Schadensersatz nach Art. 82 DSGVO: Neue Entwicklungen und Rechtsprechung, von Dr. Thomas Schulte, Rechtsanwalt
Berlin, ein Polizeibeamter erleidet einen Beinbruch, weil er beim Liebesspiel aus dem Bett gefallen ist. Ein Krankenhausaufenthalt in Potsdam wird notwendig. Die mit der Pflege beauftragte Krankenschwester kennt einen Kollegen des Polizisten und schickt diesem eine Nachricht, wen sie gerade betreut und auch warum? Die ganze Einheit lacht sich kaputt über den Unfall, weil die Information natürlich weitergeleitet wird. Haftet nun das Krankenhaus auf Schadenersatz?
Kann das Krankenhaus für den Datenschutzverstoß der Krankenschwester haftbar gemacht werden?
In diesem Fall geht es um die Frage, ob ein Krankenhaus für die Verletzung der Datenschutzgrundverordnung (DSGVO) durch eine Mitarbeiterin haftbar gemacht werden kann?
Die Datenschutzgrundverordnung (DSGVO) hat mit Artikel 82 eine wichtige Rechtsgrundlage für Schadensersatzansprüche bei Datenschutzverstößen geschaffen. Jüngste Entscheidungen des Europäischen Gerichtshofs (EuGH) haben die Anwendung dieser Vorschrift weiter präzisiert und ihre Bedeutung für Betroffene gestärkt.
Voraussetzungen für Schadensersatzansprüche
Der EuGH hat klargestellt, dass nicht jeder Verstoß gegen die DSGVO automatisch einen Schadensersatzanspruch auslöst. Vielmehr müssen folgende Voraussetzungen erfüllt sein:
- Ein nachweisbarer Verstoß gegen die DSGVO.
- Ein daraus resultierender materieller oder immaterieller Schaden.
- Ein kausaler Zusammenhang zwischen Verstoß und Schaden.
Bemerkenswert ist, dass der EuGH eine weite Auslegung des Schadensbegriffs befürwortet. Dies umfasst nicht nur finanzielle Verluste, sondern auch immaterielle Schäden wie Zeitverlust, Ärger oder Rufschädigung.
Keine Erheblichkeitsschwelle erforderlich
Eine bedeutende Neuerung in der Rechtsprechung des EuGH ist die Ablehnung einer Erheblichkeitsschwelle oder Bagatellgrenze für Schadensersatzansprüche. Dem schließt sich auch das höchste Berliner Zivilgericht, das Kammergericht, an: “Der Wortlaut des Art. 82 DSGVO spricht nur von materiellem und immateriellem Schaden, ohne eine Erheblichkeitsschwelle zu erwähnen. Das Ziel der DSGVO, einen umfassenden Schutz der Datenschutzgrundrechte auf einem gleichmäßigen und hohen Niveau zu gewährleisten, erfordert ein weites Begriffsverständnis und schließt eine Erheblichkeitsschwelle aus. Gleichwohl muss die betroffene Person die für sie negativen Folgen eines DSGVO-Verstoßes aber nachweisen. Deshalb bedarf es der Darlegung eines konkreten (tatsächlichen) immateriellen Schadens, der über den durch die unrechtmäßige Datenverarbeitung ohnehin eingetretenen Kontrollverlust hinausgeht und der vom Betroffenen individuell darzulegen ist. Einen solchen konkret individuellen Vortrag kann dem Vorbringen der Klägerin nicht entnommen werden. Ihr Vortrag erschöpft sich in allgemeinen Darstellungen der Folgen der Offenbarung von personenbezogenen Daten.” (28 U 5/23, Kammergericht, 22.11.2023).
Dies bedeutet, dass auch geringfügige Schäden grundsätzlich ersatzfähig sind. Diese Entscheidung stärkt die Position der Betroffenen erheblich und könnte zu einer Zunahme von Schadensersatzklagen führen.
Bemessung der Schadenshöhe
Bei der Festlegung der Schadenshöhe haben nationale Gerichte einen gewissen Spielraum, müssen dabei jedoch die Grundsätze der Äquivalenz und Effektivität beachten. Interessanterweise hat der EuGH entschieden, dass weder der Grad des Verschuldens noch die Anzahl der DSGVO-Verstöße bei der Bemessung berücksichtigt werden müssen.
Haftung und Entlastungsmöglichkeiten
Bezüglich der Haftungsbefreiung hat der EuGH eine wichtige Klarstellung vorgenommen: Ein Verantwortlicher kann sich nicht durch den Verweis auf Fehlverhalten untergeordneter Mitarbeiter entlasten. Dies unterstreicht die Verantwortung von Unternehmen, für die korrekte Umsetzung der DSGVO-Vorgaben zu sorgen.
Die Höhe der Schadenersatzsummen sind sehr unterschiedlich, EuGH, Urteil vom 5. März 2024 – C-755/21 P z.B. 2000 Euro oder OLG Hamburg, Urteil vom 10. Januar 2024 – 13 U 70/23, Schufa, OLG Naumburg, Urteil vom 2. März 2023 – 4 U 81/22 mit 4.000 Euro.
Im vorliegenden Fall hat die Krankenschwester eindeutig gegen die DSGVO verstoßen, indem sie sensible Patientendaten an Dritte weitergegeben hat. Der Polizist hat durch die Verbreitung der Information in seiner Einheit einen immateriellen Schaden erlitten, da er sich bloßgestellt und lächerlich gemacht fühlen kann. Der kausale Zusammenhang zwischen dem Datenschutzverstoß und dem Schaden ist ebenfalls gegeben. Das Krankenhaus haftet für den Datenschutzverstoß seiner Mitarbeiterin und muss dem Polizisten Schadensersatz leisten, auch wenn der Schaden immaterieller Natur ist.
Der Fall mit dem Polizisten wurde schlussendlich vor Gericht verglichen. Über die Summe der Schadenersatzzahlung wurde Stillschweigen vereinbart.
