Art. 82 Datenschutz-Grundverordnung (DSGVO) verpflichtet Verantwortliche, einen Schadensersatz an betroffene Personen zu leisten, wenn diese durch einen Datenschutzverstoß einen Schaden erlitten haben. Dabei geht die Regelung von einem weit zu fassenden Schadensbegriff aus. Betroffene Personen sollen einen vollständigen und wirksamen Schadensersatz erhalten.
Zu den Voraussetzungen eines Schadensersatzanspruchs im Einzelnen siehe den Beitrag von Kristin Benedikt, Datenschutz PRAXIS05/2021, S. 1–4.
Die Schadensersatz-Fallgruppen
Es gibt mittlerweile eine Vielzahl von Gerichtsentscheidungen in verschiedenen Instanzen, die sich mit Schadensersatzansprüchen zu befassen hatten. Die Urteile lassen sich bestimmten Fallgruppen von Datenschutzverstößen zuordnen:
- unzulässige Offenlegung von Beschäftigtendaten
- Verstöße gegen Auskunftspflichten
- unbefugte Werbe-E-Mails
- unbefugte Offenlegung von Gesundheitsdaten
- unzulässige Datenabflüsse / Datenweitergabe
- unzulässige Datenverarbeitung und -weitergabe
Innerhalb der Fallgruppen ergibt sich eine Hitliste vom höchsten zum niedrigsten bisher ausgeurteilten Schadensersatzanspruch, unabhängig davon, in welcher Instanz geurteilt wurde. Die Fälle in der nachfolgenden Tabelle sind nach diesen Gruppen und Kriterien geordnet.
