Wann gibt es Schmerzensgeld für gestohlene Daten?

Guido Kluck, LL.M. | 14. August 2023

Wir berichteten auf unserem Blog schon öfters über Hacker, die personenbezogene Daten gestohlen haben. Als betroffener Kunde können Sie vom Unternehmen einen Anspruch auf Schmerzensgeld haben, wenn Sie das Datenleck nachweisen. 

Wir fassen für Sie das Wichtigste auf unserem Blog zusammen! 

Sicherheitslücken bei vielen Unternehmen 

In Unternehmen werden immer öfter Sicherheitslücken in Bezug auf personenbezogene Daten bekannt. So können Kundendaten schnell zur Beute von Hackern werden. Mit den Daten handeln Hacker im Darknet oder begehen damit einen Identitätsdiebstahl. 

Haftung des Unternehmens bei gestohlenen Daten

Cyberangriffe stellen für das Unternehmen einen sehr großen Schaden dar. Doch wie sieht es für das Unternehmen aus, wenn es für die erlittenen Schäden zB. gegenüber Kunden und Lieferanten in Anspruch genommen wird? Es kann zu Datenschutzverletzungen kommen, die dem Unternehmen wegen ungenügenden Schutzes Ihres Cyberraums auch vorwerfbar sein könnten. Lieferanten könnten auch Lieferausfälle gelten machen. 

Das Unternehmen könnten gem. §§ 280 Abs. 1 und 2286 BGB in Anspruch genommen werden. Vertragspartner könnten auch einen Anspruch gem. § 280 BGB wegen Verletzung von vertraglich festgelegten Vertraulichkeitspflichten geltend machen. Natürlich könnten Unternehmen gem. § 280 Abs.1 S. 2 BGB einen Entlastungsbeweis erbringen, dass sie evtl. Sicherheitspflichten eingehalten haben, jedoch wird es bezüglich Ansprüchen von Kunden und Lieferanten nicht ausreichen. Auch aufgrund der Verschärfung des Datenschutzrechts durch die DSGVO besteht gem. Art. 82 DSGVO eine umfassende Haftung des Unternehmens! Demnach haftet jeder „an einer Verarbeitung Verantwortliche“ für jeden materiellen und immateriellen Schaden der durch eine nicht der Verordnung entsprechende Verarbeitung personenbezogener Daten verursacht wurde. 

Kausalität zwischen Verstoß und Schaden nachweisen

Der Anspruch aus Art. 82 DSGVO setzt außerdem voraus, dass ein Verstoß gegen die DSGVO für den Schaden des Betroffenen ursächlich geworden ist. Die Norm macht dabei vom Kausalitätserfordernis keine Ausnahme, sondern setzt als selbstverständlich voraus, dass es sich um Schäden handeln muss, die auf eine DSGVO-widrige Verarbeitung von personenbezogenen Daten zurückzuführen sind. 

Daran ändert die Zielsetzung der Vorschrift der betroffenen Person einen „vollständigen und wirksamen Schadenersatz“ gewährleisten zu wollen, nichts. Damit ist kein Aufweichen des Kausalitätserfordernisses, auch keine Beweiserleichterung gemeint.

Rechtstipp: Es genügt also nicht, dass ein etwaiger Schaden auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist. Das ergibt sich schon klar aus dem Wortlaut des Art. 82. Abs. 1 DSGVO, wonach der Schaden „wegen“ eines Verstoßes eingetreten sein muss. 

Schadensersatz einklagen lohnt sich

Dass es sich lohnt einen Schadensersatz einzuklagen, zeigen viele Urteile. So sprach das Landgericht Stuttgart einem Kläger 400 Euro Schadenersatz zu (Urt. v. 03.08.2023, Az. 54 O 8/23), das Landgericht Chemnitz einem Kläger 500 Euro Schadensersatz (Urt. v. 28.07.2023, Az. 1 O 878/22) oder das Landgericht Ravensburg einem Kläger ebenfalls 500 Euro Schadensersatz zu (Urt. v. 26.07.2023, Az. 5 O 100/22). 

Wichtig ist, dass der Kläger den Nachweis erbringt, inwieweit das Unternehmen seiner Verpflichtung zur hinreichenden Verschlüsselung der Kundendaten nach Art. 82 Abs. 1 DSGVO nicht nachgekommen ist. Hier reicht die bloße Vermutung es auf das Datenleck zurückzuführen nicht aus. Das bedeutet, dass der Kläger eine aufwändige Recherche betreiben muss. Hier kann sich der Betroffene an die Datenschutzaufsichtsbehörde wenden, um der Beweislast nachzukommen. 

Fazit

Durch die immer weiter voranschreitende Digitalisierung rückt auch immer mehr das Risiko eines Cyberangriffs in die Sphäre der Unternehmen. Bei so vielen Angriffen auf die personenbezogenen Daten ist es kaum möglich, dass dem Unternehmen keine Cyberattacke widerfahren wird. Daher stellen Sie sicher, dass Sie Ihren Cyberraum dementsprechend schützen und nehmen im Fall einer Attacke Kontakt mit einem IT-Spezialisten auf. Für die rechtliche Vertretung stehen wir Ihnen dann schnell und unkompliziert zur Seite und helfen Ihnen Ansprüche gegen Sie abzuwenden, aber auch Ansprüche für Sie geltend zu machen! Melden Sie sich bei uns! 

Für Kunden gilt, dass sie im Falle von Datendiebstahl herausbekommen, inwieweit das Unternehmen die Kundendaten verschlüsselt und nach einem Wechsel eines Dienstleisters die Zugangsdaten geändert hat. Dafür sollten sie sich bei der Datenschutzaufsichtsbehörde des Bundeslandes beschweren, in dem das Unternehmen seinen Sitz hat. Lassen Sie sich hierzu anwaltlich beraten und die aufwändige Recherche und Beweissicherung übernehmen. 

Jetzt teilen:

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).

ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOR

Das könnte Sie auch interessieren

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt Markenverlängerung
49,00 €

Markenverlängerung

Schützen Sie Ihre Marke auch über die gesetzliche Schutzfrist von 10 Jahren hinaus. Verlängern Sie Ihren Markenschutz einfach online.

LEGAL SMART Rechtsprodukt Patientenverfügung
99,00 €

Patientenverfügung

Überlassen Sie Ihre Behandlung im Ernstfall nicht dem Zufall. Bestimmen Sie mit einer Patientenverfügung selbst, welche Behandlung Sie wünschen und welche nicht.

LEGAL SMART Rechtsprodukt Markenanmeldung DE+
499,00 €

Markenanmeldung DE+

Mit einer alle Bereiche berücksichtigenden Prüfung erhalten Sie den besten Schutz für Ihre Marke und können Ihre eigene Marke in jeder Hinsicht einsetzen

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.