kostenlos starten

Verjährung bei Datenschutzverletzungen: Fristen nach BGB und DSGVO

Unter Verjährung bei Datenschutzverletzungen versteht man den Zeitraum, nach dessen Ablauf Ansprüche aus einer Datenschutzverletzung, wie Schadensersatzforderungen oder Bußgelder, rechtlich nicht mehr durchgesetzt werden können. Die DSGVO selbst enthält keine Regelung zur Verjährung von Datenschutzverletzungen. Es gelten daher die nationalen Verjährungsvorschriften des jeweiligen Mitgliedstaats. In Deutschland sind das primär die Regelungen des Bürgerlichen Gesetzbuchs (BGB) und des Ordnungswidrigkeitengesetzes (OWiG).

Verjährung für Schadensersatzansprüche (Art. 82 DSGVO)

Für Schadensersatzansprüche nach Art. 82 DSGVO gilt die reguläre Verjährungsfrist nach § 195 BGB: drei Jahre. Diese Frist ist eine sogenannte regelmäßige Verjährungsfrist. Sie beginnt gemäß § 199 BGB am Ende des Jahres, in dem:

  1. der Anspruch entstanden ist und
  2. der Gläubiger (Betroffene) Kenntnis von den anspruchsbegründenden Umständen und der Person des Schuldners erlangt hat oder hätte erlangen müssen.

Die Kenntnis des Betroffenen ist hierbei entscheidend. Ohne diese Kenntnis beginnt die Frist nicht zu laufen. Dies schützt den Betroffenen, der möglicherweise erst spät von einer Datenschutzverletzung erfährt. Der Europäische Gerichtshof hat in jüngsten Urteilen, wie EuGH C-340/21, klargestellt, dass bereits ein bloßer Kontrollverlust über personenbezogene Daten nach einem Hackerangriff einen immateriellen Schaden begründen kann, auch ohne nachgewiesenen Missbrauch. Dies erleichtert Betroffenen die Geltendmachung von Ansprüchen und beeinflusst den Beginn der Verjährungsfrist, da die Kenntnis des Kontrollverlusts ausreicht.

Praxisbeispiel

Eine Datenpanne tritt im März 2024 auf. Ein Unternehmen verliert dabei Kundendaten. Der Betroffene erfährt davon im Juli 2024 durch eine Benachrichtigung des Unternehmens. Die Verjährungsfrist beginnt am 31. Dezember 2024 und endet am 31. Dezember 2027. Der Betroffene muss seinen Anspruch vor Ablauf dieses Datums geltend machen. Würde der Betroffene erst im Januar 2025 von der Datenpanne erfahren, würde die Frist erst am 31. Dezember 2025 beginnen und am 31. Dezember 2028 enden.

Verjährung für Bußgelder (Art. 83 DSGVO)

Bei Bußgeldern gelten andere Regeln. Das Ordnungswidrigkeitengesetz (OWiG) sieht für Bußgeldbescheide nach DSGVO eine Verjährungsfrist von 3 Jahren vor (§ 31 Abs. 2 Nr. 1 OWiG bei Bußgeldern über 15.000 EUR). Bei geringeren Bußgeldern gilt § 31 Abs. 2 Nr. 2 OWiG: 2 Jahre. Die Frist beginnt mit dem Ende der Tat bzw. dem Abschluss der Zuwiderhandlung. Eine Zuwiderhandlung kann auch ein Dauerdelikt sein, bei dem die Frist erst mit Beendigung des Verstoßes beginnt. Art. 83 Abs. 4 lit. a DSGVO sieht Geldbußen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor, was die Relevanz dieser Fristen unterstreicht. Das LG Bonn 29 OWi 1/20 hat beispielsweise entschieden, dass unzureichende Authentifizierungsmaßnahmen bei einer Kundenhotline einen Verstoß gegen Art. 32 DSGVO darstellen, der zu einem Bußgeld führen kann.

Dokumentationspflicht und Verjährung

Art. 33 Abs. 5 DSGVO schreibt vor, dass Unternehmen alle Datenpannen — auch solche ohne Meldepflicht — dokumentieren müssen. Diese Dokumentation ist essenziell, um im Falle einer Prüfung oder eines Rechtsstreits die Einhaltung der DSGVO nachweisen zu können. Angesichts der Verjährungsfristen empfiehlt es sich, diese Dokumentation mindestens 3 bis 5 Jahre aufzubewahren. So können Sie im Streitfall nachweisen, welche Maßnahmen Sie ergriffen haben und wann Sie von dem Vorfall Kenntnis erlangt haben. Eine lückenlose Dokumentation kann auch dazu beitragen, die Verjährungsfristen korrekt zu bestimmen und gegebenenfalls eine Hemmung oder einen Neubeginn der Frist zu belegen.

Mehr zum Thema Meldepflicht: Datenschutzverletzung melden nach Art. 33 DSGVO.

Datenpannen systematisch dokumentieren mit PLANIT // PRIMA.

Verjährungshemmung und -unterbrechung

Die Verjährungsfrist kann gehemmt oder unterbrochen werden:

  • Hemmung (§ 203 BGB): Schwebende Verhandlungen zwischen Gläubiger und Schuldner hemmen die Verjährung. Wenn Sie also mit einem betroffenen Mitarbeiter oder Kunden außergerichtlich über Schadensersatz verhandeln, läuft die Frist nicht weiter. Dies gibt beiden Parteien Zeit, eine einvernehmliche Lösung zu finden, ohne den Druck einer ablaufenden Verjährungsfrist. Die Hemmung endet sechs Monate nach dem Ende der Verhandlungen.
  • Neubeginn (§ 212 BGB): Eine Anerkennung des Anspruchs durch den Schuldner (z. B. durch Teilzahlung oder schriftliche Bestätigung) lässt die Verjährung neu beginnen. Auch die Vornahme einer gerichtlichen oder behördlichen Geltendmachung des Anspruchs kann einen Neubeginn bewirken. Dies ist wichtig, um die Rechte des Betroffenen zu wahren, selbst wenn die ursprüngliche Frist fast abgelaufen ist.

Absolute Verjährungsfrist nach § 199 Abs. 4 BGB

Unabhängig von der Kenntnis des Betroffenen gilt: Schadensersatzansprüche nach Art. 82 DSGVO verjähren spätestens nach 10 Jahren ab Entstehung des Anspruchs (§ 199 Abs. 4 BGB). Diese absolute Frist läuft parallel zur kenntnisabhängigen 3-Jahres-Frist — die zuerst ablaufende Frist ist maßgeblich. Das bedeutet, selbst wenn der Betroffene erst nach neun Jahren von der Datenpanne erfährt, hat er nur noch ein Jahr Zeit, seinen Anspruch geltend zu machen. Diese absolute Frist dient der Rechtssicherheit und verhindert, dass Ansprüche unbegrenzt lange geltend gemacht werden können. Der BGH hat in seinem Urteil VI ZR 10/24 bestätigt, dass auch ein kurzzeitiger Verlust der Kontrolle über Daten, wie beim Facebook-Scraping, einen immateriellen Schaden nach Art. 82 DSGVO begründen kann, was die Relevanz dieser Fristen weiter unterstreicht.

Vorsichtsmaßnahme: Proaktive Kommunikation bei Datenpannen

Wenn Sie Betroffene gemäß Art. 34 DSGVO benachrichtigen, beginnt die Verjährungsfrist für etwaige Schadensersatzansprüche früher zu laufen — was langfristig Rechtssicherheit schafft. Eine proaktive Benachrichtigung kann somit das Risiko minimieren, dass Ansprüche erst Jahre später geltend gemacht werden. Umgekehrt: Wenn Sie eine Benachrichtigungspflicht verletzen, kann die Verjährungsfrist für den Betroffenen erst dann zu laufen beginnen, wenn er von der Verletzung auf anderem Wege erfährt. Dies kann die Unsicherheit für das Unternehmen erheblich verlängern und zu höheren Kosten führen, falls der Schaden später doch noch geltend gemacht wird. Die Meldung an die Aufsichtsbehörde binnen 72 Stunden gemäß Art. 33 DSGVO ist hierbei ein wichtiger erster Schritt, um Transparenz zu schaffen und die eigenen Pflichten zu erfüllen.

Praxistipp: Aufbewahrungsfristen für Datenpannen-Dokumentation

Auch wenn Art. 33 Abs. 5 DSGVO keine konkrete Aufbewahrungsfrist nennt, empfehlen Datenschutzexperten und Aufsichtsbehörden, die Dokumentation von Datenpannen mindestens so lange aufzubewahren, wie Ansprüche hieraus noch geltend gemacht werden können. Das bedeutet in Deutschland:

  • Mindestens 3 Jahre (kenntnisabhängige Verjährung)
  • Empfohlen: 5-10 Jahre (zur Deckung der absoluten Verjährungsfrist)

Eine sorgfältige Dokumentation ist nicht nur eine gesetzliche Pflicht, sondern auch ein wichtiges Instrument zur Risikominimierung. Sie ermöglicht es Unternehmen, im Falle eines Rechtsstreits oder einer behördlichen Untersuchung die getroffenen Maßnahmen und die Einhaltung der DSGVO nachzuweisen. Dies kann entscheidend sein, um hohe Bußgelder oder Schadensersatzforderungen abzuwenden.

Weitere Informationen zur DSGVO finden Sie auf dsgvo-gesetz.de. Aktuelle Entwicklungen und Leitlinien des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sind auf der Webseite des BfDI verfügbar. Für europäische Rechtsakte und Urteile des EuGH konsultieren Sie EUR-Lex.

Häufig gestellte Fragen

Gibt es eine einheitliche EU-weite Verjährungsfrist für DSGVO-Ansprüche?

Nein. Die DSGVO regelt keine Verjährung — das ist Sache der nationalen Rechte der Mitgliedstaaten. In Deutschland gilt § 195 BGB (3 Jahre für zivilrechtliche Ansprüche) und § 31 OWiG für Bußgelder.

Beginnt die Verjährung schon mit der Datenpanne oder erst mit der Kenntnis des Betroffenen?

Mit der Kenntnis. Gemäß § 199 Abs. 1 BGB beginnt die 3-jährige Frist erst am Ende des Jahres, in dem der Betroffene von der Verletzung erfahren hat oder hätte erfahren müssen.

Was passiert, wenn ich eine Datenpanne nicht dokumentiert habe?

Die fehlende Dokumentation ist ein eigenständiger Verstoß gegen Art. 33 Abs. 5 DSGVO. Im Streitfall fehlt Ihnen zudem der Nachweis, welche Maßnahmen Sie wann ergriffen haben — was Ihre Rechtsposition erheblich verschlechtert und zu weiteren Bußgeldern führen kann.

Wie lange sollte die Dokumentation einer Datenpanne aufbewahrt werden?

Es wird empfohlen, die Dokumentation mindestens 3 bis 5 Jahre aufzubewahren, um die kenntnisabhängige Verjährungsfrist abzudecken. Für absolute Verjährungsfristen ist eine Aufbewahrung von bis zu 10 Jahren ratsam, um alle Eventualitäten abzudecken.

Kann eine Verhandlung die Verjährungsfrist beeinflussen?

Ja. Schwebende Verhandlungen zwischen Gläubiger und Schuldner hemmen die Verjährung gemäß § 203 BGB. Die Frist läuft während der Verhandlungen nicht weiter und beginnt erst sechs Monate nach deren Ende erneut zu laufen.

Weitere Beiträge

Verjährung bei Datenschutzverletzungen: Fristen nach BGB und DSGVO

Unter Verjährung bei Datenschutzverletzungen versteht man den Zeitraum, nach dessen Ablauf Ansprüche aus einer

DSGVO und „Blacklists“: Welche Dienste kritisch sein können und was Unternehmen beachten sollten 

Viele Unternehmen stellen sich eine zentrale Frage: Gibt es eine offizielle Liste mit Tools oder

blog DSGVO Auskunftsersuchen Rechtsmissbrauch

EuGH-Urteil C-526/24 – DSGVO-Hopping rechtssicher abwehren

Zusammenfassung für Eilige Der Europäische Gerichtshof (EuGH) hat am 19. März 2026 im Urteil

Haftung von Datenschutzbeauftragten nach DSGVO und BDSG

Was Datenschutzbeauftragte und Unternehmen wissen müssen Datenschutzbeauftragte (DSB) tragen eine zentrale Verantwortung im Unternehmen:

Anonymisierung – Die Datenschutz Super Kraft

Die Verarbeitung personenbezogener Daten löst hohe regulatorische Anforderungen und damit verbundenen Risiken für betroffene

Zukunft der Datenschutz-Software: Vom Datengrab zum Compliance-Workflow

Eine zunehmende Zahl an Unternehmen setzt auf Datenschutz-Software und wiegt sich in der vermeintlichen

Akteneinsicht 2.0: Wie Software zur Dokumentenaufbereitung die öffentliche Verwaltung vom „Schwärzungs-Burnout“ befreit 

Moderne Verwaltung steht unter Dauerstrom. Zwischen Digitalisierungsdruck und dem Ruf nach maximaler Transparenz klafft

Datentransfer-Folgenabschätzung (Transfer Impact Assessment) nach der DSGVO 

Internationale Datentransfers gehören längst zum operativen Alltag nahezu jedes Unternehmens: Cloud-Services, konzerninterne Systeme, Support-Dienstleistungen

Datenübermittlung in die USA und andere Drittländer

Die Übermittlung personenbezogener Daten in sogenannte „Drittländer“, also Staaten außerhalb der Europäischen Union (EU)

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software

DSGVO Audit

DSGVO Audit Bericht

DSGVO Audit Software
DSGVO-Software
DSGVO-Tool

 

Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024