Schadensersatz bei Datenschutzverstößen nach DSGVO

Schadensersatz bei Datenschutzverstößen

Ein Anspruch auf Schadensersatz bei Datenschutzverstößen ist nicht neu. Seit Inkrafttreteten der DSGVO können Betroffene aber neben einem sogenannten materiellen Schaden auch einen immateriellen Schaden ersetzt verlangen. Das ist so etwas wie Schmerzensgeld . Wir erklären Dir im Beitrag welche Voraussetzungen dafür vorliegen müssen und was die Gerichte bisher dazu gesagt haben. 

Beim Schaden kann man zwischen materiellen oder immateriellen Schäden unterscheiden. Bei einem materiellen Schaden tritt eine konkrete Vermögensminderung ein. Hier kommt es zu einem messbaren Verlust des Vermögens. Dein Vermögen ist also durch den Schaden geschrumpft. Das ist leicht zu berechnen. Aber in der Praxis kommt das aber eher selten vor. Bei einem immateriellen Schaden handelt es sich eher um eine Art Schmerzensgeld. Dann ist ein Vermögensschaden nicht messbar. Der materielle Schadensersatzanspruch ist nicht neu. Neu ist aber der Schadensersatzanspruch bei immateriellen Schäden. Knapp 3 Jahre nach dem Inkrafttreten der DSGVO, gibt es allerdings nur wenige Urteile zu dem Thema.

Schadensersatz nur bei schweren Datenschutzverstößen?

Ein immaterieller Schaden wird insbesondere durch Schmerzensgeld ausgeglichen. Der Schadensbegriff der DSGVO ist dabei sehr weit gefasst. Umfasst sind nicht nur schwerwiegende Verletzungen sondern auch leichtere Beeinträchtigungen. Die Frage dabei ist trotzdem, wie schwer ein Schaden sein muss.

Das LG Frankfurt entschied, dass ein immaterieller Schaden nicht schon bei einem bloßen Bagatellverstoß vorliegt (LG Frankfurt Urteil vom 18.09.2020, Az. 2-27 O 100/20). Auch die bloße Verletzung der DSGVO an sich führt nach Ansicht des LG Karlsruhe nicht schon zu einem Schadensersatzanspruch (LG Karlsruhe, Urteil vom 2.8.2019 – 8 O 26/19). Ob sich diese Ansicht durchsetzt bleibt spannen. In einem anderen Verfahren erteilte das Bundesverfassungsgericht dieser pauschalen Aussage eine Absage. Dabei hob das BVerfG ein Urteil des Amtsgericht Amtsgerichts Goslar vom 27. September 2019 (Az. 28 C 7/19) auf. Das Amtsgericht Goslar hatte Schadensersatz abgelehnt. Die Begründung des Gerichts: Es ist sowieso keine Schaden enstanden, weil der Verstoß nicht erheblich war. So einfach hätte es sich das Amtsgericht nicht machen dürfen, sagt das Bundesverfassungsgericht. Über die Frage der Bagatellgrenze und welche Voraussetzungen für einen Schadensersatzanspruch vorliegen müssen gibt es noch keine einheitliche Auslegung. Das Amtsgericht hätte die Frage nach Auffassung des BVerfG also dem EuGH vorlegen müssen. Das BVerfG (BVerfG Beschluss vom 14.01.20201, Az. 1 BvR 2853/19)entschied damit zwar nicht über die Voraussetzungen direkt. Es stellte aber fest, dass die “Bagatellgrenze” zumindest durch den EuGH geklärt werden muss. 

Auf die Intensität kommt es an! 

Ein wichtiger Punkt sind die Zumessungskriterien. Dabei spielen verschiedene Faktoren eine Rolle. Wie lange und wie schwer wiegt der Verstoß? Zu welchem Grad hat dein Gegenüber den Verstoß zu verschulden? Wurden Maßnahmen getroffen, die den entstandenen Schaden mindern? Diese Kriterien sind immer abhängig vom Einzelfall. Man kann quasi nie pauschal sagen, ob und wie hoch der Schadensersatzanspruch ist. Man muss es von Fall zu Fall prüfen und entscheiden. Je mehr Fälle entschieden sind, desto eher wird man aber eine rote Linie in diesem Bereich finden. Dh. man kann sich eventuell an ähnlichen Fällen orientieren. Diese Praxis kennt man schon aus dem Schmerzensgeld bei Verkehrsunfällen. Dort gibt es z.B. regelmäßig 600-800 EUR Schmerzensgeld für ein Schleudertrauma. Wir gehen davon aus, dass sich im Bereich des Schadensersatz bei Datenschutzverstößen ähnliche Schmerzensgeldtabellen etablieren. Bisher gibt es aber nur wenige Urteile und die auch nur in der ersten Instanz. 

Wer muss was beweisen?

Die Behauptung, dass ein Schaden vorliegt ist schnell aufgestellt. Ob man es beweisen kann und wer es beweisen muss ist eine andere Frage. Man spricht hier von der sogenannten Darlegungs- und Beweislast. Grundsätzlich gilt: Jeder muss die für ihn günstigen Umstände beweisen. D.h. wenn du Schadensersatz verlangst musst du den Schaden beweisen. Du musst zunächst den Verstoß und die Beeinträchtigung beweisen. Danach kommt dir eine sogenannte Beweislastumkehr zu Hilfe. Nach Art. 82 Abs. 3 DSGVO muss der Verantwortliche beweisen, dass er nicht für den Schaden verantwortlich ist. Das heißt einfach ausgedrückt: Wenn man beweisen kann, dass ein Verstoß und ein Schaden vorliegen, geht man erstmal davon aus, dass der Verantwortliche dafür auch verantwortlich ist (LG Frankfurt am Main, Urteil vom 18.09.2020 – 2-27 O 100/20).  Nichts desto trotz, Verstoß und Schaden müssen erstmal bewiesen werden und zwar durch den der Anspruch geltend macht.

Urteile zum Schadensersatz bei Datenschutzverstößen

Graue Theorie! Die Frage ist daher, was die Gerichte dazu sagen? Hier findest du eine kleine Übersicht zu aktuellen Urteilen:

  • ArbG Dresden(Urteil vom 26.08.2020 13 Ca 1046/20): 1500 EUR Schadensersatz für die unberechtigte Weitergabe von Gesundheitsdaten durch einen ehemaligen Arbeitgeber an eine Behörde zugesprochen.
  • ArbG Düsseldorf (Urteil vom 05.03.2020, 9 Ca 6557/18): 5.000 EUR Schadensersatz für eine verspätete und dazu noch falsche Auskunft nach Art. 15 DSGVO. Nach Art 15 DSGVO kann jede betroffene Person Auskunft verlangen, ob und welche Daten verarbeitet werden. Die Besonderheit in dem Fall: Der Arbeitgeber hatte die Auskünfte mehrmals verzögert und dann auch nicht vollständig erteilt.
  • ArbG Lübeck (Beschluss vom 20.06.2019) 1.000 EUR wegen des unerlaubten Hochladens eines Fotos auf Facebook. Das Gericht sah im HOchladen eine spürbare Bloßstellung des Betroffenen. 
  • LG Darmstadt (Urteil vom 26.06.2020, 13 O 244/19): 1.000,00 € für die Versendung einer Nachricht mit personenbezogenen, an den falschen Empfänger im Rahmen eines Bewerbungsverfahrens. Sollten sich solche Urteile durchsetzen, kann das massive Auswirkungen auf offene E-Mail-Verteiler haben. 
  • AG Pforzheim (Urteil vom 25.3.2020, 13 C 160/19): 4.000,00 EUR Schadensersatz wegen unerlaubter Weitergabe von Gesundheitsdaten. Hier hatte ein Psychotherapeut Gesundheitsdaten über den Ehemann seiner Patientin erhoben. Dann hatte der Therapeut die Daten im Rahmen einer familienrechtlichen Auseinandersetzung unerlaubt an Anwalt der Patientin weitergeleitet
  • ArbG Münster (Urteil vom 25.03.2021, 3 Ca 391/20): 5.000 EUR Schadensersatz wegen Verwendung eines Bildes in einem Zusammenhang der sich auf die Hautfarbe bezieht, ohne eine schriftliche Einverständniserklärung der abgebildeten Person. Die Ethnie der abgebildeten Person war auf dem Bild die zentrale Aussage.

Tabelle

Gericht, Datum Aktenzeichen

Schadensersatz

Anmerkung / Kurzbeschreibung

AG Hildesheim
Beschluss vom 05.10.2020 AZ. 43 C 145/19

800,00 EUR

Daten wurden bei Weiterverkauf eines PC ohne vorherige Löschung der Daten auf der Festplatte (vermutlich Telefonnummern, Namen und Adressen)

Es sind in der Tat noch nicht viele Urteile in diesem Bereich. Mit Sicherheit werden es aber mehr und die Tendenz ist spannend.

Fazit

Wir müssen abwarten wie es weitergeht mit Schadensersatz bei Datenschutzverstößen. Die bisherigen Urteil zeigen aber, dass man das Thema durchaus ernst nehmen muss. Damit stehen Betroffene nicht schutzlos gegenüber Unternehmen dar. Unternehmen müssen gleichzeitig den Datenschutz ernst nehmen!

Die Rechtsprechung in diesem Bereich dürfte sich auch – zumindest indirekt – auf andere Berieche auswirken. Bildveröffentlichungen sind z.B. auch ein Thema des Persönlichkeitsrechts. Da gab es bisher für eine einfache Bildveröffentlichung im privaten Bereich eher keinen Schadensersatz. Das dürfte sich nun ändern.

Auch interessant:

Nichts mehr verpassen!

Du willst auf dem Laufenden bleiben? Dann melde dich jetzt zu unserem Newsletter an. Wir informieren dich ein bis zweimal pro Monat über neue Trends, Urteile, Entscheidungen, Ratgeber und unsere Produkte und Dienstleistungen im IT-Recht.
Die Einwilligung in den Versand freiwillig. Du kannst die Einwilligung jederzeit widerrufen. Hierzu genügt eine einfache Nachricht an uns (zum Beispiel per E-Mail an redaktion@staemmler.pro oder an die im Impressum angegebenen Kontaktdaten oder wie auch immer du willst). Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzbestimmungen.

Eine Idee zu “Schadensersatz bei Datenschutzverstößen nach DSGVO

  1. Pingback: Update Datenschutz – April 2022 -

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert