Datenleck: Wann bekomme ich Schadensersatz nach Art. 82 DSGVO?
Millionen Nutzerdaten des Musikdienstes Deezer tauchten 2022 im Darknet auf. Der BGH hat 2025 klargestellt, dass ein Unternehmen auch nach Ende eines Dienstleisterverhältnisses für den Verbleib von Nutzerdaten haftet. Was Betroffene realistisch an Schadensersatz erwarten können und wie sie vorgehen.
Wer nach einem Datenleck Schadensersatz nach Art. 82 DSGVO verlangt, bekommt in der Praxis selten die geforderten mehreren Tausend Euro, sondern eher eine Größenordnung von 100 bis 350 Euro, und auch das nur, wenn die eigene Betroffenheit konkret dargelegt wird. Ein bloßer, plausibel begründeter Kontrollverlust über die eigenen Daten reicht dafür nach aktueller BGH-Rechtsprechung aus, ein pauschaler Verweis auf das Datenleck allein genügt den Gerichten dagegen meist nicht.
Was war beim Deezer-Datenleck passiert?
Der französische Musikstreaming-Dienst Deezer räumte ab Februar 2023 ein, dass Nutzerdaten aus einem Datenverlust betroffen waren, der bis ins Jahr 2019 zurückreicht. Nach eigenen Angaben waren weltweit rund 229 Millionen Datensätze betroffen, überwiegend Namen, E-Mail-Adressen und teils Nutzernamen. Die Daten tauchten später zum Verkauf im Darknet auf.
Der BGH hat am 11. November 2025 (Az. VI ZR 396/24) in einem Verfahren zu genau diesem Fall ein wichtiges Grundsatzurteil gefällt. Deezer hatte 2019 die Zusammenarbeit mit einem externen IT-Dienstleister beendet, der die Löschung sämtlicher Daten per E-Mail zugesichert, aber nie ausdrücklich bestätigt hatte. Tatsächlich wurden die Daten aber nicht gelöscht, sondern verblieben in einer Testumgebung, aus der sie entweder gehackt oder unbefugt weitergegeben wurden.
Der BGH stellte klar: Wer personenbezogene Daten an einen Dienstleister übermittelt, bleibt auch nach Vertragsende dafür verantwortlich, dass keine Daten beim Dienstleister zurückbleiben, und haftet für die Folgen einer unzureichenden Löschung. Diese Kontrollpflicht endet nicht mit der Kündigung des Vertrags.
Reicht der bloße Kontrollverlust über meine Daten schon als Schaden aus?
Ja, nach der aktuellen Rechtsprechung grundsätzlich schon, allerdings mit wichtigen Einschränkungen. Der Europäische Gerichtshof hat am 14. Dezember 2023 in zwei Verfahren (Rs. C-340/21 und C-456/22) entschieden, dass Art. 82 Abs. 1 DSGVO keine Bagatellgrenze kennt: Ein immaterieller Schaden muss weder objektiv nachvollziehbar noch besonders gravierend sein, auch rein subjektiv empfundene Beeinträchtigungen zählen. In der Rechtssache C-340/21 stellte der EuGH zudem klar, dass bereits die begründete Befürchtung eines Betroffenen, seine Daten könnten missbraucht werden, für sich genommen einen ersatzfähigen Schaden darstellen kann, wenn diese Furcht und ihre Folgen plausibel dargelegt werden.
Der BGH hat diese Linie am 18. November 2024 im sogenannten Facebook-Scraping-Fall (Az. VI ZR 10/24) für Deutschland konkretisiert. Dort waren im April 2021 Daten von rund 533 Millionen Facebook-Nutzern öffentlich im Netz aufgetaucht, weil Dritte über eine Kontaktimport-Funktion massenhaft Telefonnummern mit Nutzerprofilen abgeglichen hatten. Der BGH entschied, dass der bloße, sogar kurzzeitige Verlust der Kontrolle über die eigenen personenbezogenen Daten infolge eines DSGVO-Verstoßes einen immateriellen Schaden darstellt, ohne dass ein tatsächlicher Missbrauch oder zusätzliche spürbare Nachteile nachgewiesen werden müssten. Als Größenordnung für den Ausgleich allein für den Kontrollverlust nannte der BGH rund 100 Euro. Das Verfahren war zunächst als Leitentscheidung nach § 552b ZPO vorgesehen und sollte damit richtungsweisend für tausende Parallelverfahren wirken, wurde am Ende aber nach den allgemeinen Regeln entschieden.
Für den Deezer-Fall bedeutet das BGH-Urteil vom November 2025: Wenn Daten beim (ehemaligen) Dienstleister zurückbleiben, abgegriffen und im Darknet zum Verkauf angeboten werden, liegt darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO. Das Landgericht Lübeck sprach in einem frühen Deezer-Fall, in dem lediglich ein Spitzname und die E-Mail-Adresse betroffen und keine konkrete Vermögensgefährdung erkennbar war, 350 Euro Schadensersatz zu, deutlich weniger als die häufig geforderten drei- bis vierstelligen Summen.
Warum wurden so viele deutsche Deezer-Klagen abgewiesen?
Die deutsche Klagewelle rund um das Deezer-Datenleck fällt bei genauerem Hinsehen ernüchternd aus. Zahlreiche Klagen wurden von Land- und Oberlandesgerichten abgewiesen, weil die Klägerinnen und Kläger ihren konkreten Schaden nicht ausreichend dargelegt hatten. Das Oberlandesgericht Dresden bestätigte in einem vielbeachteten Fall zunächst eine Klageabweisung, bevor der BGH die Entscheidung im November 2025 teilweise aufhob und zur weiteren Sachverhaltsaufklärung zurückverwies. Auch das Oberlandesgericht Frankfurt am Main hat sich mit dem angemessenen Streitwert für Deezer-Ansprüche befasst und diesen auf 3.000 Euro festgesetzt, was zugleich zeigt, wie deutlich die tatsächlich zugesprochenen Beträge regelmäßig unter dem angesetzten Streitwert liegen.
Der Grund für die vielen Abweisungen liegt selten in der Rechtsfrage selbst, sondern fast immer in der Darlegung: Wer lediglich pauschal behauptet, von einem Datenleck betroffen zu sein und sich deshalb unwohl zu fühlen, ohne konkret zu beschreiben, welche Daten genau betroffen waren und welche Folgen das für die eigene Situation hatte, hat nach der Rechtsprechung des EuGH und des BGH schlechte Erfolgsaussichten. Wer dagegen darlegen kann, dass etwa eine sensible Kombination aus Name, Adresse und Kontaktdaten im Darknet zum Verkauf stand und dies zu nachvollziehbaren Sorgen vor Missbrauch geführt hat, steht deutlich besser da.
Wie hoch ist mein Anspruch realistisch, und was ist mit Verjährung?
Eine pauschale Zahl gibt es nicht, die Bandbreite der bislang bekannten Entscheidungen zu Datenlecks liegt aber überwiegend zwischen 100 und 350 Euro je Betroffenem, in Ausnahmefällen mit besonders sensiblen Daten oder nachgewiesenem Missbrauch auch darüber. Wer eine Forderung im vierstelligen Bereich stellt, ohne besondere Umstände darlegen zu können, muss mit einer erheblichen Kürzung durch das Gericht oder einer vollständigen Abweisung rechnen.
Für die Verjährung gilt die reguläre Frist der §§ 195, 199 BGB: drei Jahre ab dem Ende des Jahres, in dem der Anspruch entstanden ist und der Betroffene von Schaden und Verantwortlichem Kenntnis erlangt hat Für die Verjährung gilt, wie bei den meisten Ansprüchen aus dem Verbraucherrecht, die reguläre Frist der §§ 195, 199 BGB: drei Jahre ab dem Ende des Jahres, in dem der Anspruch entstanden ist und der Betroffene von Schaden und Verantwortlichem Kenntnis erlangt hat oder ohne grobe Fahrlässigkeit hätte erlangen müssen. Für das Deezer-Datenleck, über das seit Februar 2023 informiert wurde, bedeutet das: Die Frist begann regelmäßig zum 31. Dezember 2023 zu laufen und endet zum 31. Dezember 2026, sofern nicht bereits Klage erhoben oder die Verjährung anderweitig gehemmt wurde. Wer noch nicht tätig geworden ist, sollte diese Frist im Blick behalten.
Was sollte ich als Erstes tun, wenn ich von einem Datenleck betroffen bin?
Bevor eine Klage überhaupt sinnvoll vorbereitet werden kann, empfiehlt sich folgendes Vorgehen:
- Auskunft nach Art. 15 DSGVO beim betroffenen Unternehmen einholen: Welche konkreten Daten waren betroffen, seit wann, und was hat das Unternehmen zur Aufklärung und Eindämmung unternommen?
- Prüfen, ob die eigenen Daten tatsächlich in einem im Darknet oder anderweitig veröffentlichten Datensatz auftauchen, etwa über seriöse Prüfdienste, und dies dokumentieren.
- Passwörter der betroffenen und aller Konten mit demselben Passwort ändern, insbesondere bei E-Mail-Konten und Online-Banking.
- Konkret festhalten, welche eigenen Umstände über die reine Betroffenheit hinausgehen: erhöhte Phishing-Versuche, verdächtige Kontobewegungen, oder eine plausibel begründete, konkrete Furcht vor Missbrauch.
- Erst danach eine anwaltliche Prüfung veranlassen, ob und in welcher Größenordnung ein Anspruch nach Art. 82 DSGVO tatsächlich durchsetzbar erscheint.
Kann ich mich einer Sammelklage anschließen, statt selbst zu klagen?
Das 2023 eingeführte Verbraucherrechtedurchsetzungsgesetz (VDuG) ermöglicht sogenannte Abhilfeklagen, mit denen qualifizierte Verbraucherverbände Schadensersatzansprüche vieler Betroffener gebündelt gegen ein Unternehmen geltend machen können. Bei reinen Datenschutzverstößen sind solche Sammelklagen aber deutlich schwieriger durchzusetzen als etwa bei einheitlichen Vertragsklauseln. Das Kammergericht Berlin hat am 30. April 2026 eine Abhilfeklage der Stiftung SOMI gegen den Onlinedienst X als unzulässig abgewiesen. Die Klage wollte pauschal 750 Euro je registriertem Nutzer sowie zusätzlich 250 Euro je vom Datenleck betroffenem Nutzer durchsetzen. Das Gericht entschied, dass nach § 15 Abs. 1 VDuG eine Abhilfeklage nur zulässig ist, wenn die Ansprüche der Verbraucher im Wesentlichen gleichartig sind, und dass ein bloßer Datenschutzverstoß dafür nicht ausreicht, weil die individuelle Betroffenheit und der jeweils konkret dargelegte Schaden von Person zu Person zu unterschiedlich ausfallen.
Für Betroffene bedeutet das: Eine gebündelte Verbandsklage kann helfen, den finanziellen und zeitlichen Aufwand einer eigenen Klage zu vermeiden, ersetzt aber die individuelle Darlegung der eigenen Betroffenheit nicht vollständig, sobald es um die konkrete Schadenshöhe geht. Viele auf DSGVO-Fälle spezialisierte Rechtsdienstleister bieten daher eine Bündelung über Abtretungsmodelle oder Rechtsschutzversicherungen an, bei denen dennoch jeder Einzelfall gesondert vorgetragen werden muss.
Wie unterscheidet sich das von der Schadensersatzfrage bei der Schufa oder bei Google-Fonts-Abmahnungen?
Der hier beschriebene Kontrollverlust-Maßstab gilt grundsätzlich für jeden DSGVO-Schadensersatzanspruch nach Art. 82 DSGVO, unabhängig vom konkreten Anlass. Zwei verwandte, aber eigenständige Konstellationen sind im Bestand bereits vertieft behandelt: Bei der Schufa geht es meist nicht um ein klassisches Datenleck, sondern um die Frage, ob ein niedriger Score oder ein fehlerhafter Eintrag selbst schon einen Schaden begründet, dazu der Beitrag Schufa und DSGVO: Welche Rechte haben Sie bei Auskunft, Score und Löschung?. Bei der Google-Fonts-Abmahnwelle ging es dagegen um provozierte, massenhaft automatisiert erzeugte Verstöße, bei denen die Gerichte einen Anspruch häufig schon wegen Rechtsmissbrauchs verneinten, Details dazu im Beitrag Google-Fonts-Abmahnung: Muss ich noch zahlen?. Bei einem echten, unfreiwilligen Datenleck wie bei Deezer oder Facebook stellt sich dagegen die Frage, wie der plausibel dargelegte Kontrollverlust selbst zu bewerten ist, ohne dass ein provozierter oder konstruierter Verstoß im Raum steht.
Rechtsstand: Juli 2026.
Für eine individuelle Prüfung Ihres Falls erreichen Sie unsere Kanzlei unter 04202 / 6 38 37 0 oder per E-Mail an info@rechtsanwaltkaufmann.de.
Jetzt individuell beraten lassen
Die Informationen in diesem Artikel dienen allgemeinen Informationszwecken und ersetzen keine rechtliche Beratung im Einzelfall.
Fragen & Antworten
Reicht der bloße Kontrollverlust über meine Daten schon für Schadensersatz nach Art. 82 DSGVO?
Grundsätzlich ja, nach dem EuGH (14.12.2023, C-340/21 und C-456/22) und dem BGH (18.11.2024, VI ZR 10/24, sowie 11.11.2025, VI ZR 396/24 zum Deezer-Fall) kann bereits der bloße, sogar kurzzeitige Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen. Eine pauschale Behauptung ohne konkrete Darlegung der eigenen Betroffenheit reicht den Gerichten aber meist nicht.
Wie viel Schadensersatz kann ich nach einem Datenleck realistisch erwarten?
Die bislang bekannten Entscheidungen bewegen sich meist zwischen 100 und 350 Euro je Betroffenem, etwa der BGH-Maßstab von rund 100 Euro im Facebook-Scraping-Fall oder 350 Euro, die das LG Lübeck im Deezer-Fall zusprach. Vierstellige Forderungen werden von Gerichten regelmäßig deutlich gekürzt oder abgewiesen, wenn keine besonderen Umstände dargelegt werden.
Warum wurden viele Klagen wegen des Deezer-Datenlecks abgewiesen?
Die meisten Abweisungen beruhten nicht auf der Rechtsfrage selbst, sondern auf einer zu pauschalen Darlegung des Schadens. Wer nur behauptet, betroffen zu sein und sich unwohl zu fühlen, ohne konkrete Folgen zu beschreiben, hat schlechte Erfolgsaussichten. Der BGH hat mit dem Urteil vom 11.11.2025 (VI ZR 396/24) eine Klageabweisung teilweise aufgehoben und zur weiteren Sachverhaltsaufklärung zurückverwiesen.
Was sollte ich zuerst tun, wenn ich von einem Datenleck betroffen bin?
Zunächst eine Auskunft nach Art. 15 DSGVO beim Unternehmen einholen, um zu erfahren, welche konkreten Daten betroffen waren. Danach Passwörter ändern und konkrete eigene Folgen wie erhöhte Phishing-Versuche dokumentieren. Erst danach lohnt sich eine anwaltliche Prüfung der Erfolgsaussichten.
Kann ich mich statt einer eigenen Klage einer Sammelklage anschließen?
Das Verbraucherrechtedurchsetzungsgesetz (VDuG) ermöglicht Abhilfeklagen von Verbraucherverbänden, bei reinen Datenschutzverstößen sind diese aber schwieriger durchzusetzen. Das Kammergericht Berlin hat am 30.4.2026 eine solche Klage gegen den Onlinedienst X als unzulässig abgewiesen, weil die individuelle Betroffenheit der Nutzer zu unterschiedlich ausfiel, um als gleichartig im Sinne des § 15 Abs. 1 VDuG zu gelten.
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).