Neueste Schadensersatzentscheidungen nach Verstößen gegen die DSGVO in Deutschland

Die Datenschutz-Grundverordnung (DSGVO) hat in den letzten Jahren zu einer Vielzahl von Schadensersatzklagen geführt. Insbesondere Art. 82 DSGVO, der den Anspruch auf Schadensersatz bei Datenschutzverstößen regelt, ist dabei von zentraler Bedeutung. Die Rechtsprechung in Deutschland und auf europäischer Ebene hat in jüngster Zeit wichtige Klarstellungen zu den Voraussetzungen und zur Höhe von Schadensersatzansprüchen getroffen.

Wichtige EuGH-Entscheidungen:

1. EuGH-Urteil vom 4. Mai 2023:

   Der EuGH stellte klar, dass ein bloßer Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es muss ein konkreter Schaden nachgewiesen werden, der kausal mit dem Verstoß zusammenhängt. Immaterielle Schäden müssen nicht eine bestimmte Erheblichkeitsschwelle erreichen, um ersatzfähig zu sein. Die Höhe des Schadensersatzes bleibt jedoch den nationalen Gerichten überlassen.

   
   

2. EuGH-Urteil vom 15. Januar 2024:

   Der Gerichtshof verschärfte die Anforderungen an Schadensersatzansprüche. Ein immaterieller Schaden tritt nicht allein durch die versehentliche Weitergabe personenbezogener Daten ein, wenn der Empfänger keine Kenntnis davon erlangt hat.

Deutsche Rechtsprechung:

1. OLG Köln (Urteil vom 14. Juli 2022):

   Das Gericht entschied, dass auch die Verletzung von Auskunftspflichten nach Art. 15 DSGVO Schadensersatzansprüche begründen kann. Es betonte jedoch, dass der Schadensersatz keine Strafwirkung haben darf und die Schwelle für die Zuerkennung von Schmerzensgeld niedrig angesetzt wurde.

   
   

2. Arbeitsgericht Düsseldorf (Urteil vom 5. März 2020):

   In einem Fall verspäteter und unvollständiger Datenauskunft wurde ein Schadensersatz von 5.000 Euro zugesprochen. Das Gericht stellte fest, dass der Schadensersatz eine abschreckende Wirkung haben soll, insbesondere bei finanziell starken Verantwortlichen.

   
   

3. LAG Düsseldorf (Urteil vom 10. April 2024):

   Das Gericht entschied, dass ein Verstoß gegen die Informationspflicht aus Art. 14 DSGVO allein nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es fehlt an der Kausalität zwischen dem Verstoß und einem konkreten Schaden.

Praxisrelevante Aspekte für Schadensersatz nach der DSGVO:

• Beweislast:

  Die Anspruchsteller tragen grundsätzlich die Beweislast für den Schaden. In Fällen von Verstößen gegen Art. 24 und 32 DSGVO kann es jedoch zu einer Beweislastumkehr kommen.

  
  

• Immaterielle Schäden:

  Die deutsche Rechtsprechung zeigt eine Tendenz, immaterielle Schäden restriktiv zu behandeln. Ein hypothetischer Missbrauch personenbezogener Daten reicht nicht aus.

  
  

• Höhe des Schadensersatzes:

  Die Bemessung erfolgt nach der Schwere des Verstoßes, wobei Vorsatz oder Fahrlässigkeit eine Rolle spielen können. Die Gerichte haben jedoch Spielraum bei der Festlegung der Höhe.

Fazit:

Die Rechtsprechung zu Schadensersatzansprüchen nach der DSGVO entwickelt sich stetig weiter. Unternehmen sollten ihre Datenschutzmaßnahmen regelmäßig überprüfen und dokumentieren, um Haftungsrisiken zu minimieren. Die jüngsten Entscheidungen zeigen, dass die Gerichte zunehmend differenzieren, wann und in welcher Höhe Schadensersatzansprüche gerechtfertigt sind.