die Podcast-Folge liefert hier viele praxisnahe Einblicke, was Unternehmen tun können, um auf der sicheren Seite zu sein – etwa durch klare Prozesse, regelmäßige Updates ihrer IT-Systeme und transparent formulierte Datenschutzerklärungen.

Fazit: Datenschutzverletzungen ernst nehmen – aber mit Augenmaß

icht jede E-Mail ohne Einwilligung führt zu einem Schmerzensgeld. Aber je nach Schwere des Verstoßes kann ein Schadensersatzanspruch bestehen – besonders, wenn spürbare Folgen entstehen. Unternehmen tun gut daran, sich präventiv abzusichern, Betroffenenrechte ernst zu nehmen und Prozesse regelmäßig zu überprüfen.

Und für Betroffene gilt: Kenntnis über die eigenen Rechte ist der erste Schritt zur Durchsetzung.