Schadensersatz bei Datenschutzverletzungen – Eine quantitative Analyse

Das Datenschutzrecht wird in der EU und Deutschland nicht nur von Behörden, sondern auch von Privatpersonen durchgesetzt. Betroffene können dazu neben Auskunft oder Löschung ihrer Daten insbesondere auch Schadensersatz verlangen. Da ein Datenschutzverstoß häufig aber keine tatsächlich finanzielle Einbuße nach sich zieht (“materielle” Schäden), gewährt die Datenschutzgrundverordnung (DSGVO) auch Anspruch auf den Ersatz “immaterieller“ Schäden. Ähnlich dem sog. “Schmerzensgeld” bei Körperverletzungen kann also Geld verlangt werden, obwohl der Betroffene gar keinen finanziellen Verlust erlitten hat.

In der Rechtsprechung ist bisher allerdings nicht vollständig geklärt, wann ein solcher “immaterieller Schaden” vorliegt und wie hoch er zu bemessen ist. Der Europäische Gerichtshof (EuGH) und auch der deutsche Bundesgerichtshof (BGH) haben hierzu in den vergangenen zwei Jahren bereits einige Entscheidungen erlassen, z.B. der BGH im November 2024 ein Urteil zum sog. Facebook-Scraping (TW berichtete).

Wenige Äußerungen bietet die höchstrichterliche Rechtsprechung bisher allerdings in Hinblick auf die Schadenshöhe, wenngleich hier kürzlich zwei BGH-Urteile ergangen sind, die Schadenssummen von 100 EUR und weniger als 500 EUR für angemessen erachtet hatten. Für die Ermittlung der wahrscheinlichen Schadenshöhe sollten Unternehmen und Betroffene daher auch die sog. Instanz-Rechtsprechung, also z.B. die Entscheidungen von z.B. Amts- und Landgerichten, betrachten.

1. Ein Datensatz zur Instanzrechtsprechung

Da es bereits tausende Einzelentscheidungen gibt, ist es allerdings schwer einen Überblick zu erlangen. Unser Rechtsanwalt Herr Dr. Jakob Horn hat daher gemeinsam mit Dr. Lea Stegemann einen Datensatz mit 255 veröffentlichten Entscheidungen zusammengetragen, der den Zeitraum ab Geltung der DSGVO im Mai 2018 bis August 2023 abdeckt. Der Datensatz bringt damit etwas Licht ins Dunkel der Rechtsprechung.
Zu berücksichtigen ist allerdings, dass es in Deutschland mehrere Tausend gerichtliche Verfahren zum Schadensersatz geben dürfte. Da deutsche Gerichte allerdings nur sehr wenige Urteile veröffentlichen (ca. 1% aller Entscheidungen unterhalb der obersten Bundesgerichte), müssen sich Juristinnen und Juristen auch mit einer kleineren Auswahl zufriedengeben.

2. Erfolgreiche und abgewiesene Klagen

Auffällig ist zunächst, dass nur etwa 25 % der erhobenen Klagen überhaupt zur Verurteilung auf Schadensersatz geführt haben. In drei Vierteln der Fälle wird der Schadensersatzanspruch hingegen vollständig abgewiesen. Das legt die Vermutung nahe, dass es Klägern häufig nicht gelingt, einen Rechtsverstoß oder einen Schaden nachzuweisen. Für Unternehmen bedeutet dies umgekehrt, dass sie jede geltend gemachte Forderung genau auf Stichhaltigkeit prüfen sollten.

3. Geforderte und zugesprochene Schadenssummen

Die jeweiligen Kläger haben Schadensersatzbeträge zwischen 100 € und 30.000 € geltend gemacht, wobei der Durchschnitt bei ca. 5.200 EUR liegt. Die zugesprochenen Beträge bewegen sich ebenfalls zwischen 25 € und 30.000 €. Allerdings liegt der Mittelwert mit 3.300 EUR deutlich darunter. Zugleich deutet der niedrigere Mittelwert bei den zugesprochenen Beträgen schon darauf hin, dass Kläger häufig mehr fordern als die Gerichte letztlich für angemessen erachten.
Zu berücksichtigen ist zudem, dass die jüngere Rechtsprechung darauf hindeutet, dass die tatsächlich zugesprochenen Summen noch weiter sinken dürften. Insbesondere der BGH hat sich hier in zwei Massenkonstellationen zum sog. Facebook-Scraping und zur SCHUFA-Meldung mit sehr niedrigen dreistelligen Summen positioniert.

(Wird mit der Maus auf einen einzelnen Punkt gezeigt, werden weitere Details zur jeweiligen Entscheidung angezeigt.)

Besonders interessant ist allerdings eine direkte Gegenüberstellung von beantragter Summe und zugesprochenem Ergebnis. In etwa zwei Dritteln der Fälle sprachen die Gerichte nämlich weniger als 40 % der geforderten Summe zu. Die tatsächlich geforderte Summe wurde hingegen nur in weniger als 10% der Fälle zugesprochen. Das zeigt, dass zahlreiche Kläger überhöhte Summen forderten.

(Wird mit der Maus auf einen einzelnen Punkt gezeigt, werden weitere Details zur jeweiligen Entscheidung angezeigt.)

4. Betroffene Daten

Ein entscheidendes Kriterium für die Höhe des Schadensersatzes sollte die Art der betroffenen personenbezogenen Daten sein. Und tatsächlich zeigt die Auswertung, dass die durchschnittlichen Schadensersatzsummen umso höher sind, wenn besonders sensible Daten betroffen sind. Wurde beispielsweise nur eine Benutzer-ID oder Kundennummer offengelegt, fiel der Schadensersatz vergleichsweise gering aus. Sind hingegen besonders sensible Daten betroffen (etwa der Inhalt einer Festplatte) werden auch substanzielle Beträge zugesprochen.

(Wird mit der Maus auf einen einzelnen Punkt gezeigt, werden weitere Details zur jeweiligen Entscheidung angezeigt.)

Fazit: Was bedeutet die Untersuchung für Unternehmen?

Unternehmen können sich, wenn ihnen beim Datenschutz Fehler unterlaufen, schnell Schadensersatzansprüchen ausgesetzt sehen. Unternehmen sollten jedoch im Einzefall abwägen, wie darauf zu reagieren ist. So zeigt die Auswertung der veröffentlichten Rechtsprechung, dass häufig Forderungen geltend gemacht werden, die vor Gericht nicht durchsetzbar sind. Darüber hinaus deutet die Auswertung darauf hin, dass häufig überhöhte Forderungen geltend gemacht werden, sodass auch die Höhe der Forderung geprüft werden sollte. Vorsicht ist zudem geboten, wenn sich die Forderung nicht nur auf einen Einzelfall bezieht, sondern potentiell von einer Vielzahl von Klägern geltend gemacht werden kann. Es gibt professionelle Anbieter, die massenweise Klagen gegen Unternehmen wegen Datenschutzverstößen geltend machen. Eine solche Klagewelle kann schnell teuer werden, auch wenn die zugesprochenen Summen im Einzelfall relativ niedrig sind.