DPL Consult Datenschutzagentur

Schadensersatz und Schmerzensgeld bei Verstößen gegen die DSGVO

Bei Datenschutzverstößen machen Sie sich als Unternehmen unter Umständen gegenüber den Betroffenen gegebenenfalls schadensersatzpflichtig oder Sie müssen einen immateriellen Schadensersatz, ähnlich dem Schmerzensgeld, zahlen. Die Haftungsvoraussetzungen regelt Art. 82 DS-GVO. Eine Geldzahlung an den Betroffenen droht Ihnen dann, wenn durch den Datenschutzverstoß ein Schaden beim Betroffenen eingetreten ist und Sie sich als Unternehmen von dem Vorwurf der fehlerhaften Datenverarbeitung nicht entlasten können.

  1. Für welche Verstöße hafte ich?

    Für einen Datenschutzverstoß reicht es aus, wenn Ihr Unternehmen Daten gesetzeswidrig speichert, weiterleitet, nutzt oder anderweitig rechtswidrig verarbeitet. Schickt Ihr Mitarbeiter eine Nachricht mit persönlichen Daten des Betroffenen versehentlich an eine falsche Person, kann dies zur Haftung auf Schadensersatz führen.

    Die Verletzung von Betroffenenrechten, etwa die verspätete Erteilung einer Datenauskunft, kann nach einem Urteil des Oberlandesgericht Köln zu einer Haftung führen, wenn dadurch eine psychische Belastungssituation für den Betroffenen entsteht. Andere Gerichte haben eine Haftung auf Schadensersatz wegen verspäteter Datenauskunft dagegen abgelehnt.

  2. Für welche Schäden hafte ich?

    Geht es um den Ersatz materieller Schäden, muss die betroffene Person nachweisen, dass ihr ein konkreter Schaden entstanden ist. Ein solcher Schaden kann darin liegen, dass ihr beispielsweise aufgrund der Datenschutzverletzung ein Kredit nicht gewährt wurde. Wenn der Datenschutzverstoß zusätzlich oder anstelle eines konkreten Schadens zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen vergleichbaren gesellschaftlichen Nachteilen führt, kommt außerdem die Zahlung eines immateriellen Schadensersatzes, ähnlich einer Schmerzensgeldzahlung, in Betracht. 

  3. Löst bereits jedes „ungute Gefühl“ über die Datenschutzverletzung eine Haftung aus?

    Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 4. Mai 2023 (C-300/21) entschieden, dass der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung für sich genommen nicht ausreicht, einen Schadensersatzanspruch zu begründen. Erforderlich ist vielmehr ein entstandener Schaden, wobei der EuGH offenließ, worin dieser bestehen kann. Der Begriff des Schadens, insbesondere der des „immaterieller Schadens“ im Sinne von Art. 82 DSGVO, müsse in Anbetracht des Fehlens jeglicher Bezugnahme auf das innerstaatliche Recht der Mitgliedstaaten eine autonome und einheitliche unionsrechtliche Definition erhalten. Aus den Erwägungsgründen der DSGVO ergäbe sich, dass „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“. Der EuGH kommt in seinem Urteil vom 4. Mai 2023 zu dem Ergebnis, dass zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch stünde, wenn dieser Begriff auf Schäden mit einer gewissen Erheblichkeit beschränkt wäre. Entgegen einigen Entscheidungen deutscher Gerichte sind nationale Regelungen nicht mit dem Unionsrecht vereinbar, die den Ersatz eines immateriellen Schadens im Sinne der DSGVO davon abhängig machen, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. 

    Soweit es die Höhe des immateriellen Schadensersatzes betrifft, gibt es eine klare Einordnung durch die Gerichte bislang nicht. Das OLG Köln hat einer Klägerin einen Ersatzanspruch in Höhe von 500 € zugesprochen, weil diese durch die verzögerte Datenauskunft ihres Anwalts mit „Stress und Sorge“ um ihre wirtschaftliche Position in einem Verkehrsunfallprozess psychisch belastet war (Urteil vom 14.7.2022 – 15 U 137/21). Das Landgericht Darmstadt sprach dem Kläger für die versehentliche Weiterleitung von Bewerbungsdaten an einen Dritten ein Schmerzensgeld in Höhe von 1000 € zu (Urteil vom 26.5.2020 – 13 O 244/19). Das Landgericht Köln hielt die einmalige Übersendung eines Kontoauszugs an einen falschen Empfänger für nicht ausreichend belastend und wies die Klage ab (LG Köln, Urteil vom 7.10.2020 – 28 O 71/20). 

Als Faustregel gilt: Ist ein konkreter Schaden entstanden, haftet der Verantwortliche, es sei denn, er kann sich entlasten. Bei immateriellen Schäden gilt, je stärker der Einzelne durch den Datenschutzverstoß betroffen ist, desto wahrscheinlicher ist, dass ein Schmerzengeld fällig wird.

Get In Touch.

Temporibus autem quibusdam et aut officiis debitis aut rerum necessitatibus saepe eveniet ut et voluptates repudiandae sint et molestiae non recusandae.