Update vom 14.12.2023: Der EuGH hat den Weg frei gemacht für eine einfachere Schadensersatzforderung für Betroffene von Datenlecks. Mehr zu dem wegweisenden Urteil lesen Sie in unserer News „Urteil des EuGH: Zugang zu Schadensersatz nach Datenlecks deutlich erleichtert“.
Das Wichtigste zum Schadensersatz beim Datenleck in Kürze
Entsteht durch einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) ein materieller oder immaterieller Schaden, kann ein Anspruch auf Schadensersatz bestehen. Möglich ist dies etwa bei einem Datenleck, wodurch personenbezogene Daten im Internet frei verfügbar sind.
In der Regel ist bei einem Datenleck ein Schadensersatz von bis zu 5.000 Euro möglich. Wie hoch die Entschädigung im Einzelfall ausfällt, hängt vor allem vom entstandenen Schaden ab.
Forderungen auf Schadensersatz wegen der Weitergabe personenbezogener Daten an Unbefugte können Sie gegenüber dem verantwortlichen Unternehmen geltend machen. Ein entsprechendes Musterschreiben finden Sie hier.
Besteht bei einem Datenleck ein gesetzlicher Anspruch auf Schadensersatz
Inhaltsverzeichnis
Unternehmen, die personenbezogene Daten speichern und verarbeiten, müssen gemäß Art. 32 DSGVO für deren Sicherheit sorgen. Führt deren schuldhaftes Handeln – etwa weil nicht alle Sicherheitsvorkehrungen getroffen wurden – zu einem Datenleck, kann ein Schadensersatz fällig werden. So heißt es unter Art. 82 Abs. 1 DSGVO:
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Wie hoch die Entschädigung im Einzelnen ausfallen kann, hängt von den Umständen und dem Ausmaß des Schadens ab. In der Regel ist von Beträgen von bis zu 5.000 Euro die Rede. Nachfolgend haben wir einige Gerichtsurteile samt Höhe des Schadensersatzes zusammengetragen. Beachten Sie dabei, dass die Verfahren noch nicht abgeschlossen bzw. höchstrichterlich entschieden sind.
- Datenleck bei Meta (Facebook): 300 Euro (Urteil des LG Lüneburg vom 24.01.2023, Az.: 3 O 83/22)
- Datenleck bei Meta (Facebook): 1.000 Euro (Urteil des LG Stuttgart vom 26.01.2023, Az.: 24 O 52/22)
- Datenleck bei einer gesetzlichen Krankenkasse: 2.000 Euro (Urteil des OLG Düsseldorf vom 28.10.2021, Az.: 16 U 275/20)
- Datenleck bei Scalable Capital: 2.500 Euro (Urteil des LG München vom 09.12.2021, Az.: 31 O 16606/20)
- Datenleck bei Meta (Facebook): 3.000 Euro (Urteil des LG Oldenburg vom 20.10.2022, Az.: 5 O 1809/22)
Bei einem Datenleck kann Schadensersatz auch dann angebracht sein, wenn das Unternehmen seiner gesetzlichen Auskunftspflicht nicht nachgekommen ist. Denn laut DSGVO muss eine Benachrichtigung erfolgen, wenn mit der Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten einhergeht.
Wichtig! Verhängt die Datenschutzbehörde des Landes, in dem sich der jeweilige Firmensitz befindet, ein Bußgeld wegen Datenschutzverstößen durch das Unternehmen, ist dies meist ein deutliches Zeichen. Nicht selten wird ein solches Vorgehen als Indikator für ein schwerwiegendes Datenleck, welches Schadensersatz rechtfertigen kann, gewertet. Für eine individuelle Beurteilung kann es dennoch sinnvoll sein, einen fachkundigen Anwalt aufzusuchen.
Weitere Ratgeber rund um Datenleaks:
Nach Datenleck Schadensersatz verlangen: Unser Muster hilft!
Wollen Sie nach einem Datenleck Schadensersatz einfordern, ist dafür nicht zwangsläufig die Unterstützung durch einen Anwalt notwendig. Wollen Sie eigenständig entsprechende Ansprüche gegenüber dem verantwortlichen Unternehmen geltend machen, gilt es allerdings einiges zu beachten.
Wichtig ist bereits die richtige Anschrift des Unternehmens. Denn üblicherweise können Sie Ansprüche gegen dieses nur geltend machen, wenn sich die Adresse in einem Land der EU befindet, dessen Datenschutzbehörde bereits ein Bußgeld verhängt hat. Viele US-Unternehmen verfügen etwa über einen Sitz in Irland. Die jeweilige Adresse können Sie dem Impressum entnehmen.
Darüber hinaus ist es sinnvoll, der Forderung nach Entschädigung Beweise für den entstandenen Schaden beizufügen. Dabei kann es sich um etwa um Ausdrucke verdächtige E-Mails oder SMS handeln. Alternativ dazu können Sie die Beeinträchtigungen, die durch den Missbrauch der nicht vorschriftsgemäß geschützten Daten entstanden sind, auch möglichst detailliert beschreiben.
Um nach einem Datenleck Schadensersatz einzufordern, verlangt der Gesetzgeber üblicherweise die Schriftform. Möglich ist ein Versand demnach per E-Mail oder Brief. Entscheiden Sie sich für die letztgenannte Variante, empfiehlt sich ein Einschreiben International mit Rückschein. Denn so lässt sich die Zustellung belegen.
Wie ein entsprechendes Schreiben aussehen kann, zeigt das nachfolgende Muster. Beachten Sie dabei, dass dieses keinen Anspruch auf juristische Korrektheit erhebt und vor allem als Orientierungshilfe dient.
Musterbrief: Schadensersatz nach Datenleck
[Absender
Vollständiger Name
Straße mit Hausnummer
Postleitzahl Ort
Benutzername, Kunden- oder Kontonummer beim Unternehmen]
An
[Name des Unternehmens
Straße mit Hausnummer
Postleitzahl Ort]
[Ort, Datum]
Forderung auf Schadensersatz wegen der unerlaubten Weitergabe meiner Daten
Sehr geehrte Damen und Herren,
Ihr Unternehmen hat meine Daten an unberechtigte Dritte weitergegeben. Die [Nennung der zuständigen Datenschutzbehörde] hat wegen der Verletzung der gesetzlichen Vorgaben zum Schutz personenbezogener Daten ein Bußgeld gegen Sie verhängt.
Seit dem Datenleck bei Ihrem Unternehmen, bei dem es zu einem Verlust meiner Daten kam, erhalte ich vermehrt unerwünschte Werbung und bin häufiger das Ziel von Betrugsversuchen sowie von Kontaktversuchen mit Viren oder anderer Schadsoftware. Einige Ausdrucke von verdächtigen Nachrichten, die ich in letzter Zeit erhalten habe, füge ich diesem Schreiben bei.
Gemäß Art. 82 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) führt die unerlaubte Weitergabe meiner Daten zu einem Anspruch auf Schadensersatz. In ähnlichen Fällen haben das Landgericht Zwickau (Urteil vom 14.09.2022, Az.: 7 0 334/22) und das Landgericht Gießen (Urteil vom 30.09.2022, Az.: 3 O 256/22) den Geschädigten eine Entschädigung in Höhe von 1.000 Euro zugesprochen. Diese Summe halte ich auch in meinem Fall für angemessen.
Zudem haben Sie es gemäß §§ 1004 Abs. 1 Satz 2 in Verbindung mit 823 Abs. 1 und 2 Bürgerliches Gesetzbuch (BGB) sowie Art. 5 und 6 DSGVO zu unterlassen, auf meine Person bezogene Daten unbefugten Dritten zugänglich zu machen. Ein Verstoß gegen diese Unterlassungserklärung zieht eine angemessen hohe Vertragsstrafe nach sich.
Außerdem verlange ich gemäß Art. 15 Abs. 1c) DSGVO Auskunft darüber, welche auf mich bezogenen Daten Sie im Zuge der Nutzung Ihres Kontaktimporttools wann und an wenn weitergegeben haben.
Bis zum [Datum in mindestens vier Wochen] erwarte ich die Abgabe der Unterlassungserklärung, die geforderten Auskünfte sowie die Zahlung des Schadensersatzes durch Überweisung auf das nachfolgende Konto:
Kontoinhaber: [Vollständiger Name]
IBAN: [DEXX XXXX XXXX XXXX XXXX XX]
Bank: [Name der Bank]
BIC: [XXXXXXXXXXX].
Sollten Sie Zahlung, die Unterlassungserklärung und/oder die Auskünfte bis zum genannten Datum ausbleiben, behalte ich mir vor, mich ohne weitere Ankündigung an einen Rechtsanwalt oder eine Stelle zur Verbraucherstreitbeilegung zu wenden, um meine Rechte durchzusetzen. Die dabei anfallenden Kosten fallen gemäß §§ 280, 286 Abs. 2 Nr. 1 BGB Ihnen zulasten.
Mit freundlichen Grüßen
[Name, Unterschrift]
Forderung auf Schadensersatz beim Datenleck: Muster zum Download
Hier können Sie ein Musterschreiben herunterladen, mit dem Sie bei einem Datenleck Schadensersatz einfordern können. Da die Anforderungen im Einzelfall variieren können, gilt es das Schreiben entsprechend zu modifizieren:
Download als .PDF Download als .DOC
Guten Tag,
ich bin vom Quidd data breach betroffen. Ich wollte fragen, falls sie eventuell wissen, ob ich einen Schadensersatz anspruch gegen das Unternehmen erheben kann, wenn sich das Unternehmen in NYC und in Brasilien befindet?
Scraped Gravatar Profiles wurde bei mir als Datenlecks angezeigt was tun da ich dort nicht angemeldet bin.
Guten Tag
Ich habe bei Amazon über mein Prime Konto eine Bestellung getätigt in einer Höhe von über 500 € habe die Ware einwandfrei erhalten. Alles wie immer super gut gelaufen bekomme einige Tage nachdem ich die Rechnung bezahlt habe. Ein Telefonanruf meine Bestellung bei Amazon sei nicht okay und in der Warteschleife. Ich habe dann aufgelegt. Wie kann ich mich vor solchen Anrufen schützen Mit freundlichem Gruß, Ute
Hallo,
bei Shein gab es 2018 ein Datenleck. Ich war dort als Kunde registriert. Jetzt habe ich erfahren, dass meine E-Mail-Adresse im Darknet ist. Kann ich noch auf Schadensersatz klagen?
Sehr geehrtes Team, ich bekomme soviel Spamnachrichten, wie alle meine Bekannten zusammen 🙂
Wie kann ich nachschauen ob ich von einem dieser Datenlecks betroffen bin und mir Schadenersatz zusteht?
Grüße Chris