Ihr Kontakt:

Rechtsanwalt Tim Both
Tim L. Both
Rechtsanwalt
Tel.: +49 30 221 84 88 0
E-Mail
Profil
Schadenersatz bei Datenschutzverstoß

Schadenersatz bei Datenschutzverstoß

3 min.
25. Juni 2021

Datenschutzverstöße können nicht nur erhebliche Bußgelder gegenüber den Datenschutzbehörden auslösen. Zusätzlich kommen auch Schadenersatzansprüche der Betroffenen in Betracht. Zwar bewegten sich die bisher zugesprochenen Entschädigungen beim Schadenersatz im Datenschutz im niedrigen vierstelligen Bereich. Das könnte sich jedoch schon bald ändern.

Die gesetzliche Ausgangslage

Die grundlegende Ausgangsnorm für einen Schadenersatz im Datenschutz findet sich in Art. 82 DSGVO. Danach hat jede Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung (aber auch etwa gegen das BDSG) ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Teilweise kann auch der Auftragsverarbeiter in Anspruch genommen werden (vgl. Art. 82 Abs. 2 S. 2 DSGVO). Dafür müssen die folgenden Voraussetzungen vorliegen:

1. Datenschutzverstoß

Ein eindeutiger Datenschutzverstoß liegt regelmäßig in folgenden Fällen vor:

  • Unberechtigte Offenbarung der Daten gegenüber Dritten,
  • unberechtigtes Anschreiben des Betroffenen sowie
  • Verlust von Daten.

Aber der Verstoß gegen das Löschungs- und Auskunftsrecht stellt einen Datenschutzverstoß dar. Eine Bagatellgrenze regelt die DSGVO nicht. Diese festzulegen, obliegt nur dem EuGH oder dem europäischen Gesetzgeber. Beide Institutionen haben sich insoweit bisher bedeckt gehalten.

2. Schaden

Insoweit kommen etwa

  • Diskriminierung,
  • Identitätsdiebstahl,
  • finanzieller Verlust,
  • Rufschädigung,
  • unbefugte Aufhebung der Pseudonymisierung und
  • andere wirtschaftliche oder gesellschaftliche Nachteile

in Betracht.

Dabei soll der Schadensbegriff von den Gerichten stets weit ausgelegt werden (vgl. ErwGr 146). Deshalb reicht teilweise bereits eine Bloßstellung oder eine Prangerwirkung aus. Allein die Befürchtung von Nachteilen stellt (wohl) aber keinen Schaden dar.

3. Kausalität

Der Datenschutzverstoß muss für den Schaden ursächlich sein. Die diesbezügliche Beweisführung obliegt den Betroffenen. Sofern es also zu einem Datendiebstahl nach einem Hackerangriff kommt, muss der Betroffene beweisen, dass die mangelhaften Sicherheitsvorkehrungen den Hackerangriff begünstigt haben.

4. Verschulden

Gemäß Art. 82 Abs. 3 DSGVO wird das Verschulden des Verantwortlichen vermutet.

Bemessungsgrundlage für den Schadenersatz im Datenschutz

Die konkrete Bemessung des Schadenersatzanspruchs regelt weder die DSGVO noch das BGB. Zumindest in der instanzgerichtlichen Rechtsprechung herrscht mittlerweile Einigkeit hinsichtlich dieser Bemessungskriterien. Insoweit spielen insbesondere der Erwägungsgrund 146 und der Art. 83 Abs. 2 DSGVO eine Rolle. Danach ergeben sich folgende Kriterien:

  • Art, Schwere und Dauer des Verstoßes,
  • Grad des Verschuldens,
  • Maßnahmen zur Schadensminderung,
  • früherer einschlägige Verstöße sowie
  • die betroffene Kategorie der betroffenen personenbezogenen Daten.

Im Sinne des effet utile wird durchaus erwartet, dass der EuGH die momentan eher restriktive deutsche Rechtsprechung (solange es die Schadenshöhe betrifft) zu einem Kurswechsel zwingt.

 

Kontaktieren Sie uns gerne!

Gründen Sie mit Experten.

Nutzen Sie das Gründungstool. Einfach & schnell. Ab 189,- EUR.
www.ecovis.com/Gründung