Veröffentlicht von:
Entscheidung des EuGH über Schadensersatzansprüche bei Verstößen gegen das Datenschutzrecht nach Art. 82 DSGVO
- 4 Minuten Lesezeit
Mit seinem Urteil vom 04.05.2023 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-300/21 die Rechte von Betroffenen bei Datenschutzverstößen (SCHUFA-Einträge, Datenlecks bei Online-Accounts, Arbeitnehmerdaten etc.) gestärkt.
Übrigens haben wir uns mit dem Thema SCHUFA auch in anderen Artikeln schon beschäftigt:
- Löschungs- und Schadensersatzansprüche wegen unrechtmäßiger SCHUFA-Einträge
- SCHUFA-Einträge schnellstmöglich löschen lassen (Löschfristen)
- Warum habe ich einen schlechten SCHUFA-Score und was kann ich tun?
- Falsche SCHUFA-Einträge durch die Telekom Deutschland GmbH – sofortige Gegenmaßnahmen erforderlich
Verstöße gegen das Datenschutzrecht kommen leider allzu häufig vor. Dabei geht es um ganz unterschiedliche Kontexte. Datenschutz kann zum Beispiel beim Umgang mit Arbeitnehmerdaten eine Rolle spielen. Häufig geht es auch um Datenlecks wie bei Facebook oder Deezer oder generell wenn persönliche Daten im Internet unbeabsichtigt veröffentlicht oder gehackt werden. Unsere Kanzlei beschäftigt sich schwerpunktmäßig mit Datenschutzverstößen im Zusammenhang mit Wirtschaftsauskunfteien (SCHUFA-Einträge). Die Folgen und die Auswirkungen von Datenschutzverstößen für die Betroffenen können sehr unterschiedlich ausfallen. In manchen Fällen geht es „nur“ um die unberechtigte Verarbeitung von Daten, ohne dass ein weitergehender Schaden entsteht. In anderen Fällen, wie zum Beispiel bei fehlerhaften SCHUFA-Einträgen, können schwerwiegende Persönlichkeitsrechtsverletzungen (Rufschädigung, Verlust der Kreditwürdigkeit) sowie zusätzliche materielle Schäden mit existenzbedrohenden Ausmaßen die Folge sein.
Seit dem Jahr 2018 gilt die Datenschutz-Grundverordnung als europäisches Recht in Deutschland. Art. 82 DSGVO lautet wie folgt:
Artikel 82 Haftung und Recht auf Schadenersatz
(1)
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2)
Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
(3)
Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
(4)
Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
(5)
Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.
(6)
Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.
Klar ist, dass Verantwortliche bei Datenschutzverstößen sämtliche finanziellen Schäden zu ersetzen haben. Hierzu gehören entstandene Kosten (Rechtsanwaltskosten) sowie alle entstandenen Vermögensverluste.
Darüber hinaus besteht gemäß Art. 82 DSGVO aber auch bei immateriellen Schäden ein Schadensersatzanspruch. Immaterielle Schäden sind Nichtvermögensschäden, also beispielsweise bei Persönlichkeitsrechtsverletzungen oder Verletzungen der Ehre. Immaterieller Schadensersatz ist also eine Art „Schmerzensgeld“. Allerdings ist die Rechtsprechung in Deutschland bislang sowohl hinsichtlich der Voraussetzungen für den Schadensersatzanspruch als auch hinsichtlich der Höhe sehr uneinheitlich. Teils werden für relativ geringfügige Verstöße mit geringen Folgen bereits immaterielle Schadensersatzbeträge bis zu 5000 € zugesprochen (LG Mainz, Urteil vom 12.11.2021 – 3O 12/20). Andere Gerichte sprechen bei vergleichbaren Fällen nur Beträge von 200 € zu. Wieder andere Gerichte haben trotz eindeutiger Verstöße gegen das Datenschutzrecht überhaupt keinen immateriellen Schadensersatz zugesprochen. Dies wurde teilweise damit begründet, dass kein Schaden eingetreten sei bzw. der Schaden zu geringfügig sei und daher die erforderliche Schwelle der Erheblichkeit nicht überschritten sei.
Was als Schaden im Sinne der Datenschutz-Grundverordnung (DSGVO) anzusehen ist, definiert allerdings bereits der Erwägungsgrund Nr. 85 zur DSGVO. Der europäische Gesetzgeber sieht danach folgende Fälle als relevante Schäden an:
- Verlust der Kontrolle über personenbezogenen Daten
- Einschränkung der Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung
- Rufschädigung
- Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder
- andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person
Erfreulicherweise hat der Europäische Gerichtshof nun mit seinem aktuellen Urteil klargestellt, dass ein Schadensersatzanspruch wegen immaterieller Schäden nicht nur dann besteht, wenn eine gewisse Erheblichkeit erreicht ist. Dies bedeutet, dass jeder immaterielle Schaden auch einen Schadensersatzanspruch nach sich zieht. Nun ist klar, dass jeder Betroffene auch bei noch so geringen Schäden, Schadensersatz von den Verantwortlichen verlangen kann. Hierzu reicht zum Beispiel bereits der Verlust der Kontrolle über personenbezogene Daten aus, also beispielsweise durch ein Datenleck. Offen bleibt aber weiterhin, in welcher Höhe Schadensersatz zu leisten ist. Dies überlässt der europäische Gerichtshof den jeweiligen Gerichten der Mitgliedstaaten.
Auch bisher konnten wir bereits in zahlreichen Fällen für unsere Mandanten teilweise erfreulich hohe Schadensersatzbeträge durchsetzen. Das aktuelle Urteil des EuGH stärkt nun die Rechte von Betroffenen bei Verstößen gegen das Datenschutzrecht weiter.
Weitere Informationen zu dem Thema haben wir hier für Sie:
- Löschungs- und Schadensersatzansprüche wegen unrechtmäßiger SCHUFA-Einträge
- Warum habe ich einen schlechten SCHUFA-Score und was kann ich tun?
- SCHUFA-Einträge schnellstmöglich löschen lassen (Löschfristen)
Die Kanzlei TREWIUS Rechtsanwälte hilft bei allen Problemen im Zusammenhang mit Datenschutzverstößen, insbesondere bei falschen SCHUFA-Einträgen und sonstigen Problemen mit Wirtschaftsauskunfteien. Wir stehen Ihnen gerne für eine kostenlose Erstberatung zur Verfügung. Weitere Informationen finden Sie auf unserer Internetseite.
Artikel teilen: