Logo Brandauer Rechtsanwälte

DSGVO-Schadenersatz in Österreich 2026 — Art 82 DSGVO und die aktuelle OGH-/EuGH-Linie

Wer in Österreich von einem Datenschutzverstoß betroffen ist, kann nach Art 82 DSGVO Schadenersatz verlangen — auch für rein immaterielle Beeinträchtigungen wie Kontrollverlust, Angst oder Sorge. Die Rechtsprechung dazu hat sich seit Mai 2023 fundamental verändert: Eine sogenannte „Bagatellschwelle“ gibt es nicht mehr, dafür verlangen EuGH und OGH eine konkrete, nachvollziehbare Darstellung des erlittenen Schadens. Stand Mai 2026 prägen drei Urteile die aktuelle Linie: EuGH C-655/23 „Quirin Privatbank“ vom 04.09.2025, EuGH C-526/24 „Brillen Rottler“ vom 19.03.2026 und der österreichische OGH 6 Ob 113/24x vom 03.07.2025. Dieser Beitrag erklärt, wann ein Schadenersatzanspruch realistisch ist, welche Beweise Sie brauchen und welcher Weg — Datenschutzbehörde oder Zivilgericht — für welches Ziel der richtige ist.

Welche Art von DSGVO-Verstoß ist Ihnen widerfahren? Wir prüfen, ob Ihr Fall vor Gericht Aussicht auf Erfolg hat und welche Schritte zu setzen sind. Jetzt anfragen ↓

Inhalt dieses Beitrags

Was ist DSGVO-Schadenersatz nach Art 82 DSGVO?

Art 82 Abs 1 DSGVO gibt jeder Person, „der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter. Drei Punkte sind wichtig: Erstens, der Anspruch besteht unmittelbar aus der Verordnung — es braucht keine zusätzliche nationale Anspruchsgrundlage. Zweitens, ersatzfähig sind sowohl Vermögensschäden (etwa Kosten der Schadensbehebung, entgangener Verdienst) als auch immaterielle Schäden (Angst, Sorge, Kontrollverlust über die eigenen Daten). Drittens, der Anspruch richtet sich gegen das Unternehmen oder die Stelle, die für die Datenverarbeitung verantwortlich ist — nicht gegen einzelne Mitarbeiterinnen oder Mitarbeiter. Welche organisatorischen Pflichten die DSGVO Unternehmen auferlegt, behandelt unser Beitrag DSGVO für Unternehmen in Österreich 2026 im Detail.

Wer Schadenersatz nach Art 82 DSGVO einklagt, muss vier Punkte schlüssig darstellen: einen Verstoß gegen die DSGVO, einen tatsächlich eingetretenen Schaden, den Kausalzusammenhang zwischen Verstoß und Schaden — und (im Innenverhältnis zwischen Geschädigtem und Verantwortlichem) keine alleinige Mitverursachung durch den Anspruchsteller. Der Verantwortliche kann sich nach Art 82 Abs 3 DSGVO exkulpieren, wenn er nachweist, dass er „in keinerlei Hinsicht“ für den schadensbegründenden Umstand verantwortlich ist.

Infografik

Die vier Voraussetzungen des Art 82 DSGVO

Was Sie für einen Anspruch nachweisen müssen

⚖️
DSGVO-Verstoß
Voraussetzung 1

Eine Bestimmung der DSGVO muss objektiv verletzt sein — Datenpanne, fehlende Rechtsgrundlage, unzureichende Auskunft oder Ähnliches.

💔
Konkreter Schaden
Voraussetzung 2

Materieller Schaden (Geld, Kosten) oder immaterieller Schaden (Angst, Sorge, Kontrollverlust) — konkret und nachvollziehbar.

🔗
Kausalität
Voraussetzung 3

Der Schaden muss kausal auf den DSGVO-Verstoß zurückgehen — ohne Verstoß wäre der Schaden nicht eingetreten.

🛡️
Keine Exkulpation
Voraussetzung 4

Der Verantwortliche kann nach Art 82 Abs 3 DSGVO entlastet werden, wenn er gar nicht für den Umstand einstehen muss.

Wichtig zur Abgrenzung: Art 82 DSGVO ersetzt das nationale Schadenersatzrecht nicht vollständig. Wo die DSGVO eigene Vorgaben macht (Anspruchsgrundlage, Haftungsverteilung zwischen Verantwortlichen und Auftragsverarbeitern, Exkulpation), gelten ausschließlich diese unionsrechtlichen Maßstäbe. Verfahrensrechtliche Fragen wie Zuständigkeit, Streitwert oder Verjährung richten sich aber weiter nach österreichischem Recht. Eine ausführliche Darstellung des klassischen Schadenersatzrechts in Österreich finden Sie auf unserer Schwerpunktseite.

EuGH-Linie 2023 bis 2026: Vom Wegfall der Bagatellschwelle zum Kontrollverlust

Die heutige Auslegung des Art 82 DSGVO ist das Ergebnis einer Serie von EuGH-Urteilen seit Mai 2023. Anfangs ging es um die Grundfrage, ob auch geringfügige Beeinträchtigungen Schadenersatz auslösen können. Inzwischen sind die Linien deutlich feiner: Der EuGH grenzt klar zwischen Verstoß und Schaden ab, anerkennt negative Gefühle als ersatzfähigen Schaden — und schließt zugleich missbräuchliches Klagsverhalten aus.

EuGH-Rechtsprechung zu Art 82 DSGVO
Mai 2023 bis März 2026
2023
Mai
C-300/21 „Österreichische Post“
Erstes EuGH-Grundsatzurteil: Eine „Erheblichkeitsschwelle“ gibt es nicht. Auch geringe immaterielle Schäden sind ersatzfähig — der bloße DSGVO-Verstoß allein begründet aber keinen Anspruch.
2023
Dez
C-340/21 (bulgarisches Hackerangriff-Verfahren)
Auch die Befürchtung künftigen Datenmissbrauchs nach einem Hackerangriff kann ein ersatzfähiger immaterieller Schaden sein — vorausgesetzt, die Befürchtung ist begründet und nicht rein hypothetisch.
2024
Jun
C-456/22 (Identitätsdiebstahl)
Voraussetzungen werden präzisiert: Schaden und Kausalität müssen konkret nachgewiesen sein. Identitätsdiebstahl kann ersatzfähig sein, sofern die DSGVO-Vorgaben mitursächlich waren.
2025
Sep
C-655/23 „Quirin Privatbank“ (04.09.2025)
Drei zentrale Aussagen: (1) Negative Gefühle (Angst, Sorge, Ärger) als Folge eines Kontrollverlusts sind ein ersatzfähiger immaterieller Schaden — die kausale Verknüpfung muss aber konkret dargelegt werden. (2) Die Schwere des Verschuldens des Verantwortlichen ist für die Bemessung des Schadenersatzes unerheblich; Art 82 ist kompensatorisch, nicht punitiv. (3) Eine Unterlassungsverfügung mindert die Höhe des Schadenersatzes nicht — beide Rechtsbehelfe stehen nebeneinander.
2026
Mär
C-526/24 „Brillen Rottler“ (19.03.2026)
Zwei Verschiebungen zugleich: Schadenersatz nach Art 82 kann grundsätzlich an jeden DSGVO-Verstoß anknüpfen — auch an reine Formverstöße wie eine unzureichende Auskunft nach Art 15. Verfolgt die betroffene Person mit ihrem eigenen Verhalten aber primär das Ziel, einen Schadensfall zu konstruieren („DSGVO-Hopping“), kann das den Kausalzusammenhang unterbrechen und einen Anspruch ausschließen.

Mit der Trilogie 2023/2024 hat der EuGH die Grundlagen gelegt: keine Bagatellschwelle, klare Trennung zwischen Verstoß und Schaden, Anerkennung immaterieller Beeinträchtigungen. Die Urteile 2025 und 2026 fügen jetzt drei wichtige Schärfungen hinzu. Erstens: Negative Gefühle sind ausdrücklich ein ersatzfähiger Schaden, aber sie müssen konkret dargelegt werden. Eine pauschale „Verärgerung“ reicht nicht — die betroffene Person muss schildern, wie sich der Kontrollverlust auf ihr Leben ausgewirkt hat. Zweitens: Das Verschulden des Verantwortlichen spielt für die Bemessung der Schadenersatzhöhe keine Rolle. Ein „schlimmer“ Verstoß führt nicht automatisch zu mehr Geld — kompensiert wird der tatsächliche Schaden. Drittens: Wer die DSGVO missbraucht, um Schadenersatz-Klagen zu konstruieren, riskiert den Anspruch zur Gänze.

💡 Praxistipp: Unterlassung und Schadenersatz parallel

Wenn Sie als betroffene Person sowohl die Beseitigung des Verstoßes (etwa die Löschung der unrechtmäßig verarbeiteten Daten) als auch Schadenersatz wollen, schließen sich diese Rechtsbehelfe nicht gegenseitig aus. Der EuGH hat in C-655/23 ausdrücklich klargestellt: Die Unterlassungsverfügung mindert die Höhe des Schadenersatzes nicht. Beide Ansprüche sollten — wenn sinnvoll — gemeinsam geltend gemacht werden.

OGH 6 Ob 113/24x: Die österreichische Leitlinie 2025

Der österreichische Oberste Gerichtshof hat am 03.07.2025 in der Entscheidung 6 Ob 113/24x die wichtigsten EuGH-Vorgaben konsolidiert und in eine klare nationale Linie überführt. Der Sachverhalt: Ein Logistik- und Direktmarketing-Unternehmen hatte personenbezogene Daten eines Klägers — unter anderem Attribute wie „Bio-Affinität“ und Anlagepräferenzen — unrechtmäßig gespeichert. Der Kläger verlangte 7.000 EUR Schadenersatz, stützte sich aber im Wesentlichen auf den Verstoß als solchen und legte keinen konkreten immateriellen Schaden dar. Der OGH wies die Klage ab.

Die Entscheidung formuliert drei kumulative Voraussetzungen für einen Anspruch nach Art 82 DSGVO — und stellt klar, dass Art 82 keinen Sanktionszweck verfolgt. Der Anspruch dient ausschließlich dem Ausgleich tatsächlich erlittenen Schadens; ein Aufschlag zur „Bestrafung“ des Unternehmens findet nicht statt.

OGH 6 Ob 113/24x — Drei kumulative Voraussetzungen
Konsolidierung der EuGH-Linie für Österreich, 03.07.2025
1
DSGVO-Verstoß — eine objektive Verletzung einer Bestimmung der Verordnung. Der OGH stellt klar: Der Verstoß ist Voraussetzung, aber nicht selbst der Schaden.
2
Tatsächlich eingetretener Schaden — materiell (Vermögen) oder immateriell (Angst, Sorge, Kontrollverlust). Der Anspruchsteller muss konkret darlegen, worin der Schaden besteht — Behauptungen ohne Substrat genügen nicht.
3
Kausalzusammenhang — der Schaden muss kausal auf den DSGVO-Verstoß zurückgehen. Bei nicht-konkretisierter Schadensbehauptung scheitert auch der Kausalitätsnachweis.
Kein Sanktionszweck: Art 82 DSGVO ist nach OGH 6 Ob 113/24x ausschließlich kompensatorisch ausgerichtet. Eine „Strafkomponente“ wegen besonders rücksichtsloser Datenverarbeitung gibt es im Schadenersatzprozess nicht — solche Aspekte gehören in das DSB-Verfahren und die Verhängung von Geldbußen nach Art 83 DSGVO.
💡 Praxistipp: Wie Sie einen immateriellen Schaden konkretisieren

Halten Sie unmittelbar nach Bekanntwerden des Verstoßes schriftlich fest, wie sich der Vorfall auf Ihr Leben auswirkt: Schlaflose Nächte, Sorge vor Identitätsdiebstahl, Aufwand für Passwort-Änderungen, Konto-Sperrungen, Gespräche mit der Bank. Diese Tagebuch-Notizen sind im Prozess wertvoll. Zusätzlich hilft jeder Beleg, der den Aufwand objektiviert — etwa Kontoauszüge mit Sperrgebühren, Zeugen für die emotionale Belastung oder ärztliche Bestätigungen, wenn die Belastung gesundheitliche Folgen hatte.

Keine Bagatellschwelle, aber konkrete Schadensdarlegung

Vor 2023 war in Österreich umstritten, ob es eine sogenannte „Erheblichkeitsschwelle“ gibt — also einen Mindestbetrag oder eine Mindestintensität, ab der ein immaterieller DSGVO-Schaden überhaupt ersatzfähig ist. Der EuGH hat diese Frage in C-300/21 verneint: Eine Schwelle gibt es nicht. Auch geringe Beeinträchtigungen sind ersatzfähig. Das bedeutet aber nicht, dass jeder DSGVO-Verstoß automatisch Geld bringt — denn der OGH verlangt, dass die betroffene Person den Schaden konkret darstellt. Faktisch wirkt diese Darlegungslast wie eine Bagatellschwelle: Wer nichts Konkretes zu seinem Schaden vortragen kann, bekommt nichts.

Nicht ersatzfähig in der Praxis
Klage wird typischerweise abgewiesen
  • „Mein Postfach wurde mit Werbung überschwemmt“ — ohne konkrete Schilderung der Belastung
  • „Ich bin verärgert, dass meine Daten weitergegeben wurden“ — ohne weitere Auswirkungen
  • „Theoretisch könnte jemand meine Daten missbrauchen“ — rein hypothetische Sorge
  • Pauschale Forderungen ohne Bezug zum konkreten Vorfall
Achtung: Nach OGH 6 Ob 113/24x scheitern Klagen ohne konkreten Schadensvortrag bereits an der Schlüssigkeit.
Ersatzfähig in der Praxis
Schaden konkret und nachvollziehbar dargelegt
  • Begründete Sorge nach Datenleck (Bank-, Gesundheits- oder Identitätsdaten betroffen)
  • Konkrete Folgen wie Konto-Sperrung, Passwort-Wechsel, Phishing-Versuche
  • Schlafstörungen, dokumentierte Belastungssituation, ärztliche Bestätigung
  • Materielle Folgekosten (Sperrgebühren, Anwaltskosten zur Klärung)
Empfehlung: Den Schaden so präzise wie möglich beschreiben — wer, was, wann, mit welchen Folgen.

Die in der Praxis zugesprochenen Beträge bewegen sich nach österreichischen und unionsweiten Entscheidungen in einer breiten Spanne. Niedrige drei- bis mittlere vierstellige Eurobeträge sind typisch für klar dokumentierte immaterielle Schäden bei einer einzelnen Person. Höhere Beträge sind dort denkbar, wo der Schaden besonders intensiv ist (etwa wenn besondere Datenkategorien wie Gesundheits- oder Strafdaten betroffen sind) oder zusätzlich konkrete Vermögensschäden entstehen. Eine pauschale „Tarifierung“ gibt es nicht — jeder Fall wird einzeln bewertet.

Termin vereinbaren — Erstgespräch

Typische DSGVO-Schadenersatz-Fälle in der Praxis

In der Beratungspraxis wiederholen sich bestimmte Konstellationen, in denen ein DSGVO-Schadenersatzanspruch realistisch ist. Die folgende Übersicht hilft bei der Einordnung — sie ersetzt aber keine individuelle Prüfung, weil jeder Fall vom konkreten Schadensvortrag abhängt.

✅ Typische Fallgruppen — wann ein Anspruch realistisch ist
Datenpannen mit Bank-, Gesundheits- oder Identitätsdaten — wenn besondere Datenkategorien betroffen sind, ist die Befürchtung künftigen Missbrauchs nach C-340/21 typischerweise nachvollziehbar.
Unrechtmäßige Datenweitergabe an Werbepartner oder Bonitätsauskunfteien — etwa wenn Kundendaten ohne Einwilligung zu Direktmarketing-Zwecken oder zur Scoring-Berechnung übermittelt werden.
Auskunft nach Art 15 DSGVO unzureichend oder gar nicht erteilt — nach EuGH C-526/24 kann auch dieser reine Formverstoß Schadenersatz auslösen, sofern ein konkreter Schaden folgt.
Löschung nach Art 17 DSGVO verweigert oder verschleppt — vor allem bei sensiblen Inhalten (etwa veralteten oder unrichtigen Daten in öffentlichen Verzeichnissen).
Direktmarketing ohne Einwilligung trotz Widerspruch — wenn ein Werbewiderspruch nach Art 21 DSGVO ignoriert wird und Belästigung anhält, kann ein immaterieller Schaden entstehen.
Identitätsdiebstahl als Folge eines Sicherheitsmangels — wenn ein Verantwortlicher den Stand der Technik nach Art 32 DSGVO nicht eingehalten hat und es zu einem Folgeschaden kommt (siehe C-456/22).

Hinweis zur Abgrenzung: Verstöße gegen die DSGVO können doppelte Folgen haben — sie können zu Geldbußen der Datenschutzbehörde führen (vergleiche unseren Beitrag DSGVO-Strafen in Österreich 2026) und gleichzeitig zivilrechtlichen Schadenersatzansprüchen einzelner Betroffener nach Art 82 DSGVO. Die beiden Wege sind unabhängig: Die DSB sanktioniert das Unternehmen, der Schadenersatz kommt dem Geschädigten zugute.

DSGVO-Klage: Verfahren, Zuständigkeit, Beweislast

Wer Schadenersatz nach Art 82 DSGVO durchsetzen will, muss zwischen zwei Wegen unterscheiden: dem Beschwerdeverfahren bei der Datenschutzbehörde und der Zivilklage. Beide haben unterschiedliche Funktionen, und nur einer führt zu Geld.

DSB-Beschwerde versus Zivilklage

Die Datenschutzbehörde (DSB) ist die zuständige Aufsichtsbehörde nach Art 51 ff DSGVO. Sie prüft Beschwerden, kann Verstöße feststellen, Anordnungen treffen und Geldbußen nach Art 83 DSGVO verhängen. Was die DSB nicht kann: einen Schadenersatzanspruch nach Art 82 DSGVO zusprechen. Schadenersatz ist ein zivilrechtlicher Anspruch und gehört vor die ordentlichen Gerichte. Die DSB-Beschwerde ist trotzdem hilfreich — der Feststellungsbescheid kann im späteren Zivilverfahren als Beweismittel dienen, weil er den DSGVO-Verstoß autoritativ feststellt. Die Beschwerde ist auch kostenfrei und für viele Betroffene der erste niederschwellige Schritt.

Eine DSB-Beschwerde ist keine Voraussetzung für eine Zivilklage — Sie können auch ohne vorherige Beschwerde direkt Klage erheben. In der Praxis empfiehlt sich aber häufig der zweistufige Weg: zuerst DSB-Beschwerde, dann auf Basis des Bescheids Zivilklage auf Schadenersatz.

Gerichtsstand und Zuständigkeit

Sachlich zuständig ist das Bezirksgericht bis zu einem Streitwert von 15.000 EUR, ab 15.000,01 EUR das Landesgericht. Örtlich zuständig ist nach Art 79 Abs 2 DSGVO das Gericht am Ort der Hauptniederlassung des Verantwortlichen — oder, wahlweise, am gewöhnlichen Aufenthaltsort der betroffenen Person. Diese Wahlmöglichkeit ist für Mandanten in Salzburg wichtig: Eine Klage gegen ein Unternehmen mit Sitz in Wien oder im EU-Ausland kann grundsätzlich am Wohnsitzgericht in Österreich eingebracht werden.

Beweislast und Darlegungspflicht

Die Beweislast für DSGVO-Verstoß, Schaden und Kausalität trägt grundsätzlich der Anspruchsteller. Eine Erleichterung gilt für die Exkulpation nach Art 82 Abs 3 DSGVO: Der Verantwortliche muss seinerseits nachweisen, dass er „in keinerlei Hinsicht“ für den schadensbegründenden Umstand verantwortlich ist. Das ist eine hohe Schwelle. In der Sache läuft die Beweisführung typischerweise wie folgt: Der Klägervortrag schildert Vorfall, Schaden und Kausalität konkret; der DSB-Bescheid (sofern vorhanden) belegt den Verstoß; Beilagen zu Schaden und Folgen werden vorgelegt; gegebenenfalls werden Zeugen geführt oder Sachverständige beigezogen.

Verjährung

Die Verjährungsfrist richtet sich nach nationalem Recht. In Österreich gilt für Schadenersatzansprüche nach Art 82 DSGVO die dreijährige Verjährungsfrist des § 1489 ABGB, gerechnet ab Kenntnis von Schaden und Schädiger. Diese Frist wird durch eine DSB-Beschwerde nicht gehemmt — wer also auf einen Bescheid wartet, sollte die zivilrechtliche Verjährung im Blick behalten und gegebenenfalls vorsorglich Klage einbringen oder die Verjährung anders unterbrechen.

Häufige Fehler bei DSGVO-Schadenersatz-Klagen

Aus unserer Beratungspraxis wiederholen sich bestimmte Fehler, die DSGVO-Schadenersatz-Klagen scheitern lassen — oder den Streitwert unnötig schmälern. Diese vermeidbaren Stolperfallen sollten Sie kennen.

Klage allein auf den Verstoß stützen
Der häufigste Fehler: Der Kläger argumentiert, der DSGVO-Verstoß als solcher sei schon der Schaden. Nach OGH 6 Ob 113/24x reicht das nicht. Der konkrete immaterielle oder materielle Schaden muss eigenständig dargestellt werden.
Pauschale Höhe ohne Begründung fordern
Wer 5.000 oder 10.000 EUR Pauschalbetrag fordert, ohne die Höhe nachvollziehbar zu begründen, signalisiert dem Gericht eine schwach vorbereitete Klage. Die Höhe sollte aus dem Schadensbild abgeleitet werden — Intensität, Dauer, betroffene Datenkategorien.
Verschulden des Verantwortlichen überbetonen
Nach C-655/23 ist die Schwere des Verschuldens für die Bemessung des Schadenersatzes irrelevant. Argumente, das Unternehmen habe „besonders fahrlässig“ gehandelt, helfen vor Gericht nicht — sie gehören in das DSB-Verfahren mit Geldbußen-Bemessung nach Art 83 DSGVO.
Serielle Auskunftsanträge stellen
Wer Auskunftsanträge nach Art 15 DSGVO in großer Zahl und ohne erkennbares eigenes Datenschutzinteresse stellt, riskiert nach C-526/24 die Unterbrechung des Kausalzusammenhangs. „DSGVO-Hopping“ zur Konstruktion von Klagsfällen schließt den Anspruch aus.
DSB-Beschwerde mit Schadenersatzklage verwechseln
Die Datenschutzbehörde kann keinen Schadenersatz zusprechen. Wer im Beschwerdeantrag „Schadenersatz“ verlangt, bekommt allenfalls eine Feststellung des Verstoßes — das Geld muss separat vor dem Zivilgericht erstritten werden.
Verjährung nicht im Blick behalten
Eine DSB-Beschwerde hemmt die zivilrechtliche Verjährung nicht. Wer drei Jahre auf einen Bescheid wartet, hat unter Umständen den Schadenersatzanspruch verloren. Parallel arbeiten oder vorsorglich klagen ist sicherer.

Wie wir Ihnen helfen können

Brandauer Rechtsanwälte prüft DSGVO-Schadenersatzfälle in Salzburg und österreichweit. Wir klären zunächst, ob ein Verstoß vorliegt und ob er sich konkret und nachvollziehbar zu einem Schaden verdichtet hat — diese Vorprüfung entscheidet darüber, ob sich eine Klage lohnt oder ob ein anderer Weg (DSB-Beschwerde, außergerichtliche Erklärung, Vergleich) sinnvoller ist. Wenn ein Verfahren Erfolg verspricht, übernehmen wir die DSB-Beschwerde, die Klagseinbringung am Zivilgericht und die Vertretung bis zur Entscheidung. Wir bewerten die Beweislage, formulieren den Schadensvortrag im Lichte der aktuellen OGH- und EuGH-Linie und stimmen uns mit Ihnen über Strategie, Streitwert und Kostenrisiko ab.

Stand Mai 2026 ist die Linie zu Art 82 DSGVO durch die Urteilsserie seit 2023 — zuletzt EuGH C-655/23 und C-526/24 sowie OGH 6 Ob 113/24x — weitgehend gefestigt. Weitere Klarstellungen durch laufende Vorlageverfahren sind möglich; wir aktualisieren diesen Beitrag bei wesentlichen Neuerungen. Auch das anhängige Rechtsmittel im EuG-Verfahren T-354/22 (Bindl gegen EU-Kommission) zu Drittlandtransfers wird die Entwicklung weiter prägen.

📌 Das Wichtigste auf einen Blick
1. Art 82 DSGVO verlangt drei Voraussetzungen — DSGVO-Verstoß, konkreten Schaden, Kausalität. Der bloße Verstoß genügt nicht (OGH 6 Ob 113/24x vom 03.07.2025).
2. Eine Bagatellschwelle gibt es nicht (C-300/21), faktisch wirkt die Darlegungslast aber als Filter — wer den Schaden nicht konkret beschreibt, bekommt nichts.
3. Negative Gefühle und Kontrollverlust sind ersatzfähig, das Verschulden des Verantwortlichen wirkt sich aber nicht auf die Schadenshöhe aus (EuGH C-655/23 vom 04.09.2025).
4. Auch reine Formverstöße (Art 15-Auskunft) können Schadenersatz auslösen, missbräuchliches Klagsverhalten unterbricht aber die Kausalität (EuGH C-526/24 vom 19.03.2026).
5. Zuständig ist das Zivilgericht (BG bis 15.000 EUR, sonst LG), die DSB kann keinen Schadenersatz zusprechen — nur den Verstoß feststellen und Bußgelder verhängen.
6. Verjährung drei Jahre ab Kenntnis (§ 1489 ABGB) — eine DSB-Beschwerde hemmt die Frist nicht; parallele Klageeinbringung im Zweifel sicherer.

Häufige Fragen zum DSGVO-Schadenersatz

Reicht ein DSGVO-Verstoß für sich allein für einen Schadenersatzanspruch?

Nein. Nach OGH 6 Ob 113/24x vom 03.07.2025 müssen drei Voraussetzungen kumulativ vorliegen: ein DSGVO-Verstoß, ein konkret eingetretener materieller oder immaterieller Schaden und ein Kausalzusammenhang zwischen beiden. Der Verstoß als solcher ist Voraussetzung, aber nicht selbst der Schaden.

Wie viel Schadenersatz ist bei einer Datenpanne realistisch?

Eine pauschale Tarifierung gibt es nicht. Die Höhe hängt vom konkreten Schadensbild ab — Intensität der Belastung, betroffene Datenkategorien, Dauer und Folgen des Vorfalls. Niedrige drei- bis mittlere vierstellige Eurobeträge sind in der Praxis bei klar dokumentierten immateriellen Einzelfall-Schäden typisch. Höher sind Beträge bei besonders sensiblen Daten oder konkreten Folgeschäden.

Sind negative Gefühle wie Angst oder Sorge ein ersatzfähiger Schaden?

Ja. Der EuGH hat in C-655/23 „Quirin Privatbank“ vom 04.09.2025 bestätigt, dass negative Gefühle als Folge eines Kontrollverlusts über personenbezogene Daten einen ersatzfähigen immateriellen Schaden bilden können. Voraussetzung ist, dass die betroffene Person die Gefühle und ihre Auswirkungen konkret darlegt — nicht jede „Verärgerung“ reicht aus.

Kann ich Schadenersatz direkt bei der Datenschutzbehörde verlangen?

Nein. Die DSB kann den DSGVO-Verstoß feststellen, Anordnungen treffen und Geldbußen nach Art 83 DSGVO verhängen — aber keinen Schadenersatz nach Art 82 DSGVO zusprechen. Schadenersatz ist ein zivilrechtlicher Anspruch und wird vor dem Bezirksgericht (bis 15.000 EUR) oder Landesgericht eingeklagt. Die DSB-Beschwerde ist trotzdem hilfreich, weil der Bescheid im Zivilprozess als Beweismittel dient.

Wann verjährt mein DSGVO-Schadenersatzanspruch?

Die Verjährungsfrist beträgt drei Jahre nach § 1489 ABGB, gerechnet ab Kenntnis von Schaden und Schädiger. Wichtig: Eine laufende DSB-Beschwerde hemmt die zivilrechtliche Verjährung nicht. Wer den Bescheid abwartet, riskiert, dass der zivilrechtliche Anspruch verjährt — gegebenenfalls ist eine parallele oder vorsorgliche Klage sinnvoll.

Kann ich auch bei einem reinen Auskunftsverstoß nach Art 15 DSGVO Schadenersatz verlangen?

Grundsätzlich ja. Der EuGH hat in C-526/24 „Brillen Rottler“ vom 19.03.2026 klargestellt, dass Schadenersatz an jeden DSGVO-Verstoß anknüpfen kann — auch an einen reinen Formverstoß wie eine unzureichende Auskunft. Allerdings muss auch hier ein konkreter Schaden vorliegen, und missbräuchliches Verhalten (etwa serielles „DSGVO-Hopping“) kann die Kausalität unterbrechen.

Jetzt unverbindlich anfragen

Füllen Sie das Formular aus und beschreiben Sie Ihre Situation. Wir melden uns in Kürze bei Ihnen.

Schritt 1 von 3Ihre Kontaktdaten

Welches Gericht ist für meine DSGVO-Klage zuständig?

Sachlich das Bezirksgericht bis zu einem Streitwert von 15.000 EUR, ab 15.000,01 EUR das Landesgericht. Örtlich nach Art 79 Abs 2 DSGVO entweder das Gericht am Sitz des verantwortlichen Unternehmens — oder, wahlweise, das Gericht an Ihrem gewöhnlichen Aufenthaltsort. Für österreichische Mandanten bedeutet das: Eine Klage gegen ein Unternehmen mit Sitz im EU-Ausland kann am Wohnsitzgericht in Österreich eingebracht werden.