DE

Kunde verklagt uns wegen Datenschutzverstoß – was tun?

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 7 Minuten

Dieser Beitrag dient der allgemeinen Information. Zugunsten der Verständlichkeit orientiert er sich inhaltlich vereinfacht am Regelfall. Er stellt keine Rechtsberatung dar und ersetzt keine individuelle anwaltliche Beratung. Durch die Nutzung der Inhalte kommt kein Mandatsverhältnis zustande. Beiträge geben die Rechtslage zum Aktualisierungsdatum wieder. Spätere Gesetzesänderungen, Rechtsprechung oder Einzelfallumstände können Inhalte überholen. Eine fortlaufende Aktualisierung erfolgt nicht. Maßgeblich ist der Rechtsstand des Aktualisierungsdatums. Haftung für Richtigkeit, Vollständigkeit und Aktualität ist ausgeschlossen, ausgenommen Vorsatz und grobe Fahrlässigkeit.

Ein Anwaltsschreiben liegt auf dem Tisch. Ein ehemaliger oder bestehender Kunde macht Schadensersatz wegen eines Datenschutzverstoßes geltend – vielleicht sogar verbunden mit einer Klageankündigung oder einer bereits zugestellten Klageschrift. Die erste Reaktion: Ist das überhaupt berechtigt? Und wenn ja, worum geht es eigentlich genau – und was kann das kosten? In diesem Moment zählt vor allem eines: Nicht unüberlegt handeln.

Typische Ausgangslage

  • Ein Kunde erhält eine Werbe-E-Mail, obwohl er sich abgemeldet hatte, und fordert jetzt Schadensersatz nach der DSGVO.
  • Kundendaten sind durch eine technische Panne oder einen Hackerangriff an Dritte gelangt – ein Betroffener hat davon erfahren und sich einen Anwalt genommen.
  • Ein ehemaliger Kunde verlangt Auskunft über seine gespeicherten Daten, die Antwort kam zu spät oder war unvollständig – jetzt steht eine Klage im Raum.
  • Persönliche Daten wurden an einen Dienstleister weitergegeben, ohne dass der Kunde zugestimmt hat oder eine wirksame vertragliche Grundlage existierte.
  • Ein Geschäftspartner macht geltend, dass seine Kontaktdaten intern zweckwidrig verwendet wurden, und droht mit Klage und Beschwerde bei der Aufsichtsbehörde.

Warum eine Klage wegen Datenschutzverstoß oft komplizierter ist als gedacht

Die Anspruchsgrundlagen sind vielfältig – und nicht immer offensichtlich

Wenn ein Kunde wegen eines Datenschutzverstoßes klagt, stützt er sich häufig auf die DSGVO (Datenschutz-Grundverordnung) – konkret auf den dort geregelten Schadensersatzanspruch. Doch die DSGVO ist nicht die einzige Rechtsquelle, die relevant sein kann. Je nach Sachverhalt kommen auch Ansprüche aus dem allgemeinen Zivilrecht, dem Wettbewerbsrecht oder spezialgesetzlichen Regelungen in Betracht. Welche Anspruchsgrundlage tatsächlich greift, welche Voraussetzungen jeweils gelten und wie sich die verschiedenen Ansprüche zueinander verhalten, ist bereits eine komplexe juristische Frage – und häufig die entscheidende Weichenstellung für den gesamten Verlauf des Verfahrens.

Schadensersatz nach DSGVO: Es geht nicht nur um materielle Schäden

Viele Unternehmer gehen davon aus, dass ein Datenschutzverstoß nur dann teuer wird, wenn dem Kunden ein messbarer finanzieller Schaden entstanden ist. Das ist ein Trugschluss. Die DSGVO kennt ausdrücklich auch den Ersatz immaterieller Schäden – also etwa den Ausgleich für den Kontrollverlust über die eigenen Daten oder für empfundene Beeinträchtigungen. Die Rechtsprechung zu der Frage, wann ein solcher immaterieller Schaden vorliegt und wie hoch er zu bemessen ist, entwickelt sich kontinuierlich weiter. Was Gerichte in vergleichbaren Fällen zugesprochen haben, lässt sich nicht pauschal auf den eigenen Fall übertragen. Die Bewertung erfordert eine genaue Kenntnis der jeweiligen Entscheidungslinien.

Die Beweislage ist für Unternehmen oft ungünstiger als erwartet

Im Datenschutzrecht gibt es Besonderheiten bei der Verteilung der Beweislast (also der Frage, wer im Prozess was beweisen muss). Das Unternehmen, das personenbezogene Daten verarbeitet, muss in bestimmten Konstellationen nachweisen, dass es sich an die Regeln gehalten hat – und nicht umgekehrt der Kunde, dass ein Verstoß vorliegt. Wer hier keine saubere Dokumentation der eigenen Datenverarbeitung vorweisen kann, hat im Prozess ein erhebliches Problem. Und selbst wer grundsätzlich gut dokumentiert hat, muss damit rechnen, dass die Gegenseite sehr gezielt nach Lücken sucht.

Vorsicht bei eigenmächtigen Reaktionen

Wer auf eine anwaltliche Forderung oder eine Klage wegen eines Datenschutzverstoßes reagiert, ohne die rechtlichen Konsequenzen jedes Satzes zu bedenken, riskiert, die eigene Position erheblich zu verschlechtern. Jede Stellungnahme, jede E-Mail und jede verspätete oder ungeschickte Antwort kann im späteren Verfahren gegen Sie verwendet werden. Auch scheinbar entgegenkommende Gesten – etwa das vorschnelle Einräumen eines Fehlers – können weitreichende Folgen haben.

Parallele Risiken: Aufsichtsbehörde und Bußgeld

Eine Klage eines Kunden ist häufig nicht das einzige Problem. Betroffene haben das Recht, sich zusätzlich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren – und viele tun das auch. Das kann ein eigenes behördliches Verfahren auslösen, das unabhängig vom Zivilprozess läuft. Dabei drohen nicht nur Anordnungen der Behörde, sondern unter Umständen auch empfindliche Bußgelder nach der DSGVO. Die Verteidigung in einem solchen Bußgeldverfahren folgt eigenen Regeln und muss sorgfältig mit der Prozessstrategie im Zivilverfahren abgestimmt werden. Was Sie in dem einen Verfahren vortragen, kann Auswirkungen auf das andere haben.

Persönliche Haftung des Geschäftsführers

Für GmbH-Geschäftsführer und Selbständige kommt ein weiteres Risiko hinzu: Je nach Fallgestaltung kann neben dem Unternehmen auch die verantwortliche Person persönlich in Anspruch genommen werden. Die Frage, ob und wann eine persönliche Haftung bei Datenschutzverstößen besteht, hängt von zahlreichen Faktoren ab. Entscheidend ist unter anderem, wie die internen Zuständigkeiten organisiert waren und ob die verantwortliche Person ihre Pflichten im Bereich des Datenschutzes ernst genommen hat. Die Abgrenzung zwischen Unternehmenshaftung und persönlicher Verantwortung ist alles andere als trivial.

Was auf dem Spiel steht – auch jenseits des konkreten Falls

Finanzielle Konsequenzen

Die unmittelbaren finanziellen Risiken einer Datenschutzklage gehen über den geltend gemachten Schadensersatz hinaus:

  • Schadensersatzforderungen – sowohl materiell als auch immateriell
  • Anwalts- und Gerichtskosten bei einer Niederlage im Prozess
  • Mögliche Bußgelder durch die Datenschutz-Aufsichtsbehörde in einem Parallelverfahren
  • Kosten für die nachträgliche Anpassung der eigenen Datenverarbeitungsprozesse

Reputationsrisiken für Ihr Unternehmen

Gerade für kleinere Unternehmen, Selbständige und Startups kann eine öffentlich gewordene Datenschutzklage erheblichen Reputationsschaden verursachen. Kunden, Geschäftspartner und Investoren reagieren sensibel auf Datenschutzprobleme. Ein solcher Vorfall kann das Vertrauen nachhaltig beschädigen – unabhängig davon, wie das Verfahren ausgeht. Auch das ist ein Grund, die Angelegenheit von Anfang an professionell und strategisch durchdacht anzugehen.

Nicht jede Forderung ist berechtigt

So ernst eine Klage oder Forderung wegen eines Datenschutzverstoßes auch ist – nicht jeder geltend gemachte Anspruch hält einer rechtlichen Prüfung stand. Es gibt zahlreiche Gründe, aus denen eine Schadensersatzforderung ganz oder teilweise unbegründet sein kann. Die DSGVO stellt Voraussetzungen auf, die nicht in jedem Fall erfüllt sind. Ob und in welchem Umfang eine Verteidigung Aussicht auf Erfolg hat, lässt sich allerdings nur anhand der konkreten Umstände Ihres Falls beurteilen.

Wie die Kanzlei Sie unterstützt

Wenn Sie eine Forderung oder Klage wegen eines Datenschutzverstoßes erhalten haben, ist der erste Schritt eine sachkundige Einordnung Ihrer Situation. Über die Kontaktseite können Sie Ihren Fall schildern und erhalten eine erste Einschätzung, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist. Diese Ersteinschätzung ist kostenlos und unverbindlich.

Die Kanzlei ist im Raum Kiel ansässig und berät Mandanten bundesweit. Nach einer Mandatierung erfolgt die weitere Betreuung – einschließlich Videoberatung – unabhängig von Ihrem Standort. Gerade bei Datenschutzfragen, die häufig an der Schnittstelle von DSGVO-Grundlagen, Zivilrecht und öffentlichem Recht liegen, ist eine koordinierte Betrachtung aller betroffenen Rechtsgebiete entscheidend.

  • Rechtliche Einordnung der gegen Sie erhobenen Ansprüche
  • Entwicklung einer Verteidigungsstrategie für das Zivilverfahren
  • Abstimmung mit einem möglichen Parallelverfahren vor der Aufsichtsbehörde
  • Prüfung persönlicher Haftungsrisiken bei Geschäftsführern und Inhabern
  • Begleitung bei der Kommunikation mit der Gegenseite und dem Gericht

Weiterführende Themen

Klage wegen Datenschutzverstoß erhalten? Jetzt handeln.

Schildern Sie Ihren Fall über die Kontaktseite – Sie erhalten eine kostenlose Ersteinschätzung, ob und wie anwaltliche Unterstützung in Ihrer Situation sinnvoll ist. Bundesweit erreichbar, Kanzlei im Raum Kiel.