Schadensersatzklagen nach DSGVO – immaterieller Schadensersatzanspruch?

Hintergrund

Dem Verfahren liegt die Klage eines Betroffenen gegen die Österreichische Post AG zugrunde. Dem Betroffenen wurde fälschlicherweise eine Affinität zu einer rechten politischen Partei unterstellt. Aufgrund dieser Unannehmlichkeit forderte der Betroffene eine angemessene Entschädigung. Diese Klage wurde nun dem EuGH zur Vorabentscheidung vorgelegt.

Voraussetzungen des Schadensersatzanspruchs

Der EuGH hat festgestellt, dass der Schadensersatzanspruch nach der DSGVO an drei kumulative Voraussetzungen geknüpft ist:

  • an einen Verstoß gegen die DSGVO,
  • an einen Schaden und
  • an einen Kausalzusammenhang zwischen dem Verstoß und dem Schaden.

Dadurch wurde festgestellt, dass ein reiner Verstoß gegen die DSGVO noch nicht genügt, einen Schadensersatzanspruch zu begründen. In jedem Fall muss ein Schaden festgestellt werden, der dann ersetzt werden kann. Dies zeigt, dass Art. 82 DSGVO anstatt eines strafenden Elements eher ein Ausgleichsgedanke zugrunde liegt. 

Muss der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen, um ersatzfähig zu sein?

Obwohl der Generalanwalt in seinen Schlussanträgen noch eine Erheblichkeit als erforderlich vorausgesetzt hat, lehnte der EuGH dies klar ab. Weder der Wortlaut noch die Intention des EU-Gesetzgebers gäben eine solche Beschränkung her. Aus Erwägungsgrund 146 folgt ein weites Verständnis des Begriffs „Schaden“. Somit sind die Tatbestandsvoraussetzungen für einen immateriellen Schaden leichter erfüllt.

Welche unionsrechtlichen Vorgaben bestehen für die Festsetzung der Höhe des Schadensersatzes?

Zur Höhe des Schadensersatzes enthält die DSGVO keine Bestimmungen. Die genaue Ausgestaltung solcher Rechtsregeln ist Aufgabe der einzelnen Mitgliedstaaten. Wichtige Kriterien sind hierfür der Äquivalenz- und der Effektivitätsgrundsatz. Nach Erwägungsgrund 146 soll ein vollständiger und wirksamer Schadensersatz für den erlittenen Schaden gewährt werden. Wie dies genau in den Mitgliedstaaten ausgestaltet ist, ist offen. Neben einem rein finanziellen Ausgleich kommt auch ein Eingeständnis der Rechtsverletzung oder die Abschöpfung eines unrechtmäßig erzielten Gewinns in Betracht.

Kriterien zur Konkretisierung

Um das „Ob“ des Schadensersatzes auslegen zu können, ist Erwägungsgrund 85 heranzuziehen. Demnach können folgende Positionen einen materiellen oder immateriellen Schaden für natürliche Personen darstellen:

„Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.“ 

Auch muss geklärt werden, ab wann eine Rechtsverletzung einen immateriellen Schaden darstellt. Nach Erwägungsgrund 85 genügt bereits der Kontrollverlust über die Daten oder die Einschränkung der eigenen Rechte für einen immateriellen Schaden. 

Weitere Verfahren

Eine diesbezüglich gefestigtere Rechtsprechung kann in den zahlreichen noch anhängigen Verfahren vor dem EuGH entstehen. Eine spannende Entscheidung ergeht vermutlich u.a. über die Vorlage des bulgarischen Obersten Verwaltungsgerichts bezüglich der Frage, ob Sorgen und Ängste vor einem möglichen Datenmissbrauch einen immateriellen Schadensersatzanspruch begründen können. 

Fazit

Die Präzisierung der Anforderungen des Art. 82 DSGVO sorgt für mehr Rechtssicherheit. Allerdings ist bislang lediglich klargestellt, dass ein immaterieller Schadensersatz nur geringen Tatbestandsanforderungen unterliegt. Das Urteil kann dadurch einen Anreiz zur Klage darstellen, wobei die Höhe eines Schadensersatzanspruchs und Grenzen noch nicht abschließend geklärt sind. Insgesamt wird mit mehr Klagen zu rechnen sein, was für Unternehmen große finanzielle Risiken birgt. Daher sollte der Datenschutzorganisation und ihrem Reifegrad große Aufmerksamkeit gewidmet werden.

Ähnliche Beiträge

03. Februar 2022

Haftung bei Datenschutzverstößen – Scalable Capital muss Schadensersatz leisten

Kunden können Schadensersatz nach der DSGVO verlangen, wenn ihre Daten nicht mit passenden technischen und organisatorischen Maßnahmen geschützt werden. Dies urteilte das Landgericht München gegenüber Scalable Capital. Die ausgeurteilten 2.500 € erscheinen nicht übermäßig – bei den vielen betroffenen Kunden kann jedoch eine sehr hoher Betrag zustandekommen.
Datenschutz
EU-DSGVO
25. Mai 2021

Kein Schadensersatz nach DSGVO ohne Schaden

Ein kürzlich ergangenes Urteil des Landesarbeitsgerichts Baden-Württemberg setzt den immer häufiger von Arbeitnehmer:innen im Arbeitsgerichtsprozess geltend gemachten Schadensersatzansprüchen wegen Datenschutzverstößen Grenzen.
Arbeitsrecht
Datenschutz
EU-DSGVO
19. Oktober 2020

1.000 € Schadensersatz für Versendung einer Nachricht an unbefugten Empfänger

Seit Einführung der DSGVO im Jahr 2018 sind Unternehmen zur besonderen Sensibilität im Umgang mit personenbezogenen Daten verpflichtet. Dass ihnen bei Datenschutzverstößen nicht nur Bußgelder der Behörden drohen können, sondern auch Schadensersatzansprüche der betroffenen Personen bestehen, zeigt ein Urteil des Landesgerichts Darmstadt vom 26.5.2020.
Datenschutz
EU-DSGVO
Zurück

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

EU-DSGVO Datenschutz

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink