Deprecated: Automatic conversion of false to array is deprecated in /app/de/wp-content/plugins/wpml-sticky-links/classes/class-wpml-sticky-links.php on line 19

Notice: Die Funktion wp_enqueue_script wurde fehlerhaft aufgerufen. Skripte und Stile sollten nicht vor den Hooks wp_enqueue_scripts, admin_enqueue_scripts oder login_enqueue_scripts registriert oder eingebunden werden. Dieser Hinweis wurde durch das Handle jobs-script verursacht. Weitere Informationen: Debugging in WordPress (engl.). (Diese Meldung wurde in Version 3.3.0 hinzugefügt.) in /app/de/wp-includes/functions.php on line 6114

Warning: Undefined variable $tipos in /app/common/themes/auren/inc/functions-theme.php on line 419

Deprecated: Creation of dynamic property wpml_cms_nav_cache::$name is deprecated in /app/de/wp-content/plugins/wpml-cms-nav/inc/cache.class.php on line 36

Deprecated: Creation of dynamic property wpml_cms_nav_cache::$cache_to_option is deprecated in /app/de/wp-content/plugins/wpml-cms-nav/inc/cache.class.php on line 37
Schadensersatz bei Verstoß gegen DSGVO - Auren Deutschland
  • 04.03.2025

Schadensersatz bei Verstoß gegen DSGVO

Schadensersatz bei Verstoß gegen DSGVO

Die europäische Datenschutzgrundverordnung (DSGVO) gehört zweifelsohne zu den rechtlichen Vorschriften, die auch Nicht-Juristen ein Begriff sind. Nahezu allgegenwärtig in Alltag und Geschäftsverkehr begegnet sie uns in Form von Hinweisen, Belehrungen und Einwilligungserklärungen, sei es das Akzeptieren von Cookies beim Besuch einer Website, die auszufüllende Datenschutzerklärung beim Hotel-Check-in oder als Hinweisschild im Geschäft mit Videoüberwachung.

Verstöße gegen datenschutzrechtliche Vorgaben können teuer werden und Geldbußen in beträchtlicher Höhe nach sich ziehen. Der von einer unrechtmäßigen Datenverarbeitung Betroffene kann zudem Schadensersatz geltend machen, und zwar auch für rein immaterielle Beeinträchtigungen.

Die Voraussetzungen, unter denen Betroffene bei Verstößen gegen die DSGVO Schadensersatz fordern können, sind umstritten. Ausgangspunkt ist der Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO, der jedem, dem wegen eines DSGVO-Verstoßes ein Schaden entstanden ist, zum Ausgleich des erlittenen Schadens einen Ersatzanspruch gegen den Verantwortlichen zuspricht.

Aber ist allein der Verstoß gegen die DSGVO bereits ein Schaden an sich oder muss darüber hinaus ein nachweisbarer und unter Umständen sogar erheblicher Schaden entstanden sein?

Im Detail divergieren die Ansichten dazu erheblich. Diese Uneinheitlichkeit bei der Auslegung der maßgeblichen Schadensersatznorm des Datenschutzrechts führte für Betroffene und datenverarbeitende Unternehmen gleichermaßen zu Rechtsunsicherheiten. Mit großer Spannung erwartet hat nun der Europäische Gerichtshof (EuGH) erstmals zur Auslegung des immateriellen Schadensersatzanspruchs gemäß Art. 82 Abs. 1 DSGVO Stellung genommen.

1. Unrechtmäßige Datensammlung über politische Affinitäten durch Österreichische Post

Im österreichischen Ausgangsfall machte eine Privatperson immateriellen Schadensersatz wegen unrechtmäßiger Datenverarbeitung vor den österreichischen Gerichten geltend. Hintergrund war eine Datenerhebung durch die österreichische Post, die Informationen zu Parteipräferenzen mit Hilfe eines Algorithmus und dem zugrunde liegende soziodemografische Merkmale basierend auf der jeweiligen Wohnanschrift für Wahlwerbezwecke von Parteien prognostizierte. Der Kläger hatte einer Verarbeitung seiner personenbezogenen Daten nicht zugestimmt.

Eine Übermittlung der gesammelten Daten an Dritte fand nicht statt. Dadurch, dass ihm im Wege einer Hochrechnung eine bestimmte Parteiaffinität im rechten politischen Spektrum zugeschrieben wurde, fühlte sich der Kläger jedoch beleidigt, verärgert, in seinem Vertrauen verletzt und bloßgestellt. Außer einer vorübergehenden gefühlsmäßigen Beeinträchtigung konnte jedoch kein Schaden festgestellt werden. Der Kläger begehrte Schadensersatz gemäß Art. 82 DSGVO in Höhe von 1.000 Euro für diesen erlittenen immateriellen Schaden.

Nach erst- und zweitinstanzlicher Abweisung der Klage legte der Oberste Gerichtshof (OGH) die Sache dem EuGH vor und fragte an, ob

  • Schadensersatz automatisch bei Verletzung der DSGVO-Vorgaben geschuldet ist oder ein konkreter Schaden darzulegen ist;
  • die Geltendmachung immaterieller Schäden das Erreichen einer Erheblichkeitsschwelle voraussetzt oder „bloßer Ärger“ des Betroffenen ausreichend ist;
  • es spezifische unionsrechtliche Vorgaben zur Bemessung der Höhe eines Schadensersatzes gibt.

2. Immaterieller Schadensersatz nach der DSGVO: Wandel im deutschen Recht

Nach dem deutschen Rechtsverständnis des bis 2001 geltenden Schuldrechts war immaterieller Schadensersatz die absolute Ausnahme, die stets eine gravierende, einschneidende Verletzung der eigenen Rechtsgüter verlangte. Ohne konkret nachweisbaren materiellen Schaden war nach deutschem Recht ein Schadensersatzanspruch schwer vorstellbar. Trotz zwischenzeitlich verstrichener Zeit prägt diese Sichtweise noch immer das nationale Rechtsverständnis und verursacht Störgefühle.

Im EU-Recht hingegen ist der Schutz personenbezogener Daten nicht nur in der DSGVO abgesichert, sondern bereits das europäische Unionsrecht und die Europäische Menschenrechtskonvention messen dem Datenschutz Bedeutung als fundamentales Menschenrecht bei. Geltungswirksam in der Praxis sind die datenschutzrechtlichen Vorschriften der DSGVO durch Sanktionierung von Verstößen und unrechtmäßigen Verarbeitungsvorgängen mit Bußgeld (Art. 83 DSGVO) und Schadensersatz (Art. 82 DSGVO) beim Verletzenden.

Seit Inkrafttreten der DSGVO werden immaterielle Schadensersatzansprüche gemäß Art. 82 DSGVO wegen DSGVO-Verstößen auch vor deutschen Gerichten regelmäßig geltend gemacht; zumeist das datenschutzrechtliche Auskunftsverlangen gemäß Art 15 Abs. 1, 3 DSGVO, das binnen Monatsfrist zu beantworten ist (Art. 12 Abs. 3 DSGVO) und bei Nicht-(fristgerechter) Erfüllung allein bereits immaterielle Schadensersatzansprüche nach sich ziehen kann. Ohne weitergehende Darlegung des immateriellen Schadens durch die klagenden Beschäftigten verurteilten so z.B. zahlreiche deutsche Arbeitsgerichte Arbeitgeber wegen verspäteter Auskunftserteilung zu immateriellen Schadensersatzzahlungen bis zu mittlerer vierstelliger Höhe. Versuchen nationaler Gerichte, dies mit einer Bagatellgrenze einzuschränken, erteilte das Bundesverfassungsgericht 2021 eine Absage.

3. Entscheidung im österreichischen Fall

Kein automatischer Schadensersatzanspruch bei DSGVO-Verstoß

Der EuGH stellt als Erstes unter Verweis auf den Wortlaut des Art. 82 Abs. 1 DSGVO fest, dass dieser Schadensersatzanspruch an drei kumulative Voraussetzungen geknüpft ist: Einen Verstoß gegen die DSGVO, das Vorliegen eines aus diesem Verstoß resultierenden Schadens und einem ursächlichen Zusammenhang zwischen Schaden und Verstoß.

Nicht jeder bloße Verstoß gegen die Bestimmungen der DSGVO eröffnet demnach für sich genommen automatisch einen Anspruch auf immateriellen Schadensersatz. Vielmehr muss dem Betroffenen durch den Verstoß („kausal“) auch tatsächlich ein nachweisbarer Schaden entstanden sein. Andernfalls handelt es sich um eine Sanktion oder Strafschadensersatz. Diese Voraussetzungen waren im Ausgangsfall nicht gegeben.

Keine Erheblichkeitsschwelle

Nach dem Wortlaut der Vorschrift muss der immaterielle Schaden nicht eine gewisse Erheblichkeitsgrenze überschreiten. Die DSGVO kennt keine Erheblichkeitsschwelle; eine solche Hürde würde im Widerspruch zum vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ stehen. Ziel der DSGVO ist es dem EuGH zufolge, ein gleichmäßiges und hohes Schutzniveau natürlicher Personen bei der Verarbeitung personenbezogener Daten in der EU zu gewährleisten und für eine unionsweit gleichmäßige und einheitliche Anwendung der datenschutzrechtlichen Vorschriften zu sorgen. Dem läuft eine von der Beurteilung durch die zuständigen Gerichte abhängige Erheblichkeitsschwelle zuwider, da diese je nach Gericht unterschiedlich hoch ausfallen kann. Erfasst sind damit auch „Bagatellschäden“.

Begriff immaterieller Schaden

Weiter betont der EuGH, dass eine von einem DSGVO-Verstoß mit für sie negativen Folgen betroffene Person dann den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden darstellen. Herauszuarbeiten, wann „das subjektive Unmutsgefühl (…) als immaterieller Schaden angesehen werden“ kann, obliegt nun aber den nationalen Gerichten.

Bemessung der Höhe des Schadensersatzanspruchs

Liegt ein Schadensersatzanspruch gemäß Art. 82 DSGVO dem Grunde nach vor, stellt sich anschließend die Frage nach der Höhe des zu leistenden Ersatzbetrages. Die DSGVO selbst enthält keine Regeln für die Bemessung des Schadensersatzes. Die nähere Ausgestaltung insbesondere der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadensersatzes weist der EuGH ebenfalls den nationalen Gerichten zu, fordert aber die Grundsätze der Äquivalenz und der Effektivität anzuwenden.

Der Effektivitätsgrundsatz verlangt, dass die nationalen Modalitäten der Anspruchsbemessung die Durchsetzung der durch das Unionsrecht verliehenen Rechte des Betroffenen nicht praktisch unmöglich machen oder übermäßig erschweren. Dabei ist auch die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadensersatzanspruchs zu beachten, die einen „vollständigen und wirksamen Schadensersatz für den erlittenen Schaden“ sicherstellen soll. Zum Schadensausgleich ist demnach jedenfalls eine Summe zuzusprechen, die den entstandenen Schaden vollständig kompensiert. Eine Erhöhung des Anspruchs zu Abschreckung oder Strafzwecken ist nicht geboten.

4. Praxishinweise

Erhöhte Rechtssicherheit

Diese erste, wesentliche Grundsatzentscheidung des EuGH zum immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO hat erhebliche praktische Relevanz, da sich der EuGH erstmals mit Voraussetzungen und Umfang des DSGVO-Schadenersatzanspruchs befasst und damit mehr Rechtssicherheit geschaffen hat. Dies erleichtert und erhöht vermutlich die Durchsetzbarkeit immaterieller Schadensersatzansprüche.

Wenn auch die Erheblichkeit des Schadens kein anspruchsausschließender Umstand mehr sein darf, geht damit allerdings nicht eine Absenkung der Anspruchsvoraussetzungen einher, denn der EuGH stellt im gleichen Zusammenhang ausdrücklich klar, dass ein Schadensersatzanspruch nicht bereits automatisch bei jedem DSGVO-Verstoß gegeben ist und nicht jede negative Folge aus einem DSGVO-Verstoß auch einen immateriellen Schaden darstellt.

Immaterieller Schadensbegriff

Insoweit offenbart sich dann auch das wohl größte Versäumnis der Entscheidung: Es bleibt offen, wann und unter welchen Umständen negative Beeinträchtigungen vorliegen, die einen immateriellen Schaden im Sinne des Art. 82 DSGVO darstellen. Dabei wollte der vorlegende OGH ausdrücklich wissen, ob beispielsweise der Ärger über die Datenschutzverletzung ein ersatzfähiger Schaden ist. Lediglich indirekt gibt der EuGH den nationalen Gerichten Auslegungshinweise insoweit, dass der Begriff „Schaden“ weit und autonom unionsrechtlich auszulegen ist. Danach dürfte ein immaterieller Schaden nur gegeben sein, wenn negative Gefühle über das Maß von bloßem Ärger wegen der Pflichtverletzung hinausgehen. Die Frage, was nur als bloße, negativ empfundene Gefühlsregung und was tatsächlich als immaterieller Schaden zu verstehen ist, bleibt insoweit weiter relevant.

Mit Spannung darf erwartet werden, welche Kriterien die nationalen Gerichte hierfür herausarbeiten werden, damit die Darlegung des Schadens nicht in bloßen Leerformeln wie „Unsicherheit über die Folgen der Datenverarbeitung“ oder „schlechten Gefühlen“ des Betroffenen erwächst. Das wäre nicht vielmehr als der „bloße Ärger“, den der Generalanwalt noch in seinem Schlussantrag ausschließen wollte und würde in der Praxis kaum eine sinnvolle Abgrenzung zwischen ersatzfähigem Schaden und reiner DSGVO-Verletzung ermöglichen. Darlegungen des Betroffenen zum aufgrund eines DSGVO-Verstoßes entstandenen (immateriellen) Schadens sind damit notwendig, dürfen aber nicht zu hohen Anforderungen unterliegen.

Höhe des Ersatzanspruchs

Auch zur wichtigen Frage der Schadenshöhe möglicher Ersatzansprüche macht die Entscheidung keine klaren Vorgaben und überlässt es den nationalen Gerichten, Fallgruppen herauszuarbeiten, in denen DSGVO-Verstöße auch zu einem Schaden führen und fundierte Aussagen zur Bemessung der jeweiligen Schadenersatzhöhe zu treffen. An dieser Stelle wären ausdrückliche Hinweise auf die Bemessungsgrundlagen wünschenswert gewesen; die DSGVO hält solche für den Schadensersatz nun mal nicht bereit und die Regelungen der Bemessungsgrundsätze für die Höhe bei Bußgeldern sind – mangels planwidriger Regelungslücke – nicht analog anwendbar. Entscheidungen, die etwa die Bemessung der Schadensersatzhöhe am Umsatz des Beklagten orientieren oder lediglich pauschal auf die Bußgeldbemessung (Art. 83 Abs. 2 DSGVO) verweisen, dürften somit der Vergangenheit angehören. Es wird künftig darauf ankommen, welche Praxis sich in der nationalen Rechtsprechung für ähnlich gelagerte Sachverhaltskomplexe einspielt.

Inwieweit dieses Ergebnis für die geforderte, unionsweit gleichmäßige und einheitliche Anwendung der datenschutzrechtlichen Vorschriften zuträglich ist, bleibt offen, denn in der Praxis dürften für ähnliche Sachverhalte Schadensersatzansprüche durch nationale Gerichte verschiedener Mitgliedstaaten in erheblich unterschiedlicher Höhe ausgeurteilt werden.

In Deutschland haben Gerichte gemäß § 287 Abs. 1 S. 1 ZPO unter Würdigung aller Umstände nach freier Überzeugung über die Höhe des Schadensersatzanspruchs zu entscheiden. Die Entscheidung über einen zum vollständigen Ausgleich des erlittenen immateriellen Schadens angemessenen Betrages liegt also im Ermessen des Gerichts. Praktisch werden sich deutsche Gerichte vermutlich häufig an bereits ergangenen Urteilen orientieren.

Weiter ausdrücklich zu begrüßen ist die Feststellung des EuGH, dass der entstandene Schaden vollständig auszugleichen, jedoch kein Strafschadenersatz mit Sanktionscharakter nach amerikanischem Vorbild vorgesehen ist. Wenngleich ein einzelner Schadensersatzanspruch nicht aus Sanktionsgründen erhöht werden darf, so können Schadensersatzansprüche aufgrund eines Datenschutzvorfalls, der bei einer Vielzahl von Betroffenen zu Schadensersatzansprüchen führt, insgesamt eine Höhe erreichen, die weit über das hinausgeht, was zur Sanktionierung des Unternehmens erforderlich wäre. Rechtspolitisch ist dieses Ergebnis durchaus fragwürdig, da die Europäische Union neben einem hohen Datenschutzniveau auch einen attraktiven Standort für Unternehmen mit digitalen Geschäftsmodellen bieten will.

Ausblick

Nach der Entscheidung aus Luxemburg sind nunmehr die nationalen Gerichte aufgerufen, praxistaugliche Kriterien zur Festsetzung immaterieller Schadensersatzzahlungen dem Grunde nach und bei der Bemessung der Anspruchshöhe zu entwickeln. Die Auslegung des Art. 82 Abs. 1 DSGVO wird somit voraussichtlich noch längere Zeit sowohl deutsche Gerichte als auch den EuGH beschäftigen.

Nationale Gerichte werden eingeklagte Schadensersatzforderungen nach Art. 82 DSGVO nun nicht mehr unter Verweis auf den zu ersetzenden Schaden als Bagatelle ablehnen können, sondern feststellen, dass „keine negative Folge“ vorliegt oder diese Folge keinen Schaden begründet. In künftigen Auseinandersetzungen über immateriellen Schadensersatz wird es also darauf ankommen, ob überhaupt ein Schaden vorliegt. Dadurch werden Massenklagen erschwert, insbesondere auch automatisierte Verfahren, die kaum auf Besonderheiten des Einzelfalls abstellen.

Spannend bleibt insoweit auch, wie im Lichte dieser Entscheidung die Vielzahl potentieller Schadensersatzanträge wegen (vermeintlich) unzureichender bzw. verspäteter Beantwortung des Auskunftsverlangens gemäß Art. 15 DSGVO zukünftig behandelt werden. Insbesondere bei den im Arbeitsrecht mittlerweile oftmals standardmäßig im Rahmen von Kündigungsschutzklagen gestellten Auskunftsverlangen gemäß Art. 15 DSGVO geht es allein um die Vorbereitung späterer Schadensersatzansprüche. Solche Auskunftsverlangen werden in vielen Fällen gestellt, in denen kein materieller Datenschutzverstoß im Raum steht. Teilweise werden sie instrumentalisiert, um Verhandlungspositionen in Aufhebungsverhandlungen aufzubauen und möglichst hohe Abfindungszahlungen nahezulegen, mit denen die Lästigkeit der Beantwortung des Auskunftsverlangens abgekauft werden soll. In diesem Fällen ist stets fraglich, ob der Verstoß gegen Informations- oder Auskunftspflichten selbst ersatzfähige Schäden begründen kann oder nur dann, wenn die Auskunft eine nicht gesetzmäßige Datenverarbeitung zutage fördert.

Die EuGH-Entscheidung lässt jedenfalls erkennen, dass allein die unzureichende oder verspätete Beantwortung eines Auskunftsverlangens Schadensersatzansprüche nicht begründet, allenfalls, wenn gerade diese formellen Aspekte ursächlich für einen Schaden waren, käme dies noch in Betracht. Es ist nicht ersichtlich, wie solche Fälle liegen sollten, da typische Schadensfälle davon geprägt sind, dass der materielle Datenschutzverstoß Nachteile verursacht, nicht die evtl. formal angreifbare Auskunft. Das Vorliegen eines Schadens ist im Hinblick auf Verletzungen bestimmter Pflichten der DSGVO, u.a. Informationspflichten oder Erteilung von Auskünften, nach dieser Entscheidung nur schwer vorstellbar. Zwar ist der Nachweis eines berechtigten oder anerkennenswerten Interesses für die Geltendmachung von Auskunftsansprüchen weiterhin nicht notwendig; für die Beanspruchung einer späteren Zahlung muss künftig jedoch ein Schaden dargelegt werden. Die praktische Bedeutung des Schadensersatzes bei solchen Verfahren wird in Zukunft davon abhängen, wie die Gerichte die Stellschrauben an den Darlegungsaufwand justieren werden. Ob die aktuelle Entscheidung damit ein Gewinn für den Datenschutz ist, bleibt abzuwarten.

Die aktuelle Entscheidung des EuGH hätte daher gut daran getan, hier noch klarere Grenzen aufzuzeigen, um berechtigte Ansprüche geltend zu machen und zweckentfremdete Klagen zu begrenzen. Zu hoffen bleibt, dass der EuGH insofern bei nächster Gelegenheit konkreter wird.

Kontaktieren Sie uns


Warning: Undefined array key 0 in /app/de/wp-content/plugins/wpml-media-translation/classes/class-wpml-media-attachment-by-url-query.php on line 99

Warning: Undefined array key 3 in /app/de/wp-content/plugins/wpml-media-translation/classes/class-wpml-media-attachment-by-url-query.php on line 163