19. August 2021

Schadensersatzansprüche im Datenschutz – ein nicht zu unterschätzendes Risiko

Bei der Datenschutz-Grundverordnung (DSGVO) denken viele Unternehmen an die medienwirksamen Bußgelder und eher weniger an Schadensersatzansprüche betroffener Personen. Zu Unrecht, denn im Zuge der Digitalisierung gewinnt auch das Thema Schadensersatz nach Artikel 82 DSGVO zunehmend an Bedeutung. Gerade in den letzten Monaten häufen sich Fälle, in denen Betroffene Schadensersatzforderungen wegen behaupteter Datenverstöße gegen Unternehmen richten. Hintergrund ist das verstärkte Auftreten von Anbieter:innen sog. Legal Tech-Unternehmen, die sich darauf spezialisieren, immaterielle Schadensersatzforderungen massenhaft geltend zu machen. Auf Webseiten wird teilweise explizit dazu aufgerufen Schadensersatzansprüche prüfen zu lassen und gegen Unternehmen durchzusetzen. Diese Entwicklung wird künftig verstärkt werden durch eine neue EU-Richtlinie zur Einführung der Europäischen Verbandsklage. Die damit verbundenen möglichen Konsequenzen sollten nicht unterschätzt werden. Verdeutlicht werden diese bereits durch zahlreiche Gerichtsverfahren. Werden die Schadensersatzforderungen in Massenverfahren gebündelt, erstrecken sich die Summen im Ergebnis durchaus auch auf Summen von 20 Millionen Euro. Doch solche Konsequenzen lassen sich vermeiden.

Dieser Beitrag erläutert deshalb die Grundlagen zum Schadensersatzanspruch in der DSGVO, gibt aktuelle Einblicke in die Praxis der Gerichte und zeigt, bei welchen Verstößen Forderungen drohen und wie man am besten damit umgeht.

I. Grundlagen zum Schadensersatzanspruch in der DSGVO

Werden personenbezogene Daten unter Verstoß gegen datenschutzrechtliche Vorschriften verarbeitet, ist der Verantwortliche nach Art. 82 DSGVO zum Ersatz des daraus entstandenen Schadens verpflichtet. Artikel 82 Abs. 1 DSGVO gibt dabei jeder betroffenen Person eine eigene, unmittelbare Anspruchsgrundlage gegen den Verantwortlichen oder gegen den Auftragsverarbeiter an die Hand.

Dieser Anspruch erfordert nach dem Wortlaut der Norm (1) ein Verstoß gegen die Verordnung, (2) einen materiellen oder immateriellen Schaden einer natürlichen Person, (3) Kausalität und (4) Verschulden. Um einen solchen Anspruch im Ernstfall erfolgreich abwehren zu können, ist es wichtig jede Voraussetzung zu kennen und genau zu prüfen. Doch noch ist in diesem Bereich viel umstritten und die Rechtsauffassungen der Gerichte widersprechen sich teilweise.
Im Folgenden werden die Voraussetzungen daher anhand der wichtigsten gerichtlichen Entscheidungen näher beleuchtet:

1. Verstoß gegen die Verordnung
Verordnung im Sinne von Art. 82 I ist einerseits die DSGVO, aber auch die darauf basierenden Gesetze – wie zum Beispiel das Bundesdatenschutzgesetz.
Mögliche Verstöße reichen damit von zu später oder unvollständiger Auskunft über die Datenverarbeitung, zu fehlender Datensicherheit oder der weitergeführten Datenverarbeitung trotz Widerruf oder Widerspruch. Dabei ist wichtig, dass jeder Verstoß – egal wie groß oder klein – den Anspruch erst einmal begründen kann.

2. Materieller oder immaterieller Schaden einer natürlichen Person
Dieser Verstoß muss in einem materiellen oder immateriellen Schaden resultieren. Erstere lässt sich häufig relativ leicht darlegen. Beispiele aus der Praxis sind etwa die Nichtgewährung eines Kredits, Verweigerung des Vertragsschlusses aufgrund falscher Bonitätswerte, die falsche Eingruppierung in eine teurere Versicherungsstufe oder die Nichteinstellung/Entlassung aufgrund falscher Information.

Doch nicht nur tatsächliche Vermögenseinbußen können einen Schadenersatzanspruch begründen, sondern auch immaterieller Schäden. Beispiele dafür sind Rufschädigung, Ärgernis und Zeitverlust.
Hier ist im Detail noch vieles höchst umstritten. Nach Ansicht des Bundesverfassungsgerichts ist die richtige Anwendung des Unionsrecht weder offenkundig noch hat der EuGH dazu bisher Stellung bezogen (vgl. BVerfG, Beschluss v. 14.01.2021, 1 BvR 28531/19).

Zum einen sind sich deutsche Gerichte uneins darüber, ob ein enger oder weiter Schadensbegriff Anwendung finden soll. Ein starkes Indiz gegen die Anwendung des innerdeutschen zivilrechtlichen Schadensbegriff ist jedoch Erwägungsgrund 146 S. 3 der DSGVO. Danach ist der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung in vollem Umfang entspricht. Anders als im deutschen Zivilrecht soll der Schadensersatz nach dem Europäischen Gerichtshof nicht nur entstandene Nachteile ausgleichen, sondern durch empfindliche Höhe von Verstößen abschrecken (Abschreckungsfunktion).

Jedenfalls aber setzt die Geltendmachung eines immateriellen Schadens nach Ansicht des LG Bonn eine Beeinträchtigung voraus, die zumindest „spürbar“ sein muss (LG Bonn, Urteil v. 1.7.2021, 15 O 372/20). Dies sieht auch der Oberste Gerichtshof (OGH) in Österreich so und forderte in seinem eindeutigen Urteil (Az.: 6 Ob 217/19h) das Vorliegen eines spürbaren Nachteils. Dies hat zwar keine Wirkung für deutsche Gerichte, dürfte als Grundsatzurteil dennoch wegweisend sein. (Vergleiche zum Urteil auch: Blogbeitrag Schadensersatz nach DSGVO: Wer muss was beweisen? )

Nicht abschließend geklärt ist allerdings, ob die Vorschrift des Artikel 82 DSGVO eine gewisse Erheblichkeitsschwelle der Rechtsverletzung voraussetzt. Das Bundesverfassungsgericht beschäftigte sich in seinem Beschluss vom 14. Januar 2021 indirekt mit dieser Frage der Erheblichkeitsschwelle (Az.: 1 BvR 28531/19). Es stellte darin immerhin fest, dass das AG Goslar (Az.: 28 C 7/19) die Frage über die Erheblichkeit des Schadens und ob nicht auch bei fehlender Erheblichkeit ein Anspruch auf Schadensersatz bestehe, dem EuGH vorlegen müsse. Das Urteil des AG Goslar wurde aufgehoben und das Gericht muss die Frage nun dem EuGH vorlegen. Das Ergebnis bleibt abzuwarten – der Ball liegt nun beim EuGH.

3. Kausalität
Des Weiteren muss der Schaden gerade durch den Verstoß entstanden oder hervorgerufen worden sein. In der Praxis können sich hier Beweisprobleme ergeben – dazu mehr im folgenden Punkt. Beispiele sind eine unrechtmäßige Datenverarbeitung oder unzureichende Sicherheitsmaßnahmen zum Schutze der Daten.

4. Verschulden, Beweislast und Haftungsbefreiung (Abs. 2,3)
Letztlich muss Verschulden auf Seiten des Verantwortlichen oder Auftragsverarbeiters vorliegen. Verschulden liegt vor, wenn der Verstoß durch ein Verhalten des Anspruchsgegner vorsätzlich oder fahrlässig verursacht wurde. Dieses wird nach Art. 82 Abs. 3 DSGVO grundsätzlich vermutet, sodass der Verantwortliche oder Auftragsverarbeiter nachweisen muss das er für den Verstoß gerade nicht verantwortlich ist. Der Verantwortliche/ Auftragsverarbeiter kann sich somit nur nach seiner Haftung gemäß Absatz 2 befreien, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Zu beachten ist dabei, dass Unternehmen für das Handeln ihrer Beschäftigten haften und sich auch nicht durch die Falschberatung eines Datenschutzbeauftragten exkulpieren können.
Die Darlegungs- und Beweislast der Ansprüche nach Artikel 82 DSGVO ist noch nicht höchstrichterlich geklärt und in der Rechtsprechung höchst umstritten. Nach den allgemeinen zivilprozessualen Regelungen muss der Anspruchssteller die Anspruchsvoraussetzungen vortragen und nachweisen.
Doch einige Gerichte vertreten die Ansicht, dass die allgemeine Rechenschaftspflicht des Verantwortlichen aus Art. 5 Abs. 2 DSGVO bei allen Tatbestandsmerkmalen des Art. 82 I DSGVO Beachtung finden muss und folgern daraus, dass es genügt, wenn die betroffene Person Anhaltspunkte für einen Verstoß gegen die Verordnung vorträgt. Der Betroffene habe typischerweise keinen Einblick in die Verarbeitungsvorgänge, woraus sich ebenfalls eine Beweislastumkehr oder Beweiserleichterung ableiten ließe.
Dem widersprach jüngst das OLG Stuttgart in seinem Urteil vom 31.03.2021 (Az.: 9 U 34/21) und argumentiert darin überzeugend, dass die DSGVO kein Beweisrecht enthält – vielmehr würden die Beweisregeln des jeweiligen nationalen Prozessrechts gelten. Des Weiteren biete das deutsche Zivilprozessrecht hinreichende Möglichkeiten, eine effektive Rechtsdurchsetzung zu gewährleisten. Auch der europarechtliche Effektivitätsgrundsatz könne über die Grundsätze der sekundären Darlegungslast gewahrt werden. Das OLG führte in seinem Urteil aus, dass letztere der betroffenen Person weiterhelfen würde, wenn diese keine nähere Kenntnis der maßgeblichen Umstände und auch keine Möglichkeit zur weiteren Sachaufklärung hätte, während der Bestreitende alle wesentlichen Tatsachen kenne und es ihm unschwer möglich und zumutbar wäre, nähere Angaben zu machen. Dem Bestreitenden obliege es im Rahmen seiner sekundären Darlegungslast, Nachforschungen zu unternehmen, wenn ihm dies zumutbar ist. Das gelte insbesondere dann, wenn eine Partei Handlungen der Gegenpartei behauptet; dann ist der bestreitenden Gegenpartei in der Regel zuzumuten, dass sie Gegenbehauptungen aufstellt beziehungsweise entsprechende Nachforschungen anstellt (vgl. Randnummer 50 des Urteils).
Dem durch einen potenziellen Datenschutzverstoß Geschädigten wird es somit nach Ausführung des OLG Stuttgart nicht unmöglich gemacht oder übermäßig erschwert, seinen Anspruch durchzusetzen.
Dies unterstreicht auch die Wichtigkeit für Unternehmen, die Maßnahmen zur Erfüllung datenschutzrechtlicher Vorgaben umfassend zu dokumentieren.
Allerdings hat das OLG Stuttgart die Revision zum BGH wegen der grundsätzlichen Bedeutung dieser Rechtsfrage und den unterschiedlich vertretenen Positionen zugelassen.


Mehr Informationen zum Thema:


II. Umgang mit Schadensersatzforderungen

Trotz der sich teils widersprechenden Rechtsaufassungen lassen sich Schadensersatzforderungen vorbeugen und die Höhe der Forderung im Ernstfall minimieren.

Wichtig um Schadensersatzforderungen zu vermeiden ist insbesondere:

  • Anfragen von betroffenen Personen rechtzeitigt und vollständig beantworten
  • Die korrekte Umsetzung von Widerruf und Wiederspruch sicherstellen
  • Einwilligungen freiwillig einholen und in Einwilligungstexte umfassend informieren
  • Datenverarbeitungsvorgänge sicher ausgestalten und damit die Vorgaben zur Datensicherheit umsetzen
  • Besonderheiten des Beschäftigtendatenschutzes beachten

Besonders hilfreich ist eine gute Datenschutzdokumentation und ein ordentlich etabliertes Datenschutzmanagementsystem (DSMS). Ein DSMS hilft bei der Erkennung und Behebung datenschutzrechtlicher Probleme und Risiken. Dadurch wird die Wahrscheinlichkeit für Datenverstöße oder Datenpannen verringert.

Sollte es doch zu einer Schadensersatzforderungen kommen, ist folgende Vorgehensweise empfehlenswert:

  1. Eingangsdatum feststellen und Vorgang an Datenschutzkoordinator:in beziehungsweise DSB/Legal weiterleiten
  2. Vorprüfung der Anspruchsberechtigung (ist die anfragende Person Kunde, Partner oder ähnliches?) Gibt es einen vorwerfbaren Verstoß?
  3. Gegebenenfalls Einschaltung eines Anwalts zum Verfassen einer Stellungnahme
  4. Sachverhalt intern umfassend aufklären
  5. Möglichkeit der Gegenargumentation ausloten (Schadensbegriff, Beweislast, Schadensersatzhöhe, etc.)

Wichtigstes Verteidigungsmittel ist die sorgfältige Dokumentation aller getroffener Maßnahmen (Art. 5 Abs. 2 DSGVO). Handeln Sie schnell und reagieren Sie auf Forderungen. Gerne unterstützen wir Sie dabei!

III. Fazit und Ausblick

Abschließend lässt sich festhalten, dass Schadensersatzforderungen nach der DSGVO aller Voraussicht häufiger und ihre Höhe tendenziell steigen werden. Maßgeblich dazu beitragen dürfte die EU-Richtlinie 2020/1828 zur Verbandsklage zum Schutze der Kollektivinteressen der Verbraucher, welche am 25. November 2020 verabschiedet wurde. Die Umsetzung in den Mitgliedstaaten muss bis zum 31.12.2022 erfolgen. Diese Verbandsklage ermöglicht qualifizierten Einrichtungen zur Vertretung von Verbraucherinteressen die gebündelte Geltendmachung der Schadensersatzforderungen mehrerer Verbraucher.

Bei Schadensersatzforderungen aufgrund DSGVO-Verstöße sind viele Detailfragen sehr umstritten – dies gilt insbesondere für die Höhe des Schadensersatzes, der Schadensbegriff und die Beweislast. Klärung wird erst eine Grundsatzentscheidung des EuGHs bringen, die wohl aber nicht in nächster Zeit zu erwarten ist. Bis dahin sollten Maßnahmen getroffen werden, um es gar nicht erst zu Schadensersatzforderungen kommen zu lassen. Wichtig ist insbesondere ein gelungenes Datenschutzmanagement. Dies hilft Ihnen frühzeitig Risiken und datenschutzrechtliche Probleme zu erkennen. So kann die Wahrscheinlichkeit für Datenverstöße oder Datenpannen signifikant verringert werden. Gleichzeitig sorgt das DSMS für eine Optimierung von Abläufen und Prozessen. Wie so oft gilt, proaktives Handeln hilft spätere negative Folgen zu verhindern oder zu minimieren.

Im Zweifel sollte anwaltlicher Rat eingeholt werden, insbesondere zur Ausarbeitung einer Gegenargumentation. Denn aufgrund der auslegungsbedürftigen Begriffe gibt es weiterhin argumentativen Spielraum, der durchaus in Ihrem Sinne genutzt werden kann. Gerne stehen wir Ihnen dabei mit unserer Expertise und Erfahrung in Sachen Schadensersatzansprüchen im Datenschutz zur Seite.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!