25
Sep
2020

Schadensersatz bei DSGVO-Verstößen – Neue Rechtsprechung und Praxistipps

Bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) werden vor allem mögliche Verfahren gegen Datenschutzbehörden und Sanktionen durch Bußgelder diskutiert. Häufig vergessen wird, dass DSGVO-Verstöße auch Schadensersatzansprüche nach Art. 82 DSGVO auslösen können. Tatsächlich kommt es immer häufiger vor, dass betroffene Personen Schadensersatzforderungen wegen behaupteter Datenschutzverstöße gegen Unternehmen richten. Wir geben eine Übersicht über einige der wichtigsten gerichtlichen Entscheidungen der letzten Monate sowie Praxistipps zur Reduzierung der durch Schadensersatzforderungen drohenden Risiken.

Wann besteht ein Schadensersatzanspruch?

Die Regelung in Art. 82 Abs. 1 DSGVO gibt Betroffenen eine eigene, unmittelbare Anspruchsgrundlage auf Schadensersatz an die Hand. Nach der mit der DSGVO neu eingeführten Vorschrift hat jede Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Ersatz dieses Schadens gegen das datenverarbeitende Unternehmen. Solche Verstöße können z.B. die Zusendung von E-Mail-Werbung ohne Einwilligung oder die unzureichende Sicherung von Daten, die zu einer Datenpanne führt, umfassen (weitere praxisrelevante Fälle siehe unten). Dabei wird das Verschulden des Unternehmens für den DSGVO-Verstoß vermutet. Dieses muss im Streitfall also nachweisen, für den Schadenseintritt nicht verantwortlich zu sein (Art. 83 Abs. 3 DSGVO).

Nach Erwägungsgrund 146 der DSGVO soll der Begriff des „Schadens“ weit ausgelegt werden. Zu unterscheiden ist vor allem zwischen materiellen und immateriellen Schäden:

  • Materielle Schäden, wie etwa finanzielle Verluste aufgrund eines Datenschutzverstoßes, können z.B. auftreten, wenn der Betroffene Opfer eines Identitätsdiebstahls oder -betrugs wird. Entsprechende Schäden lassen sich häufig relativ einfach darlegen und beziffern.
  • Schwieriger gestaltet sich naturgemäß die Bestimmung immaterieller Schäden und eines entsprechenden „Schmerzensgeldes“. Solche Schäden können insbesondere in persönlichen Nachteilen liegen, wie z.B. einer Diskriminierung oder Rufschädigung (vgl. ErwG 85 DSGVO), und den daraus folgenden Beeinträchtigungen für den Betroffenen. Eine Bezifferung des Schadens kommt hier nur nach einer Einzelfallbeurteilung in Betracht. Eine Besonderheit ist bei DSGVO-Verstößen allerdings zu beachten: der Schadensersatz für immaterielle Schäden nach Art. 82 Abs. 1 DSGVO soll auch eine Abschreckungsfunktion haben, was sich in der Bemessung der Höhe des Schadensersatzes niederschlagen kann (so das Amtsgericht Frankfurt am Main mit Urteil vom 10. Juli 2020, Az. 385 C 155/19).

Was haben die deutschen Gerichte bisher entschieden?

In den letzten Monaten wurden immer mehr Entscheidungen deutscher Gerichte zum Schadensersatzanspruch nach Art. 82 DSGVO bekannt. Besonders erwähnenswert sind die folgenden Entscheidungen:

  • Schadensersatz bei jedem DSGVO-Verstoß? – Weitgehende Einigkeit scheint zwischen den Gerichten bisher darüber zu bestehen, dass eine betroffen Person aufgrund eines Datenschutzverstoßes nicht immer automatisch auch Schadensersatz verlangen kann. Er muss stattdessen nach Auffassung der Gerichte einen konkreten Schaden nachweisen. Bei immateriellen Schäden müssen diese zwar nicht in schweren, persönlichen Folgen liegen. Allerdings muss der Betroffene darlegen, objektiv nachvollziehbare, erhebliche und spürbare gesellschaftliche oder persönliche Nachteile erlitten zu haben, z.B. in Form einer öffentlichen Bloßstellung (so das Landgericht (LG) Karlsruhe im Urteil vom 2. August 2019, 8 O 26/19). Bloße Befürchtungen des Eintritts von Nachteilen aufgrund einer rechtswidrigen Offenlegung der Daten (so im Falle des LG Hamburg mit Urteil vom 4. September 2020, Az. 324 S 9/19) oder allein das Unbehagen darüber, dass die eigenen Daten in Folge einer Datenpanne von Dritten unbefugt genutzt werden könnten (so im Falle des Amtsgerichts Frankfurt am Main mit Urteil vom 10. Juli 2020, Az. 385 C 155/19 sowie des LG Frankfurt am Main mit Urteil vom 18. September 2020, Az. 2-27 O 100/20), sahen die Gerichte bisher als nicht ausreichend an. Ebenso verneinte das LG Frankfurt am Main einen Schadensersatzanspruch im Falle eines Verstoßes gegen Art. 28 DSGVO (Auftragsverarbeitung) und bei Fehlen einer Vereinbarung zur gemeinsamen Verantwortlichkeit (Urteil vom 18. September 2020, Az. 2-27 O 100/20).
  • Wie hoch sind die Forderungen? – Anders kann es jedoch schnell aussehen, sobald Betroffenenrechte nach Art. 15 ff. DSGVO verletzt wurden. So sprach das Arbeitsgericht (ArbG) Düsseldorf einem Betroffenen in einem viel diskutierten Urteil vom 5. März 2020 ( 9 Ca 6557/18) aufgrund einer um fünf Monate verspäteten und in Teilen mangelhaften Auskunftserteilung einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO i.H.v. 5.000 € zu. Das Gericht befand, dass ein immaterieller Schaden auch dann gegeben sei, wenn der Betroffene um seine Rechte und Freiheiten gebracht wird, in diesem Fall um seinen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO. Zudem könne man sich bei der Ermittlung der Schadenshöhe an den Kriterien des Art. 83 Abs. 2 DSGVO orientieren, die sonst zur Bemessung von Bußgeldern verwendet werden. Das Gericht berücksichtigte insbesondere die Finanzkraft des Verantwortlichen, die Bedeutung des verletzten Rechts, die Schwere der Rechtsverletzung und die Schuld des Verantwortlichen am Schadenseintritt. Gerade das Auskunftsrecht des Betroffenen, das zugleich als europäisches Grundrecht in Art. 8 Abs. 2 S. 2 der EU Grundrechte-Charta verankert ist, habe einen hohen Stellenwert.

Ein höchstrichterliches Urteil über einen Anspruch nach Art. 82 Abs. 1 DSGVO liegt in Deutschland bislang nicht vor. Allerdings empfiehlt es sich, die Entwicklung der Rechtsprechung weiterhin aufmerksam zu verfolgen. So könnte sich das Bundesarbeitsgericht in einem derzeit anhängigen Verfahren (Az. 8 AZR 253/20) demnächst zu der vorliegenden Thematik äußern. Gegenstand des Verfahrens ist unter anderem ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO aufgrund angeblicher Datenschutzverstöße im Rahmen der Erstellung eines Gutachtens zur Arbeitsunfähigkeit des Klägers. Der Betroffene verlangte zuletzt 20.000 € Schadensersatz. Das Landesarbeitsgericht Düsseldorf versagte ihm diesen bislang mit Urteil vom 11. März 2020 (Az. 12 Sa 186/19).

Was haben andere europäische Gerichte bisher entschieden?

Auch andere europäische Gerichte haben sich bereits mit Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO beschäftigt:

  • So entschied der Österreichische Oberste Gerichtshof (ÖOGH) mit Urteil vom 27. November 2019 (Az. 6 Ob 217/19h), ähnlich der Linie der deutschen Gerichte, dass auch im Rahmen des Art. 82 Abs. 1 DSGVO die Grundsätze des nationalen Schadensrechts anzuwenden seien. Die bloße Behauptung des Betroffenen, er habe aus einem Datenschutzverstoß angeblich Schäden erlitten, sei daher nicht ausreichend: Dies müsse er, und nicht etwa das verantwortliche Unternehmen, ausreichend darlegen. Das Oberlandesgericht Innsbruck schloss sich mit seinem Urteil vom 13. Januar 2020 (Az. 1R182/19b) dem ÖOGH an, betonte aber erneut, dass die nationalen Beweispflichten keine unüberbrückbare Hürde für Schadensersatzansprüche der Betroffenen darstellen dürften.
  • In ähnlicher Linie Entschied die Abteilung Verwaltungssachen des Niederländischen Staatsrats, als letzte Instanz der Niederländischen Verwaltungsgerichtsbarkeit, mit Urteil vom 1. April 2020 (Az. 201905087/1/A2). Das Gericht befand, dass ein Verstoß gegen die DSGVO nicht automatisch zu einem Schadenersatzanspruch des Betroffenen führt. Der Anspruchsteller müsse stets konkret nachweisen, welche Schäden ihm entstanden sind.

Welche Tendenz zeichnet sich in der Rechtsprechung ab?

Die bisherigen Entscheidungen zeigen, dass deutsche Gerichte bislang zu einer restriktiven Anwendung des Art. 82 Abs. 1 DSGVO tendieren und gegenwärtig bei den bekannten Grundsätzen des Schadensrechts bleiben: Der Anspruchsteller muss stets einen konkreten Schaden darlegen, insbesondere auch im Falle immaterieller Schäden. Gelingt ihm dies, sind allerdings auch Ansprüche in Höhe mehrerer tausend Euro im Bereich des Möglichen, wie das Urteil des ArbG Düsseldorf zeigt.

Es wird sich allerdings zeigen, ob diese restriktive Linie einer europarechtskonformen Auslegung standhält. Zum Zwecke der effektiven Umsetzung der DSGVO sind jedenfalls künftig auch höhere Summen zu Abschreckungszwecken nicht ausgeschlossen. Zu Bedenken ist außerdem, dass ein Datenschutzverstoß nicht selten eine Vielzahl von Personen betrifft. In diesen Fällen kann die Anzahl potentiell Anspruchsberechtigter schnell ausufern und die einzelnen Schadensersatzforderungen zu einer Summe anwachsen, die für das verantwortliche Unternehmen einen erheblichen wirtschaftlichen Schaden darstellt.

Was kann ich tun, um Schadenersatzforderungen zu vermeiden?

Bestes Mittel zur Vermeidung von Schadensersatzansprüchen ebenso wie zur Vorbeugung von Bußgeldern ist die Implementierung eines effektiven Datenschutz-Managementsystem (DSMS) zur Gewährleistung eines möglichst hohen Grades an Datenschutz-Compliance. Sollte es trotzdem zu Schadensersatzforderungen kommen, erweist sich die sorgfältige Dokumentation aller getroffenen Maßnahmen (Art. 5 Abs. 2 DSGVO) als wertvolles Verteidigungsmittel.

Besonderes Augenmerk sollte zudem auf die folgenden Bereiche gelegt werden, die erfahrungsgemäß hohe Datenschutzrisiken mit sich bringen und zu signifikanten Schadensersatzforderungen führen können:

  • Technischer Datenschutz: Im Falle von Datenpannen und Sicherheitsvorfällen (Data Breaches) sehen sich Unternehmen regelmäßig einer Vielzahl von Anspruchstellern gegenüber, die potentiell zum Schadensersatz berechtigt sein können.
  • Mit ähnlichen Risiken sehen sich Unternehmen konfrontiert, die Direktmarketing, (z.B. mittels E-Mail-Werbung oder personalisierter Bannerwerbung) betreiben. Direktmarketing ist ein datenschutzrechtlicher „Dauerbrenner“ und liegt traditionell im Fokus der Rechtsprechung, Verbraucherschutzeinrichtungen und Datenschutzbehörden.
  • Gleiches gilt für Unternehmen, die Cookies oder andere Tracking-Technologien einsetzen.
  • Fehler bei der Bearbeitung von Betroffenenanfragen sind besonders häufig Gegenstand von Beschwerden von betroffenen Personen. Wie das Urteil des ArbG Düsseldorf zeigt, kann es auch hier schnell zu nicht unerheblichen Schadensersatzforderungen kommen.
  • Unternehmen, die internationale Datentransfers durchführen (z.B. bei Einsatz von Dienstleistern in den USA) sollten seit dem jüngsten „Schrems II“-Urteil des EuGH vom 16. Juli 2020, Rs. C-311/18 (wir berichteten in unserem Blogbeitrag vom 16. Juli 2020) dringend dafür sorgen, dass diese DSGVO-konform ausgestaltet werden. Bei Verstößen könnten sämtliche Betroffene, deren Daten übermittelt wurden, potentiell zum Schadensersatz berechtigt sein.

 

Wir danken unserem wissenschaftlichen Mitarbeiter Timm Smid für seine Unterstützung bei der Erstellung dieses Artikels.