Schadensersatz in der DSGVO

Was ist Schmerzensgeld?

Der Begriff Schmerzensgeld erweckt Assoziationen mit physischen Schmerzen und Verletzungen, bezieht sich aber ganz allgemein auf immaterielle Schäden. Diese können mit physischen Schmerzen einhergehen, müssen sie aber nicht.

Auch die Verletzung der Privatsphäre kann einen immateriellen Schaden darstellen. Dementsprechend können Personen, deren Daten unrechtmäßig verarbeitet wurden, einen Anspruch auf Schmerzensgeld haben.  

Was ist der Unterscheid zwischen einem DSGVO-Bußgeld und Schadensersatz nach DSGVO?

Bei Datenschutzverstößen droht Unternehmen zunächst ein Bußgeld. Die Höhe des Bußgeldes richtet sich nach dem Umfang der Datenschutzverletzung und können sich auf bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens belaufen. Ein Bußgeld ist eine Sanktion, die in einem öffentlich-rechtlichen Prozess ausgehandelt wird. Die Zahlung eines DSGVO-Bußgeldes geht an die verantwortliche Ordnungsbehörde.  

Anders sieht es bei einem Schmerzensgeld aus. Dieses ist nicht Teil des Bußgeldes und wird in einem separaten Prozess vor einem Zivilgericht verhandelt. Die Höhe richtet sich nach der Schwere des entstandenen Schadens. Und die Zahlung erfolgt nicht etwa an eine Behörde, sondern an den oder die Betroffene selbst.

Wie werden DSGVO-Schadensersatzansprüche bemessen?

Die Höhe des Schmerzensgeldes richtet sich nach der Beeinträchtigung des Geschädigten. Diese muss objektiv vorliegen und über den bloßen Ärger oder eine individuell empfundene Unannehmlichkeit hinausgehen.  

Als unerheblich stuften Gerichte in der Vergangenheit vereinzelte Kontaktaufnahmen ohne entsprechende Rechtsgrundlage ein. Erhalten Betroffene aber am laufenden Band E-Mails oder Anrufe auf ihren privaten Anschlüssen, so ist ein eine benennbare Beeinträchtigung durchaus gegeben.

Welche Beispiele für DSGVO-Schmerzensgelder gibt es?

Die DSGVO fordert für die Datenverarbeitung eine Rechtsgrundlage. Ist der Betroffene nicht bereits Kunde bei einem Unternehmen, besteht diese Rechtsgrundlage in der Regel in einer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO.  

Wenn Betroffene zum Beispiel kontaktiert werden, ohne eine solche Einwilligung abgegeben zu haben, können sich daraus Schmerzensgeldansprüche ergeben. Die Höhe ist immer eine Einzelfallentscheidung, allerdings gibt die bisherige Rechtsprechung ein paar Anhaltspunkte. Folgende Fälle wurden bisher vor Gericht entschieden:

• Werbemails ohne Einwilligung wurden in einem Fall mit 25€ Schadensersatz geahndet (Urteil vom 16.3.2022, Az. 4 S 1/21), in anderes Gericht legte 50-100€ als Schmerzensgeld fest (AG Diez, Schlussurteil vom 07.11.2018 - 8 C 130/18).
• Für die Veröffentlichung von Fotos oder Namen bekamen Betroffene zwischen 1.000 und 10.000€ zugesprochen (LG Köln, Beschluss v. 23.12.2019, Az. 28 O 482/19, LG Frankfurt, Urt. v. 13.09.2018, Az. 2-03 O 283/18)

Eine Tabelle mit Einschätzungen zu Höhe von Schmerzensgeldern in Fällen, für die es bisher noch keine Urteile gab, finden Sie hier.

Muss ich mir bei solchen Schmerzensgeldbeträgen überhaupt Sorgen machen?

Für ein Unternehmen sind ein paar hundert oder auch tausend Euro durchaus vertretbar. Es könnte daher der Schluss naheliegen, die Zahlung von DSGVO-Schmerzensgeld einfach in Kauf zu nehmen und mit nicht-konformen Datenverarbeitungen fortzufahren.

Allerdings basieren die Datenschutzverstöße, aus denen sich Schmerzensgeldforderungen ergeben können, in der Regel auf Prozessen, die Daten von vielen Personen in gleicher Art und Weise verarbeiten. Und jede dieser Personen kann unter Umständen Schmerzensgeld verlangen. Hinzu kommen die Gerichtskosten und natürlich die Zahlungen von Bußgeldern. 

Wie kann ich Schmerzensgeldansprüche nach DSGVO von vornherein vermeiden?

Die kurze Antwort: Sie vermeiden DSGVO-Schmerzensgeldansprüche, indem Sie die DSGVO einhalten. Dafür sind u. a. folgende Maßnahmen zu tätigen: 

1. Sie brauchen für die Verarbeitung von personenbezogenen Daten immer eine Rechtsgrundlage und Betroffene müssen über die genaue Datenverarbeitung informiert werden.
2. Die Daten müssen nach den gesetzlichen Regelungen aufbewahrt und gelöscht werden.
3. Ihre Mitarbeiter müssen regelmäßig in Sachen Datenschutz geschult werden.
4. Jede (auch nur theoretische) Übermittlung von personenbezogenen Daten muss kenntlich gemacht werden.
5. Sie müssen mit Ihren Auftragsverarbeitern entsprechende Verträge schließen und bei der Drittlandübermittlung Standardvertragsklauseln abschließen oder andere geeignete Maßnahmen ergreifen.
6. Technische und organisatorische Maßnahmen sind einzuhalten.

Wichtig ist, dass Sie den Datenschutz von Anfang an ernst nehmen und Prozesse von vornherein auf die Einhaltung der DSGVO ausrichten. Sie später zu ändern, ist bisweilen unverhältnismäßig schwierig und teuer.

… und wie hilft mir DataGuard dabei?

Datenschutzverstöße sind vermeidbar. Und gerade solche, die schlimm genug sind, um Schmerzensgeldklagen nach sich zu ziehen, dürfen nicht passieren. Mit den richtigen Maßnahmen schützen Sie personenbezogene Daten und damit Ihre Reputation und Ihre Finanzen.

Wir unterstützen bereits mehr als 3.000 Kunden mit einem Team aus Branchenexperten bei der Einhaltung der DSGVO. Wir erarbeiten technische und organisatorische Maßnahmen, helfen Ihnen bei Ihrem Löschkonzept, prüfen Ihre Auftragsverarbeitungsverträge und stehen Ihnen immer für Fragen zur Verfügung. Das alles gestützt durch unsere webbasierte Datenschutzplattform, über die sich viele Prozesse – wie die Erstellung von Datenschutzerklärungen – automatisieren lassen.

Vereinbaren Sie noch heute einen Gesprächstermin mit unseren Experten für Datenschutz und erfahren Sie, wie wir Sie bei der Vermeidung von Schadensgeldforderungen unterstützen können.