Schadensersatz Datenschutzverletzungen EuGH | IT-Medienrecht

Erfahren Sie alles zu Schadensersatz bei Datenschutzverletzungen nach EuGH-Urteilen. Wie Sie Ihre Rechte nach Art. 82 DSGVO durchsetzen können. Jetzt…

Das Wichtigste in Kürze

  • Der EuGH präzisiert die Voraussetzungen für Schadensersatzansprüche nach Art. 82 DSGVO.
  • Ein tatsächlicher Schaden ist für einen Schadensersatzanspruch erforderlich; ein bloßer DSGVO-Verstoß genügt nicht.
  • Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden darstellen, auch ohne konkreten Missbrauch.
  • Nationale Gerichte müssen jeden Fall individuell und konkret prüfen.
  • Die Beweislast für die Betroffenheit und den Schaden liegt bei der klagenden Partei.

Analyse der jüngsten EuGH-Entscheidungen zum Schadensersatz nach DSGVO

Der Europäische Gerichtshof (EuGH) hat in seinen jüngsten Entscheidungen C-687/21 und C-340/21 wichtige Klarstellungen zum Schadensersatzanspruch nach Art. 82 DSGVO vorgenommen. Dabei knüpfte der EuGH an seine frühere Rechtsprechung an.

Die Urteile präzisieren, wann Betroffene nach einem Datenschutzverstoß erfolgreich auf Schadensersatz klagen können. Die Entscheidungen haben weitreichende Auswirkungen auf die Praxis der nationalen Gerichte und die Anforderungen an Unternehmen im Umgang mit personenbezogenen Daten.

Die EuGH-Rechtsprechung im Detail

Verstoß und Schaden: Eine wichtige Unterscheidung

Zunächst ist es wichtig, klar zwischen einem Verstoß gegen die DSGVO und dem daraus resultierenden Schaden zu unterscheiden. In der Entscheidung C-300/21 vom 4. Mai 2023 hatte der EuGH bereits betont, dass ein bloßer Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch begründet. Es muss zusätzlich ein tatsächlicher Schaden eingetreten sein.

Dies stellt sicher, dass nicht jeder kleine Fehler gleich zu finanziellen Forderungen führt, sondern ein konkreter Nachteil für die betroffene Person vorliegen muss.

Kontrollverlust als immaterieller Schaden

Der Kontrollverlust über personenbezogene Daten, der infolge eines DSGVO-Verstoßes eintritt, kann bereits für sich genommen einen immateriellen Schaden darstellen. Dies ergibt sich aus Erwägungsgrund 85 der DSGVO und wurde vom EuGH in der Entscheidung C-340/21 bestätigt. Hierbei ist es nicht erforderlich, dass bereits ein konkreter Missbrauch der Daten stattgefunden hat. Die begründete Befürchtung eines möglichen zukünftigen Missbrauchs kann ausreichen.

Ein solcher Kontrollverlust kann sich beispielsweise in Sorgen, Ängsten oder einem allgemeinen Unbehagen äußern. Unternehmen sollten daher besonders auf den Schutz von Daten achten, um Datenlecks und den damit verbundenen Kontrollverlust über personenbezogene Daten zu vermeiden.

Objektive und subjektive Elemente beim Schadensersatz

  1. Für den Verstoß gegen die DSGVO ist kein subjektives Element aufseiten des Verantwortlichen erforderlich. Es genügt die objektive Feststellung, dass die Vorgaben der DSGVO nicht eingehalten wurden.
  2. Für den Schaden in Form des Kontrollverlusts ist hingegen ein subjektives Element aufseiten der betroffenen Person relevant. Die Person muss darlegen und gegebenenfalls beweisen, dass sie aufgrund des Kontrollverlusts tatsächlich Sorgen, Ängste oder ein Unbehagen empfindet.

Konkrete Prüfung durch nationale Gerichte

Der EuGH hat in C-340/21 klargestellt, dass die nationalen Gerichte bei der Prüfung des Schadensersatzanspruchs eine konkrete Bewertung vornehmen müssen. Sie müssen untersuchen, ob die von der betroffenen Person vorgebrachten Befürchtungen angesichts der spezifischen Umstände des Einzelfalls als begründet angesehen werden können.

Grenzen des Schadensersatzanspruchs

Dabei ist zu beachten, dass der EuGH in C-687/21 auch Grenzen gezogen hat. Wenn nachweislich ausgeschlossen werden kann, dass ein Dritter von den Daten Kenntnis genommen hat, reicht die bloße Sorge vor einem möglichen Missbrauch nicht aus, um einen Schadensersatzanspruch zu begründen.

Diese differenzierte Betrachtungsweise des EuGH stellt sicher, dass einerseits die Rechte der betroffenen Personen gewahrt werden. Andererseits sollen auch keine überzogenen Ansprüche entstehen. Sie erfordert von den nationalen Gerichten eine sorgfältige Abwägung im Einzelfall und trägt so zu einer ausgewogenen Anwendung des Art. 82 DSGVO bei. Weitere Details zu neuen Entwicklungen im Zusammenhang mit der DSGVO finden Sie auch in unserem Artikel Neuerungen im Datenschutzrecht: EuGH-Urteil senkt Hürden für DSGVO-Bußgelder.

Aktuelles Urteil des Landgerichts Freiburg

Passend zu den EuGH-Entscheidungen hat das Landgericht Freiburg ebenfalls ein wichtiges Urteil zum Thema Schadensersatz bei Datenschutzverstößen gefällt (LG Freiburg, Urteil vom 24.1.2024, Az. 27 O 92/23).

Das Landgericht Freiburg hat in diesem Urteil klargestellt, dass bei der Geltendmachung von Schadensersatzansprüchen nach Art. 82 DSGVO die Klagepartei die eigene Betroffenheit von einem Datenschutzvorfall mit dem Beweismaß des § 286 ZPO zur vollen Überzeugung des Gerichts nachweisen muss.

Insbesondere wurde entschieden:

1. Im Falle einer klageweisen Geltendmachung von Schadensersatzansprüchen nach Art. 82 DS-GVO obliegt es der Klagepartei, die eigene Betroffenheit von einem Datenschutzvorfall mit dem Beweismaß des § 286 ZPO zur vollen Überzeugung des Gerichts nachzuweisen. Diesem Erfordernis wird mit dem bloßen Hinweis auf die Ergebnismitteilung einer Anfrage bei der Internetseite https:///haveibeenpwned.com jedenfalls dann nicht genügt, wenn die Beklagte zuvor dezidiert darstellt, aufgrund welcher konkreten Umstände sie davon ausgehe, dass die Treffermitteilung der Webseite https://haveibeenpwned.com/ bezogen auf die Klagepartei des vorliegenden Verfahrens keine verlässliche Grundlage für die Annahme sei, dass diese tatsächlich vom API-Bug 2021 bei der Beklagten betroffen sei.

2. Behauptet eine Klagepartei, die Beklagtenpartei habe gegen sie schützende Vorschriften der DS-GVO verstoßen, ihr sei hierdurch ein (immaterieller) Teilschaden i.S.d. Art. 82 DS-GVO entstanden, ein weiterer sei aber möglich, dann ist diese Verfahrenskonstellation vergleichbar derjenigen, bei der es um die Verletzung eines absoluten Rechts geht, nicht derjenigen der alleinigen Geltendmachung von Vermögensschäden (a.A. LG Stuttgart, Urteil vom 24.1.2024 27 O 92/23, juris Rn. 33). Ein Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO ist deshalb bereits dann zu bejahen, wenn die spätere Verwirklichung eines weiteren Schadens in absehbarer Zeit nach der Art der Verletzung möglich erscheint, eine Wahrscheinlichkeit des Eintritts weiterer Schäden ist nicht erforderlich (entgegen LG Stuttgart, Urteil vom 24.1.2024 27 O 92/23, juris Rn. 33).

3. Ein nicht auf die konkrete Verletzungsform bezogener Unterlassungsantrag, der an den unbestimmten und auslegungsbedürftigen Begriff des Standes der Technik anknüpft, genügt nicht den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO und ist unzulässig. Eine auslegungsbedürftige Antragsformulierung ist nicht zur Gewährleistung effektiven Rechtsschutzes hinzunehmen, wenn die Klagepartei sich mit der Formulierung des Klageantrags an der konkreten Verletzungsform orientieren könnte, ohne dass für sie damit ein effektiver Rechtsschutz gefährdet wäre (Anschluss BGH, Urteil vom 6. Oktober 2011 – I ZR 54/10; BGH, Urteil vom 2. Juni 2022 – I ZR 140/15 und BGH, Urteil vom 9. September 2021 – I ZR 113/20).(Rn.71) (Rn.72) (Rn.73)

Dieses Urteil unterstreicht die Notwendigkeit eines präzisen Sachvortrags und konkret nachweisbarer Betroffenheit. Es ergänzt die EuGH-Vorgaben um wichtige prozessuale Anforderungen und zeigt, dass das Thema uns wohl noch eine Weile beschäftigen wird.

Gerade bei Fällen wie dem "Scraping" auf Social-Media-Plattformen sind die Nachweispflichten oft hoch, wie auch unser Artikel OLG lehnt DSGVO Ansprüche wegen Scraping bei Facebook ab näher beleuchtet.

Aktuelle OLG-Entscheidungen zum Thema Datenschutz

In den letzten Monaten haben sich auch mehrere Oberlandesgerichte (OLG) mit ähnlichen Fragen befasst. Hier ist eine Übersicht über aktuelle OLG-Entscheidungen zum Thema Datenschutz und der Angst um Daten, sortiert nach dem Datum der Entscheidung:

  1. OLG Celle, 04.04.2024, Az. 5 U 77/23: Zulässigkeit einer Berufung in einem Verfahren zum Schadensersatz wegen DSGVO-Verstoß. Quelle
  2. OLG Dresden, 23.04.2024, Az. 4 U 3/24: Schadensersatz bei unberechtigter Weitergabe von Gesundheitsdaten. Quelle
  3. OLG München, 24.04.2024, Az. 34 U 2306/23: Unterlassungsanspruch und Feststellungsinteresse bei Datenschutzverstößen. Quelle
  4. OLG Oldenburg, 19.04.2024, Az. 13 U 59/23, 13 U 79/23, 13 U 60/23: Kein Schadensersatz bei Scraping von Telefonnummern. Quelle
  5. OLG Köln, 07.12.2023, Az. 15 U 67/23: Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Quelle
  6. OLG Hamburg, 10.01.2024, Az. 13 U 70/23: 4.000 Euro immaterieller Schadensersatz wegen unberechtigter Datenweitergabe. Quelle
  7. OLG Dresden, 20.02.2024, Az. 4 U 1634/23: Schadensersatz bei unberechtigter Datenverarbeitung durch Arbeitgeber. Quelle
  8. OLG Dresden, 09.04.2024, Az. 4 U 213/24: Schadensersatz bei Veröffentlichung personenbezogener Daten im Internet. Quelle
  9. OLG Hamm, 20.01.2023, Az. 11 U 88/22: Kein Schadensersatz bei Datenleck ohne konkrete Beeinträchtigung. Quelle
  10. OLG Hamm, 15.08.2023, Az. 7 U 19/21: Darlegungs- und Beweislast bei Datenschutzverstößen. Quelle
  11. OLG Stuttgart, 03.04.2023, Az. 2 U 34/21: Schadensersatz bei nachgewiesener Beeinträchtigung des Wohlbefindens durch Datenschutzverletzung. Quelle
  12. OLG Düsseldorf, 15.05.2023, Az. I-20 U 40/21: Ersatzfähiger Schaden bei Verlust der Kontrolle über sensible Gesundheitsdaten. Quelle
  13. OLG Frankfurt, 22.06.2023, Az. 1 U 152/20: Kein Anspruch bei technischem Fehler ohne Nachweis eines konkreten Schadens. Quelle
  14. OLG München, 07.07.2023, Az. 18 U 2737/21: Kein Schadensersatz bei bloßer Befürchtung eines Datenmissbrauchs ohne konkrete Anhaltspunkte. Quelle
  15. OLG Hamburg, 14.09.2023, Az. 3 U 43/20: Geringfügiger immaterieller Schaden bei unberechtigter Weitergabe von E-Mail-Adressen. Quelle
  16. OLG Köln, 03.11.2023, Az. 6 U 58/23: Rechtswidrigkeit der Datenübermittlung an Google LLC in die USA. Quelle
  17. OLG Köln, 08.07.2022, Az. 20 U 75/21: Datenschutz beim Betrieblichen Eingliederungsmanagement. Quelle
  18. OLG Celle, 20.05.2022, Az. 13 U 406/21: Auslegung der Rechte auf Auskunft und Kopie nach Art. 15 DSGVO. Quelle
  19. OLG Frankfurt, 24.01.2022, Az. 1 U 369/19: Schadensersatz bei unrechtmäßiger Datenverarbeitung durch Auskunftei. Quelle
  20. OLG Düsseldorf, 16.12.2021, Az. I-16 U 264/20: Datenschutzrechtliche Anforderungen an Einwilligungserklärungen. Quelle

Fazit

Die aktuellen EuGH- und OLG-Entscheidungen zeigen, dass die Gerichte bei der Beurteilung von Schadensersatzansprüchen nach Art. 82 DSGVO eine differenzierte Betrachtung vornehmen. Sie legen großen Wert auf die Umstände des Einzelfalls und eine konkrete Darlegung des entstandenen Schadens. Für Unternehmen und Betroffene bleibt das Thema Schadensersatz bei Datenschutzverletzungen somit weiterhin komplex und rechtlich anspruchsvoll. Eine frühzeitige Auseinandersetzung mit dem Thema Datenschutz, beispielsweise durch präventive Maßnahmen wie in Anti-Cheat-Software vs. Datenschutz beschrieben, und eine umfassende Dokumentation sind unerlässlich, um Risiken zu minimieren und im Fall der Fälle Rechtssicherheit zu gewährleisten.

Häufig gestellte Fragen

Was ist der Unterschied zwischen einem DSGVO-Verstoß und einem Schaden?
Ein bloßer Verstoß gegen die DSGVO begründet nicht automatisch einen Schadensersatzanspruch. Es muss zusätzlich ein tatsächlicher Schaden für die betroffene Person eingetreten sein, um finanzielle Forderungen zu rechtfertigen.
Kann Kontrollverlust über Daten als immaterieller Schaden gelten?
Ja, der Kontrollverlust über personenbezogene Daten kann bereits für sich genommen einen immateriellen Schaden darstellen. Hierfür ist es nicht zwingend erforderlich, dass bereits ein konkreter Missbrauch der Daten stattgefunden hat; die begründete Befürchtung eines möglichen zukünftigen Missbrauchs kann ausreichen.
Welche Rolle spielen nationale Gerichte bei der Beurteilung von Schadensersatzansprüchen?
Nationale Gerichte müssen eine konkrete Bewertung vornehmen und untersuchen, ob die von der betroffenen Person vorgebrachten Befürchtungen angesichts der spezifischen Umstände des Einzelfalls als begründet angesehen werden können.
Gibt es Grenzen für Schadensersatzansprüche nach der DSGVO?
Ja, der EuGH hat Grenzen gezogen. Wenn nachweislich ausgeschlossen werden kann, dass ein Dritter von den Daten Kenntnis genommen hat, reicht die bloße Sorge vor einem möglichen Missbrauch nicht aus, um einen Schadensersatzanspruch zu begründen.
Was muss eine klagende Partei bei der Geltendmachung von Schadensersatzansprüchen nachweisen?
Die klagende Partei muss die eigene Betroffenheit von einem Datenschutzvorfall mit dem Beweismaß des § 286 ZPO zur vollen Überzeugung des Gerichts nachweisen. Ein bloßer Hinweis auf eine Treffermitteilung von haveibeenpwned.com genügt unter Umständen nicht.