Datenschutz-Nachrichten

Wann gibt es Schadensersatz wegen DSGVO-Verstoß?

Wann gibt es Schadensersatz wegen DSGVO-Verstoß?

Von Timo Schutt 28. Oktober 2021

Eines der aktuellsten Themen zurzeit in Sachen Datenschutzgrundverordnung dreht sich um den Schadenersatzanspruch nach Artikel 82 Absatz 1 DSGVO. Nach dieser Vorschrift kann jede Person, der wegen eines DSGVO-Verstoßes ein Schaden entstanden ist, Schadensersatz verlangen.

Wörtlich heißt es dort:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Die Einzelheiten dieser Anspruchsnorm muss man sich auf der Zunge zergehen lassen:

  • „Jede Person“ hat also diesen Anspruch. Nicht etwa nur jeder Betroffene.
  • Es ist nicht ein materieller Schaden erforderlich, sondern es genügt ein immaterieller (also bspw. das Gefühl des Kontrollverlusts über die eigenen Daten).
  • Schadensersatz kann sowohl gegen den Verantwortlichen, als auch gegen den Auftragsverarbeiter geltend gemacht werden.

Schadensersatz-Maschinerie in Gang gesetzt?

Man kann also ohne weiteres feststellen, dass der Anspruch grundsätzlich sehr weit geht.

Nicht verwunderlich, dass mittlerweile schon fast von einer Maschinerie gesprochen werden, die in Gang gesetzt wurde, um massenhaft solche Ansprüche zu sammeln, sich abtreten zu lassen und gegenüber den Unternehmen als Verantwortliche geltend zu machen. Und auch Einzelforderungen werden zunehmend geltend gemacht. Im Moment werden regelmäßig Urteile zu diesem Punkt veröffentlicht.

Dabei versuchen die Kläger auch die Grenzen des Schadensersatzes auszuloten. Wie hoch kann man gehen?

Und wie gehen die Gerichte mit dem Schadensersatz um?

Aktuell gibt es einen Meinungsstreit unter den Juristen und damit auch den Gerichten.

Eine Meinung sagt, dass der bloße DSGVO-Verstoß alleine schon reicht, um einen Schadenersatzanspruch zu haben. Und tatsächlich gibt es gerichtliche Entscheidungen, wo nur aufgrund des Verstoßes selbst Schadensersatz zugesprochen wurde. Es genügt demnach beispielsweise, wenn Daten des Klägers Teil einer Datenbank waren, die abhandengekommen ist. Diese Meinung führt zu unkalkulierbaren und existenzbedrohenden Szenarien für die Unternehmen. Denn jetzt nehmen wir einmal an, die Datenbank bestand aus 10.000 Datensätzen. Selbst, wenn „nur“ 10% der Betroffenen alleine wegen des Abhandenkommens Schadensersatz von – sagen wir einmal moderat 500 Euro pro Person – bekommen, reden wir von einem Gesamtschadenersatz von 500.000 Euro für den Datenverarbeiter. Wohlgemerkt zuzüglich Verfahrenskosten, Imageschaden wegen Presseberichten und evtl. auch noch einem Bußgeld durch die Aufsichtsbehörde.

Die andere, meiner Meinung nach richtige, Meinung sagt: Der DSGVO-Verstoß alleine genügt noch nicht. Vielmehr bedarf es zusätzlich eines kausal (ursächlich) auf diesem Verstoß beruhenden und nach üblichen prozessualen Möglichkeiten nachgewiesenen materiellen oder immateriellen Schadens. Dieser Schaden muss dann auch nach den üblichen Grundsätzen des Schadensersatzrechst zumindest für das Gericht nachvollziehbar und zur Ermöglichung einer Schätzung dargelegt werden.

Denn der Schadensersatzanspruch ist kein Selbstzweck. Er bedarf eines Nachweises des tatsächlich durch den DSGVO-Verstoß selbst herbeigeführten Schadensereignisses. Diesen Nachweis hat der betroffene Kläger beizubringen und das Gericht zu überzeugen, dass tatsächlich in verlangter Höhe ein entsprechender Schaden entstanden ist. Und, dass dieser Schaden eben genau durch die Datenschutzverletzung des beklagten Unternehmens entstanden ist.

OLG Düsseldorf gegen „uferlosen“ Schadensersatz

Ein Beispiel aus der Rechtsprechung. Das Oberlandesgericht in Düsseldorf vertritt die zweite Meinung. In einem Beschluss vom Februar 2021 urteilten die Richter dort:

„Art. 82 Abs. 1 DSGVO gewährt einen Anspruch auf Ersatz des Schadens, der wegen eines Verstoßes gegen diese Verordnung entstanden ist. Damit macht schon der Wortlaut deutlich, dass allein der Verstoß gegen die DSGVO nicht ausreicht, um den Schadensersatzanspruch zu begründen.

 

Vielmehr bedarf es eines dadurch verursachten – materiellen oder immateriellen – Schadens. Hätte der Verordnungsgeber nur eine an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht gewollt, hätte es nahegelegen, dies – wie namentlich im Luftverkehrsrecht durch Art. 7 Abs. 1 Fluggastrechte-VO(EG) 261/2004 geschehen – durch Pauschalen zu regeln. Dafür, dass der Unionsgesetzgeber den ausdrücklich als solchen bezeichneten Schadensersatzanspruch de facto zu einem privaten Bußgeld für den bloßen Rechtsverstoß ausgestalten wollte, finden sich in der DSGVO keine Anhaltspunkte. Es lässt sich auch nicht feststellen, dass der Schadensersatz notwendigerweise uferlos sein müsste und damit für alle nur denkbaren Auswirkungen von Datenschutzverstößen Ersatz zu leisten wäre. Vielmehr sind zur Bestimmung des Schadensbegriffes der DSVGO normative, an den Zielen der Verordnung ausgerichtete Erwägungen notwendig (vgl. Eichelberger, WRP 2021, 159 – 167). Eine Schadensersatzpflicht besteht nur, wenn der geltend gemachte Schaden nach Art und Entstehungsweise unter den Schutzzweck der verletzten Norm fällt.“

OLG Düsseldorf, Beschluss vom 16.2.2021 – 16 U 269/20. Volltext hier abrufbar.

Oberster Gerichtshof: Vorlage an EuGH

Der Oberste Gerichtshof Österreichs in Wien hat dazu in einem Beschluss vom 15. April 2021 (Aktenzeichen: 6Ob35/21x) genau die hier besproichene Frage dem Europäischen gerichtshof zur Klärung vorgelegt.

Der Beschluss besagt:

„Dem Gerichtshof der Europäischen Union werden gemäß Art 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:

 

1. Erfordert der Zuspruch von Schadenersatz nach Art 82 DSGVO (…) neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?

 

2. Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?

 

3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?“

Tipps für Ihr Unternehmen

Solange nicht sicher ist, wie der Schadensersatzanspruch tatsächlich in der Praxis behandelt wird kann Ihnen als datenverarbeitendes Unternehmen nur geraten werden, Datenschutzverstöße unter allen Umständen zu vermeiden. Das gilt für alle Verstöße gegen die DSGVO.

Ein geeignetes Mittel ist dabei beispielsweise die Verschlüsselung der Datenbanken nach dem Stand der Technik. Kommt eine solche Datenbank abhanden oder wird sie kompromittiert, gibt es eine Erleichterung: Denn die Benachrichtigungspflicht der Datenpanne gegenüber den Betroffenen entfällt.

Ansonsten unterstütze ich Ihr Unternehmen jederzeit in allen Fragen des Datenschutzes und der Datensicherheit.

Timo Schutt
Rechtsanwalt für IT-Recht
Ihr DatenschutzPartner