Die Datenschutz-Grundverordnung (DS-GVO) hat mit Art. 82 DS-GVO eine einen weitreichenden Schadensersatzanspruch. Dieser Blogbeitrag wirft einen umfassenden Blick auf die wichtigsten Aspekte, von den rechtlichen Grundlagen über aktuelle Gerichtsurteile bis hin zu den Risiken, die Unternehmen im Zusammenhang mit Datenschutzverletzungen drohen.
1. Wann kommt ein Schadensersatz in Betracht?
Art. 82 DSGVO sieht einen Schadensersatzanspruch für Betroffene einer Datenverarbeitung immer dann vor, wenn ein Verstoß gegen die DSGVO vorliegt und dadurch ein materieller oder immaterieller Schaden entstanden ist. Dies ist ein weitreichender Anspruch, da ein Verstoß gegen die DSGVO angesichts der zahlreichen Vorgaben der DSGVO schnell vorliegen kann. Im Gegenzug muss natürlich ein Schaden entstanden sein. Ein immaterieller Schaden kann aber bereits darin liegen, dass der Betroffene ein „Unbehagen“ dadurch verspürt hat, dass seine Daten im Rahmen eines Datenlecks im Internet gelandet sind. Dieser weite Schadensersatzanspruch wird dadurch begrenzt, dass die Höhe des immateriellen Schadensersatzes in Deutschland traditionell gering ist.
Ein Verstoß gegen die DSGVO kann vorliegen, wenn es keine Rechtsgrundlage für eine Datenverarbeitung gibt oder die Rechte der Betroffenen nicht beachtet werden. Auch die Nichteinhaltung von technisch-organisatorischen Maßnahmen oder eine unzulässige oder nicht angezeigte Auftragsverarbeitung durch Dritte kann einen Verstoß darstellen.
2. Rechtsprechung hinsichtlich der Schadensersatzhöhe
Eine „Linie“ in der deutschen Rechtsprechung zu Art. 82 DSGVO ist derzeit noch nicht erkennbar. Während das ArbG Oldenburg (Urt. v. 09.02.2023, 3 Ca 150/21) in einem Fall, in dem der Auskunftsanspruch eines ehemaligen Arbeitnehmers erst nach 20 Monaten erfüllt wurde, 10.000 EUR zugesprochen hat (Berechnung: 20 Monate á 500 EUR pauschal), wurde in einem Urteil (LG Heidelberg, Urt. v. 16.03.2022, 4 S 1/21) hinsichtlich der Zusendung von Werbemails ohne Einwilligung ein Schadensersatz von 25 EUR zugesprochen. In einem Fall, in dem es ebenfalls um Werbemails ging, wurden hingegen 300 EUR zugesprochen (AG Pfaffenhofen/Ilm, Urt. v. 09. September 2021, 2 C 133/21).
Es bleibt abzuwarten, wie sich die Rechtsprechung entwickelt. Zumal die Entschädigungshöhe im europäischen und internationalen Vergleich relativ gering ist. Es ist durchaus möglich, dass es hier zu einer Anpassung an das europäische Niveau kommt.
3. Bemessung des Schadensersatzes
Klare Kriterien lassen sich aus der Rechtsprechung noch nicht ableiten. Festhalten lässt sich jedenfalls, dass die Höhe des Schadensersatzes mit zunehmender Betroffenheit des Geschädigten steigt. So kann z.B. bei einem zu Unrecht erfolgten Eintrag bei der Schufa der Schadensersatz einen vierstelligen Betrag erreichen. Andererseits kann schon die Glaubhaftmachung eines „Unbehagens“ über die verloren gegangenen Daten ausreichen, was sich aber in der Höhe des Schadensersatzes niederschlägt. Dies kann so weit gehen, dass es sich kaum noch „lohnt“, den Anspruch gerichtlich (mit den Risiken eines Prozesses) geltend zu machen.
4. Massenverfahren
Das neue europäische System der Musterfeststellungsklage kann und will hier Abhilfe schaffen. Dabei kann ein Verband eine Musterfeststellungsklage erheben, in deren Rahmen die Sach- und Rechtslage mit bindender Wirkung für den Verantwortlichen, aber auch für alle registrierten „Kläger“ festgestellt wird. Auf der Grundlage dieses Urteils ist es dann für die Betroffenen vergleichsweise einfacher und risikoärmer, ihre Ansprüche endgültig durchzusetzen. Dies kann dann einerseits durch eine bilaterale Lösung, also durch eine einfache Anfrage beim verletzenden Unternehmen, oder durch eine eigene Klage geschehen. Hierbei ist jedoch zu beachten, dass das Urteil aus der Musterfeststellungsklage keine Aussage darüber trifft, in welcher Form ein Schaden vorliegt. Das heißt, die Betroffenen müssen nach wie vor darlegen, in welcher Form sie geschädigt sind und in welcher Höhe sie entschädigt werden müssen.
Eine weitere Möglichkeit ist die Abtretung von Ansprüchen an Dritte, wie sie z.B. im Luftverkehr üblich ist. In diesem Fall trägt der Betroffene nicht mehr das Prozessrisiko, so dass es leicht möglich ist, „Geld zu sehen“. Sollte es dann dennoch schief gehen, entstehen der betroffenen Person zumindest keine Kosten.
Wie so häufig…
bleibt abzuwarten, wie sich die Rechtsprechung und Praxis zu Art. 82 DSGVO entwickelt. Dabei ist zu berücksichtigen, dass die DSGVO aus gesetzgeberischer Sicht noch relativ jung ist. Während die DSGVO im Bereich der Datenverarbeitung an sich schon vieles auf den Kopf gestellt hat, sind einige Folgeprobleme noch nicht vollständig ausgearbeitet und behandelt. Für Unternehmen ist es sinnvoll, die Vorgaben der DSGVO zu beachten. Denn aus Sicht des Art. 82 DS-GVO ist es unerheblich, ob der Verstoß versehentlich oder fahrlässig erfolgte.