Symbolbild für Schadensersatz und DSGVO

Schadensersatz im Datenschutz – das sieht die DSGVO vor

In der DSGVO gibt es die Regelung „Haftung und Recht auf Schadenersatz“. Aber wann haben Sie das Recht auf Schadensersatz und in welcher Höhe kann dieser ausfallen?
 

2022-01-20

Logo

Die DSGVO sieht für „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“ ein Recht auf Schadensersatz vor (Art. 82 DSGVO). Aber in welcher Höhe kann dieser Schadensersatz ausfallen und wann hat eine Klage Erfolg? Dazu gibt es nun ein aktuelles Gerichtsurteil.

Schadensersatz im Datenschutz: Das gilt laut DSGVO

Unter Artikel 82 DSGVO findet sich das Thema „Haftung und Recht auf Schadenersatz“. In diesem Abschnitt der Datenschutzgrundverordnung geht es um das Thema der Entschädigung für Personen, die aufgrund einer Datenpanne einen materiellen oder immateriellen Schaden erlitten haben. Verantwortlich für den Schadensersatz ist laut Gesetz der Verantwortliche oder Auftragsverarbeiter, der den Schaden zu verschulden hat.

Artikel 82 DSGVO – das besagt die rechtliche Grundlage

Der besagte Artikel der DSGVO sowie der Erwägungsgrund 146 legen dar, dass es eines konkreten Schadens bedarf, um einen Anspruch auf einen Schadensersatz zu haben. Dieser Schaden muss vom Kläger nachgewiesen werden können. Umgekehrt bedeutet dies, dass es in folgenden Fällen nicht zu einem Entschädigungsanspruch kommen kann:

  • Es besteht lediglich die Befürchtung eines Schadens

  • Es liegt nur die Datenschutzverletzung vor, kein Schaden.

Da es hinsichtlich dieses Artikels immer wieder zu Unklarheiten kommt, hat sich das Oberlandesgericht Brandenburg damit befasst (Az.: 1 U 69/20). Knackpunkt des Urteilsspruchs:  der erlittene Schaden – materiell oder immateriell – muss vom Kläger nachgewiesen werden können. Darüber hinaus setzt der Anspruch auf Schadensersatz voraus, dass:

  • ein Verstoß gegen Vorschriften der DSGVO infolge einer rechtswidrigen Handlung des Verantwortlichen oder des Auftragsverarbeiters zu dem nachweisbaren Schaden geführt hat und

  • der Verantwortliche oder Auftragsverarbeiter den Schaden – hervorgerufen durch vorsätzliches oder fahrlässiges Handeln – zu verschulden hat 

Wie aber kann es zu einem Schadensersatzanspruch im Datenschutz kommen? Was muss dabei in der Praxis konkret passieren?

Wodurch kann es zu einem Schadensersatzanspruch im Datenschutz kommen?

In der Praxis kommt es durch die Verkettung verschiedener Faktoren zu einer Datenschutzverletzung, die zu einem Schadensersatzanspruch aufgrund eines (im)materiellen Schadens führen kann. Fiktive Beispiele hierfür sind:

  • Hackerangriff auf eine Bank: Da eine Bank die personenbezogenen Daten der Kunden nicht ausreichend gesichert hat, kommt es zu einer Datenschutzverletzung, bei der Kreditkartendaten gestohlen werden. Mit den geklauten Daten werden Transaktionen vorgenommen – der Schaden für die einzelnen Personen, deren Daten gestohlen wurden, ist real (materieller Schaden).

  • Gestohlene Patientendaten: Eine Ärztin bewahrt Patientendaten nicht vorschriftsgemäß verschlossen auf, sondern lässt den Schrank mit den Akten unverschlossen. Ein neugieriger Handwerker sieht die Akten ein, fotografiert sie ab und veröffentlicht diese auf einer Internetplattform. Die veröffentlichten Patientendaten behindern Personen bei der Jobsuche, da streng vertrauliche Daten, die von der Ärztin hätten geschützt werden müssen, offengelegt wurden. Hier kann theoretisch ein immaterieller Schaden (Verlust über die eigenen Daten) sowie ein materieller Schaden (entgangener Lohn) geltend gemacht werden. Da es aber eines Beweises bedarf, wird in diesem Fall der immaterielle Schaden wegen der Verletzung des Persönlichkeitsrechts leichter nachzuweisen sein als der materielle Schaden wegen des entgangenen Lohns.

Schadensersatzansprüche: so sieht es in der Praxis aus

Die oben genannten Beispiele sind fiktiv – Datenschutzverletzungen sind hingegen an der Tagesordnung. Sollten Sie von einer Datenschutzverletzung betroffen sein und einen materiellen oder immateriellen Schaden erlitten haben, lohnt es sich, das bereits zu Beginn des Artikels angesprochene Urteil zu kennen: Wenn Sie den Ihnen durch eine Datenpanne entstandenen Schaden nachweisen können,  haben Sie gute Aussichten auf einen Datenschutz-Schadensersatz. Sind Sie zudem nicht allein von einer Datenpanne betroffen, bietet sich auch der Anschluss an eine Sammelklage an.
Je nach Schadensausmaß können sich die gerichtlich zugesprochenen Schadensersatzansprüche von wenigen hundert Euro (Fall: Kläger erhielt eine unvollständige und verspätete Auskunft von ihm bei Facebook gespeicherten Informationen: 500 Euro (OGH, Teilurteil vom 23. Juni 2021 – 6 Ob 56/21k)) bis auf mehrere tausend Euro (Fall: Verwendung eines Marketingfotos einer Arbeitnehmerin ohne schriftliche Einwilligung in einem auf die ethnische Herkunft der Klägerin abzielenden Zusammenhang: 5.000 Euro (ArbG Münster, Urteil vom 25. März 2021 – 3 Ca 391/20)) belaufen.
 

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 21.01.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr