DSGVO-Verstöße: Wieviel Schadenersatz bekommt man?

Wenn Gerichte in Deutschland Schadenersatzbeträge bei der DSGVO ausurteilen, ist die Spanne groß. Ein Überblick:

Die DSGVO sieht vor, dass jede Person, der wegen eines DSGVO-Verstoßes materieller oder immaterieller Schaden entsteht, Anspruch auf Schadenersatz hat. Der Anspruch richtet sich gegen die verantwortliche Stelle oder, sofern eine Auftragsdatenverarbeitung vorliegt, gegen den Auftragsverarbeiter. Für Schadenersatzklagen sind nach Artikel 82 Abs. 6 DSGVO die nationalen Gerichte zuständig. Und zwar in dem Land, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Sofern die verantwortliche Stelle keine Behörde ist, die in Ausübung hoheitlicher Befugnisse tätig wurde, kann wahlweise kann auch dort Klage erhoben werden, wo die betroffene Person ihren gewöhnlichen Aufenthaltsort hat.

Nachweis eines Schadens erforderlich

In einem Grundsatzurteil hat der Europäische Gerichtshof (Urteil v. 04.05.2023, Az. C-300/21) entschieden, dass nicht jeder noch so kleine Verstoß gegen die DSGVO gleich zu einem Schadenersatzanspruch führt. Es bedarf dafür auch des Vorliegens eines Schadens, der nachzuweisen ist. Bei einem immateriellen Schaden muss dieser eine gewisse Erheblichkeitsschwelle erreichen. Das war im Grundsatz auch schon vorher so, doch inzwischen haben sich bereits die ersten Gerichte auf die Entscheidung des EuGH berufen, darunter auch das Bundesarbeitsgericht.

10.000 Euro

Ein häufiger Fall, in dem DSGVO-Schadenersatzansprüche vor Gerichten geltend gemacht werden, ist das Recht der betroffenen Person, von dem Verantwortlichen Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und falls ja, Auskunft darüber zu erhalten. Rekordverdächtige 10.000 Euro urteilte das Arbeitsgericht Oldenburg (ArbG Oldenburg, Urteil v. 09.02.2023, Az. 3 Ca 150/21) aus. Für jeden Monat einer über 20 Monate nicht erteilten DSGVO-Auskunft veranschlagte das Gericht 500 Euro Schadenersatz.

7.500 Euro

Das Arbeitsgericht Mannheim gelangte zu einem Schadenersatz in Höhe von 7.500 Euro wegen eines Verstoßes gegen § 26 Bundesdatenschutzgesetz (BDSG) in Verbindung mit Art. 6 DSGVO. Der Verstoß lag darin, dass auf einem gemischt genutzten Arbeitshandy WhatsApp-Kommunikation eines Mitarbeiters ausgewertet worden war (ArbG Mannheim, Urteil v. 20.05.2021, Az. 14 Ca 135/20).

5.000 Euro

Bei einem Verstoß gegen die Art. 6 und 10 DSGVO kam das Oberlandesgericht Dresden auf einen Schadenersatzbetrag von 5.000 Euro (OLG Dresden, Urteil v. 30.11.2021, Az. 4 U 1158/21). Das Landgericht Berlin sah diesen Betrag bereits im Fall eines Verstoßes allein gegen Art. 6 DSGVO durch eine unzulässige Videoüberwachung im Innenhof einer Mietswohnung als angemessen an (LG Berlin, Urteil v. 15.07.2022, Az. 63 O 213/20).

Eine wissenschaftliche Einrichtung verwendete unbefugt das Foto einer Mitarbeiterin in einer Broschüre und verstieß damit gegen § 26 Abs. 2 S. 3 BDSG. Die Mitarbeiterin erhielt deshalb Schadenersatz in Höhe eines Bruttomonatslohns (ArbG Münster, Urteil v. 25.03.2021, Az. 3 Ca 391/20).

Eine unvollständige und verspätete Auskunft nach Art. 15 DSGVO und ein Verstoß gegen das Transparenzgebot des Art. 12 Abs. 3 DSGVO berechtigten nach Ansicht des Arbeitsgerichts Düsseldorf ebenfalls zu 5.000 Euro Schadenersatz (ArbG Düsseldorf, Urteil v. 05.03.2020, Az. 9 Ca 6557/18).

Das Landgericht Mainz bejahte bei einem unberechtigten Schufa-Eintrag einen immateriellen Schadenersatz in Höhe von 5.000 Euro (LG Mainz, Urteil v. 12.11.2021).

4.000 Euro

Diesen Schadenersatzbetrag stellte das Amtsgericht Pforzheim fest nach einem Verstoß gegen Art. 9 Abs. 1 DSGVO durch die unbefugte Offenlegung von Gesundheitsdaten (AG Pforzheim, Urteil v. 25.03.2020, Az. 13 C 160/19).

2.500 Euro

Die Entwendung von personenbezogenen Daten aus dem Datenbestand eines Finanzdienstleisters bei gleichzeitiger Verletzung von Art. 32 DSGVO rechtfertigen 2.500 Euro immateriellen Schadenersatz, so das Landgericht München I (LG München I, Urteil v. 09.12.2021, Az. 31 O 16606/20).

2.000 Euro

Zu Schadenersatz in dieser Höhe gelangt das Landesarbeitsgericht Hamm (LAG Hamm, Urteil v. 14.12.2021, Az.: 17 Sa 1185/20) bei einem Verstoß gegen Art. 5 Abs. 1 lit. a 1. Alt., Art. 6 Abs. 1 DSGVO. Ähnlich entschieden das Landesarbeitsgericht Berlin-Brandenburg im Fall einer unvollständigen DSGVO-Auskunft (LAG Berlin-Brandenburg, Urteil v. 18.11.2021, Az. 10 Sa 443/21) sowie das Oberlandesgericht Düsseldorf (Urteil v. 28.10.2021, Az. 16 U 275/20) bei einem Verstoß gegen Art. 6 DSGVO im Fall der Versendung einer Gesundheitskarte an die falsche Adresse.

1.500 Euro

Das Landesarbeitsgericht Hessen sprach einem Betroffenen, der durch eine Detektei unrechtmäßig observiert wurde, 1.500 Euro Schadenersatz zu (LAG Hessen, Urteil v. 18.10.2021, Az. 16 Sa 380/20). Den gleichen Betrag urteilten auch das Amtsgericht Pforzheim (AG Pforzheim, Urteil v. 27.01.2022, Az. 2 C 381/21) und das Arbeitsgericht Dresden (ArbG Dresden, Urteil v. 26.08.2020, Az. 13 Ca 1046/20) bei einer unerlaubten Weiterleitung von Gesundheitsdaten aus sowie das Arbeitsgericht Neumünster im Fall einer drei Monate verspäteten Auskunft nach Art. 15 DSGVO (ArbG Neumünster, Urteil v. 11.08.2020, Az. 1 Ca 247 c/20).

Ein bekannter Kläger bekommt 1.500 Euro DSGVO-Schadenersatz in Form einer fiktiven Lizenzgebühr für die Verwendung in einem dreijährigen Versandkatalog (OLG Köln, Urteil v. 04.05.2023, Az 15 U 3/23).

Für einen rechtswidrigen Schufa-Eintrag sprach das Landgericht Leipzig einem Kläger ebenfalls 1.500 Euro DSGVO-Schadenersatz zu (LG Leipzig, Az. 6 O 2378/22, Nachinstanz: Oberlandesgericht Dresden, Urteil v. 29.08.2023, Az. 4 U 1078/23).

1.250 Euro

Schadenersatz in dieser Höhe sprach das Landesarbeitsgericht Niedersachsen (LAG Niedersachsen, Urteil v. 22.10.2021, Az. 16 Sa 761/20) einem Kläger zu wegen einer verfristeten und unvollständigen Auskunft nach Art. 15 DSGVO.

1.000 Euro

Der Zweite Senat des Bundesarbeitsgerichts erkannte im Fall einer Angestellten, die von ihrem Arbeitgeber Auskunft über gespeicherte Daten einschließlich solcher zur Arbeitszeiterfassung verlangte und diese nicht vollständig erhielt, einen Anspruch auf immateriellen Schadenersatz nach Art. 82 DSGVO in Höhe von 1.000 Euro nebst Zinsen an (BAG, Urteil vom 05.05.2022, Az. 2 AZR 363/21).
Nachdem bei Facebook Daten von Nutzern ausgelesen und im Internet veröffentlicht wurden, verhängte die irische Datenschutzaufsicht 265 Millionen Euro Bußgeld gegen die Facebook-Mutter Meta. Das Landgericht Zwickau sprach hierzulande einem Betroffenen, dessen Daten mittels des Facebook-Tools Kontaktimporter bei Facebook ausgelesen werden konnten und wurden, 1.000 Euro Schadenersatz zu (LG Zwickau, Urteil v. 14.09.2022, Az. 7 O 334/22).

500 Euro

Von einem Schadenersatzanspruch von lediglich 500 Euro im Fall einer um Monate verspäteten Auskunft nach Art. 15 DSGVO ging das Oberlandesgericht Köln in einer Entscheidung aus (OLG Köln, Urteil v. 14.07.2022, Az. 15 U 137/21).
Einen Anspruch in gleicher Höhe bejahte des Oberlandesgericht Frankfurt (OLG Frankfurt, Urteil v. 14.04.2022, Az. 3 U 21/20) im Fall einer Verletzung der Art. 6 und 17 DSGVO in Verbindung mit Art. 79 DSGVO.

Auch das Oberlandesgericht Koblenz erkannte bei einem falschen Schufa-Eintrag auf Schadenersatz in Höhe von 500 Euro (OLG Koblenz, Urteil v. 18.05.2022, Az. 5 U 2141/21).

300 Euro

Lediglich 300 Euro sprach das Landesarbeitsgericht Köln einer Klägerin zu, dessen Profil nach dem Ende ihres Arbeitsverhältnisses auf der Webseite der Beklagten und im Intranet veröffentlicht worden war (LAG Köln, Urteil v. 14.09.2022, Az. 2 Sa 358/20).
Auf den gleichen Betrag kommt das Amtsgericht Pfaffenhofen in einem Urteil (AG Pfaffenhofen, Urteil v. 09.09.2021, Az. 2 C 133/21) wegen der Verarbeitung einer E-Mail-Adresse unter Verstoß gegen Art. 6 DSGVO und einer verspäteten DSGVO-Auskunft. Laut dem Urteil kann ein immaterieller Schaden „bereits etwa in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind“.

Entscheidungen von Gerichten in der EU

Es gibt zahlreiche weitere relevante Entscheidungen zu DSGVO-Schadenersatzbeträgen von nationalen Gerichten im EU-Ausland.

Datenabfluss nach einem Hackerangriff, Fehlversand von Dokumenten – die Fallgestaltungen, welche Schadenersatz nach der DSGVO auslösen können, sind vielfältig. Da im internetgeprägten IT-Zeitalter nahezu überall (Kunden)daten gespeichert werden und bei Massenanbietern Millionen Kunden betroffen sind, ist die Zahl der Fälle, in denen Betroffene Schadenersatz verlangen können groß – eine Chance auch für Verbraucherkanzleien und Legal-Tech-Anbieter.

Tiktok: 2.000 Schadenersatz pro Kind?

Im EU-Nachbarland Niederlanden verlangten Tausende Eltern, die sich durch eine Stiftung vertreten lassen, Schadenersatz für Ihre Kinder. Die Stiftung, die nach eigenen Angaben 64.000 Eltern vertritt, wirft Tiktok vor, unerlaubt Daten von Minderjährigen zu sammeln, um zielgerichtete Werbung zu platzieren. Die Stiftung will „Schadenersatz von 500 bis 2.000 Euro pro Kind“, abhängig vom Alter. Der niederländische Anbieter Fixtok verspricht, gegenüber TikTok Schadenersatz für Betroffene „von €1.250,- bis €1.750,-“ Euro.

In Großbritannien hat die frühere englische Jugendbeauftragte 2020 im Namen aller Kinder, die Tiktok in Großbritannien und der EU nutzen, eine class action (Massenklage) beim High Court of Justice eingereicht. Da das deutsche Recht Massenklagen in der Form nicht kennt, nur Musterfeststellungsklagen, sieht es hierzulande anders aus. Einzelklagen gegen Tiktok sind dennoch auch hierzulande denkbar und möglich.

Schufa-Praxis und DSGVO

Die Rechtsprechung zur DSGVO entwickelt sich rasant. Laut dem Schlussantrag des Generalanwalts des Europäischen Gerichtshofs in einem laufenden Verfahren (EuGH, Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden (VG Wiesbaden) eingereicht am 15.10.2021 – OQ gegen Land Hessen, Az. C-634/21; Schlussantrag) verstoßen Scoring-Werte der Schufa gegen Europarecht. In dem Verfahren verlangt ein Bürger von der Schufa Holding AG die Löschung seines Scoring-Wertes sowie Einblick in entsprechende Daten, was die Schufa unter Verweis auf das Geschäftsgeheimnis verweigert. Soweit der Bürger geltend macht, dass die Ablehnung seines Auskunftsersuchens gegen Datenschutz verstößt, hat das VG Wiesbaden den EuGH ersucht, über die Beschränkungen zu entscheiden, welche die DSGVO der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor insbesondere bei der Datenverwaltung auferlegt. Ein Urteil in dem Verfahren steht noch aus.

In einem weiteren Fall (EuGH, Az. C-26/22 und C-64/22) geht es darum, wie lange die Schufa Daten zu Restschuldbefreiungen bei Verbraucherinsolvenzen speichert. Insolvenzgerichte löschen diese Daten nach einem halben Jahr, die Schufa löschte erst nach drei Jahren. Der EuGH-Generalanwalt hält dies für rechtswidrig. Vor dem Bundesgerichtshof ist ein ähnlicher Fall anhängig (BGH, Beschluss v. 27.03.2023, Az. VI ZR 225/21).

Wie auch immer diese Fälle ausgehen mögen, die Zahl der Urteile zu DSGVO-Schadenersatz, auf die sich Betroffene inzwischen berufen können, nimmt stetig zu.