Mit der Einführung der Datenschutzgrundverordnung im Jahr 2018 hat eine Neuheit Einzug gehalten, die bisher nur in engen Grenzen vor deutschen Gerichten Anwendung gefunden hat: Ein Anspruch auf Ersatz immaterieller Schäden.
Die DSGVO ist nicht nur der Grund dafür, dass zur Verarbeitung und Speicherung von Daten bestimmte Vorgaben gelten, sondern sie trifft umfassende Regelungen zur Datenerhebung und Verarbeitung.
Die Datenschutz-Grundverordnung dient gem. Art. 1 Abs. 2 DSGVO dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Bei einem Verstoß gegen diese Verordnung kann es unter Umständen teuer für den jeweiligen Verletzer werden. Denn gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz.
Das hört sich im ersten Moment unproblematisch an, aber dabei ist zu beachten, dass einer Person zunächst natürlich erst einmal ein Schaden entstanden sein muss, der ursächlich auf dem DSGVO-Verstoß beruht. Dieser muss anschließend auch bewiesen werden können.
Leitlinien zum Schadenersatz DSGVO
Außerdem sind sich die Gerichte nicht einig darüber, welche Voraussetzungen genau an den Schaden zu stellen und welche Verhaltensweisen überhaupt sanktionierbar sind. Bis zu einer gefestigten Rechtsprechung wird es noch Jahre dauern. Trotzdem gelten gewisse Leitlinien, mithilfe derer man ein wenig Licht ins Dunkle bringen kann:
Verletzung des Schutzes von Gesundheitsdaten
Grundsätzlich sind die Anforderungen umso niedriger und der Schadensersatz umso höher, je sensibler die verletzten Daten sind – dabei ist insbesondere die Verbreitung von Gesundheitsdaten zu nennen. Das OLG Düsseldorf (Az. 16 U 275/20) hat dem Betroffenen, dessen Gesundheitsakte von der gesetzlichen Krankenversicherung an eine falsche E-Mail-Adresse geschickt wurde zum Beispiel 2000 Euro Schadensersatz zugesprochen. Bei der Freigabe von Gesundheitsdaten aus einem Sachverständigengutachten, das nach einem Verkehrsunfall angefertigt wurde, bekam der Betroffene vom LG Meiningen (Az. 3 O 363/20) sogar 10.000 Euro Schadensersatz zugesprochen.
Schufa-Meldung, Finanzdaten und Co
Als besonders sensibel werden von den Gerichten auch Auskünfte über die finanzielle Lage sowie Konto- oder Ausweisdaten eingestuft. Schadensersatzansprüche bewegen sich im Rahmen von 500 Euro bei einer unberechtigten SCHUFA-Meldung durch ein Telekommunikationsunternehmen (OLG Koblenz, Urt. v. 18.05.2022 – 5 U 2141/21) bis zu 5000 Euro bei einem unbefugten negativen SCHUFA-Eintrag (LG Hannover, Urt. v. 14.02.2022 – 13 O 129/21). Schon die Einmeldung zur SCHUFA vor Zustellung des Mahnbescheids kann einen Anspruch auf Schadensersatz in Höhe von 5000 Euro begründen (LG Mainz, Urt. v. 12.11.2021 – 3 O 12/20). Bei Abflüssen von u. a. Konto- und Ausweisdaten aufgrund eines Datenlecks bei einem Finanzdienstleister wurden den Betroffenen 2500 Euro (LG München, Urt. v. 09.12.2021 – 36 U 138/22) bzw. 1200 Euro (LG Köln, Urt. v. 18.05.2022 – 28 O 328/21) zugesprochen. Begründet wurde dies damit, dass die beklagten Unternehmen keine hinreichenden organisatorischen Maßnahmen vorgenommen hatten, um den Datenverlust zu verhindern und so gegen Art. 32 DSGVO verstoßen haben.
Werbe-Mails
Auch wenn Sie Werbe-Mails erhalten, ohne darin im Voraus eingewilligt zu haben, können Sie einen Schadensersatzanspruch geltend machen – dieser bewegte sich in vorangegangenen Entscheidungen aber im Bereich von „nur“ 25 Euro (LG Heidelberg, Urt. v. 16.03.2022 – 4 S 1/21) bis 300 Euro (AG Pfaffenhofen, Urt. v. 09.09.2021 – 2 C 133/21).
Dagegen halten manche Gerichte auch die Überschreitung einer gewissen Erheblichkeitsschwelle oder bestimmte nachweisbare Schäden für die Begründung eines Anspruchs für erforderlich.
Trotzdem lohnt es sich bei der unbefugten Weitergabe oder Nutzung der eigenen Daten immer, die mögliche Geltendmachung eines Schadensersatzanspruchs in Betracht zu ziehen.
