Kann ich wegen einer Datenschutzverletzung Schadenersatz verlangen?

  • Wenn Ihnen durch eine Datenschutzverletzung ein Schaden entstanden ist, haben Sie einen Anspruch auf Schadenersatz.
  • Sie müssen den eingetretenen (materiellen oder immateriellen) Schaden allerdings beweisen.
  • Das Ausmaß eines immateriellen Schadenersatzes hängt sehr vom Einzelfall ab und dessen Bemessung liegt vielfach im richterlichen Ermessen. In der Vergangenheit wurden Beträge von ca. EUR 500,- zugesprochen.

Wenn Ihnen aufgrund eines datenschutzrechtlichen Verstoßes ein (materieller oder immaterieller) Schaden entstanden ist, haben Sie nach Art 82 Abs 1 Datenschutz-Grundverordnung (DSGVO) einen Anspruch auf Schadenersatz. Ein materieller Schaden (z. B. finanzielle Verluste aufgrund der Datenschutzverletzung, Kosten für die Neuausstellung von Dokumenten o. Ä.) ist grundsätzlich leicht zu bestimmen. Ein immaterieller Schaden (z. B. Ärger, Gefühlt des Kontrollverlusts usw.) und der angemessene Schadenersatzbetrag zum Ausgleich eines solchen immateriellen Schadens sind viel schwieriger festzustellen.

Bloßer Verstoß gegen die DSGVO reicht nicht

Der bloße Verstoß gegen die DSGVO stellt für sich genommen noch keinen „immateriellen Schaden“ im Sinne der DSGVO dar und begründet keinen entsprechenden Schadenersatzanspruch (vgl. EuGH C‑741/21, Juris, Rn. 40). Zusätzlich zum Verstoß muss eben ein Schaden bei Ihnen eingetreten sein und der datenschutzrechtliche Verstoß muss den Eintritt des Schadens zur Folge gehabt haben (vgl. EuGH C‑300/21, Österreichische Post, Rn. 32, 33, 42 und 50). Der Verantwortliche kann sich dabei nicht auf das Fehlverhalten eines Mitarbeiters herausreden (EuGH C-741/21, Juris, Rn 54).

Schadenersatz hat keine Straffunktion

Der Schadenersatz soll also nur einen Ausgleich für die erlittene Beeinträchtigung schaffen und soll keine Strafe bzw. keinen Strafschadenersatz darstellen (vgl. EuGH C‑300/21, Österreichische Post, Rn. 57 und 58). Bei der Bemessung des Schadens kommt es daher nur auf die Auswirkungen bzw. den bei Ihnen eingetreten Schaden an. Die Schwere des datenschutzrechtlichen Verstoßes (z. B. der Vorsatz des Verantwortlichen) spielt keine Rolle; diese Umstände können allerdings bei der Verhängung einer Strafe nach Art 83 DSGVO relevant sein (vgl. EuGH C-741/21, Juris, Rn. 55).

Schadenersatz auch bei geringfügigen Verletzungen möglich

Nach der DSGVO muss kein erheblicher Schaden eingetreten sein, damit ein immaterieller Schadenersatz gefordert werden kann (keine Erheblichkeitsschwelle). Der entstandene Schaden muss also nicht einen gewissen Schweregrad erreicht haben (EuGH 4.5.2023, Österreichische Post, C‑300/21, Rn. 51). Auch geringfügige (immaterielle) Schäden sind vollumfänglich zu ersetzen. Ein durch eine Datenschutzverletzung eingetretener verursachter Schaden ist seiner Natur nach auch nicht weniger schwerwiegend ist als etwa eine Körperverletzung (EuGH 20.06.2024, C-182/22 & C-189/22, Scalable Rn. 39).

Worin besteht ein immaterieller Schaden?

Aus der Rechtsverletzung resultierende Gefühlsbeeinträchtigungen wie Ängste, Stress oder Leidenszustände (z. B. wegen einer erfolgten oder auch nur drohenden Bloßstellung, einer Diskriminierung oder eines Identitätsdiebstahls) können als immaterielle Schäden auch zu einem Schadenersatzanspruch nach Art 82 DSGVO führen (EuGH C‑340/21 - Natsionalna agentsia za prihodite, Rn 79 bis 86 und EuGH C‑456/22, Gemeinde Ummendorf, Rn 18 bis 23). Die Gefühlsbeeinträchtigungen müssen allerdings begründet und nachvollziehbar sein. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen (EuGH C-687/21, MediaMarktSaturn, Rn 68). Bei einem gezielten Datendiebstahl bzw. Hackerangriff ist eine missbräuchliche Verwendung der gestohlenen Daten hingegen aber typischerweise zu befürchten und eine begründete Sorge daher nachvollziehbar.

Beispiel: Anton schließt im Kaufhaus B einen Ratenkaufvertrag über eine Sofagarnitur ab. Bei der Auslieferung der Sofagarnitur händigt ein Mitarbeiter des Möbelhauses irrtümlich einem Dritten eine  Kopie von Antons Kaufvertrag (inkl. Daten über Antons Einkommen und Bankdaten) aus. Der Irrtum wird rasch aufgeklärt und Anton bekommt die Vertragsunterlagen innerhalb einer halben Stunde wieder zurück. Es kann auch nicht festgestellt werden, dass der Dritte Antons Vertragsunterlagen kopiert oder weitergegeben habe. Auch wenn Anton aufgrund seines ängstlichen Naturells einen Datenmissbrauch befürchtet, wird ein immaterieller Schadenersatz nicht berechtigt sein, weil Antons Furcht nicht begründet ist.

Höhe des immateriellen Schadenersatzes

Bei der Berechnung der Höhe des Schadensersatzes sind die mitgliedstaatlichen Vorschriften anzuwenden, wobei je nach Einzelfall ein Schadensersatz jeglicher Höhe denkbar sei (EuGH 20.06.2024, C-182/22 & C-189/22, Scalable, Rn. 45). Daher ist bei der Bemessung des Schadenersatzes wohl auf die sogenannte „objektive Maßfigur“ abzustellen („Mit welchem Betrag würde eine durchschnittliche Person die erlittene Beeinträchtigung als vollständig und wirksam ausgeglichen sehen?“). Bei der genauen Bemessung der Höhe des Schadenersatzes kommt dem richterlichen Ermessen eine zentrale Bedeutung zu. Ein immaterieller Schadenersatz wird sich in „normalen“ Fällen rund um EUR 500,- bewegen, wobei jedenfalls die Umstände des Einzelfalls entscheidend sind (vgl. 6 Ob 56/21k und 6 Ob 206/23x und 6 Ob 210/23k). Im Fall einer Klage betreffend den Scraping-Vorfall von Facebook-Daten, hat der deutsche Bundesgerichtshof den Ausgleich für den immateriellen Schaden durch den Kontrollverlust mit ca. € 100,- bemessen (BGH 18.11.2024 - VI ZR 10/24).

Klage bei Landesgericht notwendig

Wenn Sie keinen Schadenersatz erhalten und Ihren Schadenersatz auf dem Gerichtsweg durchsetzen müssen, haben Sie die Wahl, ob Sie die Klage bei dem Landesgericht einbringen, wo Sie Ihren gewöhnlichen Aufenthalt oder Sitz haben oder beim gewöhnlichen Aufenthalt oder Sitz/Niederlassung der oder des Beklagten. Eine Klage ist allerdings mit Kosten verbunden und muss durch eine eine Rechtsanwältin bzw. einen Rechtsanwalt eingebracht werden (absolute Anwaltspflicht).

Was bedeutet mein Recht auf Datenschutz?

Was bedeutet Ihr Recht auf Datenschutz? Erfahren Sie mehr über Ihre Rechte und deren Bedeutung. Einfach erklärt von Ombudsstelle.at

Muss ich als Privatperson das Datenschutzrecht beachten?

Müssen Privatpersonen das Datenschutzrecht beachten? Erfahren Sie hier, welche Regeln für den Umgang mit persönlichen Daten gelten. Jetzt informieren!

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine Person ist identifiziert, wenn...

Weitere Fragen und Antworten?

Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?

Alle FAQs Frage stellen

Letzte Änderung: 28.01.2025