Die Datenschutz-Grundverordnung hat die Haftung auf Schadenersatz wegen Datenschutzverstößen erheblich ausgeweitet. Hielten sich die Gerichte in der Vergangenheit bei dem Ersatz von Schäden auf Grund der DSGVO eher zurück, tendieren jüngere Urteile aus diesem Jahr in eine entgegengesetzte Richtung. Mehrere Gerichte haben Betroffenen Ersatzansprüche für immaterielle Schäden infolge von datenschutzrechtlichen Verstößen zugesprochen. Der folgende Beitrag nimmt diese Entwicklung auf, indem er die zentralen Fragen zur datenschutzrechtlichen Haftung beantwortet und aktuelle Haftungsrisiken analysiert. Hieraus lassen sich im Ergebnis Maßnahmen ableiten, durch die datenschutzrechtliche Schadensersatzansprüche wirksam vermieden werden können.
Richterhammer

Wo ist der Anspruch auf Schadenersatz geregelt?

Der datenschutzrechtliche Schadensersatzanspruch ist in Art. 82 Abs. 1 DSGVO kurz und bündig geregelt:

Art. 82 Abs. 1 DSGVO
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Damit wird ein genereller Schadensersatzanspruch formuliert, der jeder Person wegen datenschutzrechtlichen Verstößen gegenüber einem Verantwortlichen oder Auftragsverarbeiter zusteht. Dieser Anspruch ergänzt die allgemeinen zivilrechtlichen Haftungsbestimmungen und überlagert diese zum Teil auch.

Der Anspruch des Art. 82 DSGVO bildet neben dem Beschwerderecht aus Art. 77 DSGVO einen weiteren Mechanismus für individuellen Rechtsschutz im Datenschutzrecht. Neben der behördlichen Verhängung von Bußgeldern stellt der Schadensersatzanspruch ein wesentliches Mittel zur praktischen Durchsetzung der gesetzlichen Schutzvorschriften dar. Denn das bestehende Haftungsrisiko kann Verstößen vorbeugen und einen zusätzlichen Anreiz für Sicherungsmaßnahmen schaffen.

Welche Datenschutzverstöße können einen Ersatzanspruch begründen?

Grundsätzlich kann jeder Verstoß gegen eine datenschutzrechtliche Vorschrift den Schadensersatzanspruch begründen.

Nach dem Wortlaut des Art. 82 DSGVO setzt der Anspruch zwar einen Verstoß gegen die DSGVO („gegen diese Verordnung) voraus. Nach Erwägungsgrund 146 sollen aber auch Verstöße gegen datenschutzrechtliche Bestimmungen, die von den Mitgliedstaaten zur Umsetzung der DSGVO erlassen wurden, genügen.

Den durch die jüngere Rechtsprechung zuerkannten Schadensersatzansprüchen lagen allerdings durchweg Verstöße gegen die DSGVO zu Grunde. Die gegenständlichen Verstöße lassen sich dabei grob in drei Fallgruppen einteilen:

  • Verspätete oder unzureichende Umsetzung der Betroffenenrechte (Art. 12 bis Art. 22 DSGVO);
  • Unterbliebene Benachrichtigung der betroffenen Person nach einem Datenschutzvorfall (Art. 34 DSGVO);
  • Unrechtmäßige Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO).

Aus dieser Kategorisierung darf aber nicht der Schluss gezogen werden, dass nicht benannten Verstößen kein Risiko innewohnt. Prinzipiell kann auch jeder andere Verstoß, gegen datenschutzrechtliche Vorgaben einen Schadensersatzanspruch begründen. Es kommt aber darauf an, dass aus dem bloßen Verstoß auch tatsächlich ein Schaden entstanden ist.

Welche Schäden können aus einem Verstoß resultieren?

Der Schadenersatzanspruch des Art. 82 Abs. 1 DSGVO umfasst sowohl den Ausgleich von materiellen als auch immateriellen Schäden.
Ein materieller Schaden meint jede Wertminderung des tatsächlichen Vermögens, die in Geld bemessen werden kann. Durch den Ersatz soll diese Minderung ausgeglichen werden. Ein immaterieller Schaden ist dagegen gegeben, wenn die Beeinträchtigung nicht konkret in Geld bemessen werden kann, wie es etwa bei der Gesundheit oder dem Persönlichkeitsrecht der Fall ist. Neben dem bloßen Ausgleich der Wertminderung tritt hierbei die Wiedergutmachung für die erlittene Beeinträchtigung. Der immaterielle Schaden wird aus diesem Grund auch als Schmerzensgeld bezeichnet.

Nach Erwägungsgrund 75 kann ein immaterieller Schaden insbesondere in einer Diskriminierung, einer Rufschädigung, einem Verlust der Vertraulichkeit liegen, soll aber auch gegeben sein, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht wird oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren.

In den derzeit veröffentlichten Urteilen wird gerade der letztgenannte Aspekt des Kontrollverlustes betont und als eigenständige Schadensposition anerkannt. Ein solcher Kontrollverlust liegt klar vor, wenn Daten in unzulässiger Weise weitergegeben werden oder abhandenkommen. Darüber hinaus wird ein Verlust der Kontrolle in der Rechtsprechung aber bereits auch dann angenommen, wenn geltend gemachte Betroffenenrechte einer Person nicht rechtzeitig oder unvollständig nachgekommen wird.

Wie bestimmt sich die Höhe eines immateriellen Schadens?

Die Bemessung der konkreten Schadenshöhe obliegt dem entscheidenden Gericht, dass hierzu eine Abwägung vornimmt. Art. 82 DSGVO selbst enthält für diese Entscheidung keine weiteren festgelegten Kriterien. Anhaltspunkte können aber die in Art. 83 DSGVO enthaltenen Kriterien zur Bußgeldbemessung liefern. So können insbesondere die Art, Schwere und Dauer des Verstoßes und die betroffenen Kategorien personenbezogener Daten, ausschlaggebend für die Schadenshöhe sein.

Nach Erwägungsgrund 146 soll die betroffene Person „einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten“. Die Rechtsprechung zieht hieraus den Schluss, dass dem Schadenersatz neben der Ausgleichsfunktion auch eine abschreckende Wirkung zukommen soll und berücksichtigt dies bei der bei der Bemessung der Schadenshöhe. Zum Teil berücksichtigt dieser Ansatz auch die wirtschaftliche Leistungsfähigkeit bei der Bemessung der Schadenshöhe

Bisher beläuft sich die Höhe der zugesprochenen Schadenersatzansprüche jeweils auf eine Summe im niedrigen bis mittleren vierstelligen Bereich. So hat das Arbeitsgericht Düsseldorf dem Betroffenen wegen einer mangelhaften Auskunft, einen Schadenersatz in Höhe von 5000 Euro zugesprochen. Das Landgericht Darmstadt verurteilte einen Arbeitgeber zur Zahlung von 1000 Euro wegen einer unzulässigen Offenlegung von Daten im Bewerbungsprozess. Da es sich jeweils um Einzelfallentscheidungen handelt, lassen sich diese Ergebnisse nicht ohne weiteres auf andere Fallkonstellationen übertragen. Dennoch wird hier ein gewisser Trend sichtbar.

Wie lässt sich das Haftungsrisiko reduzieren?

Die aktuellen Urteile zum datenschutzrechtlichen Schadensersatz lassen eine bestimmte Tendenz erkennen. Die zugesprochenen Schadensersatzansprüche beruhen auf Verstößen im Zusammenhang mit einer unzureichenden Umsetzung der Betroffenenrechte oder einer unzulässigen Offenlegung von Daten. Denn nach der Rechtsprechung resultiert aus solchen Verstößen regelmäßig ein immaterieller Schaden, der in dem Kontrollverlust der betroffenen Person, über die sie betreffenden personenbezogenen Daten liegt.

Mit Blick auf diese Entwicklungen stellt ein ausgearbeitetes und gelebtes Datenschutz-Management im Unternehmen eine wirksame Strategie dar, um die aus Art. 82 DSGVO resultierenden Haftungsrisiken sicher zu minimieren. So lässt sich die Umsetzung der Betroffenenrechte insbesondere durch klar gefasste Zuständigkeiten und Prozesse schnell in den Griff kriegen. Der unzulässigen Offenlegung von Daten kann durch die Schulung und Sensibilisierung der Beschäftigten entgegengewirkt werden.

Fazit

Mit Blick auf die jüngere Rechtsprechung steigt das Risiko, wegen eines Verstoßes gegen datenschutzrechtliche Vorgaben zur Zahlung von Schadenersatz gem. Art. 82 DSGVO in Anspruch genommen zu werden. Besondere Haftungsrisiken bestehen insbesondere bei einer unzureichenden Umsetzung von Betroffenenrechten oder der unzulässigen Offenlegung von Daten. Wirksam reduzieren lassen sich die Haftungsrisiken durch ein ausgearbeitetes Datenschutz-Management im Unternehmen.

Gerne unterstützen wir Sie dabei, Ihre passende Lösung zur Haftungsprävention zu entwickeln und aufzusetzen. Auch bei der Verteidigung gegen Schadensersatzansprüche stehen wir Ihnen gern zur Seite. Hier können Sie Kontakt zu uns aufnehmen.

 

Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.