DSGVO-Verstoß bei Dienstleister: Schadensersatz!
Wer personenbezogene Daten verarbeitet, haftet nicht nur für eigene DSGVO-Verstöße. Auch bei Verstößen von Dienstleistern können Betroffene Schmerzensgeld verlangen - so ein aktuelles Urteil. Mehr in diesem Beitrag.
Inhaltsverzeichnis
- Schadensersatzpflicht bei Datenschutzverstößen
- 1) Verstoß gegen die DSGVO
- 2) Verletzung des allgemeinen Persönlichkeitsrechts
- Voraussetzungen für DSGVO-Schadensersatz
- Haftung für Datenschutzverstöße bei Dienstleistern
- Keine Haftung bei Nachweis der Unschuld
- Bestätigung durch aktuelle Rechtsprechung
- 1) Der Sachverhalt
- 2) Entscheidung des Gerichts
- Das Wichtigste in Kürze
Schadensersatzpflicht bei Datenschutzverstößen
Bei Datenschutzverstößen stehen den betroffenen Personen grundsätzlich Ansprüche auf Schadensersatz zu. Dies gilt für materielle wie auch für immaterielle Schäden.
1) Verstoß gegen die DSGVO
Nach Art. 82 Abs. 1 der EU-Datenschutz-Grundverordnung (DSGVO) hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter:
- Ein materieller Schaden kann etwa in Geldabbuchungen von einem Bankkonto bestehen, die durch unzureichend geschützte Bankdaten verursacht worden sind.
- Ein immaterieller Schaden kann vorliegen, wenn eine Person aufgrund von gestohlenen personenbezogenen Daten in der Öffentlichkeit bloßgestellt worden ist, etwa durch die Veröffentlichung von privaten Informationen oder intimen Fotos. In solchen Fällen kann den Betroffenen ein Schmerzensgeld zustehen.
2) Verletzung des allgemeinen Persönlichkeitsrechts
Bei Datenschutzverstößen drohen aber nicht nur Schadenersatzansprüche nach den Regelungen der DSGVO. In Deutschland ist daneben auch ein deliktischer Schaden wegen Verletzung des allgemeinen oder besonderen Persönlichkeitsrechts nach § 823 Abs. 1 BGB denkbar.
Voraussetzungen für DSGVO-Schadensersatz
Voraussetzung für einen Anspruch einer Person auf Schadenersatz nach den Vorgaben der DSGVO ist zunächst, dass
- überhaupt ein Verstoß gegen die DSGVO vorliegt und
- durch den Verstoß ein materieller oder immaterieller Schaden entstanden ist (Art 82 Abs. 1 DSGVO).
Dabei haftet jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht der DSGVO entsprechenden Datenverarbeitung verursacht worden ist (Art. 82 Abs. 2 S. 1 DSGVO).
Haftung für Datenschutzverstöße bei Dienstleistern
Was auf den ersten Blick nicht unbedingt auffällt: Verantwortliche haften gegebenenfalls auch auf Schadensersatz für Datenschutzverstöße, die nicht sie selbst, sondern ihre Dienstleister verursacht haben. Dienstleister können entweder Auftragsverarbeiter oder sog. Unterauftragsverarbeiter, also die Dienstleister der Dienstleister sein.
Denn die DSGVO setzt für die Haftung des Verantwortlichen auf Schadensersatz lediglich voraus, dass dieser an der Datenverarbeitung beteiligt ist, die den Schaden bei den betroffenen Personen verursacht hat. Für einen Schadensersatzanspruch ist hingegen keine Voraussetzung, dass der Verantwortliche an dem Datenschutzverstoß direkt mitgewirkt oder diesen sogar direkt mitverursacht hat.
Dies zeigt einmal mehr, wie wichtig im Datenschutzrecht die richtige Auswahl der eigenen Dienstleister ist.
Keine Haftung bei Nachweis der Unschuld
Sowohl den Verantwortlichen als auch Auftragsverarbeitern steht nach Art. 82 Abs. 3 DSGVO die Möglichkeit offen, ihre Unschuld zu beweisen und so der Schadensersatzhaftung zu entgehen:
- Demnach werden Verantwortliche oder Auftragsverarbeiter von der Schadensersatzhaftung befreit, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand verantwortlich sind, durch den der Schaden eingetreten ist.
- Gelingt ihnen dieser Nachweis nicht, bleibt die Haftung bestehen, und sie sind zum Schadenersatz verpflichtet.
- Die DSGVO setzt hier eine hohe Hürde für den Verantwortlichen bzw. den Auftragsverarbeiter, um der Schadenersatzhaftung zu entgehen. In vielen Fällen wird es diesen daher wohl nicht möglich sein, sich von ihrer Haftung zu befreien.
Bestätigung durch aktuelle Rechtsprechung
1) Der Sachverhalt
In einem Fall vor dem LG Lübeck (Entscheidung vom 4. Oktober 2024 - Az. 15 O 216/23) geht es um einen Datenschutzverstoß bei einem Dienstleister einer Musik-Streaming-Plattform.
- Unbefugte Dritte erhielten dabei Zugriff auf personenbezogene Daten eines Kunden der Musik-Streaming-Plattform, die auf den Servern eines Dienstleisters der Musik-Streaming-Plattform gespeichert waren. Dies betraf insbesondere den Benutzernamen/Nickname, die E-Mail-Adresse und das Geschlecht der Kunden - der echte Vor- und Nachname war hingegen nicht betroffen. Die Täter berichteten später anonym in der Öffentlichkeit über den Datenschutzvorfall. Zudem boten sie die abgegriffenen Kundendaten im Darknet zum Kauf an.
- Kurze Zeit später meldete der Anbieter der Musik-Streaming-Plattform den Datenschutzvorfall der französischen Aufsichtsbehörde Commission Nationale de l'Informatique et des Libertés (CNIL). Daneben informierte der Anbieter auch auf seiner Website hierüber. In der Zwischenzeit konnten die Daten sogar kostenlos im Internet abgerufen werden.
- Einige weitere Wochen später informierte der Anbieter die betroffenen Personen direkt per E-Mail, deren Kundendaten beim Datenschutzvorfall gestohlen worden waren. Diese E-Mail enthielt für die Kunden die Empfehlung, als eine vorbeugende Sicherheitsmaßnahme die Passwörter zu ändern. Auch sollten die Kunden die aktuellen Sicherheitsempfehlungen der Behörden beachten.
Mehrere Monate später forderte der Anwalt eines Kunden den Anbieter der Musik-Streaming-Plattform per anwaltlichem Schreiben wegen Datenschutzverstößen zur Zahlung von Schadensersatz in Höhe von mindestens EUR 3.000 auf. Hiergegen wehrte sich der Anbieter mit der Behauptung, er habe bereits vor dem Datenschutzvorfall technische und organisatorische Schutzmaßnahmen implementiert, die hinreichend gewesen seien, um die nach den Datenschutzgesetzen erforderliche Datensicherheit zu gewährleisten.
Schließlich landete der Fall vor Gericht.
2) Entscheidung des Gerichts
Das LG Lübeck sprach dem Kunden der Musik-Streaming-Plattform Schadensersatz in Höhe von EUR 350,00 zu. Dabei lagen der Entscheidung des Gerichts im Wesentlichen die folgenden Erwägungen zugrunde:
- Aus Sicht des Gerichts waren die Voraussetzungen für einen Anspruch des Kunden auf Zahlung von immateriellen Schadensersatz nach Art. 82 Abs. 1 der DSGVO gegeben.
- Die Weitergabe von personenbezogenen Daten von Kunden an einen sog. Unterauftragsverarbeiter des Auftragsverarbeiters (Dienstleisters) durch den Anbieter der Musik-Streaming-Plattform ist ein Datenschutzverstoß, wenn zwischen dem Dienstleister und dem Unterauftragsverarbeiter kein sog. Auftragsverarbeitungsvertrag (AVV) gemäß den Vorgaben des Art. 28 DSGVO geschlossen worden ist. Ein solcher Datenschutzverstoß kann bei Vorliegen der weiteren Voraussetzungen des Art. 82 DSGVO einen Schadensersatzanspruch der betroffenen Personen begründen.
- Eine die Schadensersatzpflicht begründende „Beteiligung“ i.S.d. Art. 82 Abs. 2 DSGVO eines für die Datenverarbeitung verantwortlichen Unternehmens kann auch dann vorliegen, wenn der Verantwortliche an dem letztlich schadenrauslösenden Vorgang nicht direkt mitgewirkt hat. Hier genügt es, wenn der Verantwortliche in der Kette der Datenverarbeitungen mitursächlich beteiligt gewesen ist.
- Auch die an sich datenschutzkonforme Weitergabe von Daten an ein drittes Unternehmen kann zu einer Haftung für Datenschutzverstöße führen, wenn der Dritte die Daten rechtswidrig verarbeitet.
- Ein Unternehmen kann sich von der Haftung auf Schadensersatz nach den Voraussetzungen des Art. 82 Abs. 3 DSGVO nur dann befreien, wenn die Exkulpation hinsichtlich des eigenen Mitverursachungsbetrags für den Schaden gelingt. Dabei genügt für eine Haftung das Vorliegen von jedenfalls Fahrlässigkeit.
- Ein Schaden i.S.d. Art. 82 DSGVO besteht auch darin, dass die betroffene Person aufgrund eines Datenschutzvorfalls Ängste und Sorgen erlitten hat. Dabei enthält Art. 82 DSGVO keine sog. Bagatellgrenze. Allerdings kann hiervon eine Ausnahme gemacht werden, wenn das Risiko weiterer rechtswidriger Datenweitergaben als rein hypothetisch ist, es also keine belastbare Grundlage für entsprechende Ängste und Sorgen gibt.
- Die Veröffentlichung von Daten im Darknet ist als Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung anzusehen und begründet einen eigenständigen Schaden i.S.d. Art. 82 DSGVO, den betroffene Kunden ersetzt verlangen können.
- Bei der Bemessung der Höhe des immateriellen Schadens hat das Gericht in diesem Fall erwogen, welcher Betrag aus seiner Sicht angemessen, zugleich aber auch ausreichend ist, um den immateriellen Schaden auszugleichen und zugleich eine Abschreckungswirkung zu erzielen. Als besonderer Umstand des Falls war bei der Bemessung der Schadenshöhe zudem zu berücksichtigen, dass lediglich ein Spitzname, die E-Mail-Adresse und das Geschlecht, nicht aber der echte Vor- und Nachname des Kunden vom Datenschutzvorfall betroffen waren. Zudem verwies das Gericht darauf, dass es zu einer konkreten Vermögensgefährung oder gar -schädigung bislang noch nicht gekommen sei.
Das Wichtigste in Kürze
- Kunden können Schadensersatzansprüche auch dann geltend machen, wenn bloß ein immaterieller Schaden besteht.
- Ein immaterieller Schaden kann auch bei Ängsten und Sorgen von negativen Konsequenzen für den Betroffenen vorliegen, wenn diese nicht bloß hypothetisch sind.
- Eine Haftung auf DSGVO-Schadensersatz kann nicht nur bei Datenschutzverstößen im eigenen Unternehmen bestehen, sondern auch bei Datenschutzverstößen bei Dienstleistern und sogar bei Dienstleistern von Dienstleistern.
- Vor diesem Hintergrund sollten Unternehmen die Dienstleister, die sie zur Datenverarbeitung einsetzen, in jedem Fall sorgfältig auswählen.
Ein wichtiges und daher wesentliches Element des Datenschutzes im Internet ist die Veröffentlichung einer datenschutzkonformen Datenschutzerklärung auf der Website.
Wir bieten unseren Mandanten datenschutzkonforme Datenschutzerklärungen in unserem Datenschutz-Paket bereits ab EUR 5,90 zzgl. USt. pro Monat an.
Sprechen Sie uns natürlich gerne an, wenn Sie hierzu noch Fragen haben.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare