Stand: 10.08.2023
Vor Inkrafttreten der DS-GVO wurde Betroffenen bei einer Verletzung des Schutzes ihrer personenbezogenen Daten von Gerichten selten bis nie Schadensersatz zugesprochen. Inzwischen hat sich dies allerdings geändert. Betroffene sind in Bezug auf den Datenschutz sowie ihre Rechte sensibilisiert und wehren sich gegen (vermeintliche) Verstöße. Infolgedessen müssen Gerichte in ganz Deutschland immer häufiger Problemstellungen zum Datenschutz und damit zusammenhängenden Verletzungen klären und entscheiden, ob betroffenen Personen Schadensersatz zusteht.
Vier Jahre nach Inkrafttreten der DS-GVO steht der Schutz personenbezogener Daten immer häufiger im Fokus von Rechtsstreitigkeiten. Ein wichtiger Bereich ist hier der Schadensersatzanspruch betroffener Personen aus Art. 82 DS-GVO bei Verstößen gegen die Datenschutzvorgaben. Sinn und Zweck dieser Regelung ist es, die betroffene Person für die Verletzung des Schutzes ihrer Daten und damit einhergehende negative Folgen zu entschädigen. Gleichzeitig soll der Schadensersatz – ähnlich wie die Verhängung von Bußgeldern durch Aufsichtsbehörden – eine abschreckende Wirkung auf die datenverarbeitenden Stellen haben, etwaige Verstöße künftig zu unterlassen.
Problemstellung
Grundsätzlich hat jede Person, die wegen eines Verstoßes gegen die Verordnung einen materiellen oder immateriellen Schaden erlitten hat, einen Anspruch nach Art. 82 Abs. 1 DS-GVO auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Um diesen jedoch erfolgreich durchsetzen zu können, müssen zur Begründung eines Schadensersatzanspruches zusätzlich folgende Kriterien kumulativ (gemeinsam) erfüllt sein:
Fehlt es auch nur an einer der genannten Voraussetzungen, besteht kein Schadenersatzanspruch und die betroffene Person erhält keinen Schadensersatz. Liegen die genannten Voraussetzungen aber vor, so sprechen die Gerichte den Betroffenen von Datenschutzverletzungen immer häufiger Schadensersatz i. S. d. Art. 82 DS-GVO zu und richten dadurch den Fokus noch stärker auf die Einhaltung des Datenschutzes nach den Regelungen der DS-GVO. So wird den Klägern oftmals ein vergleichsweise hoher Schadensersatz zugesprochen, denn nach dem Datenschutzrecht soll dem Betroffenen nicht nur der erlittene Schaden ersetzt werden, sondern es soll bei Verantwortlichen und Auftragsverarbeitern eine abschreckende Wirkung erzielt und Verstöße angemessen sanktioniert werden.
Aktuelle Entscheidungen der Gerichte zu Schadensersatz
Im Moment gibt es fast jeden Monat neue Urteile zum Schadenersatz nach der DS-GVO. Dabei fällt nicht nur auf, dass die Schadensersatzklagen in letzter Zeit deutlich zugenommen haben, sondern dass Gerichte auch immer häufiger – wenn auch nicht immer – zugunsten der Betroffenen entscheiden. Die Höhe des zugestandenen Schadensersatzes steigt ebenfalls merklich.
Anhängige deutsche Entscheidungen zum Schadensersatz beim Europäischen Gerichtshof (EuGH)
Bei der DS-GVO handelt es sich um Unionsrecht. Oftmals gibt es – wie zu einigen Themen beim Schadensersatz – noch keine Rechtsprechung des EuGH. Solche Lücken in der Rechtsprechung müssen nach Art. 267 Abs. 3 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) dem EuGH vorgelegt werden, da es sich um eine ungeklärte Frage des europäischen Rechts handelt. Daher greifen auch deutsche Gerichte, z. B. das Bundesverfassungsgericht (BVerfG) oder das Bundesarbeitsgericht (BAG) auf das sogenannte Vorabentscheidungsverfahren zurück und lassen den EuGH über verschiedene Streitfragen der DS-GVO entscheiden. Momentan sind folgende Entscheidungen zu verschiedenen Themen des Schadensersatzes beim EuGH anhängig: