DSGVO: Ansprüche bei Datenschutzverstoß

Immer häufiger begehren Mandanten Schadenersatz und Schmerzensgeld, weil sie sich als Opfer eines Datenschutzverstosses fühlen. Dies gilt auch im Rahmen eines bestehenden Arbeitsverhältnisses. Häufig sind derartige Ansprüche nach Rechtsprechung des Europäischen Gerichtshofs aber nicht einfach zu begründen.

Rechtsprechung des europäischen Gerichtshofs

Nach Entscheidungen des EuGH (jüngst Urteil vom 25.01.2024, C-687/21, BB 2024, 321=DB 2024, 519, MediaMarkt ; Urteil vom 11.04.2024, NJW 2024, 1561, GP ./. juris) sind deutsche Gerichte an Entscheidungen des EuGH gem. Art. 177 AEUV (Lissabon-Vertrag) gebunden (EuGH V-283/81, C.I.L.F.I.T.), da sie bei beabsichtigter Abweichung zur Vorlage an den EuGH verpflichtet sind).

Folgende Punkte in der Rechtsprechung des EuGH sind daher zu beachten:

  1. Der bloße Datenschutzverstoß begründet keinen Schadensersatzanspruch, da das Vorliegen eines materiellen oder immateriellen Schadens eine der Voraussetzungen des Art. 82 Abs. 1 darstellt und auch ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß vorliegen muss. Der Verletzte muss daher nachweisen, dass ihm durch den Verstoß ein Schaden entstanden ist (Urteil vom 04.05.2023, C-300/21).
  2. Der kurzfristige Verlust der Kontrolle über Daten kann einen immateriellen Schaden darstellen, wenn der Betroffene den Nachweis erbringen, dass er tatsächlich einen solchen Schaden, so geringfügig er auch sein mag, erlitten hat. Der Nachweis obliegt dem Betroffenen. Sofern der Betroffene große Sorgen und Ängste behauptet, ist dies nur maßgeblich, wenn er diese auch tatsächlich erlitten hat und nachweisen kann (EuGH, Urteil vom 14.12.2023, C- 340/21).
  3. Die Haftungsbefreiung des Verantwortlichen nach Art. 82 Abs. 3 DSGVO tritt nicht dadurch ein, dass sich der Verantwortliche auf die Fahrlässigkeit oder ein Fehlverhalten einer ihm unterstellten Personen beruft. Es reicht nicht aus, dass er einer unterstellten Person Weisungen erteilt und diese einer Verpflichtung, die Weisung zu befolgen, nicht nachgekommen ist. Vielmehr trägt der Verantwortliche die Beweislast dafür, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm obliegenden Verpflichtung und der der betroffenen Person entstandenen Schaden gibt.
  4. Bei der Bestimmung der Kriterien für den Schadensersatzanspruch ist Art. 83 DS GVO mit seinen Kriterien nicht heranzuziehen, weil es sich um unterschiedliche Regelungsgehalte handelt.
  5. Die DSGVO enthält keine Bestimmung über die Bemessung des Schadenersatzes, dies ist dem nationalen Gesetzgeber vorbehalten. Die Schwere des Verstoßes gegen die Verordnung kann sich nicht auf die Höhe des Schadensersatzanspruches auswirken. Auch der Umstand, dass der verantwortliche mehrere Verstöße gegen die DSGVO begangen hat, ist kein relevantes Kriterium für die Bemessung des Schadensersatzanspruches. Schließlich ist aus dem 146. Erwägungsgrund abzuleiten, dass der Betroffene vollständig und wirksam entschädigt werden muss; der konkret erlittene Schaden ist im vollen Umfang auszugleichen, ohne dass ein Straf- Schadenersatz verhängt werden darf.

Rechtsprechung der deutschen Gerichte

Der Bundesgerichtshof hat diese Rechtsprechung übernommen (Urteil vom 12.12.2023, VI ZR 277/22). Er schließt sich auch der Entscheidung des EuGH (C-687/21) an, dass eine nur kurzfristige datenschutzrechtliche Beeinträchtigung keinen Schadenersatz oder Entschädigungsanspruch mit sich bringt. Etwaige Abweichungen des Bundesarbeitsgerichts werden zukünftig korrigiert werden müssen.

Bezifferung des Schadens

Sollte allerdings ein Datenschutzverstoß ein gewisses Ausmaß erreicht haben und ein Schaden beim Betroffenen eingetreten sein, etwa durch eine unzulässige Videoüberwachung oder ungerechtfertigte Weitergabe von Daten an Dritte, steht diesem ein Zahlungsanspruch zu. Die Rechtsprechung billigt dem Betroffenen mitunter durchaus hohe Schmerzensgelder zu. Es empfiehlt sich in derartigen Fällen, anwaltliche Hilfe zu suchen.

Schadenersatz wegen verspäteter Auskunft nach Art. 15 DSGVO

In arbeitsrechtlichen Auseinandersetzungen ist es darüber hinaus recht beliebt geworden, einen Schadensersatzanspruch wegen verspäteter Auskunftserteilung nach Art. 15 DSGVO geltend zu machen. Arbeitnehmer, die ihren Arbeitgeber ärgern möchten, können Auskunft über die im Arbeitsverhältnis verarbeiteten Daten, die Zwecke und die Empfänger verlangen. Hier werden durchaus bei längerfistiger Weigerung vierstellige Beträge aufgerufen. Auch in diesen Fällen empfiehlt es sich, anwaltliche Hilfe zu suchen, denn häufig stellen sich derartige Klagen als Schikane heraus.

Fazit:

Die Erlangung von Schadenersatz und Schmerzensgeld bei einer Datenschutzverstoß ist keinesfalls einfach und bedarf anwaltlicher Begleitung. Werden aber die Voraussetzungen erfüllt und vor Gericht bewiesen, können die Betroffenen erhebliche 4-5 stellige Zahlungen erwarten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert