Wann gibt es Schadensersatz nach der DSGVO?

Das Landgericht Frankfurt am Main (LG Frankfurt am Main, Urteil vom 18.09.2020, Az. 2-27 O 100/20) und das Oberlandesgericht Dresden (OLG Dresden, Urteil vom 20.08.2020, Az. 4 U 784/20) haben sich jeweils unter anderem mit der Frage beschäftigt, unter welchen Umständen Schadensersatz nach Art. 82 DSGVO verlangt werden kann. Um es zusammenzufassen: Ein Verstoß gegen die DSGVO löst allein keinen Schadensersatzanspruch nach Art. 82 DSGVO aus.

Worum ging es im Verfahren?

Beide Verfahren lagen völlig unterschiedliche Sachverhalte zu Grunde.

1.      Im Verfahren vor dem Landgericht Frankfurt am Main ging es um ein „Datenleck“ bei einem Unterauftragnehmer eines europaweit tätigen Kreditkartenunternehmens. Bei diesem „Datenleck“ wurden jedenfalls in einem Fall personenbezogene Daten des Klägers veröffentlicht. Ob und inwieweit in der Folge des „Datenlecks“ personenbezogene Daten des Klägers erneut veröffentlicht wurden, konnte nicht geklärt werden. Der Kläger trug hierzu diverse Verstöße gegen die DSGVO vor.

2.      Im Verfahren vor dem Oberlandesgericht Dresden ging es unter anderem um die Frage, ob die Beklagte, eine Betreiberin eines sozialen Netzwerks, Beiträge des Klägers gelöscht und damit einen DSGVO-Verstoß begangen hat.

Wann gibt es Schadensersatz nach der DSGVO?

Das Landgericht Frankfurt am Main musste sich mit einem Bündel an geltend gemachten Verstößen beschäftigen, für die der Kläger jeweils einen Geldbetrag verlangte. Das Landgericht Frankfurt am Main lehnte die Ansprüche jeweils wie folgt ab:

Kein Verstoß gegen die DSGVO

Es konnte nicht festgestellt werden, dass ein Verhalten der Beklagten für das „Datenleck“ überhaupt ursächlich war. Damit fehlt es aber an einem Verstoß gegen die DSGVO.

Die vom Kläger behaupteten Mängel des Auftragsverarbeitungsvertrages der Beklagten mit ihrem Dienstleister und damit ein Verstoß gegen Art. 28 DSGVO lagen nicht vor. Damit fehlt es an einem Verstoß gegen die DSGVO.

Der Auftragsverarbeiter hatte die erhaltenen personenbezogene Daten des Klägers zwar nicht „verhasht“. Art. 32 Abs. 1 lit. a) DSGVO setzt den Einsatz einer solchen Technik jedoch nicht voraus. Damit fehlt es an einem Verstoß gegen die DSGVO.

Keine Beeinträchtigung des Persönlichkeitsrechts

Es konnte nicht festgestellt werden, ob und inwieweit in der Folge des „Datenlecks“ personenbezogene Daten des Klägers erneut veröffentlicht wurden. Dann fehle es nach Auffassung des Landgerichts Frankfurt am Main an einem Schaden im Sinne des DSGVO. Vielmehr hätte die Verletzungshandlung auch zu einer konkreten Persönlichkeitsrechtsverletzung des Klägers geführt haben.

Der Kläger hat nicht substantiiert vorgetragen, dass seine personenbezogene Daten an das beherrschende Unternehmen der Beklagten übermittelt wurden. Damit fehlt es an einer konkreten Persönlichkeitsrechtsverletzung des Klägers. In diesem Zusammenhang war es zudem unerheblich, ob zwischen dem beherrschenden Unternehmen der Beklagten und der Beklagten eine Vereinbarung zur gemeinsamen Verantwortlichkeit und Binding Corporate Rules fehlten.

Begründet das Löschen von Daten allein eine Schadensersatzpflicht?

Nach Auffassung des Oberlandesgerichts Dresden lag jedenfalls ein Schaden im Sinne von Art. 82 DSGVO nicht vor. Es war bereits fraglich, ob die Beklagte den Beitrag des Klägers unberechtigt gelöscht hat.

Unter Berufung auf einen Literaturansicht führte das Oberlandesgericht Dresden aus, dass ein Datenverlust allein noch keinen Schaden im Sinne der DSGVO darstellt. Einen materiellen Schaden hatte der Kläger bereits nicht behauptet.

Als Nichtvermögensschäden kämen die öffentliche Bloßstellung durch Zugänglichmachen personenbezogener Daten für Dritte, soziale Diskriminierung, Hemmung in der freien Persönlichkeitsentfaltung, Reduzierung des Menschen auf ein Datenverarbeitungsobjekt, Psychische Auswirkungen bei der betroffenen Person infolge des Datenschutzverstoßes oder Identitätsdiebstahl bzw. -betrug in Betracht. Auch hierzu hatte der Kläger nichts vorgetragen

Welche Konsequenzen haben die beiden Entscheidungen?

Die beiden Entscheidungen haben jedenfalls den Vorteil, dass sie das anspruchsvolle Thema Schadensersatzansprüche nach Art. 82 DSGVO konturieren. Bislang existieren nur wenige Gerichtsentscheidungen zu diesem Thema. Es fällt auf, dass sich sowohl das Landgericht Frankfurt am Main als auch das Oberlandesgericht Dresden an den entscheidenden Stellen auf Literaturansichten stützen. Höchstrichterliche Rechtsprechung zum Thema Schadensersatzansprüche nach Art. 82 DSGVO liegt noch nicht vor.

Was müssen Sie als Betroffener tun?

Bis auf Weiteres müssten Sie als Betroffener im Prozess Folgendes darlegen und beweisen:

–        Ein Verstoß gegen Vorschriften der DSGVO liegt vor.

–        Es ist zu einer konkreten Persönlichkeitsrechtsverletzung gekommen.

–        Der Verstoß gegen Vorschriften der DSGVO hat ursächlich zu der konkreten Persönlichkeitsrechtsverletzung geführt.

Wie beweise ich einen Verstoß gegen die DSGVO?

Ob ein Verstoß gegen Vorschriften der DSGVO vorliegt, ist eine Rechtsfrage. Sie als Betroffener müssten jedenfalls so schnell wie möglich und so viel wie möglich Informationen sammeln und Ihrem Rechtsberater oder Ihrer Rechtsberaterin zuleiten. Erst dann kann geprüft werden, ob überhaupt ein Verstoß gegen die DSGVO vorliegt. Unter Umständen muss zuvor ein Ermittlungsverfahren über die Aufsichtsbehörde und/oder die Staatsanwaltschaft angestrengt werden, weil Sie ansonsten nicht über die notwendigen Informationen verfügen. Auch dann kann es sein, dass sich ein DSGVO Verstoß nicht hinreichend sicher feststellen lässt.

Wie beweise ich eine Persönlichkeitsrechtsverletzung?

Der „Knackpunkt“ ist die konkrete Persönlichkeitsverletzung. Es reicht nicht aus, dass Ihre personenbezogenen Daten Dritten möglicherweise offengelegt wurden. Sie müssen nachweisen, dass dies auch der Fall war. Bei großen Datenlecks gelangen personenbezogene Daten häufig an Nachrichtenmagazine oder entsprechende Onlinedienste. Bei diesen könnten Sie Fragen, ob Ihre personenbezogenen Daten dabei waren.

Jedenfalls gilt auch hier: So viele Beweise wie möglich, so schnell wie möglich sammeln.

Wie beweise ich den Zusammenhang zwischen Datenschutzverstoß und Persönlichkeitsverletzung?

Schließlich müssen Sie den Ursachenzusammenhang zwischen DSGVO-Verstoß und konkreter Persönlichkeitsverletzung beweisen. Es sind Konstellationen denkbar, in denen sowohl ein DSGVO-Verstoß als auch eine konkrete Persönlichkeitsverletzung vorliegen, eine ursächliche Verbindung zwischen beiden jedoch fehlt. Ein Beispiel dafür wären Mängel im Auftragsverarbeitungsvertrag. Mängel im Auftragsverarbeitungsvertrag können Verstöße gegen Art. 28 DSGVO begründen. Wenn es beim Auftragsverarbeiter zu einem Datenleck und damit zu einer konkreten Persönlichkeitsverletzung kommt, müssen Sie beweisen, dass gerade der Mangel des Auftragsverarbeitungsvertrages zu der konkreten Persönlichkeitsverletzung geführt hat.

Wie hoch ist der Schadensersatzanspruch bei Datenschutzverstößen?

Selbst wenn Sie alle vorgenannten Hürden gemeistert haben, wird Ihnen nicht automatisch Schadensersatz zugesprochen.

Wenn Sie echte Schäden erlitten haben (z.B. entgangene Aufträge, Kosten für die Wiederherstellung von Daten), können Sie diese Kosten als Schaden geltend machen.

Bei immateriellen Schäden (oder anschaulicher: Schmerzensgeld) liegt die Sache anders. Eine konkrete Summe kann häufig nur schwer ermittelt werden und wird von den Gerichten nach § 287 ZPO geschätzt. Ungeklärt ist bislang, ob und inwieweit die Gerichte die Grundlagen für diese Schätzung selbst ermitteln müssen oder, ob der Betroffene hierfür vollumfänglich darlegungs- und beweisbelastet ist.

Es ist sicherlich auch hier ratsam, So viele Beweise wie möglich, so schnell wie möglich sammeln. Gerade bei körperlichen oder psychischen Auswirkungen sollten Sie sich Ihren Gesundheitszustand unbedingt fortlaufend attestieren lassen. Ebenso sollten Sie mit etwaigen Zeugen sprechen und sich den Inhalt des Gesprächs notieren.

Wir stehen im gesamten Bereich des IT-Rechts, insbesondere für den Bereich Datenschutzrecht als Berater gerne zur Verfügung.

GoldbergUllrich Rechtsanwälte 2020

Julius Oberste-Dommes LL.M. (Informationsrecht)

Rechtsanwalt und

Fachanwalt für Informationstechnologierecht