Auswertung der aktuellen Rechtsprechung zu Art. 82 DSGVO
Die Zahl der Schadensersatzklagen wegen Datenschutzverstößen nimmt stetig zu. Sei es eine Verarbeitung ohne Rechtsgrundlage, ein nicht oder fehlerhaft beantwortetes Auskunftsersuchen, eine unzureichende Information der Betroffenen, ein nicht datenschutzkonform eingebundener Drittanbieterdienst oder ein Daten-Leak aufgrund unzureichender Sicherheitsvorkehrungen: Mehr und mehr Unternehmen sehen sich mit Schadensersatzansprüchen von potenziell Betroffenen konfrontiert. In den Klagen nach Art. 82 DSGVO werden häufig unangemessen hohe Schmerzensgelder bis hin zu 100.000 Euro gefordert.
Wenige Klagen sind erfolgreich – höhere Erfolgschancen bestehen in der Arbeitsgerichtsbarkeit
Die Auswertung der aktuellen Rechtsprechung zu Art. 82 DSGVO, insgesamt 124 Klagen, zeigt jedoch, dass die Erfolgsaussichten für Betroffene eher gering sind: Lediglich 37 Klagen hatten zumindest teilweise Erfolg. Die Erfolgsquote liegt damit insgesamt bei lediglich 30%. Ein etwas besseres Bild zeichnet sich in der Arbeitsgerichtsbarkeit ab: Von 22 Klagen waren hier immerhin 15 Klagen zumindest teilweise erfolgreich – die Erfolgsquote liegt bei 68%.

Die Zahl der erfolgreichen Schadensersatzklagen ist nach einem sprunghaften Anstieg in den Jahren 2020 und 2021 im Jahr 2022 – Stand Oktober – nunmehr leicht rückläufig.
Höhe des zugesprochenen Schadensersatzes durchschnittlich im niedrigen vierstelligen Bereich
Die Höhe des zugesprochenen Schadensersatzes bewegt sich überwiegend im Bereich bis ca. 2.500 Euro. Während die Zahl der zugesprochenen Schadensersatzforderungen im Bereich zwischen 4.500 Euro und 5.000 Euro aufgrund der teilweise pauschal zugesprochenen 5.000,00 Euro etwas heraussticht, sind zugesprochene Schadensersatzzahlungen über 5.000 Euro kaum zu verzeichnen. Die durchschnittliche Höhe des zugesprochenen Schadensersatzes liegt damit bei 2.239 Euro. Mit durchschnittlich 1.777 Euro liegen Klagen in der Arbeitsgerichtsbarkeit leicht unter dem Gesamtdurchschnitt.
Hauptursache: Verarbeitung ohne Rechtsgrundlage
Die Auswertung der aktuellen Rechtsprechung zu Art. 82 DSGVO in Bezug auf die Art der Verstöße ergibt dabei folgendes Bild: Die überwiegende Zahl der Fälle mit zugesprochenem Schadensersatz, insgesamt 76%, basiert auf einer Verarbeitung ohne bzw. mit fehlerhafter Rechtsgrundlage. Erst weit abgeschlagen hierzu folgen die Verletzung von Betroffenenrechten (19%) und der Datensicherheit (5%). Mit durchschnittlich 2.567 Euro werden bei Verstößen gegen die Datensicherheit allerdings die höchsten Beträge zugesprochen. Diese liegen bei Verarbeitungen ohne Rechtsgrundlage mit 2.360 Euro leicht und im Falle der Verletzung von Betroffenenrechten mit 1.621 Euro deutlich darunter.

Handlungsempfehlungen für Unternehmen
Auch wenn die Erfolgsaussichten derzeit überschaubar und die Höhe des zugesprochenen Schadensersatzes eher gering sind, sollten sich Unternehmen insbesondere mit Blick auf die zunehmende Zahl der Klagen nicht in Sicherheit wiegen: Werden beispielsweise die personenbezogenen Daten von sämtlichen Kunden ohne Rechtsgrundlage verarbeitet oder die Beschäftigten nicht ordnungsgemäß über Verarbeitungsvorgänge informiert, können auch bei gleichbleibenden Erfolgschancen sehr schnell empfindliche Summen entstehen.
Um Schadensersatzansprüchen vorzubeugen, sollten Unternehmen daher die Verarbeitungsvorgänge und Rechtsgrundlagen für die Verarbeitung prüfen und dokumentieren, auf eine datenschutzkonforme Information der Betroffenen achten und technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten einführen. Dies lässt sich mittels eines Datenschutz-Compliance-Management-Systems realisieren. Wird Schadensersatz geltend gemacht, sollte die Forderung in Bezug auf die Verantwortlichkeit für den Schaden sowie hinsichtlich der geltend gemachten Höhe rechtlich geprüft werden. Zur Vermeidung von Bußgeldern durch die Datenschutzaufsichtsbehörden sind im Falle eines Datenschutzverstoßes zudem Meldepflichten einzuhalten. Weitere Handlungsempfehlungen für Unternehmen haben wir hier festgehalten.
Hausnachricht
Für den 15.–16. Juni 2023 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference mit uns und mit Vertreterinnen und Vertretern aus der Wirtschaft, den Aufsichtsbehörden und der Wissenschaft über technische und rechtliche Herausforderungen und Lösungen für Cybersicherheit zu diskutieren. Neben Trends und Zukunftsthemen, wie Software-Lieferketten, Künstliche Intelligenz oder cyberphysische Ökosysteme, stehen auch die Bezüge zum Datenschutz und IT-Recht auf der Agenda. Jetzt anmelden!