Schadensersatzanspruch nach Art. 82 DSGVO
Auch: DSGVO-Schadensersatz · Immaterieller Schadensersatz DSGVO
Wird gegen die DSGVO verstoßen und entsteht dem Betroffenen dadurch ein materieller (z. B. finanzieller) oder immaterieller (z. B. Stress, Kontrollverlust über die eigenen Daten) Schaden, kann er nach Art. 82 DSGVO direkt Schadensersatz vom Verantwortlichen verlangen – unabhängig von einem behördlichen Bußgeldverfahren.
Ausführliche Erklärung
Art. 82 DSGVO begründet einen zivilrechtlichen Anspruch, der neben das aufsichtsrechtliche Bußgeld tritt und von den Betroffenen selbst vor den ordentlichen Gerichten geltend gemacht werden kann. Für Makler ist dieser Anspruch aus mehreren Gründen praxisrelevant geworden:
- Niedrige Einstiegshürde: Der EuGH hat wiederholt entschieden (u. a. Urteil vom 04.05.2023, C-300/21 „Österreichische Post“), dass bereits ein spürbarer, wenn auch geringer immaterieller Schaden ausreicht – ein bloßer DSGVO-Verstoß allein genügt zwar nicht automatisch, aber die Anforderungen an den Nachweis eines konkreten Nachteils sind niedriger als früher angenommen.
- Typische Auslöser im Maklerkontext: unberechtigte Weitergabe von Interessentendaten an Dritte, verspätete oder unvollständige Auskunftserteilung, Datenpannen mit sensiblen Unterlagen (Bonität, Ausweis), unzulässige Werbung ohne Einwilligung.
- Höhe: Deutsche Gerichte bewegen sich bei rein immateriellen Schäden ohne gravierende Folgen häufig in eher moderaten Bereichen (oft im niedrigen drei- bis vierstelligen Bereich), es gibt aber auch höhere Zusprüche bei besonders sensiblen Daten oder mehrfachen/systematischen Verstößen.
- Beweislast: Der Verantwortliche muss nachweisen, dass er in keiner Weise für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DSGVO) – eine Art Entlastungsbeweis, der die Position des Maklers erschwert, wenn keine saubere Dokumentation vorliegt.
- Verjährung: Es gelten die allgemeinen zivilrechtlichen Verjährungsfristen (regelmäßig drei Jahre, § 195 BGB, beginnend mit Kenntnis).
Für Makler folgt daraus ein doppeltes finanzielles Risiko bei DSGVO-Verstößen: das behördliche Bußgeld nach Art. 83 DSGVO und zusätzlich individuelle Schadensersatzforderungen der Betroffenen – wobei Letztere gerade bei einer größeren Zahl Betroffener (z. B. bei einem CRM-Datenleck) in Summe erheblich werden können.
Beispiel aus der Praxis
Nach einem Hackerangriff auf das CRM-System eines Maklerbüros werden Namen, Adressen und Finanzierungsdaten von 200 Interessenten offengelegt. Mehrere Betroffene fordern neben der Meldung an die Aufsichtsbehörde auch individuellen Schadensersatz wegen des erlittenen Kontrollverlusts über ihre sensiblen Daten – unabhängig davon, ob die Aufsichtsbehörde zusätzlich ein Bußgeld verhängt.
Rechtsgrundlage
- Art. 82 DSGVO – Zivilrechtlicher Schadensersatzanspruch für materielle und immaterielle Schäden aus DSGVO-Verstößen, mit Beweislastumkehr zulasten des Verantwortlichen.