Neue Urteile: Strafschadensersatz wegen DSGVO-Verstößen
In der Vergangenheit waren deutsche Gerichte eher zurückhaltend, wenn es um den Ersatz immaterieller Schäden nach Art. 82 DSGVO ging. Sie forderten den Nachweis eines konkreten und erheblichen immateriellen Nachteils. Einen Überblick findet hierzu man etwa bei Wybitul NJW 2019, 3265, Immaterieller Schadensersatz wegen Datenschutzverstößen. Der Beitrag ist hier gratis abrufbar. Mittlerweile zeichnet sich in der neueren Rechtsprechung hingegen ein anderer, problematischer Trend ab, der eher in Richtung eines Strafschadensersatzes nach US-amerikanischem Vorbild geht. Der folgende Überblick fasst wesentliche Aussagen neuerer Entscheidungen zusammen.
Ersatz von Bagatellschäden, Erheblichkeitsschwelle oder Abschreckung?
In Gerichtsverfahren wegen Schadensersatz nach Art. 82 DSGVO ist oft entscheidend, welche Voraussetzungen an einen ersatzfähigen Nichtvermögensschaden zu stellen sind:
- Generell jeder DSGVO-Verstoß: Klägervertreter argumentieren oft, bereits eine nicht den strengen Vorgaben der DSGVO entsprechende Datenverarbeitung stelle einen zu ersetzenden Schaden dar. Der Schaden liege bereits in der mit der unzulässigen Verarbeitung verbundenen Persönlichkeitsrechtsverletzung. Daher sollte etwa schon in einer unzulässigen Offenlegung personenbezogener Daten eines Klägers ein Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen.
- Erst ab Erheblichkeitsschwelle: Die teilweise auch im CR-online Blog vertretene Gegenauffassung (vgl. etwa hier) geht hingegen von dem Erfordernis einer Erheblichkeitsschwelle aus. Sehr lesenswert hierzu ist etwa Winfried Veil, "Datenschutzverstoß = Schaden ?", CR-online Blog v. 2.5.2018.
Mittlerweile häufen sich erste gerichtliche Entscheidungen, die an die Erstattung immaterieller Schäden teilweise geringere Anforderungen stellen. Manche Gerichte fordern dabei sogar, dass der Klägern zuzusprechende Schadensersatz eine abschreckende Wirkung haben bzw. Höhe erreichen müsse.
ArbG Düsseldorf, 5.3.2020: Verlust der Kontrolle über Daten führt zu Schadensersatz
Fallkonstellation: Besondere Aufmerksamkeit hat ein Urteil des ArbG Düsseldorf erlangt. Das Gericht verurteilte den ehemaligen Arbeitgeber des Klägers zur Zahlung von 5.000 € Schadensersatz, weil das Unternehmen einen Auskunftsanspruch nicht nach den Vorgaben von Art. 15 DSGVO erfüllt habe.
"Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der DS-GVO in vollem Umfang entspricht (EG 146; Bergt in Kühling/Buchner, DS-GVO Art. 82 Rn. 17; Frenzel in Paal/Pauly, DS-GVO/BDSG, 2. Aufl., Art. 82 Rn. 10 mwN). Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75)" (ArbG Düsseldorf, 5.3.2020 – 9 Ca 6557/18, NZA-RR 2020, 409 Rz. 84, Hervorhebungen hinzugefügt).
Abschreckung gegen Kontrollverlust: Das ArbG Düsseldorf sah somit bereits einen Verlust der Kontrolle des Klägers über seine personenbezogenen Daten als ersatzfähigen Schaden an. Zudem forderte es, dass der zugesprochene Schadensersatz abschreckend wirken müsse:
"Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die DS-GVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird" (ArbG Düsseldorf, a.a.O., Rz. 86).
Höhe: Für Unternehmen besonders wichtig ist die Feststellung des Gerichts, dass die Höhe des Schadensersatzes auch von der wirtschaftlichen Leistungsfähigkeit des Beklagen abhängen sollte:
"Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Nr. 7 DS-GVO Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 DS-GVO durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen" (ArbG Düsseldorf, a.a.O., Rz. 87,).
AG Pforzheim, 25.3.2020: Abschreckungswirkung erforderlich
Fallkonstellation: Das AG Pforzheim sprach einem Kläger einen erheblichen immateriellen Schadensersatz zu, weil ein Psychotherapeut seine sensiblen Daten unter Verletzung von Art. 9 DSGVO verarbeitet und weitergegeben hatte. Das Gericht stellte fest, dass Schadensersatz nach Art. 82 DSGVO eine abschreckende Wirkung erzielen müsse:
"Das Gericht beziffert den Schadensersatzanspruch unter Abwägung sämtlicher Gesichtspunkte des konkreten Falles auf 4.000,- €. Ein solcher Betrag ist ausreichend, aber auch erforderlich, um eine Abschreckungswirkung (vgl. Gola, DS-GVO, 2. Aufl., Rn. 13 zu Art. 82) zu erzielen und dem Kläger zugleich Genugtuung für das erlittene Unrecht zu gewährleisten" (AG Pforzheim Urt. v. 25.3.2020 – 13 C 160/19, BeckRS 2020, 27380 Rn. 28, Hervorhebungen hinzugefügt)
Quellen-Kontrolle: Die vom AG Pforzheim zitierte Kommentar-Fundstelle lautet wie folgt:
"Der Hinweis in Erwägungsgrund 146 S. 3, nach dem der Begriff des Schadens im Lichte der Rechtsprechung des EuGH weit und auf eine Art und Weise ausgelegt werden soll, die den Zielen dieser Verordnung in vollem Umfang entspricht, hilft insoweit nicht weiter, da diesbezügliche Abwägungen vom EuGH soweit erkennbar bisher nicht getroffenen wurden. Jedoch hat er auf der Basis des Effektivitätsprinzips eine abschreckende Sanktion verlangt" (Gola/Piltz, in Gola, DS-GVO, 2. Aufl. 2018, Art. 82, Rz. 13, Hervorhebung hinzugefügt).
Erheblichkeitsschwelle: Zu der Frage einer Erheblichkeitsschwelle äußerte sich das AG Pforzheim nicht. Die Ausführungen des Gerichts und die Höhe des zugesprochenen Schadensersatzes von 4.000 € lassen aber vermuten, dass es eine Bagatellgrenze als deutlich überschritten angesehen hat.
LG Darmstadt, 26.5.2020: Preisgabe von Daten führt zu Schadensersatzanspruch
Fallkonstellation: Auch das LG Darmstadt hat kürzlich einem Bewerber EUR 1.000 immateriellen Schadensersatz zugesprochen, weil das Beklagte Unternehmen eine Nachricht an den Kläger versehentlich an einen falschen Empfänger geschickt hatte. In der Nachricht standen unter anderem auch die Gehaltsvorstellungen des Klägers. Das beklagte Unternehmen informierte den Kläger zunächst nicht über diesen Vorfall.
Kontrollverlust: Das LG Darmstadt ging davon aus, dass das Unternehmen damit gegen die in Art. 6 DSGVO und Art. 34 DSGVO geregelten Vorgaben verstoßen habe. Der Kläger habe die Kontrolle über seine personenbezogene Daten verloren. Dies begründe aus Sicht des Gerichts einen immateriellen Schaden im Sinne von Art. 82 DSGVO (LG Darmstadt hat (Urt. v. 26.5.2020 – 13 O 244/19).
ArbG Lübeck, 20.6.2020: DSGVO gebietet effektive Ahndung von Datenschutzverstößen
Fallkonstellation: In einem Beschluss zu Prozesskostenhilfe sah auch das ArbG Lübeck bereits eine Veröffentlichung eines Fotos eines Mitarbeiters auf einem Social-Media-Post des Arbeitgebers als erstattungsfähigen Schaden an:
"Unter Berücksichtigung der vorstehend dargestellten Grundsätze und in anderen Fällen der Verletzung des Rechts am eigenen Bild wegen einer Persönlichkeitsrechtsverletzung ausgeurteilter Beträge erweist sich im vorliegenden Fall ein Betrag i.H.v. 1.000,– EUR als Obergrenze für die Höhe der begehrten Entschädigung" (ArbG Lübeck, Beschl. v. 20.6.2019 – 1 Ca 538/19, ZD 2020, 422 Rz. 32).
Abschreckung: Eine weitere Formulierung in der genannten Entscheidung legt nahe, dass auch das ArbG Lübeck von dem Erfordernis eines abschreckenden Schadensersatzes ausging:
"Einer effektiven Ahndung von dem vorliegenden Fall vergleichbaren Verstößen gegen die Vorgaben der DS-GVO und des BDSG steht die angenommene Obergrenze nicht entgegen" (ArbG Lübeck, a.a.O., Rz. 37, Hervorhebung hinzugefügt).
ArbG Dresden, 26.8.2020: Schadensersatz bei Datenschutzverstößen soll eine abschreckende Wirkung haben
Fallkonstellation: Das ArbG Dresden sprach einem Kläger 1.500 € immateriellen Schadensersatz nach Art 82 DSGVO zu, weil der Arbeitgeber Gesundheitsdaten unrechtmäßig an Behörden weitergegeben hatte:
"Der Kläger hat auch einen immateriellen Schaden i.S.d. Art. 82 Abs. 1 DSGVO erlitten. Der Begriff des Schadens ist auf eine Art und Weise auszulegen, die den Zielen der Datenschutzgrundverordnung in vollem Umfange entspricht. Insoweit ist durch das Inkrafttreten der Datenschutzgrundverordnung eine Verschärfung im Vergleich zur bisherigen Rechtslage eingetreten. (...) Nach den Erwägungsgründen 146 der DSGVO, die zur Auslegung der Vorschrift mit heranzuziehen sind, soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile)" (ArbG Dresden Urt. v. 26.8.2020 – 13 Ca 1046/20, BeckRS 2020, 26940 Rz. 14, Hervorhebung hinzugefügt)
Abschreckung: Ähnlich wie das AG Pforzheim gelangte auch das ArbG Dresden zu dem Ergebnis, dass der europarechtliche Effektivitätsgrundsatz Gerichte dazu verpflichte, Schadensersatz in abschreckender Höhe zuzusprechen:
"Die Mitgliedsstaaten - auch die erkennende Kammer - sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der Datenschutzgrundverordnung zur Wirkung zu verhelfen" (ArbG Dresden, a.a.O., Rz. 16, Hervorhebung hinzugefügt).
LG Frankfurt, 18.9.2020: Offenlegung personenbezogener Daten stellt Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar
Kontrollverlust: Auch das LG Frankfurt legt in einer aktuellen Entscheidung beim zu ersetzenden Schaden einen sehr niedrigen Maßstab an:
"Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Dem Kläger ist zwar unstreitig bisher kein materieller Schaden entstanden, wohl aber ein immaterieller Schaden. Dieser liegt darin, dass seine personenbezogenen Daten Dritten ohne sein Einverständnis zugänglich wurden. Die Kompensation einer solchen öffentlichen „Bloßstellung“ fällt unter Art. 82 Abs. 1 DSGVO" (LG Frankfurt a. M. Urt. v. 18.9.2020 – 2/27 O 100/20, GRUR-RS 2020, 24557 Rz. 30, Hervorhebungen hinzugefügt).
Kausalität: Allerdings lehnte das Gericht einen Schadensersatzanspruch zu Recht wegen fehlender Kausalität zwischen den behaupteten Verstößen und dem (vermeintlichen) Schaden ab:
"Der Schaden muss jedoch wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein. (LG Frankfurt a. M., a.a.O., Rz. 31, Hervorhebung hinzugefügt).
Bewertung und Ausblick
Auslegung "Schaden": Die aufgezeigten Urteile legen den Begriff des Schadens im Sinne von Art. 82 Abs. 1 DSGVO deutlich zu weit aus. Allein zur Vermeidung von offensichtlichen Missbrauchsgefahren ist eine zurückhaltende Auslegung geboten.
Effektivitätsprinzip der DSGVO: Zudem ist der Hinweis auf den Effektivitätsgrundsatz zur Begründung abschreckenden Schadensersatzes durchaus angreifbar. Denn die DSGVO regelt es durchaus, wenn eine Sanktion abschreckend wirken soll. So sieht etwa Art. 83 Abs. 1 DSGVO ausdrücklich vor, dass Bußgelder (unter anderem) abschreckend wirken sollen. Eine vergleichbare Regelung fehlt hingegen in Art. 82 DSGVO.
Wirtschaftliche Wirkung: Gerichte sollten auch die wirtschaftlichen Folgen einer Rechtsprechung bedenken, die Schadensersatz als Mittel der Abschreckung einsetzt. Denn auch leichte Fehler beim Datenschutz können sich schnell auf eine Vielzahl von betroffenen Personen auswirken - und so auch bei (ggf. fahrlässigen) Bagatellverstößen schnell zu massenhaften Verfahren gegen Unternehmen führen.
Erstinstanzlicher Trend: Die vorstehend dargestellten Entscheidungen sind durchweg solche der ersten Instanz. Die Instanzgerichte haben daher durchaus noch die Möglichkeit, die hier gezeigten Entscheidungen zu korrigieren.
Hinweis: Allein das Datenschutz- und Prozessteam der Kanzlei des Unterzeichners vertritt Mandanten gegen mehrere tausend Anspruchsteller gegen Ansprüche nach Art. 82 DSGVO. Viele der hier gemachten Feststellungen und Wertungen entstammen entsprechenden Gerichtsverfahren.