Zum Inhalt springen Zur Navigation springen
Überblick über das Schadensersatzrecht der DSGVO

Überblick über das Schadensersatzrecht der DSGVO

Artikel von Dr. Datenschutz·2. März 2023

Schadensersatzansprüche werden immer relevanter in der Welt des Datenschutzes. Die Häufigkeit der Klagen von Privatpersonen gegen Unternehmen wegen vermeintlicher Persönlichkeitsrechtsverletzungen durch einen Verstoß gegen die DSGVO steigt stetig. Prominentestes und aktuelles Beispiel sind sicherlich die Abmahnungen wegen dem Einsatz von Google Fonts auf Websites. Im Folgenden soll ein kurzer Überblick über den einschlägigen Anspruch verschafft werden.

Voraussetzungen des Schadensersatzanspruchs

Zunächst zur wesentlichen Vorschrift in diesem Kontext, Art. 82 DSGVO. Hier heißt es in Absatz 1:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Aus dieser Formulierung lassen sich Voraussetzungen ableiten, die erfüllt werden müssen, um einen Schadenersatz überhaupt zu begründen.

Betrachtet man diese, so wird an einigen Punkten deutlich, dass vor allem im Bereich des Schadenersatzes Deutsche und Europäische Rechtsprechung in einigen Grundsätzen kollidieren.

Betroffene Person

Zunächst muss die Person, die den Anspruch geltend macht, eine betroffene Person im Sinne des Art. 4 DSGVO sein. Hier ist umstritten, ob auch Dritte einen solchen Anspruch geltend machen können. Nach Ansicht des BAG seien nur Betroffene Adressaten des Art. 82 DSGVO und auch im Satz 6 des Erwägungsgrund 146 der DSGVO wird ausdrücklich vom Betroffenen gesprochen. Andere Stimmen aus der Literatur sprechen vereinzelt auch Dritten diesen Anspruch zu, sodass es nicht darauf ankommt, ob der Anspruchssteller auch Betroffener ist.

Pflichtverletzung

Zusätzlich fordert Art 82 DSGVO einen Verstoß gegen die Pflichten der DSGVO. Hier werden hinsichtlich der Weite des Anspruchs gegenteilige Auffassungen vertreten. Erwägungsgrund 146 Satz 1 DSGVO spricht davon, dass der Verstoß gegen Pflichten aus der DSGVO „aufgrund einer Verarbeitung“ erfolgen muss. Nach einer Ansicht fallen damit die Informationsrechte nicht mehr unter diese Vorschrift. Eine andere Ansicht vertritt, dass selbst Verstöße gegen Formvorschriften der DSGVO ausreichen, wie z.B. die unzureichende Umsetzung technischer und organisatorischer Maßnahmen.

Verschulden

Umstritten ist, ob für die Begründung eines Anspruchs auch ein Verschulden des Verantwortlichen notwendig ist oder ob es sich bei Art. 82 DSGVO um einen verschuldensunabhängigen Schadensersatzanspruch handelt. Die Formulierung „Verantwortlicher“ in der Vorschrift lässt für einige den Schluss zu, dass eine Verantwortlichkeit nur bei Verschulden möglich ist. Die Gegenseite weist darauf hin, dass das Deutsche Verständnis von Verantwortlichkeit hier nicht anwendbar sei und lediglich von Verantwortlichkeit als Rolle als Verantwortlicher im Sinne der DSGVO gesprochen würde.

Schaden

Um eine Forderung zu stellen, braucht es nach deutschem Recht einen Schaden. Hier ist es meist schwer, konkrete Summen zu beziffern, da es sich bei Schäden auf Betroffenenseite oftmals um immaterielle Schäden handelt. Grundsatzfrage ist hierbei, ob der Art. 82 DSGVO eine Sanktionsfunktion für Fehlverhalten hat, also ein Verstoß der DSGVO bereits zu einem Anspruch gegen den Verantwortlichen führt oder ob auch ein klar bezifferbarer Schaden vorliegen muss.

Erste Ansicht entspräche eher den amerikanischen Grundsätzen der „punitiv damages“, nach welcher den Geschädigten, über den Schadensersatz hinaus, auch einen Anspruch zur Sanktion des Schädigers zugesprochen wird. Ein dem deutschen Recht fremdes Prinzip.

Die überwiegende Rechtsprechung in Deutschland geht davon aus, dass es für einen immateriellen Schadensersatz nicht ausreicht, dass bloß ein Verstoß gegen die DSGVO vorliegt. Hier wird zunächst ermittelt, ob ein Schaden überhaupt vorliegt und ob dieser lediglich einen Bagatellschaden darstellt.

In unserem Blog haben wir uns schon vertieft mit dem Begriff des Bagatellschadens befasst. Auch eine Aktuelle Rechtssache hat hier Wellen geschlagen, und zwar ein Verfahren gegen die Österreichische Post, welche wir in einem Blogartikel bereits gesondert behandelt haben.

Kausalität zwischen Schaden und Pflichtverletzung

Zuletzt benötigt ein Schadensersatzanspruch auch eine Kausalität zwischen dem Schaden und dem Verstoß gegen die DSGVO. Das BAG geht davon aus, dass eine Kausalität bereits nicht erforderlich ist und folgt seiner grundsätzlich eher klägerfreundlichen Linie, dass ein Schaden bereits keine Voraussetzung für einen Schadensersatzanspruch aus Art. 82 DSGVO darstellt.

Das LG München vertritt die Ansicht, dass es nicht ausreicht, dass der Schaden infolge einer Verarbeitung eintritt.

Was wurde in letzter Zeit entschieden?

Schließlich zur Veranschaulichung eine Liste aktueller Entscheidungen, bei denen ein Schadensersatz zugesprochen wurde:

  • OLG Frankfurt (3 U 21/20): Unzulässige Schufa Meldungen, 500 € Schadensersatz.
    Hier wurde gegen Art. 6 DSGVO Verstoßen, da die streitgegenständliche Verarbeitung ohne Rechtsgrundlage erfolgte.
  • LG München I (31 O 16606/20 1), LG Köln (28 O 328/21): Datenleck und nicht erfolgte Löschung von Kundendaten.
    Hier verstieß ein Verantwortlicher gegen Art. 32, Art 5 Abs. 1 f DSGVO, da keine geeigneten technischen organisatorischen Maßnahmen ergriffen wurden, 2.500 € / 1200 € Schadensersatz.
  • OLG Hamm (Az. 11 U 88/22): Datenpanne im Impfzentrum, 100 € Schadensersatz.
  • OLG Köln (15 U 137/21): Verspätete Auskunft nach Art. 15 DSGVO, 500 € Schadensersatz.
  • BAG (2 AZR 363/21): Auskunft nach Art. 15 DSGVO unvollständig, 1000 € Schadensersatz.

Noch mehr Urteile, bei denen über einen Schadensersatz verhandelt wurde, finden Sie auch in dieser Übersicht.

Schäden abwenden: auf die DSGVO achten!

Der Trend aus den letzten Jahren ist eindeutig. Schadensersatzansprüche gegen Unternehmen häufen sich und werden vermehrt als Massenklagen verwirklicht. Das macht durchaus Sinn, da die Schadensersatzansprüche aus der DSGVO meist auf einen Schlag eine Vielzahl von Personen betreffen. Google Fonts wird nicht den letzten Anlass für eine Klagewelle geliefert haben. Unternehmen sollten insbesondere bei der Dokumentation und Umsetzung der Betroffenenrechte und der technischen und organisatorischen Maßnahmen besondere Sorgfalt walten lassen, um sich im Ernstfall gegen Schadensersatzansprüche verteidigen zu können.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Wie sieht es eigentlich bei Schadensersatzansprüchen gegenüber der öffentlichen Hand aus? Diese ist in Deutschland ja nicht von Bußgeldern bedroht, dadurch wären Schadensersatzansprüche eine der wenigen direkt spürbaren Sanktionen. M. E. differenziert Art. 82 DSGVO nicht zwischen öffentlichen und nicht-öffentlichen Verantwortlichen, aber die Einschätzung von Dr. Datenschutz dazu würde mich interessieren…

    • Bei diesen ergibt sich ein Schadenersatzanspruch ebenfalls aus Art.82 DSGVO und stellt somit keinen Unterschied zu einem „Normalen“ Schadenersatzanspruch gegen Unternehmen dar. Eine Behörde kann ja auch Verantwortlicher im Sinnes des DSGVO sein, wie Sie richtig feststellen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.