Datenschutz-Beratung DSGVO Externer DSB
Ratgeber

DSGVO-Schadensersatz nach Art. 82: Was Unternehmen wissen müssen.

Art. 82 DSGVO gibt betroffenen Personen einen direkten Anspruch auf Schadensersatz. Wie die Haftung funktioniert, wie der Entlastungsbeweis gelingt und was die EuGH-Rechtsprechung für die Praxis bedeutet.

Zuletzt aktualisiert: Mai 2026

Hintergrund

Eine Klagewelle, die Datenschutz zur Haftungsfrage macht.

Art. 82 DSGVO gibt jeder betroffenen Person, der durch einen Datenschutzverstoß ein Schaden entstanden ist, einen unmittelbaren Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Dieser Anspruch umfasst sowohl materielle als auch immaterielle Schäden. Die Norm hat die Datenschutz-Compliance von einer bußgeldrechtlichen zu einer zivilrechtlichen Haftungsfrage erweitert.

Die praktische Bedeutung hat in den vergangenen Jahren erheblich zugenommen. Datenpannen, fehlerhafte Datenweitergaben oder unzureichende technische Schutzmaßnahmen führen zunehmend zu Sammelklagen, die über Verbraucherverbände oder spezialisierte Kanzleien koordiniert werden. Besonders betroffen sind Unternehmen mit großen Kundendatenbeständen im B2C-Bereich.

Der EuGH hat 2023 in mehreren Grundsatzurteilen die Voraussetzungen des Art. 82 DSGVO konkretisiert. Die wichtigste Aussage: Ein bloßer Datenschutzverstoß begründet keinen Anspruch. Betroffene müssen einen tatsächlichen Schaden nachweisen. Für Unternehmen bedeutet das, dass die präventive Dokumentation und die Qualität der technischen und organisatorischen Maßnahmen im Ernstfall entscheidend sind.

Praxishinweis

Der Entlastungsbeweis nach Art. 82 Abs. 3 DSGVO trägt im Ernstfall nur, wenn die technischen und organisatorischen Maßnahmen lückenlos dokumentiert sind. Eine nachträgliche Dokumentation überzeugt Gerichte in der Regel nicht. Wer heute nicht dokumentiert, haftet morgen ohne Verteidigung.

Kernaspekte

Sechs Dimensionen der Schadensersatzhaftung.

Materielle Schäden

Materielle Schäden sind konkret bezifferbare Vermögenseinbußen, die kausal auf einen Datenschutzverstoß zurückgehen. Sie sind vergleichsweise einfach nachzuweisen, kommen aber in der Praxis seltener vor als immaterielle Ansprüche.

  • Kosten für Kreditüberwachung nach Identitätsdiebstahl
  • Vermögensschäden durch missbräuchliche Kontonutzung
  • Kosten für Schutzsperrungen oder Ausweisersatz
  • Verdienstausfall infolge rufschädigender Datenweitergabe

Immaterielle Schäden

Immaterielle Schäden sind nicht vermögensrechtliche Beeinträchtigungen: Kontrollverlust über eigene Daten, psychische Belastung, Angst vor Missbrauch oder Reputationsschäden. Der EuGH hat 2023 klargestellt, dass kein Mindestschaden erforderlich ist, aber ein tatsächlicher Schaden nachgewiesen werden muss.

  • Kontrollverlust über personenbezogene Daten
  • Nachgewiesene Angst vor künftigem Datenmissbrauch
  • Psychische Belastung mit konkreten Auswirkungen
  • Bloße Unannehmlichkeit ohne Folgen reicht nicht aus

Haftung Verantwortlicher

Der Verantwortliche haftet nach Art. 82 Abs. 2 DSGVO für jeden Schaden, der durch eine DSGVO-widrige Verarbeitung entsteht. Die Haftung ist verschuldensabhängig: Der Verantwortliche kann sich durch den Entlastungsbeweis befreien.

  • Haftung für alle eigenen DSGVO-Verstöße
  • Auch Haftung für Verstöße des Auftragsverarbeiters möglich
  • Gesamtschuldnerische Haftung bei mehreren Beteiligten
  • Interner Regress gegen Auftragsverarbeiter möglich

Haftung Auftragsverarbeiter

Auftragsverarbeiter haften nach Art. 82 Abs. 2 DSGVO, wenn sie gegen spezifisch für sie geltende DSGVO-Pflichten verstoßen oder außerhalb rechtmäßiger Weisungen gehandelt haben. Die Haftung ist damit enger als beim Verantwortlichen.

  • Haftung bei Verstoß gegen Art. 28, 29, 32 DSGVO
  • Haftung bei weisungswidrigem Handeln
  • Kein Haftungsausschluss durch AVV allein
  • Regressanspruch gegen Verantwortlichen möglich

Entlastungsbeweis

Art. 82 Abs. 3 DSGVO erlaubt die vollständige Haftungsbefreiung, wenn der Verantwortliche oder Auftragsverarbeiter nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Die Beweislast liegt beim Unternehmen.

  • Nachweis geeigneter TOM nach Art. 32 DSGVO erforderlich
  • Dokumentation muss lückenlos und zeitnah erfolgt sein
  • Alleinverschulden der betroffenen Person befreit vollständig
  • Mitverschulden führt zu anteiliger Haftungsminderung

EuGH-Rechtsprechung 2023

Der EuGH hat 2023 in drei Grundsatzurteilen die Haftungsvoraussetzungen konkretisiert. Die Urteile prägen seitdem die deutsche und europäische Rechtsprechung zu Art. 82 DSGVO.

  • C-300/21: Kein Anspruch ohne nachgewiesenen Schaden
  • C-300/21: Kein Bagatellprinzip, keine Mindesterheblichkeit
  • C-687/21: Datenverlust allein kein automatischer Schaden
  • C-741/21: Nachgewiesene Missbrauchsangst als immaterieller Schaden anerkannt
Vorgehen

Haftungsrisiken nach Art. 82 DSGVO aktiv begrenzen.

01

TOM-Dokumentation und Nachweis

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO vollständig und zeitnah dokumentieren. Nur eine lückenlose Dokumentation ermöglicht den Entlastungsbeweis im Haftungsfall.

02

Risikoanalyse und DSFA

Verarbeitungstätigkeiten mit hohem Risiko identifizieren und Datenschutz-Folgenabschätzungen durchführen. Hochrisiko-Verarbeitungen sind besonders schadensanfällig und erfordern verstärkte Schutzmaßnahmen.

03

Reaktion auf Schadensansprüche

Eingehende Schadensersatzansprüche systematisch prüfen: Liegt ein DSGVO-Verstoß vor? Ist ein kausaler Schaden nachgewiesen? Entlastungsbeweis prüfen und ggf. vorbereiten. Frühzeitige Einbindung rechtlicher Beratung.

04

Versicherung und Regress

Cyber-Versicherung auf Deckung von Art.-82-Ansprüchen prüfen. Regress gegen Auftragsverarbeiter prüfen, wenn der Schaden in deren Sphäre entstanden ist. AVV-Regelungen zu Haftung und Regress vorab vertraglich absichern.

FAQ

Häufige Fragen zu Art. 82 DSGVO.

Verwandte Themen

Ein Anspruch setzt drei Voraussetzungen voraus: einen Verstoß gegen die DSGVO, einen kausal daraus entstandenen Schaden sowie ein Verschulden des Verantwortlichen oder Auftragsverarbeiters. Der EuGH hat mit Urteil vom 4. Mai 2023 (C-300/21) klargestellt, dass ein bloßer Datenschutzverstoß ohne nachgewiesenen Schaden keinen Anspruch begründet. Die betroffene Person muss einen tatsächlichen Schaden darlegen und beweisen.

Die Höhe variiert erheblich. Für immaterielle Schäden sprechen deutsche Gerichte häufig Beträge zwischen 100 und 5.000 Euro zu. Bei schwerwiegenden Verstößen mit konkreten Folgen wie Identitätsdiebstahl oder erheblichem Reputationsschaden können die Beträge deutlich höher ausfallen. Entscheidend ist stets die Schwere des nachgewiesenen individuellen Schadens.

Ja. Art. 82 Abs. 3 DSGVO sieht einen Entlastungsbeweis vor. Das Unternehmen ist von der Haftung befreit, wenn es nachweist, dass es in keiner Weise für das schadensverursachende Ereignis verantwortlich ist. Das setzt voraus, dass alle nach dem Stand der Technik geeigneten technischen und organisatorischen Maßnahmen getroffen und vollständig dokumentiert wurden.

Das Urteil vom 4. Mai 2023 hat klargestellt: Es gibt keine Mindesterheblichkeitsschwelle für Schäden, also kein Bagatellprinzip. Ein bloßer Datenschutzverstoß begründet aber keinen Anspruch, wenn kein tatsächlicher Schaden nachgewiesen wird. Für Unternehmen bleibt die Klagegefahr bei Datenpannen hoch, auch wenn Massenklagen bei geringen Schäden schwerer durchzusetzen sind.

Ja. Art. 82 Abs. 2 DSGVO erstreckt die Haftung auf Auftragsverarbeiter, wenn diese gegen DSGVO-Pflichten verstoßen oder außerhalb rechtmäßiger Weisungen gehandelt haben. Verantwortlicher und Auftragsverarbeiter haften gesamtschuldnerisch, wenn beide den Schaden mitverursacht haben. Der Auftragsverarbeiter kann beim Verantwortlichen Regress nehmen, wenn dieser die Hauptverantwortung trägt.

Wie gelassen blicken Sie der nächsten Datenpanne entgegen?

Lassen Sie uns besprechen, wie Sie Ihr Haftungsrisiko nach Art. 82 DSGVO wirksam begrenzen.

Kostenloses Erstgespräch buchen