reu­sch­law Report: Risi­ko bei Scha­dens­er­satz­kla­gen wegen Datenschutzverstößen

Aus­wer­tung der aktu­el­len Recht­spre­chung zu Art. 82 DSGVO

Die Zahl der Scha­dens­er­satz­kla­gen wegen Daten­schutz­ver­stö­ßen nimmt ste­tig zu. Sei es eine Ver­ar­bei­tung ohne Rechts­grund­la­ge, ein nicht oder feh­ler­haft beant­wor­te­tes Aus­kunfts­er­su­chen, eine unzu­rei­chen­de Infor­ma­ti­on der Betrof­fe­nen, ein nicht daten­schutz­kon­form ein­ge­bun­de­ner Dritt­an­bie­ter­dienst oder ein Daten-Leak auf­grund unzu­rei­chen­der Sicher­heits­vor­keh­run­gen: Mehr und mehr Unter­neh­men sehen sich mit Scha­dens­er­satz­an­sprü­chen von poten­zi­ell Betrof­fe­nen kon­fron­tiert. In den Kla­gen nach Art. 82 DSGVO wer­den häu­fig unan­ge­mes­sen hohe Schmer­zens­gel­der bis hin zu 100.000 Euro gefordert.

Weni­ge Kla­gen sind erfolg­reich – höhe­re Erfolgs­chan­cen bestehen in der Arbeitsgerichtsbarkeit

Die Aus­wer­tung der aktu­el­len Recht­spre­chung zu Art. 82 DSGVO, ins­ge­samt 124 Kla­gen, zeigt jedoch, dass die Erfolgs­aus­sich­ten für Betrof­fe­ne eher gering sind: Ledig­lich 37 Kla­gen hat­ten zumin­dest teil­wei­se Erfolg. Die Erfolgs­quo­te liegt damit ins­ge­samt bei ledig­lich 30%. Ein etwas bes­se­res Bild zeich­net sich in der Arbeits­ge­richts­bar­keit ab: Von 22 Kla­gen waren hier immer­hin 15 Kla­gen zumin­dest teil­wei­se erfolg­reich – die Erfolgs­quo­te liegt bei 68%.

Die Zahl der erfolg­rei­chen Scha­dens­er­satz­kla­gen ist nach einem sprung­haf­ten Anstieg in den Jah­ren 2020 und 2021 im Jahr 2022 – Stand Okto­ber – nun­mehr leicht rückläufig.

Höhe des zuge­spro­che­nen Scha­dens­er­sat­zes durch­schnitt­lich im nied­ri­gen vier­stel­li­gen Bereich

Die Höhe des zuge­spro­che­nen Scha­dens­er­sat­zes bewegt sich über­wie­gend im Bereich bis ca. 2.500 Euro. Wäh­rend die Zahl der zuge­spro­che­nen Scha­dens­er­satz­for­de­run­gen im Bereich zwi­schen 4.500 Euro und 5.000 Euro auf­grund der teil­wei­se pau­schal zuge­spro­che­nen 5.000,00 Euro etwas her­aus­sticht, sind zuge­spro­che­ne Scha­dens­er­satz­zah­lun­gen über 5.000 Euro kaum zu ver­zeich­nen. Die durch­schnitt­li­che Höhe des zuge­spro­che­nen Scha­dens­er­sat­zes liegt damit bei 2.239 Euro. Mit durch­schnitt­lich 1.777 Euro lie­gen Kla­gen in der Arbeits­ge­richts­bar­keit leicht unter dem Gesamtdurchschnitt.

Haupt­ur­sa­che: Ver­ar­bei­tung ohne Rechtsgrundlage

Die Aus­wer­tung der aktu­el­len Recht­spre­chung zu Art. 82 DSGVO in Bezug auf die Art der Ver­stö­ße ergibt dabei fol­gen­des Bild: Die über­wie­gen­de Zahl der Fäl­le mit zuge­spro­che­nem Scha­dens­er­satz, ins­ge­samt 76%, basiert auf einer Ver­ar­bei­tung ohne bzw. mit feh­ler­haf­ter Rechts­grund­la­ge. Erst weit abge­schla­gen hier­zu fol­gen die Ver­let­zung von Betrof­fe­nen­rech­ten (19%) und der Daten­si­cher­heit (5%). Mit durch­schnitt­lich 2.567 Euro wer­den bei Ver­stö­ßen gegen die Daten­si­cher­heit aller­dings die höchs­ten Beträ­ge zuge­spro­chen. Die­se lie­gen bei Ver­ar­bei­tun­gen ohne Rechts­grund­la­ge mit 2.360 Euro leicht und im Fal­le der Ver­let­zung von Betrof­fe­nen­rech­ten mit 1.621 Euro deut­lich darunter.

Hand­lungs­emp­feh­lun­gen für Unternehmen

Auch wenn die Erfolgs­aus­sich­ten der­zeit über­schau­bar und die Höhe des zuge­spro­che­nen Scha­dens­er­sat­zes eher gering sind, soll­ten sich Unter­neh­men ins­be­son­de­re mit Blick auf die zuneh­men­de Zahl der Kla­gen nicht in Sicher­heit wie­gen: Wer­den bei­spiels­wei­se die per­so­nen­be­zo­ge­nen Daten von sämt­li­chen Kun­den ohne Rechts­grund­la­ge ver­ar­bei­tet oder die Beschäf­tig­ten nicht ord­nungs­ge­mäß über Ver­ar­bei­tungs­vor­gän­ge infor­miert, kön­nen auch bei gleich­blei­ben­den Erfolgs­chan­cen sehr schnell emp­find­li­che Sum­men entstehen.

Um Scha­dens­er­satz­an­sprü­chen vor­zu­beu­gen, soll­ten Unter­neh­men daher die Ver­ar­bei­tungs­vor­gän­ge und Rechts­grund­la­gen für die Ver­ar­bei­tung prü­fen und doku­men­tie­ren, auf eine daten­schutz­kon­for­me Infor­ma­ti­on der Betrof­fe­nen ach­ten und tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zum Schutz der per­so­nen­be­zo­ge­nen Daten ein­füh­ren. Dies lässt sich mit­tels eines Datenschutz-Compliance-Management-Systems rea­li­sie­ren. Wird Scha­dens­er­satz gel­tend gemacht, soll­te die For­de­rung in Bezug auf die Ver­ant­wort­lich­keit für den Scha­den sowie hin­sicht­lich der gel­tend gemach­ten Höhe recht­lich geprüft wer­den. Zur Ver­mei­dung von Buß­gel­dern durch die Daten­schutz­auf­sichts­be­hör­den sind im Fal­le eines Daten­schutz­ver­sto­ßes zudem Mel­de­pflich­ten ein­zu­hal­ten. Wei­te­re Hand­lungs­emp­feh­lun­gen für Unter­neh­men haben wir hier festgehalten.

reuschlaw Report: Risiko bei Schadensersatzklagen wegen Datenschutzverstößen

reu­sch­law Report: Risi­ko bei Scha­dens­er­satz­kla­gen wegen Datenschutzverstößen

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.