DSGVO-Schadensersatz: Klägerfreundliches vom EuGH
Der Datenschutz bekommt (weitere) Zähne. Die Voraussetzungen für Schadensersatzansprüche liegen erheblich niedriger als viele Oberlandesgerichte annahmen. Eine Vorlage des BGH hat sich mit jüngeren Urteilen des EuGH erledigt.
Bereits kurz nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) stellten sich viele Menschen die Frage: Was bringt mir das? Die überhandnehmende Bürokratie und zahlreiche, meist unverständliche Einschränkungen, wie Fotoverbote bei Einschulungen, erzeugten viel Skepsis. Ein Lichtblick aus Betroffenensicht: Der Schadensersatzanspruch, geregelt in Art. 82 DSGVO. Diese Vorschrift stellt die einzige Stelle in der DSGVO dar, die Betroffenen einen konkreten, sofort spürbaren Nutzen bringt. Allerdings: Die Materie ist, insbesondere wegen der zahllosen und in unverständlicher Sprache gehaltenen Abwägungserfordernisse, für Rechtslaien praktisch nicht handhabbar.
In dieser Lage kreuzten sich die Strahlen: Anwälte und Legal Tech-Unternehmen stellten fest, dass es sehr viele Betroffene von Datenschutzrechtsverletzungen gibt, deren Fälle weitgehend gleichgelagert sind und den Betroffenen Schadensersatzansprüche bescheren. Gleichzeitig erscheint vielen das Risiko, diese auch durchzusetzen, zu hoch. Wo ein (derart großer) Markt ist, ist auch ein Angebot. Seit 2019 ist die gesammelte Durchsetzung abgetretener Schadensersatzansprüche wegen Datenschutzrechtsverletzungen am Markt etabliert (Offenlegung: unter anderem durch den Autor, der das erste Massenverfahren wegen eines Datenlecks unter der DSGVO auf Betroffenenseite erfolgreich abgeschlossen hat).
Bei vielen Gerichten stieß diese Entwicklung nicht auf Gegenliebe. Die Erfahrungen mit der massenhaften Durchsetzung von Fluggastrechten ist für Schwerpunktgerichte traumatisch. Der Präsident des Amtsgerichts Köln leitete einen Vortrag etwa mit den Worten ein: „Mein Name ist Dietmar und ich bearbeite Fluggastrechte.“ Das kann man wohl sagen: Sein Gericht wuppt 4000 Fälle pro Monat (!). Die Dieselklagen führten zur Einrichtung eines eigenen Senats beim Bundesgerichtshof. Beim OLG Stuttgart (der Berufungsinstanz!) sind auch nach Ablauf der Verjährungsfristen noch mehrere tausend Verfahren anhängig. Und jetzt auch noch der Datenschutz?
Folge war eine Rechtsprechung, die von höflicher Ablehnung (OLG Karlsruhe) bis zu offen gezeigtem Ekel (OLG Hamm) reichte. Und da wir uns, wie oben gezeigt, in einem abwägungsintensiven Rechtsumfeld bewegen, gab es nicht nur einen Anlass, sondern auch die Gelegenheit, den Betroffenen von Datenlecks juristische Steine in den Weg zu legen. Dabei bildeten sich zwei Schwerpunkte heraus: Auf haftungsbegründender Seite wurden die Anforderungen an die Darlegung einer Datenschutzrechtsverletzung hochgeschraubt und von den Klägern verlangt, dass sie die Ursache von Datenlecks detailreich beschreiben, obwohl sie (natürlich) keinerlei Einblick in die internen Abläufe des Verantwortlichen haben und in vielen Fällen auch offen blieb, wie konkret es zur rechtswidrigen Veröffentlichung oder dem rechtswidrigen Zugriff Dritter auf die personenbezogenen Daten kommen konnte.
Andererseits stellte sich der haftungsausfüllende Tatbestand als Stellrad der Gerichte heraus, die lieber wieder Verkehrsunfälle bearbeiten wollten. Insbesondere an die Darlegung eines immateriellen Schadens wurden (zuletzt und namentlich durch das OLG Hamm, Urt. v. 15.8.2023, 7 U 19/23 zum Facebook-Datenleck) praktisch unerfüllbare Anforderungen gestellt. Zentrales Argument war hier, dass eine Verletzung von Vorgaben der DSGVO nicht mit einem Schaden gleichzusetzen sei, sodass Vortrag „darüber hinaus“, erforderlich sei. Zwei der Argumentationslinien haben am 14. Dezember 2023 ihre Vollendung – man kann sagen: ihren Abschluss - beim Europäischen Gerichtshof gefunden. Die nun auch von den Instanzgerichten zu berücksichtigenden Anforderungen an die Rechtsdurchsetzung von Schadensersatzansprüchen sind (weitgehend) geklärt. Um es vorwegzunehmen: Die Lage ist für Kläger erheblich leichter geworden, die Sabotage durch widerstrebende Gerichte schwieriger.
Die Frage nach den Spielregeln bei der Geltmachung einer Rechtsverletzung hat der EuGH in seiner Entscheidung C-340/21 behandelt (EuGH, Urteil vom 14.12.2023, C-340/21). Der zur Entscheidung gestellte Sachverhalt war dankbarerweise ein Schulbuchfall eines Datenlecks. Eine Verwaltungseinrichtung war gehackt worden. Der gegen sie gerichtete Vorwurf lautete daher, sie habe keine zureichenden Sicherungsmaßnahmen getroffen, wie von Art. 25, 32 DSGVO gefordert.
Den aus Klägersicht einfachsten Weg hat der EuGH verbaut: Er stellte fest, dass ein Datenschutzvorfall nicht die Schlussfolgerung zulasse, dass die Sicherungsanforderungen der DSGVO verletzt worden seien. Das ist ebenso selbstverständlich wie sinnvoll. Die DSGVO fordert ein risikoadäquates Sicherheitsniveau und keine absolute Sicherheit. Sie wäre sonst auf etwas Unmögliches gerichtet und begründete eine Garantiehaftung, die mit rechtsstaatlichen Grundsätzen nicht vereinbar wäre (auch wenn der EuGH an anderer Stelle, nämlich bei Bußgeldverfahren, genau in diese Richtung neigt).
Klar ist aber auch: Den Verantwortlichen trifft eine Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO. In der deutschen Rechtsprechung war umstritten, was aus dieser Vorschrift folgt. Der EuGH hat sich nun entschieden, die Vorschrift unter dem Gesichtspunkt einer Beweislastregel zu behandeln. Und da ist sein Verdikt eindeutig: Es ist an dem Verantwortlichen, zu beweisen, dass er Sicherheitsmaßnahmen getroffen hat und dass diese risikoadäquat, also für den gewählten Zweck ausreichend waren.
Nach deutschem Prozessrecht stellt sich die Frage nach den Auswirkungen dieses Spruchs. Die Zivilprozessordnung unterscheidet nämlich zwischen Darlegungslast und Beweislast. Dabei ist es im Ausgangspunkt der Kläger, der die anspruchsbegründenden Tatsachen zunächst einmal darlegen, also schlüssig behaupten muss. Wie also umgehen mit dem Standardfall, dass der Verantwortliche seinen Kopf in einen Eimer Sand steckt und tunlichst keine Informationen preisgibt, um seiner Haftung zu entgehen?
Hier bieten sich zwei denkbare Lösungsansätze für die Klägerseite an. Einerseits wird er sich darauf stützen können, dass ein Datenschutzvorfall eine widerlegliche Vermutung für eine Unterschreitung des gebotenen Sicherheitsniveaus bietet. Kommt der Verantwortliche seiner Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nicht nach, indem er (vorgerichtlich) schildert, welche konkreten Maßnahmen er zur Absicherung seiner Verarbeitungsvorgänge getroffen hat, wird es ausreichen, dass der Kläger vorträgt, dass der Beklagte überhaupt keine Sicherungsmaßnahmen getroffen habe. Klar ist, dass er das nicht aus eigener Anschauung beurteilen kann. Auch insoweit hilft ihm aber das Zivilprozessrecht: Es stellt keinen Verstoß gegen den Wahrheitsgrundsatz des § 138 Abs. 1 ZPO dar, wenn der Kläger nicht über gesichertes Wissen, sondern nur eine begründete Vermutung verfügt und eine Behauptung auf dieser Grundlage aufstellt. Eine so gestaltete Klage ist schlüssig (und kann damit unter anderem zum Gegenstand eines Versäumnisurteils werden). Im Prozess wird der Beklagte sich dann selbstverständlich umfangreich mit angeblich oder tatsächlich getroffenen Sicherheitsmaßnahmen verteidigen und es beginnt die übliche Sachverständigenschlacht. Die Auswirkungen des Urteils sind damit eher klarstellender Natur, weil schon nach zutreffender deutscher Rechtslage eine entsprechende Verteilung der Darlegungs- und Beweislast bestand. Die bislang für die Gegenansicht ins Feld geführte Berufung darauf, die einzige zugunsten von Klägern sprechende Beweiserleichterung finde sich in Art. 83 Abs. 3 DSGVO und beziehe sich allein auf das Verschulden, ist nicht länger haltbar.
Für Kläger, die es besonders genau wissen wollen, bietet sich ein weiterer Ansatz an. Bislang war teilweise in Abrede gestellt worden, dass die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO Auswirkungen auf das Verhältnis von Verantwortlichem und Betroffenen habe. Auch das ist nach der EuGH-Entscheidung nicht länger haltbar. Es sprechen daher gute Gründe dafür, dass sich aus Art. 5 Abs. 2 DSGVO ein Auskunftsanspruch des Betroffenen über alle Umstände, die er zur Prüfung der Rechtmäßigkeit von Verarbeitungsvorgängen benötigt, ergibt. Diese Auslegung ist zwar sehr plausibel, wird aber absehbar frontal mit dem Rechtsempfinden zahlreicher Richter kollidieren. Das deshalb, weil die Belange des Verantwortlichen bei einem solchen Auskunftsanspruch weitgehend, um nicht zu sagen: vollständig unberücksichtigt bleiben. Er muss seinem künftigen Prozessgegner gerade die Informationen liefern, die dieser benötigt, um das Verfahren erfolgreich führen zu können. Hier greift also die materielle Rechtslage empfindlich in das prozessuale Gefüge ein, das die ZPO mit einem austarierten System von Darlegungs- und Beweislast eigentlich vorsieht. Das ist ungerecht. Aber so ist Unionsrecht.
Die zweckmäßige Durchsetzung derartiger Ansprüche kann in einer Stufenklage liegen und viele Verbraucherschutzkanzleien werden diesen Weg wählen. Wer eher im IT- und IP-Recht zu Hause ist, weiß aber: Das ist ein Anwaltsfehler. Richtigerweise sollte man den Auskunftsanspruch mit einer Klage auf Feststellung der Schadensersatzverpflichtung dem Grunde nach verbinden. Andernfalls läuft man Gefahr, dass bei Verfahrensabschluss unbekannt gebliebene Ansprüche wegen anderer Schäden in die Verjährung laufen. Man denke etwa an einen Identitätsdiebstahl, bei dem unter Verwendung erbeuteter Daten aus einem Datenleck Betrugsstraftaten, möglicherweise sogar in anderen Ländern, begangen werden. Es kann dauern, bis Ermittlungen ihren Weg zum (zu Unrecht) Betroffenen finden. Jedenfalls seine dann erforderlichen Rechtsverteidigungskosten werden in so einer Konstellation einen ersatzfähigen Schaden darstellen. Aus diesem Grund besteht auch ein Feststellungsinteresse, § 256 ZPO.
Weitaus umstrittener war die Frage, was unter der DSGVO als Schaden gelten könne und welche Anforderungen an seine Darlegung gestellt werden. Auch hier hat der EuGH Klarheit geschaffen.
So stellt er einerseits fest, dass die Prosa in den Erwägungsgründen der DSGVO ernst zu nehmen ist, wonach der Schaden „weit“ verstanden werden kann. Nach deutschem Verständnis heißt das: uferlos. Jede noch so triviale Beeinträchtigung stellt einen (ersatzfähigen) Schaden dar. Aus diesem Grund kommt der EuGH auch zutreffenderweise zu dem Ergebnis, dass es keine Bagatellgrenze gibt (das hatte er schon zuvor entschieden) und folgerichtig auch Befürchtungen eines Betroffenen, nach einem Datenleck von einem künftigen Missbrauch seiner Daten betroffen zu sein, einen immateriellen Schaden darstellen können. Die Bedenken, namentlich der deutschen Gerichte, greift der EuGH dabei in seiner Parallelentscheidung „Gemeinde Ummendorf“ auf, wenn er dort klarstellt: Ein bloßer Verstoß gegen die DSGVO begründet noch keinen Schaden (EuGH, Urt. v. 14.12.2023, C-456/22 — Gemeinde Ummendorf). Dieser muss vorgetragen und positiv festgestellt werden.
Die Anforderungen allerdings sind lächerlich niedrig. Das liegt daran, dass es zweierlei Dinge nicht bedürfe:
Spürbarkeit und eine objektive Beeinträchtigung (EuGH, Urt. v. 14.12.2023, C-456/22 — Gemeinde Ummendorf, Rn. 17)
Nochmal: Der EuGH verneint, dass eine Beeinträchtigung auch nur spürbar sein müsse, um auf einen ersatzfähigen Schaden erkennen zu können. Folgerichtig sei es ebenfalls kein Erfordernis, dass eine behauptete Beeinträchtigung objektiv nachvollziehbar sei.
Insbesondere die erste Behauptung erscheint auf den ersten Blick kühn. Der immaterielle Schadensersatz wird insbesondere in der deutschen Literatur und Rechtsprechung häufig mit Schmerzensgeld gleichgesetzt, richtigerweise sollte man sagen: verwechselt. Wie soll eine „Befürchtung“, die der EuGH ja in seinem Parallelurteil C-340,/21 (oben) diskutiert, einen Schaden darstellen können, wenn sie nicht gespürt wird? Kann man befürchten, ohne zu spüren? Löst man sich vom deutschen Verständnis, wird die Tür für eine Auslegung des Art. 82 DSGVO geöffnet, die deutschen Gerichten bislang nicht zu vermitteln war (der Autor dieser Zeilen hat’s versucht...). Ein Schaden kann nämlich im in den Erwägungsgründen ausdrücklich genannten Verlust der Kontrolle über die personenbezogenen Daten liegen. Diese umstrittene Frage konnte der EuGH in der Sache C-340/21 noch offen lassen. Dort bezog die Vorlagefrage sich allein auf „Befürchtungen“ nach dem Kontrollverlust. Den Kontrollverlust selbst behandelte der EuGH dort nicht. Das ist in der Entscheidung „Gemeinde Ummendorf“ anders. Nur so nämlich kann man ihn verstehen, wenn er davon spricht, dass eine Beeinträchtigung nicht spürbar sein müsse, um einen Schaden zu begründen. Es geht nicht (nur) um Gefühle, es geht nicht um Schmerzen. Die DSGVO schützt einen unbekannten Kreis von Rechten und Interessen, zu denen allerdings ganz sicher die Rechte auf Privatheit und Datenschutz gehören. Diese können beeinträchtigt werden, ohne dass dies zugleich mit negativen Gefühlen einhergeht.
Zur Überraschung sicherlich Vieler stellt der EuGH sich mit dieser Behauptung rechtlich nicht abseits des deutschen Rechtsverständnisses. Auch hier hat der Bundesgerichtshof anerkannt, dass eine bloße Risikoerhöhung einen ersatzfähigen Schaden darstellen kann. So liege ein Schaden darin, dass ein im Kontext des Dieselskandals mangelbehaftetes Fahrzeug einen Kläger dem Risiko aussetzte, dass sein Fahrzeug stillgelegt werde (s. BGH, Urt. v. 26.6.2023, VIa ZR 335/21).
Wie ist diese Feststellung nun mit der gleichzeitigen These des EuGH überein zu bringen, dass ein „bloßer Verstoß“ noch keinen ersatzfähigen Schaden begründe? Nun, das ist relativ einfach. Nicht jeder Verstoß gegen die DSGVO stellt zugleich eine Risikoerhöhung dar. Wenn beispielsweise ein Verstoß gegen die Informationspflichten aus Art. 13, 14 DSGVO vorliegt, folgt in den meisten Fällen daraus für sich genommen kein Risiko für einen Betroffenen, irgendwelche darüber hinausgehenden Nachteile zu erleiden. Insoweit ist allein bedauerlich, dass der EuGH diesen wichtigen Aspekt zwar klarstellt, dafür aber keine deutlicheren Worte findet. Diskutabel wäre insbesondere gewesen, ob es sich bei einem solchen Risikoerhöhungsschaden um einen materiellen oder immateriellen Schaden handelt. Das kann Auswirkungen in der Rechtsdurchsetzung haben. So hat erst jüngst das OLG Stuttgart einen immateriellen Schadensersatzanspruch wegen Scrapings durch Facebook (und die Veröffentlichung sensibler Daten wie der persönlichen Telefonnummer) verneint und dabei zugleich, in der bisherigen Kommentierung übersehen, klargestellt: Es ist von Relevanz, ob es sich bei der Klageforderung um einen materiellen oder immateriellen Schaden handelt (OLG Stuttgart, Urt. v. 22.11.2023, 4 U 20/23, Rn. 277). Einen materiellen Schadensersatz hatte der Kläger in dortiger Angelegenheit nicht (beziffert) gefordert. Über die Frage, ob der Kläger einen materiellen Risikoerhöhungsschaden erlitten hatte, hat das OLG Stuttgart damit nicht entschieden.
Man mag dieses Vorgehen des OLG Stuttgart, wie der Unterzeichner, sophistisch finden. Sicherlich ist es eine Überstrapazierung des Grundsatzes aus § 308 Abs. 1 ZPO, dass ein Gericht nicht über den Klageantrag hinausgehen kann, wenn der Streitgegenstand so eng gefasst wird, dass zwischen materiellem und immateriellem Schaden mit dem Lineal differenziert wird. Für Kläger dürfte damit allerdings klar sein: Sie sollten ihr Begehr so klarstellen, dass derartige „Missverständnisse“ künftig nicht mehr passieren können. Problematisch ist, dass sie sich dann abhängig von der Entscheidung des Gerichts einem Teilunterliegensrisiko aussetzen, wenn sie materiellen und immateriellen Schaden in ein Alternativverhältnis setzen, indem sie etwa Hilfsanträge stellen. Richtigerweise sollte man dem begegnen, indem man im Einklang mit der Biomineralwasser-Rechtsprechung des Bundesgerichtshofs (BGH, Urt. v. 13.9.2012, I ZR 230/11 - Biomineralwasser) darauf verweist, dass die Rechtsfolge auf einen einheitlichen Lebenssachverhalt und eine einheitliche Rechtsnorm, die allenfalls auf Rechtsfolgenseite und in einem marginalen Punkt differenziert zu betrachten ist, gestützt wird. Die Gerichte mögen gegenüber DSGVO-Klägern kaltherzig sein, aber sicher nicht boshaft (außer das OLG Hamm). Es ist damit zu rechnen, dass man auf diesem Weg um ein Teilunterliegen, abhängig davon, durch welche Tür das Gericht geht, herumkommt.
Spricht man diese Worte aus, stellt sich unmittelbar ein bestimmtes Gefühl ein. Das gleiche Gefühl hat der unbefangene Leser bei der Lektüre der Randnummern 14 und 17 des Urteils „Gemeinde Ummendorf“ Der EuGH nennt nämlich die Voraussetzungen eines Schadensersatzanspruchs nach Art. 82 DSGVO, die zu seiner Begründung kumulativ vorliegen müssen — und vor allem — abschließend sind. Es sind drei:
1. Verstoß gegen die DSGVO.
2. Schaden.
3. Kausalität zwischen beidem.
Ein Schaden muss weder spürbar noch objektiv nachvollziehbar sein, um einen Anspruch zu begründen. Es genügt die Darlegung und der Beweis einer subjektiven Beeinträchtigung, welcher Art auch immer.
Goldene Zeiten für Kläger, ein hartes Brot für Beklagte und ihre Vertreter. Sie werden ihre Bemühungen künftig noch mehr als ohnehin schon auf die Verteidigung mit getroffenen Sicherheitsmaßnahmen und eine Exkulpation wegen fehlenden Verschuldens nach Art. 82 Abs. 3 DSGVO konzentrieren müssen.
Aus Kläger(vertreter)sicht bleibt zu hoffen, dass die vielen Gemischtwarenläden, die zwischenzeitlich auf den DSGVO-Zug aufgesprungen sind, die frohe Kunde zeitnah vernehmen. Die Schneise der Verwüstung, die laienhafter Vortrag in die relevante Rechtsprechung geschlagen hat, wird sonst so bald nicht zuwachsen. Drei Tatbestandsmerkmale: Das sollte künftig auch für Kanzleien machbar sein, die sonst über Vogelschlagereignisse philosophieren.