29.08.2022

Schadensersatz nach der DSGVO: die wichtigsten Fragen und Antworten

Schadensersatzansprüche im Datenschutz sind seit Geltung der Datenschutz-Grundverordnung (DSGVO) ganz besonders in den Fokus von Unternehmen, aber auch medial in den Fokus der Öffentlichkeit, gerückt. Inzwischen bestehen aufgrund erster Erfahrungswerte sowie einer Vielzahl rechtskräftiger – leider sehr divergierender – Gerichtsentscheidungen wichtige Anhaltspunkte für die Praxis, wie Unternehmen mit Schadensersatzkonstellationen umgehen und wie sie sich gegebenenfalls dagegen verteidigen können.

Unverbindliches Erstgespräch vereinbaren

Zunehmend versuchen auch Legal Tech-Unternehmen Geschäftsmodelle zur massenhaften Geltendmachung von DSGVO-Ansprüchen zu etablieren. Einige der Fragestellungen, welche sich im Zusammenhang mit (immateriellen) Schadenersatzforderungen für Unternehmen stellen, greifen wir in diesem Beitrag auf und geben mögliche Anhaltspunkte zu ihrer Beantwortung.

Was sind die häufigsten Auslöser für einen Schadensersatzanspruch?

Viele Schadensersatzansprüche treten im Kontext mit Datenschutzvorfällen auf. Beispielsweise kann das (versehentliche) Versenden von Inhalten und Daten an falsche Adressaten oder das unbefugte Offenlegen von personenbezogenen Daten im Cloud-Kontext dazu führen, dass datenschutzrechtliche Meldepflichten an die betroffenen Personen ausgelöst werden. Auf diesem Weg erfahren Betroffene vom Vorfall und nehmen dies dann zum Anlass, Schadensersatzansprüche nach der DSGVO geltend zu machen. Daneben sind auch nicht selten Fehler bei der Beantwortung von Auskunftsbegehren nach Art. 15 DSGVO Auslöser für die Geltendmachung eines Schadensersatzanspruches.

Den Umfang, die Grenzen und wie die Beantwortung eines Auskunftsbegehrens gelingt, zeigen wir unter anderem hier auf unserem Blog.

Warum ist die massenhafte Geltendmachung von Schadensersatzansprüchen so riskant?

Risiken bergen vor allem die massenhafte Geltendmachung von Schadensersatzansprüchen. Oftmals handelt es sich bei Schadensersatzansprüchen nach der DSGVO um gleichgelagerte Sachverhalte. Über Landingpages ist es dann möglich, ein breites Publikum von Betroffenen aufzurufen, schnell und einfach ihre Rechte geltend zu machen. Rechtliche Bedenken können sich insoweit im Hinblick auf die Frage der Abtretbarkeit von immateriellen Schadensersatzansprüchen ergeben. Hierzu werden verschiedene Ansichten vertreten, wobei vielfach von der Zulässigkeit entsprechender Forderungsabtretungen ausgegangen wird (vgl. zum Beispiel LG Essen, Urt. v. 23.9.2021, Az. 6 O 190/21), während andere diese wegen der ständigen deutschen Rechtsprechung zur Nichtabtretbarkeit von Entschädigungsansprüchen wegen Persönlichkeitsrechtsverletzungen aufgrund des höchstpersönlichen Charakters ablehnen.

Wo liegt die rechtliche Grundlage für Schadensersatzansprüche nach der DSGVO?

Die rechtliche Grundlage des datenschutzrechtlichen Schadensersatzanspruches ergibt sich aus Art. 82 DSGVO.

Was setzt ein Schadensersatzanspruch nach der DSGVO voraus?

Art. 82 DSGVO stellt einige Voraussetzungen für das Vorliegen eines Schadenersatzanspruchs auf. Insbesondere relevant sind die Folgenden:

  1. Ein Verstoß gegen die Verordnung oder datenschutzrechtliche nationale Vorschriften, etwa das Bundesdatenschutzgesetz
  2. Ein materieller oder immaterieller Schaden einer natürlichen Person
  3. Die Kausalität: Verursachung des Schadens durch den Verstoß
  4. Die Beweislast, Verschulden und Haftungsbefreiung

Warum werden Schadensersatzansprüche zurzeit so intensiv diskutiert?

Bei der Anwendung der Vorschrift in verschiedenen Gerichtsverfahren vor deutschen Gerichten haben sich zu einzelnen Aspekten und Voraussetzungen unterschiedliche Meinungen und Ansichten herauskristallisiert. Während Arbeitsgerichte tendenziell eine großzügigere Linie verfolgen und häufiger Schadenersatzansprüche zusprechen, waren die ersten Entscheidungen von Amts-, Land- und Oberlandesgerichten diesbezüglich eher zurückhaltend. Durch unterschiedliche Rechtsprechung ist viel Rechtsunsicherheit für Unternehmen entstanden.

Wie kann eine unterschiedliche Rechtsprechung überwunden werden?

Um die unterschiedliche Auslegung einiger Tatbestandsmerkmale von Art. 82 DSGVO zu verhindern, wurden dem Europäischen Gerichtshof (EuGH) bereits einige Fragen von verschiedenen Gerichten vorgelegt. Dem EuGH kommt gem. Art. 267 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) die Aufgabe zu, die Rechtsakte der Europäischen Union, worunter auch die DSGVO fällt, auszulegen. Seitens des EuGH werden nun Entscheidungen zu verschiedenen Voraussetzungen des Schadensersatzanspruches und wie diese zu verstehen sind, erwartet. Darunter findet sich beispielsweise eine Vorlagefrage des AG München (Beschluss v. 3.3.2022, Az. 132 C 1263/21) insbesondere zu Fragen nach dem Verständnis des Charakters des Schadensersatzanspruches nach Art. 82 DSGVO. Auch das Bundesarbeitsgericht hat mit einem Beschluss vom 26.8.2021 (Az. 8 AZR 253/20) Fragen vorgelegt, die unter anderem die Streitigkeit um eine Verschuldens- oder Gefährdungshaftung betreffen. Die Entscheidungen stehen aktuell noch aus. Allseits wird eine baldige Klärung durch den EuGH erhofft.

Welche Qualität muss ein Verstoß gegen die DSGVO haben?

Grundsätzlich sollten Unternehmen davon ausgehen, dass jeder Verstoß geeignet ist, eine Schadensersatzpflicht auszulösen. Sehr oft sind Verstöße im Verhältnis zu Beschäftigten und damit im Bereich des Beschäftigtendatenschutzes zu verzeichnen.

Wie können Verstöße aussehen?

Verstöße können vielfältige Gestalt annehmen und beispielsweise in der Verletzung von

  • materiellen Rechtmäßigkeitsanforderungen,
  • formalen Vorschriften,
  • nationalem Recht oder
  • speziellen Anforderungen nur an den Auftragsverarbeiter

liegen.

Wann liegt nach der DSGVO ein immaterieller Schaden vor?

Auch beim Element des Schadens herrscht Uneinigkeit, ob und in welchem Umfang immaterielle Schäden erfasst sein sollen. Dem Meinungsstreit liegen im Wesentlichen zwei Ansätze zugrunde: der weite und der enge Schadensbegriff.

Was versteht sich unter dem weiten Schadensbegriff?

Kernthesen des weiten Schadensbegriffes sind unter anderem, dass prinzipiell jeder Verstoß gegen die DSGVO zu einem Schaden führen kann und auch Bagatellschäden erfasst seien, weil nur so der Präventionsfunktion des Schadensersatzanspruches genügend Rechnung getragen würde. Viele Argumentationen greifen auch auf den Erwägungsgrund 146 der DSGVO zurück.

Was ist in diesem Zusammenhang der enge Schadensbegriff?

Vertreter des engen Schadensbegriffs sehen immaterielle Schäden wegen einer möglichen Ausuferung skeptisch und fordern, sogenannte Bagatellschäden auszunehmen. Es müsse erst eine gewisse Erheblichkeitsschwelle überschritten werden und der Nachteil müsse spürbar sein.

Da für die Ausklammerung von Bagatellschäden im Rahmen von Art. 82 DSGVO keine wirklichen Anhaltspunkte bestehen, wird der EuGH nach unserer Prognose eher zum weiten Schadensbegriff tendieren, seine Entscheidung bleibt aber abzuwarten.

Ist der datenschutzrechtliche Schadensersatzanspruch nach der DSGVO eine Verschuldens- oder Gefährdungshaftung?

Unterschiedliche Ansichten herrschen auch zur Frage, ob Art. 82 DSGVO eine Gefährdungs- oder Verschuldenshaftung normiert. Ausgangspunkt der Diskussionen ist Art. 82 Abs. 3 DSGVO, der eine Exkulpation regelt.

Was wird für das Vorliegen einer Gefährdungshaftung vorgetragen?

Wenn sich ein Unternehmen exkulpieren kann, heißt das, dass es sich von der Haftung befreien kann. Einige Vertreter der Gefährdungshaftung lesen den Art. 82 Abs. 3 DSGVO jedoch so, dass sich dieser gerade nicht auf das Element des Verschuldens, sondern auf die Kausalität beziehen soll. Das hieße in der Praxis, dass der Anspruchssteller nur darlegen müsste, dass ein Verstoß gegen die DSGVO vorgelegen hat. Der Verstoß würde sodann das Vorliegen eines kausalen Schadens indizieren.

Die Tendenz der arbeitsgerichtlichen Rechtsprechung in Deutschland geht zur Annahme einer Gefährdungshaftung (vgl. BAG, Beschluss vom 26.8.2021 – Az. 8 AZR 253/20). Folgt man dieser Ansicht, führt dies zu einer ausufernden Haftung, da bereits die Verletzung der DSGVO als solche für einen Anspruch nach Art. 82 Abs. 1 DSGVO ausreicht.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte rechnen Sie 6 plus 1.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Was wird gegen die Gefährdungshaftung vorgetragen?

Aus dem Wortlaut und der Systematik von Art. 82 DSGVO wird hingegen durch die Gegner einer Gefährdungshaftung überzeugend entnommen, dass Art. 82 Abs. 3 DSGVO nur hinsichtlich des Verschuldens eine Beweislastumkehr vorsieht und der Anspruchssteller im Übrigen für die haftungsbegründenden Umstände, also zumindest für den Verstoß und den hierdurch eingetretenen Schaden, darlegungs- und beweisbelastet ist. Das folge direkt aus Art. 82 Abs. 1 DSGVO, wonach der Schaden gerade „wegen eines Verstoßes“ eingetreten sein müsse, ein Anspruch auf Schadensersatz nur dann bestehe, wenn „ein materieller oder immaterieller Schaden entstanden ist“ (vgl. OLG Koblenz, Urt. v. 18.05.2022 – 5 U 2141/21; OLG Stuttgart, Urt. vom 31.3.2021 – 9 U 34/21).

Was macht den richten Umgang mit Schadensersatzforderungen aus?

Im ersten Schritt werden die meisten Ansprüche zunächst außergerichtlich gestellt. Anschließend empfiehlt es sich, einige Punkte unternehmensseitig zu beachten und zu prüfen:

  1. Eingangsdatum feststellen und den Vorgang an den Datenschutzkoordinator, den Datenschutzbeauftragten oder an das Legal-Team weiterleiten
  2. Vorprüfung der Anspruchsberechtigung: Gibt es überhaupt ein vorwerfbares Verhalten?
  3. Sachverhalt intern umfassend aufklären
  4. Ggf. Hinzuziehen spezialisierter Rechtsanwälte für eine Stellungnahme
  5. Möglichkeiten der Gegenargumentation ausloten

Wie lassen sich im Unternehmen Schadensersatzrisiken vorbeugend minimieren?

  • Anfragen von betroffenen Personen rechtzeitig und vollständig beantworten
  • Korrekte Umsetzung von Widerruf und Widerspruch sicherstellen
  • Einwilligungen freiwillig einholen, Einwilligungstexte sauber und informiert ausgestalten
  • Datenverarbeitungsvorgänge sicher vor Datenlecks ausgestalten – Datensicherheit umsetzen
  • Besonderheiten des Beschäftigtendatenschutzes beachten
  • Ein Datenschutzmanagement etablieren

Was hat das EU-Verbandsklagerecht mit Schadensersatzansprüchen nach der DSGVO zu tun?

Die EU-Richtlinie 2020/1828 zur Verbandsklage zum Schutze der Kollektivinteressen der Verbraucher vom 25.11.2020, ermöglicht qualifizierten Einrichtung die gebündelte Geltendmachung der Schadensersatzforderungen mehrerer Verbraucher. Die Richtlinie muss bis zum 31.12.2022 umgesetzt werden. Erfolgt eine richtlinienkonforme Umsetzung, müssen sich Unternehmen unter Umständen darauf vorbereiten, in noch größerem Umfang mit Schadensersatzforderungen zu tun zu haben.

Antworten auf Ihre Fragen

Unser Partner und Rechtsanwalt bei Schürmann Rosenthal Dreyer Rechtsanwälte, Philipp Müller-Peltzer, referiert in seinem Vortrag zum Thema „Schadensersatzansprüche im Datenschutz – Worauf Unternehmen in der Praxis achten sollten“ interessante Hintergründe und anwendungsorientierte Practices, worauf es für Unternehmen im Falle eines Schadensersatzanspruches ankommt. Dabei gibt er unter anderem zur Vielgestaltigkeit von Verstößen gegen die DSGVO einen umfassenden Überblick und zeigt die wesentlichen praxisbezogenen Risiken für Unternehmen auf. Einen konkreten Praxisblick wirft SRD-Partner Philipp Müller-Peltzer ebenfalls im Vortrag darauf, wie Unternehmen bei einem Mitarbeiterexzess reagieren können. In seinem Expertenvortrag stellt er weitere wichtige Praxistipps zum richtigen Umgang und der erfolgreichen Prävention von Schadensersatzansprüchen gegen Unternehmen vor.

Fazit

Das steigende Bewusstsein unter Betroffenen, dass bei DSGVO-Verstößen Schadensersatzansprüche gegen Unternehmen bestehen können, ist offenkundig und sollte von Unternehmen unbedingt beachtet werden. In Zukunft ist damit zu rechnen, dass Schadensersatzforderungen noch häufiger gestellt werden. Prävention, um bestenfalls keinen Schadenersatzforderungen ausgesetzt zu werden, ist daher von hoher Bedeutung für Unternehmen. Wenn es dennoch zu Schadenersatzforderungen kommt, gilt es durch richtige Prozesse im Unternehmen möglichst gut vorbereitet zu sein, um klug und planvoll reagieren zu können.

Unser Team aus Rechts- und Fachanwält:innen steht Ihnen bei allen weiteren Fragen jederzeit gerne zur Verfügung.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Weitere Neuigkeiten

04.09.2024

AI as a Service (AIaaS): So funktioniert die Implementierung im Unternehmen

31.07.2024

Digital Health Update 2024

25.07.2024

Bonitätsprüfung und Zusammenarbeit mit Auskunfteien nach der SCHUFA-Entscheidung des EuGH