NOVALEX
Redaktion
EuGH zur DSGVO: Kein Schadensersatz ohne individuellen Schaden
Viele Betroffene gehen davon aus: Wenn Meta gegen die DSGVO verstößt, steht mir automatisch Geld zu.
So einfach ist es jedoch nicht.
Der Europäische Gerichtshof (EuGH) hat in seiner Rechtsprechung klargestellt, dass nicht jeder Datenschutzverstoß automatisch einen Anspruch auf Schadensersatz nach Art. 82 DSGVO auslöst. Entscheidend ist vielmehr, dass ein konkreter individueller Schaden vorliegt – ein rein hypothetisches Missbrauchsrisiko genügt nicht.[1]
Für Verbraucher bedeutet das zweierlei:
- Datenschutzverstöße von Meta können weiterhin zu Schadensersatz führen.
- Der Anspruch muss sauber begründet und individuell dargelegt werden.
Gerade bei Facebook, Instagram und WhatsApp stellt sich daher immer wieder die Frage: Wann reicht ein Verstoß – und wann nicht?
Art. 82 DSGVO – Die rechtliche Grundlage
Art. 82 Abs. 1 DSGVO lautet:
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz.
Drei Voraussetzungen sind also erforderlich:
- Verstoß gegen die DSGVO
- Schaden (materiell oder immateriell)
- Kausalität zwischen Verstoß und Schaden
Der EuGH betont: Ein bloßer DSGVO-Verstoß genügt nicht.[1]
Das ist besonders relevant für Verfahren gegen Meta, etwa wegen:
- Tracking ohne Einwilligung
- Datenweitergabe an Dritte
- personalisierter Werbung ohne Rechtsgrundlage
- unzureichender Datensicherheit
- unzulässiger Profilbildung
Was sagt der EuGH konkret?
Aus den vorliegenden Informationen ergibt sich folgende Kernaussage:
- Nicht jeder DSGVO-Verstoß führt automatisch zu Schadensersatz.
- Ein bloß abstraktes oder hypothetisches Risiko reicht nicht aus.
- Es muss ein individuell zurechenbarer Schaden vorliegen.[1]
Das bedeutet jedoch nicht, dass hohe Hürden bestehen oder Betroffene faktisch leer ausgehen.
Vielmehr kommt es auf die substantielle Darlegung des immateriellen Schadens an.
Immaterieller Schaden: Was zählt wirklich?
In Meta-Fällen geht es fast immer um immaterielle Schäden, etwa:
- Kontrollverlust über persönliche Daten
- Angst vor Datenmissbrauch
- Bloßstellung oder Rufschädigung
- Gefühl der Überwachung
- unerwünschte Profilbildung
- psychische Belastung durch Datenlecks
Der EuGH stellt klar: Ein Schaden muss real sein – aber er muss keine bestimmte Erheblichkeitsschwelle überschreiten.[1]
Das ist entscheidend.
Viele Gerichte in Deutschland haben in den letzten Jahren deutlich gemacht, dass bereits ein spürbarer Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann.
Beispielhafte Entscheidungen finden Sie hier:
Warum ist das gerade für Meta relevant?
Meta ist seit Jahren Gegenstand massiver datenschutzrechtlicher Auseinandersetzungen.
Besonders relevant:
- Die irische Datenschutzbehörde (DPC) verhängte bereits eine 1,2-Milliarden-Euro-Strafe gegen Meta wegen DSGVO-Verstößen.[1]
- Der EuGH hat zudem klargestellt, dass auch Kartellbehörden Datenschutzaspekte mitprüfen dürfen, was die regulatorische Lage für Meta weiter verschärft.[1]
Das zeigt:
Die Verstöße sind keine Einzelfälle, sondern strukturelle Probleme.
Für individuelle Schadensersatzklagen bedeutet das:
- Der Verstoß ist häufig gut dokumentiert.
- Behördenentscheidungen können als Indiz dienen.
- Die eigentliche juristische Auseinandersetzung konzentriert sich oft auf die Frage des individuellen Schadens.
Reicht „Angst vor Missbrauch“ aus?
Eine häufige Frage lautet:
Ich habe Angst, dass meine Daten missbraucht werden. Reicht das?
Nach der EuGH-Linie genügt ein rein hypothetisches Risiko nicht.[1]
Aber:
Wenn Betroffene konkrete Beeinträchtigungen darlegen können – etwa:
- erhöhte Spam- oder Phishing-Angriffe
- konkrete Betrugsversuche
- psychische Belastung durch öffentliche Datenverfügbarkeit
- anhaltende Unsicherheit und Kontrollverlust
– kann sehr wohl ein ersatzfähiger immaterieller Schaden vorliegen.
Die juristische Kunst liegt darin, den Schaden konkret, nachvollziehbar und individuell darzustellen.
Personalisierte Werbung und neue Verbote
In den vorliegenden Informationen wird außerdem auf Entwicklungen hingewiesen, wonach personalisierte Werbung auf Facebook und Instagram in Europa bzw. nach nationalen Datenschutzentscheidungen untersagt wurde, unter anderem nach Maßnahmen in Norwegen.[1]
Das ist hochrelevant für Schadensersatzansprüche:
Wenn personalisierte Werbung ohne wirksame Einwilligung erfolgt, kann dies darstellen:
- unzulässige Profilbildung
- Verarbeitung sensibler Nutzerdaten
- fehlende Transparenz
- rechtswidrige Datenübermittlung
Hier entstehen häufig immaterielle Schäden durch Überwachungsdruck und Kontrollverlust.
Vertiefend dazu:
- Meta Pixel & Business Tools – Was ist das und warum ist es illegal?
- LG Lübeck: 5.000 € wegen Meta-Tracking ohne Einwilligung
Datenlecks: Wann liegt ein Schaden vor?
Gerade bei Facebook-Datenlecks argumentiert Meta häufig:
Es sei kein konkreter Schaden entstanden.
Nach der EuGH-Rechtsprechung kommt es jedoch darauf an, ob Betroffene darlegen können, dass sie tatsächlich beeinträchtigt wurden.[1]
Typische Konstellationen:
- Veröffentlichung von Telefonnummern
- Kombination aus Name, Wohnort, Geburtsdatum
- erhöhte Spam- und Betrugsgefahr
- tatsächliche Betrugsversuche
- Identitätsmissbrauch
Hier lohnt ein Blick auf:
- OLG Hamburg: 200 € pro Person nach Facebook-Datenleck?
- Facebook-Datenleck 2018/2019: Vergleich vor Abschluss?
Beweislast: Wer muss was beweisen?
Nach Art. 82 DSGVO gilt:
- Der Betroffene muss Schaden und Kausalität darlegen.
- Das Unternehmen muss sich entlasten, wenn es behauptet, nicht verantwortlich zu sein.
In der Praxis bedeutet das:
- Dokumentation von Spam-Nachrichten
- Screenshots von Profiling-Anzeigen
- Nachweis psychischer Belastung
- Darstellung konkreter Kontrollverluste
Je strukturierter der Vortrag, desto höher die Erfolgschancen.
Bedeutet das Urteil eine Verschlechterung für Verbraucher?
Nein – aber es verhindert Automatismen.
Der EuGH schafft Klarheit:
- Kein „Strafschadensersatz“ allein wegen Verstoß.
- Aber voller Ersatz bei tatsächlicher Beeinträchtigung.[1]
Das ist letztlich konsequent:
Art. 82 DSGVO ist ein Ausgleichsanspruch, kein Bußgeldinstrument.
Bußgelder verhängen Behörden – etwa die irische DPC mit ihrer Milliardenstrafe gegen Meta.[1]
Individuelle Klagen dienen dem Ausgleich persönlicher Schäden.
Strategische Bedeutung für Meta-Klagen 2026
Die aktuelle Rechtslage zeigt:
- Behörden greifen Meta zunehmend hart an.
- Europäische Gerichte entwickeln differenzierte Maßstäbe.
- Individuelle Darlegung wird immer wichtiger.
Bereits jetzt sprechen deutsche Obergerichte teils erhebliche Beträge zu:
- 1.500 €
- 3.000 €
- 5.000 € und mehr
Siehe dazu unsere Übersicht:
Die entscheidende Frage lautet also nicht:
Gibt es automatisch Geld?
Sondern:
Können Sie Ihren individuellen Schaden überzeugend darlegen?
Typische Konstellationen mit guten Erfolgsaussichten
Erfahrungsgemäß bestehen besonders gute Chancen bei:
- Nachweisbarem Tracking ohne Einwilligung
- Sensiblen Datenkategorien
- Datenlecks mit konkreten Folgeproblemen
- Kombination aus mehreren Datenschutzverstößen
- wiederholten Spam- oder Betrugsangriffen
Weniger erfolgversprechend sind rein theoretische Befürchtungen ohne konkrete Auswirkungen.
Fazit: Kein Automatismus – aber reale Chancen
Der EuGH hat die Leitplanken gesetzt:[1]
- Kein Schadensersatz ohne Schaden.
- Kein Ersatz für rein hypothetische Risiken.
- Aber vollständiger Anspruch bei tatsächlicher Beeinträchtigung.
Für Betroffene von Meta-Datenschutzverstößen bedeutet das:
✅ Gute Chancen bei sauberer individueller Begründung
✅ Behördenentscheidungen stärken die Argumentation
✅ Deutsche Gerichte sprechen zunehmend relevante Beträge zu
Wer betroffen ist, sollte seine Situation individuell prüfen lassen.
Jetzt individuelle Ansprüche prüfen lassen
Ob Tracking, Datenleck, Profilbildung oder unzulässige Werbung – entscheidend ist die konkrete Betroffenheit.
Lassen Sie unverbindlich prüfen, ob in Ihrem Fall ein ersatzfähiger Schaden nach Art. 82 DSGVO vorliegt.
→ Jetzt kostenlos Anspruch prüfen