Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen

Schadensersatz nach DSGVO

Ob mit oder ohne „s“ – beim Schadensersatz bzw. Schadenersatz im Datenschutz ist stets das Gleiche gemeint: Ein Umgang mit personenbezogenen Daten, der gegen Datenschutzvorschriften der DSGVO oder des BDSG verstößt, kann bei betroffenen Personen zu einem Schaden führen. Und die Betroffenen können daraufhin unter bestimmten Bedingungen Schadensersatz fordern.

➜ Wer hat wann Anspruch auf Schadensersatz nach DSGVO?

EuGH: Risikomanagement ja, Risikofreiheit nein

DP+
Der Europäische Gerichtshof (EuGH) hat zwei wichtige Entscheidungen getroffen. Ein Fall beschreibt das Versagen von technischen, der andere das Versagen von organisatorischen Maßnahmen.
Bild: iStock.com/Flashvector
Grundsatzentscheidungen
EuGH: Risikomanagement ja, Risikofreiheit nein

In zwei Entscheidungen hat der EuGH klargestellt, dass den Verantwortlichen die Pflicht zu einem Risikomanagement trifft, aber keine Pflicht zur Risikofreiheit besteht. Auch für den Schadensersatz stellt der EuGH die Weichen. Diese Entscheidungen des EuGH haben damit grundsätzliche Bedeutung für die Umsetzung der DSGVO.

Urteil
11. November 2024

Massenklagen auf Schadensersatz nach DSGVO

DP+
Die DSGVO definiert den Begriff des Schadens weit und macht den Anspruch auf Schadensersatz von keiner bestimmten Schwelle abhängig. Sie beschränkt den Anspruch nicht auf Schäden von einer gewissen Erheblichkeit.
Bild: iStock.com/bymuratdeniz
Alles nicht so schlimm? Oder doch?
Massenklagen auf Schadensersatz nach DSGVO

Neuerdings hört man Behauptungen wie: Der EuGH hält sich beim Thema Schadensersatz zurück. Und für Bagatellen wie ein „ungutes Gefühl“ gibt es ohnehin nichts. Was ist daran Dichtung, was ist Wahrheit? Eine Analyse von vier EuGH-Entscheidungen schafft Klarheit.

Urteil
5. November 2024

Reicht eine bloße Entschuldigung?

Kann eine Entschuldigung als Schadensersatz reichen? Hier symbolisiert durch einen Mann, der einen Blumenstrauß aus Tulpen sowie ein Schild mit der Aufschrift Sorry in der Hand hält.
Bild: skarau/iStock /Getty Images
DSGVO - Schadensersatz
Reicht eine bloße Entschuldigung?

Ein Verantwortlicher hat gegen die DSGVO verstoßen. Das hat bei der betroffenen Person zu einem Schaden geführt. Sie fordert 2000 € Schadensersatz. Angeblich hat der EuGH entschieden, dass stattdessen eine Entschuldigung der verantwortlichen Stelle ausreicht. Lesen Sie hier, was an der Sache dran ist – und vor allem, was nicht.

Urteil
25. Oktober 2024

Gesundheitsdaten in interner Stellenanzeige

Besteht Schadensersatzanspruch, wenn Gesundheitsdaten einer internen Stellenausschreibung veröffentlicht werden? Die Frage wird hier mit einer Lupe über dem Schriftzug Stellenangebot bebildert.
Bild: Stadtratte / iStock / Getty Images Plus
DSGVO-Schadensersatz
Gesundheitsdaten in interner Stellenanzeige

Ein städtischer Beamter scheint dienstunfähig zu sein und wird deshalb wohl in den Ruhestand treten müssen. Die Stadt schreibt intern schon einmal seine Nachfolge aus. Dabei skizziert sie den Gesundheitszustand des Beamten. Der will deshalb Schadensersatz in Höhe von 20.000 €. Was sagt das zuständige Gericht dazu?

Urteil
27. September 2024

Schadensersatz bei Verwechslung medizinischer Unterlagen?

Medizin
Bild: ©smolaw11_iStock_Getty Images Plus
DSGVO-Schadensersatz
Schadensersatz bei Verwechslung medizinischer Unterlagen?

Eine Behörde sendet medizinische Unterlagen, die Herrn A betreffen, versehentlich an Herrn B. Der gibt sie bereitwillig sofort zurück, und die Behörde versendet die Papiere an den Richtigen, nämlich an Herrn A. Hat Herr A Anspruch auf DSGVO-Schadensersatz?

Urteil
18. September 2024

DSGVO-Schadensersatz von 2.000 €

Eine falsche Meldung an die SCHUFA kann zum Schadensersatz berechtigen
Bild: iStock.com / Mironov-Konstanti
Unzulässige Negativ-Meldungen an die SCHUFA
DSGVO-Schadensersatz von 2.000 €

Ein Gläubiger macht gegenüber der SCHUFA zwei Negativ-Meldungen wegen überfälliger Forderungen, ohne dazu berechtigt zu sein. Das führt zu schlechteren Score-Werten für den Schuldner. Dem Hanseatischen Oberlandesgericht ist das ein Schmerzensgeld von 2.000 € wert.

Urteil
8. Juli 2024

Sind Datenlecks gar nicht so schlimm?

Datenleck
Bild: ©amgun / iStock / Getty Images Plus
DSGVO-Schadensersatz
Sind Datenlecks gar nicht so schlimm?

Viele deutsche Gerichte versuchen, Ansprüche auf Schadensersatz nach der DSGVO möglichst auszubremsen. Dieser Eindruck entsteht, wenn man die einschlägige Rechtsprechung verfolgt. Der Europäische Gerichtshof (EuGH) hat jetzt aber erneut klargestellt: Wer einen Schaden erlitten hat, muss auch Schadensersatz bekommen.

Urteil
24. Juni 2024

Schadensersatz schon wegen eines „unguten Gefühls“?

Laut EuGH muss die betroffene Person einen Schaden nachweisen, um Schadensersatz zu bekommen
Bild: iStock.com / elenabs
Vorübergehender Verlust von Daten
Schadensersatz schon wegen eines „unguten Gefühls“?

„Wer muss was beweisen können?“ Diese Frage entscheidet oft darüber, ob jemand einen Anspruch auf Schadensersatz nach DSGVO hat oder nicht. Der EuGH hat hierfür wichtige Regeln aufgestellt. Er tat dies anhand eines banalen Falls, der jeden Tag irgendwo im Einzelhandel vorkommt.

Urteil
19. Februar 2024

Hackerangriff: Ist das Opfer zum Schadensersatz verpflichtet?

Die Schwelle für einen erlittenen Schaden setzte der EuGH denkbar niedrig an
Bild: iStock.com / AndreyPopov
EuGH zum immateriellen Schadensersatz
Hackerangriff: Ist das Opfer zum Schadensersatz verpflichtet?

Kriminelle hacken das EDV-System einer Finanzbehörde. Der Betrieb liegt tagelang völlig still. Danach ist er wochenlang beeinträchtigt. Und jetzt verlangen einige, deren Daten betroffen waren, wegen des Vorfalls Schadensersatz. Können sie damit Erfolg haben? Lesen Sie, was der EuGH dazu sagt.

Urteil
9. Januar 2024

Schadensersatz wegen Mail-Lektüre durch den Chef?

Schadensersatz wegen Mail-Lektüre durch den Chef?
Bild: Bild: iStock / evgenyatamanenko
Die Firma – ein „Idiotenhaufen“
Schadensersatz wegen Mail-Lektüre durch den Chef?

Bei Office 365 ist es oft so eingerichtet: Der Chef kann auf den Mail-Account seiner Assistenz zugreifen. Umgekehrt gilt dasselbe. Was ist, wenn der Chef dabei peinliche Privat-Mails der Assistenz liest? Muss er Schadensersatz zahlen? Bevor Sie voreilig den Kopf schütteln – der Fall ging durch drei Instanzen!

Urteil
14. November 2023
1 von 3

Gesetze und Vorschriften zum Schadensersatz im Datenschutz

  • Art. 82 DSGVO (Haftung und Recht auf Schadenersatz)
  • § 44 BDSG (Klagen gegen den Verantwortlichen oder Auftragsverarbeiter)

Schadenersatz wird zum hohen Risiko

Die praktische Bedeutung der Regelung war zunächst ausgesprochen gering. Zum einen machten betroffene Personen Schäden nur relativ selten geltend. Zum anderen gibt es daneben weitere Anspruchsgrundlagen, die nicht speziell für solche Fälle geschaffen sind, aber hier Anwendung finden. Zu denken ist dabei an vertragliche Ansprüche, aber auch an Ansprüche aus unerlaubter Handlung (etwa gemäß § 823 BGB).

Mittlerweile entwickelt sich der Schadenersatz im Datenschutz jedoch zu einem größeren Risiko für Unternehmen als das Bußgeld: Schadensersatzansprüche: Das unterschätzte Risiko der DSGVO

Anspruchsvoraussetzungen von Art. 82 DSGVO

Ein Schadensersatzanspruch besteht gemäß Art. 82 Abs. 1 DSGVO dann, wenn

  • ein Verantwortlicher oder
  • ein Auftragsverarbeiter
  • der betroffenen Person einen materiellen oder immateriellen Schaden zufügt
  • durch einen Verstoß gegen die DSGVO.

Beispiel 1: Infolge schlampiger Führung der Personalien verwechselt eine Bank zwei Personen. Sie hält daher einen Kunden für einen Pleitier und kündigt ihm einen Kredit. Ihm entgehen dadurch einträgliche Geschäfte. – Die Bank muss den entstandenen Schaden ersetzen. Dazu gehören auch entgangene Gewinne.

Beispiel 2: Ein Versandhaus verbucht Zahlungen eines Kunden falsch. Die scheinbaren Rückstände klagt sie ein. – Das Versandhaus muss dem Kunden die Anwaltskosten ersetzen.

Datenschutzverstoß

Die DSGVO versteht unter Datenschutzverstößen einerseits Datenverarbeitungen, die nicht ihren Vorschriften entsprechen, z.B. die Verarbeitung von Daten einer betroffenen Person ohne deren Einwilligung.

Andererseits geht es um Datenverarbeitungen, die nicht den Regelungen weiterer Rechtsakte oder den jeweiligen nationalen Vorschriften zur DSGVO, wie in Deutschland dem Bundesdatenschutzgesetz (BDSG), entsprechen.

Schadensarten

Der betroffenen Person muss durch den Datenschutzverstoß ein Schaden entstanden sein. Im Gegensatz zur bisherigen Rechtslage kann dieser Schaden sowohl materieller als auch immaterieller Art sein.

  • Zu den materiellen Schäden gehören alle in Geld messbaren Nachteile, wie etwa der Verlust eines Guthabens auf dem Ba nkkonto.
  • Zu den immateriellen Schäden gehören z.B. Ansprüche auf Schmerzensgeld. Diese hat die DSGVO neu aufgenommen.

Nach der Rechtslage vor der DSGVO ließen sich solche Schäden nur ersetzen, wenn eine öffentliche Stelle das Persönlichkeitsrecht der betroffenen Person schwer verletzt hatte.

Aber auch nach der derzeitigen Rechtslage führt nicht jeder Bagatellverstoß gegen die DSGVO ohne ernsthafte Beeinträchtigung der betroffenen Person zu einem Schadensersatzanspruch in Form von Schmerzensgeld (Amtsgericht Diez, Urteil vom 07.11.2018 – Az. 8 C 130/18).

Im vorliegenden Fall ging es um eine einzige unzulässig übersandte E-Mail, in der am ersten Geltungstag der DSGVO nach der Einwilligung zum Newsletterversand gefragt wurde. Einen Schmerzensgeldanspruch lehnte das Gericht ab. Andererseits kann es auch so ausgehen: 300 € Schadensersatz für eine einzige unerlaubte E-Mail

Für einen Schmerzensgeldanspruch muss der betroffenen Person ein spürbarer Nachteil entstanden sein, und es muss um objektiv nachvollziehbare Beeinträchtigungen von Persönlichkeitsbelangen gehen, die ein gewisses Gewicht aufweisen.

Die DSGVO setzt bei einem weit zu fassenden Schadensbegriff an. Betroffene Personen sollen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Als Beispiele für Schäden nennen die Erwägungsgründe zur DSGVO Fälle von Identitätsdiebstahl oder Identitätsbetrug, finanzielle Verluste, Rufschädigungen oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Auftragsverarbeitung

Bei der Auftragsverarbeitung kommen bei Schäden Ansprüche sowohl gegen den Verantwortlichen als auch gegen den Auftragsverarbeiter infrage.

Auftragsverarbeiter haften für Schäden, die ihre Verarbeitung verursacht, wenn sie

  • entweder den Pflichten für Auftragsverarbeiter nach der DSGVO nicht nachgekommen sind,
  • Anweisungen des Verantwortlichen nicht beachtet haben oder sogar
  • entgegen den Anweisungen des Verantwortlichen gehandelt haben.

Auch bei Auftragsverarbeitern wird das Verschulden vermutet, sodass auch sie nachweisen können, für den Schaden nicht verantwortlich zu sein, und somit nicht haften.

Mehrere Schadensverursacher

Sind sowohl Verantwortlicher als auch Auftragsverarbeiter für Schäden bei der betroffenen Person verantwortlich, so haften sie als Gesamtschuldner.

Das heißt, die betroffene Person kann von jedem zunächst verlangen, dass er ihr den gesamten Schaden ersetzt. Das hat für die betroffene Person den Vorteil, dass sie im schlimmsten Fall nicht mehrere Verursacher verklagen muss.

Verantwortlicher und Auftragsverarbeiter gleichen danach je nach ihrem Anteil an der Schadensverursachung den Schadensersatz, den sie an die betroffene Person gezahlt haben, untereinander aus.

Verjährung von Ansprüchen auf Schadensersatz im Datenschutz

Die Vorschrift spricht diesen Punkt nicht ausdrücklich an. Deshalb gelten in Deutschland die allgemeinen Regeln des Bürgerlichen Gesetzbuchs (BGB): Der Anspruch verjährt drei Jahre, nachdem der Geschädigte den Schaden festgestellt hat (§§ 195, 199 BGB), spätestens aber 30 Jahre nach der Handlung, die den Schaden verursacht hat.

Gerichtsstand

Nach Art. 79 DSGVO, § 44 BDSG sind für Klagen gegen den Verantwortlichen oder den Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder Auftragsverarbeiter eine Niederlassung hat.

Allerdings steht der betroffenen Person ein Wahlrecht zu. Sie kann die Klage auch bei einem Gericht einreichen, in dessen Mitgliedstaat die betroffene Person ihren Aufenthaltsort hat, d.h. am Wohnort.

Dieses Wahlrecht entfällt, wenn eine Behörde in Ausübung ihrer hoheitlichen Befugnisse den Schaden verursacht hat.

Gerichtsurteile zum Schadensersatz nach DSGVO

Es gibt bereits einige Gerichtsentscheidungen über Schadensersatzansprüche betroffener Personen bei Datenschutzverletzungen. Einen Überblick und Beispiele finden Sie hier:

Schadenersatz nach DSGVO: Das zeigen aktuelle Urteile

DSGVO: Auskunftspflicht verletzt, Schadenersatz berechtigt?

Vorlagen an den Europäischen Gerichtshof (EuGH)

Im Verfahren eines Rechtsanwalts, der ohne Einwilligung Werbe-E-Mails eines Unternehmens erhielt, sah das Amtsgericht Goslar zwar einen Datenschutzverstoß, jedoch keinen Anlass für einen Schadensersatz. Die Verfassungsbeschwerde zum Bundesverfassungsgericht (BVerfG) war allerdings erfolgreich.

Das BVerfG (Beschluss vom 14.01.2021, 1 BvR 2853/19) entschied eine Aufhebung des Urteils des Amtsgerichts und eine Zurückverweisung zur erneuten Verhandlung an dieses Gericht.

Das begründete das Gericht damit, dass das Amtsgericht seiner Vorlagepflicht an den EuGH nicht nachgekommen sei. Denn es hätte dem EuGH die Frage zur Klärung vorlegen müssen, ob durch die datenschutzwidrige Verwendung einer E-Mail-Adresse ein Schmerzensgeldanspruch entstehe.

Darüber hinaus hat auch der Oberste Gerichtshof der Republik Österreich (Az. 6 Ob25/21x vom 15.04.2021) dem EuGH folgende Fragen zum Schadensersatz als Vorabentscheidung vorgelegt:

  • Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
  • Bestehen für die Bemessung des Schadenersatzes im Datenschutz neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
  • Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.