Schadensersatz aufgrund von DSGVO-Verstößen

Inhalt

Bei Verstößen gegen das Datenschutzrecht drohen empfindliche Bußgelder der Aufsichtsbehörden. Doch die Datenschutz-Grundverordnung (DSGVO) enthält auch Regelungen über eine Haftung auf Schadensersatz. Und zwar nicht nur für Verantwortliche, sondern auch Auftragsverarbeiter. Betroffene nutzen diese Möglichkeit immer öfter und klagen auf Schadensersatz.

Haftung und Recht auf Schadensersatz gem. Art. 82 DSGVO

In Art. 82 DSGVO ist geregelt, dass jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat.

Die Regelung zur Haftung auf Schadensersatz soll nicht nur die Rechte der betroffenen Personen stärken, sondern ebenso wie die Bußgeldvorschriften und andere Sanktionsmöglichkeiten die konsequente Durchsetzung der datenschutzrechtlichen Vorschriften befördern.

Stoßrichtung ist dabei nicht die staatliche Sanktionierung, sondern der Ausgleich von erlittenen Nachteilen. Zuständig sind folglich nicht die Aufsichtsbehörden, sondern die betroffenen Personen selbst, die den Anspruch im Streitfall bei den ordentlichen Gerichten einklagen können. Ein Bußgeld- oder sonstiges Verfahren durch die Aufsichtsbehörden kann unabhängig davon immer noch stattfinden.

An dieser Stelle sei auch erwähnt, dass im Datenschutzrecht die beiden Instrumente der Verbandsklage und Musterfeststellungsklage (bisher vor allem aus dem VW-Abgasskandal bekannt) zur Verfügung stehen.

Der zu ersetzende Schaden bei DSGVO-Verstößen

Grundvoraussetzung für einen Schadensersatzanspruch ist, anders als beim Bußgeld mit reiner Sanktionswirkung, dass ein Schaden durch den DSGVO-Verstoß entstanden ist.

Wie der Begriff des Schadens in der DSGVO auszulegen ist, erläutert Erwägungsgrund 146 DSGVO. Demnach soll der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofs (EuGH) weit auf eine Art und Weise ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht. Gemeint ist damit, dass anders als zum Beispiel im deutschen Zivilrecht, Schadensersatzforderungen nicht nur entstandene Nachteile ausgleichen, sondern darüber hinaus abschrecken und weitere Verstöße unattraktiv machen sollen.

Da nicht nur materielle Schäden (also tatsächlich erlittene Vermögenseinbußen), sondern auch immaterielle Schäden (Zeitverlust, Ärgernis, Rufschädigung, etc.) schadensersatzfähig sind, ist die weite Auslegung vor allem für letztere Schäden relevant. Immaterielle Schäden sind demnach nicht nur durch rein symbolischen Schadensersatz zu kompensieren. Der Schadensersatz kann und soll empfindliche Höhen erreichen. Nicht alle, aber immer mehr Gerichte folgen dieser Auffassung (siehe die Urteilsbesprechungen weiter unten).

Die Einschränkung der Begründung eines Schadens mittels einer Bagatellgrenze sieht der Art. 82 DSGVO nach Auffassung des Europäischen Gerichtshofs (EuGH) nicht vor. Das bedeutet, dass ein erlittener Schaden nicht erst eine gewisse Erheblichkeitsschwelle überschreiten muss, um ersatzfähig zu sein. Dies wurde lange Zeit von nationalen Gerichten einschränkend auch auf Art. 82 DSGVO angewendet.

Der EuGH hat in diesem Zusammenhang allerdings geurteilt, dass der Schadensersatz nach Art. 82 DSGVO ein eigener, europarechtlicher Anspruch ist, der mitgliedstaatliche Regelungen zu Schadensersatz und Haftung überlagert. Nach dem Wortsinn des Erwägungsgrundes 146 DSGVO gibt es keine Einschränkung im Sinne einer Erheblichkeitsschwelle.

Dies bedeutet nicht, dass jeder Verstoß gegen Vorschriften der DSGVO gleichsam einen Schadensersatz begründet. Der erlittene Schaden muss dennoch vor Gericht vorgetragen und begründet werden. Der Datenschutzverstoß muss zudem für den erlittenen Schaden ursächlich gewesen sein.

Beispiel für die Auswirkung des Wegfalls der Erheblichkeitsschwelle

Begründet der Empfang einer Spam-E-Mail an die private E-Mailadresse bereits einen Schaden?

Da Datenschutz Grundrechtsschutz ist, wird man davon ausgehen müssen, dass bestimmte Eingriffe im Sinne von Verstößen gegen die Verordnung und von Datenschutzgesetzen nicht immer gleich einen Schaden begründen. Dies ist zum Beispiel dann anzunehmen, wenn der Betroffene durch einen Verstoß nicht zwangsläufig einen Schaden erleidet. Eine Spam-E-Mail im Postfach führt nicht zu einer Beeinträchtigung, wenn Betroffene diese gar nicht wahrnehmen. Bspw. wenn die Spam-E-Mail regelmäßig im Spamordner landet und dieser einer automatisierten Löschregel unterliegt.

Zwar liegt unter Umständen in Ermangelung einer Rechtsgrundalge ein Verstoß gegen die Rechtmäßigkeit der Verarbeitung aus Art. 5 Abs. 1 lit a) DSGVO vor, der Verstoß begründet aber für den E-Mail-Adressaten keinen erlittenen immateriellen Schaden im Sinne einer unzumutbaren Belästigung.

Hingegen gilt: Legt ein Betroffener eine solche Belästigung dar und ist der unrechtmäßige Versand für den Empfang kausal gewesen, bedarf es keiner Prüfung der Erheblichkeit mehr, sprich ob für den Einzelnen eine messbare Beeinträchtigung vorliegt oder der Schaden außerhalb des allgemeinen Lebensrisikos liegt.  Es reicht im Zweifel die substantiierte Darlegung des erlittenen Schadens wie z.B. die Folgen der unzumutbaren Belästigung im konkreten Fall.

Die Höhe des Schadens festzulegen, obliegt wiederum den angerufenen Gerichten. Hierzu gibt es (noch) keine europaweiten Vorgaben.

Schadensersatzpflichtiger gemäß DSGVO

Haftung des Verantwortlichen

Es haften alle Verantwortlichen, die an einer nicht DSGVO-konformen Verarbeitung, welche für einen Schaden ursächliche ist, beteiligt sind.

Haftung des Auftragsverarbeiters

Der Auftragsverarbeiter haftet in drei Fällen:

  1. Wenn der Schaden darauf basiert, dass der Auftragsverarbeiter seinen auferlegten Pflichten aus der DSGVO nicht nachgekommen ist. Die erste und wichtigste Pflicht, die den Auftragsverarbeiter trifft, ist es einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO abzuschließen. Weitere Pflichten umfassen unter anderem die gegebenenfalls notwendige Benennung eines EU-Vertreters ( 27 DSGVO), das Führen eines Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) und die Zusammenarbeit mit Aufsichtsbehörden (Art. 31 DSGVO). Genaueres dazu lesen Sie in unserem Artikel zu den Pflichten des Auftragsverarbeiters nach DSGVO
  2. Wenn der Schaden darauf basiert, dass der Auftragsverarbeiter eine rechtmäßig erteilte Anweisung des für die Datenverarbeitung Verantwortlichen nicht beachtet hat.
  3. Wenn der Schaden darauf basiert, dass der Auftragsverarbeiter gegen solche Anweisungen gehandelt hat.

Wichtig: Wenn der Auftragsverarbeiter Daten unerlaubt zu eigenen Zwecken verarbeitet, haftet er als Verantwortlicher (Art. 28 Abs. 10 DSGVO).

Gesamtschuldnerische Haftung

Sind Verantwortliche oder Auftragsverarbeiter an derselben schädigenden Verarbeitung beteiligt, kann jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. Der Geschädigte kann sich seinen Schuldner aussuchen. Im Falle einer Klage ist es allein dem Geschädigten überlassen, ob er einzelne, mehrere oder alle Beteiligten in Anspruch nimmt. Das macht es betroffenen Personen leichter, den Schadensersatz wirksam einzufordern. Die Verteilung der Schadensanteile an der Gesamtsumme müssen die Gesamtschuldner dann unter sich im Innenverhältnis ausmachen.

Da diese Regelung nicht nur Mehraufwand bedeuten kann, sondern auch einiges an Konfliktpotenzial unter den haftenden Parteien birgt, empfiehlt sich immer eine vertragliche Regelung schon im Vorfeld zur gemeinsamen Verarbeitung oder der Auftragsverarbeitung zu treffen. Auch dies ist ein Grund, warum Auftragsverarbeitungsverträge nie blind unterschrieben werden sollten. Es drohen nicht nur aufsichtsrechtliche Konsequenzen.

Ein Mitverschulden des Geschädigten kann den Anspruch nicht mindern. Die DSGVO kennt hier – anders als im deutschen Zivilrecht üblich – nur volle Haftung oder keine Haftung.

Beweislast und Enthaftung im Rahmen der DSGVO

Im zivilrechtlichen Verfahren gilt in der Regel, dass derjenige, der einen Sachverhalt vorträgt, diesen auch beweisen muss. Im Bereich der DSGVO ist diese Beweislast in Hinblick auf Art. 82 Abs. 3 DGSVO jedoch umgekehrt: Die Rechenschaftspflicht der DSGVO legt dem Verantwortlichen die Pflicht auf, nachweisen zu können, dass er personenbezogene Daten rechtskonform nach den Grundsätzen der Verordnung verarbeitet.

Diese Beweislastumkehr bezieht sich auf das Verschulden. Dagegen trägt der betroffene Anspruchsteller die Beweislast für den Eintritt des Schadens, die Ursächlichkeit zwischen Verstoß und Schaden sowie der Schadenshöhe.

Tipp: Lesen Sie bei activeMind.legal Rechtsanwälte, was Betroffene im Rahmen von Schadenersatzansprüchen beweisen müssen.

Der Verantwortliche oder Auftragsverarbeiter muss im Streitfall demnach beweisen, dass er alle Grundsätze der DSGVO eingehalten hat. Dies ermöglicht, dass sich der Verantwortliche oder Auftragsverarbeiter durch den Nachweis, dass kein Verschulden bezüglich des den Schaden auslösenden Ereignisses vorliegt, zu enthaften.

Ein immaterieller Schaden wird aber allein durch den darzulegenden Kontrollverlust über die Daten im Grunde immer vorliegen.

Das zeigt einmal mehr, wie wichtig eine gute Datenschutzdokumentation und ein ordentlich implementiertes Datenschutzmanagementsystem sind.

Wichtig: Für Verstöße durch Mitarbeiter haftet in der Regel der Arbeitgeber. Eine Entlastung über den Verweis auf deren individuelles Verschulden funktioniert nicht. Eine Entlastung ist auch nicht deshalb möglich, weil der Schaden auf eine Falschberatung des Datenschutzbeauftragten zurückgeht. Dieser kann für eine Falschberatung bei einem Verschulden jedoch möglicherweise in Regress genommen werden. Die Voraussetzungen und Höhe dieses Regresses sind – zumindest bei internen Datenschutzbeauftragten – streng und stark begrenzt.

Tipp: In unserem gesonderten Artikel erfahren Sie mehr zur Haftung des Datenschutzbeauftragten.

Urteile zum Schadensersatz bei DSGVO-Verstößen

Seit Anwendbarkeit der DSGVO fangen immer mehr Betroffene an, die ihnen zur Verfügung stehenden Mittel auszuschöpfen. Dies merkt man vor allem bei der Inanspruchnahme von Betroffenenrechten, wie den Rechten auf Auskunft einschließlich Kopie oder Löschung. Aber auch Klagen auf Schadensersatz nach Art. 82 DSGVO häufen sich. Nicht immer wird ein Schadenersatz zugesprochen und eine klare Linie der Gerichte lässt noch auf sich warten.

Die folgenden Gerichtsurteile und ihre jeweiligen Begründungen für die Verurteilung zu Schadensersatz geben aber immerhin Anhaltspunkte. Vorsicht ist aber in Hinblick auf die Grundsatzentscheidung des EuGH zur verneinten Bagatellgrenze geboten. In Fällen, in denen Gerichte bisher einen ersatzfähigen Schaden aufgrund eines ausdrücklich nicht erheblichen Schadens verneint haben, wird künftig anders entschieden werden müssen. Durch das Urteil wurde die Einstiegshürde für eine Klage nach Art. 82 DSGVO tendenziell entschärft:

“ArbG Dresden: 1.500 € Schadensersatz wegen der unerlaubten Weitergabe von Gesundheitsdaten”

„ein immaterieller Schaden entsteht nicht nur in den ‚auf der Hand liegenden Fällen‘, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren.“

ArbG Dresden (13. Kammer), Urteil vom 26. August 2020, Az.: 13 Ca 1046/20

“LG Darmstadt: 1.000 € Schadensersatz wegen Weiterleitung einer XING-Nachricht im Rahmen einer Bewerbung an einen unbeteiligten Dritten”

„Dem Kläger ist auch ein immaterieller Schaden entstanden. Infolge der Weitersendung der Daten wurden persönliche, berufliche Informationen an einen unbeteiligten Dritten weitergeleitet. Dadurch hat der Kl. die Kontrolle darüber verloren, wer Kenntnis davon hat, dass er sich bei der Beklagten beworben hat.“

Zudem hat das LG Darmstadt auch einen Unterlassungsanspruch, der zusätzlich geltend gemacht wurde, anerkannt.

LG Darmstadt, Urteil vom 26. Mai 2020, Az.:  13 O 244/19

“ArbG Düsseldorf: 5.000 € Schadensersatz wegen der Verletzung von Betroffenenrechten (Auskunftsanspruch)”

„Verletzt ist zugleich ein europäisches Grundrecht des Klägers; Art. 8 Abs. 2 S. 2 GRCh [Anm.: Charta der Grundrechte der Europäischen Union] gewährleistet das Auskunftsrecht ausdrücklich. […] Verstöße müssen effektiv sanktioniert werden, […] was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird“

ArbG Düsseldorf (9. Kammer), Urteil vom 5. März 2020, Az.: 9 Ca 6557/18

“AG Pforzheim: 4.000 € Schadensersatz wegen der unbefugten Verarbeitung (hier: Weitergabe) von Gesundheitsdaten durch einen Psychotherapeuten”

„Ein solcher Betrag ist ausreichend, aber auch erforderlich, um eine Abschreckungswirkung […] zu erzielen und dem Kläger zugleich Genugtuung für das erlittene Unrecht zu gewährleisten. […] Zu Gunsten des Beklagten ist zu berücksichtigen, dass das Gericht ausschließt, dass er mit der Weitergabe der Daten kommerzielle Interessen verfolgt hat.“

AG Pforzheim, Urteil vom 25. März 2020, Az.: 13 C 160/19

Hinweis: Neben dem Schadensersatz haben die unterlegenen Parteien auch die Verfahrenskosten zu tragen. So kommen schnell hohe Summen zusammen.

Fazit: Guter Rat spart Geld

Es ist zu erwarten, dass sich Schadensersatzansprüche aus der DSGVO in Zukunft häufen. Sie stehen dabei neben den Bußgeldverfahren der Aufsichtsbehörden. Wie auch ein Bußgeldverfahren können sie nicht nur ärgerlich, sondern vor allem auch teuer und aufwendig für die beklagten Unternehmen sein.

Am besten ist es natürlich, es erst gar nicht so weit kommen zu lassen. Dabei hilft Ihnen ein kompetenter erfahrener Datenschutzbeauftragter und ein ausgereiftes Datenschutz-Managementsystem.

Sollten Sie dennoch mit einer Schadensersatzforderung konfrontiert werden, gilt es richtig zu handeln. Es sollte umgehend festgestellt werden ob tatsächlich eine Verletzung der DSGVO-Vorschriften vorliegt. Wenn Verarbeitungen ausreichend dokumentiert sind, lässt sich gegebenenfalls ein Entlastungsbeweis erbringen. Auch das Anstreben eines Vergleichs kann ein sinnvolles Vorgehen sein.

Lesen Sie hierzu unsere Anleitung zum Umgang mit DSGVO-Abmahnungen und holen Sie in jedem Fall rechtliche Beratung mit einer Spezialisierung auf das Datenschutzrecht ein.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.