Recht auf Schadenersatz nach Datenschutzverstoß

HMDATA Datenschutz-Newsletter 03/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

In Art. 82 Abs. 1 DSGVO heißt es: "Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter."
Traurige Berühmtheit erlangte der Art. 82 beim sogenannten "Google-Fonts"-Betrug, der Anlass für zweifelhafte Anwälte war, auf der Welle eines Urteiles des Landgerichts München eine betrügerische Unterlassungs-Kampagne zu starten.

Wie so oft aber auch liegt es hier nicht am Wesen der DSGVO, sondern an unwissender oder vorsätzlich falsch ausgelegtem Wortlaut. Nichtsdestotrotz haben nun Endverbraucher den Art. 82 DSGVO für sich entdeckt und versuchen nun mit teilweise berechtigtem aber auch vorsätzlich betrügerischem Eifer, einen Schadenersatz gegenüber Unternehmen geltend zu machen.

Da dieses in den letzten Monaten von zunehmend mehr Betroffenen in Anspruch genommen wird, gibt es demzufolge auch mehr Rechtsstreitigkeiten und somit auch mehr Urteile zum Thema. Interessant ist es für Unternehmen, sich mit dem Art. 82 DSGVO auseinanderzusetzen, da dieser kumulative Wirkung hat, sich eine kleine einklagbare Schadenersatzsumme eines Einzelnen durch eine mögliche Vielzahl an Forderungen schnell zu hohen Beträgen aufsummieren kann.

Über den derzeitigen Stand soll folgende kurze Ausführung Stellung nehmen.

Fakten zur Inanspruchnahme eines Schadenersatzes nach Art. 82 DSGVO

Aus den bisherig erlassenen Urteilen gehen nun folgende Sachverhalte hervor:

• Einklagbar ist der Schadenersatz von Jedermann, es gibt also keinen Anwalts- oder Verbandsvorbehalt
• Ein bloßer Verstoß gegen die DSGVO ist keine Begründung eines Schadenersatzanspruches
• Ein eingetretener Schaden muss nachweisbar sein, die bloße hypothetische Möglichkeit einer Offenlegung führt nicht zu einem Schadenersatz
• Es muss ein Zusammenhang zwischen Schaden und Verstoß bestehen, die Beweislast der Kausalität liegt beim Betroffenen
• Der Schaden muss einen bestimmten Grad an Erheblichkeit aufweisen
• Die Höhe des Schadens wird an Hand eines Ausgleichs bemessen und ist nicht abhängig von der Schwere des Verstoßes und zielt weniger auf eine abschreckende Wirkung hin

Dies dient für die interne Compliance-Abteilung bereits als sinnvolle Richtlinie bei der Ersteinschätzung einer Schadenersatzklage nach Art. 82 DSGVO.

Was wurde bisher erfolgreich als Schadenersatz festgestellt?

Zur Einschätzung, welche Schadenersatzklagen bisher erfolgreich für den Betroffenen waren, dienen folgende Beispiele:

• Google-Fonts: Einsatz von Drittanbietertools auf der WebSite mit Datenübertragung personenbezogener Daten
  Immaterieller Schaden: unkontrollierte Übertragung der IP-Adresse in Drittland
  Höhe: ca. 150.- Euro
  Lösung: Entfernen, Einsatz eigener Tools, keine Drittanbieterübertragung, Anonymisierung, Consent-Layer
  
• Verspätete Auskunft: Anfrage ehemaliger Beschäftigter, Sachverhalt der Nichtverarbeitung (Daten wurden gelöscht), verspätete Auskunft nach Art. 15 (nicht "unverzüglich")
  Immaterieller Schaden: Kontrollverlust, psychische Belastung, mögliche Beeinträchtigung der wirtschaftlichen Situation
  Höhe: ca. 500.-
  Lösung: Einrichten des Prozesses "Betroffenenrechte", unverzügliche Auskunft oder plausible Begründung der Verspätung
  
• Nicht ordnungsgemäße Löschung: unzulässige Verwendung Arbeitnehmerdaten auf WebSite, Nichtlöschung fristgemäß nach Beendigung des Arbeitsverhältnisses, Nichtbeachtung von Betroffenenrechten
  Immaterieller Schaden: unzulässige und unrichtige Verwendung personenbezogener Daten, Verletzung der Sorgfaltspflichten des Arbeitgebers
  Höhe: 1.000.- Euro
  Lösung: ordnungsgemäße Prozesse für Löschfristen, Beachten der Zweckbindung, Beachtung von Betroffenenrechten
  

Allen Beispielen liegt ein grob fahrlässiges oder vorsätzliches Handeln unter Inkaufnahme der Verletzung von Sorgfaltspflichten zu Grunde, insofern ist . Daraus folgt, dass einerseits die elementaren Prozesse der Betroffenenrechte, der Löschfristen und der Sicherheit der Verarbeitung in jedem Fall im Unternehmen etabliert sein müssen. Andererseits muss zum Datenschutzverstoß auch immer ein kausaler Nachweis des entstandenen Schadens zu führen sein. Es wird also zwischen der Glaubhaftigkeit der Argumentation des Betroffenen zum entstandenen Schaden und dem Nachweis des Unternehmens zur Einhaltung der DSGVO abgewogen. Auch hier hilft die unbedingte Einhaltung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO enorm weiter.

Fazit für das eigene Unternehmen

Wer seine DSGVO-Prozesse etabliert hat, hat eher keine Schadenersatzansprüche nach Art. 82 DSGVO zu befürchten. Sorglosigkeit wegen der hierzulande vergleichsweise geringen Summen des Schadenersatzes im Einzelfall sollten nicht darüber hinwegtäuschen, dass dies im kumulativen Fall sehr schnell existenzbedrohende Ausmaße annehmen können. In jedem Fall ist umgehend datenschutzrechtlicher Rat beim Eingang einer Schadenersatzforderung einzuholen.