Datenschutzrecht: Schadensersatz für Verstoß gegen Datenschutz-Grundverordnung

bei uns veröffentlicht am29.08.2020

Autoren

Rechtsanwalt Dirk Streifler - Partner

EnglischDeutsch
Zusammenfassung des Autors
Liegt ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) vor, so kann der Betroffene Schadensersatz verlangen. Gemäß Art. 82 DSGVO sieht die Verordnung sowohl den Ersatz materieller als auch immaterieller Schäden vor. Unentschieden ist bisher jedoch, wie weit der Begriff des immateriellen Schadens auszulegen ist und wer im Zweifel nachzuweisen hat, dass ein solcher eingetreten ist.

 

Die europäische Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; kurz: DSGVO) sieht eine Reihe von Rechten bezüglich der Datenverarbeitung von Bürgern vor. Darunter sind unter anderem das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschen (Art. 17 DSGVO – auch „Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie das Recht auf Übertragbarkeit von Daten (Art. 20 DSGVO).

Liegt ein Verstoß gegen eines dieser Rechte oder gegen die Verordnung insgesamt vor, so kann der von diesem Verstoß Betroffene gem. Art. 82 DSGVO Schadensersatz verlangen. Ersatzfähig nach dieser Vorschrift sind sowohl materielle als auch immaterielle Schäden.

Materielle Schäden sind (objektiv nachweisbare) Vermögensschäden, die auf die Verletzung der DSGVO im konkreten Fall zurückzuführen sind.

Immaterielle Schäden sind demgegenüber solche, die sich nicht in der objektiven Vermögenslage des Betroffenen widerspiegeln, sondern von nicht gegenständlicher (also immaterieller) Natur sind. Hierunter wird insbesondere die Verletzung des Persönlichkeitsrechts einer Person (als typische Folge eines Datenschutzrechtsverstoßes) gefasst.

Uneinigkeit besteht bisher darüber, wie weitreichend solche immateriellen Schäden nach der Verordnung ersatzfähig sind und wer im Prozess dafür zuständig ist, ihr Vorliegen zu beweisen (siehe dazu unten).

 

I. Voraussetzungen für das Bestehen des Schadensersatzanspruchs

Voraussetzungen für das Bestehen eines Schadensersatzanspruchs nach Art. 82 DSGVO sind zunächst,

  • - dass ein Verstoß gegen die Verordnung vorliegt,

  • - dass dieser Verstoß beim Betroffenen zu einem kausalen (materiellen oder immateriellen) Schaden geführt hat

  • - und dass der Anspruchsgegner „Verantwortlicher“ oder „Auftragsverarbeiter“ im Sinne der Vorschrift ist.

„Verantwortlicher“ im Sinne des Art. 82 I DSGVO ist nach der Begriffsbestimmung in Art. 4 Nr. 7 DSGVO jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

„Auftragsverarbeiter“ hingegen ist jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personen­bezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 14 Nr. 8 DSGVO).

 

II. Beweislastverteilung

Teilweise umstritten ist bisher, welche dieser Tatsachen von welcher Partei im Prozess bewiesen werden müssen.

Nach den allgemeinen zivilrechtlichen Beweislastregeln im deutschen Recht müssen Tatsachen immer von demjenigen vor Gericht bewiesen werden, zu dessen Gunsten sie angeführt werden.

Für den Anspruch auf Schadensersatz aus Art. 82 DSGVO würde das grundsätzlich bedeuten, dass vom Kläger/ von der Klägerin bewiesen werden muss,…

  • - dass ein Verstoß gegen die DSGVO stattgefunden hat,

  • - dass der/ die Beklagte hierfür verantwortlich war

  • - und dass dem Kläger/ der Klägerin hieraus ein kausaler Schaden entstanden ist

Zur Beweisführung bezüglich des Verstoßes gegen die DSGVO hilft dem Kläger/ der Klägerin zunächst der gem. Art. 15 DSGVO gewährte Auskunftsanspruch gegen den Verantwortlichen.  

Ist der Anspruch gegen einen „Auftragsverarbeiter“ gerichtet, so haftet dieser gem. Art. 82 II 2 DSGVO nur dann, wenn er den „speziell den Auftragsverarbeitern auferlegten Pflichten aus [der DSGVO] nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Dem Auftragsverarbeiter muss also über den Verstoß hinaus eine Pflichtverletzung nachgewiesen werden, die sich innerhalb des ihm speziell zugewiesenen Aufgabenbereichs ereignet hat. 

Ein Schadensersatzanspruch aus Art. 82 I DSGVO ist hingegen ausgeschlossen, wenn der/ die Beklagte den Verstoß gegen die DSGVO nicht zu verantworten hat bzw. diese/n kein Verschulden trifft. Dies ergibt sich schon aus dem Umkehrschluss zu Art. 82 III DSGVO, indem eine Exkulpationsmöglichkeit für den Anspruchsgegner vorgesehen ist. Sowohl der „Verantwortliche“ als auch der „Auftragsverarbeiter“ können sich exkulpieren, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind. 

Das Vorliegen von Verschulden wird jedoch gem. Art. 82 III DSGVOwiderleglich vermutet. Das bedeutet, dass im Prozess solange von einem Verschulden des Verantwortlichen oder Auftragsverarbeiters ausgegangen wird, bis dieser das Gegenteil beweist. Der Kläger/ die Klägerin muss das Verschulden des Klagegegners somit nicht nachweisen. 

Teilweise wird sogar eine vollumfassende Beweislastumkehr zugunsten des Klägers/ der Klägerin bezüglich der Tatbestandsvoraussetzungen des Anspruchs diskutiert. Diese ergebe sich aus der allgemeinen Rechenschaftspflicht der Verantwortlichen aus Art. 5 II sowie Art. 24 I DSGVO. Nach anderer Ansicht handelt es sich hierbei jedoch nur um eine Nachweispflicht gegenüber den Datenschutzbehörden (Wybitul, NJW 2019, 3265, 3268). Hierfür spreche auch der Erwägungsgrund 82 der Verordnung, indem die Rechenschaftspflicht umschrieben und damit in Zusammenhang gesetzt wird, dass die Verantwortlichen dazu verpflichtet sein sollten, mit der zuständigen Aufsichtsbehörde zusammen zu arbeiten, um Verstöße zu minimieren.

Für dieses Ergebnis spricht auch ein Umkehrschluss aus Art. 82 III DSGVO. Wäre der Verordnungsgeber davon ausgegangen, dass hinsichtlich aller Tatbestandsmerkmale eine Beweislastumkehr zugunsten des Klägers/ der Klägerin vorgesehen ist, hätte er diese nicht „zusätzlich“ und isoliert nur für die Voraussetzung des Verschuldens in Art. 82 III DSGVO geregelt.

Es ist wohl also davon auszugehen, dass die allgemeinen Beweislastregeln des deutschen Zivilrechts Anwendung finden und lediglich das Verschulden im Rahmen des Tatbestands von Art. 82 DSGVO vermutet wird. Hinsichtlich des sonst recht „voraussetzungsarmen“ Tatbestands von Art. 82 DSGVO könnte es sonst zu einer Ausuferung der Haftung kommen.

Somit hat der Kläger/ die Klägerin grundsätzlich das auch das Vorliegen eines kausal auf dem Verstoß beruhenden Schadens nachzuweisen.

Gelingt dem Kläger die Beweisführung, so sind ihm alle materiellen und immateriellen Schäden zu ersetzen.

 

III. Bagatellschwelle für immaterielle Schäden

Problematisch und daher umstritten ist jedoch, inwieweit das Vorliegen eines immateriellen Schadens vom Kläger/ der Klägerin nachzuweisen und dann auch ersatzfähig ist. Die Verordnung selbst gibt dazu keine zwingende Regelung vor.

Eine sehr weite Interpretation des Schadensbegriffs geht davon aus, dass ein immaterieller Schaden bereits mit dem Verstoß gegen die DSGVO als vorliegend anzusehen ist. Hierfür spricht die effektive Durchsetzung der Verordnung und der damit verbundene Wirksamkeitsgrundsatz (effet utile) hinsichtlich des Unionsrechts (Art. 4 III EUV). Der Europäische Gerichtshof hatte bereits in seinen Entscheidungen betont, dass die Gewährung von Schadensersatz im Lichte des Wirksamkeitsgrundsatzes durchaus auch „abschreckende Wirkung“ haben sollte. Ein solch punitiver Schadensersatz („Strafschadensersatz“) ist dem deutschen Recht jedoch fremd. Der deutschen Schadensersatzdogmatik liegt vielmehr der Grundsatz der Naturalrestitution zugrunde. Das bedeutet, dass dem Geschädigten bei Bestehen eines Schadensersatzanspruches nicht mehr und nicht weniger als das zu ersetzen ist, was ihm tatsächlich durch das schädigende Ereignis verlustig gegangen ist. Eine darüber hinaus gehende „strafende“ Wirkung bzw. das Verhängen von darüber hinaus gehenden Sanktionen ist hierzulande dem Strafrecht, welches in der Regel unter strengeren Voraussetzungen greift, vorbehalten.

Der weiten Schadensbegriffsauslegung ist auch das hohe Missbrauchspotential entgegenzusetzen, dass sich dadurch verwirklichen könnte, dass es zu einer kommerziellen Geltendmachung von Ansprüchen nach Art. 82 I DSGVO kommen könnte. Dem müsse jedenfalls dadurch ein Riegel vorgeschoben werden, dass nur ein tatsächlich vorliegender (wenn auch nicht-gegenständlicher) Schaden eingetreten sein muss. So sieht es bisher auch die Rechtsprechung der deutschen Gerichte, die eine eher zurückhaltende Auslegung des Schadensbegriffs in Art. 82 I DSGVO vornehmen.

Es muss also durch den Verstoß beim Betroffenen zu einer konkreten Verletzung des Persönlichkeitsrechts bekommen sein.

Teilweise wird bereits in der Rechtsprechung von einer Bagatellschwelle oder auch Erheblichkeitsschwelle ausgegangen. Die Verletzung des Persönlichkeitsrechts des Betroffenen dürfe also nicht „bloß unbedeutend“ oder nur „empfunden“ sein (AG Diez, ZD 2019, 85). Es seien „nachvollziehbare Beeinträchtigungen zu fordern, die ein gewisses Gewicht erreicht haben müssen“.

Hierfür spricht insbesondere, dass der Schadensersatzanspruch von wenigen Voraussetzungen abhängt und wohl auf der Ebene des Schadens einer Ausuferung der Ersatzpflicht entgegengewirkt werden muss.

Auch wird der Erwägungsgrund 85 der Verordnung als Argument herangezogen, der beispielhaft einige als ersatzfähig angesehene (immaterielle) Schäden aufzählt.

Nach Erwägungsgrund 85 sind ersatzfähige immaterielle Schäden wohl:

  • - Verlust der Kontrolle über personenbezogene Daten

  • - Einschränkung der eigenen Rechte über die Daten

  • - Diskriminierung

  • - Identitätsdiebstahl oder -betrug

  • - Finanzielle Verluste

  • - Unbefugte Aufhebung der Pseudonymisierung

  • - Rufschädigung

  • - Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten

  • - Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene Person

Im Einklang mit dieser beispielhaften Aufzählung wird eine gewisse Erheblichkeitsschwelle für die Ersatzfähigkeit eines Schadens angenommen.

Zu beachten ist aber, dass es sich gerade nicht um eine Aufzählung von Regelbeispielen im Rahmen der gesetzlichen Regelung handelt, sondern um eine Ausführung zur Zielsetzung der Verordnung – also in ihren Erwägungsgründen. Es handelt sich somit weder um eine abschließende Aufzählung von immateriellen Schäden, noch um eine vom Verordnungsgeber als zwingend vorgegebene Regelung, an die sich die entscheidenden Gerichte zu halten haben. Diese Ausführungen können lediglich bei der Interpretation der Verordnung zu Rate gezogen werden.

Nach dem OLG Dresden sollen Bagatellschäden aber dennoch ersatzfähig sein, wenn diese Ausdruck einer bewussten, rechtswidrigen und weitreichend betriebenen Kommerzialisierung von Datenschutzverstößen seien. Hiermit solle dem Wirksamkeitsgrundsatz Rechnung getragen werden (OLG Dresden, 4 U 760/19).

 

IV. Beispiele aus der Rechtsprechung 

 

Fundstelle  Verstoß Höhe des Schadensersatzes

LG Feldkirch, Beschl. v. 7.8.2019 – 57 Cg 30/19b – 15 (Österreich)

(Berufung beim OLG Innsbruck anhängig)

Ermittlung und Speicherung von Daten des Klägers ohne dessen Einwilligung 800€

Rechtbank Amsterdam, Urt. v. 2.9.2019 – 7560515 CV EXPL 19-4611  (Niederlande)

Unbefugte Offenlegung von Gesundheitsdaten  250€
AG Bochum, Beschl. v. 11.3.2019 – 65 C 485/18 Unverschlüsselt verschickte E-Mail
0€
(weil weder dargelegt noch ersichtlich war, dass Dritten personenbezogene Daten bekannt geworden waren)


 

V. Fazit & Ausblick

Für die Bestimmung des immateriellen Schadensbegriffs wird abzuwarten sein, welche Rechtsprechung sich durchsetzt – ggf. auch unter Anrufung des EuGH in einem entsprechenden Vorabentscheidungsverfahren (Art. 267 AEUV).

Es dürfte feststehen, dass zumindest zwischen einem Verstoß gegen die Verordnung und einem tatsächlich bestehenden Schaden unterschieden werden muss. Ein „automatischer“ Rückschluss vom Verstoß auf den Schaden ist wohl aufgrund der klaren Differenzierung der Voraussetzungen im Rahmen der Verordnung nicht zulässig.

Fraglich ist aber weiterhin, ob sich eine Bagatellschwelle tatsächlich durchzusetzen vermag – gerade hinsichtlich des Wirksamkeitsgrundsatzes und eben auch der vom EuGH gewünschten „abschreckenden“ Wirkung von Schadensersatz könnte dies problematisch sein. Eine derartige Einschränkung nur aufgrund eines (angeblich bestehenden) Missbrauchspotentials vorzunehmen, erscheint mehr als stark rechtspolitisch gefärbte Entscheidung als einer, die der Erreichung der Zielsetzung der DSGVO zu dienen vermag.

Im Ergebnis wird es wohl auf eine Entscheidung im jeweiligen Einzelfall ankommen und darauf, inwieweit das Vorliegen eines immateriellen Schadens durch die Kläger/innen hierzulande überzeugend dargelegt werden kann.

Gesetze

Gesetze

1 Gesetze werden in diesem Text zitiert

Anwälte der Kanzlei die zu passenden Rechtsgebieten beraten

Anwälte der Kanzlei die zu Zivilrecht beraten

Rechtsanwältin

Dikigoros - griechische Rechtsanwältin - und Mediatorin Vasiliki Siochou


Familienrecht - Erbrecht - Immobilienrecht - griechisches Recht - Mediation
EnglischGriechisch 1 mehr anzeigen
Anwälte der Kanzlei die zu Europarecht beraten

Rechtsanwalt Dirk Streifler - Partner


Wirtschaftsrecht / Existenzgründung / Insolvenzrecht / Gesellschaftsrecht / Strafrecht
EnglischDeutsch

Artikel zu passenden Rechtsgebieten

Artikel zu Zivilrecht

BGH: Mietzahlungspflicht trotz coronabedingter Absage einer Hochzeitsfeier

07.09.2022

Muss ein Termin für eine Hochzeitsfeier, aufgrund von Corona-Maßnahmen, abgesagt werden, hat das Brautpaar keinen Anspruch auf Anpassung des Mietvertrages. Das gilt, sofern die Räume dem Brautpaar weiterhin zur Verfügung stehen und keine weiteren Gründe vorliegen, weshalb das Festhalten am Vertrag für das Paar unzumutbar ist. Im vorliegenden Fall hatten die Kläger die Möglichkeit, die Feier auf einen anderen Tag zu verlegen. Streifler&Kollegen - Rechtsanwälte Berlin

Sportrecht

10.12.2010

Anwalt für Sportrecht - BSP Anwälte in Berlin Mitte

Schadensersatzrecht

04.05.2007

Rechtsberatung zum Schadensersatzrecht - BSP Rechtsanwälte Berlin Mitte

Abgas-Skandal: Nun auch Fahrzeuge von "Mercedes Benz" betroffen?

15.06.2020

Nachdem schon vor einigen Jahren bekannt gemacht wurde, dass in Fahrzeugen der Marken "Volkswagen" bzw. "Audi", "Porsche", "Seat" und "Skoda" teilweise illegale Abschaltvorrichtungen im Sinne des Art. 5 II i.V.m. Art. 3 Nr. 10 der Verordnung (EG) Nr. 715/2007 verbaut wurden, steht diese sittenwidrige Schädigungshandlung nun auch für den Herstellerkonzern "Daimler" und die hierunter prominent auftretende Marke "Mercedes Benz" in Frage - Streifler & Kollegen Rechtsanwälte - Anwalt für Zivilrecht Berlin

Nachbarrecht: Illegaler Carport muss entfernt werden

31.08.2019

Ein ohne die erforderliche Zustimmung der Miteigentümer errichteter Carport muss wieder abgerissen werden – BSP Rechtsanwälte – Anwalt für privates Baurecht Berlin
Artikel zu Europarecht

FAZ Einspruch – Der wöchentliche Podcast für Recht, Justiz und Politik

19.03.2021

Keine Woche vergeht ohne neue Gesetzesentwürfe, Urteile oder politischen Debatten, die in die Welt gerufen werden. Der wöchentliche Podcast der FAZ „FAZ Einspruch“ erklärt uns die rechtlichen Hintergründe dieser Themen, die notwendig sind, um diese überhaupt vollends erfassen zu können. Der Podcast ist perfekt für lange Fahrten unterwegs oder einfach für zwischendurch – Dirk Streifler, Streifler & Kollegen, Anwalt

Verbraucherrecht: Widerrufsbelehrung mit Verweisung auf Rechtsvorschriften ungültig

15.08.2020

Zum Wohle des Verbraucherschutzes muss eine Widerrufsbelehrung bei Vertragsschluss in klarer und prägnanter Form erfolgen. Nach einer Entscheidung durch den Europäischen Gerichtshof steht nun fest: Dies schließt es aus, dass innerhalb der Widerrufsbelehrung auf Rechtsnormen verwiesen wird, die unter Umständen wiederum Verweisungen enthalten. Zu den klar anzugebenen Informationen gehören auch die Modalitäten für die Berechnung der Widerrufsfrist – Streifler & Kollegen Rechtsanwälte – Anwalt für Verbraucherrecht Berlin

"Mangold - Rechtsprechung" - Verbot der Altersdiskriminierung als Bestandteil des Primärrechts

12.06.2020

Konstruierter Fall Das Urteil ist bis heute umstritten und sorgte schon damals für großes Aufsehen. Nicht zuletzt da es sich hierbei um einen konstruierten Fall handelte, bei dem das Arbeitsgericht die Möglichkeit bekommen sollte, den § 14 Absatz 2
Artikel zu Datenschutzrecht

Metaverse – rechtlich unbedingt zu beachten!

25.08.2022

Metaverse – rechtlich unbedingt zu beachten! Was erwartet uns? Ein rechtsfreier Raum, wie es das Internet einst war? Wohl kaum. Denn das Metaverse setzt voraus, dass es einen Giganten gibt, der den Raum baut (programmiert) und zur Verfügung stell

IT-Recht & Urheberrecht: Schadensersatzpflicht wegen Teilnahme an einer Internet-Tauschbörse

09.07.2015

Der BGH hat sich u.a. damit befasst, in welchem Umfang Eltern ihre minderjährigen Kinder über die Benutzung von Internet-Tauschbörsen belehren und eine Teilnahme verbieten müssen.

Datenschutz: Vorratsdatenspeicherung in Großbritannien gekippt

23.07.2015

Der britische High Court sieht in der Vorratsdatenspeicherung auf Grundlage des britischen Notstandsgesetzes „Dripa“ einen Verstoß gegen EU-Recht.

Datenschutzrichtlinie

16.02.2011

notwendige Inhalte für die Datenschutzrichtlinie - Rechtsberatung zum Internetrecht - S&K Rechtsanwälte Berlin

Datenschutzrecht: Cookie-Ein­wil­li­gung muss aktiv ange­kreuzt werden

12.06.2020

Ein vorangekreuztes Kästchen im Feld zur Cookie-Einwilligung benachteiligt den Nutzer unangemessen!  Der BGH entschied am 28. Mai 2020, dass derjenige, der Cookies auf Internetseiten benutzen möchte, in jedem Fall die aktive Zustimmung des Nutzers einholen müsse. Damit hat der BGH auch sogenannte Cookie-Banner für unrechtmäßig erklärt, wenn diese nur „weggeklickt“ werden müssen, um die Seite einfach weiter benutzen zu können.