Der EuGH klärt auf: Schadenersatzansprüche und die DSGVO

Immer wieder ist von Rekordbußgeldern die Rede. Doch auch Schadenersatzansprüche nach der Datenschutz-Grundverordnung (DSGVO) sind nicht zu vernachlässigen. Denn grundsätzlich haben alle Betroffenen einen Anspruch auf Schadenersatz bei unrechtmäßiger Verarbeitung – vorausgesetzt, es ist ein Schaden daraus entstanden.

Rechtlich ergeben sich rund um diesen Anspruch allerdings viele Fragen. Wann steht Betroffenen Schadenersatz zu? In welcher Höhe? Muss die Summe abschreckend wirken? Einige dieser Fragen hat zuletzt eine Entscheidung des Europäischen Gerichtshofs (EuGH) geklärt. 

Der Schadenersatzanspruch ist in der DSGVO festgeschrieben. So hat gemäß Art. 18 DSGVO „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

In Erwägungsgrund 85 werden die möglichen physischen, materiellen und immateriellen Schäden weiter präzisiert und mit Beispielen versehen. Dazu gehören: 

• Verlust der Kontrolle über die eigenen personenbezogenen Daten
• Einschränkung der Rechte
• Diskriminierung
• Identitätsdiebstahl oder -betrug
• Finanzielle Verluste
• Unbefugte Aufhebung der Pseudonymisierung
• Rufschädigung
• Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten
• Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person 

Es gibt also eine Vielzahl an möglichen Schäden, die Verantwortliche oder Auftragsverarbeiter:innen nach Erwägungsgrund 146 ersetzen müssen, wenn sie durch eine nicht DSGVO-konforme Verarbeitung entstehen. Sollte es zu einem solchen Schadensfall kommen, steht den Betroffenen ein vollständiger und wirksamer Schadenersatz zu. Lediglich, wenn Verantwortliche nachweisen können, dass sie in keiner Weise für den Schaden verantwortlich sind, können sie sich von der Haftung befreien. Bei einer geteilten Verantwortung sind unter bestimmten Bedingungen sowohl Verantwortliche als auch Auftragsverarbeiter:innen haftbar.

Der Schadenersatzanspruch nach DSGVO wurde bisher oft unterschiedlich ausgelegt. Reicht beispielsweise ein Verstoß gegen die DSGVO aus, damit Betroffene einen Schaden geltend machen können?

Mit dieser Frage hat sich der EuGH zuletzt befasst. Das Landgericht Saarbrücken hatte dem Gerichtshof eine Vorabentscheidung (C‑741/21) vorgelegt. In dem konkreten Fall wehrte sich ein Anwalt gegen die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken, nachdem er bereits mehrfach der Verarbeitung widersprochen hatte. Daraufhin machte er Schadenersatzansprüche nach Art. 82 DSGVO geltend.

Im Rahmen der Vorabentscheidung macht der EuGH nun erneut deutlich, dass ein bloßer Verstoß gegen die DSGVO keinen Schadenersatzanspruch begründet. Voraussetzung hierfür ist das tatsächliche Vorliegen eines materiellen oder immateriellen Schadens zusätzlich zu einem Verstoß. Darüber hinaus müssen Betroffene nachweisen, dass es einen Kausalzusammenhang zwischen dem Verstoß und dem vorliegenden Schaden gibt; also, dass der Schaden eine direkte Folge der rechtswidrigen Verarbeitung ist. Erst zusammengenommen ergeben diese drei Voraussetzungen – entstandener Schaden, rechtswidrige Verarbeitung und Kausalzusammenhang – einen Schadenersatzanspruch. Der EuGH verdeutlicht aber auch, dass bereits der „Verlust der Kontrolle“ über die eigenen Daten zu den möglichen Schäden zählt, solange dieser nachweisbar ist. Zusätzlich gibt es keine Bagatellgrenze. Es besteht ein Anspruch, egal wie gering der tatsächliche Schaden auch sein mag.

Hinzu kam die Frage der Verantwortung bzw. Enthaftung. Das beklagte Unternehmen hatte sich damit verteidigt, dass ein Mitarbeiter weisungswidrige Handlungen vorgenommen habe. Hier kam der EuGH zu dem Schluss, dass Mitarbeitende fraglos den Verantwortlichen unterstellt sind. Somit ist es Aufgabe der Verantwortlichen, sich zu vergewissern, dass Weisungen korrekt ausgeführt werden. Verantwortliche können sich also nicht mit Verweis auf das Fehlverhalten von Mitarbeitenden enthaften.

Auch zur Höhe möglicher Schadenersatzansprüche hat der EuGH eine Entscheidung getroffen. Die Kriterien nach Art. 83 DSGVO zur Bestimmung von Bußgeldern können nicht zur Bemessung des Schadenersatzbetrages herangezogen werden. Schadenersatz soll demnach nicht abschreckend wirken und auch frühere Verstöße von Verantwortlichen sind nicht relevant. Stattdessen geht es um die Erstattung des konkret entstandenen Schadens. Die genaue Höhe ist dabei nicht durch die DSGVO geregelt und obliegt den nationalen Gerichten nach dem Grundsatz der Verfahrensautonomie. Dabei sind die innerstaatlichen Vorschriften und die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität zu beachten. 

Ein häufiger Fall, in dem Schadenersatzansprüche vor Gericht landen, ist der Auskunftsanspruch. Wird dieser gar nicht oder nicht fristgerecht beantwortet, kommt es regelmäßig zur Geltendmachung von Schadenersatzansprüchen. Rekordverdächtig war hier ein Fall im Arbeitsgericht Oldenburg (ArbG Oldenburg, Urteil v. 09.02.2023, Az. 3 Ca 150/21), bei dem ein Auskunftsersuchen über 20 Monate nicht beantwortet wurde. Daraufhin veranschlagte das Gericht pro Monat 500 Euro Schadensersatz – in Summe 10.000 Euro.

Ein weiteres Beispiel ist die unbefugte Verwendung eines Fotos. Das Bild einer Mitarbeiterin wurde ohne Einwilligung in einer Broschüre genutzt. Daraufhin erhielt die Mitarbeiterin Schadensersatz in Höhe eines Bruttomonatslohns (ArbG Münster, Urteil v. 25.03.2021, Az. 3 Ca 391/20).

In der Regel fällt Schadenersatz – vor allem bei immateriellem Schaden – allerdings nicht so hoch aus. Meist bewegt er sich in einem Rahmen von bis zu 500 Euro. Im Einzelfall kommt es aber natürlich auf den jeweils entstandenen Schaden an. Und spätestens bei massenhaften Klagen können sich die Kosten entsprechend summieren. 

Die Risiken für Organisationen in Bezug auf Schadenersatzforderungen steigen, insbesondere durch die Zunahme von Massenklagen. Das kann auch durchaus sinnvoll sein, da Schadenersatzansprüche aus der DSGVO meist auf einen Schlag kommen und eine Vielzahl an Personen betreffen. Ein prominentes Beispiel aus der jüngsten Zeit ist die Abmahnwelle rund um Google Fonts.

Hinzu kommt, dass der monetäre Schaden meist das geringere Problem ist. Vor allem Imageschäden können Organisationen weit mehr und langfristiger belasten. Gerade für Unternehmen, aber auch Vereine, ist Vertrauen das Kapital, mit dem man arbeitet.

Organisationen sind daher gut daran beraten, die Datenschutzprinzipien einzuhalten und vor allem auch sorgfältig zu dokumentieren. Das umfasst auch die konsequente Umsetzung und Überprüfung von technischen und organisatorischen Maßnahmen. Denn Verstöße können nicht nur zu Schadenersatzansprüchen, sondern auch zu erheblichen Bußgeldern führen.  

Schadenersatz nach DSGVO ist ein komplexes Feld, das sowohl Betroffene als auch Verantwortliche vor Herausforderungen stellt. Die Rechtsprechung entwickelt sich weiter und präzisiert die Anforderungen an den Nachweis und die Höhe des Schadenersatzes. Es bleibt abzuwarten, wie sich die Gerichtsentscheidungen weiterentwickeln und welche Auswirkungen dies auf die Praxis des Datenschutzes in der EU haben wird.

InfoCuria Rechtsprechung (2024): „Urteil des Gerichtshofs (Dritte Kammer) in der Rechtssache C-741/21“, 11. April 2024, https://curia.europa.eu/juris/document/document.jsf?text=&docid=284641&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1, letzter Zugriff am 29. April 2024.

InfoCuria Rechtsprechung (2023): „Urteil des Gerichtshofs (Dritte Kammer) in der Rechtssache C-300/21“, 04. Mai 2023, https://curia.europa.eu/juris/document/document.jsf?text=&docid=273284&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=19552, letzter Zugriff am 29. April 2024.

Oppong, Marvin (2023): „DSGVO-Verstöße: Wieviel Schadenersatz bekommt man?“, 15. Juni 2023, https://www.lhr-law.de/magazin/datenschutzrecht/dsgvo-verstoesse/, letzter Zugriff am 29. April 2024.