Schadensersatzanspruch nach Art. 82 DS-GVO

Das letzte Wort ist noch lange nicht gesprochen!

Von Dr. jur. Jens Eckhardt Rechtsanwalt, Partner | pitc legal Eckhardt Rechtsanwälte Partnerschaft mbB

Der EuGH hat bereits mehrfach zur Auslegung der Schadensersatzregelung der DS-GVO entschieden. Allerdings hat er damit gerade erst die vordergründigen Streitfragen geklärt. Gerade der vielfach und bevorzugt bemühte Schmerzensgeldanspruch ist weiterhin noch nicht klar konturiert. Besonderer Beliebtheit erfreut sich dabei der Schmerz im Nachgang zu einem Auskunftsverlangen.

Anspruch und Schadensbemessung

Art. 82 DS-GVO regelt, unter welchen Voraussetzungen ein Schadensersatzanspruch besteht – also das Ob! Die DS-GVO regelt jedoch nicht, wie ein Schaden zu kompensieren ist. Das jeweils nationale Recht regelt also das Wie des Ausgleichs seines Schadens.

Schadensersatzanspruch – dem Grunde nach

Nach st. Rspr. des EuGH setzt ein Schadensersatzanspruch nach Art. 82 DS-GVO einen Verstoß gegen das Datenschutzrecht, einen Schaden und die Kausalität der Rechtsverletzung für den Schaden sowie das Verschulden des Verantwortlichen und/oder Auftragsverarbeiters voraus.

Von besonderer Bedeutung war die Klarstellung des EuGH, dass der Rechtsverstoß nicht schon der Schaden ist, sondern ein eigenständiger materieller oder immaterieller Schaden gegeben sein muss. Dieser muss auch konkret durch den Anspruchsteller vorgetragen werden.

Der EuGH hat auch klargestellt, dass allein eine Verletzung des Schutzes personenbezogener Daten, die zur Meldung und ggf. Benachrichtigung nach Artt. 33, 34 DS-GVO führt, nicht der Beweis für eine Rechtsverletzung ist. Denn hierzu kann es auch dann kommen, wenn der in Anspruch genommene das nach Art. 32 DS-GVO erforderliche unternommen hatte.

Eckpunkte zur Schadenbemessung

Ein materieller Schaden ist leicht monetär zu bestimmen. In der Praxis ist jedoch die monetäre Bemessung eines immateriellen Schadens – mit anderen Worten: wieviel Euro gleichen den Schmerz aus – eine Herausforderung.

Für körperliche Schäden infolge von Unfällen hat sich über Jahrzehnte hinweg die Schmerzensgeldtabelle etabliert. Hieran kann sich ein Gericht orientieren und tut dies in Praxis auch.

Für immaterielle Schäden wegen Datenschutzverletzungen gibt es so etwas (noch) nicht. Das ist das Problem und die Schwierigkeit, die nicht selten in Extremen nach oben als auch nach unten seine Auswirkungen zeigt.

Richtig ist, dass das nationale Recht das Wie des Ausgleichs eines Schadens regelt. Aber die DS-GVO strahlt auf die Auslegung der nationalen Bestimmungen aus. Der EuGH hat klargestellt, dass eine Art Bagatellgrenze – wie sie das deutsche Recht für Persönlichkeitsrechtsverletzung kennt – in der DS-GVO nicht gibt. Ebenso hat der EuGH klargestellt, dass der Schadensersatzanspruch kein Strafschadensersatz ist, sodass sich die Höhe nicht anhand der Strafzumessungskriterien des Art. 83 DS-GVO ausrichten darf, noch die Schwere des Verschuldens eine Rolle spielt. Damit sind den Gerichten auch die „Krücken genommen“, mit denen versucht wurde, die Höhe des Schmerzes in Euro zu messen.

Der Schadensersatz muss sich nach der Rechtsprechung des EuGH an dem Ausgleich des erlittenen Schadens – also des Schmerzes – ausrichten.

Schadensersatz wegen Verletzung des Art. 15 DS-GVO

Eine der ersten Entscheidungen zum Schmerzensgeld, die in der Höhe vollkommen aus dem Ruder lief, hatte seinen Auslöser in einer nicht richtig und nicht rechtzeitig erteilten Auskunft nach Art. 15 DS-GVO. Vielleicht hat dieser Umstand gerade die Begeisterung für Schadensersatzansprüchen mit der Auskunft als Auslöser befeuert.

Jüngere Entscheidungen bremsen die Ansprüche die „Klagefreude“ jedoch ein und zeigen wohl eine neue Tendenz auf:

Das Bundesarbeitsgericht hat in seinem Urteil vom 20.02.2025, Az. 8 AZR 61/24, zwar offengelassen, ob ein Verstoß gegen Art. 15 DS-GVO überhaupt einen Schadensersatzanspruch begründet, aber dennoch deutlich gemacht, dass eine konkrete Darlegung im Sinne der Rspr. des EuGH erforderlich ist und ein abstrakter Kontrollverlust und ein „Genervtsein“ hierfür nicht genügt. Gerade in Arbeitsrechtsstreitigkeiten wird der Auskunftsanspruch geltend gemacht und nicht selten zu anderen Zwecken instrumentalisiert – auch um bei Fehlern in Bezug auf die Auskunft weitere Ansprüche geltend machen zu können. Daher ist die Entscheidung gerade durch das Bundesarbeitsgericht bedeutend.

Das Amtsgericht Mainz hat in seinem Urteil vom 27.03.2025, Az. 88 C 200/24, einen Schadensersatzanspruch insgesamt verneint, weil es in dem Geltendmachen des Verstoßes gegen Art. 15 DS-GVO im Wege des Schadensersatzes im konkreten Fall einen Rechtsmissbrauch sah. Denn es kam aufgrund des konkreten Vorgehens der klagenden Partei und 25 gleichgelagerter Klagen zu dem Ergebnis, dass die Generierung von Einkünften durch das Geltendmachen dieser Ansprüche als sachfremde Motive einen Rechtsmissbrauch begründen.

Damit wird deutlich, dass der Auskunftsanspruch zwar ein wesentlicher und zentraler Anspruch des Datenschutzrechts ist, aber seine Bedeutung gerade auch durch die Verhinderung seines Missbrauchs geschützt wird.

Datenschutztage: Tag 2, Vortrag 5 - 21. Mai 2025 in Frankfurt am Main & online

Der Schadensersatzanspruch nach Art. 82 DS-GVO ist ein Dauerbrenner in der Praxis und vor allem auch der Rechtsprechung des EuGH. Der Vortrag gibt ausgehend den für das Verständnis wichtigen Grundlagen einen Überblick über Eckpfeiler und Aktuelles der Rechtsprechung. Hieraus werden Erkenntnisse zum taktischen Umgang mit solchen Konstellationen beleuchtet.
Bei jeder Verletzung einer Pflicht der DS-GVO droht ein Schadensersatzanspruch. In diesem Vortrag wird das Risiko erläutert und Sie lernen davon ausgehend die in der Praxis auftretenden Situation proaktiv einzuschätzen!