Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

04. Mai 2021

Schadensersatz nach DSGVO: Das zeigen aktuelle Urteile

Beim Schadenersatz nach DSGVO geht es zwar in den bisherigen Urteilen nicht um Millionensummen. Doch die Wahrscheinlichkeit, vor Gericht mit Schadenersatz konfrontiert zu sein, ist wesentlich höher, als ein Bußgeldverfahren zu erleben.
Bild: iStock.com / muhamad rukmana
5,00 (5)
Haftungsrisiken
Jeden Monat gibt es derzeit neue Urteile deutscher Gerichte zum Schadenersatz nach DSGVO. Und sie fallen immer häufiger zugunsten der betroffenen Person aus. Wie verteidigen sich Verantwortliche gegen Schadenersatzansprüche, welche Fallstricke gilt es zu vermeiden?

Bußgelder waren lange das Thema Nummer eins. Doch bisher gab es in Deutschland nur wenige Verfahren, in denen es um Bußgelder in Millionenhöhe ging. Ganz anders verhält es sich bei den Schadenersatz-Ansprüchen nach Art. 82 Datenschutz-Grundverordnung (DSGVO).

Die DSGVO regelt nicht nur die klassischen Betroffenenrechte wie Recht auf Auskunft, Löschung oder Widerspruch. Die betroffene Person hat darüber hinaus unterschiedliche Möglichkeiten, diese Rechte geltend zu machen oder sich gegen DSGVO-Verstöße durch den Verantwortlichen zu wehren.

Schadenersatz nach Art. 82 DSGVO

Dazu gehört zum einen das Beschwerderecht bei den Datenschutzaufsichtsbehörden. Zum anderen regelt die DSGVO, dass jeder einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter hat, wenn ihm durch die Verarbeitung ein Schaden entstanden ist. Jede Person hat einen Schadenersatzanspruch

  • bei einem Verstoß gegen die DSGVO,
  • wenn sie einen Schaden erlitten hat,
  • dieser Schaden auf dem Verstoß beruht und
  • der Verantwortliche oder Auftragsverarbeiter schuldhaft gehandelt hat.

Fehlt es auch nur an einer dieser Voraussetzungen, besteht kein Schadenersatzanspruch, und die betroffene Person geht leer aus. Was hat es aber mit diesen vier Punkten genau auf sich?

1. Verstoß gegen die DSGVO

Für einen Verstoß nach Art. 82 DSGVO genügt jede Verletzung datenschutzrechtlicher Vorschriften. Es muss sich nicht um eine Vorschrift handeln, die gezielt der betroffenen Person dient. Zu den Verstößen zählen demnach nicht nur die verspätete Auskunft, sondern auch fehlende Datenschutzerklärungen oder ein Verstoß gegen die rechtmäßige Verarbeitung gemäß Art. 6 DSGVO.

Umfasst sind auch formelle Verstöße des Verantwortlichen, etwa wenn

  • er keinen Datenschutzbeauftragten bzw. keine Datenschutzbeauftragte bestellt hat, obwohl er dazu verpflichtet ist,
  • er das Verzeichnis der Verarbeitungstätigkeiten nicht oder fehlerhaft führt oder
  • kein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO vorliegt.

Ob es sich um einen geringfügigen oder um einen gravierenden Verstoß gegen die DSGVO handelt, spielt keine Rolle.

2. Schaden

Weiterhin muss die Person aufgrund dieses Verstoßes einen Schaden erlitten haben. Ein Schaden kann materieller oder immaterieller Art sein. Unter materielle Schäden fallen wirtschaftliche Nachteile wie Kreditkartenbetrug oder Identitätsdiebstahl.

Denkbar sind auch körperliche Schäden, beispielsweise wenn ein Krankenhaus Angriffsziel einer Cyberattacke wird, es medizinische Geräte dadurch nicht mehr nutzen und deswegen Patienten nicht behandeln kann.

Weitaus häufiger haben sich die deutschen Gerichte bisher mit dem immateriellen Schaden befasst. Unter immaterielle Schäden fallen beispielsweise Diskriminierung, Rufschädigung oder der Verlust von Rechten. Typische Beispiele sind

  • die unbefugte Veröffentlichung von Fotos oder schützenswerten Informationen im Internet,
  • unbefugte Übermittlung von Gesundheitsdaten an Dritte,
  • Weiterleitung von privaten Nachrichten oder
  • verspätete Beantwortung eines Auskunftsersuchens.

An dieser Stelle wird es besonders brisant: Bisher waren die deutschen Gerichte äußerst zurückhaltend, wenn es um immaterielle Schäden ging. Sie waren der Meinung, dass unbedeutende oder nur geringfügige Schäden nicht zu ersetzen sind. Schadenersatz gab es nur bei erheblichen und spürbaren Nachteilen.

Seit einiger Zeit zeigt sich jedoch eine Trendumkehr. Einige Gerichte sind der Meinung, dass es beim Schadenersatz keine Bagatellgrenze gibt. Das heißt, dass jeder Schaden zu ersetzen ist. Daher wird es äußerst spannend, was der EuGH dazu sagen wird.

Achtung

Das letzte Wort in Sachen „immaterieller Schaden“ wird der Europäische Gerichtshof (EuGH) haben. Dem EuGH wurde erst kürzlich die Frage vorgelegt, ob Art. 82 DSGVO auch immaterielle Schäden umfasst, die nur geringfügig sind.

Sollte der EuGH zum Ergebnis kommen, dass geringfügige Schäden ebenfalls umfasst sind, dürfte das der Startschuss für eine neue Klagewelle sein. Betroffene Personen könnten deutlich häufiger vor den Zivil- und Arbeitsgerichten klagen.

3. Kausalität

Die betroffene Person hat nur dann einen Schadenersatzanspruch, wenn der Schaden auf einem Verstoß gegen die DSGVO beruht. Das dürfte der Regelfall sein. Hintergrund dieser Voraussetzung ist, dass der Verantwortliche keinesfalls für jeden Schaden haften soll, sondern nur für solche, die er auch verursacht hat.

Ausnahmsweise dürfte ein Schaden dem Verantwortlichen nicht zuzurechnen sein, wenn der Schaden aufgrund höherer Gewalt entstanden ist oder weil ein Dritter unbefugt gehandelt hat. Kommt es beispielsweise aufgrund eines Unwetters zu einem Blitzeinschlag im Gebäude des Verantwortlichen und wird der Server dadurch beschädigt, sodass Daten kurzfristig nicht mehr verfügbar sind, so lässt sich dies dem Verantwortlichen nicht anlasten.

4. Verschulden

Eine betroffene Person, die vor Gericht einen Schadenersatzanspruch geltend machen will, muss grundsätzlich alle Voraussetzungen für einen Anspruch nach Art. 82 DSGVO darlegen und beweisen können.

Das ist gar nicht so einfach. Denn die betroffene Person kann häufig nur einen Schaden bei sich selbst feststellen. Wie es zu diesem Schaden kam, ob und unter welchen Umständen ein Verantwortlicher oder Auftragsverarbeiter gegen die DSGVO verstoßen hat, ist für die betroffene Person schwer zu beweisen. Sie kann sich nicht wie die Datenschutzaufsichtsbehörden Dokumente vorlegen lassen oder eine Prüfung im Unternehmen durchführen.

Dieses Dilemma zeigt sich auch in der gerichtlichen Praxis. In den Fällen, in denen Gerichte Schadenersatzansprüche abgelehnt haben, konnte der Kläger einen Verstoß des Verantwortlichen nicht beweisen. Das ist aber noch lange kein Grund für Verantwortliche, sich entspannt zurückzulehnen. Denn die DSGVO hat eine Beweislastumkehr vorgesehen.

Nach Art. 82 Abs. 3 DSGVO haftet der Verantwortliche oder der Auftragsverarbeiter nicht, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den entstandenen Schaden verantwortlich ist. Das bedeutet, es wird regelmäßig vermutet, dass der Schaden dem Verantwortlichen zugerechnet wird.

Wichtig zu wissen ist, dass der Verantwortliche sich nicht damit entschuldigen kann, dass nicht er, sondern sein Auftragsverarbeiter den Schaden herbeigeführt hat. Verantwortliche können sich regelmäßig nur entlasten, indem sie nachweisen, dass sie

  • Mitarbeiter regelmäßig schulen,
  • Datenschutzaudits durchführen und
  • bei Zweifeln oder Unklarheiten die Datenschutzaufsichtsbehörden kontaktieren oder sonstige Rechtsberatung einholen.
Geschäftsmodell Schadenersatz

Interessant ist, dass es schon heute Geschäftsmodelle gibt, die sich mit dem Thema Schadenersatz nach DSGVO auseinandersetzen. So machen einige Unternehmen im Auftrag Schadenersatzansprüche geltend. Die betroffene Person gibt lediglich ihre Kontaktdaten an und tritt ihre Ansprüche teilweise ab. So erhalten die Unternehmen eine Erfolgsprovision von bis zu 25 % des Schadenersatzes.

Dieses Geschäftsmodell hat sich bereits bei Fluggastrechten etabliert. Auch wenn dieses Geschäftsgebaren zweifelhaft ist, so hat der Verantwortliche hiergegen keinerlei Handhabe.

Wer für den entstandenen Schaden zahlen muss

Sinn und Zweck von Art. 82 DSGVO ist es, die betroffene Person weitestgehend zu entschädigen. Dafür ist Voraussetzung, dass sie eine Möglichkeit hat, an den Verursacher heranzutreten.

In der Praxis sind üblicherweise mehrere Akteure an einer Verarbeitung beteiligt. Hinzu kommt, dass die an einer Verarbeitung Beteiligten nicht nur innerhalb Deutschlands, sondern in der EU bzw. im Europäischen Wirtschaftsraum (EWR) unterschiedliche Niederlassungen haben oder in einem Drittland ansässig sind.

Doch das soll kein Nachteil für die betroffene Person sein. Um sicherzustellen, dass die betroffene Person in jedem Fall den Schaden ersetzt bekommt, haftet jeder an der Verarbeitung Beteiligte, wenn er für den Schaden verantwortlich ist.

„Verantwortlich“ ist in diesem Kontext nicht wörtlich zu nehmen, sondern als Verursacher des Schadens zu verstehen. Es spielt keine Rolle, ob der Schadensverursacher (gemeinsam) Verantwortlicher oder Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung ist.

Für die betroffene Person hat dies den Vorteil, dass sie sich aussuchen kann, wem gegenüber sie letztlich ihren Schadenersatzanspruch geltend macht. Und die Wahl wird ihr leicht gemacht. Um das Prozessrisiko so gering wie möglich zu halten, wird sie sich an den wenden, der seinen Sitz in Deutschland hat und zahlungskräftig ist. Denn auch ein gewonnener Schadenersatzprozess nützt nichts, wenn der Gegner zahlungsunfähig ist.

Praxis-Tipp

Verantwortliche und Auftragsverarbeiter sollten unbedingt vertraglich regeln, wer und unter welchen Voraussetzungen im Innenverhältnis Regress nehmen kann. Regressklauseln gehören in den Vertrag zur Auftragsverarbeitung oder in die Vereinbarung zur gemeinsamen Verantwortlichkeit.

Außerdem lohnt es sich, Versicherungspolicen zu prüfen. Immer mehr Versicherer bieten gute Cyberversicherungen an, die auch Schäden bei Dritten decken. Das schützt zwar nicht vor jedem Schadenersatzanspruch, reduziert aber das Risiko für den Verantwortlichen oder den Auftragsverarbeiter erheblich.

Das Gerichtsverfahren

Interessant ist auch der Aspekt, dass die deutschen Aufsichtsbehörden beim Thema Schadenersatzanspruch nur eine untergeordnete Rolle spielen. Jeder, der meint, er hat aufgrund eines Verstoßes des Verantwortlichen oder Auftragsverarbeiters einen Schaden erlitten, kann vor den Zivil- und Arbeitsgerichten klagen.

Die deutschen Aufsichtsbehörden sind für Schadenersatzansprüche nach der DSGVO nicht zuständig. Die Datenschutzaufsichtsbehörden führen nur Bußgeldverfahren oder aufsichtliche Verfahren. Das sollten Verantwortliche berücksichtigen, wenn sie sich gegen Schadenersatzansprüche wehren. Es empfiehlt sich daher, neben der oder dem Datenschutzbeauftragten auch Rechtsanwälte einzubinden, die im Bereich des Zivilrechts oder Arbeitsrechts tätig sind.

Typische Fallstricke bei Schadenersatz-Prozessen vermeiden

Zwar gibt es mittlerweile eine Vielzahl von Gerichtsentscheidungen zu Art. 82 DSGVO. Doch es zeichnet sich ab, dass es immer um die gleichen Verstöße geht. In den Gerichtsverfahren, in denen das Gericht Schadenersatz zugesprochen hat, ging es häufig um folgende Fälle:

  • unbefugte Veröffentlichung privater Daten im Internet, insbesondere Fotos von Mitarbeitenden
  • unbefugte Übermittlung von Gesundheitsdaten eines Arbeitnehmers oder einer Arbeitnehmerin
  • keine Auskunft erteilt
  • Auskunftsanfrage verspätet beantwortet
  • Verantwortliche können diese Fallstricke leicht vermeiden:
  • Bei den Betroffenenrechten muss sichergestellt sein, dass die zuständige Abteilung die Anfragen schnellstmöglich bekommt. Nur so lässt sich die einmonatige Frist zur Beantwortung einhalten.
  • Geht es um personenbezogene Daten von Mitarbeiterinnen und Mitarbeitern, sollte der Verantwortliche besonders sorgsam sein. Haben Arbeitnehmer das Unternehmen verlassen, sollte das Unternehmen sämtliche Daten, die im Zusammenhang mit den Betreffenden stehen, insbesondere online verfügbare, unverzüglich löschen.

Keine Dokumente voreilig herausgeben

Verantwortliche sollten Drohungen im Zusammenhang mit Schadenersatzansprüchen ernst nehmen, aber nicht voreilig handeln. Auf keinen Fall sollten Verantwortliche interne Dokumente ohne Rücksprache mit einem Rechtsanwalt herausgeben. Das gilt v.a. für das Verzeichnis gemäß Art. 30 DSGVO, die Datenschutz-Folgenabschätzung oder Verträge nach Art. 26 und 28 DSGVO.

Hierbei handelt es sich um Dokumente, die auch Geschäftsgeheimnisse enthalten und nur für den Verantwortlichen und die Datenschutzaufsichtsbehörden bestimmt sind. Nur dann, wenn es im Prozess dienlich ist und den Verantwortlichen entlasten kann, sollten er diese Dokumente im Prozess vorlegen.

Fazit: Schadenersatzrisiko nicht einfach ausblenden!

Ein Blick auf die Gerichtsverfahren zeigt, dass das Risiko eines Schadenersatzprozesses höher ist als das eines Bußgeldverfahrens. Verantwortliche sollten diese Entwicklung zum Anlass nehmen, um im nächsten Datenschutzaudit typische Fallstricke zu prüfen. Dazu gehört v.a. der Umgang mit Betroffenenanfragen.

Wer sich bei der Beantwortung zu viel Zeit lässt, gar nicht erst antwortet oder Auskunftsersuchen nur mangelhaft erfüllt, riskiert einen Schadenersatzprozess.

Besonderes Augenmerk sollten Verantwortliche daneben auf den Beschäftigtendatenschutz legen. Vor allem Arbeitsgerichte neigen dazu, die Voraussetzungen von Art. 82 DSGVO sehr wohlwollend auszulegen. Im Fall eines Gerichtsverfahrens stehen die Chancen für den Arbeitnehmer oder die Arbeitnehmerin besonders gut.

Weitgehende Einigkeit in den Urteilen bei der Höhe des Schadenersatzes

Übrigens sind sich die Gerichte ausnahmsweise in einem Punkt einig: Bei einem Verstoß gegen Betroffenenrechte werden zwischen 1.000 € und 5.000 € fällig. Obendrauf kommen die Gerichtskosten sowie die Gebühren für den eigenen und den gegnerischen Anwalt.

Praxis-Tipp

Und noch eines zeigen die Urteile: Wer bei den Betroffenenanfragen sorgfältig arbeitet, seine Dokumentation gewissenhaft führt und sie aktuell hält, der macht nicht nur bei einer Prüfung der Datenschutzaufsichtsbehörden eine gute Figur. Auch gegen Schadenersatzansprüche kann er sich erfolgreich verteidigen.

Kristin Benedikt

Kristin Benedikt
Verfasst von
Kristin Benedikt
Kristin Benedikt
Kristin Benedikt ist Richterin und Datenschutzbeauftragte am Verwaltungsgericht Regensburg. Zuvor leitete sie den Bereich Internet beim Bayerischen Landesamt für Datenschutzaufsicht.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.