Datenleck-Schadensersatz: Geld nach Datendiebstahl beim Anbieter (Art. 82 DSGVO)

Ein Datenleck legt Namen, Anschriften, Telefonnummern oder Kontodaten gegenüber Unbekannten offen – und genau dieser Kontrollverlust ist nach der höchstrichterlichen Rechtsprechung bereits ein ersatzfähiger Schaden.

Wenn ein Online-Dienst, eine Bank oder ein Shop gehackt wird und Ihre Daten abfließen, fühlen sich viele Betroffene ohnmächtig. Sie haben selbst nichts falsch gemacht – und trotzdem zirkulieren Ihre Informationen plötzlich in dunklen Foren. Das deutsche und europäische Recht gibt Ihnen hier ein wirksames Instrument an die Hand.

Der Datenleck Schadensersatz DSGVO stützt sich auf Art. 82 der Datenschutz-Grundverordnung. Anders als beim klassischen Schadensersatz müssen Sie keinen Vermögensschaden in Euro und Cent beziffern. Der Kontrollverlust über Ihre Daten genügt – so hat es der Bundesgerichtshof in einer Leitentscheidung klargestellt.

Dieser Beitrag erklärt, wann ein Anspruch besteht, wie hoch der Schadensersatz ausfällt, gegen wen Sie vorgehen und welche Rolle der Auskunftsanspruch spielt. Er ist ein Fach- und Datenschutzbeitrag in Zusammenarbeit mit der Kanzlei Dr. Araujo Kurth und ersetzt keine individuelle Prüfung Ihres Einzelfalls.

Was Datenleck-Schadensersatz nach Art. 82 DSGVO bedeutet

Ein Datenleck – auch Data Breach genannt – liegt vor, wenn personenbezogene Daten unbeabsichtigt offengelegt, gestohlen oder vernichtet werden. Typische Auslöser sind Hackerangriffe, fehlkonfigurierte Server oder das massenhafte Auslesen öffentlicher Profile, das sogenannte Scraping.

Der Datenleck Schadensersatz DSGVO meint den Anspruch der betroffenen Person gegen den Verantwortlichen, der für die Datenverarbeitung zuständig war. Rechtsgrundlage ist Art. 82 DSGVO, der bei einem Verstoß gegen die Datenschutz-Grundverordnung sowohl materiellen als auch immateriellen Schadensersatz vorsieht.

Der Begriff immaterieller Schaden beschreibt einen Nachteil, der sich nicht unmittelbar in Geld ausdrücken lässt – etwa Sorge, Unbehagen oder eben der Verlust der Kontrolle über die eigenen Informationen. Genau hier setzt die aktuelle Rechtsprechung an und erleichtert Betroffenen die Durchsetzung erheblich.

Wie ähnliche Schadensszenarien rechtlich einzuordnen sind, zeigt unser Überblick zum Diebstahl von Bankdaten und Identitätsdiebstahl, der häufig die direkte Folge eines Datenlecks ist.

BGH VI ZR 10/24: Kontrollverlust als ersatzfähiger Schaden

Die zentrale Weichenstellung traf der Bundesgerichtshof mit Urteil vom 18. November 2024 (Az. VI ZR 10/24). Hintergrund war ein groß angelegtes Scraping bei einem sozialen Netzwerk, bei dem Telefonnummern und Profildaten von Millionen Nutzern abgegriffen wurden.

Der BGH stellte klar: Bereits der bloße Kontrollverlust über personenbezogene Daten infolge eines Datenschutzverstoßes ist ein ersatzfähiger immaterieller Schaden nach Art. 82 Abs. 1 DSGVO. Ein konkreter Missbrauch der Daten – etwa eine tatsächliche Betrugstat – muss dafür nicht nachgewiesen werden. Diese Linie entlastet Betroffene spürbar, denn der Nachweis eines konkreten Schadens war früher die größte Hürde.

Als Richtwert für den reinen Kontrollverlust nannte der BGH eine Größenordnung von etwa 100 Euro. Können Sie darüber hinaus nachvollziehbare Ängste oder konkrete Sorgen darlegen – etwa weil Sie nach dem Leck gezielt mit Phishing-Nachrichten angegriffen wurden –, fällt der Betrag höher aus.

Damit fügt sich die deutsche Rechtsprechung in die Linie des Europäischen Gerichtshofs ein, der einen Ausschluss von Bagatellschäden ablehnt. Wer von einem Leck betroffen ist, sollte daher prüfen, ob sich der Vorfall in einen konkreten Anspruch übersetzen lässt – etwa parallel zu Konstellationen, die wir im Beitrag zu Datendiebstahl bei Neobanken-Kunden beleuchten.

Wann ein Anspruch auf Datenleck Schadensersatz DSGVO besteht

Ein Anspruch nach Art. 82 DSGVO setzt drei Bausteine voraus, die kumulativ vorliegen müssen. Fehlt einer, scheitert die Forderung – deshalb lohnt eine genaue Prüfung jedes einzelnen Punktes.

• Verstoß gegen die DSGVO: Der Anbieter hat gegen eine Pflicht der Verordnung verstoßen, etwa gegen die Pflicht zu angemessenen technischen und organisatorischen Schutzmaßnahmen nach Art. 32 DSGVO.
• Verantwortlicher: Anspruchsgegner ist die Stelle, die über Zweck und Mittel der Datenverarbeitung entscheidet – also der Anbieter selbst, nicht der einzelne Hacker.
• Schaden und Kausalität: Ihnen ist ein Schaden entstanden, der gerade aus dem Verstoß folgt. Der Kontrollverlust über Ihre Daten reicht hierfür nach der Rechtsprechung bereits aus.

Eine Besonderheit betrifft die Beweislast. Den Verstoß und den Kontrollverlust müssen Sie darlegen. Dass der Verantwortliche ausreichende Schutzmaßnahmen getroffen hat und ihn kein Verschulden trifft, muss hingegen er beweisen – eine deutliche Erleichterung für Geschädigte. Bei Datenlecks, die zu Kontoübernahmen führen, greifen die Mechanismen ineinander, wie unser Beitrag zu Identitätsdiebstahl beim Bankkonto zeigt.

Wichtig ist die Abgrenzung von Verantwortlichkeiten. Wird Ihr Wallet oder Ihr Zugang infolge eines Lecks kompromittiert, können neben dem datenschutzrechtlichen Anspruch weitere Ansprüche bestehen, die wir im Beitrag zum gehackten Krypto-Wallet erläutern.

Höhe und Bemessung des Schadensersatzes

Die Höhe des immateriellen Schadensersatzes bemisst sich nach den Umständen des Einzelfalls. Eine starre Tabelle gibt es nicht – Gerichte gewichten Art und Sensibilität der Daten, Dauer des Kontrollverlusts und die konkreten Folgen für die betroffene Person.

• Reiner Kontrollverlust: Für den bloßen Verlust der Datenhoheit ohne weitere Folgen liegt der Richtwert bei etwa 100 Euro pro betroffener Person.
• Sensible Daten: Sind Gesundheits-, Finanz- oder Ausweisdaten betroffen, fällt der Betrag regelmäßig höher aus, weil das Missbrauchspotenzial größer ist.
• Nachgewiesene Belastung: Konkrete Ängste, schlaflose Nächte oder ein erhöhter Aufwand zur Absicherung können den Schadensersatz weiter erhöhen.
• Folgeschäden: Kommt es nach dem Leck zu tatsächlichem Missbrauch, etwa zu betrügerischen Abbuchungen, tritt ein materieller Schaden hinzu, der gesondert zu ersetzen ist.

Auf den ersten Blick wirken 100 Euro gering. Bei einem Datenleck sind jedoch oft Tausende oder Millionen Personen betroffen – und jede einzelne kann ihren Anspruch geltend machen. Für den Verantwortlichen summiert sich das zu einem erheblichen Risiko, was die Verhandlungsposition der Geschädigten stärkt.

Wer durch ein Leck zugleich Opfer einer betrügerischen Plattform wurde, sollte die Ansprüche bündeln. Wie sich datenschutzrechtliche und betrugsrechtliche Wege verzahnen lassen, ordnet unser Beitrag zum Schadensersatz vom Broker bei Hebelprodukten ein.

Durchsetzung und der Auskunftsanspruch nach Art. 15 DSGVO

Bevor Sie eine Forderung beziffern, brauchen Sie Klarheit darüber, welche Daten betroffen sind. Hier hilft der Auskunftsanspruch nach Art. 15 DSGVO: Sie können vom Anbieter verlangen, dass er Ihnen mitteilt, welche personenbezogenen Daten er über Sie verarbeitet und ob diese von dem Leck erfasst waren.

Der Weg zur Durchsetzung des Datenleck Schadensersatz DSGVO verläuft typischerweise in mehreren Schritten. Die Reihenfolge sichert Beweise und erhöht den Druck auf den Verantwortlichen, ohne vorschnell zu prozessieren.

• Auskunft einholen: Fordern Sie schriftlich Auskunft nach Art. 15 DSGVO und lassen Sie sich bestätigen, ob und welche Daten betroffen sind.
• Schaden dokumentieren: Halten Sie fest, wann Sie vom Leck erfahren haben, welche verdächtigen Nachrichten Sie erhalten und welchen Aufwand Sie zur Absicherung betrieben haben.
• Anspruch beziffern: Setzen Sie dem Verantwortlichen eine Frist zur Zahlung des immateriellen Schadensersatzes und kündigen Sie gerichtliche Schritte an.
• Aufsichtsbehörde einbinden: Eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde kann den Druck erhöhen und den Verstoß amtlich dokumentieren.

Beachten Sie die Verjährung. Ansprüche aus Art. 82 DSGVO unterliegen der regelmäßigen Verjährungsfrist von drei Jahren, die nach § 199 BGB mit dem Ende des Jahres beginnt, in dem Sie vom Datenleck und vom Verantwortlichen Kenntnis erlangt haben. Wer zu lange wartet, riskiert den Verlust seines Anspruchs.

Lässt sich der Hintergrund eines Lecks nur über Spuren im Netz rekonstruieren, kann eine technische Nachverfolgung sinnvoll sein. Wie eine solche Spurensuche bei digitalen Vermögenswerten funktioniert, beschreibt unser Beitrag zum Crypto-Tracing.

Datenleck und Folgebetrug: typische Kettenreaktionen

Ein Datenleck bleibt selten folgenlos. Kriminelle nutzen die erbeuteten Informationen für zielgerichtete Angriffe, weil sie nun Namen, Kontaktdaten und teils Kontoinformationen kennen. Das macht ihre Täuschungen glaubwürdiger und gefährlicher.

• Spear-Phishing: Mit echten Namen und korrekten Anbieterbezügen versendete Nachrichten wirken authentisch und verleiten zur Preisgabe von Zugangsdaten.
• Identitätsmissbrauch: Mit Ihren Daten eröffnen Täter Konten oder schließen Verträge in Ihrem Namen ab.
• Kontoübernahme: Geleakte Zugangsdaten ermöglichen den unmittelbaren Zugriff auf Ihre Online-Konten.

Diese Folgetaten begründen eigene Ansprüche und können strafrechtlich relevant sein – etwa als Betrug nach § 263 StGB oder als Computerbetrug nach § 263a StGB. Daneben kommen zivilrechtliche Schadensersatzansprüche aus § 823 BGB in Betracht, wenn Dritte vorsätzlich oder fahrlässig Ihre Rechtsgüter verletzen.

Wer über sein Konto angegriffen wird, sollte parallel die Sofortmaßnahmen ergreifen, die wir im Beitrag zum Account-Takeover im Banking beschreiben. So lassen sich Schäden begrenzen, während der datenschutzrechtliche Anspruch gegen den Anbieter vorbereitet wird.

Wann Sie einen Anwalt einschalten sollten

Nicht jeder kleine Vorfall rechtfertigt sofort ein Mandat. Sobald jedoch sensible Daten betroffen sind, der Anbieter mauert oder bereits Folgeschäden eingetreten sind, ist anwaltliche Unterstützung sinnvoll. Eine qualifizierte Prüfung klärt, ob und in welcher Höhe Ihr Anspruch durchsetzbar ist.

Anwaltliche Hilfe ist besonders dann angezeigt, wenn der Verantwortliche die Auskunft verweigert, eine Zahlung pauschal ablehnt oder wenn Sie sich einer Sammelaktion anschließen möchten. Auch die korrekte Wahrung der dreijährigen Verjährungsfrist gehört in fachkundige Hände, damit Ihr Anspruch nicht verfällt.

Wie sich aus einem einzelnen Datenschutzverstoß ein durchsetzbarer Anspruch formen lässt, zeigt auch unsere Einordnung zum Schadensersatz bei Falschberatung durch die Bank, in der die Beweislastverteilung eine vergleichbare Rolle spielt. Wenn Ihr Geld bereits über eine fragwürdige Plattform abgeflossen ist, hilft der Überblick zum Vorgehen gegen Finanzbetrug bei der Bündelung der Ansprüche.

Fazit: Kontrollverlust ist bares Recht wert

Ein Datenleck ist kein reines Ärgernis, sondern ein Rechtsverstoß mit Folgen für den Verantwortlichen. Der Datenleck Schadensersatz DSGVO gibt Ihnen ein wirksames Instrument an die Hand, um schon den bloßen Kontrollverlust über Ihre Daten finanziell auszugleichen.

Dank der Leitentscheidung des Bundesgerichtshofs müssen Sie keinen konkreten Missbrauch nachweisen. Sichern Sie Beweise, holen Sie Auskunft nach Art. 15 DSGVO ein und wahren Sie die Verjährungsfrist. Wer strukturiert vorgeht, verbessert seine Chancen auf eine angemessene Entschädigung deutlich – und setzt zugleich ein Zeichen für sorgfältigen Datenschutz.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu Datenleck Schadensersatz DSGVO