Praxistipp: Umgang mit überhöhten DSGVO-Schadenersatzforderungen
Situationen, in denen Sie sich als Unternehmen mit Schadenersatzforderungen nach Art. 82 DSGVO konfrontiert sehen, gibt es einige. An dem einen Ende befinden sich Forderungen, wenn tatsächlich einmal etwas schiefgegangen ist, bspw. einer Datenpanne, nachdem versehentlich Kundendaten offengelegt wurden – der Dauerbrenner hier ist der berüchtigte E-Mail-Fehlversand. Am anderen Ende werden datenschutzrechtliche Schadenersatzansprüche als Druckmittel (z.B. bei Beendigung eines Arbeitsverhältnisses) oder rein aus Profitinteressen (z.B. bei der Abmahnwelle wegen des Einsatzes von Google-Fonts) eingesetzt. Der geltend gemachte Schadenersatzanspruch ist dabei nicht selten mehrere Tausend Euro hoch.
Dieser Beitrag will einige Möglichkeiten aufzeigen, mit derart überhöhten Schadenersatzforderungen umzugehen und Ihnen Argumente an die Hand geben, um solche Ansprüche bereits im Gespräch mit dem Betroffenen abzuwehren – bevor auf beiden Seiten Anwälte mit entsprechend hohen Vergütungsrechnungen beteiligt sind.
Kein Schadenersatz bei Verletzung von Betroffenenrechten?
Möglicherweise macht ein Betroffener gegen Sie Schadenersatzforderungen geltend, weil Sie angeblich seine Betroffenenrechte verletzt haben. Beispielhaft zu nennen wäre hier, wenn Sie eine Auskunft über die durch Sie verarbeiteten Daten des Betroffenen nach Art. 15 DSGVO nicht innerhalb eines Monats nach Antragsstellung (Art. 12 Abs. 3 S. 1 DSGVO) erteilen.
Hier können Sie argumentieren, Art. 82 Abs. 1 DSGVO sehe einen Schadenersatzanspruch nur bei einem Schaden durch eine Verarbeitung personenbezogener Daten vor und Betroffenenrechte seien keine Verarbeitung. Hier ist jedoch etwas Vorsicht geboten: Nicht alle Gerichte teilen diese Rechtsauffassung, Sie sollten also vorher prüfen, welche Auffassung an den für Sie zuständigen Gerichten gilt. Bei dieser Ansicht auf Ihrer Seite dürften das OLG Hamm, Dresden und die Landgerichte in Münster, Lübeck und Trier sein.
(OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn. 91; OLG Dresden, Urteil vom 5.12.2023 - 4 U 709/23, S. 14; LG Lübeck, Urt. vom 25.05.2023 - 15 O 74/22, Rn. 98; LG Trier, Urteil vom 17.03.2023 – 2 O 99/22, Rn. 46; LG Münster, Urteil vom 07.03.2023 - 2 O 54/22, Rn. 68).
Datenpanne nicht zwangsläufig DSGVO-Verstoß
Ferner kann es Fälle geben, in denen Sie alles richtig gemacht haben und trotzdem personenbezogene Daten offengelegt wurden. Beispielhaft genannt sei hier nur ein sogenannter Zero-Day-Exploit - also eine Software-Sicherheitslücke, für die noch kein Sicherheitspatch existiert und die Sie also gar nicht beheben können. Hierdurch können Kriminelle Zugriff auf Ihre IT-Infrastruktur und die darin gespeicherten Daten erhalten. Haben Sie Ihre IT-Systeme dabei jedoch ausreichend abgesichert, dann kann zwar beim Betroffenen ein Schaden bestehen, Sie müssen jedoch für diesen nicht haften (EuGH, C-340/21, ECLI:EU:C:2023:986, Rn. 103).
Darüber, wie Sie ansonsten mit Datenpannen umgehen sollten, berichteten wir bereits in unserem Beitrag Der richtige Umgang mit Datenpannen.
Die Beweislastverteilung: Rechenschaftspflicht als Verantwortlicher, Schadensbeweis als Betroffener
Kommt es schließlich zum Schwur, stellt sich die Frage, wer was beweisen muss. Die schlechte Nachricht zuerst: Nach Art. 5 Abs. 2 DSGVO haben Sie als Verantwortlicher eine allgemeine Rechenschaftspflicht. Das bedeutet, dass Sie beweisen müssen, dass Ihre Datenverarbeitung im Einklang mit der DSGVO erfolgt ist (EuGH, C-340/21, ECLI:EU:C:2023:986, Rn. 132).
Demgegenüber muss der Betroffene jedoch beweisen, dass ihm durch einen Datenschutzverstoß auch ein Schaden entstanden ist (EuGH, C-687/21, ECLI:EU:C:2024:72, Rn. 60). Dieser Schaden braucht allerdings keine besondere Schwere zu haben (EuGH, C-300/21, ECLI:EU:C:2023:370, Rn. 51). Das heißt, der Betroffene hat in der Regel darzulegen, wie der Verstoß gegen die DSGVO bei ihm zu einem Schaden geführt hat. Ein solcher Schaden kann bspw. im bloßen Kontrollverlust über seine Daten liegen, aber auch im konkreten Missbrauch (bspw. Identitätsdiebstal, Phishing-SMS). Da es sich um immateriellen Schaden handelt, ist dabei stets die Wirkung auf den Betroffenen entscheidend. Er wird vor Gericht also stets zu schildern haben, wie ihn der Verstoß gegen die DSGVO beeinträchtigt hat.
Die Höhe des Schadensersatzes
Bis zuletzt war in Anwaltsschreiben und Gerichtsurteilen zu lesen, dass der Schadenersatz nach Art. 82 DSGVO eine abschreckende Wirkung haben solle und deswegen hohe Schadenersatzsummen gerechtfertigt seien. (Bspw. OLG Naumburg, Urteil vom 02.03.2023 - 4 U 81/22, Rn. 24; LG Köln, Urteil vom 28.09.2022 - 28 O 21/22, Rn. 48; LG München I, Endurteil vom 09.12.2021 - 31 O 16606/20, Rn. 46)
Mit dieser Praxis hat der Europäische Gerichtshof jedoch zu Beginn dieses Jahres Schluss gemacht: Der Schadenersatz nach Art. 82 DSGVO hat allein Ausgleichsfunktion, er soll nicht abschreckend wirken oder gar Strafcharakter haben (EuGH, C-687/21, ECLI:EU:C:2024:72, Rn. 47 ff.). Diese Rechtsprechung hat das Potenzial, die Höhe des künftig zugesprochenen Schadenersatzes zu dämpfen.
Erreicht Sie im Einzelfall eine Schadenersatzforderung, dann lohnt es sich, für Sie zunächst einmal selbst zu prüfen, ob diese nicht überhöht ist. Immer häufiger werden überhöhte Ansprüche geltend gemacht, damit für die Entscheidung das Landgericht zuständig wäre – dort müssten sie sich zwingend durch einen Rechtsanwalt vertreten lassen, entsprechende Gerichts- und Anwaltskosten inklusive. Mit dieser Taktik soll erreicht werden, dass sie aus Sorge vor den Prozesskosten die geltend gemachten Schadenersatzansprüche erfüllen.
Im Internet finden Sie auf den Seiten einiger Großkanzleien Tabellen mit Schadenersatz, der nach der DSGVO zugesprochen wurde. Diese bieten eine gute Orientierung.
Wie es weitergeht: Bußgeld durch die Aufsichtsbehörde?
In vielen Fällen können sie mit einer qualifizierten Erwiderung auf überhöhte Schadenersatzforderungen diese bereits aus der Welt schaffen. Gerade wenn Sie Ziel einer Massenabmahnung werden, ist es wahrscheinlich, dass Sie nichts mehr von der Gegenseite hören.
Liegen Sie jedoch mit der Gegenseite tatsächlich über Kreuz, so wird diese vermutlich zusätzlich zu den gegen Sie geltend gemachten Schadenersatzansprüchen bei der Aufsichtsbehörde Beschwerde einlegen. Diese kann dann nach Art. 83 DSGVO gegen Sie empfindliche Geldbußen verhängen. Vor der Verhängung einer Geldbuße wird die Datenschutzbehörde Sie jedoch anhören – wegen der möglicherweise großen Höhe der Geldbuße empfiehlt sich hier häufig eine anwaltliche Begleitung.