Datenschutzrecht: Schadensersatz für Verstoß gegen Datenschutz-Grundverordnung

originally published: 29/08/2020 20:19, updated: 19/10/2022 17:16
Datenschutzrecht: Schadensersatz für Verstoß gegen Datenschutz-Grundverordnung
Gesetze
Anwälte, die zu passenden Rechtsgebieten beraten
Artikel zu passenden Rechtsgebieten
Author’s summaryLiegt ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) vor, so kann der Betroffene Schadensersatz verlangen. Gemäß Art. 82 DSGVO sieht die Verordnung sowohl den Ersatz materieller als auch immaterieller Schäden vor. Unentschieden ist bisher jedoch, wie weit der Begriff des immateriellen Schadens auszulegen ist und wer im Zweifel nachzuweisen hat, dass ein solcher eingetreten ist.

 

Die europäische Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; kurz: DSGVO) sieht eine Reihe von Rechten bezüglich der Datenverarbeitung von Bürgern vor. Darunter sind unter anderem das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschen (Art. 17 DSGVO – auch „Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie das Recht auf Übertragbarkeit von Daten (Art. 20 DSGVO).

Liegt ein Verstoß gegen eines dieser Rechte oder gegen die Verordnung insgesamt vor, so kann der von diesem Verstoß Betroffene gem. Art. 82 DSGVO Schadensersatz verlangen. Ersatzfähig nach dieser Vorschrift sind sowohl materielle als auch immaterielle Schäden.

Materielle Schäden sind (objektiv nachweisbare) Vermögensschäden, die auf die Verletzung der DSGVO im konkreten Fall zurückzuführen sind.

Immaterielle Schäden sind demgegenüber solche, die sich nicht in der objektiven Vermögenslage des Betroffenen widerspiegeln, sondern von nicht gegenständlicher (also immaterieller) Natur sind. Hierunter wird insbesondere die Verletzung des Persönlichkeitsrechts einer Person (als typische Folge eines Datenschutzrechtsverstoßes) gefasst.

Uneinigkeit besteht bisher darüber, wie weitreichend solche immateriellen Schäden nach der Verordnung ersatzfähig sind und wer im Prozess dafür zuständig ist, ihr Vorliegen zu beweisen (siehe dazu unten).

 

I. Voraussetzungen für das Bestehen des Schadensersatzanspruchs

Voraussetzungen für das Bestehen eines Schadensersatzanspruchs nach Art. 82 DSGVO sind zunächst,

  • - dass ein Verstoß gegen die Verordnung vorliegt,

  • - dass dieser Verstoß beim Betroffenen zu einem kausalen (materiellen oder immateriellen) Schaden geführt hat

  • - und dass der Anspruchsgegner „Verantwortlicher“ oder „Auftragsverarbeiter“ im Sinne der Vorschrift ist.

„Verantwortlicher“ im Sinne des Art. 82 I DSGVO ist nach der Begriffsbestimmung in Art. 4 Nr. 7 DSGVO jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

„Auftragsverarbeiter“ hingegen ist jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personen­bezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 14 Nr. 8 DSGVO).

 

II. Beweislastverteilung

Teilweise umstritten ist bisher, welche dieser Tatsachen von welcher Partei im Prozess bewiesen werden müssen.

Nach den allgemeinen zivilrechtlichen Beweislastregeln im deutschen Recht müssen Tatsachen immer von demjenigen vor Gericht bewiesen werden, zu dessen Gunsten sie angeführt werden.

Für den Anspruch auf Schadensersatz aus Art. 82 DSGVO würde das grundsätzlich bedeuten, dass vom Kläger/ von der Klägerin bewiesen werden muss,…

  • - dass ein Verstoß gegen die DSGVO stattgefunden hat,

  • - dass der/ die Beklagte hierfür verantwortlich war

  • - und dass dem Kläger/ der Klägerin hieraus ein kausaler Schaden entstanden ist

Zur Beweisführung bezüglich des Verstoßes gegen die DSGVO hilft dem Kläger/ der Klägerin zunächst der gem. Art. 15 DSGVO gewährte Auskunftsanspruch gegen den Verantwortlichen.  

Ist der Anspruch gegen einen „Auftragsverarbeiter“ gerichtet, so haftet dieser gem. Art. 82 II 2 DSGVO nur dann, wenn er den „speziell den Auftragsverarbeitern auferlegten Pflichten aus [der DSGVO] nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Dem Auftragsverarbeiter muss also über den Verstoß hinaus eine Pflichtverletzung nachgewiesen werden, die sich innerhalb des ihm speziell zugewiesenen Aufgabenbereichs ereignet hat. 

Ein Schadensersatzanspruch aus Art. 82 I DSGVO ist hingegen ausgeschlossen, wenn der/ die Beklagte den Verstoß gegen die DSGVO nicht zu verantworten hat bzw. diese/n kein Verschulden trifft. Dies ergibt sich schon aus dem Umkehrschluss zu Art. 82 III DSGVO, indem eine Exkulpationsmöglichkeit für den Anspruchsgegner vorgesehen ist. Sowohl der „Verantwortliche“ als auch der „Auftragsverarbeiter“ können sich exkulpieren, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind. 

Das Vorliegen von Verschulden wird jedoch gem. Art. 82 III DSGVOwiderleglich vermutet. Das bedeutet, dass im Prozess solange von einem Verschulden des Verantwortlichen oder Auftragsverarbeiters ausgegangen wird, bis dieser das Gegenteil beweist. Der Kläger/ die Klägerin muss das Verschulden des Klagegegners somit nicht nachweisen. 

Teilweise wird sogar eine vollumfassende Beweislastumkehr zugunsten des Klägers/ der Klägerin bezüglich der Tatbestandsvoraussetzungen des Anspruchs diskutiert. Diese ergebe sich aus der allgemeinen Rechenschaftspflicht der Verantwortlichen aus Art. 5 II sowie Art. 24 I DSGVO. Nach anderer Ansicht handelt es sich hierbei jedoch nur um eine Nachweispflicht gegenüber den Datenschutzbehörden (Wybitul, NJW 2019, 3265, 3268). Hierfür spreche auch der Erwägungsgrund 82 der Verordnung, indem die Rechenschaftspflicht umschrieben und damit in Zusammenhang gesetzt wird, dass die Verantwortlichen dazu verpflichtet sein sollten, mit der zuständigen Aufsichtsbehörde zusammen zu arbeiten, um Verstöße zu minimieren.

Für dieses Ergebnis spricht auch ein Umkehrschluss aus Art. 82 III DSGVO. Wäre der Verordnungsgeber davon ausgegangen, dass hinsichtlich aller Tatbestandsmerkmale eine Beweislastumkehr zugunsten des Klägers/ der Klägerin vorgesehen ist, hätte er diese nicht „zusätzlich“ und isoliert nur für die Voraussetzung des Verschuldens in Art. 82 III DSGVO geregelt.

Es ist wohl also davon auszugehen, dass die allgemeinen Beweislastregeln des deutschen Zivilrechts Anwendung finden und lediglich das Verschulden im Rahmen des Tatbestands von Art. 82 DSGVO vermutet wird. Hinsichtlich des sonst recht „voraussetzungsarmen“ Tatbestands von Art. 82 DSGVO könnte es sonst zu einer Ausuferung der Haftung kommen.

Somit hat der Kläger/ die Klägerin grundsätzlich das auch das Vorliegen eines kausal auf dem Verstoß beruhenden Schadens nachzuweisen.

Gelingt dem Kläger die Beweisführung, so sind ihm alle materiellen und immateriellen Schäden zu ersetzen.

 

III. Bagatellschwelle für immaterielle Schäden

Problematisch und daher umstritten ist jedoch, inwieweit das Vorliegen eines immateriellen Schadens vom Kläger/ der Klägerin nachzuweisen und dann auch ersatzfähig ist. Die Verordnung selbst gibt dazu keine zwingende Regelung vor.

Eine sehr weite Interpretation des Schadensbegriffs geht davon aus, dass ein immaterieller Schaden bereits mit dem Verstoß gegen die DSGVO als vorliegend anzusehen ist. Hierfür spricht die effektive Durchsetzung der Verordnung und der damit verbundene Wirksamkeitsgrundsatz (effet utile) hinsichtlich des Unionsrechts (Art. 4 III EUV). Der Europäische Gerichtshof hatte bereits in seinen Entscheidungen betont, dass die Gewährung von Schadensersatz im Lichte des Wirksamkeitsgrundsatzes durchaus auch „abschreckende Wirkung“ haben sollte. Ein solch punitiver Schadensersatz („Strafschadensersatz“) ist dem deutschen Recht jedoch fremd. Der deutschen Schadensersatzdogmatik liegt vielmehr der Grundsatz der Naturalrestitution zugrunde. Das bedeutet, dass dem Geschädigten bei Bestehen eines Schadensersatzanspruches nicht mehr und nicht weniger als das zu ersetzen ist, was ihm tatsächlich durch das schädigende Ereignis verlustig gegangen ist. Eine darüber hinaus gehende „strafende“ Wirkung bzw. das Verhängen von darüber hinaus gehenden Sanktionen ist hierzulande dem Strafrecht, welches in der Regel unter strengeren Voraussetzungen greift, vorbehalten.

Der weiten Schadensbegriffsauslegung ist auch das hohe Missbrauchspotential entgegenzusetzen, dass sich dadurch verwirklichen könnte, dass es zu einer kommerziellen Geltendmachung von Ansprüchen nach Art. 82 I DSGVO kommen könnte. Dem müsse jedenfalls dadurch ein Riegel vorgeschoben werden, dass nur ein tatsächlich vorliegender (wenn auch nicht-gegenständlicher) Schaden eingetreten sein muss. So sieht es bisher auch die Rechtsprechung der deutschen Gerichte, die eine eher zurückhaltende Auslegung des Schadensbegriffs in Art. 82 I DSGVO vornehmen.

Es muss also durch den Verstoß beim Betroffenen zu einer konkreten Verletzung des Persönlichkeitsrechts bekommen sein.

Teilweise wird bereits in der Rechtsprechung von einer Bagatellschwelle oder auch Erheblichkeitsschwelle ausgegangen. Die Verletzung des Persönlichkeitsrechts des Betroffenen dürfe also nicht „bloß unbedeutend“ oder nur „empfunden“ sein (AG Diez, ZD 2019, 85). Es seien „nachvollziehbare Beeinträchtigungen zu fordern, die ein gewisses Gewicht erreicht haben müssen“.

Hierfür spricht insbesondere, dass der Schadensersatzanspruch von wenigen Voraussetzungen abhängt und wohl auf der Ebene des Schadens einer Ausuferung der Ersatzpflicht entgegengewirkt werden muss.

Auch wird der Erwägungsgrund 85 der Verordnung als Argument herangezogen, der beispielhaft einige als ersatzfähig angesehene (immaterielle) Schäden aufzählt.

Nach Erwägungsgrund 85 sind ersatzfähige immaterielle Schäden wohl:

  • - Verlust der Kontrolle über personenbezogene Daten

  • - Einschränkung der eigenen Rechte über die Daten

  • - Diskriminierung

  • - Identitätsdiebstahl oder -betrug

  • - Finanzielle Verluste

  • - Unbefugte Aufhebung der Pseudonymisierung

  • - Rufschädigung

  • - Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten

  • - Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene Person

Im Einklang mit dieser beispielhaften Aufzählung wird eine gewisse Erheblichkeitsschwelle für die Ersatzfähigkeit eines Schadens angenommen.

Zu beachten ist aber, dass es sich gerade nicht um eine Aufzählung von Regelbeispielen im Rahmen der gesetzlichen Regelung handelt, sondern um eine Ausführung zur Zielsetzung der Verordnung – also in ihren Erwägungsgründen. Es handelt sich somit weder um eine abschließende Aufzählung von immateriellen Schäden, noch um eine vom Verordnungsgeber als zwingend vorgegebene Regelung, an die sich die entscheidenden Gerichte zu halten haben. Diese Ausführungen können lediglich bei der Interpretation der Verordnung zu Rate gezogen werden.

Nach dem OLG Dresden sollen Bagatellschäden aber dennoch ersatzfähig sein, wenn diese Ausdruck einer bewussten, rechtswidrigen und weitreichend betriebenen Kommerzialisierung von Datenschutzverstößen seien. Hiermit solle dem Wirksamkeitsgrundsatz Rechnung getragen werden (OLG Dresden, 4 U 760/19).

 

IV. Beispiele aus der Rechtsprechung 

 

Fundstelle  Verstoß Höhe des Schadensersatzes

LG Feldkirch, Beschl. v. 7.8.2019 – 57 Cg 30/19b – 15 (Österreich)

(Berufung beim OLG Innsbruck anhängig)

Ermittlung und Speicherung von Daten des Klägers ohne dessen Einwilligung 800€

Rechtbank Amsterdam, Urt. v. 2.9.2019 – 7560515 CV EXPL 19-4611  (Niederlande)

Unbefugte Offenlegung von Gesundheitsdaten  250€
AG Bochum, Beschl. v. 11.3.2019 – 65 C 485/18 Unverschlüsselt verschickte E-Mail
0€
(weil weder dargelegt noch ersichtlich war, dass Dritten personenbezogene Daten bekannt geworden waren)


 

V. Fazit & Ausblick

Für die Bestimmung des immateriellen Schadensbegriffs wird abzuwarten sein, welche Rechtsprechung sich durchsetzt – ggf. auch unter Anrufung des EuGH in einem entsprechenden Vorabentscheidungsverfahren (Art. 267 AEUV).

Es dürfte feststehen, dass zumindest zwischen einem Verstoß gegen die Verordnung und einem tatsächlich bestehenden Schaden unterschieden werden muss. Ein „automatischer“ Rückschluss vom Verstoß auf den Schaden ist wohl aufgrund der klaren Differenzierung der Voraussetzungen im Rahmen der Verordnung nicht zulässig.

Fraglich ist aber weiterhin, ob sich eine Bagatellschwelle tatsächlich durchzusetzen vermag – gerade hinsichtlich des Wirksamkeitsgrundsatzes und eben auch der vom EuGH gewünschten „abschreckenden“ Wirkung von Schadensersatz könnte dies problematisch sein. Eine derartige Einschränkung nur aufgrund eines (angeblich bestehenden) Missbrauchspotentials vorzunehmen, erscheint mehr als stark rechtspolitisch gefärbte Entscheidung als einer, die der Erreichung der Zielsetzung der DSGVO zu dienen vermag.

Im Ergebnis wird es wohl auf eine Entscheidung im jeweiligen Einzelfall ankommen und darauf, inwieweit das Vorliegen eines immateriellen Schadens durch die Kläger/innen hierzulande überzeugend dargelegt werden kann.

Show what you know!
1 Gesetze

{{count_recursive}} Gesetze werden in diesem Text zitiert
1 Anwälte, die zu passenden Rechtsgebieten beraten


Wirtschaftsrecht / Existenzgründung / Insolvenzrecht / Gesellschaftsrecht / Strafrecht
Languages
EN, DE
Anwälte der Kanzlei die zu Europarecht beraten
64 Artikel zu passenden Rechtsgebieten

moreResultsText

01/12/2022 14:30

"Facebook-Konten im Hackerforum für jeden öffentlich zugänglich!" Diese Nachricht schockierte im letzten Jahr Millionen Facebook-Nutzer. Nun hat ein deutsches Gericht zu Gunsten eines Betroffenen geurteilt und sprach diesen 1000 Euro immateriellen Schadensersatz zu. Möglich ist das auf Grundlage von Art. 82 DGSVO, der einen Schadensersatzanspruch im Falle der Verletzung des Schutzes personenbezogener Daten normiert.  Neues Urteil: Das Landgericht Paderborn hat mit Urteil vom 13.12.2022 entschieden, dass Facebook 500 Euro an einem, vom Datenleck betroffenen Facebook-Nutzer zahlen muss. Es ist bereits das zweite deutsche Gericht, dass Facebook zur Zahlung eines immateriellen Schadensersatzes wegen Verstoßes gegen die DSGVO verurteilt hat.   Weitere Urteile werden erwartet!   Sollten Sie ein Facebook-Konto seit 2021 oder länger besitzen, ist die Wahrscheinlichkeit groß, dass auch Sie Opfer des Datenlecks geworden sind. In diesem Fall steht Ihnen ein Schadensersatz zu. Nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten.
13/06/2018 13:22

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich – BSP Rechtsnanwälte – Anwalt für Internetrecht Berlin
23/12/2011 09:11

§ 13 I TMG schützt allein überindividuelle Belange, nicht aber Interessen einzelner Wettbewerber - KG vom 29.04.11 - Az: 5 W 88/11
09/07/2015 10:42

Der Bundesgerichtshof (BGH) äußert sich zur unzulässigen Datenerhebung bei Minderjährigen.
Artikel zu Datenschutzrecht
15/08/2020 10:38

Zum Wohle des Verbraucherschutzes muss eine Widerrufsbelehrung bei Vertragsschluss in klarer und prägnanter Form erfolgen. Nach einer Entscheidung durch den Europäischen Gerichtshof steht nun fest: Dies schließt es aus, dass innerhalb der Widerrufsbelehrung auf Rechtsnormen verwiesen wird, die unter Umständen wiederum Verweisungen enthalten. Zu den klar anzugebenen Informationen gehören auch die Modalitäten für die Berechnung der Widerrufsfrist – Streifler & Kollegen Rechtsanwälte – Anwalt für Verbraucherrecht Berlin
19/03/2021 13:26

Keine Woche vergeht ohne neue Gesetzesentwürfe, Urteile oder politischen Debatten, die in die Welt gerufen werden. Der wöchentliche Podcast der FAZ „FAZ Einspruch“ erklärt uns die rechtlichen Hintergründe dieser Themen, die notwendig sind, um diese überhaupt vollends erfassen zu können. Der Podcast ist perfekt für lange Fahrten unterwegs oder einfach für zwischendurch – Dirk Streifler, Streifler & Kollegen, Anwalt
12/06/2020 08:59

Konstruierter Fall Das Urteil ist bis heute umstritten und sorgte schon damals für großes Aufsehen. Nicht zuletzt da es sich hierbei um einen konstruierten Fall handelte, bei dem das Arbeitsgericht die Möglichkeit bekommen sollte, den § 14 Absatz 2
Artikel zu Europarecht
04/07/2017 11:13

Im Zuge des "VW-Skandals" oder auch "Dieselskandals" wurde offenbar, dass der Volkswagen-Konzern jahrelang Dieselfahrzeuge mithilfe einer Software so veränderte, dass sie die Abgasgrenzwerte nur auf dem Prüfstand einhalten, auf der Straße jedoch erheblich mehr Schadstoffe ausstoßen. Etwa elf Millionen Fahrzeuge weltweit sind von der Manipulation betroffen. Seit Januar 2016 werden in Deutschland die betroffenen Autos in die Werkstätten zurückgerufen. Betroffen sind jedoch schon längst nicht mehr nur Fahrzeuge der Marke "Volkswagen".
05/01/2021 17:25

Der Versuch einer innerfamiliären Kontaktaufnahme, welche sich auf drei Anrufe sowie drei Whatsapp-Nachrichten in drei Wochen beschränkt, begründet keinen Unterlassungsanspruch.  Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin Was
04/05/2007 13:45

Rechtsberatung zum Schadensersatzrecht - BSP Rechtsanwälte Berlin Mitte
SubjectsZivilrecht
18/04/2021 20:02

Der Mietendeckel wurde gekippt. Darüber entschied das Bundesverfassungsgericht am 15. April 2021. Letztlich entschied er aber nicht über den Inhalt der von der rot-grünen Landesregierung getroffenen Regelungen, sondern stellte klar, dass das Land Berlin in der Sache nicht zuständig sei. In Ermangelung der Gesetzgebungskompetenz Berlins sei der Mietendeckel verfassungswidrig – Streifler & Kollegen, Anwalt für Zivilrecht.
Artikel zu Zivilrecht