Entsteht einer Person aufgrund einer rechtswidrigen Datenverarbeitung ein Schaden und hat diesen das Unternehmen zu verantworten, muss das Unternehmen den Schaden ersetzen.
Die Person, die einen Schaden geltend macht, muss nach der Rechtsprechung des Europäischen Gerichtshofes (EuGH) nicht nachweisen können, dass das Unternehmen den Schaden auch wirklich verursacht hat. Sie muss aber in der Lage sein, den Schaden konkret darzulegen und auch die Rechtswidrigkeit der Handlung erläutern können. Das Unternehmen kann sich umgekehrt entlasten, indem es nachweist, dass es den Schaden nicht zu verantworten hat.
Ersatzpflichtig sind sowohl materielle als auch immaterielle Schäden – also neben Schäden wie dem Verlust einer Geldsumme aufgrund eines Hackerangriffs z.B. auch eine Rufschädigung.
Im Vergleich zu Bußgeldern, die von einer Behörde verhängt werden können, sind die bisher von Gerichten bewilligten Schadensersatzsummen relativ niedrig (bisher höchster Betrag in Deutschland: 10.000 Euro, Stand 23.06.2025). Gleichwohl können sich die Schäden einzelner von derselben Verarbeitung betroffener Personen zu einer hohen Gesamtsumme aufaddieren. Betroffene Personen können Verbraucherschutz- oder andere gemeinnützige Organisationen mit der Geltendmachung von Schadensersatz beauftragen.
Prüfung, ob die von der Person behauptete Rechtswidrigkeit der Datenverarbeitung vorliegt.
Prüfung, ob die den Schaden geltend machende Person überhaupt von der Verarbeitung betroffen ist.
Prüfung, ob das Unternehmen den behaupteten Schaden zu verantworten hat.
Prüfung, ob der behauptete Schaden bei der Person wirklich vorliegt.
Je nach Beurteilungsergebnis: Verweis der Person auf den Rechtsweg, Angebot eines Vergleichs oder Stattgabe der Schadensersatzforderung
>> Finde heraus, welche anderen Datenschutzpflichten im Einzelfall ggf. zu beachten sind.
.png){kind=small}
.png){kind=small}
.png){kind=small}
.png){kind=small}
