Schadensersatz aufgrund von DSGVO-Verstößen

Den meisten Unternehmen ist bekannt, dass bei Verstößen gegen das Datenschutzrecht empfindliche Bußgelder drohen. Weniger bekannt dagegen ist, dass die Datenschutz-Grundverordnung (DSGVO) auch Regelungen über eine Haftung auf Schadensersatz enthält. Betroffen sind davon nicht nur Verantwortliche, sondern auch Auftragsverarbeiter.

Haftung und Recht auf Schadensersatz gem. Art. 82 DSGVO

In Art. 82 DSGVO ist geregelt, dass jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat.

Die Regelung zur Haftung auf Schadensersatz soll nicht nur die Rechte der betroffenen Personen stärken, sondern ebenso wie die Bußgeldvorschriften und andere Sanktionsmöglichkeiten die konsequente Durchsetzung der datenschutzrechtlichen Vorschriften befördern.

Stoßrichtung ist dabei nicht die staatliche Sanktionierung, sondern der Ausgleich von erlittenen Nachteilen. Zuständig sind folglich nicht die Aufsichtsbehörden, sondern die betroffene Person selbst, die den Anspruch im Streitfall bei den ordentlichen Gerichten einklagen kann. Ein Bußgeld- oder sonstiges Verfahren durch die Aufsichtsbehörden kann unabhängig davon immer noch stattfinden.

An dieser Stelle sei auch erwähnt, dass im Datenschutzrecht die beiden Instrumente der Verbandsklage und Musterfeststellungsklage (bisher vor allem aus dem VW-Abgasskandal bekannt) zur Verfügung stehen.

Der zu ersetzende Schaden bei DSGVO-Verstößen

Grundvoraussetzung für einen Schadensersatzanspruch ist, anders als beim Bußgeld mit reiner Sanktionswirkung, dass ein Schaden durch den DSGVO-Verstoß entstanden ist.

Wie der Begriff des Schadens in der DSGVO auszulegen ist, erläutert Erwägungsgrund 146 DSGVO. Demnach soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofs (EuGH) weit auf eine Art und Weise ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht. Gemeint ist damit, dass anders als zum Beispiel im deutschen Zivilrecht, Schadensersatzforderungen nicht nur entstandene Nachteile ausgleichen, sondern darüber hinaus abschrecken und weitere Verstöße unattraktiv machen sollen.

Da nicht nur materielle Schäden (also tatsächlich erlittene Vermögenseinbußen), sondern auch immaterielle Schäden (Zeitverlust, Ärgernis, Rufschädigung, etc.) schadensersatzfähig sind, ist die weite Auslegung vor allem für letztere Schäden relevant. Immaterielle Schäden sind demnach nicht nur durch rein symbolischen Schadensersatz zu kompensieren. Der Schadensersatz kann und soll empfindliche Höhen erreichen. Nicht alle, aber immer mehr Gerichte folgen dieser Auffassung (siehe die Urteilsbesprechungen weiter unten).

Dennoch ist die Erheblichkeitsschwelle, d.h. wann man von einem tatsächlich eingetretenen Schaden für den Betroffenen spricht, noch nicht hinreichend klar erkennbar. Die entscheidende Frage in diesem Zusammenhang ist, ob ein Verstoß gleichzeitig immer auch ein Schaden ist. Durch die Rechtsprechung hierzu werden künftig fortlaufend Fallgruppen geschaffen werden, die hinreichende Rechtssicherheit versprechen. Dabei werden aber auch immer mehr Stimmen laut, die den gänzlichen Verzicht auf eine Erheblichkeitsschwelle für erforderlich halten.

Begründet der Empfang einer Spam-E-Mail an die private E-Mailadresse bereits einen Schaden? Oder ist die Offenlegung von Daten an Unbefugte per se als ein erheblicher Schaden zu qualifizieren?

Da Datenschutz Grundrechtsschutz ist, wird man davon ausgehen müssen, dass bestimmte Eingriffe im Sinne von Verstößen gegen die Verordnung und von Datenschutzgesetzen nicht immer gleich einen Schaden begründen. Dies ist zum Beispiel dann anzunehmen, wenn der Verstoß für den Einzelnen keine messbare Beeinträchtigung darstellt oder der Schaden nicht außerhalb des allgemeinen Lebensrisikos liegt. Ob ein Verstoß letztlich die Erheblichkeitsschwelle (sofern man das Bestehen einer solchen nicht ablehnt) überschreitet oder nicht, wird immer auch eine Frage des Einzelfalls sein. Bei einem Verstoß können insbesondere Art und Umfang der Daten sowie des Verstoßes eine Rolle spielen.

Eine solche Einzelfallbetrachtung nahm z.B. das Landgericht (LG) Köln im Fall der einmaligen Übersendung von Kontoauszügen an einen falschen Empfänger vor (Urteil vom 7. Oktober 2020, Az.: 28 O 71/20). Das Gericht befand, dass mit der strengen Auslegung des Schadensbegriffs kein genereller Ausschluss von Bagatellfällen einhergehe. Wesentliche Argumente des Gerichts für die Annahme eines Bagatellfalls waren die Einmalig- und Erstmaligkeit der Übersendung sowie die Tatsache, dass der Kläger nicht dargelegt hatte und die Umstände dagegensprachen, dass der Empfänger überhaupt Kenntnis vom Inhalt des Schreibens genommen hatte, bevor er es an den richtigen Empfänger weiterleitete.

Schadensersatzpflichtiger gemäß DSGVO

Haftung des Verantwortlichen

Es haften alle Verantwortlichen, die an einer nicht DSGVO-konformen Verarbeitung, welche für einen Schaden ursächlichen ist, beteiligt sind.

Haftung des Auftragsverarbeiters

Der Auftragsverarbeiter haftet in drei Fällen:

  1. Wenn der Schaden darauf basiert, dass der Auftragsverarbeiter seinen auferlegten Pflichten aus der DSGVO nicht nachgekommen ist. Die erste und wichtigste Pflicht, die den Auftragsverarbeiter trifft, ist es einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO abzuschließen. Weitere Pflichten umfassen unter anderem die gegebenenfalls notwendige Benennung eines EU-Vertreters (Art. 27 DSGVO), das Führen eines Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) und die Zusammenarbeit mit Aufsichtsbehörden (Art. 31 DSGVO). Genaueres dazu lesen Sie in unserem Artikel zu den Pflichten des Auftragsverarbeiters nach DSGVO
  2. Wenn der Schaden darauf basiert, dass der Auftragsverarbeiter eine rechtmäßig erteilte Anweisung des für die Datenverarbeitung Verantwortlichen nicht beachtet hat.
  3. Wenn der Schaden darauf basiert, dass der Auftragsverarbeiter gegen solche Anweisungen gehandelt hat.

Wichtig: Wenn der Auftragsverarbeiter Daten unerlaubt zu eigenen Zwecken verarbeitet, haftet er als Verantwortlicher (Art. 28 Abs. 10 DSGVO).

Gesamtschuldnerische Haftung

Sind Verantwortliche oder Auftragsverarbeiter an derselben schädigenden Verarbeitung beteiligt, kann jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. Der Geschädigte kann sich seinen Schuldner aussuchen. Im Falle einer Klage ist es alleine dem Geschädigten überlassen, ob er einzelne, mehrere oder alle Beteiligten in Anspruch nimmt. Das macht es betroffenen Personen leichter, den Schadensersatz wirksam einzufordern. Die Verteilung der Schadensanteile an der Gesamtsumme müssen die Gesamtschuldner dann unter sich im Innenverhältnis ausmachen.

Da diese Regelung nicht nur Mehraufwand bedeuten kann, sondern auch einiges an Konfliktpotenzial unter den haftenden Parteien birgt, empfiehlt sich immer eine vertragliche Regelung schon im Vorfeld zur gemeinsamen Verarbeitung oder der Auftragsverarbeitung zu treffen. Auch dies ist ein Grund warum Auftragsverarbeitungsverträge nie blind unterschrieben werden sollten. Es drohen nicht nur aufsichtsrechtliche Konsequenzen.

Ein Mitverschulden des Geschädigten kann den Anspruch nicht mindern. Die DSGVO kennt hier – anders als im deutschen Zivilrecht üblich – nur volle Haftung oder keine Haftung.

Beweislast und Enthaftung im Rahmen der DSGVO

Im zivilrechtlichen Verfahren gilt in der Regel, dass derjenige, der einen Sachverhalt vorträgt, diesen auch beweisen muss. Im Bereich der DSGVO ist diese Beweislast jedoch umgekehrt: Die Rechenschaftspflicht der DSGVO legt dem Verantwortlichen die Pflicht auf, nachweisen zu können, dass er personenbezogene Daten rechtskonform nach den Grundsätzen der Verordnung verarbeitet.

Das zeigt einmal mehr, wie wichtig eine gute Datenschutzdokumentation und ein ordentlich implementiertes Datenschutzmanagementsystem sind.

Der Verantwortliche oder Auftragsverarbeiter muss im Streitfall beweisen, dass er alle Grundsätze der DSGVO eingehalten hat oder dass der Verstoß nicht ursächlich für den Schaden war. Ein immaterieller Schaden wird aber alleine durch den Kontrollverlust über die Daten im Grunde immer vorliegend sein.

Es besteht aber auch noch die Möglichkeit, dass sich der Verantwortliche oder Auftragsverarbeiter durch den Nachweis, dass kein Verschulden bezüglich des den Schaden auslösenden Ereignisses vorliegt, zu enthaften.

Wichtig: Für Verstöße durch Mitarbeiter haftet in der Regel der Arbeitgeber. Eine Entlastung über den Verweis auf deren individuelles Verschulden funktioniert nicht. Eine Entlastung ist auch nicht deshalb möglich, weil der Schaden auf eine Falschberatung des Datenschutzbeauftragten zurückgeht. Dieser kann für eine Falschberatung bei einem Verschulden jedoch möglicherweise in Regress genommen werden. Die Voraussetzungen und Höhe dieses Regresses sind – zumindest bei internen Datenschutzbeauftragten – streng und stark begrenzt. Mehr zum Thema Haftung des Datenschutzbeauftragten erfahren sie in unserem gesonderten Artikel.

Urteile zum Schadensersatz bei DSGVO-Verstößen

Seit Anwendbarkeit der DSGVO fangen immer mehr Betroffene an, die ihnen zur Verfügung stehenden Mittel auszuschöpfen. Dies merkt man vor allem bei der Inanspruchnahme von Betroffenenrechten, wie den Rechten auf Auskunft oder Löschung. Aber auch Klagen auf Schadensersatz nach Art. 82 DSGVO häufen sich. Nicht immer wird ein Schadenersatz zugesprochen und eine klare Linie der Gerichte lässt noch auf sich warten.

Die folgenden Gerichtsurteile und ihre jeweiligen Begründungen für die Verurteilung zu Schadensersatz geben aber immerhin Anhaltspunkte:

„ein immaterieller Schaden entsteht nicht nur in den ‚auf der Hand liegenden Fällen‘, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren.“

ArbG Dresden (13. Kammer), Urteil vom 26. August 2020, Az.: 13 Ca 1046/20

„Dem Kläger ist auch ein immaterieller Schaden entstanden. Infolge der Weitersendung der Daten wurden persönliche, berufliche Informationen an einen unbeteiligten Dritten weitergeleitet. Dadurch hat der Kl. die Kontrolle darüber verloren, wer Kenntnis davon hat, dass er sich bei der Beklagten beworben hat.“

Zudem hat das LG Darmstadt auch einen Unterlassungsanspruch, der zusätzlich geltend gemacht wurde, anerkannt.

LG Darmstadt, Urteil vom 26. Mai 2020, Az.:  13 O 244/19

„Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh [Anm.: Charta der Grundrechte der Europäischen Union] gewährleistet das Auskunftsrecht ausdrücklich. […] Verstöße müssen effektiv sanktioniert werden, […] was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird“

ArbG Düsseldorf (9. Kammer), Urteil vom 5. März 2020, Az.: 9 Ca 6557/18

„Ein solcher Betrag ist ausreichend, aber auch erforderlich, um eine Abschreckungswirkung […] zu erzielen und dem Kläger zugleich Genugtuung für das erlittene Unrecht zu gewährleisten. […] Zu Gunsten des Beklagten ist zu berücksichtigen, dass das Gericht ausschließt, dass er mit der Weitergabe der Daten kommerzielle Interessen verfolgt hat.“

AG Pforzheim, Urteil vom 25. März 2020, Az.: 13 C 160/19

Hinweis: Neben dem Schadensersatz haben die unterlegenen Parteien auch die Verfahrenskosten zu tragen. So kommen schnell hohe Summen zusammen.

Fazit: Guter Rat spart Geld

Schadensersatzansprüche aus der DSGVO werden sich in Zukunft häufen. Sie stehen dabei neben den Bußgeldverfahren der Aufsichtsbehörden. Wie auch ein Bußgeldverfahren können sie nicht nur ärgerlich, sondern vor allem auch teuer und aufwendig für die beklagten Unternehmen sein.

Am besten ist es natürlich, es erst gar nicht so weit kommen zu lassen. Dabei hilft Ihnen ein kompetenter erfahrener Datenschutzbeauftragter und ein ausgereiftes Datenschutzmanagementsystem.

Sollten Sie dennoch mit einer Schadensersatzforderung konfrontiert werden, gilt es richtig zu handeln. Es sollte umgehend festgestellt werden ob tatsächlich eine Verletzung der DSGVO-Vorschriften vorliegt. Wenn Verarbeitungen ausreichend dokumentiert sind, lässt sich gegebenenfalls ein Entlastungsbeweis erbringen. Auch das Anstreben eines Vergleichs kann ein sinnvolles Vorgehen sein. Dafür sollten Sie in jedem Fall rechtliche Beratung mit einer Spezialisierung auf das Datenschutzrecht einholen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.