Stand: 10.08.2023

Vor Inkrafttreten der DS-GVO wurde Betroffenen bei einer Verletzung des Schutzes ihrer personenbezogenen Daten von Gerichten selten bis nie Schadensersatz zugesprochen. Inzwischen hat sich dies allerdings geändert. Betroffene sind in Bezug auf den Datenschutz sowie ihre Rechte sensibilisiert und wehren sich gegen (vermeintliche) Verstöße. Infolgedessen müssen Gerichte in ganz Deutschland immer häufiger Problemstellungen zum Datenschutz und damit zusammenhängenden Verletzungen klären und entscheiden, ob betroffenen Personen Schadensersatz zusteht.

Vier Jahre nach Inkrafttreten der DS-GVO steht der Schutz personenbezogener Daten immer häufiger im Fokus von Rechtsstreitigkeiten. Ein wichtiger Bereich ist hier der Schadensersatzanspruch betroffener Personen aus Art. 82 DS-GVO bei Verstößen gegen die Datenschutzvorgaben. Sinn und Zweck dieser Regelung ist es, die betroffene Person für die Verletzung des Schutzes ihrer Daten und damit einhergehende negative Folgen zu entschädigen. Gleichzeitig soll der Schadensersatz – ähnlich wie die Verhängung von Bußgeldern durch Aufsichtsbehörden – eine abschreckende Wirkung auf die datenverarbeitenden Stellen haben, etwaige Verstöße künftig zu unterlassen.

Problemstellung

Grundsätzlich hat jede Person, die wegen eines Verstoßes gegen die Verordnung einen materiellen oder immateriellen Schaden erlitten hat, einen Anspruch nach Art. 82 Abs. 1 DS-GVO auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Um diesen jedoch erfolgreich durchsetzen zu können, müssen zur Begründung eines Schadensersatzanspruches zusätzlich folgende Kriterien kumulativ (gemeinsam) erfüllt sein:

Jede Verletzung datenschutzrechtlicher Vorschriften genügt für einen Verstoß nach Art. 82 DS-GVO. Beispiele aus der Praxis hierfür sind ein Verstoß gegen die Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a) DS-GVO i. V. m. Art. 6, 9 DS-GVO, eine verspätete oder unvollständige Auskunft im Rahmen eines Auskunftsersuchens (Art. 15 Abs. 1, Art. 12 DS-GVO) oder eine fehlende Datenschutzinformation (Art. 5 Abs. 1 lit. a) DS-GVO i. V. m. Art. 12-14 DS-GVO). Daneben können aber auch formelle Verstöße eines Verantwortlichen zu Schadensersatz führen, insbesondere wenn trotz Verpflichtung kein Datenschutzbeauftragter benannt wurde (Art. 37 DS-GVO, § 38 BDSG), wenn kein Vertrag über Auftragsverarbeitung (AVV) i. S. d. Art. 28 DS-GVO abgeschlossen wurde oder kein bzw. ein fehlerhaftes Verzeichnis der Verarbeitungstätigkeiten i. S. d. Art 30 DS-GVO geführt wird.

Zu beachten ist, dass jeder Verstoß gegen die DS-GVO einen Anspruch auf Schadensersatz auslösen kann. Ob es sich um einen geringfügigen oder um einen erheblichen Verstoß gegen die Datenschutzvorgaben handelt, spielt nur für die Höhe des Anspruchs eine Rolle, nicht jedoch für die Frage, ob überhaupt ein solcher Anspruch besteht.

Durch den Verstoß gegen Vorschriften der DS-GVO muss ein Schaden entstanden sein. Dieser kann materiell oder immateriell sein. Beispiele für materielle Schäden, als solche die mit Geld ausgeglichen werden können und die in der Praxis weniger häufig sind, sind Kreditkartenbetrug oder Identitätsdiebstahl. Die meisten Gerichtsentscheidungen beim Schadensersatz nach Art. 82 DS-GVO betreffen allerdings immaterielle Schäden. Hierzu gehören beispielsweise die unerlaubte Veröffentlichung von Fotos oder Videos im Internet oder eine verspätete Antwort auf ein Auskunftsersuchen.

Wichtig in diesem Zusammenhang ist, dass bei Gerichten ein Umdenken eingesetzt hat – so urteilen in letzter Zeit immer mehr Gerichte, dass es keine Bagatellgrenze gibt und somit jeder Schaden zu ersetzen ist.

Einen Anspruch auf Schadensersatz hat der Betroffene nur, wenn der geltend gemachte Schaden auf einem Verstoß des Verantwortlichen gegen die DS-GVO beruht. Grund dafür ist, dass ein Verantwortlicher nur für solche Schäden haften soll, die er auch verursacht und zu vertreten hat, nicht aber pauschal für alle Schäden. Dementsprechend muss ein Zusammenhang zwischen dem Datenschutzverstoß und der Entstehung des Schadens bestehen (Kausalität).

Derjenige, der auf Schadensersatz klagt, muss alle Kriterien für Schadensersatz gem. Art. 82 DS-GVO darlegen und beweisen können. Der Betroffene muss insbesondere nachvollziehbar darlegen können, dass ihm durch den Verstoß ein konkreter materieller oder immaterieller Schaden entstanden ist. Dies ist in der Praxis jedoch leichter gesagt als getan und oftmals scheitern Schadensersatzansprüche an dieser Voraussetzung. Für Verantwortliche besonders interessant ist allerdings die Beweislastumkehr, die in Art. 82 Abs. 3 DS-GVO geregelt ist. Nach dieser Regelung haftet der Verantwortliche oder der Auftragsverarbeiter nicht, wenn er nachweisen kann, dass er für den entstandenen Schaden nicht verantwortlich ist. Folglich wird regelmäßig vermutet, dass die Umstände, die zum Schaden geführt haben, dem Verantwortlichen zugerechnet werden. Auch die Verschiebung der Verantwortung auf den Auftragsverarbeiter ist keine Lösung. Allerdings können sich Verantwortliche dadurch entlasten, dass sie nachweisen können, ihre Mitarbeiter sensibilisiert und regelmäßig geschult zu haben, regelmäßig Datenschutzaudits durchzuführen und bei Problemen oder Fragen die Datenschutzaufsichtsbehörden mit einbezogen zu haben.

Fehlt es auch nur an einer der genannten Voraussetzungen, besteht kein Schadenersatzanspruch und die betroffene Person erhält keinen Schadensersatz. Liegen die genannten Voraussetzungen aber vor, so sprechen die Gerichte den Betroffenen von Datenschutzverletzungen immer häufiger Schadensersatz i. S. d. Art. 82 DS-GVO zu und richten dadurch den Fokus noch stärker auf die Einhaltung des Datenschutzes nach den Regelungen der DS-GVO. So wird den Klägern oftmals ein vergleichsweise hoher Schadensersatz zugesprochen, denn nach dem Datenschutzrecht soll dem Betroffenen nicht nur der erlittene Schaden ersetzt werden, sondern es soll bei Verantwortlichen und Auftragsverarbeitern eine abschreckende Wirkung erzielt und Verstöße angemessen sanktioniert werden.

Aktuelle Entscheidungen der Gerichte zu Schadensersatz

Im Moment gibt es fast jeden Monat neue Urteile zum Schadenersatz nach der DS-GVO. Dabei fällt nicht nur auf, dass die Schadensersatzklagen in letzter Zeit deutlich zugenommen haben, sondern dass Gerichte auch immer häufiger – wenn auch nicht immer – zugunsten der Betroffenen entscheiden. Die Höhe des zugestandenen Schadensersatzes steigt ebenfalls merklich.

Ein Arbeitnehmer hatte in den Jahren 2020 und 2022 von seinem Recht auf Auskunft nach Art. 15 DS-GVO Gebrauch gemacht. Während der Arbeitgeber die Datenauskunft im Jahr 2020 prompt und vollständig lieferte, reagierte er im Jahr 2022 zwei Wochen gar nicht auf die Auskunftsanfrage und lieferte erst kurz vor Ablauf der Monatsfrist eine unvollständige Kopie der Daten vor. Nachdem die Angaben trotz Nachfrage nicht vervollständigt wurden, klagte der Betroffene auf Vervollständigung der Datenauskunft sowie Zahlung eines Schmerzensgeldes in Höhe von 2000 Euro. Das Gericht verurteilte den Arbeitgeber nach Prüfung des Sachverhalts zur Zahlung von insgesamt 10.000 Euro Schadensersatz. Dieser setzt sich aus 5000 Euro Schadensersatz wegen einer vorsätzlich verspäteten Auskunft und aus weiteren 5000 Euro Schadensersatz wegen des unkooperativen sowie intransparenten Verhaltens des Chefs zusammen.

(ArbG Duisburg, Urteil v. 23.03.2023, Az.: 3 Ca 44/23)

Die Facebook-Mutter Meta wurde in fünf Fällen zur Zahlung von je 500 Euro Schadensersatz verurteilt. Die Kläger sind Betroffene des Datenlecks aus dem Frühjahr 2021 und erhalten seit dieser Zeit vermehr Spam-Anrufe und Spam-Nachrichten, die täuschend echt aussehen. Die Kläger machten immateriellen Schadensersatz nach Art. 82 DS-GVO geltend. Die Richter erklärten, dass Facebook für das Datenleck, das mit korrekten Vorkehrungen hätte verhindert werden können, mitverantwortlich ist und den Betroffenen dadurch ein Schaden entstanden ist. Allerdings senkte das Gericht die Höhe des Schadensersatzes von den geforderten 1000 Euro auf 500 Euro, da keine besondere persönliche Betroffenheit festgestellt werden konnte. Interessant ist allerdings, dass das Gericht Facebook verpflichtet hat, den Nutzern auch alle künftigen Schäden zu ersetzen, die durch den Zugriff unbefugter Dritter bereits erfolgt sind oder noch erfolgen werden.

(LG Paderborn, Urteile v. 19.12.2022, Az.: 2 O 212/22; 2 O 185/22; 2 O 236/22; 3 O 99/22; 3 O 193/22)

Ein Mobilfunkanbieter meldete zu Unrecht vermeintliche Forderungen gegen eine Kundin an die SCHUFA, da diese die Forderungen bestritt. Für solche Fälle sieht die DS-GVO einen Schadensersatzanspruch vor, der eine abschreckende Wirkung haben soll. Im vorliegenden Fall bekam die Kundin aber nur 500 Euro Schadensersatz zugesprochen. Das Gericht entschied, dass auch bei niedrigen Beträgen, wie hier, die abschreckende Wirkung gegeben ist.

(OLG Koblenz, Urteil v. 18.05.2022, Az.: 5 U 2141/21)

Ein Kunde einer Bank klagte nach einer Datenpanne gegen die Bank. Diese hatte Kontoabschlüsse des Kunden fälschlicherweise an einen Dritten übersandt. Zusätzlich meldete die Bank der SCHUFA die Adresse des Dritten als ehemalige Adresse des späteren Klägers. Das Gericht sprach dem Mann nach Art. 82 DS-GVO 500 Euro Schadensersatz zu, da er durch das fehlerhafte Handeln der Bank einen immateriellen Schaden erlitten hatte.

(OLG Frankfurt a. M., Urteil v. 14.04.2022, Az.: 3 U 21/20)

Eine Frau war bei einer gesetzlichen Krankenkasse versichert. Um für eine private Krankenversicherung die Gesundheitsfragen korrekt beantworten zu können, verlangte sie von ihrer Krankenkasse telefonisch die Zusendung ihrer Gesundheitsakte der letzten drei Jahre per E-Mail. Die Krankenkasse versendete die Informationen jedoch unverschlüsselt und ohne jede Pseudonymisierung an eine falsche elektronische Empfängeradresse. Durch ihre Klage vor dem Landgericht (LG) Wuppertal erhielt sie 4000 Euro Schadensersatz nach Art. 82 DS-GVO zugesprochen (Urteil v. 03.08.2020, Az.: 3 O 101/19). In der nächsten Instanz vor dem OLG Düsseldorf erhielt die Klägerin „nur“ noch 2000 Euro Schadensersatz gem. Art. 82 DS-GVO.

(OLG Düsseldorf, Urteil v. 28.10.2021, Az.: 16 U 275/20)

Ein Mann war Besitzer einer Eigentumswohnung. Als er zu einer Eigentümerversammlung eingeladen wurde, wurde eine Tagesordnung mitgeschickt. In einem Tagesordnungspunkt berichtete die Hausverwaltung über den Befall von Legionellen im Trinkwasser und nannte in diesem Zusammenhang den Kläger auch namentlich, da in dessen Wohnung ein Befund vorlag. Durch dieses Vorgehen sah sich der Mann in seinen Rechten verletzt und ein geplanter Wohnungsverkauf konnte nicht mehr vollzogen werden, da der Käufer wegen des Legionellen- Befalls abgesprungen ist. Die Klage des Mannes hatte weder vor dem Landgericht (LG) Landshut (Urteil v. 05.11.2020, Az.: 51 O 513/20) noch vor dem OLG München Erfolg, da keine Datenschutzverletzung vorliegt. Die Gerichte entschieden, dass die Benennung des Klägers in der Tagesordnung sachlich gerechtfertigt war.

(OLG München, Urteil v. 27.10.2021, Az.: 20 U 7051/20)

Ein Mann war als freier Mitarbeiter für ein Maklerbüro tätig. Während und nach dem Auslaufen des befristeten Anstellungsverhältnisses war ein Lichtbild des Mannes unter Nennung seines Namens im Zusammenhang mit dem Unternehmen im Internet abrufbar. Im Zusammenhang mit einem Zahlungsanspruch machte der Mann vor dem Landgericht (LG) Potsdam (Urteil v. 02.09.2020, Az.: 1 O 241/18) im Wege der Widerklage einen Entschädigungsanspruch nach Art. 82 Abs. 1 DS-GVO geltend – allerdings ohne Erfolg, da dieser einen dadurch erlittenen Schaden nicht schlüssig darlegen konnte. Die Berufung beim Oberlandesgericht (OLG) Brandenburg hatte ebenfalls keinen Erfolg. Die Richter stellten fest, dass beim Kläger kein konkreter Schaden entstanden ist, da er diesen nicht beweisen konnte. Seine Argumentation, dass sich aus Art. 82 Abs. 3 DS-GVO i. V. m. Erwägungsgrund Nr. 146 Satz 2 DS-GVO eine Beweislastumkehr zu Lasten des Verantwortlichen für das Vorliegen eines Schadens ergibt, sei unzutreffend, da hier nur auf die Verantwortlichkeit für die Umstände, die den Schaden herbeigeführt haben, nicht aber auf den Schaden selbst abgestellt wird.

(OLG Brandenburg, Beschluss v. 11.08.2021, Az. 1 U 69/20)

Ein Ehepaar speicherte für eine Immobilienfinanzierung zahlreiche private Unterlagen, wie Ausweisdokumente, Steuerunterlagen und Einkommensverhältnisse, auf einem unverschlüsselten USB-Stick und warf diesen in den Briefkasten der Bank ein. Nachdem kein Vertragsschluss zustande kam, sandte die Bank den USB-Stick per Post zurück, wobei dieser verloren ging. Die Klage auf Schadensersatz nach Art. 82 DS-GVO hatte keinen Erfolg, da es datenschutzkonform ist und dem aktuellen Stand der Datensicherheit nach Art. 32 DS-GVO entspricht, wenn eingereichte unverschlüsselte USB-Sticks mit personenbezogenen Daten per Briefpost an die Absender zurückgeschickt werden. Einen etwaigen Schadensersatzanspruch hätte die Ehefrau allerdings an ihren Ehemann abtreten können, da grundsätzlich jede Forderung abtretbar ist, die hinreichend bestimmt ist und für die kein Abtretungsverbot nach §§ 399, 400 Bürgerliches Gesetzbuch (BGB) bestanden hat.

(LG Essen, Urteil v. 23.09.2021, Az. 6 O 190/21)

Ein Mann kaufte bei einer Computerfirma einen neuen Computer. Er arbeitete damit und speicherte auf der Festplatte auch personenbezogene Daten. Nachdem am Computer ein Mangel aufgetreten war, reklamierte er diesen und erhielt einen neuen Computer. Die alte Festplatte verkaufte die Computerfirma in der Folgezeit unformatiert weiter. Der Käufer der gebrauchten Festplatte konnte dadurch die gespeicherten personenbezogenen Daten des Klägers, beispielweise Fotos und die Steuererklärung, einsehen. Das AG Hildesheim stellte fest, dass dieses Vorgehen einen Verstoß gegen die europäische Datenschutzgrundverordnung (DS-GVO) darstellt. Aus diesem Grund wurde die Computerfirma zur Zahlung von Schadensersatz in Höhe von 800 Euro verurteilt.

(AG Hildesheim, Urteil v. 15.10.2020, Az. 43 C 145/19)

Anhängige deutsche Entscheidungen zum Schadensersatz beim Europäischen Gerichtshof (EuGH)

Bei der DS-GVO handelt es sich um Unionsrecht. Oftmals gibt es – wie zu einigen Themen beim Schadensersatz – noch keine Rechtsprechung des EuGH. Solche Lücken in der Rechtsprechung müssen nach Art. 267 Abs. 3 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) dem EuGH vorgelegt werden, da es sich um eine ungeklärte Frage des europäischen Rechts handelt. Daher greifen auch deutsche Gerichte, z. B. das Bundesverfassungsgericht (BVerfG) oder das Bundesarbeitsgericht (BAG) auf das sogenannte Vorabentscheidungsverfahren zurück und lassen den EuGH über verschiedene Streitfragen der DS-GVO entscheiden. Momentan sind folgende Entscheidungen zu verschiedenen Themen des Schadensersatzes beim EuGH anhängig:

In dem zugrundeliegenden Fall hatte der Kläger eine widerrechtlich verschickte Werbe-E-Mail erhalten. Er verlangte daraufhin vom Versender Schadensersatz nach Art. 82 DS-GVO i. H. v. mindestens 500 Euro. Das Amtsgericht (AG) Goslar verwehrte dem Kläger allerdings einen immateriellen Schadensersatz nach Art. 82 DS-GVO, da – nach Meinung des Gerichts – mangels Erheblichkeit des Vorgangs kein Schaden entstanden war (AG Goslar, Urteil v. 27.09.2019, Az.: 28 C 7/19). Gegen dieses Urteil legte der Kläger erfolgreich Verfassungsbeschwerde beim Bundesverfassungsgericht (BVerfG) ein.

Das BVerfG (Beschluss v. 14.01.2021, Az.: 1 BvR 2853/19) entschied, dass das AG diese Frage nach Art. 267 Abs. 3 AEUV dem EuGH verpflichtend hätte vorgelegen müssen, da es sich um eine ungeklärte Frage des europäischen Rechts handelt. Weil das Amtsgericht auf diese Vorlage beim EuGH verzichtet hat, wurden die Grundrechte des Klägers verletzt und das Urteil musste aufgehoben werden. In der Folge muss das AG Goslar neu entscheiden und hat die Frage dem EuGH in Rahmen eines Vorabentscheidungsverfahrens vorgelegt.

Der EuGH muss nun die Frage klären, ob und unter welchen Voraussetzungen ein Schadensersatzanspruch nach der DS-GVO besteht. Insbesondere muss er klarstellen, ob die Erheblichkeit als Kriterium für das Bestehen eines Schadensersatzanspruchs herangezogen werden kann oder nicht. Diese Entscheidung wird weitreichende Auswirkungen auf künftige Entscheidungen zum Schadensersatz haben.

Das Bundesarbeitsgericht (BAG, Urteil v. 26.08.2021, Az.: 8 AZR 253/20 (A)) hat ebenfalls eine Vorlagefrage zum Verschuldungsgrad beim EuGH eingereicht. Das BAG möchte wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf Grundlage von Art. 82 DS-GVO auf den Grad des Verschuldens des Verantwortlichen (bzw. Auftragsverarbeiters) ankommt. In diesem Fall soll der EuGH entscheiden, ob geringes oder fehlendes Verschulden auf Seiten des Verantwortlichen oder des Auftragsverarbeiters bei der Bemessung der Höhe zu seinen Gunsten berücksichtigt werden kann oder nicht.

Das BAG geht außerdem davon aus, dass die in Art. 82 Abs. 3 DS-GVO geregelte Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, nicht das Vertretenmüssen betrifft, sondern dass diese Bestimmung eher die Frage nach einer Beteiligung aufwirft. Sollte der EuGH diese Vorlagefrage positiv beantworten, wird das die Höhe von zukünftigen Schadensersatzansprüchen verringern.

Das BAG (Urteil v. 26.08.2021, Az.: 8 AZR 253/20 (A)) hat dem EuGH in diesem Zusammenhang eine weitere Frage zur Entscheidung vorgelegt. In dieser Frage geht es darum, ob Art. 82 Abs. 1 DS-GVO einen spezial- oder generalpräventiven Charakter hat und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden muss.

In Erwägungsgrund 146 DS-GVO ist geregelt, dass der Begriff des Schadens weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der DS-GVO in vollem Umfang entspricht. Allerdings gibt es hierzu unterschiedliche Ansichten. Die eine Ansicht vertritt, dass anders als beispielsweise im deutschen Zivilrecht, Schadensersatzforderungen nicht nur entstandene Nachteile ausgleichen sollen, sondern darüber hinaus abschreckende Wirkung entfalten und dadurch weitere Verstöße unattraktiv machen sollen. In diesem Fall hat der Schadensersatz einen strafenden Charakter und die Beträge des Schadensersatzes liegen höher. Die andere Ansicht wendet den Schadensersatz klassisch an und ersetzt nur den tatsächlich entstandenen Schaden. In diesem Fall fallen die Schadensersatzzahlungen niedriger aus. Wie sich der EuGH in diesem Fall positionieren wird, hat in jedem Fall weitreichende Auswirkungen auf die Höhe möglicher Schadensersatzansprüche.