1. Home
  2. News
  3. Ersatz immaterieller Schäden wegen Datenschutzverstößen nach Art. 82 DSGVO
  • Datenschutz

Ersatz immaterieller Schäden wegen Datenschutzverstößen nach Art. 82 DSGVO

Viele werden nicht müde darauf hinzuweisen, dass ein immaterieller Schaden auch nach der DSGVO ersatzfähig sein kann. Aus diesen Sätzen liest man mittlerweile teilweise doch sehr überraschende Schlussfolgerungen, die den Eindruck erwecken, dass bereits ein Unwohlsein wegen eines Verstoßes gegen die DSGVO automatisch zu einem Schadensersatzanspruch führt.

Das Zauberwort in dieser Hinsicht, das viele zu übersehen scheinen, ist das Wort kann. Vor diesem Hintergrund ist allein die Feststellung, dass auch immaterieller Schaden ersatzfähig sein kann, weder neu noch sonderlich bahnbrechend. Im deutschen Recht gibt es diese Möglichkeit bereits seit Jahrzehnten und ist in Art. 82 I DSGVO explizit geregelt.

Derzeitiger Status Quo der Rechtsprechung zum Schadensersatz aus der DSGVO.

Mit der Entscheidung in der Rs. C-300/21 positionierte sich der EuGH erstmals zu den Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruches nach Art. 82 DSGVO.

Der EuGH stellte hier fest, dass ein bloßer Verstoß gegen die DSGVO keinen Schadensersatzanspruch begründet – erforderlich ist ein konkreter Schaden, der kausal auf einem Datenschutzverstoß beruht. Der DSGVO-Schadensersatz hat keine Straffunktion und kann nur zum Ausgleich von individuellen Schäden herangezogen werden. Anders als z.B. im amerikanischen Recht.

Der BGH folgt offenbar der gleichen Ansicht. In seinem Beschluss vom 12.12.2023 (Az. VI ZR 277/22) betont er das die als Schaden geltend gemachten negativen Folgen eines Datenschutzverstoßes der Anspruchsteller konkret benennen muss. Das Einfügen von Textbausteinen scheint hierzu nicht ausreichend.

Es ist also notwendig, dass ein Nachweis eines konkreten Schadens erfolgt und auch dargelegt werden muss, wer für diesen Schaden verantwortlich ist.

Wer muss aber nun was beweisen?

Die Faustregel im deutschen Zivilrecht lautet dazu generell:

Der Anspruchssteller trägt die Beweislast für die rechtsbegründenden Tatbestandsmerkmale, der Anspruchsgegner für die rechtshindernden, rechtsvernichtenden und rechtshemmenden Merkmale.

Vereinfacht ausgedrückt gesagt, muss der Kläger beweisen, dass sein Anspruch besteht. Der Verteidiger muss beweisen, dass der Anspruch nicht besteht.

Was den Schaden betrifft, hat der EuGH bereits klargestellt, dass Anspruchssteller einen solchen, auch in der DSGVO, nach den oben beschriebenen Regeln nachzuweisen hat.

Auch für die Kausalität zwischen Verstoß und Schaden besteht Einigkeit, dass der Kläger die Beweislast trägt.

Wer die Beweislast für den Verstoß selbst gegen die DSGVO trägt, ist jedoch sehr umstritten.

Grund hierfür ist die in Art. 5 II DSGVO geregelte Rechenschaftspflicht. Danach ist der Verantwortliche für die Einhaltung der in Art. 5 I DSGVO genannte Datenschutzgrundsätze verpflichtet, die der Verantwortliche auch nachweisen können muss.

Viele argumentieren nun, dass hieraus eine generelle Beweispflicht des Verantwortlichen entsteht, da die Einhaltung der DSGVO in seinen Pflichtenkreis gehört.

Nach dem Grundsatz der Verfahrensautonomie ist es Sache der Mitgliedsstaaten, die verfahrensrechtliche Modalität der Rechtsbehelfe zu regeln. Daher sind die Beweisregeln des jeweiligen nationalen Prozessrechtes anzuwenden. Die in Art. 5 II DSGVO normierte Rechenschaftspflicht gilt eben nur gegenüber Datenschutzaufsichtsbehörden, denen es nach Art. 58 I a DSGVO gestattet ist, den Verantwortlichen zur Bereitstellung von Informationen anzuweisen.

Die Rechenschaftspflicht begründet also „nur“ eine Pflicht außerhalb des Prozesses, nicht aber eine zivilrechtlich bindende Beweislastregel. Dies schon deshalb, weil niemand eine Pflicht hat, sich im Prozess zu verteidigen und vorzutragen. Schon der Wortlaut der Norm zeigt also, dass hier nicht die Prozesssituation gemeint sein kann.

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo