Schadensersatz nach der DS-GVO

Art. 82 Abs. 1 DS-GVO ermöglicht grundsätzlich jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der immaterielle Schaden ist dabei besser bekannt als Schmerzensgeld. 

Hintergrund der Regelung ist das Recht auf den Schutz personenbezogener Daten. Wird hier ungerechtfertigt eingegriffen, verletzt das grundsätzlich das Allgemeine Persönlichkeitsrecht und kann einen Schadensersatz nach sich ziehen. Doch dafür gelten besondere Voraussetzungen:

Anspruchsvoraussetzungen für einen DS-GVO-Schadensersatz

Im Engeren hat der Art. 82 Abs. 1 DSGVO folgende Voraussetzung: Es bedarf 

  1. eines Verstoßes gegen die Datenschutz-Grundordnung durch den Verantwortlichen,
  2. der schuldhaft begangen wurde und
  3. zu einem materiellen oder immateriellen Schaden geführt hat, 
  4. wobei ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen muss.

Das bedeutet konkret:

1. Verstoß gegen die Datenschutz-Grundverordnung

Zunächst setzt Art. 82 Abs. 1 DS-GVO den Verstoß gegen eine andere DS-GVO-Vorschrift voraus. Art. 82 Abs.1 DSGVO schränkt den Kreis der ersatzfähigen Datenschutzverstöße zunächst nicht ein. Im Fall des BAG ist hier die Verarbeitung von personenbezogenen Daten ohne bzw. unter Berufung auf eine falsche oder anderweitig nicht einschlägige Rechtsgrundlage vollzogen worden, sodass ein Verstoß gegen Art. 6 Abs. 1 DSGVO ersichtlich ist. 

2. Verschulden

Weiterhin muss der Verantwortliche oder der Auftragsverarbeiter, gegen den der Ersatzanspruch gerichtet wird, den Datenschutzverstoß auch verschuldet haben. Verschulden bedeutet in diesem Sinne die vorsätzliche oder fahrlässige Herbeiführung des Datenschutzverstoßes. Ein solches Verschulden wird jedoch grundsätzlich vermutet, sodass der Verantwortliche aktiv nachweisen muss, dass eine Verantwortung für das schadensauslösende Ereignis gerade nicht besteht. 

3. Materieller oder immaterieller Schaden

Darüber hinaus ist ein materieller oder immaterieller Schaden erforderlich, wobei im Rahmen eines Datenschutzverstoßes der immaterielle Schaden (das Schmerzensgeld) von ausschlaggebender Bedeutung ist. 

In diesem Rahmen hat der europäische Gerichtshof (EuGH) festgestellt, dass es keine Erheblichkeitsschwelle gibt. Es genügt also auch ein nicht schwerwiegender immaterieller Schaden. Allerdings ist es erforderlich, dass die betroffene Person den zwingenden Nachweis erbringen muss, dass sie einen konkreten Schaden – so geringfügig er auch sein mag – erlitten hat (so EuGH Urteil vom 11.04.2024 -C-741/21).

Diesbezüglich wird nun oft auf den Verlust der Kontrolle über personenbezogene Daten abgestellt.  Unter Kontrollverlust versteht der Gerichtshof der Europäischen Union (EuGH) eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt. Dies kann im Einzelfall zwar genügen, muss aber ganz konkret dargelegt und unter Beweis gestellt werden. Die bloße pauschale Behauptung des Kontrollverlusts reicht gerade nicht aus.

4. Kausalzusammenhang 

Zuletzt muss im Streitfall der Kausalzusammenhang von DS-GVO-Verstoß und Schaden nachgewiesen werden. Das ist allerdings meistens kein großes Problem.

Anspruchsumfang: Wie viel Geld bringt ein DS-GVO-Verstoß des Arbeitgebers? 

Bezüglich des Umfangs des Schadensersatzes stellt sich die berechtigte Frage, ob hier im Rahmen der Bemessung der Höhe des Schadensersatzes auf Grundlage des Art. 82 Abs. 1 DSGVO zum einen der Grad des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters und zum anderen etwaiger spezial- bzw. generalpräventiver Charakter der Norm berücksichtigt werden muss. 

Beide Fragen lassen sich jedoch mit dem Sinn und Zweck der Norm beantworten. Art. 82 DSGVO ist gerade keinen expliziten generalpräventiven Charakter zuzuschreiben. Vielmehr handelt es sich – so der EuGH – bei Art. 82 DSGVO primär um eine Norm mit kompensatorischer Funktion. Es ist gerade keine Abschreckungs- oder Straffunktion der Norm gegeben. Insofern ist jedoch auch nicht verlangt, dass der Grad des Verschuldens oder in etwa die Anzahl der realisierten DSGVO-Verstöße bei Ermittlung der Höhe berücksichtigt wird. 

Damit bleibt am Ende immer eine Abwägung am Einzelfall, welcher konkrete Schadensersatz zur Wiedergutmachung des Schadens ausreichend, aber auch erforderlich ist. Je nach DS-GVO-Verstoß sprechen Arbeitsgerichte hier oftmals Beträge von 500 bis 5.000 Euro zu – eine pauschale Antwort für die richtige Höhe gibt es aber nicht.

Beratung durch Fachanwälte für Arbeitsrecht

Die Geltendmachung eines Schadensersatzes bleibt wie gezeigt eine Frage des Einzelfalls, bei der es einer guten Argumentation und umfassenden rechtlichen Hintergrundverständnisses bedarf. 

Gerade wenn Sie sich als Arbeitgeber mit solchen Ansprüchen konfrontiert sehen, können sie mit der richtigen Strategie oftmals komplett abgewendet werden. Die Erfahrung zeigt nämlich, dass gerade der Nachweis des konkreten Schadens bei vielen Arbeitnehmern nicht gelingt. Die Beratung und Unterstützung durch einen erfahrenen Rechtsanwalt für Datenschutzrecht ist daher entscheidend Wir beraten Sie gerne in solchen Fällen und erarbeiten gemeinsam ein auf Sie abgestimmtes Vorgehen. Kontaktieren Sie uns direkt für eine erste Beratung.