Datenschutzverstöße können nicht nur erhebliche Bußgelder gegenüber den Datenschutzbehörden auslösen. Zusätzlich kommen auch Schadenersatzansprüche der Betroffenen in Betracht. Zwar bewegten sich die bisher zugesprochenen Entschädigungen beim Schadenersatz im Datenschutz im niedrigen vierstelligen Bereich. Das könnte sich jedoch schon bald ändern.
Die gesetzliche Ausgangslage
Die grundlegende Ausgangsnorm für einen Schadenersatz im Datenschutz findet sich in Art. 82 DSGVO. Danach hat jede Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung (aber auch etwa gegen das BDSG) ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Teilweise kann auch der Auftragsverarbeiter in Anspruch genommen werden (vgl. Art. 82 Abs. 2 S. 2 DSGVO). Dafür müssen die folgenden Voraussetzungen vorliegen:
1. Datenschutzverstoß
Ein eindeutiger Datenschutzverstoß liegt regelmäßig in folgenden Fällen vor:
- Unberechtigte Offenbarung der Daten gegenüber Dritten,
- unberechtigtes Anschreiben des Betroffenen sowie
- Verlust von Daten.
Aber der Verstoß gegen das Löschungs- und Auskunftsrecht stellt einen Datenschutzverstoß dar. Eine Bagatellgrenze regelt die DSGVO nicht. Diese festzulegen, obliegt nur dem EuGH oder dem europäischen Gesetzgeber. Beide Institutionen haben sich insoweit bisher bedeckt gehalten.
2. Schaden
Insoweit kommen etwa
- Diskriminierung,
- Identitätsdiebstahl,
- finanzieller Verlust,
- Rufschädigung,
- unbefugte Aufhebung der Pseudonymisierung und
- andere wirtschaftliche oder gesellschaftliche Nachteile
in Betracht.
Dabei soll der Schadensbegriff von den Gerichten stets weit ausgelegt werden (vgl. ErwGr 146). Deshalb reicht teilweise bereits eine Bloßstellung oder eine Prangerwirkung aus. Allein die Befürchtung von Nachteilen stellt (wohl) aber keinen Schaden dar.
3. Kausalität
Der Datenschutzverstoß muss für den Schaden ursächlich sein. Die diesbezügliche Beweisführung obliegt den Betroffenen. Sofern es also zu einem Datendiebstahl nach einem Hackerangriff kommt, muss der Betroffene beweisen, dass die mangelhaften Sicherheitsvorkehrungen den Hackerangriff begünstigt haben.
4. Verschulden
Gemäß Art. 82 Abs. 3 DSGVO wird das Verschulden des Verantwortlichen vermutet.
Bemessungsgrundlage für den Schadenersatz im Datenschutz
Die konkrete Bemessung des Schadenersatzanspruchs regelt weder die DSGVO noch das BGB. Zumindest in der instanzgerichtlichen Rechtsprechung herrscht mittlerweile Einigkeit hinsichtlich dieser Bemessungskriterien. Insoweit spielen insbesondere der Erwägungsgrund 146 und der Art. 83 Abs. 2 DSGVO eine Rolle. Danach ergeben sich folgende Kriterien:
- Art, Schwere und Dauer des Verstoßes,
- Grad des Verschuldens,
- Maßnahmen zur Schadensminderung,
- früherer einschlägige Verstöße sowie
- die betroffene Kategorie der betroffenen personenbezogenen Daten.
Im Sinne des effet utile wird durchaus erwartet, dass der EuGH die momentan eher restriktive deutsche Rechtsprechung (solange es die Schadenshöhe betrifft) zu einem Kurswechsel zwingt.