Datenschutzrecht: Schadensersatz für Verstoß gegen Datenschutz-Grundverordnung

29.08.2020

Rechtsgebiete

  • Europarecht
  • Zivilrecht
  • Datenschutzrecht

Autoren

Anzeigen >Rechtsanwalt Dirk Streifler - Partner

Wirtschaftsrecht / Existenzgründung / Insolvenzrecht / Gesellschaftsrecht / Strafrecht
EnglischDeutsch
Liegt ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) vor, so kann der Betroffene Schadensersatz verlangen. Gemäß Art. 82 DSGVO sieht die Verordnung sowohl den Ersatz materieller als auch immaterieller Schäden vor. Unentschieden ist bisher jedoch, wie weit der Begriff des immateriellen Schadens auszulegen ist und wer im Zweifel nachzuweisen hat, dass ein solcher eingetreten ist.

 

Die europäische Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; kurz: DSGVO) sieht eine Reihe von Rechten bezüglich der Datenverarbeitung von Bürgern vor. Darunter sind unter anderem das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschen (Art. 17 DSGVO – auch „Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie das Recht auf Übertragbarkeit von Daten (Art. 20 DSGVO).

Liegt ein Verstoß gegen eines dieser Rechte oder gegen die Verordnung insgesamt vor, so kann der von diesem Verstoß Betroffene gem. Art. 82 DSGVO Schadensersatz verlangen. Ersatzfähig nach dieser Vorschrift sind sowohl materielle als auch immaterielle Schäden.

Materielle Schäden sind (objektiv nachweisbare) Vermögensschäden, die auf die Verletzung der DSGVO im konkreten Fall zurückzuführen sind.

Immaterielle Schäden sind demgegenüber solche, die sich nicht in der objektiven Vermögenslage des Betroffenen widerspiegeln, sondern von nicht gegenständlicher (also immaterieller) Natur sind. Hierunter wird insbesondere die Verletzung des Persönlichkeitsrechts einer Person (als typische Folge eines Datenschutzrechtsverstoßes) gefasst.

Uneinigkeit besteht bisher darüber, wie weitreichend solche immateriellen Schäden nach der Verordnung ersatzfähig sind und wer im Prozess dafür zuständig ist, ihr Vorliegen zu beweisen (siehe dazu unten).

 

I. Voraussetzungen für das Bestehen des Schadensersatzanspruchs

Voraussetzungen für das Bestehen eines Schadensersatzanspruchs nach Art. 82 DSGVO sind zunächst,

  • - dass ein Verstoß gegen die Verordnung vorliegt,

  • - dass dieser Verstoß beim Betroffenen zu einem kausalen (materiellen oder immateriellen) Schaden geführt hat

  • - und dass der Anspruchsgegner „Verantwortlicher“ oder „Auftragsverarbeiter“ im Sinne der Vorschrift ist.

„Verantwortlicher“ im Sinne des Art. 82 I DSGVO ist nach der Begriffsbestimmung in Art. 4 Nr. 7 DSGVO jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

„Auftragsverarbeiter“ hingegen ist jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personen­bezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 14 Nr. 8 DSGVO).

 

II. Beweislastverteilung

Teilweise umstritten ist bisher, welche dieser Tatsachen von welcher Partei im Prozess bewiesen werden müssen.

Nach den allgemeinen zivilrechtlichen Beweislastregeln im deutschen Recht müssen Tatsachen immer von demjenigen vor Gericht bewiesen werden, zu dessen Gunsten sie angeführt werden.

Für den Anspruch auf Schadensersatz aus Art. 82 DSGVO würde das grundsätzlich bedeuten, dass vom Kläger/ von der Klägerin bewiesen werden muss,…

  • - dass ein Verstoß gegen die DSGVO stattgefunden hat,

  • - dass der/ die Beklagte hierfür verantwortlich war

  • - und dass dem Kläger/ der Klägerin hieraus ein kausaler Schaden entstanden ist

Zur Beweisführung bezüglich des Verstoßes gegen die DSGVO hilft dem Kläger/ der Klägerin zunächst der gem. Art. 15 DSGVO gewährte Auskunftsanspruch gegen den Verantwortlichen.  

Ist der Anspruch gegen einen „Auftragsverarbeiter“ gerichtet, so haftet dieser gem. Art. 82 II 2 DSGVO nur dann, wenn er den „speziell den Auftragsverarbeitern auferlegten Pflichten aus [der DSGVO] nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Dem Auftragsverarbeiter muss also über den Verstoß hinaus eine Pflichtverletzung nachgewiesen werden, die sich innerhalb des ihm speziell zugewiesenen Aufgabenbereichs ereignet hat. 

Ein Schadensersatzanspruch aus Art. 82 I DSGVO ist hingegen ausgeschlossen, wenn der/ die Beklagte den Verstoß gegen die DSGVO nicht zu verantworten hat bzw. diese/n kein Verschulden trifft. Dies ergibt sich schon aus dem Umkehrschluss zu Art. 82 III DSGVO, indem eine Exkulpationsmöglichkeit für den Anspruchsgegner vorgesehen ist. Sowohl der „Verantwortliche“ als auch der „Auftragsverarbeiter“ können sich exkulpieren, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind. 

Das Vorliegen von Verschulden wird jedoch gem. Art. 82 III DSGVOwiderleglich vermutet. Das bedeutet, dass im Prozess solange von einem Verschulden des Verantwortlichen oder Auftragsverarbeiters ausgegangen wird, bis dieser das Gegenteil beweist. Der Kläger/ die Klägerin muss das Verschulden des Klagegegners somit nicht nachweisen. 

Teilweise wird sogar eine vollumfassende Beweislastumkehr zugunsten des Klägers/ der Klägerin bezüglich der Tatbestandsvoraussetzungen des Anspruchs diskutiert. Diese ergebe sich aus der allgemeinen Rechenschaftspflicht der Verantwortlichen aus Art. 5 II sowie Art. 24 I DSGVO. Nach anderer Ansicht handelt es sich hierbei jedoch nur um eine Nachweispflicht gegenüber den Datenschutzbehörden (Wybitul, NJW 2019, 3265, 3268). Hierfür spreche auch der Erwägungsgrund 82 der Verordnung, indem die Rechenschaftspflicht umschrieben und damit in Zusammenhang gesetzt wird, dass die Verantwortlichen dazu verpflichtet sein sollten, mit der zuständigen Aufsichtsbehörde zusammen zu arbeiten, um Verstöße zu minimieren.

Für dieses Ergebnis spricht auch ein Umkehrschluss aus Art. 82 III DSGVO. Wäre der Verordnungsgeber davon ausgegangen, dass hinsichtlich aller Tatbestandsmerkmale eine Beweislastumkehr zugunsten des Klägers/ der Klägerin vorgesehen ist, hätte er diese nicht „zusätzlich“ und isoliert nur für die Voraussetzung des Verschuldens in Art. 82 III DSGVO geregelt.

Es ist wohl also davon auszugehen, dass die allgemeinen Beweislastregeln des deutschen Zivilrechts Anwendung finden und lediglich das Verschulden im Rahmen des Tatbestands von Art. 82 DSGVO vermutet wird. Hinsichtlich des sonst recht „voraussetzungsarmen“ Tatbestands von Art. 82 DSGVO könnte es sonst zu einer Ausuferung der Haftung kommen.

Somit hat der Kläger/ die Klägerin grundsätzlich das auch das Vorliegen eines kausal auf dem Verstoß beruhenden Schadens nachzuweisen.

Gelingt dem Kläger die Beweisführung, so sind ihm alle materiellen und immateriellen Schäden zu ersetzen.

 

III. Bagatellschwelle für immaterielle Schäden

Problematisch und daher umstritten ist jedoch, inwieweit das Vorliegen eines immateriellen Schadens vom Kläger/ der Klägerin nachzuweisen und dann auch ersatzfähig ist. Die Verordnung selbst gibt dazu keine zwingende Regelung vor.

Eine sehr weite Interpretation des Schadensbegriffs geht davon aus, dass ein immaterieller Schaden bereits mit dem Verstoß gegen die DSGVO als vorliegend anzusehen ist. Hierfür spricht die effektive Durchsetzung der Verordnung und der damit verbundene Wirksamkeitsgrundsatz (effet utile) hinsichtlich des Unionsrechts (Art. 4 III EUV). Der Europäische Gerichtshof hatte bereits in seinen Entscheidungen betont, dass die Gewährung von Schadensersatz im Lichte des Wirksamkeitsgrundsatzes durchaus auch „abschreckende Wirkung“ haben sollte. Ein solch punitiver Schadensersatz („Strafschadensersatz“) ist dem deutschen Recht jedoch fremd. Der deutschen Schadensersatzdogmatik liegt vielmehr der Grundsatz der Naturalrestitution zugrunde. Das bedeutet, dass dem Geschädigten bei Bestehen eines Schadensersatzanspruches nicht mehr und nicht weniger als das zu ersetzen ist, was ihm tatsächlich durch das schädigende Ereignis verlustig gegangen ist. Eine darüber hinaus gehende „strafende“ Wirkung bzw. das Verhängen von darüber hinaus gehenden Sanktionen ist hierzulande dem Strafrecht, welches in der Regel unter strengeren Voraussetzungen greift, vorbehalten.

Der weiten Schadensbegriffsauslegung ist auch das hohe Missbrauchspotential entgegenzusetzen, dass sich dadurch verwirklichen könnte, dass es zu einer kommerziellen Geltendmachung von Ansprüchen nach Art. 82 I DSGVO kommen könnte. Dem müsse jedenfalls dadurch ein Riegel vorgeschoben werden, dass nur ein tatsächlich vorliegender (wenn auch nicht-gegenständlicher) Schaden eingetreten sein muss. So sieht es bisher auch die Rechtsprechung der deutschen Gerichte, die eine eher zurückhaltende Auslegung des Schadensbegriffs in Art. 82 I DSGVO vornehmen.

Es muss also durch den Verstoß beim Betroffenen zu einer konkreten Verletzung des Persönlichkeitsrechts bekommen sein.

Teilweise wird bereits in der Rechtsprechung von einer Bagatellschwelle oder auch Erheblichkeitsschwelle ausgegangen. Die Verletzung des Persönlichkeitsrechts des Betroffenen dürfe also nicht „bloß unbedeutend“ oder nur „empfunden“ sein (AG Diez, ZD 2019, 85). Es seien „nachvollziehbare Beeinträchtigungen zu fordern, die ein gewisses Gewicht erreicht haben müssen“.

Hierfür spricht insbesondere, dass der Schadensersatzanspruch von wenigen Voraussetzungen abhängt und wohl auf der Ebene des Schadens einer Ausuferung der Ersatzpflicht entgegengewirkt werden muss.

Auch wird der Erwägungsgrund 85 der Verordnung als Argument herangezogen, der beispielhaft einige als ersatzfähig angesehene (immaterielle) Schäden aufzählt.

Nach Erwägungsgrund 85 sind ersatzfähige immaterielle Schäden wohl:

  • - Verlust der Kontrolle über personenbezogene Daten

  • - Einschränkung der eigenen Rechte über die Daten

  • - Diskriminierung

  • - Identitätsdiebstahl oder -betrug

  • - Finanzielle Verluste

  • - Unbefugte Aufhebung der Pseudonymisierung

  • - Rufschädigung

  • - Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten

  • - Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene Person

Im Einklang mit dieser beispielhaften Aufzählung wird eine gewisse Erheblichkeitsschwelle für die Ersatzfähigkeit eines Schadens angenommen.

Zu beachten ist aber, dass es sich gerade nicht um eine Aufzählung von Regelbeispielen im Rahmen der gesetzlichen Regelung handelt, sondern um eine Ausführung zur Zielsetzung der Verordnung – also in ihren Erwägungsgründen. Es handelt sich somit weder um eine abschließende Aufzählung von immateriellen Schäden, noch um eine vom Verordnungsgeber als zwingend vorgegebene Regelung, an die sich die entscheidenden Gerichte zu halten haben. Diese Ausführungen können lediglich bei der Interpretation der Verordnung zu Rate gezogen werden.

Nach dem OLG Dresden sollen Bagatellschäden aber dennoch ersatzfähig sein, wenn diese Ausdruck einer bewussten, rechtswidrigen und weitreichend betriebenen Kommerzialisierung von Datenschutzverstößen seien. Hiermit solle dem Wirksamkeitsgrundsatz Rechnung getragen werden (OLG Dresden, 4 U 760/19).

 

IV. Beispiele aus der Rechtsprechung 

 

Fundstelle  Verstoß Höhe des Schadensersatzes

LG Feldkirch, Beschl. v. 7.8.2019 – 57 Cg 30/19b – 15 (Österreich)

(Berufung beim OLG Innsbruck anhängig)

Ermittlung und Speicherung von Daten des Klägers ohne dessen Einwilligung 800€

Rechtbank Amsterdam, Urt. v. 2.9.2019 – 7560515 CV EXPL 19-4611  (Niederlande)

Unbefugte Offenlegung von Gesundheitsdaten  250€
AG Bochum, Beschl. v. 11.3.2019 – 65 C 485/18 Unverschlüsselt verschickte E-Mail
0€
(weil weder dargelegt noch ersichtlich war, dass Dritten personenbezogene Daten bekannt geworden waren)


 

V. Fazit & Ausblick

Für die Bestimmung des immateriellen Schadensbegriffs wird abzuwarten sein, welche Rechtsprechung sich durchsetzt – ggf. auch unter Anrufung des EuGH in einem entsprechenden Vorabentscheidungsverfahren (Art. 267 AEUV).

Es dürfte feststehen, dass zumindest zwischen einem Verstoß gegen die Verordnung und einem tatsächlich bestehenden Schaden unterschieden werden muss. Ein „automatischer“ Rückschluss vom Verstoß auf den Schaden ist wohl aufgrund der klaren Differenzierung der Voraussetzungen im Rahmen der Verordnung nicht zulässig.

Fraglich ist aber weiterhin, ob sich eine Bagatellschwelle tatsächlich durchzusetzen vermag – gerade hinsichtlich des Wirksamkeitsgrundsatzes und eben auch der vom EuGH gewünschten „abschreckenden“ Wirkung von Schadensersatz könnte dies problematisch sein. Eine derartige Einschränkung nur aufgrund eines (angeblich bestehenden) Missbrauchspotentials vorzunehmen, erscheint mehr als stark rechtspolitisch gefärbte Entscheidung als einer, die der Erreichung der Zielsetzung der DSGVO zu dienen vermag.

Im Ergebnis wird es wohl auf eine Entscheidung im jeweiligen Einzelfall ankommen und darauf, inwieweit das Vorliegen eines immateriellen Schadens durch die Kläger/innen hierzulande überzeugend dargelegt werden kann.

Anwälte

Anwälte der Kanzlei Streifler & Kollegen Rechtsanwälte, die Sie zu folgenden Rechtsgebieten beraten können: Europarecht, Zivilrecht, Datenschutzrecht.

Anzeigen >Rechtsanwalt Dirk Streifler - Partner

Wirtschaftsrecht / Existenzgründung / Insolvenzrecht / Gesellschaftsrecht / Strafrecht

Rechtsanwalt Dirk Streifler betreut vor allem Mandanten im Bereich des Insolvenzrechts und Sanierung, des Wirtschaftsrechts und des Wirtschaftsstrafrechts. Aus seiner Erfahrung als Gründer u.a. von Internetdienstleistern ist eine lösungsorientierte..
EnglischDeutsch

Anzeigen >Dikigoros - griechische Rechtsanwältin - und Mediatorin Vasiliki Siochou

Familienrecht - Erbrecht - Immobilienrecht - griechisches Recht - Mediation

Dikigoros/ griechische Rechtsanwältin Vasiliki Siochou betreut in unserer Sozietät überwiegend den deutsch-griechischen Rechtsverkehr. Nach dem Studium der Rechtswissenschaften in Athen,war sie dort zunächst als Rechtsanwältin tätig. Seit 2012 ist..
EnglischGriechisch 1 mehr anzeigen

Anzeigen >Rechtsanwalt Norbert Bierbach - Fachanwalt für Familienrecht - Partner

Familienrecht, Erbrecht, Ehescheidung - Streifler & Kollegen
Familienrecht

Herr Norbert Bierbach ist Fachanwalt für Familienrecht. Er berät er Sie gerne zu den folgenden Themen und Rechtsgebieten: * Eherecht * eheähnliche Lebensgemeinschaft * Lebenspartnerschaft * Scheidungsrecht * Unterhaltsrecht * Kindschaftsrecht *...
EnglischDeutsch

Andere Veröffentlichungen

18 Artikel relevant zu diesem Artikel

18 Artikel der Kanzlei Streifler & Kollegen Rechtsanwälte zum Rechtsgebiet: Europarecht, Zivilrecht, Datenschutzrecht.

Anzeigen >Verbraucherrecht: Widerrufsbelehrung mit Verweisung auf Rechtsvorschriften ungültig

15.08.2020
Zum Wohle des Verbraucherschutzes muss eine Widerrufsbelehrung bei Vertragsschluss in klarer und prägnanter Form erfolgen. Nach einer Entscheidung durch den Europäischen Gerichtshof steht nun fest: Dies schließt es aus, dass innerhalb der Widerrufsbelehrung auf Rechtsnormen verwiesen wird, die unter Umständen wiederum Verweisungen enthalten. Zu den klar anzugebenen Informationen gehören auch die Modalitäten für die Berechnung der Widerrufsfrist – Streifler & Kollegen Rechtsanwälte – Anwalt für Verbraucherrecht Berlin

Im vorliegenden Sachverhalt stritten die Parteien vor dem LG Saarbrücken über die Gültigkeit einer Widerrufsbelehrung, die in einem Verbraucherkreditvertrag enthalten war. Anstatt genaue Informationen zum Beginn der Widerrufsfrist bei fehlenden...

Anzeigen >Verfassungsrecht: Grundrechtseinschränkung durch COVID19-Gästelisten?

26.08.2020
Wer zur Zeit Veranstaltungen, Restaurants, Hotels, Sporteinrichtungen oder Kosmetikstudios besucht, muss sich mit Kontaktdaten in eine Liste eintragen und somit die Anwesenheit dokumentieren. Zudem gilt die Listenpflicht in Berlin auch für Familienfeiern ab 20 Personen. Doch wer hat alles Zugriff auf diese Daten? Und für welche Zwecke können diese Daten genutzt werden?

-------------------------------------------------------- I. Welche Daten werden erhoben? Und aus welchen Gründen? -------------------------------------------------------- Welche Daten genau angegeben werden müssen, richtet sich jeweils nach dem...

Anzeigen >Autokauf: Gebrauchtwagen – Autohaus muss auf Einsatz als Mietwagen hinweisen

19.08.2019
Wurde ein Gebrauchtwagen zuvor als Mietwagen genutzt, muss das Autohaus in seiner Werbung darauf hinweisen – BSP Rechtsanwälte – Anwalt für Zivilrecht Berlin

Das entschied aktuell das Oberlandesgericht (OLG) Oldenburg in einem wettbewerbsrechtlichen Fall. Der Kläger, ein Verein, der sich für  die Einhaltung von Wettbewerbsregeln einsetzt, hatte gegen ein Autohaus aus Lingen auf Unterlassung geklagt. Das..

Anzeigen >Privates Baurecht: Tiefgaragenstellplatz – Ein zu enger Tiefgaragenstellplatz ist mangelhaft

05.09.2019
Ist ein Tiefgaragenstellplatz sehr eng, kann er mangelhaft sein – BSP Rechtsanwälte – Anwalt für Baurecht Berlin

So entschied es das Oberlandesgericht (OLG) Braunschweig. In dem Rechtsstreit hatte der Kläger von einem Bauträger eine Eigentumswohnung mit einem *Tiefgaragenstellplatz* erworben, *der allein rund 20.000 EUR gekostet hatte*. Der Stellplatz maß *an..

Gesetze

Gesetze

1 Gesetze werden in diesem Text zitiert

Anzeigen >EUV | Verordnung über die Untersuchung gefährlicher Ereignisse im Eisenbahnbetrieb

Eisenbahn-Unfalluntersuchungsverordnung - EUV

Diese Verordnung dient der Umsetzung der Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates vom 29. April 2004 über Eisenbahnsicherheit in der Gemeinschaft und zur Änderung der...

Referenzen

Eisenbahn-Unfalluntersuchungsverordnung - EUV

Diese Verordnung dient der Umsetzung der Richtlinie 2004/49/EG des Europäischen Parlaments und des Rates vom 29. April 2004 über Eisenbahnsicherheit in der Gemeinschaft und zur Änderung der Richtlinie 95/18/EG des Rates über die Erteilung von Genehmigungen an Eisenbahnunternehmen und der Richtlinie 2001/14/EG über die Zuweisung von Fahrwegkapazität der Eisenbahn, die Erhebung von Entgelten für die Nutzung von Eisenbahninfrastruktur und die Sicherheitsbescheinigung (ABl. EU Nr. L 164 S. 44, Nr. L 220 S. 16), zuletzt geändert durch die Richtlinie 2004/50/EG des Europäischen Parlaments und des Rates vom 29. April 2004 (ABl. EU Nr. L 164 S. 114, Nr. L 220 S. 40), sowie der Umsetzung der Richtlinie 96/48/EG des Rates über die Interoperabilität des transeuropäischen Hochgeschwindigkeitsbahnsystems vom 23. Juli 1996 (ABl. EG Nr. L 235 S. 6) und der Richtlinie 2001/16/EG des Europäischen Parlaments und des Rates über die Interoperabilität des konventionellen Eisenbahnsystems vom 19. März 2001 (ABl. EG Nr. L 110 S. 1), jeweils zuletzt geändert durch die Richtlinie 2004/50/EG des Europäischen Parlaments und des Rates vom 29. April 2004 (ABl. EU Nr. L 164 S. 114, Nr. L 220 S. 40).