Facebook-f Twitter Google Xing Linkedin

DSGVO-Schadensersatz – Die besten Argumente für betroffene Personen

4. November 2024

Es gibt sie, gerichtliche Verfahren an deren Ende sich beide Parteien als Sieger fühlen. Solche Verfahren gibt es auch im Datenschutz. Diejenigen, die dann aus den Urteilen für sich die besten Argumente ziehen wollen, haben es schwer. Wenn es sich dabei noch um insgesamt neun Urteile handelt, fällt es noch schwerer, den Überblick zu behalten. Hier setzt dieser Blogbeitrag an. Herausgearbeitet werden sechs wichtige Argumente der neuesten Rechtsprechung des Europäischen Gerichtshofs, die betroffene Personen zum immateriellen Schadensersatz gemäß der DSGVO verhelfen können.

Lesedauer: 4 Minuten (ca. 800 Wörter)

In den vergangenen Monaten hat der Europäische Gerichtshof (“EuGH”) insgesamt neun verschiedene Urteile zum Schadensersatz gemäß der DSGVO gefällt. Konkret ging es um den Ersatz eines immateriellen Schadens wegen des Verstoßes gegen den Datenschutz. In diesen Fällen wird den betroffenen Personen praktisch immer Geld zugesprochen. Da dieser Bereich in der DSGVO aber nur oberflächlich geregelt ist, wurden die hier analysierten Urteile von Datenschutzexperten mit großer Spannung erwartet.

Doch wem nützen die EuGH-Urteile zum immateriellen Schadensersatz? Dem Betroffenen, also der von einem Datenschutzverstoß betroffenen Person, die nun Schadensersatz verlangt? Oder dem Verantwortlichen, oftmals ein Unternehmen, das sich mit einer Schadensersatzforderung in vier- oder fünfstelliger Höhe konfrontiert sieht? Dieser Frage geht dieser Beitrag nach, indem die wichtigsten sechs Argumente herausgearbeitet werden, die in den Urteilen zum immateriellen Schadensersatz enthalten sind und für die Rechtsposition des Betroffenen sprechen.

Im nächsten Blogbeitrag werden die Urteile des EuGH zum immateriellen Schadensersatz aus der Perspektive des verantwortlichen Unternehmens dargestellt und dessen beste Argumente erläutert.

Struktur des Schadensersatzes gemäß DSGVO

Zunächst ist es wichtig, die grundlegende Struktur des Schadensersatzanspruchs der DSGVO zu kennen. Nach dem EuGH müssen die folgenden vier Voraussetzungen erfüllt sein, damit Betroffenen Schadensersatz fordern können:

  1. Verstoß gegen den Datenschutz
  2. Verschulden des Verantwortlichen
  3. Schaden beim Betroffenen
  4. Kausalität zwischen Schaden und Verstoß

Das erste Argument für Betroffene ergibt sich aus dem Verstoß gegen Datenschutz. Der Gerichtshof hat festgestellt, dass nicht nur Verstöße gegen die DSGVO einen Schadensersatz begründen können. Vielmehr können auch Verstöße gegen andere Normen des Datenschutzes (z. B. Bundesdatenschutzgesetz) angeführt werden. Vorausgesetzt, dass diese Normen auf die DSGVO Bezug nehmen. Für Betroffene bedeutet das eine Ausweitung des Anwendungsbereichs des Schadensersatzes.

Ein zweites Argument betrifft das Verschulden des verantwortlichen Unternehmens. Der Verantwortliche muss den Verstoß immer vorsätzlich oder fahrlässig begangen haben. Da Betroffene in der Praxis das jedoch kaum nachweisen können – weil sie keine Einblicke in die internen Betriebsabläufe des Verantwortlichen haben – arbeitet der EuGH mit einer Beweiserleichterung: Zugunsten des Betroffenen wird das Verschulden aufseiten des verantwortlichen Unternehmens vermutet.

Ängste als Schaden

Die Frage, ob für den Schaden eine Bagatellgrenze besteht, bildet das dritte Argument. Der EuGH hat festgelegt, dass der Schaden bei Betroffenen keine bestimmte Schwelle überschreiten muss. Das bedeutet, auch vorübergehende bzw. kurzfristige

gefühlsmäßige Beeinträchtigungen wie Ärgernis, Vertrauensverlust und ein Gefühl der Bloßstellung

können einen Schaden darstellen. Der Gerichtshof macht es den Betroffenen also leichter, einen Schaden darzulegen.

Der EuGH ging sogar noch einen Schritt weiter. Er erklärte, dass bereits die bloße Befürchtung eines Betroffenen, seine personenbezogenen Daten könnten nach einem Hackerangriff missbraucht werden, einen Schaden darstellen kann. Ängste können also ein Schaden sein. Zudem kann auch der Verlust der Kontrolle über die Hoheit der eigenen Daten einen Schaden darstellen. Diese niedrigen Anforderungen des EuGH an einen Schaden nach der DSGVO bilden das vierte Argument.

Cyberangriffe entlasten nach der DSGVO nicht

Im Zusammenhang mit der Befürchtung bzw. der Angst als Schaden steht auch das fünfte Argument. Der Gerichtshof bestätigte in diesem Zusammenhang, dass Betroffene, wenn sie sich auf die Befürchtung der missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte stützen, um Schadensersatz zu fordern, nicht darzulegen haben, dass auch tatsächlich ein Missbrauch ihrer Daten eingetreten ist. Es reicht vielmehr die Befürchtung bzw. die Angst des Betroffenen aus, dass seine Daten missbraucht werden könnten. Mehr fordert der EuGH nicht.

Das sechste Argument bezieht sich auf die restriktiven Entlastungsmöglichkeiten des verantwortlichen Unternehmens. Nach dem Gerichtshof kann sich der Verantwortliche nicht dadurch von seiner Haftung befreien, dass er Ziel eines erfolgreichen Cyberangriffs geworden ist, woraufhin die Daten unbefugt veröffentlicht o. ä. wurden. Eine Haftungsbefreiung tritt auch dann nicht ein, wenn ein Mitarbeiter des verantwortlichen Unternehmens weisungswidrig personenbezogene Daten offenlegte. In diesen Fällen bleibt es bei der Pflicht des verantwortlichen Unternehmens zum Ersatz des Schadens.

Fazit

In den analysierten Urteilen betonte der EuGH ein ums andere Mal, dass der Begriff des Schadens nach der DSGVO weit auszulegen ist, um dem europäischen Datenschutz größtmögliche Wirksamkeit zu verleihen. Diese Betrachtungsweise spiegelt sich auch insgesamt in den Urteilen wider, wie die vorstehenden Argumente zeigen. Für Betroffene bedeuten die Urteile, dass sie bessere Chancen haben, Schadensersatzansprüche erfolgreich durchzusetzen, selbst wenn es sich um geringfügige Schäden handelt.

 Die EuGH-Urteile tragen somit zur Stärkung der Rechte der Betroffenen bei und setzen ein klares Signal an Unternehmen, Datenschutzverstöße ernst zu nehmen und präventive Maßnahmen zu ergreifen.

Sie kommen aus Kiel oder Schleswig-Holstein und haben Fragen zum immateriellen Schadensersatz nach der DSGVO? Oder Sie kommen aus dem übrigen Bundesgebiet und möchten sich über die Durchsetzung oder Abwehr von Schadensersatzforderungen nach dem Datenschutz informieren? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.

Dr. Oliver Daum
Fachanwalt für IT-Recht
Datenschutzbeauftragter (IHK)
IT-Sicherheitsbeauftragter (IHK)

Auch interessant: DSGVO und Arbeitsrecht: Wann führt eine verspätete Auskunft zu einem Schadensersatzanspruch?

  • 10:00
Share on email
Share on whatsapp
Share on twitter
Share on xing

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Scroll to Top