Fast drei Jahre nach Einführung der Datenschutzgrundverordnung zeigt sich in der Rechtsprechung der Amts- und Landesgerichte, dass zunehmend auch Schadenersatz wegen Verstöße gegen den Datenschutz beliebt werden. Gerade im Online-Handel können diese, zum Teil schwer zu kalkulierenden Kosten, auf Betreiber von Webseiten zukommen. Art. 82 Abs. 1 DSGVO gibt nicht nur die Möglichkeit materiellen Schadensersatz wegen eines Datenschutzverstoßes zu fordern, sondern darüber auch einen immateriellen Schadensersatzanspruch, den man auch landläufig Schmerzensgeld nennen kann.
In Deutschland war ein solches Schmerzensgeld eher unüblich. Zwar sieht auch § 253 BGB eine Entschädigung in Geld vor, bei Nichtvermögensschäden, aber die Fälle in denen dieser Anspruch in Betracht kommt sind stark begrenzt.
Welche Voraussetzungen im Rahmen des Schadensersatzes nach Art. 82 DSGVO vorliegen müssen und wo die Regelung an Ihre Grenzen stößt, wird in den nachfolgenden fünf Punkten geklärt.
1. Wann liegt ein Datenschutzverstoß vor?
Hinsichtlich der Voraussetzungen des Schadensersatzes ist Art. 82 Abs. 1 DSGVO deutlich knapp gefasst.
„Jeder Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (…) Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Hiernach muss zunächst ein Verstoß gegen die Datenschutzgrundverordnung vorliegen. In Betracht kommt hier zunächst jede Regelung, der DSGVO, sei es die Informationspflichten gegenüber den Betroffenen nach Art. 12 ff. DSGVO oder die Datenverarbeitung, welche nur auf Grund eine hinreichenden Rechtsgrundlage erfolgen darf, Art. 6 DSGVO. Ebenso kann auch ein Verstoß gegen die Betroffenenrechte aus Art. 15 ff. DSGVO ein Verstoß gegen die Verordnung darstellen. Heißt also, wenn der Verantwortliche Ihnen auf Nachfrage keine umfassende und vollständige Auskunft über die Verarbeitung Ihrer personenbezogenen Daten gibt, kann das einen Verstoß begründen.
Zudem muss der Verantwortliche einen solchen Verstoß auch verschuldet haben. Vom Verschulden spricht man immer dann, wenn der Verantwortliche den Verstoß vorsätzlich (also bewusst oder gewollt) oder fahrlässig (ohne hinreichende Sorgfalt) verursacht hat. Speziell ist gerade in diesem Fall, dass nach Art. 82 Abs. 3 DSGVO das Verschulden des Verantwortlichen vermutet wird, also der Verantwortliche am Ende nachweisen muss, dass er nicht zumindest fahrlässig gehandelt hat. Das kann im Rahmen der Beweislast schon zu Problemen führen.
Zuletzt, aber auch am schwierigsten, stellt sich der Nachweis des Schadenseintritts dar. Sowohl materieller als auch immaterieller Schäden müssen durch den Betroffenen dargelegt werden. Bei einem materiellen Schaden mag dies noch recht einfach sein. So könnte man durch Belege nachweisen, dass einem durch den Datenschutzverstoß, etwas durch eine gestohlene Identität, auch ein Schaden entstanden ist.
Bei einem immateriellen Schadensersatz stellt sich dies deutlich schwieriger dar. Immaterielle Schäden zeichnen sich gerade dadurch aus, dass keine konkrete Vermögensminderung vorliegt, sondern eine Kompensation für die erlittenen „Schmerzen“ erfolgen soll. Hierfür ist zumeist erforderlich, dass der Geschädigte nachweist, dass ihm ein spürbarer Nachteil entstanden ist, den man auch objektiv nachvollziehen kann. Meist wird auch gefordert, dass Belange des Persönlichkeitsrechts beeinträchtigt sind. Der Nachweis dieses Kriteriums stellt sich meist als problematisch dar.
2. Gibt es bereits Fallgruppen für immaterielle Schäden?
Bisher haben sich nur wenige Fallgruppen herausgebildet, in denen die Gerichte einen immateriellen Schadensersatz bejaht haben. Ohne weiteres wurde ein immaterieller Schadensersatzanspruch angenommen, als das Recht zur Datenauskunft eines Arbeitnehmers beeinträchtigt war (AG Düsseldorf 05.03.2020, Az. 9 Ca 6557/18).
Ebenso wurde ein immaterieller Schadensersatz bejaht, als die Fotos eines Arbeitnehmers, durch dessen Arbeitgebers ohne eine bestehende Einwilligung auf Facebook hochgeladen wurden. Hier sah das Gericht eine spürbare Bloßstellung des Arbeitnehmers als gegeben an (AG Lübeck 20.06.2019, Az. 1 Ca 538/19).
3. Berechtigt jeder Datenschutzverstoß zum Schadensersatz?
Nicht jeder Verstoß gegen die DSGVO kann auch dazu führen, dass der Betroffene immateriellen Schadensersatz gegen den Verantwortlichen geltend machen kann. Vielmehr setzt der Anspruch auf Ausgleich eines immateriellen Schadensersatzanspruchs voraus, dass der Betroffene eine benennbare und nachweisbare Persönlichkeitsrechtsverletzung erfahren hat.
Zwar ist nach Erwägungsgrund 146 DSGVO der Begriff des Schadens weit auszulegen, so dass der Betroffene einen wirksamen Ersatz erhalten soll. Nach Erwägungsgrund 85 DSGVO muss, aber der Verstoß auch entsprechende Konsequenzen für den Betroffenen nach sich ziehen. Erwähnt sind hier unter anderem der Verlust der Kontrolle über die Daten, die Gefahr vor Diskriminierung, Identitätsdiebstahl, Rufschädigung oder etwa die Aufhebung der Pseudonymisierung. Die Verletzung muss dabei auch nicht schwer sein, um den Schadensersatzanspruch zu begründen. Jedoch führt nicht jede Verletzung zu einer Ausgleichspflicht, gefordert ist zumindest ein “Bloßstellen“, dass in der unrechtmäßigen Zugänglichmachung der Daten erkennbar ist (LG Hamburg 04.09.2020, Az. 324 S 9/19).
4. Wie hoch kann ein immaterieller Schadensersatz ausfallen?
Ein allgemeiner Maßstab, wieviel Schadensersatz für einen Verstoß gegen die DSGVO veranschlagt werden kann gibt es noch nicht. Erwägungsgrund 146 DSGVO spricht davon, dass die Höhe des Schadensersatzes so bemessen sein soll, dass es auch wirksam ist und abschreckend wirken soll (AG Frankfurt am Main, 10.07.2020, Az. 385 C 155/19).
Die Höhe des konkreten Schadensersatzes ist somit nach den Umständen des Einzelfalles zu bemessen. Kriterien die hier herangezogen werden können sind unter anderem:
- Intensität des Verstoßes;
- Dauer des Verstoßes;
- Umsatz und Finanzkraft des Verantwortlichen;
- Vorsatz oder Fahrlässigkeit.
In der Zeitschrift “Datenschutz-Berater” stellt Rechtsanwalt Frank Richter eine erste Schmerzensgeldtabelle nach Art. 82 DSGVO vor. Diese kann zumindest eine grundsätzliche Orientierung für die Bemessungsgrenze von Datenschutzverstößen liefern. Hiernach wird etwa die Nichtbeachtung eines Widerrufs der Einwilligung mit ca. 5.000 EUR geahndet, oder ein Verstoß gegen die Informationspflichten nach Art. 13 DSGVO mit 1.000 EUR.
Ob und wieweit diese Tabelle tatsächlich von der Rechtsprechung angenommen wird ist bisher nicht zu erkennen. Es ist jedoch zu erwarten, dass in den kommenden Jahren vermehrt Urteile zum immateriellen Schadensersatz wegen DSGVO Verstößen gefällt werden.
5. Wie schützt man sich am besten gegen Schadensersatzansprüche?
Der beste Schutz gegen Schadenersatzansprüche ist ein wacher Blick auf das eigene Datenschutzmanagement. Durch regelmäßige Kontrolle und ein Verständnis für die grundlegende Materie des Datenschutzrechts, beugt man vielen Datenschutzverstößen bereits im Ansatz vor.
Zudem bietet es sich an, die eigenen Verarbeitungsprozesse genauestens unter die Lupe zu nehmen und zu entscheiden, ob diese in der gewählten Form überhaupt noch notwendig sind. Das kann, neben Datensicherheit, auch zu Kosteneinsparungen führen.
Sind Sie sich unsicher, ob Ihr Unternehmen vor Schadenersatzansprüchen sicher ist? Kontaktieren Sie mich gerne für eine Beratung. Ebenso können Sie mich kontaktieren, wenn Sie selbst Ansprüche wegen eines Datenschutzverstoßes prüfen und rechtlich durchsetzen wollen.
Sie wollen noch mehr zum Thema „DSGVO-Bußgelder“ erfahren ?
Der Verlag für Rechtsjournalismus hat das Thema: „DSGVO-Bußgelder“ ausführlich und betrachtet. Eine klare Leseempfehlung. Zudem gibt es einen eigenen Bußgeldrechner.