Datenschutz: Schadensersatz, wenn Missbrauch von Daten befürchtet wird
Der EuGH hat die Hürde für die Geltendmachung von Schadenersatzansprüchen bei Datenschutzverstößen recht niedrig angelegt.

Datenschutz: Schadensersatz, wenn Missbrauch von Daten befürchtet wird

 - 

Die Befürchtung eines Missbrauchs der eigenen Daten kann alleine schon einen Anspruch auf Schadensersatz auslösen. Es existiert hier keine Bagatellgrenze. Allerdings muss aus dem Verstoß auch ein nachgewiesener Schaden resultieren.

Diese Grundsätze hat der Europäische Gerichtshof (EuGH) in seinen jüngsten Entscheidungen zu dieser Thematik aufgestellt. Unternehmen, die die datenschutzrechtlichen Voraussetzungen nicht erfüllen, laufen daher Gefahr, sich Schadensersatzansprüchen ausgesetzt zu sehen. So können beispielsweise nach einem Hackerangriff unter Umständen Kunden- oder Beschäftigtendaten verschlüsselt oder geleakt werden, was auf Seiten der Betroffenen einen entsprechenden Schaden bedeuten würde.

Ein Verstoß kommt selten allein

In seinem Urteil vom 4. Mai 2023 (Az. C‑300/21) hat der EuGH entschieden, dass der bloße Verstoß gegen die DSGVO für sich betrachtet noch keinen Schadenersatzanspruch begründet. Die Vorschrift des Art. 82 DSGVO verlangt vielmehr, dass aus dem Verstoß auch ein kausaler Schaden entsteht, den der Betroffene nachvollziehbar darlegen muss.

Wenn dies jedoch gelingt, dann ist der Schadensersatz nicht auf solche Schäden begrenzt, die eine gewisse Erheblichkeit aufweisen. Sprich: Auch das bloße Gefühl des Verlustes der Kontrolle über die eigenen Daten können einen solchen Schaden darstellen, laut EuGH existiert keine Ausnahme für etwaige »Bagatellen«.

Die Bemessung der konkreten Höhe eines etwaigen Schadenersatzanspruchs wiederum ist dann Sache der nationalen Gerichte, sodass z.B. ein deutsches Gericht im Einzelfall ggf. auch nur 50 Euro zusprechen kann. Aber auch diese 50 Euro können ganz schnell sehr teuer werden, wenn man bedenkt, dass insbesondere nach einem Datenleck oder nach dem Einbruch in den eigenen Unternehmensserver nicht selten sehr vielen Betroffenen ein Anspruch auf Schadenersatz zusteht.

Unternehmen sind in der Verantwortung

Einer Bagatellgrenze erteilte der EuGH in seinem Urteil vom 14. Dezember 2023 (Az. C-456/22) erneut eine Abfuhr.

In einer weiteren Entscheidung vom gleichen Tag (Az. C-340/21) verschärfte der EuGH die Lage für verantwortliche Stellen noch weiter. Kommt es zu Datenverletzungen, müssen Unternehmen den Nachweis erbringen, dass die von ihnen ergriffenen Schutzmaßnahmen angemessen und ausreichend waren. Darüber hinaus haften Unternehmen nicht nur für eigenes (datenschutzrechtliches) Fehlverhalten, sondern unter Umständen auch für das beauftragter Dienstleister. Es kann für die Begründung eines Schadenersatzanspruchs bereits ausreichen, wenn der Betroffene angibt, einen Missbrauch seiner Daten zu befürchten – obwohl ein solcher möglicherweise (noch) gar nicht stattgefunden hat.

Umsetzung des Datenschutzes gewinnt an Brisanz

Insgesamt hat der EuGH in den genannten Entscheidungen die Hürde für die Geltendmachung von Schadenersatzansprüchen recht niedrig angelegt. Wer es bislang mit den Themen Datenschutz und IT-Sicherheit bislang nicht ganz so genau genommen hat, der sollte spätestens jetzt umdenken. Denn neben den ohnehin für Unternehmen drohenden aufsichtsbehördlichen Sanktionen, wie insbesondere Bußgelder, stellen auch Schadenersatzforderungen ernsthafte Unternehmensrisiken dar.

Mit dem Thema Datenschutz müssen sich alle Unternehmen auseinandersetzen, vom Solo-Selbstständigen über kleine und mittlere Betriebe bis zum Großunternehmen.

Unser Ratgeber unterstützt Sie bei der Umsetzung!

 

→ Datenschutz einfach umsetzen

Der Praxisratgeber zur DSGVO für Selbstständige und kleine Unternehmen

Inhaltsverzeichnis | Leseprobe (PDF) | zum Shop

(AW)

Weitere News zum Thema
  • [] Corona-Hilfen wurden oft auf der Basis von prognostizierten Umsatzrückgängen und Fixkosten beantragt. Die endgültige Höhe der Leistungen wird aber anhand der tatsächlich realisierten Geschäftsentwicklung ermittelt – das macht eine Schlussabrechnung erforderlich mehr

  • [] Die Einnahmen aus bestimmten Photovoltaikanlagen sind seit dem 1.1.2022 von der Einkommensteuer befreit. Außerdem wurde zum 1.1.2023 bei der Umsatzsteuer ein Steuersatz von 0% auf den Verkauf von bestimmten Photovoltaikanlagen eingeführt. Gilt das auch mehr

  • [] Über diese Frage wird immer wieder (auch) mit dem Finanzamt gestritten. Der Grund: Eine künstlerische Tätigkeit führt zu Einkünften aus selbstständiger Arbeit und hat deshalb keine Gewerbesteuerpflicht zur Folge. Ganz im Gegensatz zum Gewinn aus einem mehr

  • [] 2020 erhielt ein Unternehmer Soforthilfe, Überbrückungshilfe I und die sog. »November-/Dezemberhilfe«. Diese Corona-Hilfen stellen keine außerordentlichen Einkünfte dar, die in der Einkommensteuer nur ermäßigt zu besteuern sind. Das entschied das FG Münster mehr

Weitere News zum Thema