0351 418866840
kontakt@rechtsanwalt-harzewski.de

Anwaltskanzlei Harzewski

Schlagwort: Schadensersatzanspruch

Kontrollverlust als immaterieller Schaden

Kontrollverlust als immaterieller Schaden

von

am 9. Februar 2026

in Betroffenen-Rechte

Daten sind der Rohstoff, aus dem Geschäftsmodelle, Risiko-Scorings und personalisierte Entscheidungen entstehen. Gleichzeitig wird für Betroffene immer schwerer nachvollziehbar, wer welche Informationen wo speichert, wie sie verknüpft werden und wohin sie weiterwandern. Genau hier liegt der Knackpunkt: Wenn Datenflüsse intransparent werden, kippt das Gefühl von „Ich entscheide“ zu „Ich bin ausgeliefert“.

Für Unternehmen und Vereine ist dieser Kontrollverlust kein abstraktes Datenschutzthema, sondern ein handfestes Haftungs- und Reputationsrisiko. Denn immer häufiger drehen sich Schadensersatzforderungen nicht um spektakuläre Identitätsdiebstähle, sondern um die Frage: Reicht schon der Verlust der Datenhoheit als immaterieller Schaden – auch ohne nachweisbaren Missbrauch? Diese Entwicklung verschiebt die Maßstäbe für Incident-Management, Kommunikation und Risikosteuerung spürbar.

Was heißt „Kontrollverlust“ konkret – wann wird es kritisch?

Ein Kontrollverlust liegt typischerweise vor, wenn:

  • Daten aus der Sphäre des Verantwortlichen heraus Unbefugten zugänglich werden,
  • die betroffene Person faktisch nicht mehr steuern kann, wer die Daten nutzt,
  • eine weitere Verbreitung realistisch nicht mehr eingedämmt werden kann.

Typische Risikokonstellationen:

  • Leaks / offene Cloud-Buckets / Fehlkonfigurationen
  • Scraping, das Schutzmechanismen umgeht
  • Weitergaben außerhalb des vorgesehenen Empfängerkreises (z. B. Upload auf öffentliche Plattformen)

Eher kein Kontrollverlust (regelmäßig), wenn:

  • Daten transparent an begrenzte Empfänger gehen und Betroffenenrechte praktisch wirksam bleiben (z. B. strukturierte Übermittlung an definierte Stellen),
  • es nur um eine unerwünschte Werbe-Mail geht, ohne dass Daten Dritten offengelegt werden.

EuGH vs. BGH: Zwei Sichtweisen, ein praktisches Problem

Der EuGH behandelt „Kontrollverlust“ nicht automatisch als Schaden, sondern als schadensnahen Umstand. Ersatz gibt es erst, wenn die betroffene Person konkret darlegt, welche immaterielle Beeinträchtigung daraus folgt (z. B. begründete Sorge vor Missbrauch, emotionale Belastung).
Keine Pflicht: Nachweis tatsächlichen Missbrauchs oder weiterer Folgeschäden – aber die Beeinträchtigung muss real und einzelfallbezogen sein.

Der BGH geht weiter: Schon der bloße (auch kurzzeitige) Kontrollverlust kann als eigenständiger immaterieller Schaden ausreichen. Zusätzliche Belastungen (Angst, Stress etc.) sind dann eher „Verstärker“, nicht Voraussetzung.

Praxisfolgen:
Für Unternehmen bedeutet das: In Deutschland kann – je nach weiterer unionsrechtlicher Klärung – bereits die Feststellung eines Kontrollverlusts der zentrale Haftungstreiber sein.

Darlegung und Beweis: Was müssen Betroffene vortragen – und was heißt das für Unternehmen und Vereine?

Auch wenn der BGH die Hürden senkt: Pauschale Textbausteine ohne echten Bezug zum Einzelfall reichen nicht. Gefordert ist ein individueller, plausibler Vortrag.

Beispiele für „konkret genug“ (wenn nachvollziehbar, mit Bezug zu konkreten Vorfall):

  • anhaltende Sorge vor Phishing/Identitätsmissbrauch,
  • Stress, Schlafprobleme, Vermeidungsverhalten,
  • nachvollziehbarer Aufwand für Schutzmaßnahmen (als Indiz/Verstärkung).

Der BGH setzt die Hürde für Betroffene beim Thema Kontrollverlust relativ niedrig. Es reicht aus, darzulegen, dass Daten zunächst bewusst weitergegeben wurden, durch den Vorfall aber außer Kontrolle geraten sind – etwa weil sie frei im Internet abrufbar waren.
Ob daraus ein Schaden entstanden ist und wie schwer er wiegt, muss die betroffene Person zwar weiterhin belegen. In der Praxis entscheidet jedoch oft eine vorgelagerte Frage: Haben die Daten das Unternehmen tatsächlich in einer Weise verlassen, die eine Kontrolle nicht mehr zuließ? Deshalb sind eine lückenlose Incident-Dokumentation und eine frühzeitige, faktenbasierte Aufklärung für Unternehmen zentral.

Relevanz für die Praxis: Strategien zur Haftungsminimierung

Um Schadensersatzansprüche einzudämmen, müssen Unternehmen und Vereine den Faktor „Kontrollverlust“ aktiv managen. Ziel ist es, den Nachweis zu führen, dass eine Beeinträchtigung entweder gar nicht vorlag oder durch sofortige Maßnahmen neutralisiert wurde.

1. Prävention: Risikofläche minimieren

  • Datensparsamkeit: Wo keine Daten sind, kann keine Kontrolle verloren gehen. Die Löschung nicht mehr benötigter Daten ist die effektivste Haftungsvermeidung.
  • Zugriffsschutz nach Stand der Technik: Implementieren Sie aktuelle Sicherheitsstandards (Verschlüsselung, Mehr-Faktor-Authentifizierung). Wer nachweisen kann, dass Daten für Unbefugte unlesbar (verschlüsselt) oder der Zugang massiv erschwert war, entkräftet das Argument des „hilflosen Ausgeliefertseins“.

2. Incident Management: Die Chronologie der Kontrolle

Gerichte bewerten die Dauer und Intensität des Kontrollverlusts.

  • Reaktionsgeschwindigkeit: Dokumentieren Sie die „Stoppuhr“: Von er Entdeckung bis zur Sperrung/Löschung. Je schneller die Lücke schließt, desto geringer das objektive Schadenspotenzial.
  • Aktive Schadensminderung: Bieten Sie Betroffenen sofort konkrete Hilfestellungen an (z. B. Passwort-Reset-Erzwingung, Monitoring-Tools). Dies dokumentiert, dass das Unternehmen die Kontrolle aktiv zurückholt.

3. Beweissicherung

Ein prozessualer Erfolg hängt an der Faktenlage. Unternehmen benötigen im Ernstfall sofortigen Zugriff auf:

  • Präzise Log-Daten: Welche Daten sind wirklich abgeflossen? Oft lassen sich pauschale Behauptungen der Kläger (z. B. „meine Bankdaten sind weg“) durch technische Protokolle widerlegen.
  • Nachweis der Folgenlosigkeit: Können Sie belegen, dass die Daten nur für Sekunden abrufbar waren oder keine unbefugten Zugriffe stattfanden, entfällt die Grundlage für eine „begründete Sorge“.

4. Strategische Kommunikation

Die gesetzliche Benachrichtigungspflicht ist das größte Klagerisiko.

  • Versachlichung: Informieren Sie präzise, aber ohne unnötigen Alarmismus. Auch die Wortwahl entscheidet darüber, ob beim Betroffenen eine (ersatzpflichtige) psychische Belastung induziert oder vielleicht sogar verstärkt wird.
  • Vermeidung von „Schuldeingeständnissen“: Kommunizieren Sie Fakten zum Vorfall, ohne rechtliche Bewertungen (wie „wir haben versagt“) vorwegzunehmen, die in einem Prozess gegen Sie verwendet werden könnten.

Rechtsanwalt Robert Harzewski

 

BGH-Urteil: Schadensersatz bei Datenschutzverstößen

von

am 6. Dezember 2024

in Urteile

Der Bundesgerichtshof (BGH) hat mit seinem Urteil vom 18. November 2024 (Az. VI ZR 10/24) eine bahnbrechende Entscheidung im Datenschutzrecht getroffen. Sie betrifft die Haftung bei Datenschutzverstößen im Zusammenhang mit dem groß angelegten Scraping-Vorfall auf Facebook. Dabei ging es vor allem um die Frage, unter welchen Bedingungen Nutzer*innen Schadensersatz nach DSGVO fordern können. Dieses Urteil hat das Potenzial, die Weichen für zukünftige Massenklagen in Deutschland zu stellen.

Wichtige Punkte im Überblick

  • Kontrollverlust als Schaden: Nach Art. 82 Abs. 1 DSGVO reicht bereits der Verlust der Kontrolle über personenbezogene Daten aus, um einen Schadensersatzanspruch zu begründen.
  • Erleichterter Schadensnachweis: Betroffene müssen keine konkreten Folgen nachweisen; die bloße Betroffenheit genügt.
  • Hohe Risiken für Unternehmen: Facebook steht angesichts der Vielzahl Betroffener vor massiven Schadensersatzforderungen.
  • Signalwirkung: Das Urteil unterstreicht die Bedeutung von Datenschutz-Compliance und den Grundsatz der Datenminimierung.

Der Hintergrund des Falls

Zwischen Januar 2018 und September 2019 nutzten Unbekannte die Kontakt-Import-Funktion von Facebook, um durch randomisierte Telefonnummern personenbezogene Daten von rund 533 Millionen Nutzern abzugreifen. Die so erlangten Informationen – darunter Namen, Telefonnummern und weitere Details – wurden im April 2021 öffentlich zugänglich gemacht.

Ein betroffener Nutzer reichte Klage ein, da er sich durch den Vorfall einem erhöhten Risiko für Betrugsversuche ausgesetzt sah. Er warf Facebook Verstöße gegen die DSGVO vor und forderte immateriellen Schadensersatz, Unterlassung, Auskunft sowie die Feststellung einer Haftung für mögliche künftige Schäden. Nachdem das Oberlandesgericht die Klage abgewiesen hatte, ging der Fall in Revision. Der BGH stufte ihn schließlich als Leitentscheidungsverfahren ein.

Neuer Maßstab für Schadensersatz: Kontrollverlust genügt

Das Urteil des BGH definiert den Begriff des immateriellen Schadens im Sinne der DSGVO neu. Es entschied, dass ein Schaden nicht zwingend mit einem konkreten Missbrauch der Daten verbunden sein muss. Bereits der Kontrollverlust über personenbezogene Daten reicht für einen Anspruch auf Schadensersatz aus.

Die Anforderungen an den Nachweis wurden deutlich gesenkt: Ein Zusammenhang zwischen dem Vorfall und nachweisbaren Schäden wie finanziellen Verlusten ist nicht erforderlich. Es genügt, dass die betroffene Person vom Datenleck betroffen ist.

Weitere Entscheidungen und Schadenshöhe

Der BGH gab dem Kläger auch in anderen Punkten recht. Unter anderem wurde ein berechtigtes Interesse an der Feststellung zukünftiger Ersatzpflichten anerkannt. Zudem erklärte das Gericht die Verwendung der Telefonnummer des Klägers ohne Einwilligung für unzulässig. Hinsichtlich der Höhe des Schadensersatzes hielt der BGH 100 Euro für den reinen Kontrollverlust für angemessen.

Das Berufungsgericht muss den Fall nun erneut prüfen, insbesondere im Hinblick auf die Einwilligungspraxis und die Suchbarkeitseinstellungen von Facebook.
Bedeutung für Unternehmen und Betroffene

Das Urteil könnte weitreichende Folgen für Unternehmen haben, die personenbezogene Daten verarbeiten. Die niedrige Schwelle für den Schadensnachweis erhöht das Risiko von Massenklagen bei Datenschutzverletzungen erheblich. Allein im Facebook-Fall wären in Deutschland rund sechs Millionen Betroffene anspruchsberechtigt. Bei einer Entschädigung von 100 Euro pro Person würde dies zu einer Gesamtsumme von 600 Millionen Euro führen – ein ernstzunehmendes Risiko für Unternehmen.

Für Betroffene besteht allerdings Handlungsbedarf, da die Ansprüche aus dem Vorfall Ende 2024 verjähren. Wer seine Rechte geltend machen möchte, sollte schnell aktiv werden.

Prävention: Was Unternehmen jetzt tun sollten

Unternehmen, die Verbraucherdaten verarbeiten, müssen ihre Datenschutzmaßnahmen dringend überprüfen. Folgende Schritte sind entscheidend:

  • Sicherheitsvorkehrungen stärken: Regelmäßige Updates und Tests der IT-Infrastruktur reduzieren das Risiko von Datenlecks.
  • Datenschutzmanagement optimieren: Klare Richtlinien und Schulungen für Mitarbeitende verbessern die Compliance.
  • Notfallpläne entwickeln: Unternehmen sollten Kommunikationsstrategien für den Krisenfall vorbereiten, um schnell und transparent reagieren zu können.
  • Datenminimierung beachten: Unnötige Datenspeicherung vermeiden und Einwilligungsprozesse überarbeiten.

Fazit: Ein Wendepunkt im Datenschutzrecht

Das Urteil des BGH setzt neue Maßstäbe für den Umgang mit Datenschutzverstößen. Es stärkt die Rechte der Betroffenen und zwingt Unternehmen, Datenschutz nicht länger als Nebensache zu behandeln. Gleichzeitig zeigt es auf, wie wichtig eine ausgewogene Balance zwischen Verbraucherschutz und unternehmerischer Verantwortung ist.

Unternehmen sollten die Signalwirkung dieses Urteils ernst nehmen und präventiv handeln. Denn eines ist klar: Datenschutz ist keine Option – sondern Pflicht.

 

Rechtsanwalt Robert Harzewski

Erheblichkeitsschwelle beim Schadenseratz

Erheblichkeitsschwelle beim Schadenseratz

von

am 22. Juni 2023

in Urteile

An den falschen Empfänger versendete Unterlagen oder der Verlust von wichtigen Akten in einem öffentlichen Café, jeder Datenschutzverstoß kann auch immer die Forderung von Schadensersatz mit sich bringen. Voraussetzung ist, dass dem Betroffenen auch wirklich ein Schaden entstanden ist. Der bloße Verstoß gegen die DSGVO allein, soll nach Ansicht des EuGH (Urteil v. 04.05.2023 – C-300/21) noch nicht ausreichen, um einen immateriellen Schaden zu begründen. Eine Erheblichkeitsschwelle beim Schadensersatz wird jedoch nicht gefordert. Der EUGH stellte klar, dass jede konkrete Einbuße oder Beeinträchtigung auf Seiten des Betroffenen einen Schadensersatz begründen könne.

 

Was war passiert?

Die österreichische Post hatte Daten ihrer Kunden weitergegeben, damit eine Agentur anhand der Daten die Parteiaffinität der Kunden ermitteln und so zielgerichtete Wahlwerbung betreiben konnte. Der Kläger, dessen Daten so genutzt wurden, war nach eigenen Angaben „erbost“ davon und fühlte sich durch die Bekanntmachung seiner Parteiaffinität „bloßgestellt“. In anderen Worten: der Vorgang löste bei ihm zwar ein schlechtes Gefühl aus, aber verursachte keinen finanziellen Schaden. Das Gericht sollte nun urteilen, ob diese Gefühlslage einen immateriellen Schadensersatz begründet.

 

Keine Erheblichkeitsschwelle beim Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO

Der EUGH machte deutlich, dass zwar nicht jeder Verstoß gegen die DSGVO einen Schadensersatz begründen könne. Sobald aber der Betroffene eine kausale Beeinträchtigung nachweisen kann, kommt es auf die Erheblichkeit nicht mehr an. Vielmehr ist jede konkrete Einbuße ersatzfähig. Eine Bagatellgrenze soll es gerade nicht geben. Wie hoch allerdings der Schadensersatz zu beziffern ist, lässt der EUGH offen, denn dafür sind die nationalen Gerichte zuständig.

Bisher gab es zu der Frage unterschiedliche Rechtssprechung. Gerichte, wie das OLG Dresden, lehnten einen Anspruch bei Bagatellverstößen, ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person oder eine benennbare tatsächliche Persönlichkeitsrechtsverletzung, ab. Das Bundesverfassungsgericht hob dagegen ein solches Urteil auf, da der Geldentschädigungsanspruch in der Rechtsprechung des EuGH zum damaligen Zeitpunkt nicht erschöpfend geklärt war.

 

Praxistipp:

Wahrscheinlich werden nach diesem Urteil künftig mehr Betroffene versuchen, einen immateriellen Schadensersatz gerichtlich durchzusetzen. Insbesondere die Forderung von niedrigen Beträgen verursacht neben den Prozesskostenrisiko auch immer einen nicht unerheblichen Aufwand für die eigene Recherche und Aufarbeitung.

Davor können Sie sich am besten schützen, indem Sie ein Ihr Datenschutz-Management optimieren. Es sollte eine professionelle Bewertung von Datenschutzverletzungen ermöglichen sowie eine Bearbeitung von Anfragen betroffener Personen sicherstellen. Idealerweise sollte das Datenschutz-Management System sogar dazu beitragen, Datenschutzverstöße vollständig zu vermeiden.

Rechtsanwalt Robert Harzewski

Geschäftsführer haften persönlich

Geschäftsführer haften persönlich!

von

am 18. Februar 2022

in Allgemein, Urteile

Der Geschäftsführer einer GmbH kann neben der Gesellschaft “Verantwortlicher” im Sinne der DSGVO sein. Dies hat das OLG Dresden mit Urteil vom 30.11.2021, Az.: 4 U 1158/21, entschieden.

Sollte sich diese Rechtsauffassung durchsetzen, dann müssen Geschäftsführer künftig damit rechnen, bei Datenschutzverstößen in Anspruch genommen zu werden. Geschäftsführer haften dann persönlich.

Als „Verantwortlicher“ wird grundsätzlich die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle verstanden, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Frage ist also, ob man für die Verarbeitung zuständig ist. Diese Entscheidungszuständigkeit kann sich ergeben durch:

  • eine ausdrücklich gesetzlich zugewiesene Zuständigkeit (z.B. Verpflichtung, bestimmte Daten vorzuhalten oder bereitzustellen).
  • eine implizierte Zuständigkeit, abgeleitet aus traditionell bestehenden Rollen oder aus der Rechtspraxis (z.B. Arbeitgeber in Bezug auf Daten seiner Mitarbeiter).
  • den tatsächlichen Einfluss

In der Vergangenheit wurden Abgrenzungsfragen vor allem in Hinblick auf die Gemeinsame Verantwortlichkeit gestellt. In diesem Zusammenhang hatte der EuGH bereits eine Verantwortlichkeit angenommen, selbst wenn ein Akteur gar keinen Zugang zu den betreffenden Daten hatte (Urteil des EuGH vom 10.07.2018, Az: C-25/17).

Nach dem Urteil des OLG Dresden bleibt leider offen, welcher konkrete Tatbeitrag eines Geschäftsführers für eine persönliche Haftung erforderlich ist. Im Fall hatte der Geschäftsführer einen Datenschutzverstoß selbst veranlasst. Demgegenüber grenzt das Gericht die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter ein. Bei diesen entfalle in aller Regel die Verantwortlichkeit.

In jedem Fall ist es ratsam, das ohnehin schon bestehende Haftungsrisiko, mit einem Datenschutzmanagementsystem, zu minimieren. So kann der Verantwortliche ein betriebliches Organisationsverschulden vermeiden. Sowohl bei dem zivilrechtlichen Schadensersatzanspruch, als auch bei der Bescheidung von Bußgeldern gilt das Verschuldensprinzip. Ohne Verschulden kann es keine Strafe geben. Daher ist ein Verschulden in der Praxis möglichst auszuschließen bzw. zumindest stark zu minimieren. Dadurch gelingt der Nachweis, dass der Verantwortliche alles getan hat, um das Entstehen eines Schadens zu verhindern.

 

Update vom 24.10.2022

Nun hat auch das OLG Nürnberg eine persönliche Haftung der Geschäftsführung einer GmbH gemäß § 43 Abs. 2 GmbHG angenommen, wenn keine oder unzureichende Compliance-Maßnahmen getroffen werden (OLG Nürnberg, Endurteil v. 30.03.2022 – 12 U 1520/19). Das Gericht stellte dabei vor allem fest, dass eine gelegentliche Prüfung nicht ausreicht.

Zu den Kernaussagen:

Nach Auffassung des Gerichts sind Geschäftsführer verpflichtet, ein Compliance Management System einzurichten. Es bedarf also organisatorische Vorkehrungen, welche die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. Dabei ist der Geschäftsführer nicht nur verpflichtet, den Geschäftsgang so zu überwachen oder überwachen zu lassen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte rechnen kann; er muss vielmehr weitergehend sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen.
Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss der Geschäftsführer unverzüglich nachgehen. Zur Überwachungspflicht gehört außerdem eine hinreichende Kontrolle, die nicht erst dann einsetzen darf, wenn Missstände entdeckt worden sind. Ihre Intensität darf sich je nach Gefahrgeneigtheit der Arbeit und Gewicht der zu beachtenden Vorschriften nicht in gelegentlichen Überprüfungen erschöpfen. Über diese allgemeine Kontrolle hinaus muss der Geschäftsführer die Aufsicht so führen, dass Unregelmäßigkeiten auch ohne ständige unmittelbare Überwachung grundsätzlich unterbleiben. Danach sind stichprobenartige, überraschende Prüfungen erforderlich und regelmäßig auch ausreichend, sofern sie den Unternehmensangehörigen vor Augen halten, dass Verstöße entdeckt und geahndet werden können
Delegiert der Geschäftsführer seine Überwachungsaufgabe, reduziert sich die effektive Überwachungspflicht des Geschäftsführers auf die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten ("Überwachung der Überwacher"). Man spricht insoweit von einer Meta-Überwachung.

 

Rechtsanwalt Robert Harzewski

Immaterieller Schadensersatz

Immaterieller Schadensersatz

von

am 3. März 2021

in Urteile

Recht häufig werden die Gerichte mit der Frage beschäftigt, wann wegen eines Verstoßes gegen die DSGVO eigentlich immaterieller Schadensersatz zu zahlen ist. Nach Art. 82 DSGVO steht grundsätzlich jeder Person, der bei einem Verstoß gegen die DSGVO ein immaterieller Schaden entstanden ist, auch Schadenersatz zu. Der immaterielle Schadensersatz wird auch als Schmerzensgeld bezeichnet und wird oft bei der Verletzung des eigenen Persönlichkeitsrechts zugesprochen.

 

Datenschutzverstoß

Nach dem klaren Wortlaut der Norm kann jeder Verstoß gegen datenschutzrechtliche Regelungen der DSGVO zu einem Schadensersatzanspruch führen.

Beispiele für einen Verstoß sind:

• unberechtigte Offenbarung von Daten gegenüber Dritten
• unberechtigtes Anschreiben eines Betroffenen
• Verlust von Daten
• Verstoß gegen das Löschungsrecht
• Verstoß gegen das Auskunftsrecht
• Versäumnisse bei den technischen und organisatorischen Maßnahmen

 

Wo ist der Schaden

Im konkreten Fall fragt sich dann, worin eigentlich der Schaden liegen soll.
In Erwägungsgrund 75 finden sich ein paar Beispiele für einen immateriellen Schaden:

• Rufschädigung
• Diskriminierung
• Kontrollverlust über die eigenen Daten
• wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht wird

 

Bagatellschwelle

Die meisten Verstöße führen gerade nicht zu einem Vermögenschaden, sondern überwiegend zu Persönlichkeitsverletzungen. In der bisherigen Rechtsprechung nahmen daher einige Gerichte einen immateriellen Schaden erst dann an, wenn eine Verletzung des Datenschutzrechts im Einzelfall zu einer konkreten, nicht bloß unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten geführt hat. Eine Erheblichkeitsschwelle findet sich jedoch nicht in der DSGVO.

Dennoch sprechen einige Gerichte nur immateriellen Schadensersatz bei erheblichen Verletzungen oder Verstößen zu.

In einem Verfahren vor dem OLG Dresden entschied das Gericht beispielweise, dass nicht jede individuell empfundene Unannehmlichkeit oder jeder Bagatellverstoß einen solchen Anspruch rechtfertige. Die bloße Sperrung von Daten sowie der Datenverlust stellen demnach noch keinen Schaden dar. Weitere Informationen zu dieser Entscheidung lesen Sie hier.

Auch das LG Hamburg (Urteil vom 04.09.2020 - 324 S 9/19) und das LG Karlsruhe (Urteil vom 02.08.2019 - 8 O 26/19) fordern eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung.

 

Bundesverfassungsgericht hebt Urteil auf

In einem aktuellen Fall hob das Bundesverfassungsgericht nun eine Entscheidung mit einer solchen Bagatellschwelle für immateriellen Schadensersatz eines Amtsgerichts auf. Hierzu führte es aus, dass der Geldentschädigungsanspruch in der Rechtsprechung des EuGH weder erschöpfend geklärt ist, noch dass sich dessen Beurteilung unmittelbar aus der DSGVO ergäbe. Dazu bemerkte es weiterhin, dass das betreffende Amtsgericht

„sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen [habe], indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird. (BVerfG, Beschluss vom 14.01.2021 - 1 BvR 2853/19)

Das Amtsgericht muss nun erneut entscheiden und die Frage nach der der Erheblichkeit unter Umständen auch dem EuGH vorlegen.

 

Wie hoch ist der Schaden?

Die Höhe der zugesprochenen Schmerzensgelder reicht von 50,00 Euro bis 5.000 Euro.
Für das Amtsgericht Pfaffenhofen, Urteil vom 09.09.2021, Az.: 2 C 133/21 kann der Schaden bereits in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind oder nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt EG 75 ausdrücklich als „insbesondere“ zu erwartenden Schaden. Des Weiteren kommen etwa Ängste, Stress, Komfort- und Zeiteinbußen in Betracht. Die Höhe des Schadens müsse sich dann auf der Grundlage der Schwere und Dauer der Rechtsverletzung ergeben. Dabei können dann auch Genugtuungs- und Vorbeugungsfunktion eine Rolle spielen. Im konkreten Fall wurden dem Kläger 300,00 Euro wegen einer unerlaubten Werbemail zugesprochen.

Im Fall einer unvollständigen, inkorrekten und zu spät erteilte Auskunft hat das Arbeitsgerichts Düsseldorf mit Urteil vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18, einen Schaden von immerhin 5.000 Euro angenommen. Diese vor allem in der Ungewissheit über die Verarbeitung der Daten. Dabei stelle das Gericht selbst fest, dass der entstandene immaterielle Schaden nicht erheblich ist.

Bei der Einbindung von Schriftarten von Google sah das LG München mit Urteil vom 20.01.2022, Az.: 3 O 17493/20, einen Schaden von 100 Euro für angemessen. Dieser liege im Kontrollverlust des Websitebesuchers über ein personenbezogenes Datum an Google. Google sei ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit das vom Websitebesucher empfundene individuelle Unwohlsein so erheblich macht, dass ein Schadensersatzanspruch gerechtfertigt ist.

 

Vorlage beim EuGH

Über zahlreiche Fragen zum Anspruch auf Schadensersatz gibt es derzeit noch keine Rechtssicherheit. Zuletzt hat das LG Saarbrücken vom 22.11.2021, Az.: 5 O 151/19 folgende Fragen an den EuGH vorgelegt:

1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 EUV 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?
2. Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird?
3. Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO genannten Zumessungskriterien erlaubt bzw. geboten?
4. Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere - zumindest mehrere gleichgelagerte - Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?

 

Fazit

Es ist daher nur eine Frage der Zeit bis wir eine Antwort auf die Frage erhalten, ob es bei immateriellen Schadensersatz auf eine Bagatellschwelle ankommt. In dem vom Bundesverfassungsgericht aufgehobenen Urteil ging es um eine unerwünschte Werbemail, die ein Rechtsanwalt bekommen hatte. In solchen Fällen geht es neben dem Unterlassungsanspruch und Rechtsverfolgungskosten daher meist auch um die Höhe der Geldentschädigung für eine Vielzahl an Fällen. In der Praxis wird dies daher sowohl für Verantwortliche als auch Betroffene entscheidende Auswirkungen haben.

Rechtsanwalt Robert Harzewski

Kein Schadensersatzanspruch bei Bagatellverstößen

von

am 1. Oktober 2019

in Urteile

Leitsatz:

Für ein Schadensersatzanspruch bei Bagatellverstößen, ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person besteht kein Schadensersatzanspruch nach Art. 82 DSGVO.

Gericht: : Oberlandesgericht Dresden, Beschluss vom 11.Juni 2019
Aktenzeichen: 4U 760/19

Was war passiert?

Facebook hatte einen fremdenfeindlichen Beitrag eines Nutzers gelöscht, in welchem mehrfach das Wort „Neger“ verwendet wurde. Anschließend wurde auch der Account des Nutzers für wenige Tage gesperrt. Aufgrund dessen klagte der Nutzer gegen das Vorgehen und verlangte Schadensersatz in Höhe von 150,00 Euro. In der Löschung seines Beitrages und in der kurzzeitigen Versetzung seines Kontos in den read-only Modus sah der Nutzer unter anderem einen Verstoß gegen die DSGVO.

Entscheidung:

Das Oberlandesgericht (OLG) entschied, dass Bagatellverstöße, wie hier der Fall, keinen Schadensersatzanspruch nach Artikel 82 Datenschutzgrundverordnung (DSGVO) begründen.

In der Löschung des Posts und der Sperrung des Accounts des Klägers liegt kein Verstoß gegen zwingende Vorgaben der DSGVO. Zur Erhebung, Verarbeitung und letztendlich auch Löschung seiner Daten habe der Nutzer gemäß der Nutzungsbedingungen eingewilligt, Art. 6 Abs. 1 lit a) DSGVO. Dies umfasse mithin auch die Löschung des streitgegenständlichen Posts und die Sperrung seines Kontos.

Voraussetzung für einen Anspruch aus Art. 82 DSGVO ist materieller oder immaterieller Schaden des Betroffenen. Die bloße Sperrung von Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar. Auch die behauptete Hemmung in der Persönlichkeitsentfaltung durch die Sperrung des Kontos habe allenfalls Bagatellcharakter.

Art. 82 DSGVO ist nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Dies kann anders zu bewerten sein, wenn ein datenschutzrechtlicher Verstoß zum Beispiel eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist.

Rechtsanwalt Robert Harzewski

Anwaltskanzlei Harzewski

 
Königsbrücker Landstraße 5
01109 Dresden

Datenschutzbeauftragter Harzewski

 
Torgauer Str. 5
01127 Dresden

Sprechzeiten

 

Montag bis Freitag:

09.00 Uhr bis 18.00 Uhr

 

Dienstag:

20:00 Uhr bis 22:00 Uhr

Kontakt

Telefon:  0351 418866840

Telefax:  0351 418866849

E-Mail:    kontakt@rechtsanwalt-harzewski.de

Design von South Bird Design