Erleidet jemand einen Schaden aufgrund eines Datenschutzverstoßes, kann ein Anspruch auf Schadensersatz nach Art. 82 DSGVO bestehen. Art. 82 DSGVO umfasst dabei nicht nur materielle, sondern auch immaterielle Schäden (sog. Schmerzensgeld).
Materieller Schadensersatz
Beim materiellen Schadensersatz muss dem Geschädigten ein tatsächlicher Schaden entstanden sein. Der Geschädigte müsste in einem Gerichtsverfahren daher nicht nur den eigentlichen Datenschutzverstoß beweisen, sondern auch seinen dadurch kausal entstandenen Schaden.
Beispiel: Eine Bank verlangt für einen Verbraucherkredit von einem Kunden einen höheren als den üblichen Zinssatz wegen einer fehlerhaft niedrigen Bonitätsauskunft einer Auskunftei. Die Auskunftei berücksichtigte bei ihrer Bonitätsbewertung Einträge (personenbezgene Daten), die sie zuvor hätte löschen müssen.
Der Geschädigte müsste also beweisen, dass die ihn betreffende Bonitätsauskunft einen Datenschutzverstoß darstellt und dadurch ein höherer Zinssatz von seiner Bank verlangt wurde, als er ohne Berücksichtigung des zu löschenden Eintrags normalerweise erhalten hätte. Die Zinsdifferenz wäre dann der ebenfalls vom Geschädigten vor Gericht zu beweisende Schaden.
Immaterieller Schadensersatz (Schmerzesgeld)
Beim immateriellen Schadensersatz hat der Geschädigte den Datenschutzverstoß zwar ebenfalls zu beweisen, die Darlegung und Beweisführung seines immateriellen Schadens kann jedoch deutlich leichter sein, als beim materiellen Schadensersatz.
So kann es ausreichen, dass der Geschädigte z.B. bei einer Datenpanne bzw. unrechtmäßigen Weitergabe seiner personenbezognen Daten eine persönliche Kränkung erfährt oder empfindet oder einen Kontrollverlust über seine personenbezogenen Daten hinnehmen muss. Der Datenschutzverstoß würde also eine gewisse Außenwirkung entfalten oder die Privat- und Sozialsphäre des Geschädigten betreffen.
Ein anderer Fall wäre Überwachungsdruck am Arbeitsplatz, der Beschäftigten gegenüber durch eine unzulässige Videoüberwachung des Arbeitgebers vermittelt wird. Je weniger konkreter ein Geschädigter seinen immateriellen Schaden jedoch darlegt, desto eher kann ein Gericht geneigt sein, die Schädigung gar nicht oder nur als Bagatelle zu erkennen.
Schadenhöhe abhängig vom konkreten Einzelfall
Ähnlich verhält es sich bei der konkreten Schadenhöhe, die beim immateriellen Schadensersatz nach richterlichem Ermessen vom Gericht festgesetzt wird. Hierbei werden sämtliche Umstände des jeweiligen Einzelfalls berücksichtigen, wobei aus den Erwägungsgründen der DSGVO jedoch zu entnehmen ist , dass der Begriff des Schadens grundsätzlich weit ausgelegt werden soll.
Die Logik des europäischen Gesetzgebers ist hierbei, dass Unternehmen die Regelungen der DSGVO eher ernst nehmen und befolgen, wenn sie neben behördlichen Maßnahmen wie insbesondere Bußgelder, höhere Schadensersatzsummen zu befürchten haben.
Insgesamt variieren die bislang ausgesprochenen Schadensersatzsummen in der Rechtsprechung stark. Teilweise wurde bei Bagatellverstößen überhaupt kein Schadensersatz zugesprochen. In anderen Fällen entnahmen die Richter in dem Schadenregime der DSGVO einen gewissen Sanktionsgedanken und sprachen durchaus spürbare Schadensersatzhöhen den Geschädigten zu.
Viele Streitigkeiten dürften dabei vor einem Gerichtsverfahren bzw. Urteilsspruch zwischen den Parteien verglichen werden, da Unternehmen ggf. vermeiden möchten, dass der Geschädigte auch noch die zuständige Datenschutzaufsichtsbehörde involviert. Dies könnte über eine gütliche Einigung erreicht werden.
Bedeutung des datenschutzrechtlichen Auskunftsanspruch
In der Praxis wird die Geltendmachung eines datenschutzrechtlichen Schadensersatzanspruchs regelmäßig mit einem Auskunftsverlangen nach Art. 15 DSGVO bei der Gegenseite vorbereitet. Dieser verursacht für den Betroffenen keine Kosten und erlaubt einen besseren Überblick über den Umfang der Verarbeiteten Daten.