Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Schadensersatz nach DSGVO

Ob mit oder ohne „s“ – beim Schadensersatz bzw. Schadenersatz im Datenschutz ist stets das Gleiche gemeint: Ein Umgang mit personenbezogenen Daten, der gegen Datenschutzvorschriften der DSGVO oder des BDSG verstößt, kann bei betroffenen Personen zu einem Schaden führen. Und die Betroffenen können daraufhin unter bestimmten Bedingungen Schadensersatz fordern.

➜ Wer hat wann Anspruch auf Schadensersatz nach DSGVO?

Ärger in der Arbeit

Das Verhältnis von Arbeitgeber und Arbeitnehmer ist angespannt. Der Arbeitnehmer fürchtet eine Kündigung. Das nächste Personalgespräch zeichnet er lieber einmal heimlich auf. Das hat ernste Folgen.

Update: Überblick über aktuelle Urteile

Aktuelle Gerichtsurteile zeigen, dass Geschädigte vermehrt Schadensersatzansprüche durchsetzen können. Verantwortliche minimieren die Risiken, indem sie ihre Verarbeitungsprozesse prüfen und Beschäftigte schulen. Dafür ist es sinnvoll, die häufigsten Schwachstellen zu kennen.

Schadenersatz nach DSGVO

Ihre Krankenkasse schickt Ihnen per Mail Ihre Gesundheitsdaten der letzten drei Jahre zu - doch die Nachricht kommt nie bei Ihnen an. Dafür aufgrund eines Fehlers bei einem anderen Empfänger. Hier kann nach DSGVO Schadensersatz fällig sein.

Ungenügende Sicherheit der Verarbeitung

Diebe stehlen einem Finanzdienstleister fast 400.000 Datensätze, die aus Nachlässigkeit Angreifern zugänglich waren. Das könnte das Unternehmen in Form von Schadensersatzzahlungen teuer zu stehen kommen.

Voreilige Meldung an die SCHUFA

Es hört sich wie ein Märchen an: Jemand zahlt seine Stromrechnung nicht. Ein Gericht verurteilt ihn zur Zahlung. Daraufhin zahlt er doch. Trotzdem geht eine Meldung an die SCHUFA. Deshalb bekommt der Stromkunde jetzt 5.000 Euro Schadensersatz. Doch Vorsicht! Lesen Sie, wo der Teufel im Detail steckt!

Datenschutz-Verstöße

Schadensersatz wegen einer Verletzung des Datenschutzes – das gab es vor der DSGVO so gut wie nie. Inzwischen sieht das deutlich anders aus. Schon die Belästigung durch eine einzige unerlaubte Mail kann einen Schadensersatz in Höhe von 300 € rechtfertigen. Wehe, jemand hat dann 100 solcher unerlaubten Mails verschickt …

Steilvorlage für Schadenersatzforderungen

Nachdem wir in der letzten Ausgabe Schadenersatzansprüchen nach DSGVO generell auf den Grund gegangen sind, schauen wir uns in diesem Zusammenhang einmal das Thema „Auskunftspflicht“ genauer an.

Haftungsrisiken

Jeden Monat gibt es derzeit neue Urteile deutscher Gerichte zum Schadenersatz nach DSGVO. Und sie fallen immer häufiger zugunsten der betroffenen Person aus. Wie verteidigen sich Verantwortliche gegen Schadenersatzansprüche, welche Fallstricke gilt es zu vermeiden?

Was Unternehmen gegen den Missbrauch von Betroffenenrechten tun können
Bild: #Urban-Photographer / iStock / Getty Images Plus
Betroffenenrechte

Wie können sich Unternehmen gegen den Missbrauch von Betroffenenrechten schützen? Praxis-Tipps gibt die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) in ihrer aktuellen Information „Missbräuchlich motivierte Geltendmachung von Betroffenenrechten“.

Sanktionen

Schadenersatzansprüche sind zunehmend ein Thema. Das Arbeitsgericht Düsseldorf hat z.B. aktuell die Kriterien zur Bußgeldbemessung herangezogen, um einen immateriellen Schaden zu bewerten. Sensibilisieren Sie die Geschäftsleitung auch für dieses Risiko.

2 von 3

Gesetze und Vorschriften zum Schadensersatz im Datenschutz

  • Art. 82 DSGVO (Haftung und Recht auf Schadenersatz)
  • § 44 BDSG (Klagen gegen den Verantwortlichen oder Auftragsverarbeiter)

Schadenersatz wird zum hohen Risiko

Die praktische Bedeutung der Regelung war zunächst ausgesprochen gering. Zum einen machten betroffene Personen Schäden nur relativ selten geltend. Zum anderen gibt es daneben weitere Anspruchsgrundlagen, die nicht speziell für solche Fälle geschaffen sind, aber hier Anwendung finden. Zu denken ist dabei an vertragliche Ansprüche, aber auch an Ansprüche aus unerlaubter Handlung (etwa gemäß § 823 BGB).

Mittlerweile entwickelt sich der Schadenersatz im Datenschutz jedoch zu einem größeren Risiko für Unternehmen als das Bußgeld: Schadensersatzansprüche: Das unterschätzte Risiko der DSGVO

Anspruchsvoraussetzungen von Art. 82 DSGVO

Ein Schadensersatzanspruch besteht gemäß Art. 82 Abs. 1 DSGVO dann, wenn

  • ein Verantwortlicher oder
  • ein Auftragsverarbeiter
  • der betroffenen Person einen materiellen oder immateriellen Schaden zufügt
  • durch einen Verstoß gegen die DSGVO.

Beispiel 1: Infolge schlampiger Führung der Personalien verwechselt eine Bank zwei Personen. Sie hält daher einen Kunden für einen Pleitier und kündigt ihm einen Kredit. Ihm entgehen dadurch einträgliche Geschäfte. – Die Bank muss den entstandenen Schaden ersetzen. Dazu gehören auch entgangene Gewinne.

Beispiel 2: Ein Versandhaus verbucht Zahlungen eines Kunden falsch. Die scheinbaren Rückstände klagt sie ein. – Das Versandhaus muss dem Kunden die Anwaltskosten ersetzen.

Datenschutzverstoß

Die DSGVO versteht unter Datenschutzverstößen einerseits Datenverarbeitungen, die nicht ihren Vorschriften entsprechen, z.B. die Verarbeitung von Daten einer betroffenen Person ohne deren Einwilligung.

Andererseits geht es um Datenverarbeitungen, die nicht den Regelungen weiterer Rechtsakte oder den jeweiligen nationalen Vorschriften zur DSGVO, wie in Deutschland dem Bundesdatenschutzgesetz (BDSG), entsprechen.

Schadensarten

Der betroffenen Person muss durch den Datenschutzverstoß ein Schaden entstanden sein. Im Gegensatz zur bisherigen Rechtslage kann dieser Schaden sowohl materieller als auch immaterieller Art sein.

  • Zu den materiellen Schäden gehören alle in Geld messbaren Nachteile, wie etwa der Verlust eines Guthabens auf dem Ba nkkonto.
  • Zu den immateriellen Schäden gehören z.B. Ansprüche auf Schmerzensgeld. Diese hat die DSGVO neu aufgenommen.

Nach der Rechtslage vor der DSGVO ließen sich solche Schäden nur ersetzen, wenn eine öffentliche Stelle das Persönlichkeitsrecht der betroffenen Person schwer verletzt hatte.

Aber auch nach der derzeitigen Rechtslage führt nicht jeder Bagatellverstoß gegen die DSGVO ohne ernsthafte Beeinträchtigung der betroffenen Person zu einem Schadensersatzanspruch in Form von Schmerzensgeld (Amtsgericht Diez, Urteil vom 07.11.2018 – Az. 8 C 130/18).

Im vorliegenden Fall ging es um eine einzige unzulässig übersandte E-Mail, in der am ersten Geltungstag der DSGVO nach der Einwilligung zum Newsletterversand gefragt wurde. Einen Schmerzensgeldanspruch lehnte das Gericht ab. Andererseits kann es auch so ausgehen: 300 € Schadensersatz für eine einzige unerlaubte E-Mail

Für einen Schmerzensgeldanspruch muss der betroffenen Person ein spürbarer Nachteil entstanden sein, und es muss um objektiv nachvollziehbare Beeinträchtigungen von Persönlichkeitsbelangen gehen, die ein gewisses Gewicht aufweisen.

Die DSGVO setzt bei einem weit zu fassenden Schadensbegriff an. Betroffene Personen sollen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Als Beispiele für Schäden nennen die Erwägungsgründe zur DSGVO Fälle von Identitätsdiebstahl oder Identitätsbetrug, finanzielle Verluste, Rufschädigungen oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Auftragsverarbeitung

Bei der Auftragsverarbeitung kommen bei Schäden Ansprüche sowohl gegen den Verantwortlichen als auch gegen den Auftragsverarbeiter infrage.

Auftragsverarbeiter haften für Schäden, die ihre Verarbeitung verursacht, wenn sie

  • entweder den Pflichten für Auftragsverarbeiter nach der DSGVO nicht nachgekommen sind,
  • Anweisungen des Verantwortlichen nicht beachtet haben oder sogar
  • entgegen den Anweisungen des Verantwortlichen gehandelt haben.

Auch bei Auftragsverarbeitern wird das Verschulden vermutet, sodass auch sie nachweisen können, für den Schaden nicht verantwortlich zu sein, und somit nicht haften.

Mehrere Schadensverursacher

Sind sowohl Verantwortlicher als auch Auftragsverarbeiter für Schäden bei der betroffenen Person verantwortlich, so haften sie als Gesamtschuldner.

Das heißt, die betroffene Person kann von jedem zunächst verlangen, dass er ihr den gesamten Schaden ersetzt. Das hat für die betroffene Person den Vorteil, dass sie im schlimmsten Fall nicht mehrere Verursacher verklagen muss.

Verantwortlicher und Auftragsverarbeiter gleichen danach je nach ihrem Anteil an der Schadensverursachung den Schadensersatz, den sie an die betroffene Person gezahlt haben, untereinander aus.

Verjährung von Ansprüchen auf Schadensersatz im Datenschutz

Die Vorschrift spricht diesen Punkt nicht ausdrücklich an. Deshalb gelten in Deutschland die allgemeinen Regeln des Bürgerlichen Gesetzbuchs (BGB): Der Anspruch verjährt drei Jahre, nachdem der Geschädigte den Schaden festgestellt hat (§§ 195, 199 BGB), spätestens aber 30 Jahre nach der Handlung, die den Schaden verursacht hat.

Gerichtsstand

Nach Art. 79 DSGVO, § 44 BDSG sind für Klagen gegen den Verantwortlichen oder den Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder Auftragsverarbeiter eine Niederlassung hat.

Allerdings steht der betroffenen Person ein Wahlrecht zu. Sie kann die Klage auch bei einem Gericht einreichen, in dessen Mitgliedstaat die betroffene Person ihren Aufenthaltsort hat, d.h. am Wohnort.

Dieses Wahlrecht entfällt, wenn eine Behörde in Ausübung ihrer hoheitlichen Befugnisse den Schaden verursacht hat.

Gerichtsurteile zum Schadensersatz nach DSGVO

Es gibt bereits einige Gerichtsentscheidungen über Schadensersatzansprüche betroffener Personen bei Datenschutzverletzungen. Einen Überblick und Beispiele finden Sie hier:

Schadenersatz nach DSGVO: Das zeigen aktuelle Urteile

DSGVO: Auskunftspflicht verletzt, Schadenersatz berechtigt?

Vorlagen an den Europäischen Gerichtshof (EuGH)

Im Verfahren eines Rechtsanwalts, der ohne Einwilligung Werbe-E-Mails eines Unternehmens erhielt, sah das Amtsgericht Goslar zwar einen Datenschutzverstoß, jedoch keinen Anlass für einen Schadensersatz. Die Verfassungsbeschwerde zum Bundesverfassungsgericht (BVerfG) war allerdings erfolgreich.

Das BVerfG (Beschluss vom 14.01.2021, 1 BvR 2853/19) entschied eine Aufhebung des Urteils des Amtsgerichts und eine Zurückverweisung zur erneuten Verhandlung an dieses Gericht.

Das begründete das Gericht damit, dass das Amtsgericht seiner Vorlagepflicht an den EuGH nicht nachgekommen sei. Denn es hätte dem EuGH die Frage zur Klärung vorlegen müssen, ob durch die datenschutzwidrige Verwendung einer E-Mail-Adresse ein Schmerzensgeldanspruch entstehe.

Darüber hinaus hat auch der Oberste Gerichtshof der Republik Österreich (Az. 6 Ob25/21x vom 15.04.2021) dem EuGH folgende Fragen zum Schadensersatz als Vorabentscheidung vorgelegt:

  • Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
  • Bestehen für die Bemessung des Schadenersatzes im Datenschutz neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
  • Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.