Symbolbild für Schadensersatz und DSGVO

DSGVO-Schadensersatz: Wann müssen Unternehmen haften?

Die Datenschutzgrundverordnung sieht vor, dass Betroffene von Datenschutzverstößen ein Recht auf Schadensersatz haben können. Der Europäische Gerichtshof hat dazu jüngst relevante Urteile gefällt.

2024-06-28

Logo

DSGVO-Schadensersatz: Wann müssen Unternehmen haften?

Schadensersatz im Datenschutz: Das gilt laut DSGVO

Die DSGVO verpflichtet Unternehmen dazu, personenbezogene Daten ihrer Kunden zu schützen. Das Gesetz sieht andernfalls für „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“ ein Recht auf Schadensersatz vor (Art. 82 DSGVO). Erleiden Betroffene also aufgrund einer Datenpanne einen materiellen oder immateriellen Schaden, können sie von ihrem Recht auf Entschädigung Gebrauch machen.
Zur Frage, in welcher Höhe dieser Schadensersatz ausfallen kann, gab es in der Vergangenheit verschiedene Urteile, die für Unternehmen relevant sind. Denn einzustehen für den Schaden hat laut Gesetz der Verantwortliche oder Auftragsverarbeiter, der den Schaden verursacht hat.

Artikel 82 DSGVO – das besagt die rechtliche Grundlage

Art. 82 sowie der Erwägungsgrund 146 besagen, dass Personen Anspruch auf Schadensersatz haben, wenn sie einen konkreten Schaden erleiden. Dieser Schaden muss vom Kläger nachgewiesen werden können. 
Bislang bedeutet dies grundsätzlich, dass in folgenden Fällen kein Entschädigungsanspruch geltend gemacht werden kann:

  • Es besteht lediglich die Befürchtung eines Schadens

  • Es liegt nur die Datenschutzverletzung vor, kein Schaden.

Wie kommt es zu einem Schadensersatzanspruch im Datenschutz?

In der Praxis kommt es durch die Verkettung verschiedener Faktoren zu einer Datenschutzverletzung, die zu einem Schadensersatzanspruch aufgrund eines (im)materiellen Schadens führen kann.

Beispiel: Schützt eine Bank die personenbezogenen Daten ihrer Kunden nicht ausreichend und kommt es infolge eines Hackerangriffs zum Verlust von Kreditkartendaten stellen Transaktionen mit den gestohlenen daten einen realen (materiellen) Schaden für die einzelnen Personen dar, deren Daten gestohlen wurden.

Wichtige Urteile zum Art. 82 DSGVO

Hinsichtlich des Artikels 82 DSGVO kam es in der Vergangenheit immer wieder zu unterschiedlichen Anwendungen der Norm durch Gerichte. Während andere Gerichte Schadensersatz auch ohne Verschulden zugesprochen hatten, hat zum Beispiel 2021 das Oberlandesgericht Brandenburg festgelegt, dass der erlittene Schaden – materiell oder immateriell – vom Kläger nachgewiesen werden muss.

Darüber hinaus setzt der Anspruch auf Schadensersatz nach Ansicht des Gerichts voraus, dass

  • ein Verstoß gegen Vorschriften der DSGVO infolge einer rechtswidrigen Handlung des Verantwortlichen oder des Auftragsverarbeiters zu dem nachweisbaren Schaden geführt hat und

  • der Verantwortliche oder Auftragsverarbeiter den Schaden – hervorgerufen durch vorsätzliches oder fahrlässiges Handeln – zu verschulden hat 

Aktuelle Urteile des Europäischen Gerichtshofs (EuGH) aus 2023 und 2024 haben nun weitere Punkte konkretisiert:

  • Nicht jeder DSGVO-Verstoß begründet automatisch einen immateriellen Schaden. Es muss auch nachgewiesen werden, dass ein Schaden entstanden ist. 

  • Immaterielle Schäden können aber auch vorliegen, wenn dem Betroffenen durch die Datenpanne kein spürbarer Nachteil entstanden ist. Die DSGVO sieht für Schäden keine Bagatellgrenze oder die Überschreitung einer bestimmten Erheblichkeitsschwelle voraus.

  • Der Verlust der Kontrolle über die eigenen Daten und die Befürchtung des Datenmissbrauchs können einen immateriellen Schaden darstellen, wenn sie begründet sind.

  • Unternehmen können sich nicht von der Haftung befreien lassen, wenn der Schaden auf das Fehlverhalten eines Mitarbeiters zurückzuführen ist, aber die Einhaltung der Datenschutzvorschriften nicht ausreichend überwacht wurde.


  • Die DSGVO enthält keine spezifischen Bemessungsregeln für die Höhe des Schadensersatzes. Die Höhe wird von den nationalen Gerichten festgelegt. Dabei spielt die Anzahl der Verstöße keine Rolle, sondern der konkret erlittene Schaden.
     

DSGVO-Schadensersatz: Was Unternehmen wissen müssen

Die aktuellen EuGH-Urteile zeigen, dass die Gerichte beim Thema DSGVO-Schadensersatz eine immer verbraucherfreundliche Richtung einschlagen und der Schutz von Betroffenen höchste Priorität hat. Die sorgfältige Einhaltung der DSGVO ist für Unternehmen deshalb nicht nur wichtig, um Kundendaten zu schützen, sondern neben dem Risiko von Bußgeldern auch das Risiko von Schadensersatzzahlungen zu reduzieren.

Mit einem externen Datenschutzbeauftragten an Ihrer Seite sind Sie rechtlich abgesichert und meistern die komplexen Anforderungen der DSGVO mit Leichtigkeit. Ein Datenschutzbeauftragter unterstützt Sie mit Know-how, das relevant für Ihre Branche ist und sorgt dafür, dass Ihre Mitarbeiter die größten Risiken von Datenpannen vermeiden können.

Sie suchen noch den passenden Datenschutzexperten oder möchten Ihren internen Datenschutzbeauftragten entlasten?

Wir unterstützen Sie gern!


Artikel veröffentlicht am 21.01.2022
Artikel aktualisiert am 28.06.2024

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr