FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen

Jetzt kommt die DSGVO endgültig im Geschäftsalltag von allen Unternehmern an. Neben vielen Untersuchungen von Aufsichtsbehörden erleben wir in unserer Beratungspraxis in jüngster Zeit einen starken Anstieg bei der Geltendmachung von Schadensersatzansprüchen durch Verbraucher gegenüber Händlern, die Datenschutzverstöße begangen haben sollen. Dies betrifft vor allem das Online-Business. Immer häufiger entscheiden die Gerichte zuletzt zu Gunsten der Verbraucher und verurteilen Unternehmen zur Zahlung von nicht nur geringen Summen. Die IT-Recht Kanzlei bietet einen Überblick und liefert Antworten auf die Fragen, die sich viele Händler gegenwärtig stellen.

Welche Voraussetzungen müssen vorliegen, damit Kunden einen Anspruch auf Schadensersatz gegen Verantwortliche, wie z.B. auch Online-Händler, haben?

Die zentrale Vorschrift der datenschutzrechtlichen Schadensersatzpflicht ist Art. 82 der Datenschutz-Grundverordnung (DSGVO). Darin ist geregelt:

„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen (…).“

„(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. (…)“

„(3) Der Verantwortliche (…) wird von der Haftung (…) befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Weiterführende Informationen zu den Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruches finden Sie in diesem Beitrag der IT-Recht Kanzlei.

Welche Schäden können durch Datenschutzverstöße eigentlich entstehen?

Der Wortlaut des Art. 82 DSGVO erwähnt ausdrücklich materielle und immaterielle Schäden.

Materielle Schäden meint vor allem Schäden, die ihrer Höhe nach bezifferbar sind und damit feststehen. Vorstellbar sind vor allem Schäden, die im Zusammenhang mit sog. Identitätsdiebstählen, -betrügen oder sonstigen Identitätsmissbräuchen entstehen, wenn z.B. Kundendaten gehackt, gefischt oder anderweitig rechtswidrig abgegriffen und dazu verwendet werden, Bestellungen auf fremde Kosten vorzunehmen oder sonstige kostenpflichtige Leistungen zu buchen. Dies betrifft insbesondere die Verwendung fremder Zahlungsdaten, wie z.B. Kreditkarteninformationen.

Immaterielle Schäden können beispielsweise in einer Rufschädigung, in psychischen Beeinträchtigungen, Angst und Stress bestehen. Im Unterschied zu materiellen Schäden steht bei immateriellen Schäden deren bezifferbare Höhe nicht als konkrete Vermögenseinbuße fest, sondern muss anderweitig bestimmt werden. Kompensiert werden können immaterielle Schäden im Rahmen eines sog. Schmerzensgeldes.

Über allen Datenschutzverstößen schwebt daher die große Frage, wie „schmerzhaft“ der jeweilige Verstoß ist und wie hoch das Schmerzensgeld daher ausfallen sollte. Da die DSGVO ein noch recht junges Gesetz ist, und die deutschen Gerichte sich bislang nicht selten nur mit der Bestimmung der Höhe von Schmerzensgeldern bei Verstößen gegen deutsche Gesetze auseinandersetzen mussten, und nicht mit Verstößen gegen EU-Recht, wird es aller Voraussicht nach auch in den nächsten Monaten und Jahren noch zu einer Reihe von teils stark voneinander abweichenden Entscheidungen von Gerichten hinsichtlich der Höhe des Schmerzensgeldes bei Datenschutzverstößen kommen. Verantwortliche i.S.d. Datenschutzrechts, wie etwa auch Online-Händler, sind daher dem Risiko mehr oder weniger hoher Schmerzensgelder ausgesetzt.

Wie hoch können datenschutzrechtliche Schadensersatzansprüche sein?

Während bei materiellen Schäden, die durch Datenschutzverstöße entstehen, schlichtweg die konkreten, durch den jeweiligen Datenschutzverstoß verursachten Vermögenseinbußen zu ermitteln und auszugleichen sind, ist die Bemessung der Höhe von immateriellen Schäden ungleich schwieriger. Bei immateriellen Schäden dienen – grob gesagt – vor allem die Schwere und die Dauer des jeweiligen Datenschutzverstoßes als Grundlage für die Bemessung der Schadenshöhe.

Da es sich bei dem datenschutzrechtlichen Schadensersatzanspruch aus Art. 82 DSGVO nicht um eine Schadensnorm des deutschen Zivilrechts handelt, sondern um eine Regelung aus dem EU-Recht, müssen bei der Bemessung des Schadens zudem dessen Besonderheiten berücksichtigt werden. So soll der DSGVO-Schadensersatz nicht nur die entstandenen finanziellen und sonstigen Nachteile des Geschädigten ausgleichen, sondern zudem auch abschrecken und weitere Datenschutzverstöße unattraktiv machen. Daher fallen DSGVO-Schadensersatzansprüche tendenziell höher aus als ähnliche Schadensersatzansprüche, die sich aus dem deutschen Zivilrecht ergeben, etwa bei Verletzungen des allgemeinen Persönlichkeitsrechts.

Muss ich auch dann dem Geschädigten Schadensersatz zahlen, wenn nicht ich selbst, sondern einer meiner Mitarbeiter, ein Praktikant oder ein Dienstleister den Datenschutzverstoß begangen hat?

Grundsätzlich ja. Der Verantwortliche im Sinne des Datenschutzrechts, der dem Schadensersatzanspruch aus Art. 82 DSGVO unterliegt, haftet grundsätzlich für sämtliche Datenschutzverstöße, die durch das Unternehmen bzw. die Organisation des Verantwortlichen verursacht werden.

Dabei spielt es keine Rolle, welche Person den Datenschutzverstoß begangen hat, solange der Verstoß dem Verantwortlichen zuzurechnen ist. In welchen Konstellationen dies der Fall ist, und in welchen nicht, ist im Detail allerdings noch nicht geklärt, sondern wird über die nächsten Monate und Jahre die Rechtsprechung beschäftigen.

Muss ich bei Datenschutzverletzungen auch dann Schadensersatz leisten, wenn ich bereits einen Bußgeldbescheid einer Datenschutzbehörde erhalten habe?

Ja. Der Anspruch von betroffenen Personen auf Schadensersatz im Falle von Datenschutzverstößen besteht vollkommen unabhängig und neben etwaigen Bußgeldbescheiden und sonstigen Maßnahmen von Datenschutzbehörden.

Bei Datenschutzverstößen drohen somit nicht nur Schadensersatzansprüche betroffener Personen, sondern auch – teils nicht nur unerhebliche – Bußgelder. Daneben sind im Übrigen auch noch Abmahnungen durch Mitbewerber möglich.

Mit welchen Schadensersatzforderungen muss ich rechnen, wenn ich unzulässige Werbemails versende?

Das LG Heidelberg hat in einem Fall dem Empfänger von unzulässiger E-Mail-Werbung einen Anspruch auf Schadensersatz nach Art. 82 DSGVO in Höhe von EUR 25,00 zugesprochen (Urteil vom 16. März 2022 – Az. 4 S 1/21).

Der Kläger hatte auf seine berufliche E-Mail-Adresse eine Werbemail erhalten, worin er zuvor nicht eingewilligt hatte, weshalb nach Ansicht des Gerichts neben einem UWG-Verstoß gegen § 7 Abs. 2 Nr. 2 UWG auch ein Datenschutzverstoß gegen Art. 6 DSGVO vorlag.

Nach Auffassung des Gerichts sei dem Kläger dadurch ein Schaden entstanden, dass er sich mit den unerwünschten Werbemails der Beklagten auseinandersetzen, deren Herkunft ermitteln, sich um eine Auskunft der Beklagten mittels eines Schreibens bemühen und die unerwünschten E-Mails löschen musste. In der Höhe sei zur Entschädigung der erlittenen Beeinträchtigungen die Zahlung von EUR 25,00 angemessen – ähnlich der in Verkehrsunfällen für die Umstände und Aufwendungen im Zusammenhang mit der Schadensabwicklung üblichen Auslagenpauschale.

Bemerkenswert ist, dass in diesem Fall die berufliche E-Mail-Adresse des Empfängers der Werbemails betroffen war. Gehen unzulässige Werbemails hingegen bei Verbrauchern ein, stellt dies normalerweise ein noch größerer Rechtsverstoß dar, der daher auch zu höheren Schadensersatzansprüchen führen kann.

Mit welchen Schadensersatzforderungen meiner Webshop-Besucher muss ich rechnen, wenn ich den Dienst Google Fonts nutze?

Das LG München I hat entschieden, dass der Betreiber einer Website für die Weitergabe einer IP-Adresse des klagenden Nutzers beim Laden der Webfonts bei Einsatz des Dienstes Google Fonts ohne Vorliegen einer entsprechenden datenschutzrechtlichen Einwilligung des Nutzers einen Datenschutzverstoß begeht, der auch zur Folge habe, dass dem betroffenen Nutzer Schadensersatz in Höhe von EUR 100,00 zu zahlen sei (Urteil vom 20. Januar 2022 – Az. 3 O 17493/20).

Aus Sicht des Gerichts sei die Übermittlung der IP-Adresse des Nutzers, die im Übrigen ein personenbezogenes Datum sei, nur auf Grundlage einer datenschutzrechtlichen Einwilligung nach Art. 6 (1) S. 1 lit. a DSGVO zulässig. Eine Rechtfertigung der Übermittlung der IP-Adresse aufgrund der Rechtsgrundlage der berechtigten Interessen des Website-Betreibers, die Website grafisch möglichst ansprechend zu gestalten, nach Art. 6 Abs. 1 lit. f DSGVO sei hingegen bereits deshalb keine taugliche Rechtsgrundlage für die Datenübermittlung, weil diese Übermittlung für die Erreichung des Zwecks nicht erforderlich sei.

Durch die einwilligungslose Übermittlung der IP-Adresse des Nutzers an Google im Wege der Verbindungsaufnahme mit Google beim Laden der Webfonts sei das Recht auf informationelle Selbstbestimmung des Nutzers als Teil dessen allgemeinen Persönlichkeitsrecht verletzt worden, so dass dem Nutzer deshalb ein Schadensersatzanspruch zusteht.

Weitere Informationen zu diesem Fall finden Sie auch in diesem Beitrag der IT-Recht Kanzlei.

Wie Sie auf das virale Phänomen der Schadensersatzforderungen von Privatpersonen wegen der Nutzung von Google Fonts am besten reagieren, können Sie in diesem Beitrag der IT-Recht Kanzlei nachlesen.

Mit welchen Schadensersatzforderungen muss ich rechnen, wenn unbekannte Dritte Zugriff auf meine Kundendaten erhalten?

Nach einer Entscheidung des LG Köln muss ein Neobroker wegen eines Datenschutzverstoßes im Zusammenhang mit einem unberechtigtem Zugriff auf Kundendaten durch unbekannte Dritte nach Art. 82 DSGVO Schadensersatz in Höhe von EUR 1.200,00 an einen seiner Kunden zahlen (Urteil vom 18. Mai 2022 – Az. 28 O 328/21).

In einem ähnlichen Fall hatte das LG München I schon zuvor entschieden, dass derselbe Neobroker wegen des Datenschutzverstoßes sogar Schadensersatz in Höhe von EUR 2.500,00 an einen Kunden zahlen muss (Urteil vom 9. Dezember 2021 – Az. 31 O 16606/20).

In beiden Fällen ging es um einen Datenschutzverstoß des Neobrokers, über den er seine Kunden im Oktober 2020 informiert hatte. Zuvor hatten unbekannte Dritte bestimmte Informationen der Kunden gestohlen bzw. Zugriff auf diese erhalten. Hierzu gehörten etwa Ausweisdaten, Name und Adresse, Wertpapierabrechnungen sowie auch steuerliche Daten.

Sowohl das LG München I als auch das LG Köln entschieden, dass der Neobroker seine datenschutzrechtlichen Sorgfaltspflichten aus Art. 32 DSGVO, insbesondere zur Einrichtung und Unterhaltung von technischen und organisatorischen Schutzmaßnahmen zum Schutz der durch ihn verarbeiteten personenbezogenen Daten und zur Gewährleistung einer sicheren Datenverarbeitung verletzt hatte und daher zum Ersatz des daraus entstandenen Schadens verpflichtet sei. Zu einem nachweisbaren Missbrauch der gestohlenen Daten kam es bis zu den jeweiligen Zeitpunkten der Entscheidungen nicht.

Bei der Bemessung der Höhe des immateriellen Schadensersatzes haben die Gerichte zwar einerseits berücksichtigt, dass die Daten noch nicht zu Lasten der Kläger missbraucht worden waren, und daher bloß eine mehr oder weniger hohe Gefährdung – insbesondere für einen Identitätsmissbrauch – angenommen werden konnte. Andererseits ließen die Gerichte aber ausdrücklich auch die vom EU-Gesetzgeber beabsichtigte abschreckende Wirkung des Schadensersatzes in die Bemessung der Höhe des Anspruchs einfließen.

Mit anderen Worten: Kommt es nach einem Datendiebstahl zu einem Identitätsmissbrauch und dadurch zu konkreten bezifferbaren Schäden, muss davon ausgegangen werden, dass die Gerichte den betroffenen Personen neben dem Ersatz der beziffer- und nachweisbaren Vermögenseinbußen auch Schmerzensgelder in nicht nur unerheblicher Höhe zusprechen werden.

Mit welchen Schadensersatzforderungen muss ich rechnen, wenn ich Daten von meinen ehemaligen Mitarbeitern nicht oder nicht rechtzeitig von meiner Website nehme?

In einem Fall hat das Arbeitsgericht Neuruppin (Urteil vom 14.12.2021 – Az. 2 Ca 554/21) den Arbeitgeber zur Zahlung von Schadensersatz in Höhe von EUR 1.000,00 verpflichtet, weil er die Daten einer ausgeschiedenen Mitarbeiterin über mehrere Monate hinweg weiterhin auf der Website veröffentlichte, was nach Ansicht des Gerichts eine Datenschutzverletzung gewesen ist. Betroffen war der Name der ehemaligen Mitarbeiterin, den der Arbeitgeber trotz Aufforderung zur Löschung weiterhin auf seiner Webseite angegeben hatte.

Nach Ansicht des Gerichts ist ein Arbeitgeber nach Beendigung des Arbeitsverhältnisses auch ohne gesonderte Aufforderung durch den ehemaligen Mitarbeiter bereits von Gesetzes wegen dazu verpflichtet, sämtliche im Zusammenhang mit der Mitarbeiterin veröffentlichten Daten von der Website des Arbeitgebers zu entfernen. Dies sie nicht bloß eine datenschutzrechtliche Pflicht, sondern auch eine allgemeine Nebenpflicht aus dem Arbeitsverhältnis nach § 241 Abs. 2 BGB.

Bei der Bestimmung der Höhe des Schadensersatzanspruchs berücksichtigte das Gericht, dass der Datenschutzverstoß mehrerer Monate andauerte und fahrlässig, und damit schuldhaft begangen worden sei. Unerheblich für die Höhe des Anspruchs sei hingegen, dass die ehemalige Mitarbeiterin im Gerichtsprozess keine immateriellen Beeinträchtigungen vorgetragen habe, da der datenschutzrechtliche Schadensersatzanspruch auch eine Warn- und Abschreckungsfunktion habe.

Vor diesem Hintergrund dürfte die datenschutzrechtswidrige Veröffentlichung etwa auch von Fotos ehemaliger Mitarbeiter auf der Website einen noch größeren Verstoß darstellen und zu höheren Schadensersatzansprüchen führen. Wir empfehlen daher, im Offboarding-Prozess vorzusehen, dass die personenbezogenen Daten des ausscheidenden Mitarbeiters auf der Website und ggf. auch in anderen Publikationen standardmäßig im Zuge des Ausscheidens gelöscht werden.

Mit welchen Schadensersatzforderungen muss ich rechnen, wenn ich unzulässigerweise meine Kundendaten zur Bonitätsprüfung mit Kreditscoringdiensten wie Schufa & Co teile?

Das OLG Koblenz hat entschieden, dass ein Unternehmen gemäß Art. 82 DSGVO Schadensersatz in Höhe von EUR 500,00 an eine Kundin zahlen muss, weil es eine Forderung der Kundin in datenschutzrechtlicher Hinsicht unzulässig an die privatwirtschaftliche deutsche Wirtschaftsauskunftei SCHUFA gemeldet hatte (Urteil vom 18. Mai 2022 – Az. 5 U 2141/21).

Nach einem Rechtsstreit zwischen dem Unternehmen und seiner später klagenden Kundin über bestimmte Forderungen des Unternehmens meldete das Unternehmen die Forderungen an die SCHUFA, obwohl es dazu nicht berechtigt war. Da die Hausbank der Kundin später in einer anderen Sache die Verhandlungen über die Gewährung eines Darlehens wegen der SCHUFA-Einträge der Kundin abbrach, verlangte diese von dem Unternehmen insgesamt EUR 6.000,00 Schadensersatz.

Nach Ansicht des Gerichts sei die Kundin durch die widerrechtliche Weitergabe ihrer Daten an die SCHUFA und der anschließenden Veröffentlichung ihrer Daten als zahlungsunfähige oder jedenfalls zahlungsunwillige Kundin stigmatisiert worden. Die so entstandene Rufschädigung sei eine Verletzung ihres Allgemeinen Persönlichkeitsrechts, die auch als immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO anzusehen sei.

Allerdings sei die von der Kundin geforderte Höhe völlig überzogen und stehe insbesondere außer Verhältnis zu immateriellen Ersatzansprüchen im Kontext anderer Schädigungshandlungen, wie etwa bei Körperverletzungen. Das Gericht hielt ein Schmerzensgeld in Höhe von EUR 500,00 für angemessen, und auch ausreichend, um der sog. Ausgleichs- und Genugtuungsfunktion des Schmerzensgeldes zu genügen, und auch der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen.

Vor diesem Hintergrund wird spannend sein, ob sich diese Herangehensweise zur Bestimmung der Höhe des Anspruchs auf immateriellen Schadensersatz, also Schmerzensgeld, auch bei anderen Gerichten, und damit in der Praxis insgesamt, durchsetzen wird. Das OLG Koblenz hat bei der Bestimmung der Schadenshöhe auf die Regelungen und Maßstäbe des deutschen Schadensrechts zurückgegriffen. Die DSGVO ist aber EU-Recht und daher unabhängig von den nationalen Vorschriften der einzelnen EU-Mitgliedstaaten auszulegen und anzuwenden.

Nicht zuletzt auch deshalb hat das AG München jüngst einige Fragen zur Auslegung des datenschutzrechtlichen Schadensersatzanspruchs aus Art. 82 DSGVO dem EuGH zur Entscheidung vorgelegt (Beschluss vom 2. März 2022 – Az. 132 C 1263/21). Zwar wird es noch ein wenig dauern, bis der EuGH darüber entschieden hat, allerdings wird diese Entscheidung voraussichtlich erhebliche Auswirkungen darauf haben, wie groß das Risiko für Unternehmen tatsächlich ist, bei Datenschutzverstößen Schadensersatz zahlen zu müssen.

Wie kann ich als Online-Händler im Geschäftsalltag vermeiden, datenschutzrechtlichen Schadensersatzansprüchen meiner Kunden ausgesetzt zu werden?

Gleich die bittere Wahrheit vorneweg: Als Online-Händler, der von Kunden und Mitbewerbern wahrgenommen wird, stehen Sie im Fokus und sind schon allein deshalb angreifbar. Sie werden daher nicht vermeiden können, dass Sie datenschutzrechtliche Anfragen und auch Beschwerden erhalten, unabhängig davon, ob diese berechtigt sind oder nicht.

Daher werden Sie nicht vollständig vermeiden können, auch (unberechtigten) Forderungen auf Zahlung von DSGVO-Schadensersatz ausgesetzt zu sein. Aber natürlich können Sie sehr wohl das Risiko vermindern, dass solche Forderungen berechtigt sind, indem Sie die Daten Ihrer Kunden gemäß den datenschutzrechtlichen Vorgaben verarbeiten und schützen.

Dabei müssen Sie zwei Dinge unterscheiden und auseinanderhalten: Den quasi für jeden sichtbaren Datenschutz auf der einen, und den etwas versteckten auf der anderen Seite. Wenig überraschend: der sichtbare Datenschutz ist zunächst einmal der für Sie in der Praxis etwas wichtigere.

Sieht man einem Webshop, der Datenschutzerklärung und der elektronischen Kommunikation (und dabei vor allem der Einbindung des Newsletters) bereits auf den ersten Blick an, dass der Händler keinen besonderen Wert auf die Einhaltung der datenschutzrechtlichen Vorgaben legt, besteht ein nicht nur geringes Risiko von Untersuchungen durch Datenschutzbehörden, Abmahnungen durch Mitbewerber und eben auch Geltendmachung von Betroffenenrechten von Kunden – und, in deren Folge oder auch davon unabhängig, von Schadensersatzansprüchen. Denn Website und Datenschutzerklärung sind für jeden ohne großen Aufwand jederzeit einsehbar. Daher ist unsere dringende Empfehlung, zumindest diese Dinge in bester Ordnung zu halten.

Unsere Mandanten erhalten von uns nicht nur eine DSGVO-Datenschutzerklärung, sondern haben über unser Mandantenportal zudem auch Zugriff auf zahlreiche Leitfäden und Muster zum Datenschutz, einschließlich Musterformulierungen zur Kommunikation mit den Kunden über datenschutzrechtliche Themen.

Welches sind weitere wichtige Maßnahmen, die ich als Online-Händler treffen sollte, um das Risiko von datenschutzrechtlichen Schadensersatzansprüchen zu mindern?

Neben dem bereits angesprochenen, für jeden sichtbaren Datenschutz auf der Website sollten Online-Händler vor allem auch den für Behörden und einzelne Kunden sichtbaren Datenschutz wahren.

Dies betrifft in jedem Fall die Einhaltung der datenschutzrechtlichen Mindeststandards. Hierzu gehören insbesondere

• die Erstellung und Pflege eines Verarbeitungsverzeichnisses und
• die fristgemäße, formgerechte und inhaltlich richtige Beantwortung von Betroffenenanfragen, wie vor allem Auskunftsersuchen nach Art. 15 DSGVO und Löschungsanfragen nach Art. 17 DSGVO.

Auch hierfür finden unsere Mandanten Leitfäden und Muster in unserem Mandantenportal. Denn das Allerwichtigste ist, sich in angemessenem Umfang vorzubereiten und im Fall der Fälle gut gerüstet zu sein.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.