SRD Auszeichnung Legal 500 2022

Schadensersatzansprüche im Datenschutz

Bei der Datenschutz-Grundverordnung (DSGVO) denken viele Unternehmen an die medienwirksamen Bußgelder und weniger an Schadensersatzansprüche betroffener Personen. Zu Unrecht, denn auch das Thema Schadensersatz gewinnt zunehmend an Bedeutung. Im Vergleich zu den potenziell außerordentlich hohen behördlichen Bußgeldern, erscheinen die Summe des Schadensersatzanspruchs einer einzelnen Person eher von geringerer Bedeutung – doch diese Einzelsummen täuschen über den Fakt hinweg, dass DSGVO-Verstöße oft große Datenbestände und damit eine Vielzahl von Personen gleichzeitig betreffen. Daher können sowohl der Bearbeitungsaufwand als auch die Kosten für Unternehmen im Einzelfall sehr hoch ausfallen. Umso wichtiger ist es für Unternehmen, auf etwaige Anspruchsbegehren gut vorbereitet zu sein.

Doch welche Maßnahmen ergriffen werden müssen, hängt vom jeweiligen Fall ab und kann im Ergebnis stark variieren. Maßgeblich ist aber in jedem Fall ein gutes Datenschutzmanagement, um solchen Forderungen präventiv zu begegnen. Ist man bereits mit einer Klage konfrontiert, ist eine kompetente Verteidigung ein entscheidender Faktor. Um diese rechtlichen Herausforderungen bewältigen zu können, hilft Ihnen SRD Rechtsanwälte: Unsere Anwältinnen und Anwälte verfügen über jahrelange Erfahrung und Expertise sowohl in der Beratung als auch in der gerichtlichen Vertretung im Datenschutzrecht.

Wir beraten folgende Branchen:

  • Pharma & Health
  • Handel & E-Commerce
  • Öffentliche und private Forschungseinrichtungen
  • Mobilität
  • Finance
  • Energie

Der Schadensersatzanspruch nach der DSGVO

Artikel 82 DSGVO ist die zentrale Norm für datenschutzrechtliche Schadensersatzbegehren und gibt betroffenen Personen eine eigene und unmittelbare Anspruchsgrundlage an die Hand. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen Vorschriften der DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Ersatz dieses Schadens.

Verstöße

Die DSGVO stellt an Unternehmen, die personenbezogene Daten verarbeiten, eine Vielzahl an Anforderungen – und ein schadensersatzrechtlich relevanter Verstoß kann grundsätzlich jede Verletzung einer Pflicht des Verantwortlichen oder Auftragsverarbeiters sein. So kann sich eine Schadensersatzpflicht schon aus einer verspäteten oder unvollständigen Auskunftserteilung nach Art. 15 DSGVO ergeben. Auch formale Fehler bei der Einholung der datenschutzrechtlichen Einwilligung können zu einem Verstoß führen. Weitere Beispiele sind fehlerhafte Informationen über die Datenverarbeitung oder unterlassene bzw. unvollständig ausgeführte Löschbegehren.

Schäden

Erfasst von der Schadensersatzpflicht sind sowohl materielle als auch immaterielle Schäden. Materielle Schäden ergeben sich aus messbare Vermögenseinbußen, die Folge eines Verstoßes sind. Beispiele umfassen die Nichteinstellung oder Entlassung aufgrund unrichtiger Informationen, die falsche Eingruppierung in eine teurere Versicherungsstufe oder Verweigerung des Vertragsschlusses aufgrund fehlerhafter Bonitätswerte. Diese Schäden lassen sich in der Regel leicht beziffern und belegen.

Immaterielle Schäden hingegen können unter anderem sein: Rufschädigung, Ärgernis und Zeitverlust. Wann genau ein immaterieller Schaden in einem Maße entstanden ist, dass ein Anspruch auf Schadensersatz geltend gemacht werden kann, ist gesetzlich nicht geregelt und daher häufig Auslegungssache. Diese Frage wurde daher auch dem Europäischen Gerichtshof durch Vorlagebeschluss des Österreichischen Obersten Gerichtshofs (Az: 6 Ob 35/21x) zur Entscheidung vorgelegt. In der bisherigen Rechtsprechung zeichnet sich eine Differenzierung nach der Art des Verstoßes ab; ein immaterieller Schaden muss jedoch auch bei immateriellen Schäden entsprechend nachgewiesen werden. Dabei ist die konkrete Schwelle für solche Schäden im Einzelnen umstritten. Teilweise verlangen die erkennenden Gerichte eine gewisse Erheblichkeit des Schadens für die betroffene Person. So zum Beispiel das LG Frankfurt a.M. in seinem Urteil vom18.09.2020 (2/27 O 100/20) oder auch das LG Hamburg mit Urteil vom 04.09.2020 (324 S 9/19). Andere Gerichte sehen im Wortlaut der DSGVO keine Veranlassung für die Annahme einer solchen Erheblichkeitsschwelle; so zum Beispiel jüngst das LAG Baden-Württemberg (Urt. v. 25.02.2021 – 17 Sa 37/20).

Exkulpationsmöglichkeit

Auch wenn ein Schadensersatzanspruch bejaht wird, haben Unternehmen noch die sogenannte Exkulpationsmöglichkeit nach Art. 82 Absatz 3 DSGVO. Kann das verantwortliche Unternehmen beweisen, dass es sämtliche nach der DSGVO erforderlichen Sorgfaltsanforderungen erfüllt hat, kann es sich von der Haftung befreien. Für diese Haftungsbefreiung gelten jedoch enge Voraussetzungen. Viele rechtliche Fragen sind dabei im Detail noch ungeklärt, sodass immer auf den Einzelfall abzustellen ist.

Beweislast

Nach den Grundsätzen des deutschen Prozessrechtes liegt die Beweislast für eine Tatsache grundsätzlich bei der Partei, die sich auf diese beruft; der Anspruchssteller der Schadensersatznorm müsste danach also sämtliche Anspruchsvoraussetzungen vortragen und nachweisen.

Doch teilweise wird argumentiert, dass die betroffene Person typischerweise keinen Einblick in die Verarbeitungsvorgänge hat: unternehmensinterne Abläufe seien für Außenstehende nur schwer nachzuvollziehen und im Zweifel schwer zu beweisen, sodass sich daraus eine Beweislastumkehr, Beweiserleichterung oder sekundäre Beweislast des Unternehmens ableiten müsse. Dem wird entgegengehalten, dass dies fundamentale Prinzipien des Prozessrechts aushebeln würde. Eine Rechenschaftspflicht bestehe zudem nur gegenüber Aufsichtsbehörden, nicht jedoch gegen Private; die Beweislast für den Verstoß müsse bei der betroffenen Person bleiben. Eine höchstrichterliche Klärung dieser Rechtsfrage steht noch aus und deutsche Gerichte entscheiden in beide Richtungen; weitere Entwicklungen müssen also genau beobachtet werden. Jedenfalls unterstreichen die gegensätzlichen Entscheidungen die Wichtigkeit für Unternehmen, die Maßnahmen zur Erfüllung datenschutzrechtlicher Vorgaben umfassend zu dokumentieren.

Geltendmachung

Derzeit überwiegt die Geltendmachung derartiger Schadensersatzansprüche durch einzelne betroffene Personen. Allerdings könnte sich die kollektive Rechtsdurchsetzung in Zukunft verstärken. Denn zum einen spezialisieren sich Unternehmen zunehmend darauf, solche Forderungen geschäftsmäßig zu erwerben und selbst geltend zu machen – dies ist beispielsweise schon im Mietrecht gängig. Zum anderen ist es Verbänden neuerdings mittels Musterfeststellungsklage möglich, einen Verstoß für eine Vielzahl von betroffenen Personen feststellen zu lassen. Die jeweilige Durchsetzung und Bemessung der Anspruchshöhe kann jedoch nicht im Massenverfahren betrieben werden. Mit der im Dezember 2020 in Kraft getretenen EU-Verbandsklagerichtlinie wird es in Zukunft möglich sein, auch Schadensersatz im Wege der Sammelklage einzuklagen.

Was tun?

Trotz einiger offenen Rechtsfragen und sich widersprechender Rechtsauffassung lassen sich Schadensersatzforderungen vorbeugen und die Höhe der Forderungen im Ernstfall reduzieren.

Um etwaigen Forderungen zu entgehen, ist ein professionelles Datenschutzmanagement unerlässlich. Zur optimalen Unterstützung von Unternehmen beim Thema Datenschutz arbeiten wir in enger Partnerschaft mit der ISiCO Datenschutz GmbH. Durch unseren großen gemeinsamen Erfahrungsschatz mit unseren Partnern im zunehmend komplexer werdenden Feld des Datenschutzes, lassen sich viele Risiken bereits im Vorfeld vermeiden. Jedoch ist auch beim Eingang einer Klage regelmäßig noch ein großer Handlungsspielraum gegeben. Nicht selten werden Klagen auf vermeintliche Verstöße gestützt, die bei vertiefter Kenntnis der Rechtslage widerlegt werden können. Schürmann Rosenthal Dreyer Rechtsanwälte verfügt über langjährige Erfahrung mit datenschutzrechtlichen Mandanten und bietet Unternehmen zusammen mit unseren Partnern vollumfassenden Service in dieser komplexen Thematik.

Haben Sie rechtliche Fragen zu Schadensersatzansprüchen im Datenschutz? Unsere Fachanwälte helfen Ihnen gerne weiter.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.