Das Wichtigste auf einen Blick
- Wann es nach Verstößen im Datenschutz Schadensersatz gibt, lässt sich nicht immer eindeutig sagen.
- Gerichte, allen voran der EuGH, haben mit ihren Urteilen bereits Rahmenbedingungen geschaffen, insbesondere wenn es um immateriellen Schaden geht.
- Einzelfallentscheidungen sind meist notwendig, um festzulegen, ob und in welcher Höhe Schadensersatzansprüche nach einer Datenschutzverletzung bestehen.
Inhaltsverzeichnis
Sie sind Opfer einer Datenschutzverletzung?
Wir unterstützen Sie und informieren in einer kostenfreien Ersteinschätzung über Ihre Handlungsoptionen und die Kosten.
Jetzt Ihr Anliegen beschreiben
1. Wann bekomme ich nach einer Verletzung im Datenschutz Schadensersatz?
Schadensersatz und Strafe bei Datenschutzverletzung: Die Unterschiede
Schadensersatz und Strafzahlungen bzw. Bußgelder sind bei einer Datenschutzverletzung nicht das gleiche. Im schlimmsten Fall kann ein Unternehmen von beidem getroffen werden.
- Bußgeld = Bußgeldverfahren werden von Datenschutzbehörden durchgeführt, wenn ein Datenschutzverstoß bekannt wird. Diese Zahlungen gehen nicht an die Opfer. Vergleichbar ist das also mit einem Strafzettel.
- Schadensersatz = Ausgleich für betroffene Personen, wenn die Verantwortlichen gegen die DS-GVO verstoßen und personenbezogene Daten nicht ordentlich schützen. Um eine Schadensersatzzahlung zu erhalten, müssen die betroffenen Personen diese einklagen.
Wann liegt eine Datenschutzverletzung vor?
Die Definition, wann genau eine Datenschutzverletzung vorliegt, kann formaler oder praktischer Natur sein. Auf jeden Fall geht es darum, wenn durch die Nichteinhaltung der DS-GVO bzw. nationalen Datenschutzbestimmungen oder durch kriminelle Aktivitäten die personenbezogenen Daten Dritten zugänglich gemacht wurden.
Beispiel dafür sind
- Formale Verstöße: kein Datenschutzbeauftragte oder fehlerhafte, mangelnde bzw. keine Datenschutzerklärung
- Fehler bei Datenverarbeitung: Speicherung oder Weitergabe ohne Einverständnis, Verlust von Daten, mangelnde Sicherung, Auskunftsansprüche nicht erfüllt, Rechte der Betroffenen nicht erfüllt, Informationspflichten nicht nachgekommen
Art. 82 DS-GVO
Art.82 der Datenschutzgrundverordnung regelt Haftung und Recht auf Schadensersatz.
Darin werden festgelegt wem, wann im Datenschutz Schadensersatz zusteht und wer bei Datenschutzverstößen haften muss.
- Jede Person, der wegen eines Verstoßes gegen die DS-GVO materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen die Verantwortlichen oder den Auftragsverarbeiter.
- Die Beteiligten an der Verarbeitung haften für den Schaden, der durch nicht verordnungskonforme Verarbeitung entstanden ist.
- Dies geschieht aber nur dann, wenn die Beteiligten ihren Pflichten nicht nachgekommen sind oder gegen Anweisungen des Verantwortlichen verstoßen haben.
- Kann die verantwortliche Person nachweisen, dass in keinster Weise gegen die DS-GVO verstoßen wurde, dann ist man von der Haftung befreit.
Voraussetzungen für Schadensersatz
Um Schadensersatzansprüche geltend zu machen, müssen folgende Bedingungen gegeben sein (laut Art.82 DSGVO):
- Ein Verstoß gegen die DS-GVO oder nationale Datenschutzregelungen (in Deutschland: das Bundesdatenschutzgesetz) muss passiert sein
- Ein materieller oder immaterieller Schaden muss vorliegen
- Es muss eine Kausalität zwischen dem entstandenen Schaden und dem Datenschutzverstoß geben
Empfehlung für Verantwortliche
Damit Verantwortliche sich vor Klagen schützen können, sollten sie alle möglichen Maßnahmen ergreifen, um Datenlecks oder Hackerangriffe zu vermeiden und zudem dafür Sorge tragen, dass die Datenverarbeitung der personenbezogenen Daten verordnungskonform verläuft.
Außerdem sollten die Verantwortlichen genau darauf achten, dass sie ihre Pflichten erfüllen und die Rechte der Betroffenen wahren, um so Datenschutz-Verstöße zu vermeiden.
Datenlecks, bekannte Beispiele
Datenlecks kommen immer wieder vor. Die dabei erbeuteten Daten werden oft für Phishing, Betrug und Identitätsdiebstahl missbraucht.
Insbesondere bei großen Tech Unternehmen:
- Facebook Datenleck: Im August 2019 wurden von Kriminellen mehr als 530 Millionen Daten von Facebook-Nutzer:innen geklaut. Dies beinhaltete unter anderem persönliche Daten wie Vor- und Zuname, E- Mail Adresse, Geburtsdatum, Telefonnummer und der Beziehungsstatus
- Deezer Datenleck: Dieses Datenleck passierte schon 2019, fiel aber erst 3 Jahre später – 2022 – auf. Umfangreiche Kundendaten von 230 Millionen Nutzer:innen wurden gestohlen, darunter Mailadresse, Telefonnummer, Vor- und Nachname oder Geschlecht der Kund:innen. Das Besondere an diesem Datenleck war, dass nicht nur Deezer Nutzer:innen betroffen waren. Auch Vodafone Kund:innen verloren ihre Daten, da diese automatisch bei Vertragserstellung ein Deezer-Konto erhielten.
- LinkedIn: Im Juni 2021 wurden im Darknet Daten von rund 700 Millionen Nutzer:innen gefunden, u.a. Mailadressen oder Telefonnummern.
2. Materieller und Immaterieller Schaden und Schadensersatz bei Datenschutzverletzung: Die Unterschiede einfach erklärt
Artikel 82 DS-GVO regelt den Schadensersatz und unterscheidet dabei zwischen materiellem und immateriellem Schaden.
Materieller Schaden erscheint relativ selbsterklärend. Dabei geht es um konkrete Wertverluste, die im Zuge der Datenschutzverletzung entstanden sind
Immaterieller Schaden ist im Gegensatz dazu schwerer zu begreifen und oft auch schwieriger greifbar zu machen. Hierbei geht es um Schaden beispielsweise im Ansehen oder der eigenen mentalen Gesundheit.
Beispiel immaterieller Schaden
Immaterieller Schaden ist schwer zu greifen, weil dieser, wie der Name sagt, nicht sichtbar bzw. greif- und messbar ist. Auch für immateriellen Schaden gibt es keine Bagatellgrenze, sofern der Schaden glaubhaft dargelegt werden kann.
Immaterielle Schäden können z.B. sein
- Stress & Angst nachdem bekannt wurde, dass die Daten geleakt wurden
- Stress & negative Emotionen nachdem mit den gestohlenen Daten Betrugsversuche durchgeführt wurden
- Verlust im sozialen Ansehen, nachdem zum Beispiel hohe Schulden bekannt wurden
- Informationen, die geleakt wurden, führen zu einem Shitstorm und Ansehensverlust
- Informationen, die geleakt wurden, führen zu Betrugsversuchen, wie z.B. Phishing-Nachrichten oder Ping-Anrufen
Beispiele materieller Schaden
Ein materieller Schaden ist einfacher nachzuweisen und auch festzusetzen als der immaterielle Schaden. Ein Beispiel dafür kann sein:
- Nach einem Datenschutzverstoß wurde die Identität des Opfers gestohlen und im Rahmen von Betrügereien Verträge in hohen Geldsummen abgeschlossen, das Opfer steht nun vor immens hohen Rechnungen.
- Absagen in der Jobsuche, weil private Informationen veröffentlicht wurden. Dadurch kam es zu Einnahmeverlusten.
- Über die unfreiwillig bekannt gemachten Daten wird das Opfer von Phishing Mails erreicht. Dadurch gelangen Täter an Bankdaten und können Geld von Konten des Opfers abzweigen. Das Opfer verliert Geld.
3. Wichtige Entscheidungen und Urteile: Gibt es im Datenschutz Schadensersatz?
Die Urteile, ob es im Datenschutz Schadensersatz gibt, wirken auf den ersten Blick widersprüchlich, aber bei genauer Betrachtung findet man einen gewissen Tenor. Dennoch lässt sich nicht immer eindeutig festlegen, ob und in welcher Summe ein Schadensersatzanspruch besteht.
Da es sehr viele Urteile in Datenschutzverfahren gibt, ist ein exakter Überblick fast unmöglich. Die wichtigsten und aktuellen Urteile und Vorlagen an den EuGH haben wir hier gelistet (wird fortlaufend aktualisiert).
19.04.2024 OLG Oldenburg – Az.3 U 59/23, 13 U 79/23 und 13 U 60/23
Sachverhalt:
In verschiedenen Prozessen forderten Betroffene des Facebook-Datenlecks Schadensersatz. Als Begründung gaben die Kläger:innen an, vermehrt Phishing Anrufe und SMS zu erhalten. Dies führten Sie auf das Datenleck zurück.
Entscheidung:
Das Gericht wies die Klagen zurück. Die Kläger:innen konnten das Gericht weder vom Schaden überzeugen noch den Kausalzusammenhang zwischen Verstoß und Schaden nachvollziehbar darlegen. So könnten die Daten, die für die Phishing Versuche genutzt wurden, auch durch andere Datenlecks oder die Unachtsame Bekanntgabe von Daten abgegriffen worden sein.
15.01.2024 EuGH – Az. C-687/21
Sachverhalt:
Der Kläger kaufte bei Elektronikfachmarkt Saturn ein Elektrogerät zur Abholung. Die Ware wurde versehentlich an einen anderen Kunden gegeben, inkl. Kauf- und Kreditvertragsunterlagen, die u.a. Anschrift, Name, Arbeitgeber und Einkünfte des ersten Kunden beinhalteten. Der Mitarbeiter bemerkte seinen Fehler schnell und circa 30 Minuten später war alles wieder zurück und beim richtigen Kunden. Auch wenn die dritte Person die Daten nicht wahrgenommen habe, ging der Kläger von einer Gefahr der Vervielfältigung des Vertrags aus, klagte und forderte Schadensersatz von Saturn. Durch den Fehler des Angestellten bestünde das Risiko, dass der Kläger die Kontrolle über die eigenen Daten verlieren könne. Mit Fragen wandte sich das Amtsgericht Hagen an den EuGH.
Entscheidung:
Prinzipiell könne ein schlechtes Gefühl oder die Befürchtung eines Datenmissbrauchs immateriellen Schadensersatz begründen, ABER es gibt Einschränkungen: Ein rein hypothetisches Risiko begründet keinen Schadensersatz. Solch ein rein hypothetisches Risiko besteht dann, wenn die fraglichen Daten von der dritten Person nicht zur Kenntnis genommen wurden, was in diesem Fall belegbar nachgewiesen werden konnte.
Folglich begründet ein schlechtes Gefühl dann keinen Schaden, wenn der Datenmissbrauch nachweislich ausgeschlossen werden kann.
20.12.2023 ArbG Suhl – Az. 6 Ca 704/23
Sachverhalt:
Kläger verlangte von seinem ehemaligen Arbeitgeber eine Auskunft über aller über ihn gespeicherten Daten. Diese wurde ihm in einer unverschlüsselten Antwortmail versandt sowie ohne Zustimmung des Klägers auch an den Betriebsrat weitergeleitet. Zudem erhielt der Kläger eine weitere Auskunft per Post. Der Kläger erhob Beschwerde bei der zuständigen Aufsichtsbehörde. Die Zusendung in unverschlüsselter Form verstoße gegen die DS-GVO, ebenso forderte der Kläger eine weitere Prüfung aufgrund der Weitergabe an den Betriebsrat. Auch die postalische zugesandte Auskunft sei unvollständig. Der Kläger forderte 10.000 Euro Schadensersatz, den er mit Kontrollverlust über seine Daten begründete
Entscheidung:
Das Gerich sah die Klage als unbegründet an. Es liege zwar ein Verstoß gegen die DS-GVO vor, allerdings konnte der Kläger den Schaden nicht nachvollziehbar begründen.
14.12.2023: EuGH – Rs. C-340/21
Sachverhalt:
Eine bulgarische Behörde war 2019 Opfer eines Hackerangriffs, in dessen Folge personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht wurden. Viele der Opfer klagten auf immateriellen Schadensersatz, der aus Befürchtung des Datenmissbrauchs entstanden sei. Ein bulgarisches Gericht legte dem EuGH Fragen vor, ab wann eine Person, deren Daten nach einem Angriff durch Cyberkriminelle im Internet veröffentlicht wurde, Schadensersatz verlangen kann.
Entscheidung
Der EuGH entschied auf ganzer Linie für die Verbraucher. Es kann bereits immateriellen Schaden begründen, wenn eine Person nach einem Hackerangriff einen Missbrauch der eigenen Daten durch Dritte befürchtet.
Im Falle eines Hackerangriffs tragen Behörden bzw. Unternehmen die Beweislast, dass ihre Schutzmaßnahmen geeignet waren, und müssen nachweisen, dass Sie „in keinerlei Hinsicht für den Schaden verantwortlich“ sind.
28.11.2023: LAG Düsseldorf – Az. 3 Sa 285/23
Sachverhalt:
Ein ehemaliger Arbeitnehmer verklagte seinen ehemaligen Arbeitgeber auf Schadensersatz, weil dieser verspätet und unvollständig die Auskunftsanfrage nach Art. 15 DS-GVO erfüllte.
Entscheidung:
Die Kammer des LAG entschied, dass das Unternehmen zwar gegen DS-GVO verletzt habe, diese Verletzung aber keinen Schadensersatz begründe. Damit Art. 82 DS-GVO greife, müsse die Datenverarbeitung gegen die DS-GVO verstoßen. Zudem stelle der Kontrollverlust über Daten keinen immateriellen Schaden dar bzw. ließ sich dieser aus dem Vortrag des Klägers nicht ableiten.
22.11.2023: OLG Stuttgart – Az. 4 U 17/23 und 4 U 20/23
Sachverhalt:
Nach dem Facebook-Datenleck klagten Nutzer:innen auf Schadensersatz wegen immateriellen Schadens. Der Grund für die Klage: Kontrollverlust über die eigenen personenbezogenen Daten. Damit verbunden waren Gefühle der Hilflosigkeit sowie des Beobachtetwerdens.
Entscheidung:
Das OLG Stuttgart entschied gegen die Nutzer:innen: Sie konnten ihren Schaden weder konkretisieren noch nachweisen. Denn Kläger müssen in dem Fall konkreten immateriellen Schaden darlegen.
15.08.2023: OLG Hamm – Az. 7 U 19/23
Sachverhalt:
Auch hier geht es wieder um das Facebook Datenleck: Eine Nutzerin klagte gegen Meta wegen immateriellen Schadens und forderte Schadensersatz nach dem Datenleck.
Entscheidung:
Das OLG Hamm entschied, dass Meta für den Datenschutzverstoß verantwortlich und somit haftbar sei. Dennoch wurde der Nutzerin keine Entschädigung zugesprochen, da sie den Schaden nicht konkretisierbar nachweisen konnte. Das OLG berief sich dabei auf die Rechtsprechung des EuGH vom 04.05.2023, die besagt, dass nicht jeder Verstoß gegen die DSGVO Schadensersatz auslöst.
04.05.2023: EuGH – C-300/21
Sachverhalt:
Der Kläger machte immateriellen Schadensersatz in Höhe von 1.000 € gegen die österreichische PostAG geltend. Diese hatte Informationen zu Parteipräferenzen mit Hilfe eines Algorithmus entwickelt. Dem Algorithmus lagen soziodemografische Merkmale basierend auf der Anschrift zugrunde. Die erhobenen Daten waren für Wahlwerbezwecke gedacht.
Der Kläger habe dieser Verarbeitung der Daten nicht zugestimmt. Der Oberste Gerichtshof legte dem EuGH Fragen zur Klärung vor.
Entscheidung:
Der EuGH urteilte, dass der bloße Verstoß gegen den Datenschutz keinen Schadensersatz begründe und stellte drei Voraussetzungen für einen Schadensersatzanspruch fest:
- Es muss ein Verstoß gegen die DS-GVO vorliegen.
- Ein materieller und immaterieller Schaden muss vorliegen.
- Es muss ein ursächlicher Zusammenhang zwischen Verstoß und Schaden zu erkennen
Gleichzeitig legte der EuGH fest, dass es keine Erheblichkeitsgrenze des Schadens gibt. Eine Mindesthöhe des Schadens muss es also nicht geben, um einen Anspruch auf Schadensersatz zu haben.
4. Fazit
Wie man aus den obenstehenden Urteilen herauslesen kann, ist es nicht immer ganz eindeutig, ob sich aus Gründen des Datenschutz Schadensersatz begründen lässt.
Während an bestimmten Punkten Hürden aus dem Weg geschaffen wurden, beispielsweise die Feststellung, dass es keine Bagatellgrenze gibt, so werden an anderen Stellen natürlich Hürden geschaffen, um Rechtsmissbrauch zu vermeiden. Zu diesen Hürden zählen, dass das Risiko, dass Dritte die Daten gesehen haben, keinen Schadensersatz begründet, insofern, dass belegt werden kann, dass Dritte die Daten nicht wahrgenommen haben. Auch muss der Schaden von den Klagenden belegt werden.
Ist man also von einer Datenschutzverletzung betroffen, ist eine Einzelfallentscheidung zum Schadensersatz notwendig – sich von einem Anwalt beraten zu lassen, ist daher immer empfehlenswert.
5. Datenschutzverletzung vermeiden
Um sich als Unternehmer vor Schadensersatzklagen abzusichern, sollten alle Maßnahmen ergriffen werden, um die erhobenen personenbezogenen Daten vor Übergriffen zu schützen und so einen DS-GVO-Verstoß zu vermeiden.
Hilfe vom Anwalt/Datenschutzbeauftragten
Aufgrund der Komplexität der Aufgaben, die im Datenschutz gefordert sind, empfiehlt es sich häufig, externe Unterstützung hinzuzuziehen.
Nehmen Sie sich einen spezialisierten Anwalt zur Seite oder einen geprüften Datenschutzbeauftragten, der Sie bei der Vielzahl von Pflichten unterstützen kann und genau darauf achtet, dass die Datenverarbeitung DS-GVO konform abläuft.
6. Wie kann advomare mir helfen?
Egal ob betroffene oder verantwortliche Person. Wir haben bereits eine Vielzahl an Datenschutzverfahren begleitet.
Unternehmen unterstützen wir mit unserer Erfahrung bei der Erstellung eines detaillierten Datenschutzkonzeptes und der Umsetzung aller datenschutzrechtlichen Vorgaben. Wir helfen Ihnen auch angemessen auf einen Datenschutzverstoß zu reagieren und vertreten Sie natürlich auch bei einer Beschwerde.
Doch auch Betroffene einer Datenschutzverletzung unterstützen wir. Wir beraten Sie ausführlich zu den möglichen Schritten und den Erfolgsaussichten. Wir begleiten Sie ggf. durch den Prozess und versuchen, das bestmögliche Ergebnis für Sie zu erzielen.
Sie sind Opfer einer Datenschutzverletzung?
Wir unterstützen Sie und informieren in einer kostenfreien Ersteinschätzung über Ihre Handlungsoptionen und die Kosten.
Jetzt Ihr Anliegen beschreiben
7. Die häufigsten Fragen zum Thema „Datenschutz Schadensersatz“
Wann Schadensersatz bei Datenleck?
Schadensersatz nach einem Datenleck kann man erhalten, wenn die Voraussetzungen, die in Art. 82 DS-GVO gegeben sind, erfüllt sind:
Verstoß gegen DS-GVO oder nationale Datenschutzregelungen (in Deutschland: Bundesdatenschutzgesetz)
– Materieller oder immaterieller Schaden muss vorliegen
– Kausalität: Schaden entstand durch den Datenschutzverstoß
– Beweislast, Verschulden und Haftungsbefreiung
Wer hat laut DS-GVO Anspruch auf Schadensersatz?
Jede Person, die von einem Verstoß gegen die DS-GVO betroffen ist und Schaden – sei er materiell oder immateriell – erlitten hat, kann Schadensersatzansprüche geltend machen. Ob einem diese auch zugesprochen werden, ist nicht immer eindeutig.
Wie viel Geld bei Datenschutzverletzung?
Der genaue Betrag, wie hoch im Datenschutz Schadensersatz festgesetzt wird, hängt von der Art und der Höhe des Schadens ab. Ein Anwalt kann dahingehend detailliert beraten.
Welche Strafe bei Datenschutzverletzung?
Die Strafen bzw. Bußgelder variieren je nach Ausmaß und Art des Verstoßes. Insgesamt sind die Strafen für Datenschutzverstöße sehr empfindlich. Großen Unternehmen wie bspw. Meta wurden schon Bußgelder in Millionenhöhe auferlegt.