DSGVO-Schadensersatzansprüche: EuGH klärt Anforderungen an Schaden und Beweis

Datenschutzrechtliche Streitigkeiten sind seit dem Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 an der Tagesordnung. Die DSGVO hat das Bewusstsein für den Datenschutz und die damit verbundenen Rechte geschärft. Artikel 82 DSGVO sieht vor, dass Personen Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter haben können.

Der EuGH (Az. C-300/21) hat klargestellt, dass der Anspruch auf Schadenersatz nach der DSGVO drei kumulative Voraussetzungen erfordert: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden als Folge dieses Verstoßes und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Der EuGH betonte auch, dass nicht jeder Verstoß gegen die DSGVO einen Anspruch auf Schadensersatz begründet und dass ein Schaden nachgewiesen werden muss. Es gibt keine Schwelle für die Schwere des Verstoßes und die Datenschutz-Grundverordnung enthält keine Regeln für die Berechnung des Schadensersatzes.

Ausgangsfall „Österreichische Post“

Die Entscheidung des EuGH erging in einem Fall aus Österreich, in dem einem Betroffenen von der Österreichischen Post eine „Affinität“ zur rechtsextremen FPÖ unterstellt worden war. Der Betroffene hatte daraufhin geklagt und Schadensersatz in Höhe von 5.000 Euro wegen Verletzung des Datenschutzes verlangt. Der EuGH hat nun klargestellt, dass ein Schadensersatzanspruch nur dann besteht, wenn durch die Verletzung ein tatsächlicher Schaden entstanden ist. Gerichte in Deutschland haben, um nur ein Beispiel zu nennen, Einzelpersonen unter anderem Folgendes zugesprochen

• 2000 EUR Schadensersatz für die unnötige Übermittlung von Mitarbeiterdaten innerhalb einer Unternehmensgruppe;
• 2000 EUR Schadenersatz für die verspätete Beantwortung eines Auskunftsersuchens eines Mitarbeiters;
• 100 EUR Schadenersatz für die bloße Übermittlung der IP-Adresse beim Besuch einer Website in die USA und
• 500 EUR Schadenersatz für den Verlust von Konto- und Finanzdaten bei einer Datenschutzverletzung.

Unternehmen und Organisationen müssen sich darüber im Klaren sein, dass Schadenersatzforderungen ein erhebliches Compliance-Risiko darstellen können, da der Schadenersatz pro betroffener Person zugesprochen wird und sich leicht summieren kann. Um dem EuGH-Urteil nachzukommen, können Unternehmen und Organisationen folgende Maßnahmen ergreifen:

• Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
• Schulung der Mitarbeiterinnen und Mitarbeiter über die Datenschutz-Grundverordnung und die damit verbundenen Datenschutzanforderungen
• Implementierung von Prozessen zur Überwachung und Meldung von Datenschutzverletzungen
• Schaffung einer Datenschutzkultur, in der Datenschutz als wichtiger Unternehmenswert angesehen wird
• Überprüfung der Datenschutzbestimmungen in Verträgen mit Auftragsverarbeitern und anderen Dritten
• Erstellung eines Notfallplans für Datenschutzverletzungen

Unternehmen und Organisationen sollten diese Maßnahmen implementieren, um das Risiko von Datenschutzverletzungen zu minimieren und sicherzustellen, dass sie der DSGVO entsprechen.

DSGVO-Schadensersatzansprüche: EuGH klärt Anforderungen! – Doch wie geht es weiter?

Die Entscheidung des EuGH hat gezeigt, dass ein immaterieller Schaden bei einem Verstoß gegen die DSGVO grundsätzlich zu einem Schadensersatzanspruch führen kann. Die nationalen Gerichte müssen nun praktikable Kriterien zur Bestimmung der Schadenshöhe entwickeln, wobei die Erheblichkeit des Schadens kein anspruchsausschließender Umstand sein darf. Ob die Entscheidung zu einem Rückgang der anwaltlichen Geltendmachung von datenschutzrechtlichen Auskunftsansprüchen führen wird, bleibt allerdings fraglich. Die praktische Bedeutung des Schadensersatzes wird in Zukunft davon abhängen, wie die Gerichte die Darlegung des Schadens ausgestalten. Ob die Entscheidung des EuGH ein Gewinn für den Datenschutz ist, bleibt abzuwarten, denn ein Missbrauch des Datenschutzrechts zur Begründung von Zahlungsansprüchen könnte mittelfristig zu einer mangelnden Akzeptanz des Datenschutzes führen. Klarere Grenzen wären daher wünschenswert, um berechtigte Ansprüche zu fördern und missbräuchliche Klagen einzuschränken.