Die Datenschutz-Grundverordnung (DSGVO) sieht diverse Rechte für die Personen vor, deren Daten von Unternehmen, Behörden oder Vereinen verarbeitet werden. Art. 81 Abs. 1 DSGVO regelt die Möglichkeit, einen Anspruch auf Schadenersatz geltend machen zu können. Die Frage, ob es sich hierbei um einen höchstpersönlichen oder um einen an Dritte abtretbaren Anspruch handelt, ist noch nicht abschließend geklärt. Als erstes deutsches Gericht hat sich das Oberlandesgericht (OLG) Hamm dieser Frage angenommen. Dieser Frage und ihrer Antwort kommt eine hohe praktische Bedeutung zu, weil eine Abtretbarkeit von DSGVO-Schadenersatzansprüchen die Möglichkeit eröffnen würde, dass diese von darauf spezialisierten Unternehmen „eingesammelt“ und in großem Stil geltend gemacht werden könnten.

Auf ganz ähnliche Art und Weise werden schon seit Längerem Ersatzansprüche bei Flugverspätungen bzw. -ausfällen durchgesetzt. Flightright, Flugrecht.de & Co. setzen zuhauf Fluggastrechte durch, indem sie sich die Entschädigungsansprüche abtreten lassen und bei erfolgreicher Durchsetzung den Betrag abzüglich der Provision an den geschädigten Fluggast auszahlen. Im Bereich der Datenschutzverstöße und des Schadenersatzes stehen die dementsprechenden Dienstleister bereits in den Startlöchern. Folge: Für alle datenschutzrechtlich verantwortlichen Stellen, also Unternehmen, Behörden und Vereine (Details dazu siehe Kasten: „Praxistipp“) kann das in Zukunft ein erhöhtes Aufkommen an Schadenersatzforderungen bedeuten.

Grundlagen

Art. 81 Abs. 1 DSGVO schreibt folgendes vor: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

In Art. 82 Abs. 3 DSGVO ist zudem eine Regelung zur Haftungsbefreiung enthalten: „Der Verantwortliche […] wird von der Haftung […] befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Das klingt alles zunächst relativ klar und eindeutig, gleichwohl gibt es hierbei die eine oder andere zu klärende Frage. Reicht jeder Verstoß gegen die DSGVO aus? Muss es sich um einen erheblichen Schaden handeln, besteht also eine Bagatellgrenze? Wer muss was nachweisen? Was genau muss das für ein Schaden sein? Was genau ist nachzuweisen, damit die Haftung für den behaupteten Schaden ausgeschlossen werden kann? Muss oder darf ein Schadenersatz abschreckend sein? Und nicht zuletzt...