Immaterieller Schadensersatz nach Art. 82 DSGVO: EuGH und BGH seit 2023
Art. 82 DSGVO gibt Betroffenen einen Anspruch auf Schadensersatz — auch immateriell. Doch weder Verstoß allein noch allgemeines Unbehagen genügen. Was der EuGH in C-300/21 und C-340/21 festgelegt hat, und was der BGH in VI ZR 10/24 daraus gemacht hat — hier mit Primärquellen belegt.
„Ich klage einfach mal auf DSGVO-Schadensersatz" — ein verbreiteter Irrtum
In Rechtsanwaltsforen, Kommentarspalten und Fach-Communitys kursiert seit dem Facebook-Datenleck 2021 (533 Millionen betroffene Nutzerinnen und Nutzer) die Vorstellung, ein DSGVO-Verstoß genüge für automatischen Schadensersatz. Kanzlei-Blogs sprachen von 200 bis 1.000 Euro pro Fall, ohne die Anforderungen des Art. 82 DSGVO genau zu benennen. Typische Formulierungen wie „Ich habe mich nach dem Datenleck unwohl und überwacht gefühlt" scheitern in der Praxis regelmäßig — denn Datenschutzbeauftragte müssen verstehen, was den Anspruch aus Art. 82 DSGVO tatsächlich begründet.
Prüfungskandidaten fragen häufig: „Reicht es, wenn meine Daten veröffentlicht wurden?" oder „Muss ich einen konkreten Schaden beweisen?" Wer Art. 82 DSGVO kennt, kann auf beide Fragen präzise antworten — denn der EuGH hat die Voraussetzungen in einer Serie von Leitentscheidungen ab 2023 deutlich konturiert.
Der Anspruch nach Art. 82 Abs. 1 DSGVO
Art. 82 Abs. 1 DSGVO (Wortlaut): „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter."
Der Anspruch richtet sich nach dem Prinzip der Vollkompensation: Er soll den eingetretenen Schaden vollständig ausgleichen, hat aber — anders als Art. 83 DSGVO — keinen Strafcharakter. Schadensersatz nach Art. 82 DSGVO ist ein privatrechtlicher Ausgleichsanspruch zwischen Betroffener und Verantwortlichem; die Bußgelder nach Art. 83 DSGVO hingegen verhängt die Aufsichtsbehörde als öffentlich-rechtliche Sanktion. Beide Rechtsinstrumente können nebeneinander bestehen.
Die drei kumulativen Voraussetzungen (EuGH C-300/21)
Im Grundsatzurteil vom 4. Mai 2023 (C-300/21, UI gegen Österreichische Post AG) hat der EuGH klargestellt, dass Art. 82 Abs. 1 DSGVO drei kumulativ erfüllte Voraussetzungen verlangt:
Zugleich untersagte der EuGH nationale Regelungen, die den Ersatz immateriellen Schadens von einem bestimmten Grad an Erheblichkeit abhängig machen. Eine Erheblichkeitsschwelle — also eine Mindest-„Schwere" des Schadens — ist mit Art. 82 DSGVO nicht vereinbar. Die Höhe des Schadensersatzes richtet sich dagegen nach nationalem Recht, solange die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität gewahrt bleiben.
Was als immaterieller Schaden gilt — und was nicht
Befürchtung des Datenmissbrauchs (EuGH C-340/21)
Im Urteil vom 14. Dezember 2023 (C-340/21) konkretisierte der EuGH: Bereits die Befürchtung, dass personenbezogene Daten durch Dritte missbraucht werden könnten, „kann einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen" — eine vorherige tatsächliche missbräuchliche Verwendung ist dafür nicht erforderlich. Das Urteil betraf einen Cyberangriff auf eine bulgarische Steuerbehörde, nach dem Millionen Datensätze im Netz auftauchten.
Allerdings stellt der EuGH klar: Die Befürchtung muss begründet sein. Das angerufene Gericht hat zu prüfen, ob sie „unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann" — ein Maßstab, der sowohl den konkreten Sachverhalt als auch die individuelle Situation der betroffenen Person berücksichtigt. Ein rein hypothetisches Risiko reicht nicht aus.
Bloßer Kontrollverlust (BGH VI ZR 10/24)
Der Bundesgerichtshof hat diese Linie im Urteil vom 18. November 2024 (VI ZR 10/24) auf das deutsche Recht übertragen und festgestellt, dass „auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden" im Sinne von Art. 82 Abs. 1 DSGVO begründet — ohne Nachweis konkreten Missbrauchs oder zusätzlicher negativer Folgen. Der Kontrollverlust stellt dabei den tatsächlichen Schaden dar (nicht bloß den Verstoß) und erfüllt damit die zweite kumulative Voraussetzung des EuGH (C-300/21). Der BGH nannte für den bloßen Kontrollverlust im konkreten Facebook-Scraping-Sachverhalt eine Orientierungsgröße „in einer Größenordnung von 100 €". Die Höhe des Schadensersatzes bestimmt sich stets nach den Umständen des Einzelfalls; dieser Betrag ist kein fixer Mindest- oder Standardwert für jeden Kontrollverlust.
Kein Schaden ist dagegen die bloße Behauptung eines diffusen Unbehagens oder eine pauschale Standardformulierung ohne individuelle Darlegung, wie der Verstoß die betroffene Person persönlich beeinträchtigt hat. Für die Prüfungssituation — und für die Praxis des Datenschutzbeauftragten — gilt: Ein substantiierter Tatsachenvortrag zur konkreten Auswirkung bleibt notwendig. Damit baut Art. 82 DSGVO aufbauend auf den Betroffenenrechten eine eigenständige Haftungsebene auf, die gerade nach Datenpannen (Art. 33 und 34 DSGVO) relevant wird.
Befreiung von der Haftung — Art. 82 Abs. 3 DSGVO
Der Verantwortliche oder Auftragsverarbeiter kann sich von der Haftung befreien: Nach Art. 82 Abs. 3 DSGVO entfällt die Haftung, wenn er nachweist, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist". Die Beweislast liegt beim Verantwortlichen — ein weiteres Ergebnis aus EuGH C-340/21, wo der Gerichtshof klarstellte, dass der Verantwortliche auch für die Angemessenheit seiner Sicherheitsmaßnahmen den Beweis zu führen hat. Wie diese technischen und organisatorischen Maßnahmen auszusehen haben, regelt Art. 32 DSGVO.
Haftung bei mehreren Beteiligten (Art. 82 Abs. 4 und 5)
Sind an einer Verarbeitung mehrere Verantwortliche oder Verantwortliche und Auftragsverarbeiter beteiligt, haften sie nach Art. 82 Abs. 4 DSGVO gesamtschuldnerisch für den gesamten entstandenen Schaden. Wer den Schaden vollständig ersetzt hat, kann von den übrigen Beteiligten gemäß Art. 82 Abs. 5 DSGVO Rückgriff nehmen, soweit sie für den Schaden verantwortlich sind. Für die Aufgaben und Pflichten des Auftragsverarbeiters im Rahmen des AVV ist dieser Haftungsrahmen prüfungsrelevant.
Häufige Fragen
Unterschied Art. 82 und Art. 83 DSGVO — was ist der genaue Prüfungspunkt?
Art. 82 DSGVO regelt den zivilrechtlichen Schadensersatz: Die betroffene Person macht ihren eigenen Schaden gegenüber dem Verantwortlichen oder Auftragsverarbeiter geltend. Art. 83 DSGVO hingegen regelt die behördlichen Bußgelder: Die Aufsichtsbehörde verhängt eine Sanktion gegen den Verantwortlichen im öffentlichen Interesse. Die Höhe des Bußgelds richtet sich nicht nach dem Schaden der betroffenen Person. Beide Instrumente können nebeneinander bestehen.
Haftet der Verantwortliche auch, wenn ein Hacker die Daten gestohlen hat?
Grundsätzlich ja, wenn der Verantwortliche seine Sicherheitspflichten aus Art. 32 DSGVO verletzt hat. Der EuGH hat in C-340/21 ausdrücklich entschieden, dass der Verantwortliche auch bei einem Angriff Dritter dann haftet, wenn er keine geeigneten Sicherheitsvorkehrungen getroffen hat. Er trägt die Beweislast dafür, dass die getroffenen Maßnahmen angemessen waren. Eine vollständige Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO setzt voraus, dass er „in keinerlei Hinsicht" verantwortlich ist — eine sehr hohe Hürde.
Ist ein „Ich habe mich unwohl gefühlt" ausreichend?
Nein. Allgemeine Bekundungen eines diffusen Unbehagens ohne konkreten individuellen Bezug zum Verstoß genügen nicht. Der Betroffene muss darlegen, inwiefern der spezifische Verstoß bei ihm persönlich einen nachvollziehbaren immateriellen Schaden verursacht hat — entweder eine unter den konkreten Umständen und bezogen auf die eigene Person begründete Befürchtung des Datenmissbrauchs (EuGH C-340/21) oder einen konkreten Kontrollverlust (BGH VI ZR 10/24). Bloße Standardformulierungen ohne individuellen Bezug scheitern in der Praxis regelmäßig.
Art. 82 DSGVO sicher beherrschen
Übe Schadensersatz nach Art. 82 DSGVO und alle weiteren Prüfungsthemen mit Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).
Kostenlos registrierenRechtsgrundlagen & Quellen
- Art. 82 DSGVO — Haftung und Recht auf Schadensersatz (dsgvo-gesetz.de)
- EuGH, Urteil vom 4. Mai 2023, C-300/21 — UI gegen Österreichische Post AG (EUR-Lex)
- EuGH, Urteil vom 14. Dezember 2023, C-340/21 — VB gegen Natsionalna agentsia za prihodite (EUR-Lex)
- BGH, Urteil vom 18. November 2024, VI ZR 10/24 — Facebook-Scraping, Pressemitteilung Nr. 218/2024
- Verordnung (EU) 2016/679 (DSGVO) — Volltext auf EUR-Lex
Stand: 07/2026 · Alle Angaben nach dem Wortlaut der Datenschutz-Grundverordnung (DSGVO) und den zitierten Urteilen. Keine Rechtsberatung.