das Logo der Anwaltskanzlei tww.law

Kaffeerecht Podcast

In unserem Podcast „Kaffeerecht“ besprechen wir in lockerer Kaffeerunde regelmäßig rechtliche Themen aus dem digitalen Alltag für Kreative, Unternehmer und Unternehmen.

Schadensersatz nach Datenschutzverletzung

Die Datenschutz-Grundverordnung (DS-GVO) hat mit Art. 82 DS-GVO eine einen weitreichenden Schadensersatzanspruch. Dieser Blogbeitrag wirft einen umfassenden Blick auf die wichtigsten Aspekte, von den rechtlichen Grundlagen über aktuelle Gerichtsurteile bis hin zu den Risiken, die Unternehmen im Zusammenhang mit Datenschutzverletzungen drohen.

1. Wann kommt ein Schadensersatz in Betracht?

Art. 82 DSGVO sieht einen Schadensersatzanspruch für Betroffene einer Datenverarbeitung immer dann vor, wenn ein Verstoß gegen die DSGVO vorliegt und dadurch ein materieller oder immaterieller Schaden entstanden ist. Dies ist ein weitreichender Anspruch, da ein Verstoß gegen die DSGVO angesichts der zahlreichen Vorgaben der DSGVO schnell vorliegen kann. Im Gegenzug muss natürlich ein Schaden entstanden sein. Ein immaterieller Schaden kann aber bereits darin liegen, dass der Betroffene ein „Unbehagen“ dadurch verspürt hat, dass seine Daten im Rahmen eines Datenlecks im Internet gelandet sind. Dieser weite Schadensersatzanspruch wird dadurch begrenzt, dass die Höhe des immateriellen Schadensersatzes in Deutschland traditionell gering ist.

Ein Verstoß gegen die DSGVO kann vorliegen, wenn es keine Rechtsgrundlage für eine Datenverarbeitung gibt oder die Rechte der Betroffenen nicht beachtet werden. Auch die Nichteinhaltung von technisch-organisatorischen Maßnahmen oder eine unzulässige oder nicht angezeigte Auftragsverarbeitung durch Dritte kann einen Verstoß darstellen.

2. Rechtsprechung hinsichtlich der Schadensersatzhöhe

Eine „Linie“ in der deutschen Rechtsprechung zu Art. 82 DSGVO ist derzeit noch nicht erkennbar. Während das ArbG Oldenburg (Urt. v. 09.02.2023, 3 Ca 150/21) in einem Fall, in dem der Auskunftsanspruch eines ehemaligen Arbeitnehmers erst nach 20 Monaten erfüllt wurde, 10.000 EUR zugesprochen hat (Berechnung: 20 Monate á 500 EUR pauschal), wurde in einem Urteil (LG Heidelberg, Urt. v. 16.03.2022, 4 S 1/21) hinsichtlich der Zusendung von Werbemails ohne Einwilligung ein Schadensersatz von 25 EUR zugesprochen. In einem Fall, in dem es ebenfalls um Werbemails ging, wurden hingegen 300 EUR zugesprochen (AG Pfaffenhofen/Ilm, Urt. v. 09. September 2021, 2 C 133/21).

Es bleibt abzuwarten, wie sich die Rechtsprechung entwickelt. Zumal die Entschädigungshöhe im europäischen und internationalen Vergleich relativ gering ist. Es ist durchaus möglich, dass es hier zu einer Anpassung an das europäische Niveau kommt.

3. Bemessung des Schadensersatzes

Klare Kriterien lassen sich aus der Rechtsprechung noch nicht ableiten. Festhalten lässt sich jedenfalls, dass die Höhe des Schadensersatzes mit zunehmender Betroffenheit des Geschädigten steigt. So kann z.B. bei einem zu Unrecht erfolgten Eintrag bei der Schufa der Schadensersatz einen vierstelligen Betrag erreichen. Andererseits kann schon die Glaubhaftmachung eines „Unbehagens“ über die verloren gegangenen Daten ausreichen, was sich aber in der Höhe des Schadensersatzes niederschlägt. Dies kann so weit gehen, dass es sich kaum noch „lohnt“, den Anspruch gerichtlich (mit den Risiken eines Prozesses) geltend zu machen.

4. Massenverfahren

Das neue europäische System der Musterfeststellungsklage kann und will hier Abhilfe schaffen. Dabei kann ein Verband eine Musterfeststellungsklage erheben, in deren Rahmen die Sach- und Rechtslage mit bindender Wirkung für den Verantwortlichen, aber auch für alle registrierten „Kläger“ festgestellt wird. Auf der Grundlage dieses Urteils ist es dann für die Betroffenen vergleichsweise einfacher und risikoärmer, ihre Ansprüche endgültig durchzusetzen. Dies kann dann einerseits durch eine bilaterale Lösung, also durch eine einfache Anfrage beim verletzenden Unternehmen, oder durch eine eigene Klage geschehen. Hierbei ist jedoch zu beachten, dass das Urteil aus der Musterfeststellungsklage keine Aussage darüber trifft, in welcher Form ein Schaden vorliegt. Das heißt, die Betroffenen müssen nach wie vor darlegen, in welcher Form sie geschädigt sind und in welcher Höhe sie entschädigt werden müssen.

Eine weitere Möglichkeit ist die Abtretung von Ansprüchen an Dritte, wie sie z.B. im Luftverkehr üblich ist. In diesem Fall trägt der Betroffene nicht mehr das Prozessrisiko, so dass es leicht möglich ist, „Geld zu sehen“. Sollte es dann dennoch schief gehen, entstehen der betroffenen Person zumindest keine Kosten. 

Wie so häufig…

bleibt abzuwarten, wie sich die Rechtsprechung und Praxis zu Art. 82 DSGVO entwickelt. Dabei ist zu berücksichtigen, dass die DSGVO aus gesetzgeberischer Sicht noch relativ jung ist. Während die DSGVO im Bereich der Datenverarbeitung an sich schon vieles auf den Kopf gestellt hat, sind einige Folgeprobleme noch nicht vollständig ausgearbeitet und behandelt. Für Unternehmen ist es sinnvoll, die Vorgaben der DSGVO zu beachten. Denn aus Sicht des Art. 82 DS-GVO ist es unerheblich, ob der Verstoß versehentlich oder fahrlässig erfolgte.

Shownotes

Weitere Folgen

Dark Pattern

In dieser Podcast-Episode sprechen wir über sog. Dark Pattern. Damit sind Praktiken gemeint, die euch sicher allen schon einmal im Netz über den Weg gelaufen sind. Das Hinführen zum Klick auf einen bestimmten Button oder das absichtliche Verstecken des Kündigungs-Buttons sind nur einzelne dieser Praktiken. Wir erläutern, was es damit auf sich hat und ob solche Praktiken und Gestaltungen rechtlich verboten sind. Viel Spaß beim Zuhören!

Anhören »

Künstlersozialkasse (KSK) – was ist das?

In dieser Podcast-Folge erläutern wir für Kreative, Unternehmen und Unternehmer alle wichtigen Aspekte rund um die Künstlersozialkasse (KSK). Neben den Vorteilen einer Mitgliedschaft erklären wir, wer Mitglied werden kann, wer Abgaben leisten muss und welche Besonderheiten als Mitglied und Verwerter zu berücksichtigen sind. Viel Spaß beim Zuhören!

Anhören »

KI & Musikproduktion

In dieser Podcast-Episode sprechen wir mit dem DJ und Musikproduzenten Nils Zimmermann über das Thema KI und Musikproduktion. Nils erläutert uns die technischen Hintergründe insbesondere im Bereich der elektronischen Musik und die dortige Relevanz von KI. Wir gehen auf die rechtlichen Hintergründe und die spürbare Relevanz auf dem Musikmarkt ein. Viel Spaß beim Zuhören!

Anhören »

Newsletter abonnieren

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.

Wir verwenden Brevo als unsere Marketing-Plattform. Wenn Sie das Formular ausfüllen und absenden, bestätigen Sie, dass die von Ihnen angegebenen Informationen an Brevo zur Bearbeitung gemäß den Nutzungsbedingungen übertragen werden.