Ein Angebot von Anwaltspraxis Wissen

Beitrag

© Satori Studio | Adobe Stock
  • Wolfgang Wellner / Dr. Oliver Klein / Klaus Kohake

Schadensersatz wegen Verstoßes gegen die DSGVO

a) Grundsätzliches

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO, also wegen eines Fehlers bei der Verarbeitung personenbezogener Daten i.S.d. Art. 2 Abs. 1 DSGVO ein materieller oder immaterieller Schaden entstanden ist, unmittelbar aus dem Unionsrecht Anspruch auf Schadensersatz gegen den Verantwortlichen (Art. 4 Nr. 7 DSGVO) oder gegen den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Es handelt sich um eine Haftung für vermutetes Verschulden, bei der dem Verantwortlichen der Beweis obliegt, nicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich zu sein (Art. 82 Abs. 3, ErwG 146 S. 2 DSGVO) (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 28; Urt. v. 21.12.2023 – C-667/21, EuZW 2024, 270 Rn. 94).

Der Anspruch dient allein dem Ausgleich des entstandenen Schadens; ein darüber hinausgehender Straf- oder Sanktionscharakter wohnt dem Anspruch nicht inne (Ausgleichsfunktion) (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 22).

Der auszugleichende Schaden ist freilich nicht zu gering anzusetzen, ein Datenschutzverstoß nicht als lässliche Sünde einzuordnen: Nach der maßgeblichen Rechtsprechung des EuGH wiegt der durch eine Verletzung des Schutzes personenbezogener Daten entstandene Schaden vielmehr seiner Natur nach nicht weniger schwer als eine Körperverletzung (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 39).

Zahlreiche Details der unionsrechtlichen Vorgaben bedürfen noch der Konturierung durch den EuGH und – soweit es wie etwa bezüglich der Anspruchshöhe innerstaatlichen Spielräume gibt – durch die Rechtsprechung von BGH und BAG. Angesichts der fortschreitenden Digitalisierung nahezu aller Lebensbereiche und der damit zwangsläufig einhergehenden Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) lässt sich aber schon jetzt vorhersagen, dass es sich bei dem Anspruch aus Art. 82 DSGVO um eine zentrale Haftungsnorm der Zukunft handelt. Im Arbeitsrecht gehört Art. 82 DSGVO schon jetzt zum Arsenal nahezu eines jeden Kündigungsschutzstreits).

 

b) Voraussetzungen

Der Anspruch aus Art. 82 Abs. 1 DSGVO beruht auf den folgenden drei Voraussetzungen, die kumulativ vorliegen müssen und vom Anspruchsteller darzulegen und zu beweisen sind (EuGH, Urt. 11.4.2024 – C-741/21 Rn 34 f.):

  1. Verstoß gegen die DSGVO
  2. Entstehung eines Schadens, materiell oder immateriell
  3. Kausalzusammenhang zwischen Verstoß und Schaden

Ein Verschulden des Verantwortlichen wird dagegen im Falle eines Datenschutzverstoßes grundsätzlich vermutet; die Beweislast fehlenden Verschuldens liegt daher beim Verantwortlichen (Beweislastumkehr) (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 28; Urt. v. 21.12.2023 – C-667/21, EuZW 2024, 270 Rn 94).

Im Einzelnen:

aa) Verstoß gegen die DSGVO

Haftungsbegründend kann jeder Verstoß gegen die DSGVO (Art. 82 Abs. 1 DSGVO), genauer: jede nicht der DSGVO entsprechende Verarbeitung personenbezogener Daten (Art. 82 Abs. 2, ErwG 146 S. 1 DSGVO) sein. „Verarbeitung“ ist nach Art. 4 Nr. 2 DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten; in Betracht kommen damit Verstöße z.B. gegen Art. 5, 6, 24 und 32 DSGVO (Vgl. EuGH, Urt. v. 25.1.2024 – C-687/21, EuZW 2024, 278 Rn 42 f.; v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn 52 f.).

Eine Verletzung der Sicherheit der Daten (Art. 4 Nr. 12 DSGVO) muss mit dem Verstoß als solchem nicht notwendig verbunden sein, dies kann aber für die Frage eines ersatzfähigen Schadens relevant werden. Im Unterschied zum Anspruch auf Geldentschädigung wegen Verletzung des allgemeinen Persönlichkeitsrechts (dazu oben unter 2.c) muss der Verstoß auch nicht von besonderer Schwere sein (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 30. Dies ist durchaus bemerkenswert, wenn man bedenkt, dass das allgemeine Persönlichkeitsrecht das „Mutterrecht“ des Rechts auf informationelle Selbstbestimmung ist (vgl. BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 u.a., BVerfGE 65, 1), dessen Schutz die DSGVO dient.).

Eine wichtige Ausnahme gilt es dabei zu beachten: Die Datenverarbeitung zu journalistischen Zwecken unterfällt in Deutschland grundsätzlich nicht dem Anwendungsbereich der DSGVO und damit auch nicht dem Ersatzanspruch aus Art. 82 Abs. 1 DSGVO, weil die Länder insoweit von der Öffnungsklausel des Art. 85 Abs. 2 DSGVO Gebrauch gemacht haben (sog. Medienprivileg) (BGH, Urt. v. 22.2.2022 – VI ZR 1175/20, NJW 2022, 1751 Rn 18).

Eine unrechtmäßige Presseberichterstattung kann daher, auch wenn sich ihre Rechtswidrigkeit gerade aus der Verwendung personenbezogener Daten (z.B. dem Namen oder einem Bild) des Betroffenen ergibt, weiterhin nur unter den strengeren Voraussetzungen des Geldentschädigungsanspruchs zu einem Ausgleich immateriellen Schadens führen.

Im Anwendungsbereich der DSGVO kann der Betroffene nach Art. 82 Abs. 2 DSGVO nicht nur jeden für die Verarbeitung personenbezogener Daten Verantwortlichen (Art. 4 Nr. 7 DSGVO), sondern, soweit vorhanden, auch jeden Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) in Anspruch nehmen. Die Anspruchsverpflichteten haften als Gesamtschuldner (Art. 82 Abs. 4, ErwG 146 S. 7 ff. DSGVO).

Der Verstoß gegen die DSGVO muss von dem Verantwortlichen verschuldet sein. Dessen Verschulden wird aber im Sinne einer Beweislastumkehr zugunsten des Betroffenen solange vermutet, bis der Verantwortliche nachgewiesen hat, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden entstanden ist, verantwortlich ist (Art. 82 Abs. 3, ErwG 74, 146 S. 2 DSGVO). Der Entlastungsbeweis ist geführt, wenn der Verantwortliche im konkreten Fall nachweist, alle nach Art. 24 und Art. 32 DSGVO gebotenen Maßnahmen technischer und organisatorischer Art getroffen zu haben (EuGH, Urt. v. 25.1.2024 – C-687/21, EuZW 2024, 278 Rn 38 ff.; v. 21.12.2023 – C-667/21, EuZW 2024, 270 Rn 96; v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn 52).

Hierfür gelten strenge Anforderungen. Für eine Haftungsbefreiung reicht es nicht aus, sich auf das Fehlverhalten nachgeordneter Personen zu berufen, die Weisungen nicht befolgt hätten (EuGH, Urt. v. 11.4.2024 – C-741/21, NJW 2024, 1561 Rn 51 ff.). Wurde die Verletzungshandlung von Dritten (Art. 4 Nr. 10 DSGVO), etwa Cyberkriminellen/Hackern begangen, muss der Verantwortliche zu seiner Entlastung nachweisen, dass das von ihm vorgehaltene Schutzniveau insb. unter Berücksichtigung des Stands der Technik (Art. 32 Abs. 1 DSGVO) angemessen war (EuGH, Urt. v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn 71 ff.).

bb) Schaden

Der unionsrechtliche Begriff des Schadens i.S.d. Art. 82 Abs. 1 DSGVO ist unabhängig von nationalen Vorstellungen, d.h. autonom und in der gesamten Union einheitlich (EuGH, Urt. v. 4.5.2023 – C-300/21, NJW 2023, 1930 Rn 29 f.) „weit auf eine Art und Weise [auszulegen], die den Zielen [der DSGVO] in vollem Umfang entspricht“ (ErwG 146 S. 3). Maßgeblich ist letztlich die Rechtsprechung des EuGH. Danach handelt es sich – dem Wortlaut des Art. 82 Abs. 1 DSGVO folgend – beim Entstehen eines Schadens um eine eigenständige Anspruchsvoraussetzung.

Das Vorliegen eines Datenschutzverstoßes reicht für sich genommen nicht für die Begründung des Anspruchs aus (EuGH, Urt. v. 4.5.2023 – C-300/21, NJW 2023, 1930 Rn 32 ff.), der Eintritt eines individuellen Schadens des Betroffenen ist neben dem Datenschutzverstoß vielmehr zusätzlich zu prüfen. Dabei ist allerdings zu beachten, dass insofern keine Bagatellgrenze existiert, der Schaden also keine wie auch immer geartete Erheblichkeitsschwelle überschreiten muss (EuGH, Urt. v. 14.12.2023 – C-456/22, EuZW 2024, 166 Rn 12 ff.; v. 4.5.2023 – C-300/21, NJW 2023, 1930 Rn 45 ff.).

Im Ergebnis kann auch die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung des Betroffenen, seine personenbezogenen Daten könnten von Dritten missbraucht werden, und damit der – auch nur kurzzeitige – Verlust der Kontrolle über personenbezogene Daten schon einen immateriellen Schaden i.S.d. Art. 82 Abs. 1 DSGVO darstellen (vgl. ErwG 75, 85) (EuGH, Urt. v. 25.1.2024 – C-687/21, EuZW 2024, 278 Rn 66; v. 14.12.2023 – C-456/22, EuZW 2024, 166 Rn 22; v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn 82).

Zu einem darüberhinausgehenden Identitätsdiebstahl infolge des Kontrollverlustes muss es nicht gekommen sein (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 57). Der Kontrollverlust selbst ist aber vom Betroffenen nachzuweisen; die bloße Behauptung eines befürchteten Kontrollverlustes genügt ebenso wenig (EuGH, Urt. v. 20.6.2024 – C-590/22 Rn 35) wie das nur hypothetisch gebliebene Risiko einer missbräuchlichen Verwendung in einem Fall, in dem der unbefugte Dritte nachweislich keine Kenntnis von den personenbezogenen Daten des Betroffenen genommen hat (EuGH, Urt. v. 25.1.2024 – C-687/21, EuZW 2024, 278 Rn 68 f.).

cc) Kausalzusammenhang

Der haftungsbegründende Verstoß gegen die DSGVO muss ursächlich für den entstandenen individuellen Schaden des Betroffenen gewesen sein (vgl. Art. 82 Abs. 1 DSGVO: „wegen eines Verstoßes … Schaden entstanden“) (EuGH, Urt. v. 4.5.2023 – C-300/21, NJW 2023, 1930 Rn 32 ff.). Eine Mitursächlichkeit reicht insoweit nach allgemeinen Grundsätzen aus; insbesondere hindert auch das vorsätzliche Hinzutreten Dritter (z.B. Hacker), die sich eine unzureichende Sicherung von personenbezogenen Daten zunutze machen und diese abgreifen, den Kausalzusammenhang zwischen unzureichender Sicherung der Daten durch den Verantwortlichen und dem durch den Datendiebstahl entstandenen Schaden nicht (Vgl. EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22).

 

c) Höhe

Die Bemessung der Höhe des nach Art. 82 DSGVO geschuldeten Schadensersatzes richtet sich mangels einer unionsrechtlichen Bestimmung letztlich zwar nach nationalem Recht (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 27), das Unionsrecht macht aber eine Reihe von Vorgaben:

  • Nach dem Äquivalenzgrundsatz dürfen die verfahrensrechtlichen Modalitäten zur Durchsetzung des unionsrechtlichen Anspruchs nicht ungünstiger sein als die diejenigen zur Durchsetzung innerstaatlich begründeter Ansprüche; nach dem Effektivitätsgrundsatz darf die Ausübung des unionsrechtlichen Anspruchs diesen nicht praktisch unmöglich machen oder übermäßig erschweren (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 32 f.).
  • Mit dem nach Art. 82 DSGVO zu gewährenden Betrag ist der konkrete (immaterielle) Schaden des Betroffenen vollständig auszugleichen (vgl. ErwG 146 S. 6); nicht weniger, aber auch nicht mehr (allein Ausgleichsfunktion). Das bedeutet nach unten, dass auch ein geringfügiger Schaden auszugleichen ist (keine Bagatellgrenze) (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 44), und nach oben, dass der zuzusprechende Betrag nicht über den vollständigen Ersatz des Schadens des Betroffenen hinausgehen darf (EuGH, Urt. v. 20.6.2024 – C-590/22 Rn 41), auch wenn im Ergebnis nur ein geringer Betrag verbleibt (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 45).
    Insbesondere hat der Anspruch aus Art. 82 DSGVO keine Straffunktion, die Zumessungskriterien der Art. 83 f. DSGVO finden folglich keine Anwendung (EuGH, Urt. v. 20.6.2024 – C-182/22 u. 189/22 Rn 22; v. 11.4.2024 – C-741/21, NJW 2024, 1561 Rn 56). Die Schwere des Datenschutzverstoßes spielt daher für sich genommen ebenso wenig eine Rolle wie die Anzahl der Verstöße oder der Grad des Verschuldens (soweit dem Schädiger nicht der Entlastungsbeweis gelingt) (EuGH, Urt. v. 11.4.2024 – C-741/21, NJW 2024, 1561 Rn 64; v. 21.12.2023 – C-667/21, EuZW 2024, 270 Rn 103).
    Auch die Verletzung weiterer Vorschriften (etwa des Berufsrechts) außerhalb der DSGVO ist nicht geeignet, den Anspruch aus Art. 82 DSGVO zu erhöhen, sie kann allerdings zusätzliche Ansprüche auslösen (EuGH, Urt. v. 11.4.2024 – C-741/21, NJW 2024, 1561 Rn 64; v. 21.12.2023 – C-667/21, EuZW 2024, 270 Rn 103).

 

Bei Beachtung dieser Vorgaben obliegt die Bemessung des Schadens nach allgemeinen Grundsätzen des deutschen Rechts dem Tatrichter, es gilt § 287 ZPO. Die bisherige Rechtsprechung ist freilich von einer großen Spannbreite geprägt. Es wird Aufgabe von Arbeitshilfen wie dieser sein, für die Zukunft einen verlässlichen Rahmen zur Bemessung des immateriellen Schadens aus Art. 82 DSGVO zu schaffen. Hinsichtlich der bislang zu Art. 82 DSGVO ergangenen Entscheidungen (Vgl. dazu etwa die lfd. Nrn. 3266, 3267, 3326, 3350, 3353, 3355, 3362, 3363, 3364, 3385, 3386, 3383, 3387 der Schmerzensgeldtabelle) ist dagegen höchste Vorsicht geboten: Die vor der Konturierung durch die jüngsten EuGH-Entscheidungen ergangenen Entscheidungen deutscher Gerichte gehen fast durchgehend (jedenfalls auch) von falschen Bemessungskriterien (z.B. Abschreckungsfunktion, Grad des Verschuldens) aus und dürften größtenteils überholt sein.

 

Ein Auszug aus dem Buch Hacks / Wellner / Klein / Kohake (Hrsg.) SchmerzensgeldBeträge 2025 (Buch mit Online-Zugang), 43. Auflage, 2024, AII S. 30-32.

Eine weitere kostenlose Leseprobe finden Sie in unserer Onlinebibliothek Anwaltspraxis Wissen

 

 

Diesen Beitrag teilen

Facebook
Twitter
WhatsApp
LinkedIn
E-Mail

Kategorien

Unsere Autorinnen und Autoren

Newsletter & Infobriefe

Die Anwaltspraxis Wissen Newsletter & kostenlosen PDF Infobriefe halten Sie in allen wichtigen Kanzlei-Themen auf dem Laufenden!

Kostenlos anmelden

Fast im Ernst

Meist gelesen

Videoblog

Bitte akzeptieren Sie Cookies und externe Inhalte, um diese Videogalerie sehen zu können.

Cookies akzeptieren

Unser KI-Spezial

Erfahren Sie hier mehr über Künstliche Intelligenz – u.a. moderne Chatbots und KI-basierte…

Zum KI-Spezial