Wenn Ihnen aufgrund eines datenschutzrechtlichen Verstoßes ein (materieller oder immaterieller) Schaden entstanden ist, haben Sie nach Art 82 Abs 1 Datenschutz-Grundverordnung (DSGVO) einen Anspruch auf Schadenersatz. Ein materieller Schaden (z. B. finanzielle Verluste aufgrund der Datenschutzverletzung, Kosten für die Neuausstellung von Dokumenten o. Ä.) ist grundsätzlich leicht zu bestimmen. Ein immaterieller Schaden (z. B. Ärger, Gefühlt des Kontrollverlusts usw.) und der angemessene Schadenersatzbetrag zum Ausgleich eines solchen immateriellen Schadens sind viel schwieriger festzustellen.
Der bloße Verstoß gegen die DSGVO stellt für sich genommen noch keinen „immateriellen Schaden“ im Sinne der DSGVO dar und begründet keinen entsprechenden Schadenersatzanspruch (vgl. EuGH C‑741/21, Juris, Rn. 40). Zusätzlich zum Verstoß muss eben ein Schaden bei Ihnen eingetreten sein und der datenschutzrechtliche Verstoß muss den Eintritt des Schadens zur Folge gehabt haben (vgl. EuGH C‑300/21, Österreichische Post, Rn. 32, 33, 42 und 50). Der Verantwortliche kann sich dabei nicht auf das Fehlverhalten eines Mitarbeiters herausreden (EuGH C-741/21, Juris, Rn 54).
Der Schadenersatz soll also nur einen Ausgleich für die erlittene Beeinträchtigung schaffen und soll keine Strafe bzw. keinen Strafschadenersatz darstellen (vgl. EuGH C‑300/21, Österreichische Post, Rn. 57 und 58). Bei der Bemessung des Schadens kommt es daher nur auf die Auswirkungen bzw. den bei Ihnen eingetreten Schaden an. Die Schwere des datenschutzrechtlichen Verstoßes (z. B. der Vorsatz des Verantwortlichen) spielt keine Rolle; diese Umstände können allerdings bei der Verhängung einer Strafe nach Art 83 DSGVO relevant sein (vgl. EuGH C-741/21, Juris, Rn. 55).
Nach der DSGVO muss kein erheblicher Schaden eingetreten sein, damit ein immaterieller Schadenersatz gefordert werden kann (keine Erheblichkeitsschwelle). Der entstandene Schaden muss also nicht einen gewissen Schweregrad erreicht haben (EuGH 4.5.2023, Österreichische Post, C‑300/21, Rn. 51). Auch geringfügige (immaterielle) Schäden sind vollumfänglich zu ersetzen. Ein durch eine Datenschutzverletzung eingetretener verursachter Schaden ist seiner Natur nach auch nicht weniger schwerwiegend ist als etwa eine Körperverletzung (EuGH 20.06.2024, C-182/22 & C-189/22, Scalable Rn. 39).
Aus der Rechtsverletzung resultierende Gefühlsbeeinträchtigungen wie Ängste, Stress oder Leidenszustände (z. B. wegen einer erfolgten oder auch nur drohenden Bloßstellung, einer Diskriminierung oder eines Identitätsdiebstahls) können als immaterielle Schäden auch zu einem Schadenersatzanspruch nach Art 82 DSGVO führen (EuGH C‑340/21 - Natsionalna agentsia za prihodite, Rn 79 bis 86 und EuGH C‑456/22, Gemeinde Ummendorf, Rn 18 bis 23). Die Gefühlsbeeinträchtigungen müssen allerdings begründet und nachvollziehbar sein. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zu einer Entschädigung führen (EuGH C-687/21, MediaMarktSaturn, Rn 68). Bei einem gezielten Datendiebstahl bzw. Hackerangriff ist eine missbräuchliche Verwendung der gestohlenen Daten hingegen aber typischerweise zu befürchten und eine begründete Sorge daher nachvollziehbar.
Beispiel: Anton schließt im Kaufhaus B einen Ratenkaufvertrag über eine Sofagarnitur ab. Bei der Auslieferung der Sofagarnitur händigt ein Mitarbeiter des Möbelhauses irrtümlich einem Dritten eine Kopie von Antons Kaufvertrag (inkl. Daten über Antons Einkommen und Bankdaten) aus. Der Irrtum wird rasch aufgeklärt und Anton bekommt die Vertragsunterlagen innerhalb einer halben Stunde wieder zurück. Es kann auch nicht festgestellt werden, dass der Dritte Antons Vertragsunterlagen kopiert oder weitergegeben habe. Auch wenn Anton aufgrund seines ängstlichen Naturells einen Datenmissbrauch befürchtet, wird ein immaterieller Schadenersatz nicht berechtigt sein, weil Antons Furcht nicht begründet ist.
Bei der Berechnung der Höhe des Schadensersatzes sind die mitgliedstaatlichen Vorschriften anzuwenden, wobei je nach Einzelfall ein Schadensersatz jeglicher Höhe denkbar sei (EuGH 20.06.2024, C-182/22 & C-189/22, Scalable, Rn. 45). Daher ist bei der Bemessung des Schadenersatzes wohl auf die sogenannte „objektive Maßfigur“ abzustellen („Mit welchem Betrag würde eine durchschnittliche Person die erlittene Beeinträchtigung als vollständig und wirksam ausgeglichen sehen?“). Bei der genauen Bemessung der Höhe des Schadenersatzes kommt dem richterlichen Ermessen eine zentrale Bedeutung zu. Ein immaterieller Schadenersatz wird sich in „normalen“ Fällen rund um EUR 500,- bewegen, wobei jedenfalls die Umstände des Einzelfalls entscheidend sind (vgl. 6 Ob 56/21k und 6 Ob 206/23x und 6 Ob 210/23k). Im Fall einer Klage betreffend den Scraping-Vorfall von Facebook-Daten, hat der deutsche Bundesgerichtshof den Ausgleich für den immateriellen Schaden durch den Kontrollverlust mit ca. € 100,- bemessen (BGH 18.11.2024 - VI ZR 10/24).
Wenn Sie keinen Schadenersatz erhalten und Ihren Schadenersatz auf dem Gerichtsweg durchsetzen müssen, haben Sie die Wahl, ob Sie die Klage bei dem Landesgericht einbringen, wo Sie Ihren gewöhnlichen Aufenthalt oder Sitz haben oder beim gewöhnlichen Aufenthalt oder Sitz/Niederlassung der oder des Beklagten. Eine Klage ist allerdings mit Kosten verbunden und muss durch eine eine Rechtsanwältin bzw. einen Rechtsanwalt eingebracht werden (absolute Anwaltspflicht).
Weitere Fragen und Antworten?
Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?
Letzte Änderung: 28.01.2025