Der EuGH hat (C-300/21) entschieden, dass ein Verstoß gegen die DSGVO allein noch keinen Schadensersatzanspruch begründet. Es muss nachgewiesen werden, dass tatsächlich ein Schaden entstanden ist. Die Höhe des Schadensersatzes richtet sich nach dem nationalen Recht der Mitgliedstaaten.
Nach Auffassung des EuGH ist der Schadensersatzanspruch in der DSGVO an drei Voraussetzungen geknüpft: Verstoß gegen die DSGVO, materieller oder immaterieller Schaden und Kausalität zwischen Verstoß und Schaden (haftungsausfüllende Kausalität). Der EuGH hat zudem klargestellt, dass eine Erheblichkeitsschwelle für immaterielle Schäden nicht erforderlich ist. Es kommt allein auf das Vorliegen der oben genannten Voraussetzungen an.