Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass Betroffene im Falle eines Verstoßes gegen die Datenschutzvorschriften Anspruch auf Schadensersatz haben. Dieser Anspruch ist in Artikel 82 der DSGVO geregelt.
Um Schadensersatz zu erhalten, muss ein Betroffener nachweisen, dass ein materieller oder immaterieller Schaden entstanden ist. Ein materieller Schaden bezieht sich auf eine Wertminderung des tatsächlichen Vermögens, während ein immaterieller Schaden Beeinträchtigungen umfasst, die nicht konkret in Geld bemessen werden können, wie beispielsweise ein Verlust der Privatsphäre oder ein Kontrollverlust über persönliche Daten.
Schadensersatz reguliert nur Schäden
Die Gerichte haben unterschiedliche Ansichten darüber, was als ausreichender Nachweis für einen Schaden gilt. Einige Gerichte haben entschieden, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um Schadensersatz zu rechtfertigen, während andere Gerichte der Ansicht sind, dass bereits ein Kontrollverlust über persönliche Daten einen Schaden darstellt.
Die Höhe des Schadensersatzes hängt von verschiedenen Faktoren ab, darunter der Art, Schwere und Dauer des Verstoßes sowie den betroffenen Kategorien personenbezogener Daten. Die Schadenshöhe wird von den Gerichten im Einzelfall festgelegt und kann von einigen hundert bis zu mehreren tausend Euro reichen.
Praxistipp:
Um das Risiko von Schadensersatzansprüchen zu reduzieren, ist es wichtig, ein effektives Datenschutz-Management im Unternehmen umzusetzen, das die Rechte der Betroffenen berücksichtigt und sicherstellt, dass personenbezogene Daten angemessen geschützt werden.
Quellen:
- EuGH, Az.: C-300/21; C-340/21 und C–687/21
- OLG Oldenburg, Az.: 13 U 59/23; 13 U 79/23 und 13 O 60/23
- OLG Stuttgart, Az.: 4 U 17/23
- OLG Hamm, Az.: 7 U 19/23 und 7 U 137/23