Skip to content

Schadensersatz nach Datenleck: Wie viel Entschädigung steht Ihnen zu?

Ein Anspruch auf Schadensersatz nach einem Datenleck kann bestehen, wenn ein Verstoß gegen die DSGVO vorliegt und Sie dadurch einen immateriellen Schaden erleiden, etwa in Form eines Verlusts der Kontrolle über Ihre persönlichen Informationen.

Ob und in welcher Höhe Ihnen Entschädigung zusteht, hängt im Einzelfall davon ab, ob Sie diesen Kontrollverlust und Ihre individuellen Beeinträchtigungen – zum Beispiel unerwünschte Kontaktaufnahmen oder nachvollziehbare Sorgen um einen Missbrauch Ihrer Daten – konkret darlegen und gegebenenfalls beweisen können.

Person am Schreibtisch starrt angespannt auf ein Smartphone mit Phishing-Nachrichten vor einem Laptop voller Spam-Mails.
Betroffene kämpfen nach einem Datenleck oft mit massiver Spam-Flut und Phishing-Versuchen. Symbolfoto: KI

Datenleck-Schadenersatz: Das Wichtigste in Kürze

  • Beim bloßen Kontrollverlust über Ihre Daten liegt der Maßstab meist bei rund 100 Euro.
  • Spam-Mails, Phishing oder die begründete Angst vor Missbrauch können als Schaden zählen, wenn sie konkret nachvollziehbar sind.
  • Betroffen sind Sie, wenn ein Unternehmen gegen die DSGVO verstößt und Ihnen dadurch ein eigener Nachteil entsteht.
  • Sichern Sie Beweise sofort: Screenshots, Nachrichten und Zeitpunkte können über Ihren Anspruch entscheiden.
  • Stellen Sie den Auskunftsantrag und nutzen Sie ihn als Grundlage für Ihren Anspruch.
  • Bei breiteren Datenabflüssen können Gerichte deutlich höhere Beträge zusprechen.

Ab wann haben Sie nach einer Datenpanne einen rechtlichen Anspruch auf Schadenersatz?

Spam-Mails im Postfach, verdächtige SMS auf dem Handy oder die ständige Sorge, dass Kriminelle das eigene Konto angreifen – Datenlecks können den Alltag spürbar belasten. Wenn ein Unternehmen gegen die DSGVO verstößt und Ihnen dadurch ein immaterieller Schaden entsteht, haben Sie nach Art. 82 Abs. 1 DSGVO grundsätzlich einen Anspruch auf Schadenersatz – auch für Beeinträchtigungen wie Stress, Angst oder den Verlust der Kontrolle über Ihre eigenen Daten.

Aber der Weg von diesem Recht zur tatsächlichen Auszahlung ist kürzer, als manche Anwaltswerbung verspricht – und gleichzeitig anspruchsvoller, als viele Betroffene erwarten. Ein bloßer Verstoß des Unternehmens reicht nicht aus. Sie müssen darlegen und gegebenenfalls nachweisen, dass Ihnen ein individueller Nachteil entstanden ist und dass dieser auf die Datenpanne zurückzuführen ist.

Frau zeigt am Gruppentisch ihr Smartphone mit Datenleck-Benachrichtigung, andere Geräte liegen daneben.
Betroffene vergleichen am Gruppentisch ihre Datenleck-Benachrichtigungen – Kontrollverlust als Schadensgrundlage. Symbolfoto: KI

Reiner Kontrollverlust: Wie hoch fällt der Schadenersatz bei einem Datenleck aus?

Drei Voraussetzungen müssen kumulativ erfüllt sein: ein DSGVO-Verstoß des Unternehmens, ein konkreter Schaden auf Ihrer Seite und ein ursächlicher Zusammenhang zwischen beidem.

Eine Mindesthürde, wie schwer der Schaden sein muss, gibt es nicht. Der EuGH hat in seiner Entscheidung vom 4. Mai 2023 (C-300/21) ausdrücklich klargestellt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung entgegensteht, „die den Ersatz eines immateriellen Schadens davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat.“ Auch leichte immaterielle Beeinträchtigungen sind also ersatzfähig.

Ebenso entschied der EuGH am 14. Dezember 2023 (C-340/21), dass bereits die begründete Befürchtung vor einem künftigen Datenmissbrauch für sich allein einen immateriellen Schaden darstellen kann – ohne dass ein Missbrauch bereits stattgefunden haben muss. Voraussetzung ist allerdings, dass diese Befürchtung unter den konkreten Umständen als objektiv nachvollziehbar angesehen werden kann.

Was dieser Schaden wert ist, hat der BGH am 18. November 2024 erstmals höchstrichterlich beziffert. Im ersten deutschen Leitentscheidungsverfahren zum Facebook-Datenleck (VI ZR 10/24) stellte der Senat fest, dass schon der bloße und kurzzeitige Kontrollverlust über personenbezogene Daten ein erstattungsfähiger immaterieller Schaden ist. In Leitsatz 4 heißt es dazu: Der Senat hat „keine Bedenken, den notwendigen Ausgleich für den (vorliegend) eingetretenen Kontrollverlust als solchem … mit einer Größenordnung von EUR 100,00 zu bemessen.“

Hundert Euro – das ist der Maßstab, an dem sich die deutschen Gerichte für den reinen Kontrollverlust seither orientieren. Das OLG Köln hat diesen Wert in seiner Entscheidung vom 3. April 2025 (15 U 41/23) ausdrücklich übernommen.

Forderungen von über 1.000 Euro für den schlichten Verlust einer Telefonnummer ohne weitere nachgewiesene Angriffe scheitern vor Gericht fast immer. Wer höhere Beträge anstrebt, muss erhebliche, individuell belegbare Zusatzschäden vorweisen – zum Beispiel ärztlich behandelte Angstzustände, berufliche Nachteile oder nachweisbaren finanziellen Schaden.

Beachten Sie dabei aber das Kostenrisiko. Übersteigt der Streitwert – also die geforderte Summe – den letztlich zugesprochenen Betrag deutlich, tragen Sie einen entsprechenden Teil der Gerichts- und Anwaltskosten selbst. Der vzbv hält im Rahmen seiner Musterfeststellungsklage gegen Meta für Fälle, in denen neben Telefonnummer und Name auch Wohnort, E-Mail-Adresse, Geburtsdatum und Beziehungsstatus abgeflossen sind, eine Entschädigung von 600 Euro für angemessen – das zeigt, dass höhere Beträge bei einer breiteren Datenbasis möglich sind, aber keine Selbstverständlichkeit.

IT-Administrator prüft im Serverraum Systemlogs auf einem Monitor, offene Serverschränke mit LED-Anzeigen im Vordergrund.
IT-Administrator prüft Serverlogs nach Cyberangriff – Haftungsfrage hängt vom Sicherheitsstandard ab. Symbolfoto: KI

Datenleck durch Cyberangriff: Haftet das Unternehmen in jedem Fall?

Ein weit verbreiteter Irrtum ist, dass der Abfluss von Daten durch einen Hackerangriff automatisch eine zwingende Haftung des betroffenen Unternehmens auslöst. Das Datenschutzrecht kennt an dieser Stelle keine sogenannte Gefährdungshaftung. Gemäß Art. 82 Abs. 3 DSGVO kann sich der Verantwortliche stattdessen von der Ersatzpflicht befreien, wenn er nachweist, dass er für das schadensauslösende Ereignis in keinerlei Hinsicht verantwortlich ist.

Der Europäische Gerichtshof (EuGH) hat in diesem Zusammenhang in seinem weiter oben bereits erwähnten Urteil vom 14. Dezember 2023 (C-340/21) grundlegend festgestellt, dass ein erfolgreicher Cyberangriff nicht zwingend bedeutet, dass die Sicherheitsvorkehrungen des Unternehmens unzureichend waren. Die rechtliche Beweislast liegt zwar beim angegriffenen Unternehmen.

Dies bedeutet, dass das Unternehmen aktiv belegen muss, dass die Sicherheitslücke für es nicht vermeidbar war. Gelingt dem Unternehmen jedoch der Nachweis, dass seine IT-Systeme zum Zeitpunkt des Angriffs dem geforderten Stand der Technik (gemäß Art. 32 DSGVO) entsprachen, entfällt mit dem Fehlen eines eigenen DSGVO-Verstoßes auch die Grundlage für einen Schadenersatzanspruch der Betroffenen.

Schadenersatz nach Datenleck: Anspruch individuell prüfen

Ob Ihnen eine Entschädigung zusteht und wie hoch diese ausfällt, hängt maßgeblich von Ihrer individuellen Beweislage und der Art der betroffenen Daten ab. Unsere Kanzlei unterstützt Sie dabei, Ihren Fall rechtssicher zu bewerten, Ihre Ansprüche fundiert zu begründen und das weitere Vorgehen strategisch zu planen.

Mandantin und Anwältin sichten am Besprechungstisch ausgedruckte Phishing-Nachrichten und handschriftliche Chronologie.
Mandantin und Anwältin sichten Phishing-Beweise – individuelle Dokumentation entscheidet vor Gericht. Symbolfoto: KI

Wie beweisen Sie psychische Folgen und den Kontrollverlust vor Gericht richtig?

Hier scheitern die meisten Fälle nicht am Recht, sondern an der Darlegung. Wer seinen Schadenersatzanspruch auf standardisierte Textbausteine stützt – Formulierungen wie „Kontrollverlust“, „Sorge“ und „emotionales Ungemach“ ohne jeden Bezug zur eigenen Lebenssituation – riskiert die vollständige Klageabweisung.

Das OLG Köln hat in seiner bereits genannten Entscheidung vom 3. April 2025 (15 U 41/23) genau diesen Mechanismus beschrieben: Der Kläger hatte im Schriftsatz weitergehende psychische Folgen behauptet – in der persönlichen Anhörung vor Gericht „haben sich diese allerdings nicht bestätigt.“ Mehr als den Sockelbetrag für den Kontrollverlust gab es deshalb nicht. Gerichte befragen Kläger persönlich, und in dieser Anhörung zerfallen pauschale Behauptungen.

Der BGH hat am 13. Mai 2025 (VI ZR 186/22) noch einen weiteren Grundsatz bekräftigt: „Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung gemäß Art. 82 Abs. 1 DSGVO führen.“ Die Befürchtung muss konkret und objektiv begründet sein – nicht nur behauptet.

Praxis-Szenario: Die Grenze zur reinen Hypothese – Stellen Sie sich vor, nach einem Datenleck landet lediglich Ihre E-Mail-Adresse im Netz. Die bloße Vorstellung, dass Kriminelle damit irgendwann Ihr Bankkonto knacken könnten, ist ein rein hypothetisches Risiko und führt zu keinem Schadenersatz. Anders ist es, wenn neben der E-Mail-Adresse auch Ihre IBAN abgeflossen ist und Sie kurz darauf gezielte Phishing-Nachrichten Ihrer vermeintlichen Bank erhalten. In einem solchen Fall ist die Angst vor einem konkreten Missbrauch objektiv nachvollziehbar begründet, wobei Gerichte im Einzelfall prüfen müssen, ob die Nachrichten tatsächlich auf dieses spezifische Leck zurückzuführen sind.

Besonders heikel ist die Frage, ob Sie mit Ihren Daten vorher sorgsam umgegangen sind. Das OLG Hamm hat am 5. November 2024 (7 U 83/24) eine Klage abgewiesen, weil die Klägerin ihre Telefonnummer zuvor bereits breit gestreut hatte. Das Gericht stellte fest, dass sich ein Kontrollverlust „durch das Scraping … vor diesem Gesamthintergrund im vorliegenden Einzelfall nicht feststellen“ lässt. Wer seine Nummer öffentlich in Foren, auf Plattformen oder in Impressen veröffentlicht hatte, kann den Verlust der Kontrolle über genau diese Nummer durch ein bestimmtes Datenleck kaum noch belegen.

Zu beachten ist: Wer psychische Folgen behauptet, die nicht existieren, verstößt gegen die prozessuale Wahrheitspflicht nach § 138 ZPO. Das kann Kostenfolgen haben und ist nach einem Hinweis des OLG Celle im schlimmsten Fall sogar strafrechtlich relevant. Schildern Sie ausschließlich, was tatsächlich eingetreten ist.

„Die Parteien haben ihre Erklärungen über tatsächliche Umstände vollständig und der Wahrheit gemäß abzugeben.“ (§ 138 Abs. 1 ZPO)

Schritt-für-Schritt: Wie setzen Sie Ihren Anspruch auf Datenleck-Schadenersatz erfolgreich durch?

Sobald Sie von einer Datenpanne erfahren, gilt eine klare Priorität: Beweise sichern, bevor Sie irgendetwas löschen. Verdächtige SMS, Phishing-Mails und unbekannte Anrufe sind Ihre wichtigsten Belege. Machen Sie sofort Screenshots mit sichtbarem Zeitstempel, fertigen Sie Kopien an und verändern Sie die Originale nicht. Wer aus Ärger die verdächtige E-Mail löscht, vernichtet damit möglicherweise den einzigen Nachweis seines Schadens.

Infografik (Do's und Don'ts): Verhaltenstipps für Datenleck-Schadenersatz mit Schritten zur Beweissicherung und Warnungen.
Erfolgreich zum Schadenersatz: Die wichtigsten Do’s and Don’ts nach einem Datenleck.
Achtung Falle:

In der Praxis kann die Gegenseite versuchen, den ursächlichen Zusammenhang zwischen dem konkreten Datenleck und den erhaltenen Spam-Nachrichten zu bestreiten. Ein typisches Argument ist der Einwand, dass die Kontaktdaten ohnehin bereits durch andere, frühere Sicherheitsvorfälle oder das Darknet im Umlauf waren. Um dem zu begegnen, ist die zeitliche Komponente entscheidend: Dokumentieren Sie nicht nur die Nachrichten selbst, sondern auch, dass die Flut an verdächtigen Kontaktaufnahmen auffällig erst nach dem bekannt gewordenen Leck bei diesem spezifischen Unternehmen begann.

Parallel dazu lohnt sich der Auskunftsantrag nach Art. 15 DSGVO. Das Unternehmen muss Ihnen grundsätzlich innerhalb eines Monats mitteilen, welche Ihrer Daten betroffen sind, woher sie stammen und an wen sie weitergegeben wurden – kostenlos und ohne Begründung Ihrerseits. Diese Auskunft ist die Grundlage, auf der Sie Ihren Schadenersatzanspruch aufbauen.

Wie reichen Sie den Auskunftsantrag richtig ein?

Ein Auskunftsantrag ist gesetzlich an keine bestimmte Form gebunden. Aus Beweisgründen sollten Sie ihn jedoch zwingend schriftlich stellen, beispielsweise per E-Mail. Die richtige Anlaufstelle finden Sie in der Datenschutzerklärung des Unternehmens auf dessen Website – suchen Sie dort nach den Kontaktdaten des Datenschutzbeauftragten oder einer speziellen E-Mail-Adresse für Datenschutzanfragen.

Damit das Unternehmen Ihren Antrag zuordnen kann, geben Sie Ihren vollständigen Namen sowie identifizierende Merkmale wie Ihre Kundennummer oder die registrierte E-Mail-Adresse an. Formulieren Sie Ihr Anliegen deutlich als „Auskunftsersuchen nach Art. 15 DSGVO“ und weisen Sie vorsorglich auf die gesetzliche Bearbeitungsfrist von einem Monat gemäß Art. 12 Abs. 3 DSGVO hin.

„Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.“ (Art. 12 Abs. 3 DSGVO)

Wichtig für die Zeitplanung: Schadenersatzansprüche nach der DSGVO verjähren in drei Jahren gemäß §§ 195, 199 BGB. Die Frist beginnt mit dem Ablauf des Jahres, in dem Sie vom Schaden und vom verantwortlichen Unternehmen erfahren haben. Beim Facebook-Datenleck aus dem Jahr 2021 drohte die Verjährung zum Ende des Jahres 2024 – wer bis dahin weder klagte noch sich einer Sammelklage anschloss, riskierte den Verlust seines Anspruchs. Ein Art.-15-Auskunftsantrag hemmt die Verjährung übrigens nicht automatisch – das ist ein verbreiteter Irrtum.

Was die Verjährung hemmt: die Anmeldung zum Klageregister einer Musterfeststellungsklage oder Sammelklage, eine eigene Klage oder ein Mahnbescheid. Der vzbv führt derzeit eine Musterfeststellungsklage gegen Meta Platforms Ireland Ltd. vor dem Hanseatischen OLG Hamburg; das Klageregister beim Bundesamt für Justiz ist seit Mai 2025 geöffnet. Die Anmeldung ist kostenlos. Sie klärt allerdings nur die grundsätzlichen Rechtsfragen – für die individuelle Auszahlung kann anschließend eine eigene Klage nötig sein.

Bevor Sie ein Vergleichsangebot des Unternehmens annehmen, lassen Sie es anwaltlich prüfen. Wer zu früh einwilligt, verzichtet möglicherweise auf höhere Ansprüche oder auf die Feststellung künftiger Schäden. Eine individuelle anwaltliche Prüfung ist besonders dann entscheidend, wenn Unternehmen pauschal abwinken, ein unzureichendes Vergleichsangebot vorlegen oder wenn Sie zwischen einer formlosen Sammelklage und den Chancen einer risikoreicheren Einzelklage abwägen müssen.

Zur realistischen Einschätzung: Die BGH-Linie senkt die Hürde dafür, einen Anspruch dem Grunde nach zu begründen. Gleichzeitig dämpft sie die Höhe. Wer mit nachgewiesenem Kontrollverlust, sorgfältigem Vorverhalten und konkreten individuellen Folgen vor Gericht geht, hat gute Aussichten auf rund 100 Euro – und bei erheblichen Zusatzschäden im Einzelfall mehr. Wer nur auf standardisierte Schreiben setzt und in der persönlichen Anhörung keine überzeugende eigene Geschichte erzählen kann, geht leer aus.

Welche Entschädigung steht mir zu?


Ihre Situation / Art des SchadensWas Sie vor Gericht nachweisen müssenTypische Entschädigung
Reiner Kontrollverlust (Daten abgeflossen, keine weiteren Folgen)DSGVO-Verstoß des Unternehmens und ursächlicher DatenabflussCa. 100 Euro (BGH-Sockelbetrag)
Konkrete Belästigungen (Spam, Phishing) oder begründete AngstZeitlicher Zusammenhang zum Leck, objektive Nachvollziehbarkeit (z.B. Screenshots)Sockelbetrag + möglicher Aufschlag
Massive individuelle Nachteile (finanzielle Schäden, ärztlich behandelte Angstzustände)Individuelle Belege (Atteste, Kontoauszüge), breiter Datenabfluss (z.B. inkl. Geburtsdatum, Status)Deutlich höhere Beträge (z. B. 600 Euro laut vzbv)
Rein hypothetische Risiken (bloße Sorge vor möglichem Konto-Zugriff)Keine konkreten Anhaltspunkte oder tatsächlichen Angriffe0 Euro (Klageabweisung)
Daten waren vor dem Leck bereits öffentlich (z. B. in Foren oder Impressen)Kein messbarer neuer Kontrollverlust durch das spezifische Leck0 Euro (Klageabweisung)

Experten-Kommentar

Was viele im ersten Zorn über ein Datenleck völlig ausblenden, ist die nüchterne Kosten-Nutzen-Rechnung. Wer wegen unzähliger Spam-Mails motiviert vor Gericht zieht, verlässt sich meist blind auf seine Rechtsschutzversicherung. Das böse Erwachen folgt, wenn am Ende tatsächlich nur der kleine Sockelbetrag zugesprochen wird.

Genau dann greift nämlich fast immer die vereinbarte Selbstbeteiligung der Police, die typischerweise bei 150 Euro aufwärts liegt. Unter dem Strich haben Kläger in solchen Konstellationen zwar hochoffiziell Recht bekommen, zahlen aber effektiv aus der eigenen Tasche drauf. Ohne handfeste Zusatzschäden rate ich persönlich daher zur kostenfreien Anmeldung bei einer Musterklage.


Hinweis/Disclaimer: Teile der Inhalte dieses Beitrags, einschließlich der FAQ, wurden unter Einsatz von Systemen künstlicher Intelligenz erstellt oder überarbeitet und anschließend redaktionell geprüft. Die bereitgestellten Informationen dienen ausschließlich der allgemeinen unverbindlichen Information und stellen keine Rechtsberatung im Einzelfall dar und können eine solche auch nicht ersetzen. Trotz sorgfältiger Bearbeitung kann keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität übernommen werden. Die Nutzung der Informationen erfolgt auf eigene Verantwortung; eine Haftung wird im gesetzlich zulässigen Umfang ausgeschlossen.

Wenn Sie einen ähnlichen Fall haben und konkrete Fragen oder Anliegen klären möchten, kontaktieren Sie uns bitte für eine individuelle Prüfung Ihrer Situation und der aktuellen Rechtslage.


Häufig gestellte Fragen (FAQ)

Bekomme ich nur 100 Euro, wenn nur mein Kontrollverlust nachweisbar ist?

Ja, für den bloßen Kontrollverlust orientieren sich die Gerichte an rund 100 Euro, höhere Beträge gibt es dafür regelmäßig nicht. Wer mehr verlangt, muss zusätzliche, individuell belegbare Schäden nachweisen, etwa konkrete finanzielle Nachteile oder ärztlich dokumentierte psychische Folgen.

Der Grund ist, dass der Kontrollverlust als immaterieller Schaden zwar ersatzfähig ist, sein wirtschaftlicher Wert aber gering angesetzt wird. Der Bundesgerichtshof hat für einen solchen reinen Datenverlust eine Größenordnung von 100 Euro vorgegeben, an der sich die Gerichte orientieren. Standardisierte Formulierungen über Sorge oder Ärger reichen dafür nicht aus, weil sie keinen eigenen, nachweisbaren Mehrschaden belegen. Entscheidend ist daher, ob über den Datenabfluss hinaus eine konkrete persönliche Belastung nachvollziehbar dokumentiert werden kann.

Anders kann es aussehen, wenn die Datenpanne zu weitergehenden Folgen geführt hat, die sich sauber belegen lassen. Dann geht es nicht mehr nur um den Kontrollverlust, sondern um einen zusätzlichen Schaden, der den Betrag erhöhen kann. Ohne solche Nachweise bleibt es beim Sockelbetrag.


zurück

Kann ich wegen Spam-Mails oder Angst vor Missbrauch immateriellen Schadenersatz verlangen?

Ja, auch Spam-Mails, Phishing-Versuche und die begründete Angst vor einem Missbrauch Ihrer Daten können einen immateriellen Schaden nach Art. 82 DSGVO begründen. Eine feste Erheblichkeitsschwelle gibt es dafür nicht, sodass auch psychische Belastungen und ein realer Kontrollverlust rechtlich relevant sein können.

Entscheidend ist, dass Ihre Sorge nicht nur abstrakt ist, sondern auf konkreten Umständen beruht. Der EuGH hat klargestellt, dass bereits die begründete Befürchtung vor einem künftigen Datenmissbrauch ausreichen kann, wenn sie objektiv nachvollziehbar ist. Bei ständigen Spam-Mails, verdächtigen SMS oder einem Datenleck liegt der Schaden gerade darin, dass Sie nicht mehr sicher über Ihre Daten verfügen und im Alltag dauerhaft belastet sind. Dafür müssen Sie keine ärztliche Diagnose vorlegen, aber Sie sollten die Vorfälle und ihre Wirkung auf Ihren Alltag nachvollziehbar dokumentieren.

Wichtig ist die Grenze zur bloßen Behauptung: Wer nur pauschal Angst schildert oder Beschwerden erfindet, riskiert die Abweisung der Klage und verstößt gegen die Wahrheitspflicht. Hilfreich sind daher Screenshots mit Zeitstempel, gespeicherte Nachrichten und eine sachliche Beschreibung, welche konkreten Folgen die Vorfälle bei Ihnen ausgelöst haben.


zurück

Verliere ich meinen Anspruch, wenn ich meine Telefonnummer vorher öffentlich gepostet habe?

Ja, das kann Ihren Anspruch entfallen lassen. Wenn Sie Ihre Telefonnummer vor dem Datenleck selbst öffentlich gemacht haben, ist der durch das Leck behauptete Kontrollverlust über genau diese Nummer kaum noch nachweisbar.

Für einen Anspruch nach Art. 82 Abs. 1 DSGVO müssen Sie nicht nur einen Verstoß des Unternehmens, sondern auch einen individuellen Schaden und den Zusammenhang zwischen beidem belegen. Bei einer bereits frei im Internet veröffentlichten Telefonnummer fehlt es oft gerade an diesem spezifischen Kontrollverlust, weil die Nummer schon zuvor für Dritte zugänglich war. Gerichte prüfen deshalb, ob das Datenleck wirklich neu in Ihre Datenhoheit eingegriffen hat oder ob die Öffentlichkeit der Daten schon vorher bestand. Ist Letzteres der Fall, wird der Anspruch häufig mangels nachweisbarer Schadensfolge abgewiesen.

Entscheidend ist aber, wie weit die frühere Veröffentlichung reichte und ob dieselben Daten tatsächlich identisch betroffen sind. Eine interne Weitergabe oder eine nur begrenzte Offenlegung kann anders zu bewerten sein als eine frei abrufbare Veröffentlichung in Foren, Impressen oder Verzeichnissen.


zurück

Wie lange habe ich Zeit, um nach dem Datenleck Schadenersatz geltend zu machen?

Die Verjährungsfrist für DSGVO-Schadenersatz beträgt drei Jahre. Sie beginnt mit dem Ablauf des Jahres, in dem Sie vom Datenleck und vom verantwortlichen Unternehmen Kenntnis erlangt haben.

Rechtlich gilt dafür die regelmäßige Verjährung nach §§ 195, 199 BGB. Entscheidend ist nicht das Datum des Lecks selbst, sondern der Zeitpunkt, zu dem Sie den konkreten Vorfall und den möglichen Anspruchsgegner kennen. Haben Sie also erst 2024 sicher erfahren, dass Ihre Daten bei einem bestimmten Unternehmen abgeflossen sind, läuft die Frist grundsätzlich ab dem 31. Dezember 2024 und endet mit Ablauf des 31. Dezember 2027. Eine bloße Auskunftsanfrage nach Art. 15 DSGVO stoppt diese Frist nicht automatisch.

Bei älteren Datenlecks kann der Anspruch deshalb noch bestehen, obwohl der Vorfall selbst schon Jahre zurückliegt. Um Verjährung zu vermeiden, müssen Sie rechtzeitig eine Klage erheben, einen Mahnbescheid beantragen oder sich einer wirksamen Sammel- oder Musterklage anschließen. Maßgeblich ist immer das Jahr Ihrer Kenntnis, nicht das Jahr des ursprünglichen Sicherheitsvorfalls.


zurück


Hinweis: Informationen in unserem Internetangebot dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar und können eine individuelle rechtliche Beratung auch nicht ersetzen, welche die Besonderheiten des jeweiligen Einzelfalles berücksichtigt. Ebenso kann sich die aktuelle Rechtslage durch aktuelle Urteile und Gesetze zwischenzeitlich geändert haben. Benötigen Sie eine rechtssichere Auskunft oder eine persönliche Rechtsberatung, kontaktieren Sie uns bitte.

Wie können wir Ihnen helfen?

Wir sind Ihr Ansprechpartner in allen rechtlichen Angelegenheiten. Rufen Sie uns an um einen Beratungstermin zu vereinbaren oder nutzen Sie unser Kontaktformular für eine unverbindliche Ersteinschätzung.

Rechtsanwälte Kotz - Kreuztal

Urteile und Rechtstipps

Unsere Kontaktinformationen

Rechtsanwälte Kotz GbR

Siegener Str. 104 – 106
D-57223 Kreuztal – Buschhütten
(Kreis Siegen – Wittgenstein)

Telefon: 02732 791079
(Tel. Auskünfte sind unverbindlich!)
Telefax: 02732 791078

E-Mail Anfragen:
info@ra-kotz.de
ra-kotz@web.de

Rechtsanwalt Hans Jürgen Kotz
Fachanwalt für Arbeitsrecht

Rechtsanwalt und Notar Dr. Christian Kotz
Fachanwalt für Verkehrsrecht
Fachanwalt für Versicherungsrecht
Notar mit Amtssitz in Kreuztal

Bürozeiten:

Montags bis Donnerstags von 8-18 Uhr
Freitags von 8-16 Uhr

Individuelle Terminvereinbarung:
Mo-Do nach 18 Uhr und Samstags möglich.
Wir richten uns flexibel an die Bedürfnisse unserer Mandanten.