Schadensersatz nach Datenschutzverstößen – Was Kreative und Unternehmen wissen sollten

Was tun, wenn plötzlich persönliche Daten im Netz auftauchen?

Ein Datenleck, ein Cyberangriff oder eine unberechtigte Datenweitergabe – die Gründe für einen Datenschutzverstoß können vielfältig sein. Doch was bedeutet das für Betroffene? Wann besteht Anspruch auf Schadensersatz? Und worauf müssen Unternehmen achten?

In der aktuellen Folge des Podcasts „Kaffeerecht“ der Kanzlei TWW.LAW werfen wir einen praxisnahen Blick auf die rechtlichen Grundlagen und aktuellen Entwicklungen rund um das Thema Schadensersatz nach Datenschutzverstößen. Wir fassen die wichtigsten Inhalte für euch zusammen – verständlich, kompakt und praxisrelevant.

Was ist überhaupt ein Datenschutzverstoß?

Ein Datenschutzverstoß liegt dann vor, wenn gegen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verstoßen wird. Das kann durch ein Datenleck, einen Hackerangriff oder schlicht durch fehlende Sicherheitsmaßnahmen passieren – zum Beispiel wenn personenbezogene Daten ungeschützt abrufbar sind oder nicht ordnungsgemäß gelöscht werden.

👉 Praxisbeispiel: Bei einem Softwareanbieter für Cannabis-Clubs waren sensible Mitgliedsdaten aufgrund fehlerhafter Einstellungen öffentlich einsehbar – darunter Namen, E-Mail-Adressen, Geburtsdaten und sogar Passwörter (gehasht). Ein klassischer Fall für mögliche Schadensersatzansprüche.

Wann gibt es Schadensersatz?

Laut Art. 82 DSGVO haben betroffene Personen bei einem Verstoß gegen die Verordnung Anspruch auf Schadensersatz – sowohl für materielle als auch für immaterielle Schäden. Doch was heißt das konkret?

• Materieller Schaden: z. B. finanzielle Verluste durch unberechtigte Abbuchungen
• Immaterieller Schaden: z. B. Angst, Kontrollverlust, Spam, Rufschädigung

Die Gerichte sind bei der Beurteilung immaterieller Schäden jedoch zurückhaltend. Während ein materieller Schaden oft klar bezifferbar ist, müssen immaterielle Schäden konkret dargelegt werden, etwa durch psychische Belastungen oder tatsächliche Auswirkungen wie vermehrte Spam-Angriffe.

Was sind typische Datenschutzverstöße?

Die DSGVO ist umfangreich – und ebenso die möglichen Verstöße. Hier ein Überblick:

• Art. 32 DSGVO – Sicherheit der Verarbeitung: unzureichende technische/organisatorische Maßnahmen (z. B. fehlende Verschlüsselung)
• Art. 5 DSGVO – Grundsätze der Datenverarbeitung: etwa fehlende Datenminimierung
• Art. 6 & 9 DSGVO – fehlende Einwilligung oder Rechtsgrundlage für Datenverarbeitung
• Art. 15 DSGVO – Auskunftsanspruch nicht erfüllt
• Art. 17 DSGVO – Recht auf Löschung verletzt

Gerade im Arbeitsverhältnis kommen diese Verstöße häufiger vor, etwa bei verspäteter oder unvollständiger Auskunft über gespeicherte Arbeitnehmerdaten oder bei der Weiterverwendung von Mitarbeiterfotos nach Vertragsende.

Rechtsprechung: Wie entscheiden die Gerichte?

Die Urteile zeigen: Ein DSGVO-Verstoß allein reicht nicht aus. Es muss zusätzlich ein konkreter Schaden nachgewiesen werden. Dennoch: Die Tendenz geht klar dahin, dass Gerichte zunehmend auch immaterielle Schäden anerkennen – wenn sie gut begründet werden.

Beispiele aus der Praxis:

• 10.000 € Schadensersatz: wegen der weiteren Verwendung von Mitarbeiterfotos nach Kündigung (LAG Baden-Württemberg)
• 0 € Schadensersatz: trotz Datenpanne, weil keine negativen Folgen erkennbar waren (EuGH, 2024)
• Ablehnung bei reiner „Angst vor Missbrauch“, wenn keine konkrete Bedrohungslage dargelegt werden kann
• Bis zu 500 € Schadensersatz: bei unbefugtem Datenabfluss, z. B. durch Scraping

Was viele nicht wissen: Auch die Nichtbeantwortung eines Auskunftsanspruchs kann Schadensersatz auslösen – und das zunehmend mit Erfolg.

Tipps für Unternehmen: Worauf sollte man achten?

Unternehmen – ob Start-up, Kreativagentur oder Mittelständler – sollten sich bewusst sein: Datenpannen sind nicht nur ein Imageproblem, sondern können teuer werden.

Drei Handlungsempfehlungen:

    1. TOMs prüfen & aktualisieren

Stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen (z. B. Verschlüsselung, Zugriffskontrollen) DSGVO-konform sind.

    2. Datenschutz nach innen denken

Neben Website & Kundenkommunikation auch die Datenverarbeitung im Arbeitsverhältnis regelmäßig prüfen.

    3. Transparenz schaffen

Sorgen Sie für verständliche Datenschutzhinweise und erfüllen Sie Auskunftsrechte zeitnah.

Und was tun bei einem Datenleck?

Sollten personenbezogene Daten unrechtmäßig verarbeitet oder öffentlich gemacht worden sein – sei es durch ein Datenleck oder eine andere Panne – kann ein Schadensersatzanspruch geprüft werden.

➡️ Dabei ist entscheidend, ob und wie stark der Betroffene konkret beeinträchtigt wurde. Wer etwa durch den Datenverlust gezwungen ist, seine Rufnummer zu ändern oder Spam zu blockieren, hat bessere Chancen auf Entschädigung.

Jetzt reinhören: Podcastfolge „Schadensersatz nach Datenschutzverstößen“

Wer noch tiefer ins Thema einsteigen möchte, dem empfehlen wir die vollständige Folge des Podcasts „Kaffeerecht“. Dort beleuchten wir zahlreiche Urteile, Fallkonstellationen und Praxistipps – ideal für Unternehmer, Kreative und Datenschutzinteressierte.

Fazit: Kein Selbstläufer – aber auch kein Papiertiger

Die DSGVO zeigt Wirkung. Schadensersatz nach Datenschutzverstößen ist möglich, aber kein Automatismus. Wer betroffen ist, sollte seine Rechte kennen – und wer Daten verarbeitet, seine Pflichten ernst nehmen. Nicht zuletzt, weil die Masse an Fällen stetig wächst – und damit auch das Risiko für Unternehmen.

Wenn Sie Fragen zum Datenschutzrecht haben oder konkrete Unterstützung benötigen, steht die Kanzlei Tölle Wagenknecht Rechtsanwälte mit Expertise im Datenschutz- und Medienrecht gerne zur Verfügung.