Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Schadensersatz nach DSGVO

Ob mit oder ohne „s“ – beim Schadensersatz bzw. Schadenersatz im Datenschutz ist stets das Gleiche gemeint: Ein Umgang mit personenbezogenen Daten, der gegen Datenschutzvorschriften der DSGVO oder des BDSG verstößt, kann bei betroffenen Personen zu einem Schaden führen. Und die Betroffenen können daraufhin unter bestimmten Bedingungen Schadensersatz fordern.

➜ Wer hat wann Anspruch auf Schadensersatz nach DSGVO?

Ein Detektiv schaut durch eine Lupe
Bild: kuppa_rock/iStock/Getty Images Plus
DSGVO-Schadensersatz

Zwischen einem Vertriebsmitarbeiter und seinem Arbeitgeber besteht ein gespanntes Verhältnis. Mehrere Kündigungsversuche des Arbeitgebers bleiben erfolglos. Als sich der Vertriebler krank meldet, traut der Arbeitgeber der Sache nicht. Er beauftragt einen Detektiv. Am Ende muss der Arbeitgeber wegen der Überwachung Schadensersatz zahlen.

Grundsatzentscheidungen

In zwei Entscheidungen hat der EuGH klargestellt, dass den Verantwortlichen die Pflicht zu einem Risikomanagement trifft, aber keine Pflicht zur Risikofreiheit besteht. Auch für den Schadensersatz stellt der EuGH die Weichen. Diese Entscheidungen des EuGH haben damit grundsätzliche Bedeutung für die Umsetzung der DSGVO.

DP+
Die DSGVO definiert den Begriff des Schadens weit und macht den Anspruch auf Schadensersatz von keiner bestimmten Schwelle abhängig. Sie beschränkt den Anspruch nicht auf Schäden von einer gewissen Erheblichkeit.
Bild: iStock.com/bymuratdeniz
Alles nicht so schlimm? Oder doch?

Neuerdings hört man Behauptungen wie: Der EuGH hält sich beim Thema Schadensersatz zurück. Und für Bagatellen wie ein „ungutes Gefühl“ gibt es ohnehin nichts. Was ist daran Dichtung, was ist Wahrheit? Eine Analyse von vier EuGH-Entscheidungen schafft Klarheit.

Kann eine Entschuldigung als Schadensersatz reichen? Hier symbolisiert durch einen Mann, der einen Blumenstrauß aus Tulpen sowie ein Schild mit der Aufschrift Sorry in der Hand hält.
Bild: skarau/iStock /Getty Images
DSGVO - Schadensersatz

Ein Verantwortlicher hat gegen die DSGVO verstoßen. Das hat bei der betroffenen Person zu einem Schaden geführt. Sie fordert 2000 € Schadensersatz. Angeblich hat der EuGH entschieden, dass stattdessen eine Entschuldigung der verantwortlichen Stelle ausreicht. Lesen Sie hier, was an der Sache dran ist – und vor allem, was nicht.

Besteht Schadensersatzanspruch, wenn Gesundheitsdaten einer internen Stellenausschreibung veröffentlicht werden? Die Frage wird hier mit einer Lupe über dem Schriftzug Stellenangebot bebildert.
Bild: Stadtratte / iStock / Getty Images Plus
DSGVO-Schadensersatz

Ein städtischer Beamter scheint dienstunfähig zu sein und wird deshalb wohl in den Ruhestand treten müssen. Die Stadt schreibt intern schon einmal seine Nachfolge aus. Dabei skizziert sie den Gesundheitszustand des Beamten. Der will deshalb Schadensersatz in Höhe von 20.000 €. Was sagt das zuständige Gericht dazu?

Medizin
Bild: ©smolaw11_iStock_Getty Images Plus
DSGVO-Schadensersatz

Eine Behörde sendet medizinische Unterlagen, die Herrn A betreffen, versehentlich an Herrn B. Der gibt sie bereitwillig sofort zurück, und die Behörde versendet die Papiere an den Richtigen, nämlich an Herrn A. Hat Herr A Anspruch auf DSGVO-Schadensersatz?

Eine falsche Meldung an die SCHUFA kann zum Schadensersatz berechtigen
Bild: iStock.com / Mironov-Konstanti
Unzulässige Negativ-Meldungen an die SCHUFA

Ein Gläubiger macht gegenüber der SCHUFA zwei Negativ-Meldungen wegen überfälliger Forderungen, ohne dazu berechtigt zu sein. Das führt zu schlechteren Score-Werten für den Schuldner. Dem Hanseatischen Oberlandesgericht ist das ein Schmerzensgeld von 2.000 € wert.

Datenleck
Bild: ©amgun / iStock / Getty Images Plus
DSGVO-Schadensersatz

Viele deutsche Gerichte versuchen, Ansprüche auf Schadensersatz nach der DSGVO möglichst auszubremsen. Dieser Eindruck entsteht, wenn man die einschlägige Rechtsprechung verfolgt. Der Europäische Gerichtshof (EuGH) hat jetzt aber erneut klargestellt: Wer einen Schaden erlitten hat, muss auch Schadensersatz bekommen.

Vorübergehender Verlust von Daten

„Wer muss was beweisen können?“ Diese Frage entscheidet oft darüber, ob jemand einen Anspruch auf Schadensersatz nach DSGVO hat oder nicht. Der EuGH hat hierfür wichtige Regeln aufgestellt. Er tat dies anhand eines banalen Falls, der jeden Tag irgendwo im Einzelhandel vorkommt.

EuGH zum immateriellen Schadensersatz

Kriminelle hacken das EDV-System einer Finanzbehörde. Der Betrieb liegt tagelang völlig still. Danach ist er wochenlang beeinträchtigt. Und jetzt verlangen einige, deren Daten betroffen waren, wegen des Vorfalls Schadensersatz. Können sie damit Erfolg haben? Lesen Sie, was der EuGH dazu sagt.

1 von 3

Gesetze und Vorschriften zum Schadensersatz im Datenschutz

  • Art. 82 DSGVO (Haftung und Recht auf Schadenersatz)
  • § 44 BDSG (Klagen gegen den Verantwortlichen oder Auftragsverarbeiter)

Schadenersatz wird zum hohen Risiko

Die praktische Bedeutung der Regelung war zunächst ausgesprochen gering. Zum einen machten betroffene Personen Schäden nur relativ selten geltend. Zum anderen gibt es daneben weitere Anspruchsgrundlagen, die nicht speziell für solche Fälle geschaffen sind, aber hier Anwendung finden. Zu denken ist dabei an vertragliche Ansprüche, aber auch an Ansprüche aus unerlaubter Handlung (etwa gemäß § 823 BGB).

Mittlerweile entwickelt sich der Schadenersatz im Datenschutz jedoch zu einem größeren Risiko für Unternehmen als das Bußgeld: Schadensersatzansprüche: Das unterschätzte Risiko der DSGVO

Anspruchsvoraussetzungen von Art. 82 DSGVO

Ein Schadensersatzanspruch besteht gemäß Art. 82 Abs. 1 DSGVO dann, wenn

  • ein Verantwortlicher oder
  • ein Auftragsverarbeiter
  • der betroffenen Person einen materiellen oder immateriellen Schaden zufügt
  • durch einen Verstoß gegen die DSGVO.

Beispiel 1: Infolge schlampiger Führung der Personalien verwechselt eine Bank zwei Personen. Sie hält daher einen Kunden für einen Pleitier und kündigt ihm einen Kredit. Ihm entgehen dadurch einträgliche Geschäfte. – Die Bank muss den entstandenen Schaden ersetzen. Dazu gehören auch entgangene Gewinne.

Beispiel 2: Ein Versandhaus verbucht Zahlungen eines Kunden falsch. Die scheinbaren Rückstände klagt sie ein. – Das Versandhaus muss dem Kunden die Anwaltskosten ersetzen.

Datenschutzverstoß

Die DSGVO versteht unter Datenschutzverstößen einerseits Datenverarbeitungen, die nicht ihren Vorschriften entsprechen, z.B. die Verarbeitung von Daten einer betroffenen Person ohne deren Einwilligung.

Andererseits geht es um Datenverarbeitungen, die nicht den Regelungen weiterer Rechtsakte oder den jeweiligen nationalen Vorschriften zur DSGVO, wie in Deutschland dem Bundesdatenschutzgesetz (BDSG), entsprechen.

Schadensarten

Der betroffenen Person muss durch den Datenschutzverstoß ein Schaden entstanden sein. Im Gegensatz zur bisherigen Rechtslage kann dieser Schaden sowohl materieller als auch immaterieller Art sein.

  • Zu den materiellen Schäden gehören alle in Geld messbaren Nachteile, wie etwa der Verlust eines Guthabens auf dem Ba nkkonto.
  • Zu den immateriellen Schäden gehören z.B. Ansprüche auf Schmerzensgeld. Diese hat die DSGVO neu aufgenommen.

Nach der Rechtslage vor der DSGVO ließen sich solche Schäden nur ersetzen, wenn eine öffentliche Stelle das Persönlichkeitsrecht der betroffenen Person schwer verletzt hatte.

Aber auch nach der derzeitigen Rechtslage führt nicht jeder Bagatellverstoß gegen die DSGVO ohne ernsthafte Beeinträchtigung der betroffenen Person zu einem Schadensersatzanspruch in Form von Schmerzensgeld (Amtsgericht Diez, Urteil vom 07.11.2018 – Az. 8 C 130/18).

Im vorliegenden Fall ging es um eine einzige unzulässig übersandte E-Mail, in der am ersten Geltungstag der DSGVO nach der Einwilligung zum Newsletterversand gefragt wurde. Einen Schmerzensgeldanspruch lehnte das Gericht ab. Andererseits kann es auch so ausgehen: 300 € Schadensersatz für eine einzige unerlaubte E-Mail

Für einen Schmerzensgeldanspruch muss der betroffenen Person ein spürbarer Nachteil entstanden sein, und es muss um objektiv nachvollziehbare Beeinträchtigungen von Persönlichkeitsbelangen gehen, die ein gewisses Gewicht aufweisen.

Die DSGVO setzt bei einem weit zu fassenden Schadensbegriff an. Betroffene Personen sollen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Als Beispiele für Schäden nennen die Erwägungsgründe zur DSGVO Fälle von Identitätsdiebstahl oder Identitätsbetrug, finanzielle Verluste, Rufschädigungen oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Auftragsverarbeitung

Bei der Auftragsverarbeitung kommen bei Schäden Ansprüche sowohl gegen den Verantwortlichen als auch gegen den Auftragsverarbeiter infrage.

Auftragsverarbeiter haften für Schäden, die ihre Verarbeitung verursacht, wenn sie

  • entweder den Pflichten für Auftragsverarbeiter nach der DSGVO nicht nachgekommen sind,
  • Anweisungen des Verantwortlichen nicht beachtet haben oder sogar
  • entgegen den Anweisungen des Verantwortlichen gehandelt haben.

Auch bei Auftragsverarbeitern wird das Verschulden vermutet, sodass auch sie nachweisen können, für den Schaden nicht verantwortlich zu sein, und somit nicht haften.

Mehrere Schadensverursacher

Sind sowohl Verantwortlicher als auch Auftragsverarbeiter für Schäden bei der betroffenen Person verantwortlich, so haften sie als Gesamtschuldner.

Das heißt, die betroffene Person kann von jedem zunächst verlangen, dass er ihr den gesamten Schaden ersetzt. Das hat für die betroffene Person den Vorteil, dass sie im schlimmsten Fall nicht mehrere Verursacher verklagen muss.

Verantwortlicher und Auftragsverarbeiter gleichen danach je nach ihrem Anteil an der Schadensverursachung den Schadensersatz, den sie an die betroffene Person gezahlt haben, untereinander aus.

Verjährung von Ansprüchen auf Schadensersatz im Datenschutz

Die Vorschrift spricht diesen Punkt nicht ausdrücklich an. Deshalb gelten in Deutschland die allgemeinen Regeln des Bürgerlichen Gesetzbuchs (BGB): Der Anspruch verjährt drei Jahre, nachdem der Geschädigte den Schaden festgestellt hat (§§ 195, 199 BGB), spätestens aber 30 Jahre nach der Handlung, die den Schaden verursacht hat.

Gerichtsstand

Nach Art. 79 DSGVO, § 44 BDSG sind für Klagen gegen den Verantwortlichen oder den Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder Auftragsverarbeiter eine Niederlassung hat.

Allerdings steht der betroffenen Person ein Wahlrecht zu. Sie kann die Klage auch bei einem Gericht einreichen, in dessen Mitgliedstaat die betroffene Person ihren Aufenthaltsort hat, d.h. am Wohnort.

Dieses Wahlrecht entfällt, wenn eine Behörde in Ausübung ihrer hoheitlichen Befugnisse den Schaden verursacht hat.

Gerichtsurteile zum Schadensersatz nach DSGVO

Es gibt bereits einige Gerichtsentscheidungen über Schadensersatzansprüche betroffener Personen bei Datenschutzverletzungen. Einen Überblick und Beispiele finden Sie hier:

Schadenersatz nach DSGVO: Das zeigen aktuelle Urteile

DSGVO: Auskunftspflicht verletzt, Schadenersatz berechtigt?

Vorlagen an den Europäischen Gerichtshof (EuGH)

Im Verfahren eines Rechtsanwalts, der ohne Einwilligung Werbe-E-Mails eines Unternehmens erhielt, sah das Amtsgericht Goslar zwar einen Datenschutzverstoß, jedoch keinen Anlass für einen Schadensersatz. Die Verfassungsbeschwerde zum Bundesverfassungsgericht (BVerfG) war allerdings erfolgreich.

Das BVerfG (Beschluss vom 14.01.2021, 1 BvR 2853/19) entschied eine Aufhebung des Urteils des Amtsgerichts und eine Zurückverweisung zur erneuten Verhandlung an dieses Gericht.

Das begründete das Gericht damit, dass das Amtsgericht seiner Vorlagepflicht an den EuGH nicht nachgekommen sei. Denn es hätte dem EuGH die Frage zur Klärung vorlegen müssen, ob durch die datenschutzwidrige Verwendung einer E-Mail-Adresse ein Schmerzensgeldanspruch entstehe.

Darüber hinaus hat auch der Oberste Gerichtshof der Republik Österreich (Az. 6 Ob25/21x vom 15.04.2021) dem EuGH folgende Fragen zum Schadensersatz als Vorabentscheidung vorgelegt:

  • Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
  • Bestehen für die Bemessung des Schadenersatzes im Datenschutz neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
  • Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.