Datenschutzrecht: Schadensersatz für Verstoß gegen Datenschutz-Grundverordnung

29.08.2020

Autoren

Rechtsanwalt Dirk Streifler - Partner


Wirtschaftsrecht / Existenzgründung / Insolvenzrecht / Gesellschaftsrecht / Strafrecht
EnglischDeutsch
Zusammenfassung des Autors
Liegt ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) vor, so kann der Betroffene Schadensersatz verlangen. Gemäß Art. 82 DSGVO sieht die Verordnung sowohl den Ersatz materieller als auch immaterieller Schäden vor. Unentschieden ist bisher jedoch, wie weit der Begriff des immateriellen Schadens auszulegen ist und wer im Zweifel nachzuweisen hat, dass ein solcher eingetreten ist.

 

Die europäische Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; kurz: DSGVO) sieht eine Reihe von Rechten bezüglich der Datenverarbeitung von Bürgern vor. Darunter sind unter anderem das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschen (Art. 17 DSGVO – auch „Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie das Recht auf Übertragbarkeit von Daten (Art. 20 DSGVO).

Liegt ein Verstoß gegen eines dieser Rechte oder gegen die Verordnung insgesamt vor, so kann der von diesem Verstoß Betroffene gem. Art. 82 DSGVO Schadensersatz verlangen. Ersatzfähig nach dieser Vorschrift sind sowohl materielle als auch immaterielle Schäden.

Materielle Schäden sind (objektiv nachweisbare) Vermögensschäden, die auf die Verletzung der DSGVO im konkreten Fall zurückzuführen sind.

Immaterielle Schäden sind demgegenüber solche, die sich nicht in der objektiven Vermögenslage des Betroffenen widerspiegeln, sondern von nicht gegenständlicher (also immaterieller) Natur sind. Hierunter wird insbesondere die Verletzung des Persönlichkeitsrechts einer Person (als typische Folge eines Datenschutzrechtsverstoßes) gefasst.

Uneinigkeit besteht bisher darüber, wie weitreichend solche immateriellen Schäden nach der Verordnung ersatzfähig sind und wer im Prozess dafür zuständig ist, ihr Vorliegen zu beweisen (siehe dazu unten).

 

I. Voraussetzungen für das Bestehen des Schadensersatzanspruchs

Voraussetzungen für das Bestehen eines Schadensersatzanspruchs nach Art. 82 DSGVO sind zunächst,

  • - dass ein Verstoß gegen die Verordnung vorliegt,

  • - dass dieser Verstoß beim Betroffenen zu einem kausalen (materiellen oder immateriellen) Schaden geführt hat

  • - und dass der Anspruchsgegner „Verantwortlicher“ oder „Auftragsverarbeiter“ im Sinne der Vorschrift ist.

„Verantwortlicher“ im Sinne des Art. 82 I DSGVO ist nach der Begriffsbestimmung in Art. 4 Nr. 7 DSGVO jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

„Auftragsverarbeiter“ hingegen ist jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personen­bezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 14 Nr. 8 DSGVO).

 

II. Beweislastverteilung

Teilweise umstritten ist bisher, welche dieser Tatsachen von welcher Partei im Prozess bewiesen werden müssen.

Nach den allgemeinen zivilrechtlichen Beweislastregeln im deutschen Recht müssen Tatsachen immer von demjenigen vor Gericht bewiesen werden, zu dessen Gunsten sie angeführt werden.

Für den Anspruch auf Schadensersatz aus Art. 82 DSGVO würde das grundsätzlich bedeuten, dass vom Kläger/ von der Klägerin bewiesen werden muss,…

  • - dass ein Verstoß gegen die DSGVO stattgefunden hat,

  • - dass der/ die Beklagte hierfür verantwortlich war

  • - und dass dem Kläger/ der Klägerin hieraus ein kausaler Schaden entstanden ist

Zur Beweisführung bezüglich des Verstoßes gegen die DSGVO hilft dem Kläger/ der Klägerin zunächst der gem. Art. 15 DSGVO gewährte Auskunftsanspruch gegen den Verantwortlichen.  

Ist der Anspruch gegen einen „Auftragsverarbeiter“ gerichtet, so haftet dieser gem. Art. 82 II 2 DSGVO nur dann, wenn er den „speziell den Auftragsverarbeitern auferlegten Pflichten aus [der DSGVO] nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Dem Auftragsverarbeiter muss also über den Verstoß hinaus eine Pflichtverletzung nachgewiesen werden, die sich innerhalb des ihm speziell zugewiesenen Aufgabenbereichs ereignet hat. 

Ein Schadensersatzanspruch aus Art. 82 I DSGVO ist hingegen ausgeschlossen, wenn der/ die Beklagte den Verstoß gegen die DSGVO nicht zu verantworten hat bzw. diese/n kein Verschulden trifft. Dies ergibt sich schon aus dem Umkehrschluss zu Art. 82 III DSGVO, indem eine Exkulpationsmöglichkeit für den Anspruchsgegner vorgesehen ist. Sowohl der „Verantwortliche“ als auch der „Auftragsverarbeiter“ können sich exkulpieren, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind. 

Das Vorliegen von Verschulden wird jedoch gem. Art. 82 III DSGVOwiderleglich vermutet. Das bedeutet, dass im Prozess solange von einem Verschulden des Verantwortlichen oder Auftragsverarbeiters ausgegangen wird, bis dieser das Gegenteil beweist. Der Kläger/ die Klägerin muss das Verschulden des Klagegegners somit nicht nachweisen. 

Teilweise wird sogar eine vollumfassende Beweislastumkehr zugunsten des Klägers/ der Klägerin bezüglich der Tatbestandsvoraussetzungen des Anspruchs diskutiert. Diese ergebe sich aus der allgemeinen Rechenschaftspflicht der Verantwortlichen aus Art. 5 II sowie Art. 24 I DSGVO. Nach anderer Ansicht handelt es sich hierbei jedoch nur um eine Nachweispflicht gegenüber den Datenschutzbehörden (Wybitul, NJW 2019, 3265, 3268). Hierfür spreche auch der Erwägungsgrund 82 der Verordnung, indem die Rechenschaftspflicht umschrieben und damit in Zusammenhang gesetzt wird, dass die Verantwortlichen dazu verpflichtet sein sollten, mit der zuständigen Aufsichtsbehörde zusammen zu arbeiten, um Verstöße zu minimieren.

Für dieses Ergebnis spricht auch ein Umkehrschluss aus Art. 82 III DSGVO. Wäre der Verordnungsgeber davon ausgegangen, dass hinsichtlich aller Tatbestandsmerkmale eine Beweislastumkehr zugunsten des Klägers/ der Klägerin vorgesehen ist, hätte er diese nicht „zusätzlich“ und isoliert nur für die Voraussetzung des Verschuldens in Art. 82 III DSGVO geregelt.

Es ist wohl also davon auszugehen, dass die allgemeinen Beweislastregeln des deutschen Zivilrechts Anwendung finden und lediglich das Verschulden im Rahmen des Tatbestands von Art. 82 DSGVO vermutet wird. Hinsichtlich des sonst recht „voraussetzungsarmen“ Tatbestands von Art. 82 DSGVO könnte es sonst zu einer Ausuferung der Haftung kommen.

Somit hat der Kläger/ die Klägerin grundsätzlich das auch das Vorliegen eines kausal auf dem Verstoß beruhenden Schadens nachzuweisen.

Gelingt dem Kläger die Beweisführung, so sind ihm alle materiellen und immateriellen Schäden zu ersetzen.

 

III. Bagatellschwelle für immaterielle Schäden

Problematisch und daher umstritten ist jedoch, inwieweit das Vorliegen eines immateriellen Schadens vom Kläger/ der Klägerin nachzuweisen und dann auch ersatzfähig ist. Die Verordnung selbst gibt dazu keine zwingende Regelung vor.

Eine sehr weite Interpretation des Schadensbegriffs geht davon aus, dass ein immaterieller Schaden bereits mit dem Verstoß gegen die DSGVO als vorliegend anzusehen ist. Hierfür spricht die effektive Durchsetzung der Verordnung und der damit verbundene Wirksamkeitsgrundsatz (effet utile) hinsichtlich des Unionsrechts (Art. 4 III EUV). Der Europäische Gerichtshof hatte bereits in seinen Entscheidungen betont, dass die Gewährung von Schadensersatz im Lichte des Wirksamkeitsgrundsatzes durchaus auch „abschreckende Wirkung“ haben sollte. Ein solch punitiver Schadensersatz („Strafschadensersatz“) ist dem deutschen Recht jedoch fremd. Der deutschen Schadensersatzdogmatik liegt vielmehr der Grundsatz der Naturalrestitution zugrunde. Das bedeutet, dass dem Geschädigten bei Bestehen eines Schadensersatzanspruches nicht mehr und nicht weniger als das zu ersetzen ist, was ihm tatsächlich durch das schädigende Ereignis verlustig gegangen ist. Eine darüber hinaus gehende „strafende“ Wirkung bzw. das Verhängen von darüber hinaus gehenden Sanktionen ist hierzulande dem Strafrecht, welches in der Regel unter strengeren Voraussetzungen greift, vorbehalten.

Der weiten Schadensbegriffsauslegung ist auch das hohe Missbrauchspotential entgegenzusetzen, dass sich dadurch verwirklichen könnte, dass es zu einer kommerziellen Geltendmachung von Ansprüchen nach Art. 82 I DSGVO kommen könnte. Dem müsse jedenfalls dadurch ein Riegel vorgeschoben werden, dass nur ein tatsächlich vorliegender (wenn auch nicht-gegenständlicher) Schaden eingetreten sein muss. So sieht es bisher auch die Rechtsprechung der deutschen Gerichte, die eine eher zurückhaltende Auslegung des Schadensbegriffs in Art. 82 I DSGVO vornehmen.

Es muss also durch den Verstoß beim Betroffenen zu einer konkreten Verletzung des Persönlichkeitsrechts bekommen sein.

Teilweise wird bereits in der Rechtsprechung von einer Bagatellschwelle oder auch Erheblichkeitsschwelle ausgegangen. Die Verletzung des Persönlichkeitsrechts des Betroffenen dürfe also nicht „bloß unbedeutend“ oder nur „empfunden“ sein (AG Diez, ZD 2019, 85). Es seien „nachvollziehbare Beeinträchtigungen zu fordern, die ein gewisses Gewicht erreicht haben müssen“.

Hierfür spricht insbesondere, dass der Schadensersatzanspruch von wenigen Voraussetzungen abhängt und wohl auf der Ebene des Schadens einer Ausuferung der Ersatzpflicht entgegengewirkt werden muss.

Auch wird der Erwägungsgrund 85 der Verordnung als Argument herangezogen, der beispielhaft einige als ersatzfähig angesehene (immaterielle) Schäden aufzählt.

Nach Erwägungsgrund 85 sind ersatzfähige immaterielle Schäden wohl:

  • - Verlust der Kontrolle über personenbezogene Daten

  • - Einschränkung der eigenen Rechte über die Daten

  • - Diskriminierung

  • - Identitätsdiebstahl oder -betrug

  • - Finanzielle Verluste

  • - Unbefugte Aufhebung der Pseudonymisierung

  • - Rufschädigung

  • - Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten

  • - Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene Person

Im Einklang mit dieser beispielhaften Aufzählung wird eine gewisse Erheblichkeitsschwelle für die Ersatzfähigkeit eines Schadens angenommen.

Zu beachten ist aber, dass es sich gerade nicht um eine Aufzählung von Regelbeispielen im Rahmen der gesetzlichen Regelung handelt, sondern um eine Ausführung zur Zielsetzung der Verordnung – also in ihren Erwägungsgründen. Es handelt sich somit weder um eine abschließende Aufzählung von immateriellen Schäden, noch um eine vom Verordnungsgeber als zwingend vorgegebene Regelung, an die sich die entscheidenden Gerichte zu halten haben. Diese Ausführungen können lediglich bei der Interpretation der Verordnung zu Rate gezogen werden.

Nach dem OLG Dresden sollen Bagatellschäden aber dennoch ersatzfähig sein, wenn diese Ausdruck einer bewussten, rechtswidrigen und weitreichend betriebenen Kommerzialisierung von Datenschutzverstößen seien. Hiermit solle dem Wirksamkeitsgrundsatz Rechnung getragen werden (OLG Dresden, 4 U 760/19).

 

IV. Beispiele aus der Rechtsprechung 

 

Fundstelle  Verstoß Höhe des Schadensersatzes

LG Feldkirch, Beschl. v. 7.8.2019 – 57 Cg 30/19b – 15 (Österreich)

(Berufung beim OLG Innsbruck anhängig)

Ermittlung und Speicherung von Daten des Klägers ohne dessen Einwilligung 800€

Rechtbank Amsterdam, Urt. v. 2.9.2019 – 7560515 CV EXPL 19-4611  (Niederlande)

Unbefugte Offenlegung von Gesundheitsdaten  250€
AG Bochum, Beschl. v. 11.3.2019 – 65 C 485/18 Unverschlüsselt verschickte E-Mail
0€
(weil weder dargelegt noch ersichtlich war, dass Dritten personenbezogene Daten bekannt geworden waren)


 

V. Fazit & Ausblick

Für die Bestimmung des immateriellen Schadensbegriffs wird abzuwarten sein, welche Rechtsprechung sich durchsetzt – ggf. auch unter Anrufung des EuGH in einem entsprechenden Vorabentscheidungsverfahren (Art. 267 AEUV).

Es dürfte feststehen, dass zumindest zwischen einem Verstoß gegen die Verordnung und einem tatsächlich bestehenden Schaden unterschieden werden muss. Ein „automatischer“ Rückschluss vom Verstoß auf den Schaden ist wohl aufgrund der klaren Differenzierung der Voraussetzungen im Rahmen der Verordnung nicht zulässig.

Fraglich ist aber weiterhin, ob sich eine Bagatellschwelle tatsächlich durchzusetzen vermag – gerade hinsichtlich des Wirksamkeitsgrundsatzes und eben auch der vom EuGH gewünschten „abschreckenden“ Wirkung von Schadensersatz könnte dies problematisch sein. Eine derartige Einschränkung nur aufgrund eines (angeblich bestehenden) Missbrauchspotentials vorzunehmen, erscheint mehr als stark rechtspolitisch gefärbte Entscheidung als einer, die der Erreichung der Zielsetzung der DSGVO zu dienen vermag.

Im Ergebnis wird es wohl auf eine Entscheidung im jeweiligen Einzelfall ankommen und darauf, inwieweit das Vorliegen eines immateriellen Schadens durch die Kläger/innen hierzulande überzeugend dargelegt werden kann.

Anwälte

Anwälte, die Sie zu folgenden Rechtsgebieten beraten können: Zivilrecht, Datenschutzrecht, Europarecht.

Rechtsanwältin Dikigoros - griechische Rechtsanwältin - und Mediatorin Vasiliki Siochou


Familienrecht - Erbrecht - Immobilienrecht - griechisches Recht - Mediation
EnglischGriechisch 1 mehr anzeigen

Rechtsanwalt Dirk Streifler - Partner


Wirtschaftsrecht / Existenzgründung / Insolvenzrecht / Gesellschaftsrecht / Strafrecht
EnglischDeutsch

Andere Veröffentlichungen

60 Artikel relevant zu diesem Artikel

60 Artikel zum Rechtsgebiet: Zivilrecht, Datenschutzrecht, Europarecht.

Abgas-Skandal: Nun auch Fahrzeuge von "Mercedes Benz" betroffen?

15.06.2020

Nachdem schon vor einigen Jahren bekannt gemacht wurde, dass in Fahrzeugen der Marken "Volkswagen" bzw. "Audi", "Porsche", "Seat" und "Skoda" teilweise illegale Abschaltvorrichtungen im Sinne des Art. 5 II i.V.m. Art. 3 Nr. 10 der Verordnung (EG) Nr. 715/2007 verbaut wurden, steht diese sittenwidrige Schädigungshandlung nun auch für den Herstellerkonzern "Daimler" und die hierunter prominent auftretende Marke "Mercedes Benz" in Frage - Streifler & Kollegen Rechtsanwälte - Anwalt für Zivilrecht Berlin

Amtsgericht München: Reiseveranstalter haftet nicht für Insolvenz der ausgewählten Fluggesellschaft

05.05.2021

*Ein Ehepaar klagt auf Zahlung einer Schadensersatzpflicht nach einem verspäteten Flug und scheitert vor dem Amtsgericht München (Urt. v. 23.04.2021, Az. 158 C 23585/20. Das Gericht entschied zu Gunsten einer Reiseveranstalterin und wies die Klage al

Amtsgericht Papenburg: Fitnessstudiomitglieder können Beiträge zurückfordern!

12.05.2021

*Bei coronabedingter Schließung der Fitnessstudios haben Verbraucher die Möglichkeit bereits gezahlte Beiträge zurückzuverlangen. Das Landgericht Papenburg hat am 18.12.2020 zugusten der Verbraucher entschieden, dass eine Störung der...

Anfechtung von Willenserklärungen und Fehleridentität im Einzelfall

16.11.2019

Eine Willenserklärung ist im deutschen Recht nach den allgemeinen Regeln des BGB anfechtbar (§§ 119 ff. BGB). Sowohl ein Irrtum über die eigene Erklärung selbst oder besondere Eigenschaften des Vertragsgegenstandes als auch die arglistige Täuschung des Vertragspartners können zur Anfechtbarkeit einer Willenserklärung führen und damit die Möglichkeit eröffnen, den schuldrechtlichen oder dinglichen Vertrag „zunichte zu machen“.  Natürlich bleibt dies für den Vertragspartner oftmals nicht ohne Folgen, weshalb das Gesetz auch für diesen einen Ausgleich vorsieht.

Aufhebung jeglicher Corona-Schutzmaßnahmen für Schulkinder auf dem Schulgelände

07.05.2021

Am 8. April 2021 erließ ein Familienrichter des AG Weimar einen Beschluss, nachdem jegliche Corona Schutz-Maßnahmen für alle Schüler in zwei Schulen wegfielen. Außerdem müsse Präsenzunterricht in den Schulen gewährleistet werden. Begründung hierfür war die Sicherung des Kinderwohles – Dirk Streifler, Streifler & Kollegen.

Autokauf: Gebrauchtwagen – Autohaus muss auf Einsatz als Mietwagen hinweisen

19.08.2019

Wurde ein Gebrauchtwagen zuvor als Mietwagen genutzt, muss das Autohaus in seiner Werbung darauf hinweisen – BSP Rechtsanwälte – Anwalt für Zivilrecht Berlin

BGH: Kein Anspruch auf Maklerprovision bei fehlerhafter Widerrufsbelehrung – Verbraucher können Geld zurückfordern

27.01.2021

*Der BGH stellt in seinem Urteil von 26.11.2020 BGH, Az. I ZR 169/19 klar: Widerrufsbelehrungen von Maklerverträgen, welche außerhalb der Geschäftsräume des Maklers zustande kommen, müssen in Papierform übergeben werden - Anderenfalls beginnt die...

BVerfG nimmt Verfassungsbeschwerde nicht zur Entscheidung an: Laute wie "Ugah, Ugah" stellen menschenverachtende Diskriminierung dar

06.01.2021

BVerfG nimmt Verfassungsbeschwerde zu einer arbeitsrechtlichen Kündigung wegen menschenverachtender Äußerung nicht zur Entscheidung an

Cybermobbing unter Minderjährigen rechtfertigt einen Schadensersatzanspruch in Höhe von 1500 Euro

29.01.2021

Ein minderjähriges Kind, das mehrfach über soziale Netzwerke wie Facebook oder Whatsapp beleidigt wird, hat Anspruch auf Schmerzensgeld, im vorliegendem Fall, in Höhe von 1500 Euro (LG Memmingen, Urteil vom 03.02.2015 - 21 O 1761/13). Die...

Datenschutz: Vorratsdatenspeicherung in Großbritannien gekippt

23.07.2015

Der britische High Court sieht in der Vorratsdatenspeicherung auf Grundlage des britischen Notstandsgesetzes „Dripa“ einen Verstoß gegen EU-Recht.

Gesetze

Gesetze

1 Gesetze werden in diesem Text zitiert

Referenzen

Eisenbahn-Unfalluntersuchungsverordnung - EUV

Diese Verordnung dient der Umsetzung der Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates vom 29. April 2004 über Eisenbahnsicherheit in der Gemeinschaft und zur Änderung der Richtlinie 95/18/EG des Rates über die Erteilung von Genehmigungen an Eisenbahnunternehmen und der Richtlinie 2001/14/EG über die Zuweisung von Fahrwegkapazität der Eisenbahn, die Erhebung von Entgelten für die Nutzung von Eisenbahninfrastruktur und die Sicherheitsbescheinigung (ABl. EU Nr. L 164 S. 44, Nr. L 220 S. 16), zuletzt geändert durch die Richtlinie 2004/50/EG des Europäischen Parlaments und des Rates vom 29. April 2004 (ABl. EU Nr. L 164 S. 114, Nr. L 220 S. 40), sowie der Umsetzung der Richtlinie 96/48/EG des Rates über die Interoperabilität des transeuropäischen Hochgeschwindigkeitsbahnsystems vom 23. Juli 1996 (ABl. EG Nr. L 235 S. 6) und der Richtlinie 2001/16/EG des Europäischen Parlaments und des Rates über die Interoperabilität des konventionellen Eisenbahnsystems vom 19. März 2001 (ABl. EG Nr. L 110 S. 1), jeweils zuletzt geändert durch die Richtlinie 2004/50/EG des Europäischen Parlaments und des Rates vom 29. April 2004 (ABl. EU Nr. L 164 S. 114, Nr. L 220 S. 40).