Anzeige
Anzeige
Analyse

DSGVO-Verstöße: Unter diesen Umständen hast du Anspruch auf Schadensersatz

„Hol dir 5.000 Euro von Facebook zurück“: So platt hat in der Vergangenheit manch zweifelhafter Legal-Tech-Anbieter getitelt, um zu suggerieren, dass sich eine Schadensersatzklage nach der DSGVO lohnen könnte. Aber wie sieht es damit wirklich aus? Unser Gastautor fasst das Wichtigste zusammen.

Von Lukas Wagner LL.M.
5 Min.
Artikel merken
Anzeige
Anzeige
Schadensersatz nach DSGVO-Verstoß? Diese Frage hat den Europäischen Gerichtshof schon einige Male beschäftigt. (Foto: Motortion Films/ Shutterstock)

Die Schadensersatznorm des Artikel 82 DSGVO weckt – etwas zynisch formuliert – immer wieder Begehrlichkeiten. Die Grenzen dieser Norm werden (oder besser: wurden?) regelmäßig von Betroffenen und oft zweifelhaften Legal-Tech-Anbietern ausgetestet.

Anzeige
Anzeige

„Hol dir 5.000 Euro von Facebook zurück“ klingt fast zu schön, um wahr zu sein. Kein Wunder also, dass es immer mehr Rechtsprechung dazu gibt. Mittlerweile entscheidet auch der Europäische Gerichtshof (EuGH) regelmäßig über vermeintliche Ansprüche nach Artikel 82 DSGVO. Und sie scheitern meist.

Schadensersatz wegen der DSGVO: Ein Verstoß macht noch keinen Schaden

Für Schlagzeilen hat ein Fall der Österreichischen Post (EuGH (3. Kammer) Urteil vom 4.5.2023 – C-300/21) gesorgt. Während der Sachverhalt selbst den Datenschützern die Haare zu Berge stehen ließ, war es mit dem Schadensersatz allerdings nicht weit her.

Anzeige
Anzeige

Ab 2017 hat die Österreichische Post Informationen über die politische Affinität der österreichischen Bevölkerung gesammelt. Mithilfe eines Algorithmus wurden anhand sozialer und demografischer Merkmale „Zielgruppenadressen“ definiert. Aus den so gesammelten Daten leitete die Post ab, dass ein Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe.

Obwohl diese Verarbeitung personenbezogener Daten auf keiner wirksamen Rechtsgrundlage beruhte und daher datenschutzwidrig war, reichte der bloße Verstoß gegen die DSGVO nicht aus, um einen Schadenersatzanspruch zu begründen. Zwar habe der Beschwerdeführer in die Verarbeitung seiner personenbezogenen Daten nicht eingewilligt und fühle sich dadurch verletzt, dass ihm eine Parteiverwandtschaft unterstellt worden sei. Das habe bei ihm eine große Verärgerung, einen Vertrauensverlust und ein Gefühl der Bloßstellung ausgelöst. Eine vorübergehende emotionale Beeinträchtigung – abgesehen davon stellten die Gerichte keinen Schaden fest.

Anzeige
Anzeige

Nach DSGVO-Verstoß: Der Schadensbeweis liegt beim Kläger 

Nach Auffassung des EuGH muss ein Schaden tatsächlich eingetreten sein und dargelegt werden. Der Betroffene muss also nachweisen, dass die von ihm behauptete Datenschutzverletzung einen Schaden bewirkt hat, der sich von der bloßen Datenschutzverletzung unterscheidet.

Zu diesem Ergebnis kommt auch der EuGH in seinem Urteil vom 14.12.2023 – C-456/22. Die Gemeinde Ummendorf hatte im Juni 2020 den Namen des Klägers – wohl datenschutzwidrig – mit der Tagesordnung einer Gemeinderatssitzung im Internet veröffentlicht. Der EuGH bezweifelt hier nicht, dass die unbefugte Veröffentlichung personenbezogener Daten und der damit verbundene kurzzeitige Kontrollverlust über diese Daten zu einem immateriellen Schaden bei den Betroffenen führen kann. Die Betroffenen müssen jedoch nachweisen, dass sie tatsächlich einen solchen Schaden erlitten haben, mag er auch noch so gering sein. Einen erforderlichen „Mindestschaden“ oder eine „Bagatellgrenze“ gibt es im Datenschutzrecht nämlich nicht, stellte der EuGH in demselben Urteil fest.

Anzeige
Anzeige

Entstandener Schaden: Wer ist wirklich schuld? 

Der Verlust der Kontrolle über personenbezogene Daten spielt auch in einem weiteren Urteil des EuGH eine Rolle (Urteil vom 14.12.2023 – C-340/21): Cyberkriminelle hatten Steuer- und Sozialversicherungsdaten von rund sechs Millionen Menschen bei der bulgarischen Nationalen Agentur für Einnahmen (NAP) entwendet und veröffentlicht.

Ein Betroffener verlangte daraufhin von der NAP wegen des Verlusts der Kontrolle über seine Daten Schadensersatz in Höhe von rund 510 Euro nach Artikel 82 DSGVO. Die Klage scheiterte, denn laut EuGH kann der Kontrollverlust zwar zu einem immateriellen Schaden führen, jedoch muss der Betroffene nachweisen, dass dieser kausal auf einen Datenschutzverstoß der NAP zurückzuführen ist.

Das ist hier nicht gelungen, denn laut EuGH hätte der Cyberangriff nur dann der NAP zugerechnet werden können, wenn sie die Daten nicht angemessen nach Artikel 32 DSGVO gesichert hätte. Da die NAP das aber offensichtlich getan hatte, konnte sie nachweisen, dass sie für den Cyberangriff nicht verantwortlich ist (Art. 82 Abs. 3 DSGVO). Zu einem ähnlichen Ergebnis kommt der EuGH in seinem Urteil vom 21.12.2023 – C-667/21.

Anzeige
Anzeige

Keine Datenverarbeitung, kein Schadensersatz?

Uneinig sind sich die nationalen Gerichte noch in der Frage, ob der anspruchsbegründende Schaden durch eine tatsächliche Datenverarbeitung entstanden sein muss oder ob grundsätzlich ein Verstoß gegen irgendeine Vorschrift der DSGVO ausreicht. So kann nach Auffassung des Bundesarbeitsgerichts (2 AZR 363/21) eine verspätete Auskunft gemäß Artikel 15 DSGVO – also die unzureichende Gewährung eines Betroffenenrechts und nicht die eigentliche Datenverarbeitung – einen Schadenersatzanspruch nach Artikel 82 Absatz 1 DSGVO in Höhe von EUR 1.000,00 begründen.

Anders sehen das beispielsweise das Landgericht Stuttgart (Urteil vom 19.04.2023 – 53 O 129/22), das Landesarbeitsgericht Düsseldorf (3 Sa 285/23 vom 28.11.2023) und das Landesarbeitsgericht Nürnberg (Urteil vom 25.1.2023 – 4 Sa 201/22). Deren Auffassung stützt sich auf den Erwägungsgrund 146 der DSGVO. Dessen Einleitungssatz lautet: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.“

Da es sich bei der Auskunftserteilung nach Artikel 15 DSGVO aber nicht um eine Datenverarbeitung im Sinne der Legaldefinition des Artikel 4 Nummer 2 DSGVO handelt, würde ein Verstoß gegen das Auskunftsrecht keinen Schadensersatzanspruch rechtfertigen. Hierzu wird sich der EuGH wohl noch äußern müssen.

Anzeige
Anzeige

Fazit: Wann zieht die DSGVO tatsächlich Schadensersatz nach sich?

Für einen Schadensersatz nach Artikel 82 DSGVO bestehen relativ hohe Hürden, die vom EuGH und den nationalen Gerichten inzwischen herausgearbeitet wurden. Andere Aspekte bedürfen noch der Klärung. Betroffene, die Schadensersatz geltend machen wollen, oder Unternehmen, die sich einer Inanspruchnahme ausgesetzt sehen, sollten den Anspruch jedenfalls einer dreistufigen Prüfung unterziehen:

  1. Liegt tatsächlich ein Verstoß gegen die DSGVO vor? Ansprüche dürften leichter zu begründen sein, wenn sich der Verstoß aus einer tatsächlichen Verarbeitung ergibt. Werden Betroffenenrechte nicht rechtzeitig oder nicht vollständig gewährt, sind möglicherweise nicht alle Voraussetzungen für einen Anspruch erfüllt.
  2. Ist nachweislich ein materieller oder immaterieller Schaden durch den Verstoß entstanden? Ärger, Besorgnis und Unbehagen reichen in der Regel nicht aus.
  3. Besteht ein Kausalzusammenhang zwischen dem Schaden und der Verletzung? Ist der Beklagte tatsächlich für den Verstoß verantwortlich? Datenlecks nach Cyberangriffen sind einem Unternehmen nicht zuzurechnen, wenn die Daten eigentlich ausreichend gesichert waren. Oder waren personenbezogene Daten von Nutzern eines sozialen Netzwerks öffentlich zugänglich, weil der Nutzer sie selbst auf „öffentlich“ gestellt hat? Dann sagen die Gerichte schon mal „selber schuld“.

Hier sollte eine weitere Motivation für Unternehmen liegen, in Daten- und Informationssicherheit zu investieren und für datenschutzfreundliche Voreinstellungen zu sorgen. So lässt sich im Fall der Fälle die eine oder andere Schadensersatzforderung abwehren. Der nächste Cyberangriff kommt bestimmt.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige