Top-Wirtschaftskanzlei

Mehrfach ausgezeichnet.

Focus Markenrecht
Kontakt aufnehmen
en

Schadensersatz bei Datenschutzverstößen – wer trägt die Beweislast?

19.03.2021
Ihr Ansprechpartner
Beweislast Schadensersatz Datenschutzverstöße
Chris – stock.adobe.com

Bei der Verletzung von DSGVO-Vorschriften steht dem Betroffenen ein Anspruch auf Ersatz immaterieller Schäden aus Art. 82 DSGVO zu. Voraussetzung ist der Eintritt eines Schadens.

Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt jedoch noch nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz. Vielmehr muss die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben.

Für den Schadensersatzanspruch nach Art. 82 DSGVO liegt dann die alleinige Beweislast beim Kläger, so das LG Frankfurt am Main.  

Ausgangspunkt: Datenleck

Es geht um einen Schadensersatzanspruch des Klägers gegen den Beklagten, wegen Spam-Anrufen und Spam-SMS. Bei dem Beklagten, dem Zahlungsanbieter Mastercard, ist es zu einem Datenleck gekommen. Einige Zeit später erhielt der Kunde immer wieder Spam-Anrufe und Spam-SMS. Er ist der Meinung, dass das Datenleck für die Spam-Anrufe und Nachrichten verantwortlich sei. Daher verlangte er Schadensersatz in Höhe von mindestens 2650,- Euro nach Art. 82 DSGVO.

Beweislast für Schadensersatzansprüche

Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) normiert das Recht auf Schadensersatz:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Absatz 1 begründet also einen Anspruch zugunsten der Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein Schaden entstanden ist. Zur Begründung des Anspruchs kommt es auf ein Verschulden gerade nicht an. Diese Bewertung als verschuldensunabhängig entspricht der Konstruktion des Haftungstatbestands: Für die Verwirklichung des Tatbestands mit der Rechtsfolge der Schadensersatzpflicht wird gerade kein Verschulden vorausgesetzt. Weiter muss jedoch ein „Verstoß gegen die Verordnung“ sowie ein Schaden gegeben sein, der schlüssig darzulegen ist.

Hinsichtlich der Beweislast nennt Art. 82 DSGVO explizit keine allgemeine Beweislastregel. Also müsste auf die nationalen Regelungen zurückgegriffen werden, wonach der Anspruchssteller die anspruchsbegründenden – also alle begünstigenden Tatsachen – vortragen muss. Hiernach müsste der Verstoß gegen die DSGVO vom Anspruchssteller bewiesen werden. Allerdings enthält die DSGVO von diesem Grundsatz Ausnahmen, die bei der Beweislastverteilung berücksichtigt werden müssen. Darunter fällt unter anderem Abs. 3, der vom Verantwortlichen oder Auftragsverarbeiter einen Nachweis verlangt, nicht für das schädigende Ereignis verantwortlich zu sein. Grundsätzlich wird sein Verschulden also vermutet, weswegen der Exkulpationsbeweis für den Verantwortlichen schwer zu führen sein dürfte. Denn, das würde bedeuten, dass dem Verantwortlichen als Anspruchsgegner auferlegt wird einen Entlastungsbeweis vorzulegen.

Grenzen der Beweislastumkehr

Das Landgericht Frankfurt am Main (LG Frankfurt a.M., Urteil v. 18.01.2021, Az. 2-30 O 147/20) zieht nun eine klare Grenze hinsichtlich der Beweislastumkehr. Die Richter entschieden, dass bei Schadensersatzansprüche nach Art. 82 DSGVO der Kläger die volle Beweislast hinsichtlich eines Verstoßes gegen die DSGVO treffe.

Es sei durchaus denkbar, dass ein illegaler Hacker-Angriff stattgefunden habe, mit dem die Beklagte oder ihre Erfüllungsgehilfen in dieser Form nicht rechnen brauchten. Es wäre demnach Sache des Klägers darzulegen und zu beweisen, dass das Datenleck aufgrund einer Pflichtverletzung der Beklagten oder ihrer Erfüllungsgehilfen entstanden ist. In diesem Fall könne der Kläger sich auch nicht auf Art 82 Abs. 3 DSGVO berufen. Zwar heißt es in dem Absatz, dass der Verantwortliche von einer Haftung gemäß Art. 82 Abs. 2 DSGVO befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Allerdings führe das gerade nur zu einer Beweislastumkehr, wenn die Frage des Verschuldens betroffen ist. Hinsichtlich der Frage nach der Ursache des Datenlecks, greife die Beweislastumkehr aber eben nicht, so das Gericht.

Nach Art. 82 Abs. 2 DSGVO haftet nämlich jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht in dieser Verordnung entsprechende Verarbeitung verursacht wurde. Demnach müsste der Kläger zunächst darlegen und beweisen, dass das Datenleck durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Lediglich hinsichtlich des Verschuldens könne dann eine Beweislastumkehr nach Art. 82 Abs. 3 DSGVO stattfinden. Der Kläger muss also weiterhin den Verstoß, den Schaden – sowohl das Vorliegen als auch die Höhe – und den Kausalitätszusammenhang nachweisen.

Verschuldenshaftung „durch die Hintertür“

Art. 82 Abs. 3 DSGVO, der den Verantwortlichen bei Nachweis der Nichtverantwortlichkeit befreit, lässt sich als Rückkehr zu einer Verschuldenshaftung „durch die Hintertür“ rekonstruieren – der aber eben nur das Verschulden und nicht die sonstigen Anspruchsvoraussetzungen betrifft.

Also stellt die Entscheidung des LG Frankfurt a.M. erneut klar, dass der Anspruchssteller grundsätzlich beweispflichtig ist, mit Ausnahme der Beweispflicht hinsichtlich des Verschuldens. Eine substantiierte Darlegung des Schadensersatzanspruches durch den Betroffenen dürfte demnach ausschlaggebend für die erfolgreiche gerichtliche Durchsetzung sein.

Ähnliche Artikel

OLG Köln: Ein Antrag auf
22.04.2024

OLG Köln: Ein Antrag auf „vollständige Datenauskunft“ ist hinreichend bestimmt

DSGVO-Auskunft per unverschlüsselter Mail ist Datenschutzverstoß
16.04.2024

DSGVO-Auskunft per unverschlüsselter Mail ist Datenschutzverstoß

Kununu muss keine Klarnamen nennen, aber dafür dann Bewertung löschen
15.04.2024

Kununu muss keine Klarnamen nennen, aber dafür dann Bewertung löschen

BVerfG: Kein Erlass einer einstweiligen Anordnung – Gegendarstellungsanspruch hat Vorrang
03.04.2024

BVerfG: Kein Erlass einer einstweiligen Anordnung – Gegendarstellungsanspruch hat Vorrang

Italienische Datenschutzaufsicht: ChatGPT verstößt gegen DSGVO
05.03.2024

Italienische Datenschutzaufsicht: ChatGPT verstößt gegen DSGVO

OLG Dresden: 1.500 Euro DSGVO-Schadenersatz für falschen Schufa-Eintrag
31.01.2024

OLG Dresden: 1.500 Euro DSGVO-Schadenersatz für falschen Schufa-Eintrag

OLG Köln: DSGVO-Schadenersatz für die Namensnennung in Werbeprospekt
30.01.2024

OLG Köln: DSGVO-Schadenersatz für die Namensnennung in Werbeprospekt

EuGH-Urteil zum SCHUFA-Score: Was Schuldner jetzt tun können!
14.12.2023

EuGH-Urteil zum SCHUFA-Score: Was Schuldner jetzt tun können!

EuGH: Recht auf kostenlose Erstkopie der Patientenakte
13.11.2023

EuGH: Recht auf kostenlose Erstkopie der Patientenakte

Ähnliche Themen

Datenschutz-Grundverordnung (DSGVO)

IT-Recht

Aktivlegitimation von Verbänden nach UWG bzw. UKlaG

Künstliche Intelligenz und Datenschutz

Kosten der Rechtsverfolgung

Cannabis Social Club gründen: Welche Anforderungen gelten?

DSGVO: Verträge mit externen Dienstleistern

IP und Datenschutz Due Diligence

Datenschutz – Schadenersatz, Bußgelder, Vertragsgestaltung

Alle Themen von A-Z

Ähnliche Themen

Datenschutz-Grundverordnung (DSGVO)

IT-Recht

Aktivlegitimation von Verbänden nach UWG bzw. UKlaG

Künstliche Intelligenz und Datenschutz

Kosten der Rechtsverfolgung

ePrivacy-Verordnung

Medienprivileg

Verjährung

Datenschutzrecht

Alle Themen von A-Z

Mehrfach ausgezeichnet.

Focus Markenrecht

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht

2., vollständig überarbeitete und aktualisierte Auflage

Chronologisch aufgebaut, differenzierte Gliederung, zahlreiche Querverweise und, ganz neu: Umfangreiche Praxishinweise zu jeder Prozesssituation.

Mehr erfahren

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht

Kontaktieren Sie uns!

Zum Kontaktformular
Per E-Mail oder 0221 / 2716733-0