Wonach suchen Sie?

Skip to main content

Die Forderung von Schadens­ersatz in der DSGVO

17.02.2022 | Der Eindruck, dass heute wesentlich mehr und deutlich höhere Bußgelder mit der Datenschutzgrundverordnung (DSGVO) ausgesprochen werden, hat sich seit Einführung der DSGVO am 25.05.2018 relativiert.

Zwar fallen die Bußgeldanordnungen deutlich höher aus, doch kommen sie bei Weitem nicht so häufig vor, auch wenn durch die öffentliche Berichterstattung nur ein Teil bekannt wird. Auch hier trifft das Sprichwort zu, dass nichts so heiß gegessen wird, wie es gekocht wurde.

Zuletzt wurde von der französischen Aufsichtsbehörde 40 bzw. 60 Mio. Euro Bußgeld gegenüber Google verhängt, weil das Ablehnen von Cookies im Cookie-Consent-Banner komplizierter gestaltet ist (5 Klicks) als das einfache Annehmen aller Cookies (1 Klick). Vergangene Verfahren gegen H&M (35 Mio. Euro Bußgeld), 1&1 (950.000 Euro Bußgeld nach Abmilderung durch Verwaltungsgericht) und gegen die AOK in Baden-Württemberg (1,24 Mio. Euro Bußgeld) sind bekannt geworden.

All das sind scheinbar überschaubare Fälle. Doch was hat das nun mit den Schadensersatzforderungen zu tun?

Dem Europäischen Gerichtshof sind mehrere Anfragen von europäischen Gerichten vorgelegt worden, die sich mit dem Schadensanspruch von Betroffenen bei Datenschutzverstößen und der Höhe dieser Ansprüche befassen. Hier kann ein deutlich höheres Risiko für Unternehmerinnen und Unternehmer entstehen. Nicht nur Bußgeldverfahren, sondern auch erhöhte Schadensersatzansprüche können anstehen. Kommen hier US-amerikanische Verhältnisse in Bezug auf die Höhe von Schadensersatzklagen auf uns zu?

Der Hintergrund

Die Datenschutzgrundverordnung enthält nicht nur Sanktionsvorgaben im Rahmen von Bußgeldern bei Datenschutzverstößen, sondern auch Regelungen zum Schadensersatz. Gemäß Art. 82 Abs. 1 und Abs 2 Satz 1 DSGVO gilt:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

Der Verantwortliche (oder Auftragsverarbeiter) kann sich von der Haftung nur befreien, wenn er nachweisen kann, dass er in keiner Weise für den Schaden verantwortlich ist (Erwägungsgrund 146 Satz 2 DSGVO).

Materielle Schäden bedeuten finanziellen Verlust, wirtschaftliche Nachteile oder körperlichen Schaden. Immaterielle Schäden sind hierbei Diskriminierung, Rufschädigung oder Rechtsverluste des Betroffenen (Hinderung an der Ausübung seiner/ihrer nach DSGVO ihm/ihr zustehenden Betroffenenrechte).

Der/die Betroffene trägt in diesem Fall die Darlegungs- und Beweislast, dass er/sie erhebliche und spürbare gesellschaftliche und persönliche Nachteile erlitten hat (LG Karlsruhe, 2.08. 8 O 26/19). Bloße Befürchtungen des Betroffenen hierzu oder eine abstrakte Möglichkeit eines Schadens reichen nicht aus (LG Hamburg, 04.09.2020, Az. 324 S 9/19). Verstoßen die Verantwortlichen aber gegen Betroffenenrechte nach Art. 15 ff DSGVO (d.h. es liegt ein Datenschutzverstoß vor), führt dies grundsätzlich zu einem Schadensersatzanspruch.

Fallstricke, die zu Schadensersatz führen können

Für alle Unternehmen ergeben sich bei Nicht-Beachtung der DSGVO folgende Fallstricke, die zu Schadenersatzklagen von Betroffenen führen können:

Aktuelle Anfragen von Gerichten in Europa beim EuGH:

Bereits in der DSGVO wird im Erwägungsgrund ERW 146 Satz 3 DSGVO darauf hingewiesen, dass der Begriff des Schadens im Angesicht der Rechtsprechung des Gerichtshofs auf eine Art und Weise ausgelegt werden sollte, die den Zielen dieser Verordnung in vollem Umfang entspricht. Das heißt, es ist bislang kein fester Rahmen für Schadensersatzforderungen vorhanden.

Im Vergleich zu den bisher verhängten Bußgeldern gegenüber in Deutschland ansässiger Unternehmen sind aktuell noch kleine Schadensersatz-Summen erstritten worden. Häufig führen jedoch Datenpannen zu einer hohen Anzahl an Betroffenen, deren Rechte verletzt wurden.

Somit kann sich aus der Summe an Schadensersatzforderungen der Betroffenen eine hohe Belastung für das Unternehmen ergeben. Hinzu kommen noch weitere Gefahrenfaktoren:

  1. Die Beschäftigten und Betriebsräte haben die Betroffenenrechte und Schadensersatzmöglichkeiten für sich entdeckt.
  2. Forderungen können im Rahmen der kollektiven Rechtsdurchsetzung mit Verbandsklagen auch auf EU-Ebene zunehmen.
  3. Dem EuGH liegen u.a. von deutschen Gerichten mehrere Anfragen zur Auslegung des Art. 82 DSGVO bzw. dessen Rahmenbedingungen vor.

Unter anderem kommen hierbei die folgenden Fragen auf:

  • Wie weit ist der Begriff des immateriellen Schadens auszulegen?
  • Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO genannten Zumessungskriterien (für Bußgelder) erlaubt?
  • Ist der Schadensersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere (gleichgelagerte) Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch Addition von Einzelbeträgen ermittelt wird, sondern auf einer Gesamtbetrachtung beruht?
     

Was das für Ihr Unternehmen bedeutet

Der Europäische Gerichtshof (EuGH) wird in den nächsten Monaten darüber entscheiden, wie weit der Begriff des immateriellen Schadens auszulegen ist. Aber vor allem wird er entscheiden, wie europaweit der Schadensersatzanspruch zu bemessen ist. Entscheidet der EuGH tatsächlich, sich an den Bemessungskriterien des Art. 83 Abs. 2 und 5 DSGVO zu orientieren, so wird – zieht man Art. 83 Abs. 5 DSGVO in Betracht – die Höhe der Schadensersatzansprüche um ein Vielfaches steigen: Demnach wären Höhen von 20 Mio. Euro Schadensersatz denkbar oder – im Falle eines Unternehmens – bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Dies sind Beträge, die mit Sicherheit dazu führen, dass eine Flut von Schadensersatzforderungen über die Unternehmen hereinbricht, denn: Nicht mehr nur der Staat über die Bußgelder, sondern jede/r Einzelne kann dann als Betroffene/r durch zusätzliche Schadensersatzforderungen einen Vorteil daraus ziehen.

Neben einem empfindlichen Bußgeld könnten so eine oder mehrere Schadensersatzforderungen auf ein Unternehmen zukommen, die ggf. der Höhe des Bußgeldes entsprechen.

Es wäre in der Tat bedenklich, wenn das EuGH dementsprechend entscheiden würde, da bislang die Schadenersatzforderungen in Deutschland recht maßvoll von deutschen Gerichten festgelegt wurden, zum Beispiel:

  • OLG Hamm (Beschäftigter): 1.000 Euro (unvollständige Auskunft Arbeitgeber)
  • ArbG Münster (Beschäftigte): 5.000 Euro (Veröffentlichung Bildnis Arbeitnehmer durch Arbeitgeber ohne Einwilligung)
  • ArbG Düsseldorf (Beschäftigter): 5.000 Euro (verspätete Auskunft des Arbeitgebers)
  • ArbG Lübeck (Beschäftigter): 1.000 Euro (Bildnis auf Facebookseite des Arbeitgebers)

 

Handlungsempfehlungen

Zur Vermeidung der genannten Fallstricke eignen sich die folgenden Maßnahmen, die im Unternehmen unbedingt umgesetzt werden sollten:

Die Experten von ORGATEAM unterstützen Sie

Die ORGATEAM Unternehmensberatung GmbH unterstützt Sie in Fragen des Datenschutzes und der Informationssicherheit wie auch bei Compliance-Themen. Unsere Experten helfen Ihnen dabei, die Maßnahmen zur Vermeidung der Fallstricke umzusetzen, sodass Sie die Haftung und somit auch die Schadensersatzforderung abwenden können.

Ihr Ansprechpartner: