DSGVO-Schadensersatzforderung erhalten: So wehren sich Unternehmen gegen Art. 82 Ansprüche

Sarah Op den Camp

26.5.2026

https://www.odclegal.de/blog/dsgvo-schadensersatzforderung

Das Schreiben liegt auf dem Schreibtisch: eine DSGVO-Schadensersatzforderung, häufig verbunden mit einer Forderung nach „Schmerzensgeld" in vier- oder fünfstelliger Höhe. Das Unbehagen ist verständlich. Doch aus meiner täglichen Praxis als Rechtsanwältin im Datenschutzrecht kann ich Ihnen eines mit Sicherheit sagen: Nicht jede dieser Forderungen ist berechtigt. Viele scheitern bereits an den Grundvoraussetzungen des Art. 82 DSGVO – wenn man sie strukturiert und mit juristischem Sachverstand prüft.

Schnellüberblick

DSGVO-Schadensersatzforderung erhalten – was jetzt zählt

Art. 82 DSGVO verlangt drei Voraussetzungen: einen DSGVO-Verstoß, einen konkreten Schaden und einen kausalen Zusammenhang zwischen beidem.
Ein Datenschutzverstoß allein reicht nicht aus: Unternehmen haften nicht automatisch, nur weil eine DSGVO-Pflicht verletzt wurde.
Pauschale Schmerzensgeldforderungen sind angreifbar: abstrakte Angst, Textbausteine oder ein bloß behaupteter Kontrollverlust genügen häufig nicht.
Keine vorschnelle Zahlung oder Anerkennung: die erste Antwort kann den späteren Verteidigungsspielraum erheblich beeinflussen.
Wichtigster Schritt: Forderung, Fristen, Belege, interne Dokumentation und mögliche Exkulpation strukturiert prüfen.

Viele DSGVO-Schadensersatzforderungen lassen sich erst nach genauer Prüfung seriös einordnen. Entscheidend ist nicht die Höhe der Forderung, sondern ob Verstoß, Schaden und Kausalität konkret dargelegt und beweisbar sind.

Forderung rechtlich prüfen lassen

Sinnvoll, wenn Sie ein Forderungsschreiben erhalten haben, eine Frist läuft oder unklar ist, ob der behauptete Schaden tatsächlich belegt ist.

Seit der Datenschutz-Grundverordnung 2018 in Kraft getreten ist, haben Schadensersatzklagen auf Basis von Art. 82 DSGVO in Deutschland erheblich zugenommen. Besonders im Zuge des Facebook-Scrapings und zahlreicher Auskunftspflicht-Streitigkeiten im Arbeitsrecht sind viele Unternehmen zu Adressaten solcher Forderungen geworden – teils mit fundierten Ansprüchen, teils mit Klagewellen, die auf standardisierte Textbausteine statt auf individuell belegten Schaden setzen. Genau hier liegt der entscheidende Unterschied.

In diesem Beitrag zeige ich Ihnen, was Art. 82 DSGVO tatsächlich verlangt, an welchen Punkten überzogene Schmerzensgeldforderungen regelmäßig scheitern und wie Sie als Unternehmen eine DSGVO-Schadensersatzforderung rechtssicher einordnen und abwehren können. Gleichzeitig erkläre ich Ihnen, wann Abwehr unklug wäre – und ein sachgerechter Vergleich oder eine gezielte Schadensbegrenzung die bessere Entscheidung ist.

Das Wichtigste in Kürze

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter – aber nur wenn alle drei Voraussetzungen kumulativ vorliegen: Verstoß, Schaden und Kausalität.
Ein Verstoß gegen die Datenschutz-Grundverordnung allein löst keinen automatischen Schadensersatzanspruch aus. EuGH und BAG haben dies ausdrücklich klargestellt.
Eine pauschale Bagatellgrenze gibt es nicht – Gerichte dürfen Ansprüche also nicht schon wegen „zu geringer" Beeinträchtigung abweisen. Kläger müssen aber weiterhin einen individuell nachvollziehbaren, tatsächlichen Nachteil konkret darlegen.
Begründete Befürchtung eines Datenmissbrauchs kann als immaterieller Schaden anerkannt werden; ein rein hypothetisches Risiko genügt dagegen nicht.
Art. 82 DSGVO ist ein Ausgleichsanspruch, keine Strafnorm. Die Bußgeldkriterien aus Art. 83 DSGVO dürfen nicht zur Begründung einer höheren Schadenshöhe herangezogen werden.
Die erste Reaktion auf eine Forderung entscheidet oft über den gesamten Spielraum für die spätere Verteidigung.

Was Art. 82 DSGVO tatsächlich verlangt

Verstoß, Schaden und Kausalität als drei Voraussetzungen

Art. 82 Abs. 1 DSGVO ist die zentrale Haftungsgrundlage im europäischen Datenschutzrecht. Verantwortliche und Auftragsverarbeiter haften demnach für Schäden, die durch eine nicht der DSGVO entsprechende Datenverarbeitung verursacht wurden. Um einen Schadensersatzanspruch nach Art. 82 DSGVO erfolgreich geltend zu machen, müssen drei Kernvoraussetzungen erfüllt sein: ein DSGVO-Verstoß, ein konkreter Schaden und ein kausaler Zusammenhang zwischen beiden.

Illustration zeigt Vorraussetzungen für DSGVO-Schadenersatz

Das Bundesarbeitsgericht hat diese Anforderungsstruktur zuletzt in seinem Urteil BAG 8 AZR 61/24 vom 20. Februar 2025 nochmals ausdrücklich bestätigt. Alle drei Voraussetzungen müssen kumulativ vorliegen. Fehlt auch nur eine davon, scheidet ein Anspruch aus – unabhängig davon, wie schwer ein etwaiger Datenschutzverstoß war. Nach der DSGVO können sowohl materielle als auch immaterielle Schäden geltend gemacht werden, was gegenüber der früheren Rechtslage eine wesentliche Erweiterung darstellt.

Warum der bloße Verstoß gegen die DSGVO nicht reicht

Eine weitverbreitete Fehlannahme lautet: Ist ein Datenschutzverstoß nachgewiesen, gibt es automatisch Schadensersatz. Diese Logik haben EuGH und BAG klar abgelehnt. Der EuGH hat in seiner Leitentscheidung Curia C-741/21 vom 11. April 2024 unmissverständlich klargestellt: Ein Verstoß gegen eine Vorschrift der Datenschutz-Grundverordnung, die Betroffenen Rechte verleiht, begründet für sich genommen noch keinen Anspruch auf Schadensersatz, unabhängig vom Schweregrad.

Das ist eine wichtige Erkenntnis für die Unternehmensseite. Selbst wenn eine Norm tatsächlich verletzt wurde – sei es durch fehlerhafte Datenverarbeitung, eine nicht ordnungsgemäße Einwilligung oder eine verspätete Auskunft –, folgt daraus nicht automatisch eine Schadensersatzpflicht. Die betroffene Person muss zusätzlich und konkret nachweisen, dass ihr dadurch ein Schaden entstanden ist und dieser Schaden kausal auf den Verstoß zurückzuführen ist. Wie CMS in seinem Update zur EuGH-Linie beim DSGVO-Schadensersatz treffend zusammenfasst: Die Beweislast für den Verstoß, den entstandenen Schaden und die Kausalität liegt grundsätzlich bei der betroffenen Person.

Infografik illustriert Gründe für das Scheitern von DSGVO-Klagen

Warum es trotzdem keine pauschale Bagatellgrenze gibt

Gleichzeitig – und das ist die zweite Hälfte der Wahrheit, die in der Abwehrberatung nicht verschwiegen werden darf – hat der EuGH einer starren Erheblichkeits- oder Bagatellschwelle eine ausdrückliche Absage erteilt. Nach aktueller EuGH-Rechtsprechung gibt es keine Erheblichkeitsschwelle für immaterielle Schäden; auch geringere Beeinträchtigungen können grundsätzlich ersatzfähig sein. Gerichte dürfen Ansprüche also nicht schon deshalb pauschal ablehnen, weil der Schaden „zu klein" erscheint.

Das bedeutet für die Unternehmensseite: Eine pauschale Strategie des Totalbestreitens ist ebenso wenig zielführend wie eine reflexhafte Zahlung. Beides verfehlt die eigentliche Aufgabe, nämlich die konkrete Forderung in ihren drei Elementen – Verstoß, Schaden, Kausalität – präzise zu analysieren.

Typische Angriffspunkte gegen DSGVO-Schadensersatzforderungen

Viele Forderungsschreiben wirken auf den ersten Blick belastend. Juristisch kommt es aber darauf an, ob der Anspruch nach Art. 82 DSGVO sauber begründet ist. Die folgende Übersicht zeigt typische Prüfungsansätze aus Unternehmenssicht.

Behauptung im Forderungsschreiben	Juristischer Prüfpunkt	Typischer Abwehransatz
„Es liegt ein DSGVO-Verstoß vor.“	Ein Verstoß allein genügt nicht. Zusätzlich müssen Schaden und Kausalität konkret dargelegt werden.	Anspruch in drei Elemente aufteilen: Verstoß, konkreter Schaden, Ursachenzusammenhang. Fehlt ein Element, ist die Forderung angreifbar.
„Ich habe die Kontrolle über meine Daten verloren.“	Ein Kontrollverlust muss individualisiert werden. Pauschale Formulierungen reichen häufig nicht aus.	Prüfen, ob konkrete Folgen, betroffene Daten, tatsächliche Nutzung oder ein persönlicher Nachteil nachvollziehbar beschrieben werden.
„Ich habe Angst vor Datenmissbrauch.“	Befürchtungen können relevant sein, müssen aber objektiv nachvollziehbar und einzelfallbezogen begründet sein.	Herausarbeiten, ob nur ein hypothetisches Risiko behauptet wird oder tatsächliche Anhaltspunkte für Missbrauch vorliegen.
„Die Auskunft nach Art. 15 DSGVO kam zu spät.“	Eine verspätete Auskunft führt nicht automatisch zu Schadensersatz. Entscheidend sind konkrete Folgen der Verzögerung.	Fristen, Kommunikation, Umfang der Auskunft und behauptete Nachteile getrennt prüfen und dokumentieren.
„Es gab einen Datenabfluss.“	Bei tatsächlichen Datenschutzvorfällen steigt das Risiko. Dennoch bleiben Schaden, Kausalität und Verantwortlichkeit zu prüfen.	Interne Incident-Dokumentation, TOMs, Meldehistorie, Dienstleisterrollen und mögliche Exkulpation strukturiert auswerten.
„Es wird ein hoher Schmerzensgeldbetrag verlangt.“	Die Höhe ist nicht automatisch maßgeblich. Art. 82 DSGVO dient dem Ausgleich, nicht der Bestrafung.	Forderungshöhe mit konkretem Nachteil, bisheriger Rechtsprechung und Prozessrisiko abgleichen. Vergleich nur kontrolliert prüfen.

Die Tabelle ersetzt keine Einzelfallprüfung. Sie zeigt aber, warum eine DSGVO-Schadensersatzforderung nicht nach Bauchgefühl beantwortet werden sollte. Gerade bei hohen Beträgen, kurzen Fristen oder Datenschutzvorfällen ist eine strukturierte Prüfung entscheidend.

Angriffspunkte prüfen lassen

Sinnvoll, wenn unklar ist, ob die Forderung berechtigt ist oder wie auf das Schreiben reagiert werden sollte.

Wann überzogene Schmerzensgeldforderungen regelmäßig scheitern

In der Praxis scheitern viele DSGVO-Schadensersatzklagen an einem oder mehreren der folgenden Punkte.

Rein hypothetisches Risiko statt realer Nachteil

Besonders häufig werden Forderungen damit begründet, dass die klagende Person „Angst vor Datenmissbrauch" habe oder sich „in einem Zustand der Unsicherheit" befinde. Diese Argumentation ist nicht per se unzulässig – der EuGH hat anerkannt, dass Befürchtungen einen immateriellen Schaden begründen können. Das BAG hat in seinem Urteil 8 AZR 61/24 jedoch klargestellt: Negative Gefühle genügen nur dann, wenn sie unter den konkreten Umständen des Einzelfalls objektiv als begründet angesehen werden können. Ein rein hypothetisches Risiko – das bloße Denkbarkeit eines künftigen Schadens – reicht ausdrücklich nicht aus.

Für die Abwehr bedeutet das: Wenn das Forderungsschreiben keine konkreten Anhaltspunkte für tatsächlich eingetretene Folgen nennt, sondern lediglich abstrakte Befürchtungen formuliert, ist das ein erster, starker Angriffspunkt.

Entscheidungsmatrix

Wann scheitern DSGVO-Schadensersatzforderungen?

Viele Forderungen nach Art. 82 DSGVO lassen sich erst durch eine strukturierte Prüfung einordnen. Entscheidend ist nicht allein, ob ein Datenschutzverstoß behauptet wird, sondern ob Verstoß, Schaden und Kausalität konkret dargelegt werden.

Prüfungspunkt	Warum die Forderung scheitern kann	Relevante Rechtsprechung	Was Unternehmen prüfen sollten
Kein Automatismus	Ein DSGVO-Verstoß allein genügt nicht. Zusätzlich müssen ein konkreter Schaden und ein kausaler Zusammenhang zwischen Verstoß und Schaden vorliegen.	EuGH C-741/21 BAG 8 AZR 61/24	Anspruch getrennt prüfen: Welcher DSGVO-Verstoß wird behauptet? Welcher konkrete Schaden? Warum soll gerade dieser Verstoß den Schaden verursacht haben?
Hypothetische Angst	Reine Sorge vor Datenmissbrauch reicht häufig nicht. Negative Gefühle müssen einzelfallbezogen und objektiv nachvollziehbar begründet sein.	BAG 8 AZR 61/24	Prüfen, ob konkrete Anhaltspunkte für Datenmissbrauch, Betrugsversuche, Spam, Identitätsrisiken oder andere tatsächliche Folgen genannt werden.
Kontrollverlust	Ein pauschaler Kontrollverlust ist oft zu wenig. Der Vortrag muss erkennen lassen, welche Daten betroffen waren und welche individuellen Folgen eingetreten sein sollen.	OLG Köln 15 U 67/23	Herausarbeiten, ob das Schreiben nur Standardformulierungen nutzt oder konkrete Angaben zu betroffenen Daten, Nutzung, Folgen und persönlicher Betroffenheit enthält.
Textbausteine	Standardisierte Anspruchsschreiben ersetzen keinen Einzelfallvortrag. Gerade bei Massenverfahren fehlt häufig die konkrete Verbindung zwischen Vorfall und individuellem Schaden.	OLG Köln 15 U 67/23	Vergleichen, ob das Schreiben austauschbare Formulierungen enthält. Wichtig sind konkrete Tatsachen zum Einzelfall, nicht nur abstrakte Rechtsbehauptungen.
Verspätete Auskunft	Eine verspätete oder unvollständige Auskunft führt nicht automatisch zu Schadensersatz. Auch hier müssen konkrete Nachteile der Verzögerung dargelegt werden.	BAG 8 AZR 215/23	Fristen, Eingangsdatum, Kommunikationsverlauf, Umfang der Auskunft und behauptete Folgen sauber dokumentieren.
Schadenshöhe	Art. 82 DSGVO ist kein Strafschadensersatz. Hohe Forderungen müssen zum konkret behaupteten Nachteil passen; Bußgeldmaßstäbe dürfen die Höhe nicht automatisch bestimmen.	EuGH C-741/21	Forderungshöhe mit behauptetem Schaden, bisheriger Rechtsprechung, Prozessrisiko und möglicher Vergleichsstrategie abgleichen.

Die Matrix ersetzt keine rechtliche Prüfung des Einzelfalls. Sie zeigt jedoch, an welchen Stellen DSGVO-Schadensersatzforderungen häufig angreifbar sind – insbesondere bei pauschalem Vortrag, fehlender Kausalität oder nicht belegten immateriellen Schäden.

Forderung anhand der Rechtsprechung prüfen lassen

Sinnvoll, wenn das Forderungsschreiben pauschal wirkt, eine hohe Summe verlangt wird oder unklar ist, ob Schaden und Kausalität ausreichend dargelegt sind.

Pauschaler Kontrollverlust ohne Individualisierung

Der Begriff „Kontrollverlust über eigene Daten" ist in der DSGVO-Rechtsprechung durchaus anerkannt, aber in der klägerischen Praxis oft missverstanden. Das OLG Köln hat in seinem richtungsweisenden Urteil 15 U 67/23 vom 7. Dezember 2023 herausgearbeitet, dass ein pauschaler Hinweis auf Kontrollverlust ohne individuelle Konkretisierung nicht genügt. Das Gericht verlangte vom Kläger unter anderem: konkreten Vortrag dazu, wie die betroffene Telefonnummer vor dem Vorfall kontrolliert wurde, welche individuellen Folgen nach dem Datenschutzverstoß eingetreten sind und weshalb gerade der in Rede stehende Vorfall für seinen persönlichen Nachteil kausal war.

Allgemeinplätze und standardisierte Textpassagen erfüllen diese Anforderung nicht – ein für viele Klagewellen relevanter Punkt.

Textbausteine, fehlende Belege und unklare Kausalität

Scraping-Fälle

Besonders deutlich wird die Textbaustein-Problematik bei den Facebook-Scraping-Klagen. Dabei wurden von automatisierten Programmen Millionen von Nutzerdaten aus dem Netzwerk extrahiert und veröffentlicht. Viele Klagen gegen betroffene Unternehmen wurden mit nahezu identischen Klageschriften geführt. Das OLG Köln verwarf diese Praxis konsequent und verlangte konkreten Vortrag zur individuellen Datennutzung, zum tatsächlichen Kontrollverlust und zu den spezifischen Folgen für den jeweiligen Kläger. Die laufend aktualisierte CMS-Urteilsübersicht zum DSGVO-Schadensersatz dokumentiert diese Linie besonders anschaulich.

Verspätete oder unvollständige Auskunft

Auch Klagen wegen verspäteter Auskunft nach Art. 15 DSGVO verlaufen für Kläger oft ungünstiger als erhofft. Das LAG Düsseldorf 3 Sa 285/23 vom 28. November 2023 lehnte die Idee eines automatischen „Regelschadens" bei verspäteter Auskunft ab, weil der Kläger lediglich Allgemeinplätze vorgetragen hatte, ohne konkrete individuelle Folgen der Verspätung zu belegen. Das BAG bestätigte in 8 AZR 215/23 vom 17. Oktober 2024: Eine verspätete Auskunft begründet für sich genommen keinen Kontrollverlust im schadensrechtlichen Sinne, wenn keine konkreten Anhaltspunkte für tatsächlichen Missbrauch oder Datenabfluss vorliegen.

Kurzcheck: Wie stark ist die DSGVO-Forderung gegen Ihr Unternehmen?

Kreuzen Sie an, was auf das Forderungsschreiben zutrifft. Der Kurzcheck ersetzt keine rechtliche Prüfung, zeigt aber, ob die Forderung eher angreifbar wirkt oder ob eine schnelle Verteidigungsstrategie erforderlich ist.

Der behauptete Schaden wird nur pauschal beschrieben. Zum Beispiel nur mit „Kontrollverlust“, „Unwohlsein“ oder allgemeiner Sorge vor Datenmissbrauch.
Der Zusammenhang zwischen DSGVO-Verstoß und Schaden bleibt unklar. Ein Anspruch nach Art. 82 DSGVO setzt Verstoß, Schaden und Kausalität voraus.
Das Schreiben wirkt standardisiert oder enthält erkennbare Textbausteine. Besonders bei Massenverfahren fehlt häufig die konkrete Individualisierung des behaupteten Nachteils.
Es wurden keine Belege für konkrete Folgen oder einen tatsächlichen Datenmissbrauch beigefügt. Reine Befürchtungen reichen nicht immer aus; entscheidend sind die Umstände des Einzelfalls.
Es wird eine kurze Frist zur Zahlung, Anerkennung oder Stellungnahme gesetzt. Die erste Reaktion sollte sorgfältig formuliert werden, um keine Verteidigungsposition zu schwächen.
Es gab tatsächlich einen Datenabfluss, Cyberangriff oder eine dokumentierte Datenschutzverletzung. In solchen Fällen ist neben der Anspruchsabwehr auch die eigene Dokumentations- und Meldehistorie relevant.
Die Forderung hängt mit einer verspäteten oder unvollständigen DSGVO-Auskunft zusammen. Gerade bei Art.-15-Auskunftsstreitigkeiten kommt es stark auf Fristen, Dokumentation und konkrete Folgen an.

Der Kurzcheck bewertet keine Erfolgsaussichten im Einzelfall. Er hilft dabei, typische Angriffspunkte und Risikofaktoren früh zu erkennen.

DSGVO-Forderung prüfen lassen

Sinnvoll, wenn eine Frist läuft, die Forderung hoch ist oder intern noch nicht klar dokumentiert ist, was tatsächlich passiert ist.

Wie Unternehmen eine DSGVO-Schadensersatzforderung prüfen und abwehren

Anspruchstyp sauber klassifizieren

Der erste Schritt nach Eingang einer Forderung ist die Einordnung des Anspruchstyps. Verschiedene Konstellationen folgen unterschiedlichen Anforderungen an Darlegung und Kausalität: Handelt es sich um einen Scraping-Fall, um einen Cyberangriff mit tatsächlichem Datenabfluss, um Direktwerbung ohne Einwilligung, um eine verspätete Auskunft nach Art. 15 DSGVO oder um einen arbeitsrechtlichen Kontext mit Daten des Arbeitnehmers?

Diese Triage-Logik ist entscheidend. Die aktuellen Gerichtsentscheidungen von EuGH, BAG und deutschen Oberlandesgerichten machen dabei deutlich, dass das Ergebnis der Prüfung stark von der konkreten Anspruchskonstellation abhängt. Im Bereich Datenschutz und Compliance berate ich Unternehmen aller Größen – von Startups bis zu mittelständischen Betrieben – genau bei dieser ersten Einordnung, denn sie bestimmt, welche Angriffspunkte gegen die Forderung tatsächlich tragfähig sind.

Diagramm zeigt Schritte zur Abwehr von DSGVO-Schadensersatzforderungen

Rechtsverletzung, Schaden und Kausalität getrennt prüfen

Nach der Klassifizierung folgt die rechtliche Tiefenprüfung – in drei klar getrennten Schritten. Erstens: Liegt tatsächlich ein Verstoß gegen die DSGVO vor? Welche Datenschutzvorschrift soll verletzt worden sein? Wurden die Daten entsprechend der Verordnung verarbeitet, und lässt sich das dokumentieren? Die DSGVO versteht unter Datenschutzverstößen sowohl Datenverarbeitungen, die nicht ihren Vorschriften entsprechen, als auch solche, die nicht den Regelungen weiterer Rechtsakte oder nationalen Vorschriften entsprechen – das Spektrum ist also weit.

Zweitens: Welcher Schaden wird konkret behauptet, und ist er individuell belegt? Materieller Schaden – etwa Umsatzeinbußen oder finanzielle Verluste infolge eines Datenlecks – ist seltener Gegenstand von Schadensersatzklagen, aber in der Regel leichter nachweisbar. Immaterieller Schaden, also Reputations- oder Kontrollverlust, Angst oder seelisches Unbehagen, muss individuell und nachvollziehbar dargelegt werden. Höhe und Art des Schadensersatzes werden im Ermessen der Gerichte festgelegt, ohne feste Sätze zu haben.

Drittens: Besteht der behauptete Kausalzusammenhang wirklich? Ist der behauptete Nachteil tatsächlich auf den behaupteten Verstoß zurückzuführen, oder gibt es andere plausible Erklärungen?

Darlegungslast des Anspruchstellers und Exkulpation des Verantwortlichen

Die Beweislastverteilung ist eines der stärksten Instrumente in der Abwehr. Grundsätzlich muss die betroffene Person nachweisen, dass der Schaden kausal auf den Verstoß gegen die DSGVO zurückzuführen ist. Die Beweislast für Verstoß, Schaden und Kausalität liegt damit bei der klagenden Person – das hat das BAG in seiner aktuellen Rechtsprechung ausdrücklich betont.

Auf der anderen Seite trägt der Verantwortliche nach Art. 82 Abs. 3 DSGVO eine enge Exkulpationslast: Er haftet nicht, wenn er nachweist, dass er in keiner Weise für den schadensverursachenden Umstand verantwortlich ist. Entscheidend ist dabei das Verschulden – die enge Haftungsbefreiung setzt voraus, dass das Unternehmen keinerlei eigenes Fehlverhalten zu verantworten hat. Der EuGH hat in C-741/21 klargestellt, dass diese Haftungsbefreiung eng gefasst ist – ein bloßer Hinweis auf Mitarbeiterfehler reicht nicht aus. Gemäß Art. 82 DSGVO muss eine Verletzung durch den Verantwortlichen oder Auftragsverarbeiter vorliegen, um Schadensersatz bzw. Schadenersatz fordern zu können; wenn sowohl der Verantwortliche als auch der Auftragsverarbeiter für eine Datenschutzverletzung verantwortlich sind, haften sie als Gesamtschuldner.

Für die Praxis bedeutet das: Sofort nach Eingang einer Forderung sollten Sie die interne Dokumentation sichten. Wurden Datenschutzgrundsätze eingehalten? Gibt es Nachweise für die ordnungsgemäße Verarbeitung personenbezogener Daten? Wurden technische und organisatorische Maßnahmen nach Art. 32 DSGVO umgesetzt und dokumentiert? Empfehlenswert ist zudem die frühzeitige Abstimmung mit dem Datenschutzbeauftragten, der IT-Abteilung, der Personalabteilung, Versicherern und externen Dienstleistern.

Warum Art. 82 keine Strafschadensersatznorm ist

Ein immer wiederkehrendes Argument in Forderungsschreiben ist der Verweis auf die Schwere eines Verstoßes oder auf DSGVO-Bußgeldrahmen, um eine höhere Entschädigungssumme zu begründen. Das ist rechtlich nicht haltbar. Der EuGH hat in C-741/21 ausdrücklich ausgeschlossen, dass die Bußgeldkriterien des Art. 83 DSGVO auf die Schadenshöhe nach Art. 82 übertragen werden.

Der Grund: Art. 82 DSGVO hat eine Ausgleichs-, keine Straf- oder Abschreckungsfunktion. Der Schadensersatz soll den entstandenen Schaden ausgleichen und nicht primär strafend wirken. Ein festgestellter schwerer Datenschutzverstoß rechtfertigt also für sich genommen kein besonders hohes Schmerzensgeld, solange der individuell entstandene Schaden nicht substantiiert dargelegt ist.

Wann Unternehmen trotz Abwehrchance vorsichtig sein müssen

Wer die bisherigen Abschnitte liest, könnte meinen, DSGVO-Schadensersatzforderungen seien generell leicht abwehrbar. Das wäre eine gefährliche Fehleinschätzung. Es gibt Konstellationen, in denen eine konsequente Abwehr nicht nur aussichtslos, sondern auch strategisch unklug wäre.

Fälle mit tatsächlich sensiblem Datenabfluss

Hat ein Cyberangriff oder eine Datenpanne nachweislich zu einem konkreten Abfluss besonders sensibler Daten geführt – etwa Gesundheitsdaten, Finanzdaten oder Kategorien nach Art. 9 DSGVO –, ist die Ausgangslage für eine Abwehr deutlich schwieriger. Wenn betroffene Personen glaubhaft machen können, dass konkrete Missbrauchsvorfälle eingetreten sind, ist das Abwehrpotenzial stark begrenzt.

Diagramm zeigt Folgen von Datenabflüssen für die Abwehr von DSGVO Schadensersatz Forderungen

Begründete Missbrauchsangst nach Cyberangriff

Ähnliches gilt, wenn nach einem Cyberangriff Daten nachweislich im Darknet aufgetaucht sind oder wenn sich Hinweise auf Identitätsdiebstahl konkretisiert haben. Hier ist die objektive Begründetheit der Befürchtung kaum zu bestreiten. In solchen Fällen kann die Aufsichtsbehörde über den Verstoß informiert werden – was den Druck auf das Unternehmen weiter erhöht.

Konstellationen mit bereits zugesprochener Entschädigung

Das OLG Hamm sprach in seinem Urteil 9 U 56/20 vom 31. August 2021 einem Arbeitnehmer 4.000 Euro immateriellen Schadensersatz zu – wegen der unzulässigen konzerninternen Weitergabe von Personaldaten. Tatsächlicher, individualisierbarer Schaden plus klar belegbare Kausalität: In solchen Fällen sind Gerichte durchaus bereit, zu verurteilen. Abwehr ist kein Selbstzweck. Sie ist an die konkrete Fallakte gebunden – manchmal ist ein sachgerechter Vergleich oder eine gezielte Schadensbegrenzung die überlegtere Entscheidung.

Was passiert, wenn Sie falsch oder gar nicht reagieren?

Eine DSGVO-Schadensersatzforderung sollte weder ignoriert noch vorschnell erfüllt werden. Häufig entsteht das größere Risiko nicht durch das erste Schreiben, sondern durch eine unüberlegte Reaktion darauf.

Ungewolltes Anerkenntnis: Eine zu weitgehende Antwort kann später so wirken, als habe das Unternehmen Verstoß, Schaden oder Verantwortlichkeit bereits eingeräumt.
Verlust wichtiger Abwehrargumente: Wer Schaden, Kausalität oder Beweislast nicht sauber trennt, verschenkt häufig zentrale Verteidigungspunkte.
Erhöhter Vergleichsdruck: Ohne klare Dokumentation steigt das Risiko, aus Unsicherheit zu zahlen, obwohl die Forderung rechtlich angreifbar wäre.
Klage- und Kostenrisiko: Wird eine berechtigte oder teilweise berechtigte Forderung nicht strategisch beantwortet, kann sich der Konflikt in ein gerichtliches Verfahren verlagern.
Interne Folgeprobleme: Datenschutzbeauftragte, IT, HR, Dienstleister oder Versicherer werden oft zu spät eingebunden – obwohl ihre Dokumentation für die Verteidigung entscheidend sein kann.

Entscheidend ist eine Antwort, die den Anspruch prüft, ohne unnötige Zugeständnisse zu machen. Je früher Forderung, Fristen und interne Nachweise geordnet werden, desto besser lässt sich der weitere Umgang steuern.

Reaktion rechtlich abstimmen

Besonders sinnvoll, bevor Sie auf ein Forderungsschreiben antworten, eine Zahlung leisten oder einen Vergleich anbieten.

Internationale Entwicklungen und Auswirkungen auf den DACH-Markt

Der europäische Trend beim DSGVO-Schadensersatz ist zweigeteilt – und für Unternehmen im DACH-Raum von erheblicher praktischer Relevanz.

Auf der einen Seite hat der EuGH seit 2023 die Anspruchsvoraussetzungen des Art. 82 DSGVO konsistent präzisiert: kein Automatismus, keine pauschale Bagatellschwelle, objektiv tragfähige Schadensdarlegung, keine bloß hypothetischen Risiken, keine Übertragung der Bußgeldlogik auf die Schadensbemessung. Diese Linie schützt Unternehmen vor ausufernden Ansprüchen.

Auf der anderen Seite haben einzelne deutsche Gerichtsentscheidungen – besonders rund um Kontrollverlust und Scraping – den Korridor für Ersatzansprüche partiell erweitert. Nicht jede Datenverarbeitung, die formal gegen eine Vorschrift verstößt, führt zur Haftung; aber jede Datenschutzverletzung mit nachweisbarem individuellem Nachteil kann heute ernsthafter als früher verfolgt werden. Wie Reuters in seiner Analyse zu den wirtschaftlichen Folgen aktueller Datenschutzrechtsprechung in Europa herausstellt, ist diese Spannung prozessual und wirtschaftlich relevant: Sie beeinflusst Prozesskostenrisiken, Vergleichsbereitschaft und interne Compliance-Prioritäten gleichermaßen.

Für DACH-Unternehmen folgt daraus eine klare Handlungsmaxime: Die beste Verteidigung ist weder reflexhafte Zahlung noch reflexhaftes Totalbestreiten, sondern eine präzise, fallbezogene Subsumtion entlang der EuGH-Linie – gestützt auf solide interne Dokumentation und juristischen Sachverstand. Auch die wissenschaftliche Auseinandersetzung mit der Materie entwickelt sich weiter: Die 2025 veröffentlichte Dissertation von Dr. Robert Faußner (Universität Innsbruck) bietet eine vertiefte dogmatische Einordnung der Schadensersatzrechtsprechung, die für Praktiker wie Berater gleichermaßen relevant ist.

Fazit: Strukturiert prüfen statt reflexartig reagieren

Eine DSGVO-Schadensersatzforderung ist kein Grund zur Panik – aber erst recht kein Anlass zur Leichtfertigkeit. Nicht jede Forderung ist berechtigt, aber jede Forderung muss schnell, strukturiert und beweisorientiert geprüft werden.

Der Kern einer erfolgreichen Abwehr liegt nicht im pauschalen Bestreiten, sondern in der sauberen Trennung von Verstoß, Schaden und Kausalität. Wer die drei Anspruchsvoraussetzungen einzeln analysiert, den Kläger konsequent an seiner Darlegungslast misst und die aktuelle EuGH-/BAG-Linie präzise anwendet, hat gute Karten – sofern der Fall es erlaubt. Und wer erkennt, dass ein Anspruch begründet ist, kann durch frühzeitiges Handeln zumindest den Schaden begrenzen.

Bei ODC Legal begleite ich Unternehmen, Start-ups und Mittelständler regelmäßig bei der Prüfung und Abwehr von DSGVO-Schadensersatzforderungen. Die erste Reaktion auf ein Forderungsschreiben – oder das Ausbleiben einer Reaktion – entscheidet häufig darüber, welcher Verteidigungsspielraum später noch bleibt.

FAQ

Häufige Fragen zu DSGVO-Schadensersatz nach Art. 82 DSGVO

Muss ein Unternehmen bei jedem DSGVO-Verstoß Schadensersatz zahlen?

Nein. Ein DSGVO-Verstoß allein löst keinen automatischen Schadensersatzanspruch aus. Nach Art. 82 DSGVO müssen zusätzlich ein konkreter materieller oder immaterieller Schaden und ein kausaler Zusammenhang zwischen Verstoß und Schaden vorliegen. Fehlt eine dieser Voraussetzungen, ist die Forderung angreifbar.

Reicht Angst vor Datenmissbrauch für DSGVO-Schmerzensgeld aus?

Angst oder Sorge kann grundsätzlich ein immaterieller Schaden sein. Sie muss aber unter den Umständen des Einzelfalls nachvollziehbar und objektiv begründet sein. Nach der Rechtsprechung reicht ein rein hypothetisches Risiko nicht aus. Relevant ist daher, ob konkrete Anhaltspunkte für tatsächliche Folgen oder Datenmissbrauch vorliegen.

Wer trägt die Beweislast bei einer Forderung nach Art. 82 DSGVO?

Grundsätzlich muss die betroffene Person darlegen und beweisen, dass ein DSGVO-Verstoß vorliegt, ein Schaden entstanden ist und dieser Schaden durch den Verstoß verursacht wurde. Diese Struktur wurde unter anderem vom Bundesarbeitsgericht im Urteil 8 AZR 61/24 bestätigt.

Sollte man eine DSGVO-Schadensersatzforderung sofort ablehnen?

Eine vorschnelle Ablehnung ist nicht immer sinnvoll. Zuerst sollten Anspruchstyp, Fristen, behaupteter Schaden, Kausalität und vorhandene Belege geprüft werden. In manchen Fällen ist eine klare Zurückweisung richtig; in anderen kann ein kontrollierter Vergleich wirtschaftlich sinnvoller sein als ein langes Verfahren.

Wann ist ein Vergleich bei DSGVO-Schadensersatz sinnvoll?

Ein Vergleich kann sinnvoll sein, wenn ein tatsächlicher Datenschutzvorfall gut dokumentiert ist, die Beweislage für das Unternehmen ungünstig erscheint oder Prozesskosten und Reputationsrisiken außer Verhältnis stehen. Entscheidend ist, dass ein Vergleich nicht vorschnell erfolgt, sondern strategisch und ohne unnötige Anerkenntnisse formuliert wird.

Wie hoch kann DSGVO-Schadensersatz ausfallen?

Es gibt keine festen Pauschalen. Die Höhe hängt von den konkreten Umständen ab, insbesondere von Art und Schwere des Verstoßes, dem tatsächlichen Nachteil, der Kausalität und der gerichtlichen Bewertung. Der EuGH hat klargestellt, dass Art. 82 DSGVO dem Ausgleich dient und keinen Strafschadensersatz begründet.

Was sollten Unternehmen nach Erhalt einer DSGVO-Forderung zuerst tun?

Unternehmen sollten Fristen sichern, das Schreiben nicht vorschnell beantworten, interne Unterlagen sammeln und den behaupteten Anspruch getrennt nach Verstoß, Schaden und Kausalität prüfen. Wichtig sind außerdem Abstimmung mit Datenschutzbeauftragten, IT, HR oder externen Dienstleistern, wenn diese in den Vorgang eingebunden sind.

Wenn bereits ein Forderungsschreiben vorliegt, entscheidet die erste rechtliche Einordnung oft darüber, ob sich eine Forderung abwehren, begrenzen oder sinnvoll vergleichen lässt.

DSGVO-Forderung einschätzen lassen

Besonders sinnvoll bei laufender Frist, hoher Forderungssumme oder unklarer Dokumentation des Datenschutzvorfalls.

Teilen Sie diesen Artikel

Sarah Op den Camp

Sarah Op den Camp ist Fachanwältin für Handels- und Gesellschaftsrecht sowie für Urheber- und Medienrecht. Mit über zehn Jahren Berufserfahrung berät sie Unternehmer, Start-ups und Freelancer in den Bereichen Gesellschaftsrecht, IP, IT, Medienrecht und Venture Capital. Ihre juristische Expertise erstreckt sich von der Gründungsberatung über komplexe Vertragsgestaltungen bis hin zu Abmahnungen und Prozessführung. Dank ihrer Erfahrung als Inhouse-Juristin kennt sie die spezifischen Bedürfnisse von B2B-Mandanten und entwickelt maßgeschneiderte Lösungen, die Ihre unternehmerischen Ziele unterstützen.

Vereinbaren Sie jetzt Ihr Erstgespräch

Erfahren Sie, wie wir Ihnen helfen können und erhalten Sie wertvolle rechtliche Beratung.

Erstgespräch vereinbaren

Sarah Op den Camp von ODC Legal im Beratungsgespräch