DE

Kunde verklagt uns wegen Datenschutzverstoß – was tun?

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 6 Minuten

Dieser Beitrag dient der allgemeinen Information. Zugunsten der Verständlichkeit orientiert er sich inhaltlich vereinfacht am Regelfall. Er stellt keine Rechtsberatung dar und ersetzt keine individuelle anwaltliche Beratung. Durch die Nutzung der Inhalte kommt kein Mandatsverhältnis zustande. Beiträge geben die Rechtslage zum Aktualisierungsdatum wieder. Spätere Gesetzesänderungen, Rechtsprechung oder Einzelfallumstände können Inhalte überholen. Eine fortlaufende Aktualisierung erfolgt nicht. Maßgeblich ist der Rechtsstand des Aktualisierungsdatums. Haftung für Richtigkeit, Vollständigkeit und Aktualität ist ausgeschlossen, ausgenommen Vorsatz und grobe Fahrlässigkeit.

Die Klage liegt auf dem Tisch – oder die anwaltliche Aufforderung im Postfach. Ein Kunde oder ehemaliger Kunde macht Ansprüche wegen eines angeblichen Datenschutzverstoßes geltend. Schadensersatz, Auskunft, Unterlassung – plötzlich steht nicht mehr nur ein Bußgeld der Aufsichtsbehörde im Raum, sondern eine zivilrechtliche Forderung mit konkreter Summe. Und die Frage, wie Sie jetzt reagieren, entscheidet darüber, ob aus einem Problem eine Katastrophe wird.

Typische Ausgangslage

  • Ein ehemaliger Kunde macht Schadensersatz geltend, weil seine Daten nach einer Datenpanne im Internet aufgetaucht sind
  • Sie erhalten ein Anwaltsschreiben mit der Behauptung, Kundendaten seien ohne Rechtsgrundlage an Dritte weitergegeben worden
  • Ein Betroffener hat eine Auskunftsanfrage gestellt, die Antwort kam zu spät oder war unvollständig – jetzt folgt die Klage
  • Nach einer Werbe-E-Mail ohne wirksame Einwilligung fordert der Empfänger Schadensersatz wegen DSGVO-Verstoß
  • Ein Kunde verlangt Schmerzensgeld, weil sein Löschungsersuchen ignoriert oder unzureichend bearbeitet wurde
  • Die Klage kommt parallel zu einem bereits laufenden Verfahren bei der Datenschutzaufsichtsbehörde

Warum die Situation ernster ist als gedacht

Zivilrechtliche Ansprüche kommen zusätzlich zum Bußgeld

Viele Unternehmer denken bei Datenschutzverstößen zuerst an die Aufsichtsbehörde und ein mögliches Bußgeld. Was oft unterschätzt wird: Betroffene Personen haben darüber hinaus eigenständige zivilrechtliche Ansprüche. Schadensersatzforderungen nach der DSGVO können unabhängig von einem behördlichen Verfahren geltend gemacht werden – und sie können sich summieren, wenn mehrere Betroffene betroffen sind. Ein einzelner Vorfall kann so gleich auf zwei Ebenen teuer werden.

Die Beweislast liegt nicht dort, wo Sie vermuten

Im Datenschutzrecht gelten besondere Regeln zur Beweislast, die sich erheblich von dem unterscheiden, was Unternehmer aus anderen Rechtsstreitigkeiten kennen. Das bedeutet in der Praxis: Es reicht nicht, die Vorwürfe des Klägers einfach zu bestreiten. Wer keine lückenlose Dokumentation vorlegen kann – etwa über Einwilligungen, Verarbeitungsverzeichnisse oder die Bearbeitung von Betroffenenanfragen – gerät schnell in eine schwierige Verteidigungsposition. Was nicht dokumentiert ist, gilt im Zweifel als nicht geschehen.

Jede Reaktion kann die Lage verschlechtern

Wer auf ein Anwaltsschreiben oder eine Klage unüberlegt reagiert, riskiert mehr als nur taktische Nachteile. Ein zu ausführliches Antwortschreiben kann unbeabsichtigt Tatsachen einräumen. Eine vorschnelle Zahlung kann als Schuldeingeständnis gewertet werden. Und Schweigen kann Fristen ablaufen lassen, die nicht mehr aufzuholen sind. Besonders heikel wird es, wenn parallel ein Verfahren bei der Aufsichtsbehörde läuft – denn Äußerungen im Zivilprozess können in das behördliche Verfahren hineinwirken und umgekehrt.

Vorsicht bei parallelen Verfahren

Wenn neben der zivilrechtlichen Klage bereits ein Bußgeldverfahren der Datenschutzaufsicht läuft oder angedroht wurde, müssen sämtliche Reaktionen – gegenüber dem Kläger, dem Gericht und der Behörde – aufeinander abgestimmt sein. Eine isolierte Verteidigung auf nur einer Ebene kann auf der anderen Ebene gravierende Nachteile verursachen.

Immaterielle Schäden sind schwer kalkulierbar

Anders als bei klassischen Schadensersatzforderungen geht es im Datenschutzrecht häufig um immaterielle Schäden – also um den Kontrollverlust über persönliche Daten, das Gefühl der Bloßstellung oder die Angst vor Identitätsmissbrauch. Die Rechtsprechung zu der Frage, wann ein solcher immaterieller Schaden vorliegt und wie hoch er zu beziffern ist, entwickelt sich stetig weiter. Für Unternehmen bedeutet das: Die finanzielle Tragweite einer solchen Klage lässt sich ohne fundierte rechtliche Einschätzung kaum abschätzen.

Risiko der Signalwirkung – ein Fall kann viele Klagen auslösen

Gerade wenn der Verstoß nicht nur einen einzelnen Kunden betrifft – etwa bei einer Datenpanne mit hunderten Betroffenen – kann eine erfolgreiche Klage weitere Forderungen nach sich ziehen. Wie mit der ersten Klage umgegangen wird, hat deshalb strategische Bedeutung weit über den Einzelfall hinaus.

Nicht jede Forderung ist berechtigt

Nicht jede Datenschutzklage hat Substanz. Manche Forderungen basieren auf einem überzogenen Verständnis der Betroffenenrechte, andere auf unzutreffenden Tatsachenbehauptungen. Gerade deshalb ist eine sorgfältige Prüfung des konkreten Falls entscheidend – sowohl zur Abwehr unberechtigter als auch zur Begrenzung berechtigter Ansprüche.

Worauf es bei der Verteidigung ankommt

Die interne Aufarbeitung entscheidet über den Ausgang

Bevor überhaupt eine Verteidigungsstrategie entwickelt werden kann, muss der Sachverhalt intern vollständig aufgeklärt werden. Welche Daten waren betroffen? Wann wurde was dokumentiert? Gab es interne Meldungen? Welche technischen und organisatorischen Maßnahmen bestanden zum Zeitpunkt des Vorfalls? Diese Fragen klingen einfach – die Antworten sind es selten. Und sie müssen gerichtsfest aufbereitet werden.

Die richtige Verteidigungslinie hängt vom Gesamtbild ab

Die Verteidigung gegen eine Datenschutzklage erfordert ein Zusammenspiel aus datenschutzrechtlichem Wissen, zivilprozessualer Erfahrung und wenn ein Bußgeldverfahren parallel läuft – verwaltungsrechtlichem Verständnis. Hinzu kommt die Frage, ob und inwieweit die persönliche Haftung des Geschäftsführers im Raum steht. Eine Verteidigung, die nur einen dieser Aspekte betrachtet, greift zu kurz.

Im Kern geht es bei einer Datenschutzklage um folgende Spannungsfelder:

  • Abwehr der konkreten Klageforderung versus Vermeidung von Aussagen, die im Behördenverfahren schaden
  • Schnelle Reaktion versus sorgfältige interne Sachverhaltsklärung
  • Vergleichsbereitschaft versus Signalwirkung bei weiteren potenziellen Klägern
  • Unternehmenshaftung versus persönliche Geschäftsführerhaftung

Wie die Kanzlei Sie unterstützt

Wenn Sie eine Klage oder ein Anwaltsschreiben wegen eines Datenschutzverstoßes erhalten haben, sollten Sie zeitnah anwaltlichen Rat einholen – bevor Sie antworten, bevor Sie intern Maßnahmen kommunizieren und bevor Fristen ablaufen. Die Kanzlei bietet Ihnen eine kostenlose Ersteinschätzung über Kontakt: Schildern Sie Ihren Fall, und Sie erhalten eine Einschätzung, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist. Die Kanzlei ist im Raum Kiel ansässig und bundesweit tätig. Nach Mandatierung erfolgt die weitere Betreuung – bei Bedarf z. B. per Videocall und individueller Betreuung, sodass räumliche Entfernung kein Hindernis darstellt.

Die Beratung umfasst dabei typischerweise mehrere Ebenen:

  • Prüfung der Klageforderung auf Schlüssigkeit und Berechtigung
  • Koordination der Verteidigung im Zivilverfahren mit einem eventuellen Behördenverfahren
  • Bewertung der internen Dokumentationslage und Identifikation von Schwachstellen
  • Einschätzung des Haftungsrisikos für das Unternehmen und die Geschäftsführung persönlich
  • Strategische Beratung zur Frage: Vergleich oder Verteidigung?

Weiterführende Themen

Klage wegen Datenschutzverstoß erhalten? Jetzt handeln.

Schildern Sie Ihren Fall über Kontakt – Sie erhalten eine kostenlose Ersteinschätzung, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist. Die Kanzlei ist bundesweit tätig und auf Datenschutzrecht für Unternehmen spezialisiert. Reagieren Sie nicht unüberlegt – aber reagieren Sie zeitnah.