Urteile zum Schadensersatzanspruch bei Datenschutzverletzungen

Die DS-GVO räumt Betroffenen in Art. 82 die Möglichkeit ein, für Datenschutzverletzungen Schadensersatzansprüche gegen den verantwortlichen Datenverarbeiter geltend zu machen. Umfasst sind hiervon sowohl materielle als auch immaterielle Schäden. Nach anfänglicher Zurückhaltung neigen deutsche Gerichte immer mehr dazu, für DS-GVO-Verstöße vergleichsweise hohes Schmerzenzgeld zuzusprechen. Nach dem Datenschutzrecht soll dem Betroffenen nicht nur der erlittene Schaden ersetzt werden, sondern es soll auch eine abschreckende Wirkung erzielt werden. Wie hoch der Schadensersatz im Einzelfall ausfällt, liegt im Ermessen der Richter.

Es liegt nicht im Ermessen eines deutschen Amtsgerichts (AG), ob der Schadensersatzanspruch eines Betroffenen wegen einer unzulässigen Werbe-E-Mail als Bagatelle eingestuft und abgelehnt wurde. Eine solche Auslegung  des Art. 82 DS-GVO obliegt ausschließlich dem EuGH. Deshalb hätte das AG den Anspruch des Klägers nicht ablehnen dürfen, sondern die Frage dem EuGH weiterleiten müssen. Das BVerfG hob mit seinem Beschluss das Urteil des AG Goslar vom 27.09.2019 (Az. 28 C 7/19) auf.

Um einen Schadensersatzanspruch begründen zu können, muss der Betroffene eine eindeutige Beeinträchtigung darlegen können. Die bloße Tatsache, dass eine Datenschutzverletzung vorliegt, ist hierfür nicht ausreichend.

Um einen Schadensersatzanspruch aufgrund eines Datenschutzverstoßes zu begründen, muss zwar keine schwerwiegende Persönlichkeitsrechtsverletzung vorliegen, die Verletzung muss allerdings konkret benennbar sein. Diese muss der Kläger darlegen und beweisen können. Bagatellverstöße oder das bloße Gefühl des Unbehagens genügen nicht für einen Anspruch auf Schadensersatz.

Auch wenn eine Übermittlung personenbezogener Daten in die USA im betreffenden Fall teilweise unzulässig ist, begründet der DS-GVO-Verstoß alleine keinen Schadensersatzanspruch. Der Betroffene muss auch nachweisen, dass im durch die Datenschutzervlertzung ein Nachteil (Schaden) entstanden ist.

Bei immateriellen Schäden müssen Betroffene einen vollständigen und wirksamen Ersatz für ihren Schaden erhalten und Verstöße bei Unternehmen effektiv sanktioniert werden. Deshalb sprach das Arbeitsgericht einem ehemaligen Mitarbeiter 1.500 Euro Schadensersatz zu, nachdem sein ehemaliger Arbeitgeber ein Auskunftsersuchen drei Monate zu spät beantwortet hatte.

Werden die Rechte und Freiheiten einer Person beeinträchtigt oder wird ihr die Kontrolle über ihre Daten entzogen, kann dies einen Schadensersatzanspruch begründen. Im betreffenden Fall erhielt ein Arbeitnehmer 5.000 Euro Schmerzensgeld von seinem ehemaligen Arbeitgeber, weil dieser sein Auskunftsersuchen nicht erfüllt hatte.

Werden Fotos von Arbeitnehmern auf der Facebook-Fanpage des (ehemaligen) Arbeitgebers ohne dessen schriftliche Einwilligung veröffentlicht, steht dem Betroffenen Schadensersatz zu. Für die Begründung eines Schadensersatzanspruchs ist es nicht erforderlich, dass die Verletzung des Persönlichkeitsrechts schwerwiegend ist. Das Gericht sprach dem Betroffenen einen immateriellen Schadensersatz von 1.000 Euro zu. Zugunsten des Unternehmens wurde berücksichtigt, dass der Arbeitnehmer für die Veröffentlichung seiner Daten auf der Firmenhomepage eine Einwilligung erteilt hatte.

Eine reine Befürchtung, dass ein Datenschutzverstoß negative Folgen nach sich zieht, ist nicht ausreichend, um einen Schadensersatzanspruch zu begründen. Auch beim Ersatz immaterieller Schäden muss die Verletzungshandlung eine konkrete, nicht nur unbedeutende Verletzung von Persönlichkeitsrechten der betroffenen Person verursacht haben.

Nachdem ein Unternehmen die Antwort an einen Bewerber, die unter anderem seine Gehaltsvorstellungen enthielt, versehentlich an einen Dritten sendete, wurden dem Bewerber 1.000 Euro Schadensersatz zugesprochen.

Das Gericht sprach einer Polizistin 5.000 Euro Schadensersatz zu, nachdem eine Band ein Musikvideo von einem Konzert, auf dem sie im Dienst zu sehen war, auf Youtube veröffentlichte. Nach dem Kunsturheberrechtsgesetz ist für eine Verbreitung und Veröffentlichung von Bildmaterial grundsätzlich die Einwilligung des Abgebildeten erforderlich (§ 22 KUG). Die Höhe der Geldentschädigung begründet das Gericht damit, dass das allgemeine Persönlichkeitsrecht der Polizistin schuldhaft verletzt wurde, der Eingriff schwerwiegend war und das Video durch seine Veröffentlichung auf YouTube weitreichend verbreitet wurde. Zudem wurde durch das Musikvideo der Gewinn der Band gesteigert. Zwar bezog sich das Gericht in seiner Entscheidung nicht auf die DS-GVO, das Ergebnis wäre hier aber wohl gleich.