Stand: 15.02.2024

Vor Inkrafttreten der DS-GVO wurde Betroffenen bei einer Verletzung des Schutzes ihrer personenbezogenen Daten von Gerichten selten bis nie Schadensersatz zugesprochen. Inzwischen hat sich dies allerdings geändert. Betroffene sind in Bezug auf den Datenschutz sowie ihre Rechte sensibilisiert und wehren sich gegen (vermeintliche) Verstöße. Infolgedessen müssen Gerichte in ganz Deutschland immer häufiger Problemstellungen zum Datenschutz und damit zusammenhängenden Verletzungen klären und entscheiden, ob betroffenen Personen Schadensersatz zusteht.

Mehr Informationen zu aktuellen Urteilen und Bußgeldern

Eine Zusammenfassung der neuesten Rechtsprechung und der verhängten Bußgelder finden Sie in unserem Artikel „Aktuelle Urteile und Bußgelder“.

Vier Jahre nach Inkrafttreten der DS-GVO steht der Schutz personenbezogener Daten immer häufiger im Fokus von Rechtsstreitigkeiten. Ein wichtiger Bereich ist hier der Schadensersatzanspruch betroffener Personen aus Art. 82 DS-GVO bei Verstößen gegen die Datenschutzvorgaben. Sinn und Zweck dieser Regelung ist es, die betroffene Person für die Verletzung des Schutzes ihrer Daten und damit einhergehende negative Folgen zu entschädigen. Gleichzeitig soll der Schadensersatz – ähnlich wie die Verhängung von Bußgeldern durch Aufsichtsbehörden – eine abschreckende Wirkung auf die datenverarbeitenden Stellen haben, etwaige Verstöße künftig zu unterlassen.

Problemstellung

Grundsätzlich hat jede Person, die wegen eines Verstoßes gegen die Verordnung einen materiellen oder immateriellen Schaden erlitten hat, einen Anspruch nach Art. 82 Abs. 1 DS-GVO auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Um diesen jedoch erfolgreich durchsetzen zu können, müssen zur Begründung eines Schadensersatzanspruches zusätzlich folgende Kriterien kumulativ (gemeinsam) erfüllt sein:

Jede Verletzung datenschutzrechtlicher Vorschriften genügt für einen Verstoß nach Art. 82 DS-GVO. Beispiele aus der Praxis hierfür sind ein Verstoß gegen die Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a) DS-GVO i. V. m. Art. 6, 9 DS-GVO, eine verspätete oder unvollständige Auskunft im Rahmen eines Auskunftsersuchens (Art. 15 Abs. 1, Art. 12 DS-GVO) oder eine fehlende Datenschutzinformation (Art. 5 Abs. 1 lit. a) DS-GVO i. V. m. Art. 12-14 DS-GVO). Daneben können aber auch formelle Verstöße eines Verantwortlichen zu Schadensersatz führen, insbesondere wenn trotz Verpflichtung kein Datenschutzbeauftragter benannt wurde (Art. 37 DS-GVO, § 38 BDSG), wenn kein Vertrag über Auftragsverarbeitung (AVV) i. S. d. Art. 28 DS-GVO abgeschlossen wurde oder kein bzw. ein fehlerhaftes Verzeichnis der Verarbeitungstätigkeiten i. S. d. Art 30 DS-GVO geführt wird.

Zu beachten ist, dass jeder Verstoß gegen die DS-GVO einen Anspruch auf Schadensersatz auslösen kann. Ob es sich um einen geringfügigen oder um einen erheblichen Verstoß gegen die Datenschutzvorgaben handelt, spielt nur für die Höhe des Anspruchs eine Rolle, nicht jedoch für die Frage, ob überhaupt ein solcher Anspruch besteht.

Durch den Verstoß gegen Vorschriften der DS-GVO muss ein Schaden entstanden sein. Dieser kann materiell oder immateriell sein. Beispiele für materielle Schäden, als solche die mit Geld ausgeglichen werden können und die in der Praxis weniger häufig sind, sind Kreditkartenbetrug oder Identitätsdiebstahl. Die meisten Gerichtsentscheidungen beim Schadensersatz nach Art. 82 DS-GVO betreffen allerdings immaterielle Schäden. Hierzu gehören beispielsweise die unerlaubte Veröffentlichung von Fotos oder Videos im Internet oder eine verspätete Antwort auf ein Auskunftsersuchen.

Wichtig in diesem Zusammenhang ist, dass bei Gerichten ein Umdenken eingesetzt hat – so urteilen in letzter Zeit immer mehr Gerichte, dass es keine Bagatellgrenze gibt und somit jeder Schaden zu ersetzen ist.

Einen Anspruch auf Schadensersatz hat der Betroffene nur, wenn der geltend gemachte Schaden auf einem Verstoß des Verantwortlichen gegen die DS-GVO beruht. Grund dafür ist, dass ein Verantwortlicher nur für solche Schäden haften soll, die er auch verursacht und zu vertreten hat, nicht aber pauschal für alle Schäden. Dementsprechend muss ein Zusammenhang zwischen dem Datenschutzverstoß und der Entstehung des Schadens bestehen (Kausalität).

Derjenige, der auf Schadensersatz klagt, muss alle Kriterien für Schadensersatz gem. Art. 82 DS-GVO darlegen und beweisen können. Der Betroffene muss insbesondere nachvollziehbar darlegen können, dass ihm durch den Verstoß ein konkreter materieller oder immaterieller Schaden entstanden ist. Dies ist in der Praxis jedoch leichter gesagt als getan und oftmals scheitern Schadensersatzansprüche an dieser Voraussetzung. Für Verantwortliche besonders interessant ist allerdings die Beweislastumkehr, die in Art. 82 Abs. 3 DS-GVO geregelt ist. Nach dieser Regelung haftet der Verantwortliche oder der Auftragsverarbeiter nicht, wenn er nachweisen kann, dass er für den entstandenen Schaden nicht verantwortlich ist. Folglich wird regelmäßig vermutet, dass die Umstände, die zum Schaden geführt haben, dem Verantwortlichen zugerechnet werden. Auch die Verschiebung der Verantwortung auf den Auftragsverarbeiter ist keine Lösung. Allerdings können sich Verantwortliche dadurch entlasten, dass sie nachweisen können, ihre Mitarbeiter sensibilisiert und regelmäßig geschult zu haben, regelmäßig Datenschutzaudits durchzuführen und bei Problemen oder Fragen die Datenschutzaufsichtsbehörden mit einbezogen zu haben.

Fehlt es auch nur an einer der genannten Voraussetzungen, besteht kein Schadenersatzanspruch und die betroffene Person erhält keinen Schadensersatz. Liegen die genannten Voraussetzungen aber vor, so sprechen die Gerichte den Betroffenen von Datenschutzverletzungen immer häufiger Schadensersatz i. S. d. Art. 82 DS-GVO zu und richten dadurch den Fokus noch stärker auf die Einhaltung des Datenschutzes nach den Regelungen der DS-GVO. So wird den Klägern oftmals ein vergleichsweise hoher Schadensersatz zugesprochen, denn nach dem Datenschutzrecht soll dem Betroffenen nicht nur der erlittene Schaden ersetzt werden, sondern es soll bei Verantwortlichen und Auftragsverarbeitern eine abschreckende Wirkung erzielt und Verstöße angemessen sanktioniert werden.

Gut zu wissen

Jede Person, die der Meinung ist, aufgrund eines Verstoßes des Verantwortlichen oder Auftragsverarbeiters einen Schaden erlitten zu haben, kann vor den Zivil- und Arbeitsgerichten klagen. Die deutschen Aufsichtsbehörden sind für Schadenersatzansprüche nach der DS-GVO nicht zuständig und spielen daher beim Thema Schadenersatzanspruch nur eine untergeordnete Rolle.

Als besonderen Service bieten etliche spezialisierte Legal-Tech-Unternehmen die Abwicklung von Schadensersatzansprüchen aus Datenschutzverletzungen an, ähnlich denen für Fluggastrechte. Betroffene müssen sich hierzu nur auf der zugehörigen Plattform registrieren. Die Anbieter prüfen dann die Schadensersatzansprüche, führen Musterverfahren durch und verhindern in diesem Zuge auch die Verjährung der Ansprüche der Betroffenen. Diese Services sind für die Nutzer zunächst kostenlos, allerdings wird im Erfolgsfall eine Provision fällig, die bei den meisten Anbietern 25 % des erstrittenen Betrags beträgt.

Aktuelle Entscheidungen der Gerichte zu Schadensersatz

Im Moment gibt es fast jeden Monat neue Urteile zum Schadenersatz nach der DS-GVO. Dabei fällt nicht nur auf, dass die Schadensersatzklagen in letzter Zeit deutlich zugenommen haben, sondern dass Gerichte auch immer häufiger – wenn auch nicht immer – zugunsten der Betroffenen entscheiden. Die Höhe des zugestandenen Schadensersatzes steigt ebenfalls merklich.

Ein Kunde führte bei der Barclays Bank ein Kreditkartenkonto, welches er kündigte. Daraufhin forderte die Barclays Bank noch einen Betrag von 1475,52 Euro von ihrem Kunden. Dieser bestritt die Forderung. Die Barclays Bank meldete die Forderung im Dezember 2019 dennoch als Negativeintrag an die SCHUFA. Gegen diese Eintragung ging der Kunde mit anwaltlicher Hilfe vor, sodass sie gelöscht wurde. Vier Monate später meldete die Barclays Bank die Forderung jedoch erneut an die SCHUFA, woraufhin dem Betroffenen von seiner Hausbank die Kreditkarte gesperrt und ein angefragter Kredit unter Hinweis auf den Negativeintrag nicht genehmigt wurde. Nachdem auch dieser Eintrag mit anwaltlicher Hilfe gelöscht wurde, forderte der Kläger von der Barclays Bank immateriellen Schadensersatz, dessen außergerichtliche Zahlung die Bank jedoch verweigerte. Das Landgericht (LG) Hamburg (Urteil v. 19.04.2023, Az.: 318 O 56/22) sprach dem Kläger 2000 Euro Schadensersatz zu, da der Negativeintrag rechtswidrig war und beide Meldungen an die Schufa Holding AG nicht hätten erfolgen dürfen. Da der erlittene Schaden aus Sicht des Klägers jedoch höher lag, legte dieser Berufung ein. Das Oberlandesgericht (OLG) Hamburg sprach dem Mann schließlich 4000 Euro Schadensersatz zu, da dieser aufgrund des Negativeintrags und durch die Darstellung als unzuverlässiger Schuldner in seinem sozialen Ansehen beeinträchtigt wurde und dies bereits für sich einen erheblichen Nachteil darstellt. Schadensersatzerhöhend wirkte sich aus, dass der Betroffene weitere negative Konsequenzen aufgrund des nicht gewährten Kredits und der Sperrung der Kreditkarte erlitten hat.

(OLG Hamburg, Urteil v. 10.10.2023, Az.: 13 U 70/23)

Ein Unternehmen wurde Opfer eines Cyberangriffs, bei dem auch Kundendaten des Klägers betroffen waren. Nachdem das Unternehmen alle betroffenen Personen über den Datenschutzvorfall informiert hatte, forderte der Kläger Schadensersatz. Da das Unternehmen die Zahlung verweigerte, klagte er vor dem Amtsgericht (AG) München auf Zahlung von Schmerzensgeld i. H. v. mindestens 1000 Euro. Zur Begründung führte er an, dass sich aus dem Schreiben des Unternehmens ergebe, dass seine Daten abgegriffen worden seien, weil das Unternehmen nicht ausreichend vorgesorgt hat, derartige Datenlecks zu vermeiden. Das Gericht wies die Klage des Mannes ab. Zur Begründung führte das AG an, dass der Datenschutzverstoß an sich nicht zu einem Ersatzanspruch nach Art. 82 DS-GVO führt, da der „Verstoß gegen diese Verordnung“ und der „Schaden“ zwei unterschiedliche Tatbestandsmerkmale der Vorschrift sind. Bisher war beim Kläger kein Schaden entstanden, sodass der bloße Kontrollverlust über Daten nicht für das Vorliegen eines Schadens ausreicht. Damit schloss sich das Gericht der Rechtsprechung des Europäischen Gerichtshofs (EuGH) zum immateriellen Schadensersatz (Urteil v. 04.05.2023, Az.: C 300/21) an.

(AG München, Urteil v. 03.08.2023, Az.: 241 C 10374/23)

Unbekannte hatten vor einiger Zeit Nutzerdaten von 500 Millionen Facebook-Nutzern abgegriffen. Durch sog. Scraping – automatisierte Anfragen, die dazu führen, dass eigentlich nicht offen sichtbare Daten gelesen werden können – wurden Daten wie Mobiltelefonnummer, Vor- und Nachname sowie die Angabe des Geschlechts erbeutet. Diese Daten tauchten in den Jahren 2019 und 2021 im Darknet auf. Wie viele andere Nutzer auch, klagte eine Nutzerin vor dem Landgericht (LG) Bielefeld (Urteil v. 19.12.2022, Az.: 8 O 157/22) auf Zahlung von 1000 Euro Schadensersatz. Diese Klage hatte das Gericht jedoch abgewiesen. Daraufhin legte die Frau Berufung beim Oberlandesgericht (OLG) Hamm ein, die jedoch auch ohne Erfolg blieb. Das Gericht stellte fest, dass die Klägerin immateriellen Schadensersatz geltend gemacht hat, was nach Art. 82 DS-GVO grundsätzlich möglich ist. Allerdings konnte die Klägerin keinen konkreten immateriellen Schaden darlegen, da keine persönliche bzw. psychologische Beeinträchtigung eingetreten war. Ein Gefühl der Erschrockenheit, das die Klägerin geltend machte, reicht dafür nicht aus. Mit dieser Entscheidung schloss sich auch dieses Gericht der Rechtsprechung des Europäischen Gerichtshofs (EuGH) zum immateriellen Schadensersatz (Urteil v. 04.05.2023, Az.: C 300/21) an.

(OLG Hamm, Urteil v. 15.08.2023, Az.: 7 U 19/23)

Die ehemalige Arbeitgeberin des Klägers ließ während des bestehenden Arbeitsverhältnisses mit dessen Wissen und Einverständnis Foto- und Videoaufnahmen anfertigen und veröffentlichte diese zu Werbezwecken auf ihrer Firmenwebsite. Die Aufnahmen zeigten den Kläger als „Schulungsleiter“ im Unternehmen der Beklagten und bewarben die damals durch den Kläger durchgeführten Schulungen. Ein (explizites) Einverständnis des Klägers in die Nutzung dieser Aufnahmen nach Beendigung des Arbeitsverhältnisses lag nicht vor. Nachdem der Mann im Mai 2019 aus der Firma ausgeschieden war, verwendete diese die Aufnahmen weiter. Eine vollständige Löschung der Aufnahmen fand erst am 21.02.2020 statt. Neben seinem Recht auf Auskunft nach Art. 15 DS-GVO machte der Betroffene immateriellen Schadensersatz wegen Verletzung der Auskunftspflicht sowie wegen Verwendung der Foto- und Videoaufnahmen nach Beendigung des Arbeitsverhältnisses geltend. Das Gericht verurteilte die Arbeitgeberin zur Zahlung von 10.000 Euro Schadensersatz, da die Foto- und Videoaufnahmen trotz mehrmaliger Aufforderung durch den Kläger erst nach 9 Monaten gelöscht wurden. Einen Schadensersatzanspruch wegen verspäteter Auskunftserteilung lehnte das Gericht jedoch ab.

(LAG Baden-Württemberg, Urteil v. 27.07.2023, Az.: 3 Sa 33/22)

Der Kläger war langjähriger Arbeitnehmer der Beklagten. Nach einer Änderungskündigung erhob er Klage auf vertragsgemäße Beschäftigung. Am Tag der Klageerhebung meldete er sich aufgrund einer Rückenverletzung krank. Während dieser Arbeitsunfähigkeit ließ die Beklagte den Kläger heimlich und rechtswidrig durch eine Detektei beobachten, um das Vorliegen der Arbeitsunfähigkeit zu überprüfen. Die folgende Kündigung, der aufgrund falscher Angaben des Arbeitnehmers vom Betriebsrat zugestimmt wurde, wurde in einer Kündigungsschutzklage vor dem Arbeitsgericht (ArbG) Krefeld für rechtswidrig erklärt, ein Anspruch auf Schmerzensgeld aber zurückgewiesen. In der Berufung vor dem Landesarbeitsgericht (LAG) Düsseldorf wurde die Unwirksamkeit der Kündigung bestätigt. Zusätzlich wurde dem Kläger aber 1500 Euro Schadensersatz nach Art. 82 DS-GVO zugesprochen, da er durch die heimliche und rechtswidrige Überwachung durch eine Detektei einen immateriellen Schaden erlitten hatte.

(LAG Düsseldorf, Urteil v. 26.04.2023, Az.: 12 Sa 18/23)

Ein Arbeitnehmer hatte in den Jahren 2020 und 2022 von seinem Recht auf Auskunft nach Art. 15 DS-GVO Gebrauch gemacht. Während der Arbeitgeber die Datenauskunft im Jahr 2020 prompt und vollständig lieferte, reagierte er im Jahr 2022 zwei Wochen gar nicht auf die Auskunftsanfrage und lieferte erst kurz vor Ablauf der Monatsfrist eine unvollständige Kopie der Daten vor. Nachdem die Angaben trotz Nachfrage nicht vervollständigt wurden, klagte der Betroffene auf Vervollständigung der Datenauskunft sowie Zahlung eines Schmerzensgeldes in Höhe von 2000 Euro. Das Gericht verurteilte den Arbeitgeber nach Prüfung des Sachverhalts zur Zahlung von insgesamt 10.000 Euro Schadensersatz. Dieser setzt sich aus 5000 Euro Schadensersatz wegen einer vorsätzlich verspäteten Auskunft und aus weiteren 5000 Euro Schadensersatz wegen des unkooperativen sowie intransparenten Verhaltens des Chefs zusammen.

(ArbG Duisburg, Urteil v. 23.03.2023, Az.: 3 Ca 44/23)

Die Facebook-Mutter Meta wurde in fünf Fällen zur Zahlung von je 500 Euro Schadensersatz verurteilt. Die Kläger sind Betroffene des Datenlecks aus dem Frühjahr 2021 und erhalten seit dieser Zeit vermehr Spam-Anrufe und Spam-Nachrichten, die täuschend echt aussehen. Die Kläger machten immateriellen Schadensersatz nach Art. 82 DS-GVO geltend. Die Richter erklärten, dass Facebook für das Datenleck, das mit korrekten Vorkehrungen hätte verhindert werden können, mitverantwortlich ist und den Betroffenen dadurch ein Schaden entstanden ist. Allerdings senkte das Gericht die Höhe des Schadensersatzes von den geforderten 1000 Euro auf 500 Euro, da keine besondere persönliche Betroffenheit festgestellt werden konnte. Interessant ist allerdings, dass das Gericht Facebook verpflichtet hat, den Nutzern auch alle künftigen Schäden zu ersetzen, die durch den Zugriff unbefugter Dritter bereits erfolgt sind oder noch erfolgen werden.

(LG Paderborn, Urteile v. 19.12.2022, Az.: 2 O 212/22; 2 O 185/22; 2 O 236/22; 3 O 99/22; 3 O 193/22)

Ein Mobilfunkanbieter meldete zu Unrecht vermeintliche Forderungen gegen eine Kundin an die SCHUFA, da diese die Forderungen bestritt. Für solche Fälle sieht die DS-GVO einen Schadensersatzanspruch vor, der eine abschreckende Wirkung haben soll. Im vorliegenden Fall bekam die Kundin aber nur 500 Euro Schadensersatz zugesprochen. Das Gericht entschied, dass auch bei niedrigen Beträgen, wie hier, die abschreckende Wirkung gegeben ist.

(OLG Koblenz, Urteil v. 18.05.2022, Az.: 5 U 2141/21)

Ein Kunde einer Bank klagte nach einer Datenpanne gegen die Bank. Diese hatte Kontoabschlüsse des Kunden fälschlicherweise an einen Dritten übersandt. Zusätzlich meldete die Bank der SCHUFA die Adresse des Dritten als ehemalige Adresse des späteren Klägers. Das Gericht sprach dem Mann nach Art. 82 DS-GVO 500 Euro Schadensersatz zu, da er durch das fehlerhafte Handeln der Bank einen immateriellen Schaden erlitten hatte.

(OLG Frankfurt a. M., Urteil v. 14.04.2022, Az.: 3 U 21/20)

Eine Frau war bei einer gesetzlichen Krankenkasse versichert. Um für eine private Krankenversicherung die Gesundheitsfragen korrekt beantworten zu können, verlangte sie von ihrer Krankenkasse telefonisch die Zusendung ihrer Gesundheitsakte der letzten drei Jahre per E-Mail. Die Krankenkasse versendete die Informationen jedoch unverschlüsselt und ohne jede Pseudonymisierung an eine falsche elektronische Empfängeradresse. Durch ihre Klage vor dem Landgericht (LG) Wuppertal erhielt sie 4000 Euro Schadensersatz nach Art. 82 DS-GVO zugesprochen (Urteil v. 03.08.2020, Az.: 3 O 101/19). In der nächsten Instanz vor dem OLG Düsseldorf erhielt die Klägerin „nur“ noch 2000 Euro Schadensersatz gem. Art. 82 DS-GVO.

(OLG Düsseldorf, Urteil v. 28.10.2021, Az.: 16 U 275/20)

Ein Mann war Besitzer einer Eigentumswohnung. Als er zu einer Eigentümerversammlung eingeladen wurde, wurde eine Tagesordnung mitgeschickt. In einem Tagesordnungspunkt berichtete die Hausverwaltung über den Befall von Legionellen im Trinkwasser und nannte in diesem Zusammenhang den Kläger auch namentlich, da in dessen Wohnung ein Befund vorlag. Durch dieses Vorgehen sah sich der Mann in seinen Rechten verletzt und ein geplanter Wohnungsverkauf konnte nicht mehr vollzogen werden, da der Käufer wegen des Legionellen- Befalls abgesprungen ist. Die Klage des Mannes hatte weder vor dem Landgericht (LG) Landshut (Urteil v. 05.11.2020, Az.: 51 O 513/20) noch vor dem OLG München Erfolg, da keine Datenschutzverletzung vorliegt. Die Gerichte entschieden, dass die Benennung des Klägers in der Tagesordnung sachlich gerechtfertigt war.

(OLG München, Urteil v. 27.10.2021, Az.: 20 U 7051/20)

Ein Mann war als freier Mitarbeiter für ein Maklerbüro tätig. Während und nach dem Auslaufen des befristeten Anstellungsverhältnisses war ein Lichtbild des Mannes unter Nennung seines Namens im Zusammenhang mit dem Unternehmen im Internet abrufbar. Im Zusammenhang mit einem Zahlungsanspruch machte der Mann vor dem Landgericht (LG) Potsdam (Urteil v. 02.09.2020, Az.: 1 O 241/18) im Wege der Widerklage einen Entschädigungsanspruch nach Art. 82 Abs. 1 DS-GVO geltend – allerdings ohne Erfolg, da dieser einen dadurch erlittenen Schaden nicht schlüssig darlegen konnte. Die Berufung beim Oberlandesgericht (OLG) Brandenburg hatte ebenfalls keinen Erfolg. Die Richter stellten fest, dass beim Kläger kein konkreter Schaden entstanden ist, da er diesen nicht beweisen konnte. Seine Argumentation, dass sich aus Art. 82 Abs. 3 DS-GVO i. V. m. Erwägungsgrund Nr. 146 Satz 2 DS-GVO eine Beweislastumkehr zu Lasten des Verantwortlichen für das Vorliegen eines Schadens ergibt, sei unzutreffend, da hier nur auf die Verantwortlichkeit für die Umstände, die den Schaden herbeigeführt haben, nicht aber auf den Schaden selbst abgestellt wird.

(OLG Brandenburg, Beschluss v. 11.08.2021, Az. 1 U 69/20)

Ein Ehepaar speicherte für eine Immobilienfinanzierung zahlreiche private Unterlagen, wie Ausweisdokumente, Steuerunterlagen und Einkommensverhältnisse, auf einem unverschlüsselten USB-Stick und warf diesen in den Briefkasten der Bank ein. Nachdem kein Vertragsschluss zustande kam, sandte die Bank den USB-Stick per Post zurück, wobei dieser verloren ging. Die Klage auf Schadensersatz nach Art. 82 DS-GVO hatte keinen Erfolg, da es datenschutzkonform ist und dem aktuellen Stand der Datensicherheit nach Art. 32 DS-GVO entspricht, wenn eingereichte unverschlüsselte USB-Sticks mit personenbezogenen Daten per Briefpost an die Absender zurückgeschickt werden. Einen etwaigen Schadensersatzanspruch hätte die Ehefrau allerdings an ihren Ehemann abtreten können, da grundsätzlich jede Forderung abtretbar ist, die hinreichend bestimmt ist und für die kein Abtretungsverbot nach §§ 399, 400 Bürgerliches Gesetzbuch (BGB) bestanden hat.

(LG Essen, Urteil v. 23.09.2021, Az. 6 O 190/21)

Ein Mann kaufte bei einer Computerfirma einen neuen Computer. Er arbeitete damit und speicherte auf der Festplatte auch personenbezogene Daten. Nachdem am Computer ein Mangel aufgetreten war, reklamierte er diesen und erhielt einen neuen Computer. Die alte Festplatte verkaufte die Computerfirma in der Folgezeit unformatiert weiter. Der Käufer der gebrauchten Festplatte konnte dadurch die gespeicherten personenbezogenen Daten des Klägers, beispielweise Fotos und die Steuererklärung, einsehen. Das AG Hildesheim stellte fest, dass dieses Vorgehen einen Verstoß gegen die europäische Datenschutzgrundverordnung (DS-GVO) darstellt. Aus diesem Grund wurde die Computerfirma zur Zahlung von Schadensersatz in Höhe von 800 Euro verurteilt.

(AG Hildesheim, Urteil v. 15.10.2020, Az. 43 C 145/19)

Der spätere Kläger war als Geschäftsführer und Vertriebsleiter in einer Firma für Feuerwerkkörper tätig. Nachdem er nicht mehr dort beschäftigt war, verlangte der Mann gem. Art. 15 Abs. 1 DS-GVO Auskunft über die Speicherung und Verarbeitung personenbezogener Daten einschließlich der Herausgabe einer Kopie der gespeicherten personenbezogenen Daten. Dieser Forderung kam die ehemalige Arbeitgeberin aber nicht nach, sodass der Kläger zusätzlich Schadensersatz wegen Nichterteilung der geforderten Auskunft verlangte. Das Gericht hielt das Auskunftsbegehren und den Schadensersatzanspruch für begründet, da eine Datenverarbeitung unstreitig und daher ein solcher Anspruch begründet ist. In seinem Urteil stellte das Gericht fest, dass die Monatsfrist aus Art. 12 Abs. 3 DS-GVO nicht gewahrt wurde. Auskunft erhielt der Kläger erst mit dem Schriftwechsel im Prozess, sodass er schließlich 20 Monate auf eine Auskunft warten musste. Für jeden verspäteten Monat setzte das Gericht 500 Euro an, was zuletzt zu einem Schadensersatz i. H. v. 10.000 Euro führte.

(ArbG Oldenburg, Urteil vom 09.02.2023, Az.: 3 Ca 150/21)

Update - Sammelklage nach Datenpanne bei der GIS

Die österreichische GIS (Gebühren Info Service) – ähnlich zum ARD, ZDF und Deutschlandradio Beitragsservice (früher: GEZ) hatte im Jahr 2020 ein IT-Unternehmen mit einer Datenzusammenlegung beauftragt. Im Zuge dieser Zusammenlegung kam es zu einem Datenleck bei einem Testsystem. In dessen Folge waren 9 Millionen Meldedaten – Namen, Adressen, Geburtsdaten, Geschlecht, Staatsangehörigkeit und mehr – für ungefähr eine Woche im Internet abrufbar. Diese ungeschützten Daten wurden von einem niederländischen Hacker gestohlen und im Darknet angeboten.

Anfang Februar 2023 starteten zwei Anwälte ein Sammelverfahren, dem sich bisher über 2000 Betroffene angeschlossen haben. Die beiden Anwälte sehen in diesem Fall Chancen auf 1000 Euro Schadensersatz pro Person. Dies könnte die GIS bereits 2 Millionen Euro kosten.

In ihrer Klage werfen die Anwälte der GIS Nachlässigkeit vor, denn es stellt sich einerseits die Frage, wie und warum die Daten auf einem Testsystem offen zugänglich abgelegt wurden. Andererseits hat die GIS nach dem Rundfunkgebührengesetz keine Ermächtigung, Daten an Dritte, also das Subunternehmen (das IT-Unternehmen) weiterzugeben. Im Gesetz steht nur, dass Inkasso-Dienstleistungen ausgelagert werden dürfen und dies war hier nicht der Fall.

In einem Bescheid der zuständigen Datenschutzbehörde wurde zwischenzeitlich festgestellt: Die GIS hat gegen die Datenschutzgrundverordnung (DS-GVO) verstoßen. Die GIS kann – und wird höchstwahrscheinlich – Beschwerde gegen diesen Bescheid erheben. Zu einer Gerichtsverhandlung kam es aber bisher noch nicht.

Mehr Informationen zu den Urteilen

Mehr Informationen und Urteile zum Schadensersatzanspruch finden Sie in unserer Rechtsprechungsübersicht.

Anhängige deutsche Entscheidungen zum Schadensersatz beim Europäischen Gerichtshof (EuGH)

Bei der DS-GVO handelt es sich um Unionsrecht. Oftmals gibt es – wie zu einigen Themen beim Schadensersatz – noch keine Rechtsprechung des EuGH. Solche Lücken in der Rechtsprechung müssen nach Art. 267 Abs. 3 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) dem EuGH vorgelegt werden, da es sich um eine ungeklärte Frage des europäischen Rechts handelt. Daher greifen auch deutsche Gerichte, z. B. das Bundesverfassungsgericht (BVerfG) oder das Bundesarbeitsgericht (BAG) auf das sogenannte Vorabentscheidungsverfahren zurück und lassen den EuGH über verschiedene Streitfragen der DS-GVO entscheiden. Momentan sind folgende Entscheidungen zu verschiedenen Themen des Schadensersatzes beim EuGH anhängig:

In einem aktuellen Fall hatte eine Bank im Rahmen eines Bewerbungsprozesses irrtümlich Bewerberdaten an einen unbeteiligten Dritten weitergeleitet. Über diese irrtümliche Weiterleitung hat die Bank den betroffenen Bewerber nicht unverzüglich informiert, sondern erst Wochen später. Der Kläger machte geltend, nicht nur einen abstrakten Kontrollverlust über seine Daten erlitten zu haben, sondern dass diese an Dritte, mit ihm bekannte und in derselben Branche tätige Person gelangt seien. Das Landgericht (LG) Darmstadt gab dem Kläger teilweise Recht und sprach ihm 1000 Euro Schadensersatz gem. Art. 82 DS-GVO zu (Urteil v. 26.05.2020, Az.: 13 O 244/19). Gegen dieses Urteil legte die Bank beim Oberlandesgericht (OLG) Hamburg (Urteil v. 02.03.2022, Az.: 13 U 206/20) Berufung ein – mit Erfolg. Das Gericht wies den Schadensersatzanspruch zurück, da dem Kläger weder ein materieller Schaden noch ein immaterieller Nachteil entstanden sei. Einen solchen hatte der Kläger nicht dargelegt. Gegen dieses Urteil wendet sich der Kläger mit der Revision zum Bundesgerichtshof (BGH).

Der BGH (BGH, Beschluss v. 26. 09 2023, Az.: VI ZR 97/22) hat dem EuGH (Az.: C-655/23) die Vorlagefrage vorgelegt, ob Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle (z. B. Ärger, Unmut, Unzufriedenheit, Sorge, Angst) genügen, obwohl dies zum allgemeinen Lebensrisiko gehört oder ob ein zusätzlicher Nachteil erforderlich ist. Zudem hat der BGH dem EuGH noch die Fragen vorgelegt, ob der Grad des Verschuldens des Verantwortlichen (oder Auftragsverarbeiters bzw. dessen Mitarbeiter) ein relevantes Kriterium bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens darstellt und, ob anspruchsmindernd berücksichtigt werden kann, wenn dem Betroffenen ein Unterlassungsanspruch zusteht.

In einem weiteren Fall hatte der Kläger eine widerrechtlich verschickte Werbe-E-Mail erhalten. Er verlangte daraufhin vom Versender Schadensersatz nach Art. 82 DS-GVO i. H. v. mindestens 500 Euro. Das Amtsgericht (AG) Goslar verwehrte dem Kläger allerdings einen immateriellen Schadensersatz nach Art. 82 DS-GVO, da – nach Meinung des Gerichts – mangels Erheblichkeit des Vorgangs kein Schaden entstanden war (AG Goslar, Urteil v. 27.09.2019, Az.: 28 C 7/19). Gegen dieses Urteil legte der Kläger erfolgreich Verfassungsbeschwerde beim Bundesverfassungsgericht (BVerfG) ein.

Das BVerfG (Beschluss v. 14.01.2021, Az.: 1 BvR 2853/19) entschied, dass das AG diese Frage nach Art. 267 Abs. 3 AEUV dem EuGH verpflichtend hätte vorgelegen müssen, da es sich um eine ungeklärte Frage des europäischen Rechts handelt. Weil das Amtsgericht auf diese Vorlage beim EuGH verzichtet hat, wurden die Grundrechte des Klägers verletzt und das Urteil musste aufgehoben werden. In der Folge muss das AG Goslar neu entscheiden und hat die Frage dem EuGH in Rahmen eines Vorabentscheidungsverfahrens vorgelegt.

Der EuGH muss nun die Frage klären, ob und unter welchen Voraussetzungen ein Schadensersatzanspruch nach der DS-GVO besteht. Insbesondere muss er klarstellen, ob die Erheblichkeit als Kriterium für das Bestehen eines Schadensersatzanspruchs herangezogen werden kann oder nicht. Diese Entscheidung wird weitreichende Auswirkungen auf künftige Entscheidungen zum Schadensersatz haben.

Das Bundesarbeitsgericht (BAG, Urteil v. 26.08.2021, Az.: 8 AZR 253/20 (A)) hat ebenfalls eine Vorlagefrage zum Verschuldungsgrad beim EuGH eingereicht. Das BAG möchte wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf Grundlage von Art. 82 DS-GVO auf den Grad des Verschuldens des Verantwortlichen (bzw. Auftragsverarbeiters) ankommt. In diesem Fall soll der EuGH entscheiden, ob geringes oder fehlendes Verschulden auf Seiten des Verantwortlichen oder des Auftragsverarbeiters bei der Bemessung der Höhe zu seinen Gunsten berücksichtigt werden kann oder nicht.

Das BAG geht außerdem davon aus, dass die in Art. 82 Abs. 3 DS-GVO geregelte Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, nicht das Vertretenmüssen betrifft, sondern dass diese Bestimmung eher die Frage nach einer Beteiligung aufwirft. Sollte der EuGH diese Vorlagefrage positiv beantworten, wird das die Höhe von zukünftigen Schadensersatzansprüchen verringern.

Das BAG (Urteil v. 26.08.2021, Az.: 8 AZR 253/20 (A)) hat dem EuGH in diesem Zusammenhang eine weitere Frage zur Entscheidung vorgelegt. In dieser Frage geht es darum, ob Art. 82 Abs. 1 DS-GVO einen spezial- oder generalpräventiven Charakter hat und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden muss.

In Erwägungsgrund 146 DS-GVO ist geregelt, dass der Begriff des Schadens weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der DS-GVO in vollem Umfang entspricht. Allerdings gibt es hierzu unterschiedliche Ansichten. Die eine Ansicht vertritt, dass anders als beispielsweise im deutschen Zivilrecht, Schadensersatzforderungen nicht nur entstandene Nachteile ausgleichen sollen, sondern darüber hinaus abschreckende Wirkung entfalten und dadurch weitere Verstöße unattraktiv machen sollen. In diesem Fall hat der Schadensersatz einen strafenden Charakter und die Beträge des Schadensersatzes liegen höher. Die andere Ansicht wendet den Schadensersatz klassisch an und ersetzt nur den tatsächlich entstandenen Schaden. In diesem Fall fallen die Schadensersatzzahlungen niedriger aus. Wie sich der EuGH in diesem Fall positionieren wird, hat in jedem Fall weitreichende Auswirkungen auf die Höhe möglicher Schadensersatzansprüche.

Mehr Informationen zu aktuellen Entscheidungen des EuGH

Eine Zusammenfassung der neuesten Rechtsprechung des EuGH und aktuell verhängten Bußgeldern finden Sie in unserem Artikel „Aktuelle Urteile und Bußgelder“ .