Eine DSGVO Abmahnung liegt auf Ihrem Schreibtisch – und plötzlich stehen Fristen, Forderungen und die Angst vor Schadensersatz im Raum.
Das Thema ist in aller Munde, denn seit dem BGH-Beschluss vom März 2025 können Mitbewerber Datenschutzverstöße wettbewerbsrechtlich verfolgen.
Zugleich hat der BGH im November 2024 klargestellt, dass schon der bloße Kontrollverlust über personenbezogene Daten ein immaterieller Schaden sein kann. Parallel melden Aufsichtsbehörden steigende Datenpannenzahlen – laut Bitkom sehen 97 Prozent der Unternehmen hohen Datenschutzaufwand.
In meiner Beratungspraxis bei ODC Legal erlebe ich täglich, wie Geschäftsführer und Onlinehändler von einer DSGVO Abmahnung kalt erwischt werden. Die Umsetzung der Datenschutzvorschriften ist vor allem bei Cookie-Bannern, einer fehlenden Datenschutzerklärung oder dem Umgang mit externen Diensten wie Google Fonts lückenhaft.
Die Folge: Eine Abmahnung wegen Datenschutzverstößen trifft Unternehmen oft unvorbereitet. Die Informationen in diesem Artikel helfen Ihnen, DSGVO Abmahnungen richtig einzuordnen.
Sie erfahren unter anderem, warum Abmahnung, Bußgeld und Schadensersatz sauber getrennt werden müssen, wann nach Art. 82 DSGVO Schadensersatz droht und welche Sofortmaßnahmen bei einer Datenschutz Abmahnung oder Datenpanne gelten.
Key Takeaways
- Ein DSGVO‑Verstoß allein genügt für Schadensersatz nach Art. 82 DSGVO nicht – erforderlich sind Verstoß, konkreter Schaden und Kausalität
- Schon der bloße Kontrollverlust über personenbezogene Daten kann laut BGH (18.11.2024, Az. VI ZR 10/24) ein immaterieller Schaden sein.
- Art. 82 DSGVO ist eine Ausgleichsnorm, keine Strafnorm – die Schwere des Verstoßes bestimmt nicht automatisch die Schadenshöhe.
- Cookie-Banner ohne gleichwertige Ablehnoption bleiben ein reales Abmahnrisiko für Mitbewerber und Verbraucherverbände.
- Datenpannen erzeugen neben Bußgeldern auch zivilrechtliche Folgeansprüche – vor allem bei vielen Betroffenen.
Was Unternehmen unter Abmahnung, Bußgeld und Schadensersatz unterscheiden müssen
Viele Ratgeber vermengen drei grundlegend verschiedene Instrumente – ein Fehler mit Folgen für den Umgang mit einer DSGVO Abmahnung.
Die Abmahnung ist ein zivilrechtliches Instrument. Ein Mitbewerber, ein Verbraucherverband oder Verbraucherschutzverband fordert Sie zur Unterlassung eines Datenschutzverstoßes auf – verbunden mit einer strafbewehrten Unterlassungserklärung. Grundlage ist in der Regel das Gesetz gegen den unlauteren Wettbewerb UWG, konkret § 8 Abs. 1 UWG.
Dass bestimmte Datenschutzverstöße als Verstoß gegen das Wettbewerbsrecht verfolgt werden können, hat die EuGH‑Entscheidung im Fall „Lindenapotheke“ (C‑21/23, 04.10.2024)klargestellt. Der BGH bestätigte im März 2025 (I ZR 186/17, I ZR 222/19, I ZR 223/19), dass Verstöße gegen Informationspflichten nach Art. 12–13 DSGVO zugleich gegen § 3a bzw. § 5a UWG verstoßen können und daher wettbewerbsrechtlich abmahnbar sind; die Linie ist damit für diese Konstellationen klargestellt, nicht aber für alle DSGVO‑Verstöße universell.
Das Bußgeld ist ein öffentlich‑rechtliches Instrument der Datenschutzbehörden. Gemäß Art. 83 DSGVO können Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen,
Der Schadensersatz nach Art. 82 DSGVO ist ein eigenständiger Anspruch Betroffener. Hier geht es nicht um Wettbewerb, sondern um den individuellen Schaden durch einen Verstoß gegen die Datenschutz-Grundverordnung.
Für Unternehmen bedeutet das: Ein einziger Datenschutzverstoß – etwa eine fehlende Datenschutzerklärung oder unzulässiges Tracking – kann gleichzeitig eine Abmahnung wegen unlauteren Wettbewerbs, ein Bußgeld und Schadensersatzforderungen auslösen. Diese Gefahr wird seit Inkrafttreten der verschärften Rechtsprechung oft unterschätzt.
Wann nach Art. 82 DSGVO tatsächlich Schadensersatz droht
Die drei Voraussetzungen
Der EuGH hat im Fall „Österreichische Post“ (C‑300/21) klargestellt: Art. 82 DSGVO verlangt kumulativ einen Verstoß gegen die DSGVO, einen tatsächlich erlittenen Schaden und einen Kausalzusammenhang.
Ein bloßer Verstoß gegen die DSGVO – etwa eine fehlende Datenschutzerklärung oder unzulässige Datenübermittlung – löst allein noch keinen Schadensersatz aus. Die Darlegungslast für Schaden und Kausalität liegt beim Betroffenen.
Bloßer Kontrollverlust kann genügen
Die BGH‑Entscheidung vom 18.11.2024 (Az. VI ZR 10/24) ist wegweisend: Bereits der bloße und kurzzeitige Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden begründen – ohne konkreten Missbrauchsnachweis.
Der EuGH hat im Fall „MediaMarktSaturn“ (C‑21/23) diese Linie bestätigt und unterstrichen, dass auch ein Kontrollverlust ohne nachweisbaren konkreten Schaden genügen kann, wenn der Verstoß gegen die DSGVO vorliegt.
Wo Gerichte Grenzen ziehen
Nicht jede Angst oder bloße Unruhe reicht als Schaden. Das Bundesarbeitsgericht (Az. 8 AZR 124/23 und 8 AZR 61/24) betont: Bloße negative Gefühlslagen oder abstrakte Befürchtungen begründen keinen Schadensersatzanspruch.
Die Unwissenheit über den Verbleib der Daten allein genügt der Darlegungslast nach Art. 82 DSGVO nicht; der Betroffene muss einen objektiv nachvollziehbaren immateriellen Schaden darlegen (z.B. konkretes Vertrauensverlustgefühl, Ärger, Zeitverlust durch Schutzmaßnahmen).
Die häufigsten Risikofelder in Unternehmen
Cookie-Banner und Tracking
Die Einführung des TDDDG und die verschärfte Rechtsprechung haben Cookie‑Banner zu einem der häufigsten Abmahngründe gemacht. Der BfDI stellt klar: Technisch nicht erforderliche Tracking‑Technologien benötigen eine wirksame Einwilligung; die Ablehnung muss auf der ersten Ebene des Banners genauso einfach und schnell möglich sein wie die Zustimmung.
Die DSK‑Orientierungshilfe „Digitale Dienste“ (Stand November 2024) konkretisiert diese Anforderungen insbesondere für Cookie‑Banner und externe Dienste. Mitbewerber nutzen Verstöße gegen diese Vorgaben zunehmend als Grundlage für eine DSGVO‑Abmahnung.
Wer ein fehlerhaft konfiguriertes Cookie‑Banner betreibt, riskiert neben der Abmahnung auch eine Unterlassungserklärung und ggf. kostenpflichtige Abmahnkosten; eine Schadensersatzforderung nach Art. 82 DSGVO ist bei massenhafter Nutzung eher eine Ausnahme und setzt einen konkreten Schaden voraus.
Gleichwertige Ablehnung ist Pflicht
Das Oberlandesgericht Köln (Az. 6 U 80/23) hat im Fall „WetterOnline“ klargestellt: Ein Cookie‑Banner ohne gleichwertige Ablehnoption auf der ersten Ebene führt nicht zu einer wirksamen Einwilligung. Auch ein „X“‑Symbol als Zustimmung bzw. eine vorab selektierte Ablehnung ist unzulässig.
Gerichte werten solche Banner regelmäßig als Verstoß gegen die DSGVO‑Einwilligungsanforderungen – mit der Folge, dass Mitbewerber und Verbraucherverbände Unterlassungsansprüche über das UWG geltend machen können.
Google Fonts und externe Ressourcen
Die Google‑Fonts‑Abmahnwelle begann mit dem Urteil des LG München I (20.01.2022), in dem dem Kläger 100 Euro immaterieller Schadensersatz wegen dynamischer Einbindung von Google Fonts zugestanden wurden.
Die IHK Berlin ordnet die Abmahnwelle ein und warnt vor Serienforderungen durch Konkurrenten, die sich auf die frühe, eher restriktiv ausgelegte Rechtsprechung stützen.
Allerdings sollten diese Fälle differenziert eingeordnet werden: Spätere EuGH‑ und BGH‑Rechtsprechung hat den Schadensbegriff nach Art. 82 DSGVO geschärft und betont, dass ein Verstoß ohne konkreten Schaden grundsätzlich keinen Schadensersatz begründet.
Lexware empfiehlt: Lassen Sie jede Abmahnung wegen Google Fonts individuell prüfen. Informationen zur aktuellen Bewertung finden Sie auch bei der IHK.
Datenleck, Fehlversand und Scraping
Art. 33 DSGVO verlangt bei einer Datenpanne, dass der Verantwortliche die zuständige Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden des Vorfalls informiert, soweit von der Verletzung des Schutzes personenbezogener Daten ein Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht.
Die Frist ist hart, Wochenenden und Feiertage verlängern sie nicht; bei Verzögerung muss eine Begründung abgegeben werden.
Bei einem Datenleck mit vielen Betroffenen – etwa durch Fehlversand an eine große Mailingliste oder Scraping von Kundendaten – steigt das Schadensersatzrisiko erheblich. Neben der Meldung an die Aufsichtsbehörde kann es zu Bußgeldern und zivilrechtlichen Folgeansprüchen kommen; die 72‑Stunden‑Frist ist ein zentraler Prüfpunkt für die Sanktionierung.
Wie Gerichte die Höhe des Schadensersatzes einordnen
Der EuGH betonte im Verfahren „MediaMarktSaturn“ (C‑21/23): Art. 82 DSGVO hat eine kompensatorische, keine punitive Funktion.
Der BGH ordnet den bloßen Kontrollverlust nach seinem Urteil vom 18.11.2024 (VI ZR 10/24) in der Regel mit etwa 100 Euro pro betroffener Person ein – dies ist aber nur eine Orientierung und nicht zwingend übertragbar auf alle Fälle.
Das klingt gering – doch bei Massenfällen wie dem Facebook‑Scraping summieren sich Einzelbeträge zu erheblichem Gesamtschaden. In diesem Artikel betonen wir: Die Höhe des Einzelanspruchs ist weniger entscheidend als die Zahl der Betroffenen und die Dokumentation des Schadensaustauschs.
Risiken richtig einschätzen: ODC Legal berät Sie, wie aus Einzelbeträgen ein Serienrisiko wird – und wie Sie es begrenzen.
Sofortmaßnahmen nach einer DSGVO Abmahnung oder Datenpanne
Wenn Sie eine DSGVO Abmahnung erhalten, nehmen Sie diese ernst – handeln Sie aber nicht vorschnell. Die Fristen liegen in der Regel zwischen zwei und vier Wochen. In diesem Zeitfenster sollten Sie:
- Fristen dokumentieren und einhalten – Ein versäumter Termin kann zu einem Gerichtsverfahren oder einer einstweiligen Verfügung führen.
- Datenschutzverstoß prüfen – Liegt tatsächlich ein Verstoß gegen die DSGVO vor? Prüfen Sie Ihre Datenschutzerklärung, Ihr Cookie-Setup und alle Datenverarbeitungen.
- Keine Unterlassungserklärung ungeprüft unterschreiben – Lassen Sie eine modifizierte Erklärung anwaltlich erstellen.
- Meldepflicht nach Art. 33 prüfen – Bei Datenpannen gilt die 72-Stunden-Frist.
- Datenabfluss dokumentieren – Ermitteln Sie die Zahl der Betroffenen und die Art der betroffenen Daten.
- Rechtsmissbrauch prüfen – Bei missbräuchlichen Abmahnungen kann eine Zurückweisung erfolgen.
Eine DSGVO Abmahnung ist eine formale Aufforderung zur Unterlassung. Die Kosten einer berechtigten Abmahnung liegen häufig zwischen 500 und 5.000 Euro – ohne Schadensersatzforderungen.
Vor allem die Abmahnberechtigung des Absenders muss im Einzelfall geprüft werden. Nicht jede Abmahnung wegen eines Datenschutzverstoßes ist berechtigt – bei Rechtsmissbrauch kann die Abmahnung zurückgewiesen werden.
Fazit
Die Rechtslage ist klar: Nicht jede DSGVO Abmahnung führt zu Schadensersatz, aber die Schwelle ist seit den jüngsten Beschlüssen von EuGH, BGH und BAG präziser – und das Risiko realer.
Wer eine fehlende Datenschutzerklärung hat, Cookie-Banner nicht regelkonform gestaltet oder bei Datenpannen zu langsam reagiert, riskiert neben Bußgeldern auch zivilrechtliche Ansprüche. Bei einer Abmahnung zählt vor allem schnelles, überlegtes Handeln.
Die entscheidenden Hebel: Früherkennung, ein rechtssicherer Webauftritt, dokumentierte Reaktionsprozesse und anwaltlich kontrollierte Krisenkommunikation.
Sie haben eine DSGVO Abmahnung erhalten? Kontaktieren Sie ODC Legal für eine schnelle Ersteinschätzung.
Rechtsanwältin Sarah Op den Camp ist Gründerin von ODC Legal in Nürnberg/Fürth. Als Fachanwältin für Handels- und Gesellschaftsrecht sowie Urheber- und Medienrecht berät sie seit über zehn Jahren Unternehmen, Start-ups und den Mittelstand in allen Fragen des Datenschutzrechts, der Compliance und der Abmahnungsabwehr.
.jpg)
Vereinbaren Sie jetzt Ihr Erstgespräch
Erfahren Sie, wie wir Ihnen helfen können und erhalten Sie wertvolle rechtliche Beratung.
.webp)