Vor der europaweiten Geltung der Datenschutzgrundverordnung (DSGVO) war die Sorge um ein millionenschweres Bußgeld bei den Unternehmen groß. Diese Sorge veranlasste die meisten Unternehmen dazu, ihre internen Abläufe und Prozesse zu analysieren und an die neuen Vorgaben anzupassen. Gleichwohl kam es in den vergangenen Jahren seit Geltung der DSGVO zu zahlreichen Bußgeldverfahren mit teilweise sehr hohen Bußgeldern. Die Verfahren wurden von den Datenschutzaufsichtsbehörden teilweise öffentlichkeitswirksam geführt, um auch andere Unternehmen abzuschrecken. Die DSGVO hat allerdings nicht nur die Befugnisse der Datenschutzaufsichtsbehörden gestärkt (Stichwort „Public Enforcement“), auch die private Durchsetzung von Rechten aus der DSGVO (Stichwort „Private Enforcement“) wurde deutlich gestärkt.

Diese private Durchsetzung von Datenschutzrechten beschäftigt die nationalen Gerichte. Einen Großteil dieser Verfahren nehmen Verfahren auf Zahlung von Schadensersatz nach einem Datenschutzverstoß ein. Mit der DSGVO wurde erstmals in Art. 82 DSGVO ein für alle Konstellationen geltender Anspruch auf Ersatz eines immateriellen Schadens eingeführt und betroffene Personen machen diesen zunehmend auch gerichtlich geltend. Neben den drohenden Bußgeldern bildet der DSGVO-Schadensersatz somit für Unternehmen ein zusätzliches wirtschaftliches Risiko dar, das nicht unterschätzt werden sollte.

Gegenstand des DSGVO-Schadensersatzanspruches

Art. 82 DSGVO gewährt der betroffenen Person einen deliktischen Anspruch auf Schadensersatz, der auch den Ersatz eines immateriellen Schadens erfasst. Daneben gewährt Art. 82 DSGVO auch Ersatz für erlittene materielle Schäden (z.B. Kosten der Rechtsverfolgung, Ersatz für rechtswidrige Kontoabbuchungen etc.). Bereits vor der Geltung der DSGVO hatten betroffene Personen einen Anspruch auf Ersatz von materiellen Schäden. Diese wurden in der Vergangenheit jedoch nur selten durchgesetzt. Die Einführung eines Anspruches auf Ersatz eines immateriellen Schadens ist hingegen neu, denn diesen gab es nach der alten Fassung des BDSG nur in Sonderkonstellationen. Die aktuellen gerichtlichen Entscheidungen zeigen deutlich, dass der Schwerpunkt der DSGVO-Schadensersatzklagen beim Anspruch auf Ersatz eines immateriellen Schadens liegt. Insofern zeigt sich, dass diese gesetzgeberische Neuregelung von den betroffenen Personen angenommen wird und Unternehmen zusätzlich unter Druck setzt.

Dabei sind die Konstellationen, in denen ein Anspruch auf DSGVO-Schadensersatz geltend gemacht werden, sehr unterschiedlich. Allerdings zeichnen sich hierbei zwei Grundkonstellationen ab:

In der ersten Grundkonstellation erleidet eine betroffene Person aus einem in der Regel höchst individuellen Sachverhalt einen immateriellen Schaden aufgrund eines Datenschutzverstoßes. Das kann der Fall sein, wenn ein Auskunftsverlangen nach Art. 15 DSGVO entweder nicht, nicht rechtzeitig oder nicht ordnungsgemäß beantwortet wird. Ein individueller Datenschutzverstoß kann auch darin liegen, dass die personenbezogenen Daten einer betroffenen Person unrechtmäßig an einen Dritten weitergegeben wurden oder überhaupt unrechtmäßig verarbeitet werden.

Zum Thema "Datenschutzrechtliche Auskunft nach Art. 15 DSGVO" finden Sie hier einen weiteren Beitrag: "Das datenschutzrechtliche Recht auf Auskunft - Art. 15 DSGVO".

Die zweite Grundkonstellation ist durch einen Datenschutzvorfall („Data Breach“) gekennzeichnet, von dem eine Vielzahl personenbezogener Daten betroffen sind. So kann der Datenschutzvorfall in einem Hackerangriff liegen, der zu einem Verlust von unzähligen Kundendaten geführt hat. Auch der Verlust eines Datenträgers mit einer Vielzahl von personenbezogenen Kundendaten kann einen solchen Datenschutzvorfall darstellen.

Es liegt auf der Hand, dass insbesondere die zweite Grundkonstellation ein enormes zusätzliches Haftungsrisiko für Unternehmen bedeutet. Das gilt erst recht für Unternehmen, die viele personenbezogene Daten verarbeiten (z.B. Versicherungen, Finanzdienstleister etc.). Zu berücksichtigen ist auch, dass betroffene Personen ihren individuellen Schadensersatz stets neben einem behördlichen Bußgeld geltend machen können. Unternehmen müssen sich im Falle eines solchen Datenschutzvorfalles in der Regel an zwei Fronten kämpfen.

Es ist zudem zu beobachten, dass vermehrt Anbieter auf den Markt kommen, die sich darauf spezialisiert haben, gebündelt Schadensersatzansprüche der betroffenen Personen durchzusetzen. Diese Entwicklung zeigt, dass Unternehmen künftig bei Datenschutzverstößen nicht nur mit (hohen) Bußgeldern der Aufsichtsbehörden zu rechnen haben. Es drohen zusätzlich zivilrechtliche Klagen auf DSGVO-Schadensersatz. Selbst wenn dabei der Schadensersatz für die einzelne betroffene Person moderat ausfallen mag, führt die gebündelte Geltendmachung von einer Vielzahl von Einzelforderungen zu einer nicht nur unerheblichen wirtschaftlichen Belastung für das in Anspruch genommene Unternehmen. Auch die DSVO-Schadensersatzklagen mit einem arbeitsrechtlichen Hintergrund nehmen immer mehr zu und die Arbeitsgerichte tendieren dazu, vergleichsweise hohe Schadenssummen auszusprechen.

Wann besteht ein Anspruch auf Schadensersatz?

Der Anspruch aus Art. 82 Abs. 1 DSGVO hat nach seinem Wortlaut vergleichsweise wenige Voraussetzungen. Zunächst muss der richtige Anspruchsberechtigte (Aktivlegitimation) gegen den richtigen Anspruchsverpflichteten (Passivlegitimation) darlegen, dass ein Datenschutzverstoß zu einem Schaden bei ihr geführt hat. Aus Art. 82 DSGVO ergeben sich daher folgende Anspruchsvoraussetzungen:

  • Anspruchsberechtigter: „jede Person“
  • Anspruchsgegner: „Verantwortlicher“ und/oder „Auftragsverarbeiter“
  • Verletzungshandlung: „Verstoß gegen diese Verordnung“
  • Verletzungserfolg: „materieller oder immaterieller Schaden“
  • Kein Ausschluss: Art. 82 Abs. 3 DSGVO

Obwohl der DSGVO-Schadensersatz wenige Voraussetzungen hat, führt die richtige Auslegung der einzelnen Voraussetzungen derzeit noch zu einer sehr uneinheitlichen Rechtsprechung der nationalen Gerichte. Vor diesem Hintergrund haben bereits einige Gerichte den EuGH angerufen. Dieser muss nun wesentliche Auslegungsfragen beantworten. Unter anderem haben folgende Gerichte Vorabentscheidungsersuchen gestellt:

Sie möchten sich gegen einen DSGVO-Schadensersatz verteidigen? Als Rechtsanwalt und Fachanwalt für IT-Recht in Düsseldorf unterstütze ich Sie gerne bei der Abwehr eines DSGVO-Schadensersatzes. Nehmen Sie gerne Kontakt zu mir auf. 

Wer kann einen Anspruch auf DSGVO-Schadensersatz geltend machen?

Der Wortlaut von Art. 82 Abs. 1 DSGVO erfasst jede Person. Das wirft für die praktische Anwendung zwei relevante Fragen auf. Zum einen, ob die Person auch betroffen i.S.v. Art. 4 Nr. 1 DSGVO sein muss und zum anderen, ob auch juristische Personen aktivlegitimiert sind. Hinsichtlich der zweiten Frage kann man die theoretische Debatte schnell beenden. Die DSGVO bezweckt den Schutz natürlicher Personen vor einer unberechtigten Verarbeitung personenbezogener Daten. Damit ist klar, dass juristische Personen nicht in den Anwendungsbereich eines DSGVO-Schadensersatzes fallen. Ob die Person des Anspruchstellers auch betroffen i.S.v. Art. 4 Nr. 1 DSGVO sein muss, bleibt bis zu einer endgültigen Klärung diskutabel. Es handelt sich allerdings auch eher um einen theoretischen Streit, da nur wenige Fälle denkbar erscheinen, in denen eine Person einen DSGVO-Schadensersatz geltend machen könnte, bei denen nicht zugleich personenbezogene Daten dieser Person von dem Unternehmen verarbeitet werden.

Wesentlich praxisrelevanter ist allerdings die Frage, ob Legal-Tech-Anbieter sich Ansprüche auf Ersatz immaterieller Schäden zur gebündelten Geltendmachung von den betroffenen Personen abtreten lassen dürfen. Hiergegen könnte sprechen, dass es sich hierbei um höchstpersönliche Ansprüche handelt, die nur von der betroffenen Person selbst geltend gemacht werden dürften. Diese Frage wird letztlich der EuGH verbindlich klären müssen. Für Unternehmen bleibt im Streitfall bis zu einer Klärung die Möglichkeit, die Zulässigkeit einer solchen Abtretungskonstellation in Frage zu stellen.

Gegen wen richtet sich der Anspruch?

Der Anspruch richtet sich gegen Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO und Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO, nicht jedoch gegen deren Mitarbeiter oder Datenschutzbeauftragte. Anspruchsgegner sind also stets die Unternehmen, die an der Datenverarbeitung beteiligt sind. Der Auftragsverarbeiter haftet grundsätzlich nach Art. 82 Abs. 1 DSGVO im gleichen Umfang wie der Verantwortliche, wird allerdings durch Art. 82 Abs. 2 S. 2 DSGVO wiederum privilegiert. Danach haftet der Auftragsverarbeiter nur insoweit, als er gegen seine Pflichten aus der DSGVO verstößt oder entgegen oder unter Nichtbeachtung der Anweisungen gehandelt hat.

Für Geschäftsleiter stellt sich ebenfalls die Frage, ob sie persönlich für einen Datenschutzverstoß haften müssen. Die Diskussion zu dieser Frage wurde durch eine Entscheidung des OLG Dresden neu angefacht. In seiner Entscheidung vom 30.11.2021 (Az. 4 U 1158/21) hatte der Senat festgestellt, dass der Geschäftsführer einer GmbH neben der Gesellschaft auf DSGVO-Schadensersatz hafte. Diese Entscheidung hat große Kritik erfahren, weil sie unterstellt, dass der Geschäftsführer bereits kraft seiner Organstellung Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und daher tauglicher Anspruchsgegner aus Art. 82 DSGVO sei. 

Zur Entscheidung des OLG Dresden und zur Haftung des Geschäftsführers für DSGVO-Verstöße habe ich im Expertenforum Arbeitsrecht (#EFAR) einen Beitrag verfasst. Diesen finden Sie hier: Wann haften Geschäftsführer persönlich für DSGVO-Verstöße?

Verstoß gegen die DSGVO

Für einen Anspruch auf Schadensersatz bedarf es eines Verstoßes gegen die DSGVO. Der weit formulierte Wortlaut „Verstoß gegen diese Verordnung“ impliziert die Frage, ob auch Verstöße, die nicht die Verarbeitung selbst betreffen, wie zum Beispiel solche, die vor der Verarbeitung stattfinden oder nur organisatorischer Natur sind, wie die fehlende Bestellung eines Datenschutzbeauftragten für sich genommen ausreichen, um einen Schadensersatzanspruch zu begründen. Allerdings ist kaum vorstellbar, wie ein solcher Verstoß kausal für einen Schaden der betroffenen Person sein soll.

Die in der Praxis bislang am häufigsten vorkommenden Verstöße sind vielmehr die folgenden:

  • Verlust von personenbezogenen Daten nach einem Hackerangriff;
  • Ungewollte Offenlegung von personenbezogenen Daten im Internet aufgrund fehlender IT-Sicherheit;
  • Weitergabe personenbezogener Daten an nicht zum Empfang berechtigte Personen;
  • Fehlende oder unvollständige Löschung von personenbezogenen Daten;
  • Fehlende oder unvollständige Auskunft über die Datenverarbeitung.

Daneben sind noch unzählige andere Konstellationen denkbar, die zu einem DSGVO-Schadensersatz nach Art. 82 DSGVO führen können. So kann die unberechtigte Videoüberwachung am Arbeitsplatz einen DSGVO-Schadensersatz begründen.

Eintritt eines Schadens

Die betroffene Person muss einen Schaden erlitten haben. Dieser muss tatsächlich eingetreten sein und nicht lediglich befürchtet werden. Im Rahmen der gerichtlichen Geltendmachung scheitern zahlreiche betroffene Personen daran, gegenüber dem Gericht das Vorliegen eines konkreten Schadens darzulegen und entsprechend nachzuweisen. Das liegt darin, dass der europarechtlich zu bestimmende Begriff des DSGVO-Schadens noch nicht hinreichend konturiert ist. Gerade beim immateriellen Schaden fällt es schwer, diesen für das Gericht greifbar zu machen. Welchen Schaden hat zum Beispiel eine betroffene Person erlitten, die erst eine Woche nach Ablauf der gesetzlichen Frist ihre Auskunft nach Art. 15 DSGVO erteilt bekommt? Teilweise wird daher vertreten, dass bereits der DSGVO-Verstoß der immaterielle Schaden sein soll. Danach soll ein weiterer Schaden nicht hinzutreten müssen. Die betroffene Person müsse danach nur den DSGVO-Verstoß darlegen und beweisen. Hiergegen spricht allerdings der Wortlaut von Art. 82 DSGVO, der ausdrücklich zwischen dem Verstoß und dem hierdurch entstandenen Schaden unterscheidet.

Die nationalen Gerichte versuchen sich der Ausfüllung des Begriffs des Schadens anzunähern. Der Begriff des Schadens sollte dabei nach dem Erwägungsgrund 146 S. 3 DSGVO im Lichte der Rechtsprechung des EuGH weit auf eine Art und Weise ausgelegt werden, die den Zielen der DSGVO im vollen Umfang entspricht. Für die Bemessung der Höhe des immateriellen Schadens bietet es sich an, auf die Kriterien des Art. 83 Abs. 2 DSGVO für die Bemessung von Bußgeldern zurückzugreifen.

Obwohl der Wortlaut von Art. 82 DSGVO das an keiner Stelle ausdrücklich vorsieht, hatten viele nationale Gerichte Vorbehalte, einen DSGVO-Schadensersatz auch dann zuzusprechen, wenn der Verstoß selbst nach objektiven Maßstäben als Bagatelle einzustufen ist. In diesen Fällen wurden Klagen auf Zahlung eines DSGVO-Schadensersatzes unter Hinweis auf eine Bagatellgrenze abgewiesen. Dieser Praxis ist das Bundesverfassungsgericht (BVerfG, Beschl. v. 14.1.2021 – 1 BvR 2853/19) mittlerweile entgegengetreten. Der Senat hat in seinem Beschluss ausdrücklich festgestellt, dass Art. 82 DSGVO in seinem Wortlaut keine Ausnahme für Bagatellverstöße vorsehe. Sollte sich eine solche Bagatellgrenze jedoch aus einer Auslegung der DSGVO ergeben, so ist eine letztverbindliche Auslegung allein dem EuGH vorbehalten. Nationale Gerichte dürfen demnach nicht nach eigenem Ermessen eine Bagatellgrenze in Art. 82 DSGVO reinlesen.

Zwischen dem Verstoß und dem Schaden muss ein Zusammenhang bestehen

Schon aus dem Wortlaut des Art. 82 Abs. 1 DSGVO „wegen eines Verstoßes“ folgt das Kausalitätserfordernis. Der eingetretene Schaden muss direkte Folge des Verstoßes gegen die DSGVO sein.

Wann ist die Haftung des Unternehmens ausgeschlossen?

Art. 82 Abs. 3 DSGVO regelt die Möglichkeit für das verantwortliche Unternehmen, sich von einer Haftung loszusagen. Für eine solche Exkulpation ist jedenfalls notwendig, dass das Unternehmen nachweist, dass es in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Praxishinweis

Verantwortliche bzw. Auftragsverarbeiter sollten die Maßnahmen zur Sicherstellung des Datenschutzes möglichst genau dokumentieren, wenn sie eine Chance haben wollen, sich wirksam zu exkulpieren. Zertifizierungen nach Art. 42, 43 DSGVO und die Unterwerfung unter Verhaltensregeln gem. Art. 40, 41 DSGVO können dabei die Beweisführung erleichtern, schließen eine Verantwortlichkeit jedoch für sich genommen nicht aus. Nur wer nahezu lückenlos dokumentiert, welche Maßnahmen zum Schutz der personenbezogenen Daten getroffen wurden, hat überhaupt eine Chance sich bei einem unstreitig vorliegenden Datenschutzvorfall auf der Ebene der „Verantwortlichkeit“ zu exkulpieren. Und selbst wenn am Ende eine Exkulpation nicht (vollständig) gelingen sollte, kann eine lückenlose Dokumentation gerade bei der Geltendmachung immaterieller Schäden dazu dienen, die Schadenshöhe so gering wie möglich ausfallen zu lassen. Berücksichtigt man, dass der immaterielle Schadensersatz auch einen Abschreckungseffekt bezwecken soll, muss diese Abschreckung bei demjenigen Verantwortlich deutlich höher ausfallen, der zum einen nur wenige Maßnahmen zum Schutz personenbezogener Daten ergreift und diese zum anderen nicht einmal dokumentiert. Je enger das Netz der Maßnahmen ist und je detaillierter die Dokumentation dieser Maßnahmen ausfällt, umso eher lässt sich gegenüber dem erkennenden Gericht glaubwürdig argumentieren, dass es sich bei diesem Vorfall um einen bedauerlichen Einzelfall gehandelt hat, der gerade nicht auf grober Fahrlässigkeit beruht.

Das neue Haftungsrisiko DSGVO-Schadensersatz

Klagen auf DSGVO-Schadensersatz werden Unternehmen und Gerichte auch künftig weiterhin beschäftigen. Der DSGVO-Gesetzgeber hat mit der Ausweitung des Rechtsschutzes für betroffene Personen bewusst das Haftungsrisiko für Unternehmen erhöht. Bezweckt wird damit vor allem, dass Unternehmen aufgrund des erhöhten Haftungsrisikos die datenschutzrelevanten Prozesse anpasst. Hierdurch soll letztlich ein Mehr an Datenschutz geschaffen werden. Mit Spannung werden auch die zahlreichen Vorlageentscheidungen des EuGHs erwartet. Bei einer Auslegung zugunsten der Betroffenenrechte werden es betroffene Personen künftig noch einfacher haben, einen DSGVO-Schadensersatz einzuklagen.

Ausgewählte Urteile zum DSGVO-Schadensersatz

LAG Berlin-Brandenburg: 2.000 EUR DSGVO-Schadensersatz wegen verspäteter Auskunft

Das LAG Berlin-Brandenburg (Urt. v. 18.11.2021 – 10 Sa 443/21) hat einem Kläger einen DSGVO-Schadensersatz in Höhe von 2.000,00 EUR zugesprochen. Hintergrund war eine Verletzung des Auskunftsrechts aus Art. 15 DSGVO. Nach den Feststellungen hatte die Beklagte in zwei Fällen nur unvollständig über die Verarbeitung der personenbezogenen Daten des Klägers Auskunft erteilt. Dies stelle einen Verstoß gegen die DSGVO dar, der zum Ersatz des hieraus entstandenen immateriellen Schadens nach Art. 82 DSGVO verpflichte.

Hierzu führte das LAG Berlin-Brandenburg unter anderem wörtlich aus:

„Wie der Kläger zutreffend ausgeführt hat, liegt bei ihm ein Schaden vor. Unter Bezugnahme auf eine Entscheidung des LAG Niedersachsen vom 22. Oktober 2021 – 16 Sa 761/20 besteht unabhängig von dem Erreichen einer Erheblichkeitsschwelle bei Verstößen gegen Regelungen der DSGVO ein immaterieller Schadensersatzanspruch. Hierbei ist zu berücksichtigen, dass gerade ausgehend von Erwägungsgrund 146 Satz 3 zur DSGVO eine weite Auslegung geboten ist, um den Zielen der Verordnung in vollem Umfang zu entsprechen. Hiermit wäre es unvereinbar, würde eine Schadensersatzpflicht nur bei erheblichen Rechtsverstößen eintreten, da dann eine Vielzahl von Fallgestaltungen denkbar wäre, in denen Betroffene trotz Verstößen gegen die Regelungen der DSGVO keine Kompensation erhielten. Ferner kann, um die Regelungen der DSGVO effektiv durchzusetzen, auch auf eine abschreckende Wirkung des Schadensersatzes abgestellt werden (vgl. EuGH 17. Dezember 2015 – C-407/14 – Rn. 44). Zudem sollen die betroffenen Personen nach Erwägungsgrund 146 Satz 3 einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dass ein Schaden erlitten ist, ergibt sich nicht erst bei Überschreiten einer gewissen Erheblichkeitsschwelle - der Schwere der Pflichtverstöße und damit einhergehenden Beeinträchtigungen kann vielmehr effektiv auf Ebene der Höhe des Schadensersatzes begegnet werden.
 
Indem die Beklagte ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.
 
Die Kausalität zwischen der unzureichenden Auskunft der Beklagten und der Ungewissheit beim Kläger, welche Daten bei der Beklagten bezüglich der zwei konkret benannten Sachverhalte verarbeitet worden sind, liegt auf der Hand. Es bedurfte keines ergänzenden Auskunftsverlangens, da allein der Blick in den Verordnungstext ausreicht, um die Unvollständigkeit der Auskunft zu erkennen.“
 
Hinsichtlich der Höhe des DSGVO-Schadensersatzes hielt die Kammer auch unter Berücksichtigung und Abwägung der Umstände des Falles einen immateriellen DSGVO-Schadensersatz in Höhe von 1.000,00 EUR je unvollständig beantwortetem Auskunftsverlangen für angemessen. Nach Ansicht des Gerichts war die Unvollständigkeit der Auskunft offensichtlich, was bei der Bemessung des DSGVO-Schadensersatzes zu berücksichtigen sei. 
 
Mehr zum Thema Auskunftsrecht nach Art. 15 DSGVO finden Sie im Beitrag "Das datenschutzrechtliche Recht auf Auskunft - Art. 15 DSGVO".
 

OLG Frankfurt am Main: DSGVO-Schadensersatz setzt den Nachweis eines konkreten Schadens voraus

Das OLG Frankfurt am Main (Urt. v. 2.3.2022 - 13 U 206/20) hat in seiner Entscheidung festgestellt, dass Voraussetzung für einen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO der Nachweis eines konkreten Schadens erforderlich ist. Damit hob es insoweit eine Entscheidung des Landgericht Darmstadt (Urt. v. 26.5.2020 - 13 O 244/19) auf, als es dem Kläger einen Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DSGVO in Höhe von 1.000,00 EUR zusprach. Nach der Auffassung des Senats fehlte es für einen Anspruch auf Geldentschädigung an der Darlegung des Eintritts eines Schadens beim Kläger. Für einen Anspruch reiche der bloße Verstoß gegen die DSGVO nicht aus, vielmehr müsse zusätzlich ein konkreter Schaden eingetreten sein. Hierzu führt der Senat unter anderem aus:

Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („...Schaden entstanden ist“) voraussetzt (Eichelberger, WRP 2021, 159-167; Wybitul/Brams, ZD 2020, 644-646). Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln (Eichelberger, aaO. Rn. 24). In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden enthalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17; vgl. in diesem Zusammenhang auch: BVerfG 14.1.2021 -1 BvR 2853/19 - Rn. 20, juris).

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens sei auch in der Sache erforderlich, um ein nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines Datenschutzverstoßes zu vermeiden, selbst wenn dieser Verstoß für die betroffene Person tatsächlich folgenlos geblieben ist. Trägt die betroffene Person im Rahmen ihrer Klage also nicht zu einem konkreten Schaden vor, fehlt es an einer wesentlichen Voraussetzung für einen Anspruch auf Erstattung eines immateriellen Schadens nach Art. 82 DSGVO.  

Landgericht Köln: Kein DSGVO-Schadensersatz nach Art. 82 DSGVO ohne Nachweis eines konkreten Schadens

In seiner Entscheidung vom 16.02.2022 hat das Landgericht Köln (28 O 303/20) entschieden, dass ein Anspruch auf DSGVO-Schadensersatz nach Art. 82 DSGVO voraussetzt, dass der betroffenen Person ein materieller oder ein immaterieller Schaden auch tatsächlich entstanden ist. Zwar spreche Erwägungsgrund 146 S. 3 der DSGVO für eine weite Auslegung des Begriffs des Schadens, mit der Folge, dass auch vermeintliche Bagatellschäden auszugleichen seien. Allerdings setze der Wortlaut von Art. 82 Abs. 1 DSGVO voraus, dass der betroffenen Person ein materieller oder immaterieller Schaden entstanden ist. Weiter führt die Kammer hierzu aus:

Erwägungsgrund 146 S. 1 DS-GVO spricht von Schäden, „die einer Person aufgrund einer Verarbeitung entstehen“. Mit diesem Wortlaut ist eine Auslegung der Norm, nach der die Entstehung eines immateriellen Schadens nicht Tatbestand:svoraussetzung ist, nicht zu vereinbaren. Bei einer solchen Auslegung würde ein reiner Strafschadensersatz im Sinne eines „punitive damage“ vorliegen, der der kontinentaleuropäischen Zivilrechtsordnung fremd ist. Es wäre auch nicht zu erklären, warum bei einem immateriellen Schaden die Darlegung eines tatsächlichen entstandenen Schadens entbehrlich sein sollte, bei einem materiellen Schaden hingegen schon. Auf das Erfordernis eines tatsächlich entstandenen immateriellen Schadens kann daher nicht verzichtet werden.

Trägt der Kläger, aus welchen Gründen auch immer, zu einem tatsächlich eingetretenen Schaden nicht vor oder kann er einen solchen nicht hinreichend nachweisen, fehlt es für einen DSGVO-Schadensersatz nach Art. 82 DSGVO an einer wesentlichen Voraussetzung.  

Wurde Ihr Unternehmen auf einen DSGVO-Schadensersatz in Anspruch genommen? Als Rechtsanwalt und Fachanwalt für IT-Recht in Düsseldorf unterstütze ich Sie gerne bei der Abwehr eines DSGVO-Schadensersatzes. Nehmen Sie gerne Kontakt zu mir auf. 

 

Buch zum Thema

In meinem Buch „Privacy Litigation – Datenschutzrechtliche Ansprüche durchsetzen und verteidigen“ habe ich mich ausführlich mit der Verteidigung gegen DSGVO-Ansprüche befasst. Mehr zum Buch finden Sie hier: Laoutoumai | Privacy Litigation | 1. Auflage 2021 (ruw.de)

Weitere Beiträge zum Datenschutz