DSGVO-Schadensersatz: Wann müssen Unternehmen haften?
- Betroffene haben laut DSGVO bei Datenschutzverstößen Anspruch auf Schadensersatz (Art. 82 DSGVO).
- Schadensersatzanspruch besteht nur bei nachweisbarem materiellen oder immateriellen Schaden.
- EuGH-Urteile 2023/2024: Kein automatischer immaterieller Schaden bei DSGVO-Verstoß, Nachweis erforderlich.
- Verlust der Datenkontrolle und begründete Missbrauchsbefürchtungen können immateriellen Schaden darstellen.
- Schadensersatzhöhe wird von nationalen Gerichten festgelegt, keine spezifischen Bemessungsregeln in der DSGVO.
- Item A
- Item B
- Item C
Schadensersatz im Datenschutz: Das gilt laut DSGVO
Die DSGVO verpflichtet Unternehmen dazu, personenbezogene Daten ihrer Kunden zu schützen. Das Gesetz sieht andernfalls für „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“ ein Recht auf Schadensersatz vor (Art. 82 DSGVO). Erleiden Betroffene also aufgrund einer Datenpanne einen materiellen oder immateriellen Schaden, können sie von ihrem Recht auf Entschädigung Gebrauch machen.
Zur Frage, in welcher Höhe dieser Schadensersatz ausfallen kann, gab es in der Vergangenheit verschiedene Urteile, die für Unternehmen relevant sind. Denn einzustehen für den Schaden hat laut Gesetz der Verantwortliche oder Auftragsverarbeiter, der den Schaden verursacht hat.
Artikel 82 DSGVO – das besagt die rechtliche Grundlage
Art. 82 sowie der Erwägungsgrund 146 besagen, dass Personen Anspruch auf Schadensersatz haben, wenn sie einen konkreten Schaden erleiden. Dieser Schaden muss vom Kläger nachgewiesen werden können.
Bislang bedeutet dies grundsätzlich, dass in folgenden Fällen kein Entschädigungsanspruch geltend gemacht werden kann:
- Es besteht lediglich die Befürchtung eines Schadens
- Es liegt nur die Datenschutzverletzung vor, kein Schaden.
Wie kommt es zu einem Schadensersatzanspruch im Datenschutz?
In der Praxis kommt es durch die Verkettung verschiedener Faktoren zu einer Datenschutzverletzung, die zu einem Schadensersatzanspruch aufgrund eines (im)materiellen Schadens führen kann.
Beispiel: Schützt eine Bank die personenbezogenen Daten ihrer Kunden nicht ausreichend und kommt es infolge eines Hackerangriffs zum Verlust von Kreditkartendaten stellen Transaktionen mit den gestohlenen daten einen realen (materiellen) Schaden für die einzelnen Personen dar, deren Daten gestohlen wurden.
Wichtige Urteile zum Art. 82 DSGVO
Hinsichtlich des Artikels 82 DSGVO kam es in der Vergangenheit immer wieder zu unterschiedlichen Anwendungen der Norm durch Gerichte. Während andere Gerichte Schadensersatz auch ohne Verschulden zugesprochen hatten, hat zum Beispiel 2021 das Oberlandesgericht Brandenburg festgelegt, dass der erlittene Schaden – materiell oder immateriell – vom Kläger nachgewiesen werden muss.
Darüber hinaus setzt der Anspruch auf Schadensersatz nach Ansicht des Gerichts voraus, dass
- ein Verstoß gegen Vorschriften der DSGVO infolge einer rechtswidrigen Handlung des Verantwortlichen oder des Auftragsverarbeiters zu dem nachweisbaren Schaden geführt hat und
- der Verantwortliche oder Auftragsverarbeiter den Schaden – hervorgerufen durch vorsätzliches oder fahrlässiges Handeln – zu verschulden hat
Aktuelle Urteile des Europäischen Gerichtshofs (EuGH) aus 2023 und 2024 haben nun weitere Punkte konkretisiert:
- Nicht jeder DSGVO-Verstoß begründet automatisch einen immateriellen Schaden. Es muss auch nachgewiesen werden, dass ein Schaden entstanden ist.
- Immaterielle Schäden können aber auch vorliegen, wenn dem Betroffenen durch die Datenpanne kein spürbarer Nachteil entstanden ist. Die DSGVO sieht für Schäden keine Bagatellgrenze oder die Überschreitung einer bestimmten Erheblichkeitsschwelle voraus.
- Der Verlust der Kontrolle über die eigenen Daten und die Befürchtung des Datenmissbrauchs können einen immateriellen Schaden darstellen, wenn sie begründet sind.
- Unternehmen können sich nicht von der Haftung befreien lassen, wenn der Schaden auf das Fehlverhalten eines Mitarbeiters zurückzuführen ist, aber die Einhaltung der Datenschutzvorschriften nicht ausreichend überwacht wurde.
-
Die DSGVO enthält keine spezifischen Bemessungsregeln für die Höhe des Schadensersatzes. Die Höhe wird von den nationalen Gerichten festgelegt. Dabei spielt die Anzahl der Verstöße keine Rolle, sondern der konkret erlittene Schaden.
DSGVO-Schadensersatz: Was Unternehmen wissen müssen
Die aktuellen EuGH-Urteile zeigen, dass die Gerichte beim Thema DSGVO-Schadensersatz eine immer verbraucherfreundliche Richtung einschlagen und der Schutz von Betroffenen höchste Priorität hat. Die sorgfältige Einhaltung der DSGVO ist für Unternehmen deshalb nicht nur wichtig, um Kundendaten zu schützen, sondern neben dem Risiko von Bußgeldern auch das Risiko von Schadensersatzzahlungen zu reduzieren.
Mit einem externen Datenschutzbeauftragten an Ihrer Seite sind Sie rechtlich abgesichert und meistern die komplexen Anforderungen der DSGVO mit Leichtigkeit. Ein Datenschutzbeauftragter unterstützt Sie mit Know-how, das relevant für Ihre Branche ist und sorgt dafür, dass Ihre Mitarbeiter die größten Risiken von Datenpannen vermeiden können.
Sie suchen noch den passenden Datenschutzexperten oder möchten Ihren internen Datenschutzbeauftragten entlasten?
Wir unterstützen Sie gern!
Beraten lassen
Artikel veröffentlicht am 21.01.2022
Artikel aktualisiert am 28.06.2024
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
.jpg)
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
