Mit der Einführung der Datenschutzgrundverordnung im Jahr 2018 hat eine Neuheit Einzug gehalten, die bisher nur in engen Grenzen vor deutschen Gerichten Anwendung gefunden hat: Ein Anspruch auf Ersatz immaterieller Schäden.
Die DSGVO ist nicht nur der Grund dafür, dass zur Verarbeitung und Speicherung von Daten bestimmte Vorgaben gelten, sondern sie trifft umfassende Regelungen zur Datenerhebung und Verarbeitung.
Die Datenschutz-Grundverordnung dient gem. Art. 1 Abs. 2 DSGVO dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Bei einem Verstoß gegen diese Verordnung kann es unter Umständen teuer für den jeweiligen Verletzer werden. Denn gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz.
Grundsätze zum Schadenersatz DSGVO
Zunächst sollte man den Begriff „immaterieller Schaden“ definieren. Laut der EuGH Entscheidung vom 14. Dezember 2023 ist dieser weit auszulegen, sodass auch Befürchtungen über den Verlust der Kontrolle personbezogener Daten oder das Risiko einer missbräuchlichen Nutzung dieser Daten umfasst sind.
Die ersten drei Voraussetzungen für einen Schadenersatzanspruch nach der DSGVO sind Verletzungshandlung, Schaden und Kasalität. Zunächst muss eine Verletzungshandlung bzw. ein Verstoß gegen die DSGVO vorliegen, wodurch einer Person ein Schaden entstanden ist. Es ist zu beachten, dass eine Kausalität zwischen der Verletzungshandlung und dem erlittenen Schaden gegeben muss. Nur dann ist ein Schadenersatzanspruch gem. Art. 82 Abs. 1 DSGVO durchsetzbar.
Der EuGH hat in seinem Urteil am 04. Mai 2024 etabliert, dass es bei einem Schadenersatzanspruch nach DSGVO keiner Erheblichkeitsschwelle bedarf, also keiner Grenze, die ein Schaden überschreiten muss, damit ein Schadenersatzanspruch wirksam geltend gemacht werden kann.
Trotzdem trägt die betroffene Person hierbei die Beweislast, dass ihr ein Schaden entstanden ist, der ein immaterieller Schaden darstellen könnte. Nichtdestotrotz wird von der betroffenen Person nicht verlangt, ein bei ihm enstandener Schaden nachzuweisen, der über die Verletzung der DSGVO hinausgehende Schaden geht. Also ein Nachweis der „Konsequenzen
von mindestens einigem Gewicht“ ist nicht erforderlich.
Zur Darlegung des erlittenen Schadens haben zahlreiche Gerichte in ihren Urteilen bestätigt (OLG Hamm: Urt. v. 15.08.2023, Az. 7 U 19/23; LG Leipzig Endurteil v. 12.7.2024 – 04 O 40/24; LG Heilbronn Urt. v. 12.7.2024 – Zw 1 O 10/24), dass der Betroffene die Situation so schildern muss, dass seine erlebten Empfindungen sowie die negativen Folgen konkret und nachvollziehbar vorgeführt werden. Ein genereller und nicht individualisierter Vortrag reicht nicht aus, um den Anspruch als begründet darzustellen. Bei dieser Darlegung ist beispielsweise darauf einzugehen, wann, wie oft und auf welchem Weg die Verletzungshandlung stattgefunden hat und welche Auswirklung sie auf den Betroffenen persönlich hatte.
In seiner Entscheidung am 04. Mai 2023 hat der EuGH festgelegt, dass die Höhe des Schadenersatzes wirksam, verhältnismäßig und abschreckend sein sollte, jedoch „keinen Abschreckungscharakter habe, der dem Unionsrecht fremd sei“. Es gibt jedoch keine feste Höhe für den Schadenersatz, vielmehr muss dies im Einzelfall entschieden werden.
Leitlinien zum Schadenersatz DSGVO
Außerdem sind sich die Gerichte nicht einig darüber, welche Voraussetzungen genau an den Schaden zu stellen und welche Verhaltensweisen überhaupt sanktionierbar sind. Bis zu einer gefestigten Rechtsprechung wird es noch Jahre dauern. Trotzdem gelten gewisse Leitlinien, mithilfe derer man ein wenig Licht ins Dunkle bringen kann:
Verletzung des Schutzes von Gesundheitsdaten
Grundsätzlich sind die Anforderungen umso niedriger und der Schadensersatz umso höher, je sensibler die verletzten Daten sind – dabei ist insbesondere die Verbreitung von Gesundheitsdaten zu nennen. Das OLG Düsseldorf (Az. 16 U 275/20) hat dem Betroffenen, dessen Gesundheitsakte von der gesetzlichen Krankenversicherung an eine falsche E-Mail-Adresse geschickt wurde zum Beispiel 2000 Euro Schadensersatz zugesprochen. Bei der Freigabe von Gesundheitsdaten aus einem Sachverständigengutachten, das nach einem Verkehrsunfall angefertigt wurde, bekam der Betroffene vom LG Meiningen (Az. 3 O 363/20) sogar 10.000 Euro Schadensersatz zugesprochen.
Schufa-Meldung, Finanzdaten und Co
Als besonders sensibel werden von den Gerichten auch Auskünfte über die finanzielle Lage sowie Konto- oder Ausweisdaten eingestuft. Schadensersatzansprüche bewegen sich im Rahmen von 500 Euro bei einer unberechtigten SCHUFA-Meldung durch ein Telekommunikationsunternehmen (OLG Koblenz, Urt. v. 18.05.2022 – 5 U 2141/21) bis zu 5000 Euro bei einem unbefugten negativen SCHUFA-Eintrag (LG Hannover, Urt. v. 14.02.2022 – 13 O 129/21). Schon die Einmeldung zur SCHUFA vor Zustellung des Mahnbescheids kann einen Anspruch auf Schadensersatz in Höhe von 5000 Euro begründen (LG Mainz, Urt. v. 12.11.2021 – 3 O 12/20). Bei Abflüssen von u. a. Konto- und Ausweisdaten aufgrund eines Datenlecks bei einem Finanzdienstleister wurden den Betroffenen 2500 Euro (LG München, Urt. v. 09.12.2021 – 36 U 138/22) bzw. 1200 Euro (LG Köln, Urt. v. 18.05.2022 – 28 O 328/21) zugesprochen. Begründet wurde dies damit, dass die beklagten Unternehmen keine hinreichenden organisatorischen Maßnahmen vorgenommen hatten, um den Datenverlust zu verhindern und so gegen Art. 32 DSGVO verstoßen haben.
Werbe-Mails
Auch wenn Sie Werbe-Mails erhalten, ohne darin im Voraus eingewilligt zu haben, können Sie einen Schadensersatzanspruch geltend machen – dieser bewegte sich in vorangegangenen Entscheidungen aber im Bereich von „nur“ 25 Euro (LG Heidelberg, Urt. v. 16.03.2022 – 4 S 1/21) bis 300 Euro (AG Pfaffenhofen, Urt. v. 09.09.2021 – 2 C 133/21).
Dagegen halten manche Gerichte auch die Überschreitung einer gewissen Erheblichkeitsschwelle oder bestimmte nachweisbare Schäden für die Begründung eines Anspruchs für erforderlich.
Trotzdem lohnt es sich bei der unbefugten Weitergabe oder Nutzung der eigenen Daten immer, die mögliche Geltendmachung eines Schadensersatzanspruchs in Betracht zu ziehen.