Schadensersatz bei Datenschutzverstößen: Was können Betroffene verlangen?

Allein die letzten zwei Monate haben wieder eindrücklich gezeigt, dass Datenschutzverstöße und große Datenlecks ein weit verbreitetes Phänomen sind. Erst im Januar wurde bekannt, dass bei dem großen Autoverleiher Buchbinder die Daten von Kunden und weiteren Dritten für jedermann frei zugänglich im Internet abrufbar waren. Von Namen, Anschriften, Geburtsdaten bis hin zu Führerscheinnummern und teils auch Ausweiskopien. Der Datensatz war riesig und vollkommen ungeschützt.

Nur kurz darauf wurde nun bekannt, dass auch einzelne Landes- und Kreisverbände des Deutschen Roten Kreuzes (DRK) die bei ihnen gespeicherten Daten nur unzureichend geschützt hatten. Hier waren sogar medizinische Daten von Patienten betroffen. Auch Kundendaten verschiedener Verkehrsverbünde in Nordhessen, Rhein-Main und Karlsruhe waren wohl über mehrere Jahre hinweg ungesichert im Internet zugänglich.

Alle diese Vorfälle sind lediglich bekanntere und größere Beispiele einer langen Serie von Datenpannen und Datenlecks, bei denen zunehmend Personen mit ihren persönlichen Daten betroffen sind. Aber was können Betroffene tun? Wie finden Sie heraus, ob auch Sie betroffen sind? Und haben Sie Ansprüche auf Schadensersatz?

Wie man erfährt, ob man betroffen ist

Wer den Verdacht hat, dass seine Daten im Zusammenhang eines bekannten Datenlecks betroffen sein könnten, sollte sich darüber Gewissheit verschaffen. Nur so ist es möglich, einerseits Schutzmaßnahmen z. B. gegen Identitätsdiebstahl zu treffen, andererseits aber auch mögliche eigene Ansprüche gegen den Verursacher des Datenschutzverstoßes zu prüfen und geltend zu machen.

In Art. 34 DSGVO ist vorgesehen, dass betroffene Personen von den Verantwortlichen „unverzüglich“ von der Verletzung zu unterrichten sind. Dies gilt aber nur dann, wenn von der Verletzung „voraussichtliche ein hohes Risiko für die persönlichen Rechte und Freiheiten“ ausgeht. Ob diese Hürde vorliegt, werden die Verantwortlichen selbst prüfen müssen und dabei die ohnehin strenge Vorgabe möglicherweise gern zu ihren Gunsten auszulegen versuchen.

Allen mutmaßlich Betroffenen steht aber auch der „normale“ Auskunftsanspruch nach Art. 15 DSGVO zu. Dieser hilft zumindest herauszufinden, welche Daten betroffen gewesen sein könnten. Dieser Auskunftsanspruch hat keine Voraussetzungen und muss üblicherweise kostenfrei und innerhalb von ein, in Einzelfällen spätestens zwei Monaten beantwortet werden.

Schadensersatzansprüche sind denkbar

Betroffene, deren Daten rechtswidrig genutzt wurden oder Dritten zugänglich waren, können darüber hinaus auch einen Schadensersatzanspruch haben. Dieser ist in Art. 82 Abs. 1 DSGVO geregelt. Ausreichend ist dabei grundsätzlich auch ein immaterieller Schaden, der dann durch ein sogenanntes Schmerzensgeld ausgeglichen wird. Das wäre z. B. der Fall, wenn die Daten Dritten ohne Rechtsgrundlage zugänglich gemacht worden sind, ohne, dass der Betroffene dadurch einen direkten (finanziellen) Schaden hatte.

In der Rechtsprechung gab es bisher nur wenige Fälle, die sich mit dieser Thematik beschäftigt haben. So hat das ArbG Lübeck mit Beschluss vom 20.6.2019 (Az.: 1 Ca 538/19) festgestellt, dass ein Schmerzensgeldanspruch von bis zu 1.000,00 € denkbar sei, für die unerlaubte Veröffentlichung eines Fotos auf Facebook.

Aber nicht jeder Verstoß muss zwangsläufig zu einem Schadensersatzanspruch führen. Eine schwere Persönlichkeitsrechtsverletzung ist zwar – entgegen der früheren Rechtslage – nicht mehr notwendig. Für bloße Bagatellen wird man jedoch kein Schmerzensgeld verlangen können (vgl. OLG Dresden, Beschluss vom 11.6.2019 – 4 U 760/19). Es muss also vorab geschaut werden, wie intensiv die Rechtsverletzung tatsächlich wirkt.

Kostenrisiken vermeiden

Die bisherige Rechtsprechung setzt hohe Anforderungen an Schadensersatzansprüche der Betroffenen und hat hier bislang relativ geringe Summen zugesprochen. Eine Art „europaweiten Schmerzensgeldkatalog” der Gerichte, den manche für möglich halten, gibt es leider bis dato nicht.

Gleichwohl sind große bekannte Fälle, in denen auch Daten einer besonderen Kategorie nach Art. 9 DSGVO (z. B. medizinische Daten, Daten zur sexuellen und politischen Orientierung o.Ä.) betroffen waren, nicht vor Gericht entschieden worden. Hier sind daher auch höhere Summen denkbar. Denn der Schadensersatz soll einerseits die Genugtuungsfunktion, andererseits aber auch eine Abschreckungsfunktion erfüllen.

Um das Risiko, auf eigenen Kosten sitzen zu bleiben, zu minimieren, empfiehlt sich bei vorhandener Rechtschutzversicherung eine vorherige Deckungsanfrage durch den betreuenden Rechtsanwalt oder den Betroffenen. Die vorherige Prüfung der Angelegenheit durch fachkundige Anwälte gewährleistet darüber hinaus die realistische Einschätzung der Chancen und gibt einen Überblick über die Risiken.

Sind auch Sie von einem Datenleck oder anderen Datenschutzverstößen (mutmaßlich) betroffen sein, so kommen Sie gerne auf uns zu. Wir prüfen für Sie mögliche Ansprüche und helfen Ihnen, diese durchzusetzen.

Rechtsanwalt Dennis Tölle

Tölle Wagenknecht Rechtsanwälte Partnerschaft mbB