Materieller und immaterieller Schadensersatz bei Datenschutzverletzungen

Es ist mittlerweile ein alter Hut, dass bei Verstößen gegen das Datenschutzrecht teils erhebliche Bußgelder von Aufsichtsbehörden drohen. Weniger bekannt hingegen ist, dass überdies die Betroffenen aufgrund der Datenschutz-Grundverordnung (DS-GVO) und der korrespondierenden kirchlichen Datenschutzvorgaben Schadensersatzansprüche geltend machen können – die mittlerweile auch die deutschen Gerichte beschäftigen.

Im Vergleich zu Bußgeldern, welche teilweise in Millionenhöhe verhängt werden, erscheinen Schadensersatz­ansprüche einzelner Personen wenig relevant. Zu beachten ist allerdings, dass es sich bei größeren Organisationen und Unternehmen und entsprechend größeren Datenbeständen häufig nicht um einzelne, sondern um eine Vielzahl von Klagen handeln kann. In Summe können sie etwaige Bußgeldbeträge leicht übersteigen.

Auch immaterielle Schäden müssen ersetzt werden

Art. 82 Abs. 1 DS-GVO regelt, dass jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter zusteht. Im Vergleich zur alten Rechtslage nach dem Bundesdatenschutzgesetz (BDSG) ist bemerkenswert, dass nun neben einem konkreten Vermögensschaden auch ein immaterieller Schaden zu ersetzen ist. Die korrespondierenden kirchlichen Regelungen finden sich in § 50 des Gesetzes über den Kirchlichen Datenschutz (KDG) sowie in § 48 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche (DSG-EKD).

Schadensersatz soll abschreckende Wirkung entfalten

Der Verantwortliche ist der Rechtsträger der Organisation oder des Unternehmens, aber gegebenenfalls auch dessen Vorstand oder Geschäftsführer (OLG Dresden, Urteil vom 30. November 2021 – 4 U 1158/21). Der Betroffene soll „vollständigen und wirksamen Schadensersatz“ erhalten (Erwägungsgrund 146 Satz 6 DS-GVO). Nach dem Effektivitätsprinzip (effet utile) ist insoweit auch eine abschreckende Sanktion nicht ausgeschlossen.

Nach Erwägungsgrund 146 soll der Begriff des materiellen und immateriellen Schadens im Lichte der Rechtsprechung des EuGH weit ausgelegt werden. Ein Schaden liegt nach den Erwägungsgründen 75 und 85 DS-GVO unter anderem vor, wenn die Verarbeitung für die Betroffenen

  • zu einem Verlust der Kontrolle über ihre personenbezogenen Daten,
  • zur Einschränkung ihrer Rechte, 
  • zu einer Diskriminierung,
  • zu einem Identitätsdiebstahl oder -betrug,
  • zu einem finanziellen Verlust,
  • zu einer Rufschädigung,
  • zu einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten (hierunter fallen insbesondere Patienten- und Bewohnerdaten),
  • zur unbefugten Aufhebung der Pseudonymisierung oder
  • zu anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen

führt.

So sprach das OLG Düsseldorf in seinem Urteil vom 28. Oktober 2021 – 16 U 275/20 – einer Krankenversicherten einen immaterieller Schadensersatz in Höhe von 2.255,85 EUR zu, weil ihre gesetzliche Krankenkasse ihre Gesundheitsakte an ein falsches E-Mail-Konto versendet hatte. Die Versicherte erlitt nach Ansicht des Gerichts dadurch einen konkreten immateriellen Schaden, nämlich den Verlust der Datenkontrolle und die damit verbundene seelisch belastende Ungewissheit über das Schicksal der Daten.

Neue Gefährdungshaftung im Datenschutz?

Die oben genannten Grundsätze führen auch dazu, dass Schadensersatzansprüche nicht nur bei unmittelbaren Verletzungen des Datenschutzes zugesprochen werden, sondern teils auch schon bei der bloßen Gefährdung personenbezogener Daten: Das Landgericht Köln sprach mit Urteil vom 18. Mai 2022 – 28 O 328/ 21 – einem Ex-Kunden eines Online-Finanzdienstleisters einen immateriellen Schadensersatz in Höhe von 1.200,00 EUR zu, nachdem es infolge eines Cyber-Angriffs zu einem unberechtigten Zugriff auf Nutzerdaten des Finanzdienstleisters gekommen war. Dieser hatte nach Ansicht des Gerichts ein erhebliches Missbrauchsrisiko dadurch geschaffen, dass er die Daten des Kunden nach Ende der Vertragsbeziehung nicht bei seinem „Software as a service“-Provider geändert hatte. Dies stelle einen schadensersatzpflichtigen Verstoß gegen die Verpflichtung der Auswahl geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Daten nach Art. 32 DS-GVO dar. Aufgrund dieses Missbrauchsrisikos sei dem ehemaligen Kunden ein Schadensersatz zu zahlen, obwohl ein Missbrauch seiner Daten bisher nicht festgestellt werden konnte und es bislang bei einer Gefährdung geblieben ist.

Schadensersatz auch bei verspäteter oder falsch erteilter Auskunft

Zudem treten nun vermehrt Fälle auf, in denen es um Schadensersatz aufgrund der nicht ordnungsgemäßen Erfüllung von Betroffenenrechten, allen voran dem Auskunftsanspruch gemäß Art. 15 DS-GVO geht. Wird die Auskunft verspätet oder falsch erteilt, kann dadurch ein Schadensersatzanspruch entstehen. So hat das Landesarbeitsgericht Hamm mit Urteil vom 11. Mai 2021 – 6 Sa 1260/20 – einem Arbeitnehmer 1.000,00 EUR Schadensersatz gegen seinen ehemaligen Arbeitgeber zugesprochen, da dieser seiner Auskunftspflicht nicht rechtzeitig innerhalb von drei Monaten, sondern erst nach sechs Monaten nachgekommen war. Der entstandene immaterielle Schaden bestehe nach so langer Zeit ebenfalls im Kontrollverlust sowie der Unsicherheit auf Seiten des Klägers.

Zweifel an dieser Auffassung äußerte allerdings der Bundesgerichtshof im Rahmen der Revision, da der Erwägungsgrund 146 DS-GVO lediglich von Schäden spreche „die eine Person aufgrund der Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Der Auskunftsanspruch stelle aber keine „Verarbeitung“ von personenbezogenen Daten dar und könne deshalb nicht mit einer verordnungswidrigen Verarbeitung gleichgesetzt werden. Für Klarheit wird hier hoffentlich der Europäische Gerichtshof sorgen. Diesem liegt in der Rechtssache C-300/21 unter anderem die Frage vor, ob dem Betroffenen ein Schaden entstanden sein muss oder ob für den Schadensersatz bereits eine Verletzung sonstiger Bestimmungen der DS-GVO genügt. Vorangegangen war ein Verfahren vor dem Obersten Gerichtshof Österreichs.

Praxis-Hinweis

Aufgrund der dynamischen Entwicklung des Datenschutzrechts sind die Ansprüche an die Professionalität im Umgang mit dem Datenschutz und die interne Datenschutzorganisation deutlich gewachsen. Damit keine Bußgeldbescheide oder Schadensersatzklagen auf Sie zukommen, ist es wichtig, stets den aktuellen rechtlichen Vorschriften des Datenschutzes zu entsprechen. Um den Betroffenenrechten möglichst zeitnah nachzukommen, empfehlen wir, schon im Vorfeld entsprechende interne Prozesse zur Erfüllung zu etablieren. Als Rechtsanwälte und externe Datenschutzbeauftragte unterstützen wir sie dabei, den Umgang mit sensiblen personenbezogenen Daten in Ihrem Unternehmen fachgerecht zu gestalten, und stehen Ihnen bei rechtlichen Fragen rund um das Thema Bußgeld und Schadensersatz gerne zur Verfügung.

Autor
Autor

Weitere Artikel, die Sie interessieren könnten

phone
mail Pfeil weiß