SRD Auszeichnung Legal 500 2022

Schadensersatzansprüche im Datenschutz

Bei der Datenschutz-Grundverordnung (DSGVO) denken viele Unternehmen bislang zunächst an medienwirksam verhängte Bußgelder, weniger jedoch an (meist immaterielle) Schadensersatzansprüche betroffener Personen. Angesichts von Cyberangriffen und Risiken bei der Beantwortung von Betroffenenanfragen gewinnt das Thema Schadensersatz im Zusammenhang mit etwaigen DSGVO-Verstößen dennoch zunehmend an Bedeutung. Geltend gemachte Verstöße gegen die DSGVO betreffen oft große Datenbestände und damit eine Vielzahl von Personen gleichzeitig. Aus einer einzelnen Forderung kann daher unter Umständen eine ganze Flut von Schadensersatzforderungen werden. Sowohl der Bearbeitungsaufwand als auch die Kosten für Unternehmen können daher im Einzelfall außerordentlich hoch ausfallen. Hinzu kommt, dass sich mittlerweile auch auf Massenklageverfahren spezialisierte Anwaltskanzleien und Legal Tech-Unternehmen auf die Geltendmachung und Durchsetzung derartiger Ansprüche spezialisiert haben. Umso wichtiger ist es für Unternehmen, auf etwaige Anspruchsbegehren gut vorbereitet zu sein.

Welche Maßnahmen ergriffen werden müssen, um Schadensersatzansprüche zu vermeiden, hängt vom jeweiligen Fall ab und kann im Ergebnis stark variieren. Sehen sich Unternehmen mit Abmahnungen oder Klagen konfrontiert, ist die strategische Beratung und kompetente Verteidigung ein entscheidender Faktor, um etwaigen Einzel- oder Massenforderungen möglichst effektiv zu begegnen. Von der ersten Abmahnung über die anwaltliche Korrespondenz bis hin zur etwaigen Verteidigung im gerichtlichen Verfahren – bei der Bewältigung der rechtlichen Herausforderungen stehen wir Ihnen mit unserer in zahllosen Behörden- und Gerichtsverfahren gewonnenen Expertise zur Seite. Unsere Anwältinnen und Anwälte verfügen über jahrelange Erfahrung sowohl in der Beratung als auch in der gerichtlichen Vertretung im Datenschutzrecht.

Der Schadensersatzanspruch nach der DSGVO

Artikel 82 DSGVO ist die zentrale Norm für datenschutzrechtliche Schadensersatzbegehren und gibt betroffenen Personen eine eigene und unmittelbare Anspruchsgrundlage an die Hand. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen Vorschriften der DS-GVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Ersatz dieses Schadens.

DSGVO-Verstoß

Die DSGVO stellt an Unternehmen, die personenbezogene Daten verarbeiten, eine Vielzahl an Anforderungen – und prinzipiell kann jeder DSGVO-Verstoß auch relevant für daraus resultierende Schadensersatzforderungen sein. So können sich Schadensersatzforderungen aus einer Vielzahl von denkbaren Verstößen ergeben, von fehlerhaften Einwilligungen oderfalschen Angaben in Cookie-Bannern bis zu etwaigen Datenabflüssen nach Cybervorfällen. Weitere Beispiele sind Schadensersatzforderungen im Zusammenhang mit datenschutzrechtlichen Auskunftsbegehren oder Löschanfragen.

Schaden

Erfasst von der Schadensersatzpflicht können sowohl materielle als auch immaterielle Schäden sein. Materielle Schäden ergeben sich aus messbaren Vermögenseinbußen, die Folge eines Verstoßes sind. Beispiele sind die Nichteinstellung oder Entlassung eines Arbeitnehmers aufgrund unrichtiger Informationen, die falsche Eingruppierung in eine teurere Versicherungsstufe oder Verweigerung des Vertragsschlusses aufgrund fehlerhafter Bonitätswerte. Diese Schäden lassen sich in der Regel leicht beziffern und belegen.

Immaterielle Schäden hingegen können unter anderem sein: Rufschädigung, Ärgernis und Zeitverlust. Wann genau ein immaterieller entstanden ist, der einen Anspruch auf Schadensersatz begründet, ist gesetzlich nicht geregelt und daher bislang mangels höchstrichterlicher Rechtsprechung Auslegungssache. In der bisherigen Rechtsprechung zeichnet sich eine Differenzierung nach der Art des Verstoßes ab; ein Schaden muss jedoch auch bei immateriellen Schäden entsprechend nachgewiesen werden. Bisher verlangten die erkennenden Gerichte teilweise eine gewisse Erheblichkeit des Schadens für die betroffene Person. So zum Beispiel das LG Frankfurt a.M. in seinem Urteil vom 18.09.2020 (2/27 O 100/20) oder auch das LG Hamburg mit Urteil vom 04.09.2020 (324 S 9/19). Andere Gerichte sahen im Wortlaut der DSGVO keine Veranlassung für die Annahme einer solchen Erheblichkeitsschwelle; so zum Beispiel jüngst das LAG Baden-Württemberg (Urt. v. 25.02.2021 – 17 Sa 37/20). In seiner lang ersehnten Entscheidung (C 300/21) vom 04.05.2023 stellte der EuGH klar, dass die teilweise angenommene Erforderlichkeit der Erheblichkeit des Schadens keine Grundlage in der DSGVO habe und deshalb keine Voraussetzung für den Schadensersatzanspruch nach Art. 82 DSGVO sein könne. Abgesehen davon ließ das Urteil viele Fragen dahingehend offen, in welchen Fällen von einem immateriellen Schaden gesprochen werden kann.

Exkulpationsmöglichkeit

Auch wenn ein Schadensersatzanspruch bejaht wird, haben Unternehmen noch die sogenannte Exkulpationsmöglichkeit nach Art. 82 Absatz 3 DS-GVO. Kann das verantwortliche Unternehmen beweisen, dass es sämtliche nach der DSGVO erforderlichen Sorgfaltsanforderungen erfüllt hat, kann es sich von der Haftung befreien. Für diese Haftungsbefreiung gelten jedoch enge Voraussetzungen. Viele Rechtsfragen sind im Detail noch ungeklärt. Es muss daher immer der Einzelfall betrachtet werden.

Fragen der Beweislast

Nach den Grundsätzen des deutschen Prozessrechtes liegt die Beweislast für eine Tatsache grundsätzlich bei der Partei, die sich auf diese beruft; der Anspruchssteller, der Schadensersatz verlangt, muss danach also die elementaren Anspruchsvoraussetzungen darlegen und nachweisen.

Im Hinblick auf einzelne Aspekte des Schadensersatzanspruchs wird dies mitunter jedoch auch differenziert gesehen, z.B. bei Aspekten, bei welchen die betroffene Person typischerweise keinen Einblick in die Datenverarbeitungsvorgänge auf Seiten des verantwortlichen Unternehmens hat. Eine höchstrichterliche Klärung dieser Rechtsfrage steht noch aus und deutsche Gerichte entscheiden in beide Richtungen; weitere Entwicklungen müssen also genau beobachtet werden. Jedenfalls unterstreichen die gegensätzlichen Entscheidungen aber, dass es für Unternehmen essenziell ist, den jeweiligen Einzelfall zu prüfen und Aspekte, die zur Rechtsverteidigung vorgetragen werden können, zu dokumentieren. Sollten Sie hierzu Fragen haben, stehen wir Ihnen gern zur Verfügung.

Geltendmachung

Derzeit überwiegt die Geltendmachung derartiger Schadensersatzansprüche durch einzelne betroffene Personen. Üblicherweise erfolgt im ersten Schritt eine anwaltliche Abmahnung mit entsprechenden Forderungen und anschließend die Geltendmachung im Rahmen eines gerichtlichen Verfahrens. Zudem gibt es nach unserer Erfahrung auch vermehrt die Tendenz, Ansprüche zu bündeln und durch spezialisierte Legal Tech-Unternehmen geltend zu machen. Die kollektive Rechtsdurchsetzung könnte sich in Zukunft noch weiter verstärken, zum Beispiel durch Sammelklagen oder das EU-Ebene vorgesehene Verbandsklagerecht.

Möglichkeiten der Verteidigung

Um etwaigen Forderungen zu vorzubeugen, ist ein professionelles Datenschutzmanagement dringend zu empfehlen. Sollten Sie dennoch mit Abmahnungen und Schadensersatzforderungen konfrontiert werden, gibt es nach unserer Erfahrung stets Spielräume, um entsprechende Forderungen abzuwehren oder zu reduzieren. Nicht selten werden Klagen auch auf vermeintliche Verstöße gestützt, die bei vertiefter Kenntnis der Rechtslage widerlegt werden können. Wir beraten Sie gern zu dieser Thematik.

Haben Sie rechtliche Fragen zu Schadensersatzansprüchen im Datenschutz? Unsere Fachanwälte helfen Ihnen gerne weiter.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.