Immer mehr Gerichte urteilen: Pflicht zum Schadensersatz bei Datenschutzverstößen

Bei Verstößen gegen das Datenschutzrecht, insbesondere die DSGVO, drohen nicht nur unangenehme Maßnahmen von Behörden, einschließlich hohen Bußgeldern, sondern auch schmerzhafte Schadensersatzzahlungen. Immer mehr Gerichte entscheiden zu Gunsten von Personen, die von einem Datenschutzverstoß betroffen sind. Wir erläutern die aktuellen Entwicklungen und geben wichtige Hinweise, wie Händler hohe Schadensersatzsummen vermeiden können.

I. Bei Datenschutzverstößen: Pflicht zum Schadensersatz

Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadensersatz für jede Person vor, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist. Der Schadensersatzanspruch richtet sich dabei gegen den datenschutzrechtlich Verantwortlichen und Auftragsverarbeiter.

Vieles ist im Zusammenhang mit dieser DSGVO-Schadensersatznorm noch nicht vollständig geklärt, etwa ob Verantwortliche auch bei nur geringfügigen, bloß unerheblichen Datenschutzverstößen Schadensersatz leisten müssen oder nur bei erheblichen, d.h. schwerwiegenderen Verstößen. Solche und andere Fragen werden von einigen Gerichten gegenwärtig dem für die Beantwortung letztlich zuständigen EuGH vorgelegt, so dass schon bald mit der einen oder anderen klärenden Entscheidung zu rechnen ist.

Voraussetzung für einen datenschutzrechtlichen Schadensersatzanspruch einer betroffenen Person ist in jedem Fall aber, dass durch den Datenschutzverstoß überhaupt ein Schaden entstanden ist, den die betroffene Person darlegen und ggf. auch beweisen muss - ohne Schaden gibt es also auch keinen Schadensersatz (s. hierzu etwa das LG Essen, Urteil v. 10. November 2022, Az. 6 O 111/22, Rn. 103 ff.).

II. Wenn Schadensersatz, dann teils schmerzhafte Schadenssummen

Während über die einzelnen rechtlichen Voraussetzungen, die für einen datenschutzrechtlichen Schadensersatzanspruch vorliegen müssen, noch gestritten wird, sprechen viele Gerichte in letzter Zeit in Einzelfällen den durch einzelne Datenschutzverstöße geschädigten Personen teils recht hohe Summen Schadensersatz zu.

Zumindest auf den ersten Blick erscheint dabei nicht jeder der betreffenden Datenschutzverstöße derart schlimm zu sein, dass die jeweils hierfür zugesprochenen Schadenssummen bzw. Geldentschädigungen zu erwarten gewesen wären. Es besteht somit der Eindruck, Gerichte würden Datenschutzverstöße ernst nehmen und entsprechend sanktionieren.

III. Welche Datenschutzverstöße führten zuletzt zu welchen Schadenssummen?

Die nachfolgende Übersicht von einigen jüngeren Gerichtsentscheidungen zeigt, welche Datenschutzverstöße nach Ansicht der Gerichten im jeweiligen Fall zu welchen Schadensersatz-Ansprüchen geführt haben:

• EUR 4.000 wegen unbefugter Weitergabe von Daten eines Kunden eines Autohändlers (LG Köln, Urteil vom 28. September 2022, Az. 28 O 21/22): Der Kunde hat beim Autohändler ein Fahrzeug gekauft und den Kaufpreis über eine Bank finanziert, die mit dem Autohändler kooperierte. Da der Bank noch ein Nachweis im Zusammenhang mit dem Darlehensvertrag fehlte, der Mitarbeiter des Autohändlers den Kunden hierzu aber nicht erreichte, schrieb der Mitarbeiter eine E-Mail an den - ihm persönlich bekannten - Vorgesetzten des Kunden. Darin bat er diesen, den Kunden in einem Gespräch zur Vorlage des fehlenden Nachweises zu bewegen. Tatsächlich kam es zu dem Gespräch, das der Kunde als sehr unangenehm empfand und daher zur Klage bewegte. Da die Weitergabe der persönlichen Informationen an den Vorgesetzten des Kunden durch den Mitarbeiter des Autohändlers aus datenschutzrechtlicher Hinsicht unzulässig war, hierfür insbesondere kein Rechtsgrund bestand, lag ein Datenschutzverstoß und aus Sicht des Gerichts auch ein immaterieller Schaden, für dessen Ausgleich das Gericht die Zahlung einer Geldentschädigung in Höhe von EUR 4.000 als angemessen ansah. Der Kläger hatte ursprünglich sogar eine Geldentschädigung von EUR 100.000 verlangt, weil der Datenschutzverstoß aus seiner Sicht bei ihm zu einer psychischen Erkrankung führte. Das Gericht sah einen kausalen Zusammenhang zwischen dem Datenschutzverstoß und der psychischen Erkrankung aber nicht als erwiesen an.
• EUR 2.500 wegen Diebstahls personenbezogener Kundendaten (LG München, Urteil vom 9. Dezember 2021, Az. 31 O 16606/20): Bei einem Finanzdienstleister wurden von unbefugten Dritten im Rahmen eines IT-Angriffs die folgenden Kundendaten gestohlen: Vor- und Nachname, Anrede, Anschrift, E-Mail-Adresse, Handynummer, Geburtsdatum, -ort und –land, Staatsangehörigkeit, Familienstand, Steuerliche Ansässigkeit und Steuer-ID, IBAN, Ausweiskopie, Portraitfoto, welches im Post-Ident-Verfahren angefertigt wurde. Ein hiervon betroffener Kunde verklagte den Finanzdienstleister auf Schadensersatz und bekam eine Geldentschädigung in Höhe von EUR 2.500 zugesprochen. Das Gericht sah es als erwiesen an, dass der Finanzdienstleister seiner Pflicht zu geeigneten technischen und organisatorischen Maßnahmen aus Art. 32 DSGVO nicht hinreichend nachgekommen ist, um ein dem Risiko angemessenes Schutzniveau der personenbezogenen Daten zu gewährleisten.
• EUR 500 wegen verspäteter Auskunft über personenbezogene Daten nach Art. 15 DSGVO (OLG Köln, Urteil vom 14. Juli 2022, Az. 15 U 137/21): Eine Mandantin forderte ihren ehemaligen Rechtsanwalt dazu auf, gemäß dem datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO Auskunft über die Verarbeitung seiner personenbezogenen Daten zu erteilen. Der Rechtsanwalt kam der Aufforderung erst neun Monate nach der Beantragung nach, statt innerhalb von einem Monat, wie dies grundsätzlich in Art. 12 Abs. 3 DSGVO vorgeschrieben ist.

IV. Wie kann ich als Online-Händler vermeiden, wegen Datenschutzverstößen Schadensersatz zahlen zu müssen?

Es ist so plausibel wie einfach: Wer keine Datenschutzverstöße begeht, muss auch keinen DSGVO-Schadensersatz leisten. Am besten geschützt sind somit solche Händler, die die Vorgaben der DSGVO vollständig beachten.

Die drei genannten Beispiele wie auch die anderen jüngsten Gerichtsverfahren zu datenschutzrechtlichen Schadensersatzansprüchen lassen drei Bereiche erkennen, in denen es häufiger zu Schadensersatzansprüchen aufgrund von Datenschutzverstößen kommt:

• Verstöße gegen die Transparenzpflichten der DSGVO, insbesondere der Informations- und Auskunftsansprüche über die Verarbeitung von personenbezogenen Daten
• die unbefugte Weitergabe bzw. Offenlegung von personenbezogenen Daten gegenüber hierzu nicht berechtigten Dritten
• unzureichende technischen und organisatorische Maßnahmen, insbesondere nicht angemessen geschützte IT-Systeme

Während Online-Händler die Sicherheit ihrer IT-Systeme mit einem kompetenten IT-Dienstleister gewährleisten können und unbefugte Weitergaben von personenbezogenen Daten durch vernünftige Prozesse vermieden werden können, ist für die Einhaltung der datenschutzrechtlichen Transparenzpflichten unbedingt erforderlich, dass die Händler ihre Kunden über alle Punkte hinreichend informieren, die der Gesetzgeber vorgegeben hat. Hierzu ist nicht nur erforderlich, sämtliche datenschutzrechtlichen Vorgaben zu kennen, sondern auch vernünftig umzusetzen, also etwa auch alle relevanten Informationen von Dienstleistern zu erhalten, an die z.B. Kundendaten im Rahmen einer Bestellung übermittelt werden.

Statt sich in Eigenregie in das Thema hineinzuarbeiten und mangels entsprechender Erfahrung vielleicht dennoch einige wichtige Punkte zu übersehen, sollte dies besser in die Hände eines kompetenten Partners gelegt werden, der sich tagtäglich hierum kümmert.

V. Fazit

Bei Datenschutzverstößen drohen nicht nur unangenehme Untersuchungen durch Aufsichtsbehörden und Sanktionen wie Bußgelder, sondern auch die Verpflichtung zu Schadensersatzzahlungen an betroffene Personen. Da ein einziger Datenschutzverstoß nicht selten viele Personen betrifft, besteht in Summe ein Risiko schmerzhafter Schadensersatzsummen.

Dabei lassen sich viele Datenschutzverstöße alleine schon dadurch vermeiden, dass datenschutzrechtliche Prozesse beachtet und hinreichend über die Verarbeitung von personenbezogenen Daten informiert bzw. Auskunft gegeben wird. Die IT-Recht Kanzlei stellt ihren Mandanten die hierfür erforderlichen Rechtstexte in Form der Datenschutzerklärung für ihren Webshop oder Website sowie viele Leitfäden und Muster bereit.

Buchen Sie daher eines unserer Schutzpakete, um Ihre Online-Präsenz rechtlich abzusichern oder sprechen Sie uns gerne an, wenn Sie hierzu noch Fragen haben.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.