07.04.2022

Schadensersatzansprüche im Datenschutz – Risiken und Herausforderungen

Bei der Datenschutz-Grundverordnung (DSGVO) denken viele Unternehmen an medienwirksame Bußgelder. An Schadensersatzansprüche betroffener Personen wird dagegen weniger gedacht. Zu Unrecht, denn im Zuge der Digitalisierung gewinnt auch das Thema Schadensersatz nach Artikel 82 DSGVO zunehmend an Bedeutung. Gerade in den letzten Monaten häufen sich Fälle von Schadensersatzforderungen wegen (behaupteter) Verstöße gegen datenschutzrechtliche Bestimmungen gegen Unternehmen.

Unverbindliches Erstgespräch vereinbaren

Dies ist mitunter auch darauf zurückzuführen, dass Legal Tech-Anbieter vermehrt die Durchsetzung von immateriellen Schadensersatzansprüchen (umgangssprachlich Schmerzensgeld) in einer Art Massenverfahren am Markt anbieten. Auf Webseiten wird teilweise explizit dazu aufgerufen, Schadensersatzansprüche prüfen zu lassen und gegen Unternehmen vorzugehen. Diese Entwicklung kann durch die neue EU-Richtlinie 2020/1828 zur Verbandsklage zum Schutze der Kollektivinteressen der Verbraucher künftig verstärkt werden. Mit der EU-Verbandsklage können qualifizierte Einrichtungen gebündelt Schadensersatzforderungen mehrerer Verbraucher geltend machen. Werden die Schadensersatzforderungen in Massenverfahren gebündelt, können sich die Summen im Ergebnis durchaus leicht auf mehrere Millionen Euro belaufen.

Im Detail sind die Voraussetzungen des Schadensersatzanspruches umstritten und die Rechtsauffassungen der Gerichte widersprechen sich teilweise. Dieser Beitrag erläutert die Grundlagen zum Schadensersatzanspruch nach Art. 82 DSGVO, gibt aktuelle Einblicke in die Praxis der Gerichte und zeigt, bei welchen Verstößen Forderungen drohen und wie man am besten damit umgeht.

Grundlagen zum Schadensersatzanspruch in der DSGVO

Artikel 82 Abs. 1 DSGVO gibt jeder betroffenen Person eine eigene, unmittelbare Anspruchsgrundlage gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Die Voraussetzungen des Schadenersatzanspruches werden wie folgt geprüft: (1) Verstoß gegen datenschutzrechtliche Vorschriften, (2) materieller oder immaterieller Schaden, (3) Kausalität, sowohl haftungsbegründend- als auch haftungsausfüllend, (4) Verschulden.

1. Verstoß gegen datenschutzrechtliche Vorschriften

Kommt es bei der Verarbeitung von personenbezogenen Daten zu einem Verstoß gegen datenschutzrechtliche Vorschriften, ist der Verantwortliche nach Art. 82 DSGVO grundsätzlich zum Ersatz des daraus entstandenen Schadens verpflichtet. Nur nicht ein Verstoß gegen die DSGVO löst dabei grundsätzlich die Haftung aus, sondern auch ein Verstoß gegen nationales Datenschutzrecht, wie z.B. das BDSG. Klassische Verstöße in der Praxis sind neben mangelnden Schutzmaßnahmen bei Datenschutzvorfällen vor allem eine unzureichende Reaktion auf Betroffenenrechte. Dabei ist wichtig, dass jeder Verstoß – egal wie groß oder klein – den Anspruch erst einmal begründen kann.

Beispiele aus der Praxis sind unter anderem:

  • Data Breaches oder Dataleaks,
  • Datenverarbeitung ohne erforderliche Einwilligung oder sonstige Rechtsgrundlage,
  • unbefugte Offenlegung von personenbezogenen Daten bei, beispielsweise, der Versand einer E-Mail an den falschen Adressaten,
  • eine weitergeführte Datenverarbeitung trotz Widerrufs und Widerspruchs oder,
  • eine Verarbeitung für den Zweck nicht erforderlicher Daten.

2. Materieller oder immaterieller Schaden einer natürlichen Person

Der Verstoß muss in einem materiellen oder immateriellen Schaden resultieren. Ersterer lässt sich häufig relativ leicht darlegen. Beispiele aus der Praxis sind etwa die Nichtgewährung eines Kredits, Verweigerung des Vertragsschlusses aufgrund falscher Bonitätswerte, die falsche Eingruppierung in eine teurere Versicherungsstufe oder die Nichteinstellung/Entlassung aufgrund falscher Information.

Häufig geht es aber um immaterielle Schäden, die aus Persönlichkeitsverletzungen resultieren. Hier ist im Detail noch vieles höchst umstritten und die deutschen Gerichte sich häufig uneins. Nicht abschließend geklärt ist insbesondere die Frage, ob die Vorschrift des Artikel 82 DSGVO eine gewisse Erheblichkeitsschwelle hinsichtlich des Schadens voraussetzt oder nicht. Ob also ein spürbarer Nachteil beim Betroffenen eingetreten sein muss oder ob auch einfache Bagatellschäden, wie Ängste oder Ungewissheiten genügen.

Ein starkes Indiz gegen die Anwendung des engen Schadensbegriff ist Erwägungsgrund 146, S. 3 der DSGVO. Danach ist der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise auszulegen, die den Zielen der Verordnung in vollem Umfang entspricht. Anders als im deutschen Zivilrecht soll der Schadensersatz nach dem Europäischen Gerichtshof nicht nur entstandene Nachteile ausgleichen, sondern eine Abschreckungsfunktion haben.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte rechnen Sie 1 plus 4.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Nach Ansicht des LG Bonn, muss eine Beeinträchtigung zumindest „spürbar“ sein (LG Bonn, Urteil v. 1.7.2021, 15 O 372/20). Dies sieht auch der Oberste Gerichtshof (OGH) in Österreich so und forderte in seinem Urteil (Az.: 6 Ob 217/19h) das Vorliegen eines spürbaren Nachteils. Dies hat zwar keine Wirkung für deutsche Gerichte, dürfte als Grundsatzurteil dennoch wegweisend sein.

Das Bundesverfassungsgericht hat sich in seinem Beschluss vom 14. Januar 2021 (Az.: 1 BvR 28531/19) ebenfalls mit dieser Frage beschäftigt und stellte immerhin fest, dass sich die Voraussetzungen des Schmerzensgeldanspruchs nicht unmittelbar aus der DSGVO ergeben und vom EuGH nicht vollständig geklärt seien. Die Abweisung der Schadensersatzforderung wegen fehlender Erheblichkeit durch das AG Goslar (Az.: 28 C 7/19) sei insoweit rechtsfehlerhaft. Es hob das Urteil auf und verwies es zur erneuten Entscheidung an das AG Goslar zurück. Das AG Goslar muss die Frage nun dem EuGH vorlegen. Das Ergebnis bleibt abzuwarten – der Ball liegt nun beim EuGH.

3. Kausalität

Nach klassischem deutschem Verständnis muss der Rechtsverstoß einerseits ursächlich auf eine Handlung oder ein Unterlassen des Verantwortlichen bzw. des Auftragsverarbeiters zurückzuführen sein. Andererseits muss auch der Rechtsverstoß selbst ursächlich für den Schaden geworden sein. In der Praxis ergeben sich hier zahlreiche Darlegungs- und Beweisprobleme.

4. Verschulden, Beweislast und Haftungsbefreiung (Abs. 2,3)

Beim datenschutzrechtlichen Schadensersatzanspruch handelt es sich um einen Fall der Verschuldenshaftung und um keine Gefährdungshaftung. Das heißt, der Verstoß muss durch den Anspruchsgegner vorsätzlich oder fahrlässig verursacht worden sein.

Der Verantwortliche bzw. Auftragsverarbeiter kann sich von seiner Haftung gemäß Absatz 2 befreien, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Verantwortlich meint dabei Verschulden. Zu beachten ist, dass Unternehmen für das Handeln ihrer Beschäftigten grundsätzlich haften und sich grundsätzlich auch nicht durch die Falschberatung eines Datenschutzbeauftragten exkulpieren können.

Die Darlegungs- und Beweislast des Anspruchs nach Artikel 82 DSGVO ist noch nicht höchstrichterlich geklärt und Einzelheiten in der Rechtsprechung höchst umstritten. Grundsätzlich gilt, dass jede Partei die für sie günstigen Tatsachen vortragen und beweisen muss. Die Klägerseite also alle anspruchsbegründenden Tatsachen, die Beklagtenseite alle anspruchsvernichtenden.

Einige Gerichte vertreten die Ansicht, dass die allgemeine Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO bei allen Tatbestandsmerkmalen des Art. 82 Abs. 1 DSGVO Beachtung finden müsse und folgern daraus, es genüge, wenn die betroffene Person Anhaltspunkte für einen Verstoß gegen die Verordnung vorträgt, da die Betroffenen typischerweise keinen Einblick in die unternehmensinternen Verarbeitungsvorgänge haben. Durch diese Argumentation kommt es letztlich zu einer Art Beweiserleichterung oder Beweislastumkehr. Dem widersprach jüngst das OLG Stuttgart in seinem Urteil vom 31.03.2021 (Az.: 9 U 34/21) und argumentiert dahingehend überzeugend, dass die DSGVO kein Beweisrecht enthalte – vielmehr würden die Beweisregeln des jeweiligen nationalen Prozessrechts gelten. Das deutsche Zivilprozessrecht enthalte hinreichende Möglichkeiten, eine effektive Rechtsdurchsetzung zu gewährleisten. Auch der europarechtliche Effektivitätsgrundsatz könne über die Grundsätze der sekundären Darlegungslast gewahrt werden. Das OLG führte dazu aus, dass die sekundäre Darlegungslast der betroffenen Person weiterhelfen würde, wenn sich diese in Beweisnot befinde und keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung habe, während der Bestreitende alle wesentlichen Tatsachen kenne und es ihm unschwer möglich und zumutbar sei, nähere Angaben zu machen. Dann obliege es dem Bestreitenden, ihm zumutbare Nachforschungen zu unternehmen. Im vorliegenden Fall hat das OLG Stuttgart aber das Vorliegen der Beweisnot gerade nicht bejaht und die Berufung zurückgewiesen. Allerdings hat das OLG Stuttgart die Revision zum BGH wegen der grundsätzlichen Bedeutung dieser Rechtsfrage und den unterschiedlich vertretenen Positionen zugelassen. Es bleibt also auch hier spannend.

Fazit und Ausblick

Abschließend lässt sich festhalten, dass Schadensersatzforderungen nach der DSGVO aller Voraussicht nach häufiger werden und ihre Höhe tendenziell steigen wird. Maßgeblich dazu beitragen dürfte die EU-Richtlinie 2020/1828 zur Verbandsklage zum Schutze der Kollektivinteressen der Verbraucher.

Bei Schadensersatzforderungen aufgrund von DSGVO-Verstößen sind viele Detailfragen sehr umstritten – dies gilt insbesondere für die Höhe des Schadensersatzes, der Schadensbegriff und die Beweislast. Klärung wird wohl erst eine Grundsatzentscheidung des EuGHs bringen. Eine solche ist aber nicht in nächster Zeit zu erwarten.

Für Unternehmen ist es von äußerster Wichtigkeit Maßnahmen zu ergreifen, um Datenschutzverstöße zu vermeiden und diese Maßnahmen umfassend zu dokumentieren. Wichtig ist insbesondere ein wirksames Datenschutzmanagementsystem (DSMS). Hierdurch können Risiken frühzeitig erkannt und die Wahrscheinlichkeit von Datenschutzverstößen signifikant verringert werden. Gleichzeitig sorgt ein DSMS für eine Optimierung von Abläufen und Prozessen. Wie so oft gilt, Vorsicht ist besser als Nachsicht.

Sollte es doch zu einer Schadensersatzforderung kommen, ist es wichtig jede Voraussetzung zu kennen und genau zu prüfen. Hierbei sollte anwaltlicher Rat eingeholt werden. Aus unserer Erfahrung zeigt sich, dass es insbesondere aufgrund der Unklarheit, der auslegungsbedürftigen Rechtsbegriffe und der uneinheitlichen Linie der Gerichte einiges an Argumentationsspielraum gibt, der durchaus im Sinne der Unternehmen genutzt werden kann und auch sollte.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Weitere Experten zum Thema

Weitere Neuigkeiten