Update: DSGVO-Verstoß – OLG Köln: Ohne Schaden kein Geld
In Deutschland steigen die Verfahren zu Schadensersatzansprüchen nach der DSGVO. Das OLG Köln hat klargestellt, wann es Schadensersatz gibt – und folgt damit einem Urteil aus Luxemburg.
Das Wichtigste in Kürze:
Um wegen eines Datenverlustes oder einer fehlenden Datenauskunft Schadensersatz zu erhalten, muss ein Schaden nachgewiesen werden.
Allein der Verstoß gegen die Datenschutzgrundverordnung reicht nicht aus.
Die Verletzung muss ursächlich für den Schaden sein.
Schadensersatz nach einem Datenschutzverstoß
Kommen Ihre Daten bei einem Datenleck abhanden oder erhalten Sie auf Ihre Anfrage über die bei einem Unternehmen oder einer Behörde gespeicherten Daten keine Auskunft, könnte Ihnen Geld von den Schuldigen zustehen. Die Datenschutzgrundverordnung (DSGVO) legt in Artikel 82 fest, dass demjenigen, dem wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter zusteht. Allerdings müssen bestimmte Voraussetzungen erfüllt sein.
Übrigens: Von einem immateriellen Schaden spricht man immer dann, wenn es nicht um das Vermögen geht, sondern um Verletzungen der Ehre, Freiheit oder des Körpers.
Mehr Gerichtsverfahren in Deutschland wegen DSGVO-Schadensersatz
Die Gerichtsverfahren wegen eines Schadenersatzanspruches nach der DSGVO steigen rasant an. Nach Zahlen der Wirtschaftskanzlei CMS Hasche sigle haben sich Schadensersatzklagen wegen Datenschutzverstößen innerhalb von zwei Jahren (2021-2023) fast verfünffacht.
Gerichte entscheiden ganz unterschiedlich zum Datenschutzverstoß
Dabei entscheiden die Gerichte, ob ein Schaden wegen einer Verletzung vorliegt und damit der/dem Betroffenen Geld zusteht, ganz unterschiedlich.
Hilfe brachte ein Urteil aus Luxemburg. Im Mai 2023 entschied der Europäische Gerichtshof (EuGH), dass der bloße Verstoß gegen die Datenschutzverordnung allein nicht ausreicht, um einen Schadensersatzanspruch zu begründen (Az: C-300/21).
EuGH entscheidet zu Österreichischer Post
Die Österreichische Post hatte Daten über die politische Neigung der Österreicher:innen gespeichert und diese an Organisationen verkauft, die damit zielgerichtet Werbung versenden konnten.
Einem Österreicher gefiel das nicht. Er hatte der Verarbeitung nicht zugestimmt. In ihm löste es ein Gefühl der Bloßstellung aus, dass er einer Gruppe mit bestimmter politischer Neigung zugeordnet wurde, argumentierte der Mann. Er klagte gegen das Vorgehen. Das österreichische Gericht legte dem EuGH die Frage vor, ob dem Mann ein Schadenersatzanspruch nach der DSGVO zusteht.
Prüfen Sie mit unserem Service, ob Sie von einem Datenleck betroffen sind:
Die Datenleck-Prüfung
Das EuGH-Urteil brachte mehr Klarheit. Seitdem entscheiden viele deutsche Gerichte, dass allein der Kontrollverlust über die eigenen Daten nicht ausreicht, um einen Anspruch auf Schadensersatz zu haben. Betroffene müssen einen (immateriellen) Schaden auch nachweisen können.
OLG Köln: Darlegung eines Schadens nötig
Auch das OLG Köln entschied in einem Verfahren, dass Betroffene einen Schaden, den sie durch die Verletzung der Datenschutzbestimmungen erleidet haben wollen, darlegen und nachweisen müssen (Az: 15 U 78/22).
Geklagt hatte ein Mann gegen eine Rechtsanwaltskanzlei. Diese hatte ihm auf einen Auskunftsanspruch aus seiner Sicht nicht rechtzeitig und nicht ausreichend genug die angefragten Daten über seine Person zur Verfügung gestellt.
Nachweis eines immateriellen Schadens
Zwar bejahte das Gericht den Datenschutzverstoß. Einen Schaden, der für einen Schadensersatzanspruch notwendig ist, habe der Mann aber nicht dargelegt, so das Gericht.
Die Richter:innen verglichen den Fall mit einem anderen, ebenfalls vom OLG Köln entschiedenen Verfahren. Dort hatte eine Frau einen Rechtsanwalt auf Schadensersatz verklagt – und Recht bekommen. Die Frau hatte Daten von dem Anwalt herausgefordert, darunter zum Beispiel einen WhatsApp-Verlauf. Der Anwalt hatte die Frau in einem Verkehrsverfahren vor Gericht vertreten, sie war aber unzufrieden mit ihm und wechselte den Anwalt. Um das Verfahren weiterzuführen, benötigte sie die Daten. Der Anwalt ließ die Frau mehrere Monate warten.
Anders als in diesem Fall gebe es für den Kläger keine „belastende Unsicherheit über den Fortgang eines anderen, für ihn wichtigen gerichtlichen Verfahrens“, so das OLG.
Mehr Klarheit aus Luxemburg nötig
Mit dem Urteil des EuGH zur Notwendigkeit eines Schadens für einen Schadensersatzanspruch nach der DSGVO haben die nationalen Gerichte zwar mehr Klarheit. Schwierig bleibt für sie aber die Beurteilung, ob ein (immaterieller) Schaden gegeben ist. Denn der EuGH gab in einer anderen Entscheidung vor, dass Kontrollverlust der eigenen Daten und Gefühl der Bedrohung darüber zwar ausreichten, um einen Schadensersatzanspruch zu begründen (Az: C 687/21). Diese (subjektiven) Gefühle müssten aber auch (objektiv) begründet, also nachweisbar sein. Keine einfache Aufgabe für die Gerichte. Ein rein hypothetisches Risiko, dass die eigenen Daten in die Hände von Fremden geraten könnten, reicht aus Sicht des EuGH jedenfalls nicht aus.
Update (vom 08.05.2024): Das OLG Oldenburg entschied bereits Mitte April in drei Verfahren ganz ähnlich wie die Richter:innen in Köln (Az: 13 U 59/23, 13 U 79/23 und 13 O 60/23). Die Jurist:innen lehnten Schadensersatzansprüche gegen Meta (Mutterkonzern von Facebook) ab, weil es den Klagenden an einem individuellen Schaden fehle. Einen solchen hätten diese nicht darlegen können.
Lesen Sie mehr zum Datenleck – und wie Sie Ihre Daten besser schützen können – in unserem Rechtsratgeber Datenleck.
Anna Kristina Bückmann
Mit ihrem Fachwissen als Volljuristin beantwortet sie für meinrecht.de die alltäglichen Rechtsfragen unserer Leser:innen.