Schadensersatz nach DSGVO

Gesetze und Vorschriften zum Schadensersatz im Datenschutz

• Art. 82 DSGVO (Haftung und Recht auf Schadenersatz)
• § 44 BDSG (Klagen gegen den Verantwortlichen oder Auftragsverarbeiter)

Schadenersatz wird zum hohen Risiko

Die praktische Bedeutung der Regelung war zunächst ausgesprochen gering. Zum einen machten betroffene Personen Schäden nur relativ selten geltend. Zum anderen gibt es daneben weitere Anspruchsgrundlagen, die nicht speziell für solche Fälle geschaffen sind, aber hier Anwendung finden. Zu denken ist dabei an vertragliche Ansprüche, aber auch an Ansprüche aus unerlaubter Handlung (etwa gemäß § 823 BGB).

Mittlerweile entwickelt sich der Schadenersatz im Datenschutz jedoch zu einem größeren Risiko für Unternehmen als das Bußgeld: Schadensersatzansprüche: Das unterschätzte Risiko der DSGVO

Anspruchsvoraussetzungen von Art. 82 DSGVO

Ein Schadensersatzanspruch besteht gemäß Art. 82 Abs. 1 DSGVO dann, wenn

• ein Verantwortlicher oder
• ein Auftragsverarbeiter
• der betroffenen Person einen materiellen oder immateriellen Schaden zufügt
• durch einen Verstoß gegen die DSGVO.

Beispiel 1: Infolge schlampiger Führung der Personalien verwechselt eine Bank zwei Personen. Sie hält daher einen Kunden für einen Pleitier und kündigt ihm einen Kredit. Ihm entgehen dadurch einträgliche Geschäfte. – Die Bank muss den entstandenen Schaden ersetzen. Dazu gehören auch entgangene Gewinne.

Beispiel 2: Ein Versandhaus verbucht Zahlungen eines Kunden falsch. Die scheinbaren Rückstände klagt sie ein. – Das Versandhaus muss dem Kunden die Anwaltskosten ersetzen.

Datenschutzverstoß

Die DSGVO versteht unter Datenschutzverstößen einerseits Datenverarbeitungen, die nicht ihren Vorschriften entsprechen, z.B. die Verarbeitung von Daten einer betroffenen Person ohne deren Einwilligung.

Andererseits geht es um Datenverarbeitungen, die nicht den Regelungen weiterer Rechtsakte oder den jeweiligen nationalen Vorschriften zur DSGVO, wie in Deutschland dem Bundesdatenschutzgesetz (BDSG), entsprechen.

Schadensarten

Der betroffenen Person muss durch den Datenschutzverstoß ein Schaden entstanden sein. Im Gegensatz zur bisherigen Rechtslage kann dieser Schaden sowohl materieller als auch immaterieller Art sein.

• Zu den materiellen Schäden gehören alle in Geld messbaren Nachteile, wie etwa der Verlust eines Guthabens auf dem Ba nkkonto.
• Zu den immateriellen Schäden gehören z.B. Ansprüche auf Schmerzensgeld. Diese hat die DSGVO neu aufgenommen.

Nach der Rechtslage vor der DSGVO ließen sich solche Schäden nur ersetzen, wenn eine öffentliche Stelle das Persönlichkeitsrecht der betroffenen Person schwer verletzt hatte.

Aber auch nach der derzeitigen Rechtslage führt nicht jeder Bagatellverstoß gegen die DSGVO ohne ernsthafte Beeinträchtigung der betroffenen Person zu einem Schadensersatzanspruch in Form von Schmerzensgeld (Amtsgericht Diez, Urteil vom 07.11.2018 – Az. 8 C 130/18).

Im vorliegenden Fall ging es um eine einzige unzulässig übersandte E-Mail, in der am ersten Geltungstag der DSGVO nach der Einwilligung zum Newsletterversand gefragt wurde. Einen Schmerzensgeldanspruch lehnte das Gericht ab. Andererseits kann es auch so ausgehen: 300 € Schadensersatz für eine einzige unerlaubte E-Mail

Für einen Schmerzensgeldanspruch muss der betroffenen Person ein spürbarer Nachteil entstanden sein, und es muss um objektiv nachvollziehbare Beeinträchtigungen von Persönlichkeitsbelangen gehen, die ein gewisses Gewicht aufweisen.

Die DSGVO setzt bei einem weit zu fassenden Schadensbegriff an. Betroffene Personen sollen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.

Als Beispiele für Schäden nennen die Erwägungsgründe zur DSGVO Fälle von Identitätsdiebstahl oder Identitätsbetrug, finanzielle Verluste, Rufschädigungen oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Auftragsverarbeitung

Bei der Auftragsverarbeitung kommen bei Schäden Ansprüche sowohl gegen den Verantwortlichen als auch gegen den Auftragsverarbeiter infrage.

Auftragsverarbeiter haften für Schäden, die ihre Verarbeitung verursacht, wenn sie

• entweder den Pflichten für Auftragsverarbeiter nach der DSGVO nicht nachgekommen sind,
• Anweisungen des Verantwortlichen nicht beachtet haben oder sogar
• entgegen den Anweisungen des Verantwortlichen gehandelt haben.

Auch bei Auftragsverarbeitern wird das Verschulden vermutet, sodass auch sie nachweisen können, für den Schaden nicht verantwortlich zu sein, und somit nicht haften.

Mehrere Schadensverursacher

Sind sowohl Verantwortlicher als auch Auftragsverarbeiter für Schäden bei der betroffenen Person verantwortlich, so haften sie als Gesamtschuldner.

Das heißt, die betroffene Person kann von jedem zunächst verlangen, dass er ihr den gesamten Schaden ersetzt. Das hat für die betroffene Person den Vorteil, dass sie im schlimmsten Fall nicht mehrere Verursacher verklagen muss.

Verantwortlicher und Auftragsverarbeiter gleichen danach je nach ihrem Anteil an der Schadensverursachung den Schadensersatz, den sie an die betroffene Person gezahlt haben, untereinander aus.

Verjährung von Ansprüchen auf Schadensersatz im Datenschutz

Die Vorschrift spricht diesen Punkt nicht ausdrücklich an. Deshalb gelten in Deutschland die allgemeinen Regeln des Bürgerlichen Gesetzbuchs (BGB): Der Anspruch verjährt drei Jahre, nachdem der Geschädigte den Schaden festgestellt hat (§§ 195, 199 BGB), spätestens aber 30 Jahre nach der Handlung, die den Schaden verursacht hat.

Gerichtsstand

Nach Art. 79 DSGVO, § 44 BDSG sind für Klagen gegen den Verantwortlichen oder den Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder Auftragsverarbeiter eine Niederlassung hat.

Allerdings steht der betroffenen Person ein Wahlrecht zu. Sie kann die Klage auch bei einem Gericht einreichen, in dessen Mitgliedstaat die betroffene Person ihren Aufenthaltsort hat, d.h. am Wohnort.

Dieses Wahlrecht entfällt, wenn eine Behörde in Ausübung ihrer hoheitlichen Befugnisse den Schaden verursacht hat.

Gerichtsurteile zum Schadensersatz nach DSGVO

Es gibt bereits einige Gerichtsentscheidungen über Schadensersatzansprüche betroffener Personen bei Datenschutzverletzungen. Einen Überblick und Beispiele finden Sie hier:

Schadenersatz nach DSGVO: Das zeigen aktuelle Urteile

DSGVO: Auskunftspflicht verletzt, Schadenersatz berechtigt?

Vorlagen an den Europäischen Gerichtshof (EuGH)

Im Verfahren eines Rechtsanwalts, der ohne Einwilligung Werbe-E-Mails eines Unternehmens erhielt, sah das Amtsgericht Goslar zwar einen Datenschutzverstoß, jedoch keinen Anlass für einen Schadensersatz. Die Verfassungsbeschwerde zum Bundesverfassungsgericht (BVerfG) war allerdings erfolgreich.

Das BVerfG (Beschluss vom 14.01.2021, 1 BvR 2853/19) entschied eine Aufhebung des Urteils des Amtsgerichts und eine Zurückverweisung zur erneuten Verhandlung an dieses Gericht.

Das begründete das Gericht damit, dass das Amtsgericht seiner Vorlagepflicht an den EuGH nicht nachgekommen sei. Denn es hätte dem EuGH die Frage zur Klärung vorlegen müssen, ob durch die datenschutzwidrige Verwendung einer E-Mail-Adresse ein Schmerzensgeldanspruch entstehe.

Darüber hinaus hat auch der Oberste Gerichtshof der Republik Österreich (Az. 6 Ob25/21x vom 15.04.2021) dem EuGH folgende Fragen zum Schadensersatz als Vorabentscheidung vorgelegt:

• Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
• Bestehen für die Bemessung des Schadenersatzes im Datenschutz neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
• Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?