Art. 82 DSGVO: KG Berlin präzisiert immateriellen Schadensersatz

Datenschutzverstöße und deren rechtliche Folgen sind weiterhin ein zentral diskutiertes Thema in der aktuellen Rechtsprechung. Jüngst haben sowohl das Landgericht Berlin als auch das Kammergericht Berlin wegweisende Urteile gefällt, die wichtige Klarheit über den immateriellen Schadensersatz bei DSGVO-Verstößen schaffen. Dabei steht Art. 82 DSGVO im Mittelpunkt, der die Ansprüche Betroffener auf Schadensersatz regelt.

Während der Europäische Gerichtshof (EuGH) bereits entschieden hat, dass es keine Bagatellgrenze für Schadensersatzansprüche gibt, konkretisieren die Berliner Gerichte, dass Betroffene dennoch einen konkreten Nachweis für ihre individuelle Beeinträchtigung erbringen müssen.

Wichtig für Betroffene:
Sorgen, Ängste oder seelische Beeinträchtigungen aufgrund eines Datenlecks können grundsätzlich einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO begründen. Jedoch nur dann, wenn diese individuell dargelegt und belegt werden.

Dies verdeutlicht insbesondere das Urteil des KG Berlin vom 22.11.2023 (Az.: 28 U 5/23), in dem es heißt:

„Der bloße Kontrollverlust über personenbezogene Daten reicht nicht automatisch aus, um einen Anspruch auf Schadensersatz nach Art. 82 DSGVO geltend zu machen.“

Das Urteil hat nicht nur für Betroffene, sondern auch für Unternehmen im Bereich Datenschutzrecht und DSGVO-Compliance erhebliche Bedeutung, da es die Voraussetzungen für den immateriellen Schadensersatz weiter konkretisiert

Hintergrund Urteil des KG Berlin: Datenleck und Auskunftsanspruch nach Art. 15 DSGVO

Im zugrunde liegenden Fall bezüglich des immateriellen Schadens nach Art. 82 DSGVO ging es um einen Hackerangriff auf die Nutzer einer bekannten Fitness-App, bei dem im Juli 2018 rund 1,9 GB personenbezogene Daten entwendet und anschließend auf einer öffentlich zugänglichen Website zum Download bereitgestellt wurden.

Betroffen waren sensible personenbezogene Daten im Sinne der DSGVO, darunter:

• Namen und E-Mail-Adressen
• Passwörter
• Profilbilder
• IP-Adressen

Ein Legal-Tech-Unternehmen hatte daraufhin die Schadensersatzansprüche zahlreicher Betroffener gemäß Art. 82 DSGVO vertraglich an sich abtreten lassen und diese gebündelt im eigenen Namen vor dem KG Berlin geltend gemacht. Die Klage umfasste zwei Hauptforderungen:

1. Umfassende Auskunftserteilung nach Art. 15 DSGVO
2. Immaterieller Schadensersatz nach Art. 82 DSGVO in Höhe von mindestens 5.400 Euro pro betroffener Person

Das Landgericht Berlin wies die Klage jedoch vollständig ab. Es stellte klar, dass der Auskunftsanspruch gemäß Art. 15 DSGVO höchstpersönlich ist und deshalb nicht abgetreten werden kann. Zwar können Betroffene Dritte bevollmächtigen, um ihre Datenschutzansprüche durchzusetzen, die eigentliche Auskunft muss jedoch direkt an die betroffene Person erfolgen.

Kein automatischer Schadensersatz nach Art. 82 DSGVO: Was das KG Berlin entschieden hat

Das KG Berlin bestätigte die Entscheidung des Landgerichts Berlin vom 24.03.2023 (Az.: 38 O 221/22) und setzte damit wichtige Leitplanken für die Auslegung von Art. 82 DSGVO und dem immateriellen Schadensersatz.

Der Senat betonte ausdrücklich, dass die DSGVO keine Bagatellgrenze vorsieht. Das bedeutet: Jeder immaterielle Schaden kann grundsätzlich nach Art. 82 DSGVO ersatzfähig sein. Gleichzeitig stellte das KG Berlin jedoch klar, dass Betroffene konkrete individuelle Nachteile darlegen müssen, um Schadensersatzansprüche erfolgreich geltend zu machen.

Wichtige Kernaussagen des KG Berlins zum immateriellen Schadensersatz nach Art. 82 DSGVO

• Keine Bagatellgrenze: Auch geringfügige Schäden können nach Art. 82 DSGVO ersatzfähig sein.
• Konkreter Nachweis erforderlich: Pauschale Behauptungen reichen nicht aus.
• Kontrollverlust allein genügt nicht: Der reine Umstand, dass personenbezogene Daten durch ein Datenleck kompromittiert wurden, reicht nicht automatisch für einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO.
• Individuelle Beeinträchtigung nachweisen: Angst, Sorgen oder seelische Belastungen müssen konkret und individuell belegt werden.

Damit stärkt das Kammergericht Berlin die Position von Unternehmen, die Opfer eines Datenlecks wurden, und schafft gleichzeitig einen klaren Rahmen für Betroffene, die Schadensersatzansprüche nach Art. 82 DSGVO geltend machen wollen.

Praktische Bedeutung des KG-Berlin-Urteils zum immateriellen Schadensersatz 

Die Entscheidung des KG Berlin ist besonders relevant für Unternehmen mit hohen Datenschutzrisiken, da sie den Umfang möglicher Haftungen präzisiert. Gleichzeitig erhalten Betroffene klare Hinweise, welche Nachweise erforderlich sind, um vor Gericht erfolgreich immaterielle Schadensersatzansprüche nach Art. 82 DSGVO geltend zu machen.

Was sollten Unternehmen nach dem KG-Berlin-Urteil zum immateriellen Schadensersatz nach Art. 82 DSGVO tun?

Die Urteile des LG Berlin und des KG Berlin verdeutlichen, dass sowohl Unternehmen als auch Betroffene ihre Strategien im Umgang mit Datenschutzverletzungen und der Durchsetzung von Schadensersatzansprüchen gemäß der DSGVO künftig anpassen müssen.

Für Unternehmen bedeutet die Entscheidung, dass die Anforderungen an den Nachweis immaterieller Schäden nach Art. 82 DSGVO nun deutlich präziser gefasst sind. Ein bloßer Kontrollverlust über personenbezogene Daten reicht nicht mehr aus, um DSGVO-Schadensersatzforderungen erfolgreich abzuwehren oder durchzusetzen. Unternehmen sind daher gut beraten, ihre internen Datenschutzmaßnahmen zu überprüfen und rechtssicher zu dokumentieren.

Überfordert mit der Umsetzung der DSGVO? Hier finden Sie unser Webinar zum Thema „DSGVO-konformes Handeln – Unmöglichkeit oder Herausforderung?“

Empfehlungen für Unternehmen bezüglich des Schadensersatzanspruchs nach Art. 82 DSGVO

• Technische und organisatorische Maßnahmen dokumentieren
  → Sämtliche Schutzmaßnahmen gemäß Art. 32 DSGVO sollten lückenlos festgehalten werden, um im Streitfall DSGVO-Compliance nachweisen zu können.
• Transparente Informationspflichten erfüllen
  → Betroffene müssen nach Art. 33 und 34 DSGVO zeitnah und umfassend über Datenpannen informiert werden, um Haftungsrisiken und immaterielle Schadensersatzforderungen nach Art. 82 DSGVO zu minimieren und Vertrauen zu stärken.
• Vorbereitung auf gezielte Einzelklagen
  → Da Gerichte künftig eine individuelle Darlegung immaterieller Schäden nach Art. 82 DSGVO verlangen, sollten Unternehmen auf präzise Einzelfallprüfungen vorbereitet sein.

Für Betroffene erhöhen die Urteile aus Berlin ebenfalls die Anforderungen an eine erfolgreiche Geltendmachung von immateriellen DSGVO-Schadensersatzansprüchen. Pauschale Behauptungen reichen nicht mehr aus. Erforderlich ist eine konkrete Darstellung der persönlichen Beeinträchtigung infolge des Datenlecks.

Sie haben Fragen zur DSGVO und deren Umsetzung? Nehmen Sie gerne an unserer DSGVO Sprechstunde teil.

Empfehlungen für Betroffene nach dem Urteil zum immateriellen Schadensersatz nach Art. 82 DSGVO

• Seelische Belastungen belegen
  → Dokumentieren Sie mögliche psychische Belastungen, etwa Stress, Angst oder Schlafstörungen nach einer Datenpanne.
• Finanzielle Schäden nachweisen
  → Sammeln Sie Belege für Identitätsdiebstahl, betrügerische Kontoeröffnungen oder Phishing-Angriffe.
• Reputationsschäden konkretisieren
  → Betroffene sollten nachweisbare berufliche oder persönliche Nachteile durch die Veröffentlichung personenbezogener Daten dokumentieren.

Diese praxisnahen Leitlinien helfen beiden Seiten, Datenschutzverstöße rechtssicher zu managen und immaterielle Schadensersatzansprüche nach Art. 82 DSGVO gezielt vorzubereiten. Andernfalls kann die Entscheidung, wie im vorliegenden Fall, zu Ungunsten der Kläger ausfallen:
Das Landgericht Berlin stellte ausdrücklich fest, dass die Klägerin keine hinreichenden Beweise vorgelegt hatte, ob die entwendeten Daten überhaupt ausgelesen oder missbraucht werden konnten. Daher blieb ihre Klage ohne Erfolg.

Fazit zum KG-Berlin-Urteil bezüglich des immateriellen Schadensersatzes nach Art. 82 DSGVO

Die Urteile des Landgerichts Berlin und des Kammergerichts Berlin setzen klare Maßstäbe für den immateriellen Schadensersatz nach Art. 82 DSGVO. Sie verdeutlichen, dass kein Anspruch auf Schadensersatz allein durch den Kontrollverlust über personenbezogene Daten nach der DSGVO entsteht. Betroffene müssen konkrete individuelle Beeinträchtigungen nachweisen, um erfolgreich Schadensersatz geltend machen zu können.

Für Unternehmen bedeutet dies, dass präventiver Datenschutz wichtiger denn je ist: technische und organisatorische Maßnahmen müssen sorgfältig dokumentiert und Betroffene transparent informiert werden. Gleichzeitig wissen Betroffene nun genauer, welche Nachweise erforderlich sind, um ihre Datenschutzansprüche DSGVO-konform durchzusetzen.

Für Unternehmen bedeutet dies, dass präventiver Datenschutz und eine solide DSGVO-Compliance-Struktur wichtiger denn je sind.

Unsere spezialisierten Anwälte im IT- und Datenschutzrecht unterstützen Sie bei der Durchsetzung und Abwehr von DSGVO-Schadensersatzansprüchen nach Art. 82 DSGVO. Jetzt Beratungstermin vereinbaren!