DSGVO-Schadensersatz – Die besten Argumente für verantwortliche Unternehmen
2. Dezember 2024
In den vergangenen Monaten hat der Europäische Gerichtshof (EuGH) mehrere Entscheidungen zum immateriellen Schadensersatz nach der DSGVO gesprochen. Diese Urteile bieten sowohl betroffenen Personen als auch verantwortlichen Unternehmen Argumente zur Durchsetzung bzw. Abwehr von Schadensersatzforderungen. Dieser zweite Teil konzentriert sich auf die Perspektive und die sechs besten Argumente für Unternehmen, um Schadensersatzforderungen abzuwehren.
Lesedauer: 4 Minuten (ca. 730 Wörter)
In den letzten Monaten hat der Europäische Gerichtshof (“EuGH”) mehrere wegweisende Urteile im Datenschutz gefällt. Konkret ging es dabei um den immateriellen Schadensersatz nach der DSGVO. Der Gerichtshof hat sich dabei besonders zu den speziellen Anforderungen des Art. 82 DSGVO geäußert, die betroffene Personen erfüllen müssen, um gegen ein verantwortliches Unternehmen Schadensersatz zu fordern. Nach dem EuGH müssen hierfür die folgenden vier Voraussetzungen erfüllt sein:
- Verstoß gegen den Datenschutz
- Verschulden des Verantwortlichen
- Schaden beim Betroffenen
- Kausalität zwischen Schaden und Verstoß
Die Urteile beinhalten nicht nur für die betroffenen Personen, sondern auch für die verantwortlichen Unternehmen wichtige Argumente, um unberechtigte oder überhöhte Schadensersatzforderungen abzuwehren. Diese Argumente und die Perspektive der verantwortlichen Unternehmen werden daher nachfolgend einmal dargestellt.
Kein hypothetisches Risiko
Das erste Argument für die verantwortlichen Unternehmen zielt auf die Voraussetzungen des Schadensersatzes ab. Vor den EuGH-Urteilen wurde u. a. vom Bundesarbeitsgerichts vertreten, dass mit einem Verstoß gegen den Datenschutz durch den Verantwortlichen gleichzeitig ein Schaden vorliegen würde. Einer eigenen Überprüfung, ob ein Schaden auch vorliegt, hätte es demnach nicht bedurft. Der EuGH stellte jedoch klar, dass ein Verstoß und ein Schaden jeweils gesondert zu prüfen sind. Damit hat der EuGH die Anforderungen zulasten der Betroffenen erhöht.
Ein zweites Argument zugunsten der Verantwortlichen betrifft die Feststellung, ob ein Schaden gegeben ist. Der EuGH entschied, das ein rein hypothetische Risiko, dass Dritte die Möglichkeit der Kenntnisnahme (fremder) personenbezogener Daten haben, allein keinen Schaden darstellen kann. Unternehmen profitieren von dieser strengen Abgrenzung, da Ansprüche, die auf unkonkreten Ausführungen beruhen, so abgewehrt werden können. Nur eine begründete und nachvollziehbare Befürchtung kann einen Schaden darstellen, und auch hierfür muss der Betroffene Beweise vorlegen.
Keine Straf- oder Abschreckungsfunktion
Der Gerichtshof stellte zudem mehrfach klar, dass die Anforderungen an die Darlegung und Beweise hinsichtlich der Voraussetzungen von den nationalen Rechtsordnungen festgelegt werden. Das bedeutet, dass beispielsweise die Behauptung eines Kontrollverlustes oder die Befürchtung, es käme infolge eines Hackerangriffs zu einem Missbrauch der personenbezogenen Daten durch Dritte, jeweils nicht ausreichen würde, um Schadensersatz zu erhalten. Vielmehr bestehen hohe Anforderungen an die Darlegungs- und Beweislast, die die betroffene Person erfüllen muss. Das ist das dritte Argument.
Das vierte Argument zielt auf den Zweck von Schadensersatzzahlungen ab. Als Faustformel lässt sich sagen, dass, je mehr Zwecke mit dem Schadensersatz abgedeckt werden sollen, desto höher der Betrag des Schadensersatzes ist. Der EuGH hat allerdings festgehalten, dass dem immateriellen Schadensersatz gemäß der DSGVO nur ein Ausgleichszweck zugeschrieben werden kann. Der Schadensersatzanspruch dient ausdrücklich nicht der Bestrafung oder der Abschreckung, was sich reduzierend auf die Höhe des Schadensersatzbetrages auswirken dürfte.
Geringer Schaden, geringer Schadensersatz
Das fünfte Argument ergibt sich im Zusammenhang mit einem erfolgreichen Cyberangriff auf ein Unternehmen. Der Gerichtshof stellte klar, dass ein verantwortliches Unternehmen nicht automatisch haftet, wenn personenbezogene Daten infolge eines Cyberangriffs kompromittiert würden. Solange das Unternehmen angemessene technische und organisatorische Maßnahmen gemäß den Anforderungen der Artikel 24, 32 DSGVO implementiert hat, ist ein Datenverlust durch Dritte kein Verstoß. Das bedeutet für Unternehmen, dass sie bei gut dokumentierten Sicherheitsvorkehrungen Ansprüche abwehren können, selbst wenn unvorhergesehene externe Eingriffe erfolgt sind.
Das gilt im Übrigen auch für die versehentliche Herausgabe von personenbezogenen Daten durch einen Mitarbeiter des verantwortlichen Unternehmens an unbefugte Dritte.
Mit dem sechsten Argument hat der EuGH die Möglichkeit betont, dass die nationalen Gerichte bei einem „kleinen“ Schaden auch nur einen geringen Schadensersatz zusprechen können. Das hilft Unternehmen dabei, sich gegen hohe Schadensforderungen zu wehren, wenn der tatsächlich entstandene immaterielle Schaden nur von geringer Bedeutung ist. So können Gerichte einen Ersatz in angemessener Höhe festsetzen und sicherstellen, dass der Schadensersatz proportional zum tatsächlichen Schaden bleibt.
Fazit
Die EuGH-Rechtsprechung stärkt die Position verantwortlicher Unternehmen bei der Abwehr von unberechtigten oder unverhältnismäßig hohen Schadensersatzansprüchen. Die Urteile bieten wertvolle Argumente, um Forderungen zu reduzieren oder ganz abzuweisen und die finanzielle Belastung für Unternehmen in Grenzen zu halten. Verantwortliche Unternehmen sind somit gegenüber Forderungen nach immateriellem Schadensersatz keineswegs wehrlos ausgesetzt.
Sie kommen aus Kiel oder Schleswig-Holstein und haben Fragen zum immateriellen Schadensersatz nach der DSGVO? Oder Sie kommen aus dem übrigen Bundesgebiet und möchten sich über die Durchsetzung oder Abwehr von Schadensersatzforderungen nach dem Datenschutz informieren? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.
Dr. Oliver Daum
Fachanwalt für IT-Recht
Datenschutzbeauftragter (IHK)
IT-Sicherheitsbeauftragter (IHK)
Auch interessant: Schadensersatz nach der DSGVO – die besten Argumente für Betroffene
- 02.12.2024
- 10:00