Für Unternehmen bringt die Datenschutz-Grundverordnung (DSGVO) eine Vielzahl von Plichten mit sich, um den Schutz personenbezogener Daten zu gewährleisten. Doch was passiert, wenn gegen diese Vorschriften verstoßen wird? Und wann haben betroffene Personen Anspruch auf Schadenersatz?
Diese Fragestellungen sind immer wieder durch Gerichte zu beantworten und im Jahr 2024 haben bereits mehrere deutsche Gerichte Urteile hierzu erlassen, die für Unternehmen von Bedeutung sind. Grundlagen der Klagen sind – vereinfacht gesagt – Verstöße eines Social-Media-Plattformbetreibers gegenüber den Kläger*innen. Dabei geht es um die Nutzung von Daten zu Werbezwecken und die Weiterleitung von Daten an Dritte, die Nichterteilung von Auskünften und das „Abschöpfen“ öffentlich zugänglicher Daten der Profile (sog. „Scraping“).
Die zu klärende Frage war in allen Fällen, ob solche Verstöße gegen Vorschriften aus der DSGVO bereits ausreichen, um einen Schadenersatzanspruch zu begründen, beziehungsweise welche Voraussetzungen gegebenenfalls zusätzlich erfüllt sein müssen.
Landgericht Regensburg, Urteil vom 15.04.2024, Az. 75 O 1040/23
Das Landgericht Regensburg hat in seinem Urteil vom 15. April 2024 klargestellt, dass ein Verstoß gegen die Vorgaben der DSGVO allein nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Entscheidend ist, dass der betroffenen Person ein spürbarer Nachteil entstanden ist. Dies bedeutet, dass der bloße Verstoß gegen die DSGVO nicht automatisch zu einem Schadenersatzanspruch führt. Vielmehr muss die betroffene Person nachweisen, dass ihr durch den Verstoß ein konkreter und fühlbarer Schaden entstanden ist. Ein solcher Schaden kann beispielsweise in Form von finanziellen Verlusten, emotionalen Belastungen oder anderen nachteiligen Auswirkungen bestehen.
Von besonderer Bedeutung ist, dass die Notwendigkeit der Darlegung und des Nachweises konkreter Nachteile betont wird. Für betroffene Personen bedeutet dies, dass sie bei der Geltendmachung von Schadenersatzansprüchen im Einzelnen darlegen müssen, in welcher Weise sie durch die Datenschutzverletzung geschädigt wurden. Dieser Nachweis konnte nach Auffassung des Gerichts von der betroffenen Person nicht erbracht werden, mit der Folge, dass kein Schadenersatz zu gesprochen und die Klage abgewiesen wurde.
Landgericht Offenburg, Urteil vom 16.04.2024, Az. 3 O 196/23
Nur einen Tag später, am 16. April 2024, entschied das Landgericht Offenburg in einem ähnlichen Fall. Leider können wir dieses Urteil zum aktuellen Zeitpunkt (13.06.2024) nicht verlinken. Das Gericht betonte, dass ein konkreter Schaden im Sinne des Art. 82 DSGVO tatsächlich und sicher bestehen muss. Diese Entscheidung steht im Einklang mit der ständigen Rechtsprechung des Europäischen Gerichtshofs (EuGH), der für das Bestehen eines Schadenersatzanspruchs voraussetzt, dass der Schaden real und nachweisbar sein muss. Es reicht nicht aus, dass ein Schaden hypothetisch oder potenziell besteht. Vielmehr muss die betroffene Person nachweisen können, dass der Schaden tatsächlich eingetreten ist und eindeutig auf die Datenschutzverletzung zurückzuführen ist.
Diese Klarstellung ist von Bedeutung, da sie sicherstellt, dass nur tatsächliche und nachweisbare Schäden zu einer Entschädigung führen. Für betroffene Personen bedeutet dies im Umkehrschluss, dass sie ihre Ansprüche auf Schadenersatzansprüche sorgfältig vorbereiten und umfassend belegen müssen.
Landgericht Amberg, Urteil vom 30.04.2024, Az. 13 O 432/23
Weitere zwei Wochen später hat das Landgericht Amberg in seinem Urteil vom 30. April 2024 ebenfalls betont, dass ein bloßer Verstoß gegen die DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr ist es erforderlich, dass die betroffene Person einen individuellen Schaden konkret darlegt. Dies bedeutet, dass die betroffene Person im Einzelnen darlegen muss, wie der Verstoß zu einem konkreten Schaden geführt hat.
Dieses Urteil unterstreicht die Bedeutung einer sorgfältigen und detaillierten Darlegung des individuellen Schadens. Betroffene Personen müssen in der Lage sein, den Zusammenhang zwischen der Datenschutzverletzung und dem erlittenen Schaden klar und nachvollziehbar darzulegen. Dies erfordert eine umfassende Dokumentation und Beweisführung. Auch hier wurde die Klage der betroffenen Person abgewiesen.
Saarländisches Oberlandesgericht, Urteil vom 03.05.2024, Az. 5 U 72/23
Auch das Saarländische Oberlandesgericht hat am 3. Mai 2024 in einem weiteren wichtigen Urteil entschieden, dass betroffene Personen nachweisen müssen, dass die negativen Folgen eines Datenschutzverstoßes einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Ein immaterieller Schaden kann beispielsweise in psychischem Stress, Angst, Ansehensverlust oder anderen emotionalen Belastungen bestehen.
Dieses Urteil ist von besonderer Bedeutung, da es die Anforderungen an den Nachweis eines immateriellen Schadens präzisiert. Betroffene Personen müssen nicht nur den Schaden an sich nachweisen, sondern auch belegen, dass dieser Schaden in direktem Zusammenhang mit dem Datenschutzverstoß steht.
Klarheit für Unternehmen
Die Entscheidungen der Gerichte zeigen, dass an die Darlegung eines Schadens bei Datenschutzverstößen hohe Anforderungen gestellt werden. Es reicht nicht aus, lediglich einen Verstoß gegen die DSGVO zu behaupten und zu sagen, man fühle sich nun schlecht. Vielmehr müssen betroffene Personen konkrete und nachweisbare Schäden darlegen, um einen Schadenersatzanspruch erfolgreich geltend zu machen. Damit soll sichergestellt werden, dass nur schwerwiegende und nachweisbare Beeinträchtigungen entschädigt werden.
Allerdings muss man auch sagen, dass dieser Nachweis teilweise recht einfach zu erbringen ist und es keinesfalls so ist, dass Schadenersatzansprüche regelmäßig ins Leere laufen, da der Nachweis des Schadens nicht erbracht werden kann. Erfolgt eine Auskunft nicht rechtzeitig, nicht vollständig oder wird aus anderen Gründen bei der Erfüllung von Betroffenenrechten „geschludert“, dann ergibt sich der Schaden schon daraus, dass die betroffene Person mehrmals beim Verantwortlichen nachfragen musste. Der gerichtliche festgestellte Schaden war in diesem Beispiel, dass die betroffene Person über die mangelhafte Kommunikation „extrem genervt“ war. Der Nachweis mit Bereitstellung der Kopie der geführten Kommunikation bereits erbracht.
Diese Urteile tragen dazu bei, die Rechtslage für alle Beteiligten transparenter und nachvollziehbarer zu machen. Sie stellen sicher, dass nur tatsächliche und nachweisbare Schäden entschädigt werden. Gleichzeitig geben sie Unternehmen und Organisationen klare Vorgaben, welche Anforderungen an den Schutz personenbezogener Daten zu stellen sind.
Fazit: Was bedeuten die Urteile für Sie als Unternehmen?
Um den hohen Anforderungen an die Nachweisbarkeit und Schadenprävention gerecht zu werden, hier die wichtigsten Anforderungen:
Stellen Sie sicher, dass Ihr Datenschutzmanagementsystem robust genug ist, um tatsächliche Schäden zu verhindern. Dazu gehören regelmäßige Risikoanalysen und die Implementierung geeigneter Schutzmaßnahmen sowie eine umfassende und detaillierte Dokumentation aller Datenschutzmaßnahmen und der vorangegangenen Risikoanalysen.
Mögliche Schäden, die aus Datenschutzvorfällen resultieren könnten, sind genau zu analysieren und es sind Maßnahmen zu deren Vermeidung zu ergreifen.
Implementieren Sie Maßnahmen zur psychologischen Unterstützung und Kommunikation, um mögliche immaterielle Schäden zu minimieren. Ein transparenter Umgang mit Datenschutzvorfällen kann dazu beitragen, immaterielle Schäden zu verringern.
Sensibilisieren Sie Ihre Beschäftigten bezüglich der Bedeutung des Datenschutzes und schulen Sie sie regelmäßig, um sicherzustellen, dass Datenschutzverletzungen und deren individuelle Auswirkungen vermieden oder zumindest schnell entdeckt werden und dass der interne Umgang mit solchen Vorfällen sachgerecht erfolgt.
Durch die Umsetzung dieser Maßnahmen können Unternehmen nicht nur rechtliche Risiken verringern, sondern auch das Vertrauen ihrer Kund*innen und Geschäftspartner*innen stärken. Datenschutz ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein wichtiger Aspekt der unternehmerischen Verantwortung und des Vertrauensmanagements.
____________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.