DSGVO-Schadensersatz: Voraussetzungen und Grenzen + Ablehnungsmuster
Immer mehr Betroffene fordern DSGVO-Schadensersatz wegen angeblicher Datenschutzverstöße - eine wachsende Herausforderung für Online-Händler. Für den DSGVO-Schadensersatz gelten jedoch strenge rechtliche Anforderungen, die längst nicht immer erfüllt werden. Wir zeigen, welche das sind und stellen Muster bereit, um unberechtigte Schadensersatzansprüche wirksam zurückzuweisen.
Inhaltsverzeichnis
- I. Anspruchsvoraussetzungen für einen DSGVO-Schadensersatz
- 1.) Verstoß gegen DSGVO-Vorschriften
- 2.) Verschulden für den Verstoß
- 3.) Nachweis eines Schadenseintritts
- II. Höhe des Schadensersatzes
- III. Wie können Schadensersatzforderungen wirksam vermieden werden?
- IV. Muster für Mandanten: Ablehnung eines Schadensersatzbegehrens
- V. Fazit
I. Anspruchsvoraussetzungen für einen DSGVO-Schadensersatz
Art. 82 DSGVO ist die zentrale Anspruchsgrundlage für datenschutzrechtliche Schadensersatzbegehren im europäischen Datenschutzrecht. Wie viele Vorschriften im harmonisierten EU-Recht ist Art. 82 DSGVO aber weitgehend generisch formuliert und lässt insbesondere Tatbestandsvoraussetzungen für ein berechtigtes Ersatzverlangen nur schemenhaft erkennen.
Gemäß Art. 82 Abs. 1 DSGVO hat insofern
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Seit Inkrafttreten der DSGVO im Mai 2018 war es daher Aufgabe der Rechtsprechung, Kriterien und Grenzen des DSGVO-Schadensersatzanspruchs sinnvoll zu definieren und angemessen auszulegen.
Von besonderer Bedeutung ist und war hierbei, dass sich nationale Gerichte berufen sehen, den Schadensersatzanspruch nach DSGVO im Lichte des jeweiligen nationalen Schadensrechts zu beurteilen und mithin insbesondere eine entsprechende Beweislastverteilung anzunehmen.
Nachfolgend soll aufgezeigt werden, welche Tatbestandsvoraussetzungen die Rechtsprechung für den Schadensersatzanspruch nach DSGVO aufgestellt hat.
Die Voraussetzungen sind kumulativ zu erfüllen.
1.) Verstoß gegen DSGVO-Vorschriften
Zunächst setzt ein DSGVO-Schadenersatzanspruch gemäß Art. 82 Abs. 1 DSGVO den Verstoß gegen eine DSGVO-Vorschrift voraus.
Der Verantwortliche, gegen den der Ersatzanspruch gerichtet wird, muss sich also in irgendeiner Weise datenschutzwidrig verhalten haben.
Art. 82 Abs. 1 DSGVO schränkt den Kreis ersatzfähiger Datenschutzverstöße nicht ein, sodass grundsätzliche jede Zuwiderhandlung gegen eine DSGVO-Norm ausreichend sein kann.
In Betracht kommen vor allem:
- die Verarbeitung von personenbezogenen Daten ohne entsprechende oder ohne hinreichende Rechtsgrundlage im Sinne von Art. 6 DSGVO (auch die Berufung auf eine falsche, nicht einschlägige Rechtsgrundlage)
- der Verstoß gegen Betroffenenrechte nach Art. 15 ff. DSGVO, insbesondere die verspätete oder unzureichende Bearbeitung und Umsetzung von Betroffenenbegehren
- der Verstoß gegen Datensicherheitsvorgaben nach Art. 32 ff. DSGVO (insbesondere die fehlende oder unzureichende Einrichtung technischer und organisatorischer Maßnahmen)
- der Verstoß gegen die Voraussetzungen einer Auftragsverarbeitung nach Art. 28 DSGVO
- der Verstoß gegen die Vorschriften einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO (insbesondere das Fehlen eines hinreichenden „Vertrages über die gemeinsame Verantwortlichkeit“)
Zu beachten ist, dass der bloße Verstoß gegen Datenschutzvorschriften allein und für sich noch keinen DSGVO-Schadensersatz begründen kann. Für eine hinreichende Anspruchsbegründung muss immer auch ein durch den Verstoß hervorgerufener konkreter Schaden dargetan werden (s. dazu auch unten unter 3.)).
2.) Verschulden für den Verstoß
Als nächste Voraussetzung ist erforderlich, dass der Verantwortliche oder der Auftragsverarbeiter, gegen den der Ersatzanspruch gerichtet wird, den Datenschutzverstoß auch verschuldet hat.
Ein solches Verschulden liegt dann vor, wenn der DSGVO-Verstoß durch ein Verhalten des Anspruchsgegners vorsätzlich oder fahrlässig verursacht worden ist.
Das Verschulden nach Art. 82 Abs. 3 DSGVO wird hierbei grundsätzlich vermutet. Der Verantwortliche oder Auftragsbearbeiter muss für seine haftungsrechtliche Entlastung also aktiv nachweisen, für das schadensauslösende Ereignis nicht verantwortlich gewesen zu sein. Eine originäre Nachweispflicht des Betroffenen für ein Verschulden des Anspruchsgegners ist gerade nicht vorgesehen.
Eine Entlastung des Verantwortlichen ist vor allem im Bereich von Datenlecks möglich, die sich durch Hacking- oder Phishing-Angriffe auch dann ereignen können, wenn alles Zumutbare getan wurde, um solchen Angriffen vorzubeugen. Ereignet sich daher eine Datenpanne, wenn diese von Dritten durch rechtswidrige Überwindung hinreichend etablierter technischer und organisatorischer Maßnahmen verursacht wurde, kann eine Exkulpation des Verantwortlichen mangels Verschuldens gelingen (so im Ergebnis das LG Frankfurt am Main, Urteil vom 18.09.2020 – Az. 2-27 O 100/20)
3.) Nachweis eines Schadenseintritts
Elementarer Kern eines begründeten Schadensersatzanspruches nach Art. 82 DSGVO ist nach ständiger Rechtsprechung der Eintritt eines konkreten Schadens.
Eine zentrale Einschränkung für den Ersatzanspruch besteht nach weitgehend einhelliger Auffassung der Gerichte dahingehend, dass ein Schadenseintritt vom Anspruchsteller, also dem Betroffenen, aktiv dargetan werden muss.
Keinesfalls genügt es, von einem bloßen Datenschutzverstoß automatisch auf einen Schadenseintritt zu schließen (vgl. etwa AG Bochum, Beschluss vom 11.03.2019 – Az. 65 C 485/18
Daraus folgt, dass der Betroffene für einen Ersatzanspruch substantiiert darlegen, dass es durch einen Datenschutzverstoß des Verantwortlichen auch zu einem Schaden gekommen ist.
Der Schadensbegriff ist nach Erwägungsgrund 146 der DSGVO dabei möglichst weit auszulegen.
Je nachdem, welche Art von Schaden behauptet wird, ergeben sich hierfür nach der Rechtsprechung unterschiedliche Voraussetzungen.
a) Materielle Schäden
Ersatzfähig sind nach Art. 82 Abs. 1 DSGVO zunächst materielle Schäden, die finanziell als Verlustpositionen konkret beziffert werden können.
Die gängigste Fallkonstellation ist hier diejenige von Identitätsdiebstählen oder -betrügen, denen ein Betroffener aufgrund eines Datenschutzverstoßes zum Opfer fallen kann.
Schadenspositionen können hierbei vor allem Vermögensverluste durch Nutzung fremder Zahlungsdaten sein.
Materielle Schäden lassen sich in der Regel gut darlegen und beziffern.
b) Immaterielle Schäden
Schwieriger ist die Durchsetzung eines DSGVO-Schadensersatzes auf Basis von sogenannten immateriellen Schäden, deren Niederschlag nicht in einer konkreten Vermögensminderung, sondern in der Beeinträchtigung gesetzlicher Rechte oder Rechtspositionen liegt.
Als „immaterieller Schaden“ kann hierbei insbesondere ein Schmerzensgeld verlangt werden.
Für den Nachweis eines immateriellen Schadens kann mit Blick auf den intendiert weiten Schadensbegriff (Erwägungsgrund 146 DSGVO) nun einerseits zwar nicht gefordert werden, dass stets eine schwerwiegende Verletzung von Persönlichkeitsrechten vorliegen und dargelegt werden muss.
Andererseits darf ein immaterieller Schaden aber auch nicht schon für einen bloßen Bagatellverstoß angenommen werden, der die Belange des Betroffenen nicht ernsthaft beeinträchtigt und über das Niveau einer bloß individuell empfundenen Unannehmlichkeit nicht hinausgeht.
Nach Ansicht der Gerichte und Literatur ist daher nachzuweisen, dass dem Betroffenen ein spürbarer Nachteil entstanden ist, der aus einer objektiv nachvollziehbaren, mit gewissem Gewicht erfolgten Beeinträchtigung von persönlichkeitsbezogenen Belangen resultiert.
Darzulegen sind daher grundsätzlich erlittene, objektiv nachvollziehbare, und spürbare gesellschaftliche oder persönliche Nachteile, etwa in Form einer öffentlichen Bloßstellung (vgl. LG Karlsruhe, Urteil vom 02.08.2019 – Az.8 O 26/19).
Nach einem EuGH-Urteil vom 05.05.2023 (Az. C-300/21) darf eine gewisse Erheblichkeit des Nachteils aber keine Voraussetzung für das Vorliegen eines Schadens sein.
c) Fallgruppen aus der Rechtsprechung
In der Rechtsprechung bislang behandelte Fallgruppen von potenziellen immateriellen Schäden, die nicht hinreichend dargetan wurden, sind die folgenden:
- Der Newsletterversand ohne Einwilligung ohne Darlegung eines konkreten Schadens (AG Diez, Urteil vom 07.11.2019 – Az. 8 C 130/18)
- Die bloße Befürchtung eines Eintritts von Nachteilen durch eine rechtswidrige Offenlegung von Daten (LG Hamburg, Urteil vom 04.09.2020 – Az. 324 S 9/19)
- Das bloße Unbehagen über die mögliche Drittnutzbarkeit von Daten nach einem Datenleck (AG Frankfurt a.M., Urteil 10.07.2020 – Az. 385 C 155/19 (70))
- Der alleinige Nachweis eines Verstoßes gegen Vorschriften über die Auftragsverarbeitung und über die gemeinsame Verantwortlichkeit nach Art. 28 bzw. 26 DSGVO (LG Frankfurt am Main, Urteil vom 18.09 2020 – Az. 2-27 O 100/20)
- Der bloße Nachweis der Nutzung unverschlüsselter E-Mails zur Datenübermittlung (AG Bochum, Beschluss vom 11.03.2019 – AZ. 65 C 485/18)
- Die bloße Löschung von Daten (aus einem sozialen Netzwerk) als Datenverlust (OLG Dresden, Urteil vom 20.08.2020 – Az. 4 U 784/20)
Dahingegen wurden Schadensersatzansprüche vor allem bei der Verletzung von Betroffenenrechten zugestanden, wenn die damit verbundenen Begehren verspätet und/oder unzureichend zugestanden wurden. Für den Nachweis eines Schadens genüge die Darlegung eines Verstoßes gegen die Rechtspflichten aus dem jeweiligen Betroffenenrecht ohne weitere Ausführungen.
So nahm das Arbeitsgericht Düsseldorf mit Urteil vom 05.03.2020 (Az.: 9 Ca 6557/18) bei der Beeinträchtigung des Datenauskunftsrechts nach Art. 15 DSGVO ohne Weiteres einen immateriellen Schaden an.
Das Gericht befand, dass die Verteilung einer ordnungsgemäßen Auskunftserteilung den Betroffenen um seine Rechte und Freiheiten bringe (immaterieller Schaden nach Vorgabe des Erwägungsgrundes 75 DSGVO) und zudem einen Verlust der Kontrollmöglichkeiten über seine personenbezogenen Daten auslöse (immaterieller Schaden nach Vorgabe des Erwägungsgrundes 85 DSGVO).
Nach aktuellem Stand können also verspätete oder unzureichende bzw. unvollständige Reaktionen auf ein Auskunfts- oder Interventionsrecht des Betroffenen zu einem Schadensersatzanspruch führen, ohne dass ein konkreter Schaden weitergehend bewiesen werden müsste.
Anzunehmen soll nämlich sein, dass ein immaterieller Schaden in der bloßen Rechtsvereitelung liege.
Ein weiterer Fall einer stattgegebenen Schadenersatzklage ereignete sich vor dem ArbG Lübeck. Mit Beschluss vom 20.06.2019 (Az.: 1 Ca 538/19) sprach das Gericht einem Arbeitnehmer Schadensersatz wegen der einwilligungslosen Veröffentlichung seines Fotos auf Facebook durch den Arbeitgeber zu. Durch den Nachweis der öffentlichen Zugänglichmachung des Fotos sah das Gericht einen spürbaren immateriellen Schaden in Form der Bloßstellung als erwiesen an.
II. Höhe des Schadensersatzes
Da in der Rechtsprechung bislang DSGVO-Ersatzforderungen überwiegend abgewiesen und nur sehr vereinzelt zugesprochen wurden, existieren noch keine allgemein etablierten Maßstäbe für die betragsmäßige Bemessung der Betragshöhe.
Ausgegangen werden muss allerdings vom Grundsatz, dass der Schadensersatz der Höhe nach wirksam sein soll (Erwägungsgrund 146 DSGVO). Abgeleitet wird daraus teilweise, dass dem Schadensersatz auch eine Abschreckungsfunktion zukommt, die in der Höhe zu berücksichtigen sei (vgl. AG Frankfurt am Main, Urteil vom 10.07.2020 – Az. 385 C 155/19).
Demnach solle der Betrag nicht nur als Kompensation für die erlittenen Nachteile, sondern auch als Repressalie für den Schädiger Wirkung zeigen.
Die Höhe des konkreten Schadens ist aber zwingend nach den Umständen des konkreten Einzelfalls zu bemessen.
Kriterien, die für die Abwägung und Beurteilung von Bedeutung sind, sind insbesondere
- die Finanzkraft des Schädigers
- die Bedeutung des verletzten Rechts bzw. des beeinträchtigten Belangs
- die Schwere der Rechtsverletzung
- die Schwere der Schuld des Verantwortlichen am Schadenseintritt
Im oben behandelten Fall der einwilligungslosen Facebook-Veröffentlichung eines Arbeitnehmerfotos hielt das ArbG Lübeck einen Schadensersatz von 1.000,00€ für angemessen.
Eine Besonderheit für die Bemessung soll bei immateriellen Schäden durch die Vereitelung von Betroffenenrechten gelten. Weil es hier um elementare datenschutzrechtliche Positionen des Betroffenen gehe, seien auch die Wertungen von Art. 83 Abs. 4 DSGVO zu berücksichtigen. Dieser legt einen Bußgeldrahmen für Verstöße gegen Betroffenenrechte fest und lässt Geldbußen von bis zu 10.000.000 Euro oder 2% des weltweit erzielten Vorjahresumsatzes zu.
Im o.g. Fall der Auskunftsverweigerung sprach das Arbeitsgericht Düsseldorf mit Urteil vom 05.03.2020 (Az.: 9 Ca 6557/18) einen Schadensersatz in Höhe von 5000,00€ zu.
Bekannt sind ferner folgende Datenschutzverstöße und zugestandene Schadensersatzsummen:
- Weitergabe personenbezogener Daten aus einem Vertragsverhältnis an den Arbeitgeber des Vertragspartners: 4.000€ (LG Köln, Urteil vom 28. September 2022, Az. 28 O 21/22)
- Diebstahl personenbezogener Daten bei einem Finanzdienstleister durch IT-Angriff (inkl. Steuer-ID, IBAN, Ausweiskopie): 2.500€ (LG München, Urteil vom 9. Dezember 2021, Az. 31 O 16606/20)
III. Wie können Schadensersatzforderungen wirksam vermieden werden?
Um Schadensersatzforderungen wirksam vorzubeugen, ist die Befolgung und die rechtskonforme Umsetzung geltender datenschutzrechtlicher Anforderungen von zentraler Bedeutung.
Hierbei zu beachten ist, dass Schadensersatzbegehren vor allem in persönlichkeitsrechtlich behafteten Verarbeitungssituationen wahrscheinlich sind.
In folgenden Bereichen sollten datenschutzrechtlichen Voraussetzungen akribisch umgesetzt werden:
- Newsletter-Marketing (eine Anleitung zum datenschutzkonformen Newsletter-Management stellen wir hier bereit)
- Cookie-Tracking (Hier lesen Sie FAQ zu den rechtlichen Anforderungen)
- Der Umgang mit Datenpannen (Eine Handlungsanleitung mit Mustern finden Sie hier)
- Die Handhabung von Betroffenenanfragen (Anleitungen und Muster zum Auskunftsanspruch finden Mandanten hier ; Anleitungen und Muster zum Löschungsrecht stellt die IT-Recht Kanzlei hier bereit)
Für den Fall, dass es dennoch zu Schadensersatzforderungen kommt, ist zu Nachweiszwecken eine sorgfältige Dokumentation aller eingerichteten Datenschutzmaßnahmen (s. auch Art. 5 Abs. 2 DSGVO) zwingend zu empfehlen. Eine Berufung auf nachgewiesene Datenschutzvorkehrungen kann nämlich im Einzelfall für den Beweis einer fehlenden Verantwortlichkeit für einen Verstoß bzw. als Exkulpation für ein Verschulden genügen.
IV. Muster für Mandanten: Ablehnung eines Schadensersatzbegehrens
Exklusiv für Update-Service-Mandanten der IT-Recht Kanzlei werden nachfolgend Musterschreiben bereitgestellt, mit welchen Schadensersatzbegehren von Verbrauchern rechtskonform abgewiesen werden können.
Die Muster gliedern sich wie folgt:
- 1.) Ablehnung einer Schadensersatzforderungen mangels DSGVO-Verstoßes
- 2.) Ablehnung eines Schadensersatzbegehrens wegen fehlenden Verschuldens
- 3.) Ablehnung eines immateriellen Schadensersatzes wegen fehlender Darlegung eines Schadens
Exklusiv-Inhalt für Mandanten
Noch kein Mandant?
-
WissensvorsprungZugriff auf exklusive Beiträge, Muster und Leitfäden
-
Schutz vor AbmahnungenProfessionelle Rechtstexte – ständig aktualisiert
-
Monatlich kündbarSchutzpakete mit flexibler Laufzeit
V. Fazit
Der DSGVO-Schadensersatzanspruch ist das zentrale Betroffeneninstrument, um finanzielle Kompensationen für erlittene Datenschutzverletzungen geltend zu machen.
Was in der entscheidenden Vorschrift des Art. 82 DSGVO an Anspruchsvoraussetzungen nur angedeutet wird, hat in den ersten zwei Jahren der Rechtsgültigkeit des neuen EU-Datenschutzrechts allerdings schon vielseitige Konkretisierungen durch die Rechtsprechung erfahren.
Besonders ist, dass sich nationale Gerichte vorbehalten, die Rechtsgrundsätze des nationalen Schadensrechts auf den DSGVO-Schadensersatzanspruch dem Grunde nach anzuwenden. Dadurch ist (neben dem Vorliegen eines DSGVO-Verstoßes und dem (vermuteten) Verschulden des Verantwortlichen hierfür) zur zentralen Voraussetzung für ein berechtigtes Schadensersatzbegehren geworden, dass der Betroffene einen Schaden konkret nachweisen muss. Ein bloßes datenschutzwidriges Verhalten indiziert also keineswegs automatisch auch einen Schaden.
Damit hat die Rechtsprechung für Schadensersatzbegehren von Betroffenen eine entscheidende Einschränkung etabliert, an der bereits diverse Ersatzklagen scheiterten.
Mandanten der IT-Recht Kanzlei können mit den obigen Mustern für die drei gängigsten Konstellationen mangelnder Anspruchsvoraussetzungen unbegründete Schadensersatzforderungen zuverlässig abwehren.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Robert Kneschke
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare