Immaterielle Schäden bei DSGVO-Verstößen
Neue Rechtsprechung zu Schadensersatz im Datenschutzrecht
Alles rund um die Neuerungen bei Schadensersatzklagen wegen immateriellem Schaden durch Verstößen gegen die DSGVO.
Die Datenschutzgrundverordnung ist nunmehr seit gut 2,5 Jahren in Kraft und viele Befürchtungen sind nicht eingetreten. Zwar sind immer noch viele Unternehmen mit der Umsetzung der datenschutzrechtlichen Regelungen beschäftigt. Auf der anderen Seite ist die von vielen fast schon herauf beschworene Abmahnwelle wegen DSGVO-Verstößen ausgeblieben. Auch die Aufsichtsbehörden handeln und sanktionieren mit Augenmaß, auch wenn inzwischen deutlich mehr und höhere Bußgelder verhängt werden. Eine weitere Befürchtung vieler vor allem kleiner und mittelständischer Unternehmen war die massenhafte Geltendmachung von Betroffenenrechte und von Schadensersatzansprüchen. Bislang war es an dieser „Front“ eher ruhig – das könnte sich jetzt mit der vermehrten Veröffentlichung von Urteilen diverser Gerichte in Deutschland ändern. Das Augenmerk liegt dabei aktuell vor allem auf dem Schadensersatz wegen immaterieller Schäden.
Worum geht es? Was sind die Rechtsgrundlagen?
Das inzwischen gar nicht mehr so neue Datenschutzrecht gibt Betroffenen einer Datenschutzverletzung die Möglichkeit, Schadensersatz geltend zu machen (Art. 82 der Datenschutzgrundverordnung (DGSVO)). Umfasst werden sowohl materielle als auch immaterielle Schäden. In der Praxis geht es vor Gericht vor allem um die immateriellen Schäden. Deutsche Gerichte sind bislang generell eher zurückhaltend gewesen, was den Schadensersatz wegen immaterieller Schäden – gemeinhin auch als Schmerzensgeld bezeichnet – im Datenschutzrecht anging. Die Gerichte forderten den Nachweis eines konkreten und erheblichen immateriellen Nachteils.
Konflikt mit EU-Recht?
Anders als nach dem alten Datenschutzrecht besteht nach der DSGVO aber nicht nur in Sonderfällen ein Anspruch auf Ersatz immaterieller Schäden. In der Begründung zur DSGVO wird der Begriff des Schadens weit ausgelegt (Erwägungsgrund Nr. 146 zur DSGVO)., damit der Betroffene alle erlittenen Schäden vollständig ersetzt bekommt. Weiterhin soll dem Schadensersatz nach dem Willen des europäischen Gesetzgebers aber auch eine abschreckende Wirkung zukommen.
Ob und in welcher Höhe ein immaterieller Schadensersatzanspruch besteht, entscheidet im deutschen Recht das Gericht nach § 287 ZPO im Einzelfall. Die Erwägungsgründe Nr. 75 und 85 zur DSGVO benennen konkrete Beispiele: danach können insbesondere Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, die unbefugte Aufhebung der Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile zu einem Schadensersatzanspruch führen. Die von vielen deutschen Gerichten angenommene „Bagatellgrenze“ findet sich in der DSGVO nicht wieder und beruht eher auf der traditionellen deutschen Rechtsprechung zum Schmerzensgeld.
Rechtsprechung reduziert Anforderungen an den Ersatz immaterieller Schäden
Nicht jeder Datenschutzverstoß führt nach Ansicht der Gerichte unmittelbar zu einem Schadensersatz. Der Betroffene einer Datenschutzverletzung muss zumindest darlegen, worin die Beeinträchtigung liegt. Nach Ansicht des AG Hamburg-Barmbek steht dem Betroffenen eines Datenlecks bei einem großen Unternehmen nicht bereits deshalb ein Schadensersatzanspruch zu, weil Daten wie Name, Anschrift, Geburtsdatum und Kreditkartennummer im Internet veröffentlicht waren (AG Hamburg-Barmbek, Urteil vom 18. August 2020, 816 C 33/20).
Anders beurteilte das ArbG Düsseldorf einen Fall in einer arbeitsrechtlichen Auseinandersetzung, in dem ein ehemaliger Arbeitgeber den von dem Kläger geltend gemachten Auskunftsanspruch aus Art. 15 DSGVO nicht erfüllte und sprach dem Kläger einen immateriellen Schadensersatz von 5.000 Euro zu. Die Richter begründeten ihre Entscheidung u.a. damit, dass ein immaterieller Schaden auch dann vorliegt, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (ArbG Düsseldorf, Urteil vom 5. März 2020, 9 Ca 6557/18).
Nach einer Entscheidung des LG Darmstadt führt auch die Preisgabe von personenbezogenen Daten an Dritte zu einem Schadensersatzanspruch. Ein Bewerber bekam einen immateriellen Schadensersatz von 1.000 Euro zugesprochen, weil das Unternehmen eine Nachricht, die u.a. die Gehaltsvorstellungen des Bewerbers enthielt, versehentlich an einen Dritten versandte (LG Darmstadt, Urteil vom 26. Mai 2020, 13 O 244/19).
Gerichte fordern abschreckende Wirkung
Die aktuelle Praxis bei Gerichten zeigt, dass eine gewisse Bagatellgrenze überschritten sein muss, um in den Bereich eines möglichen Schadensersatzes zu kommen. Wenn diese Grenze überschritten ist, sind die Richter bei der Festsetzung der Höhe des Schadensersatzes aber großzügig, sodass recht schnell nicht unerhebliche Schadensersatzbeträge ausgeurteilt werden.
Das AG Pforzheim sprach einem Kläger einen immateriellen Schadensersatz von 4.000 Euro zu, weil ein Psychotherapeut Gesundheitsdaten unter Verletzung von Art. 9 DSGVO verarbeitet und weitergegeben hatte (AG Pforzheim, Urteil vom 25. März 2020, 13 C 160/19). Das Gericht begründete die Höhe des DSGVO-Schadensersatzes vor allem mit der vom europäischen Gesetzgeber gewünschten Abschreckungswirkung.
Ähnlich urteilte das ArbG Dresden: hier erhielt der Kläger einen immateriellen Schadensersatz in Höhe von 1.500 Euro, weil der Arbeitgeber Gesundheitsdaten ohne ausreichende Rechtsgrundlage an Behörden weitergegeben hatte (ArbG Dresden, Urteil vom 26. August 2020, 13 Ca 1046/20).
Strafschadensersatz nach US-amerikanischem Vorbild?
Die ausgeurteilten Beträge wirken auf den ersten Blick noch nicht bedrohlich für Unternehmen. Wenn man aber bedenkt, dass sich Datenschutzverstöße oft bei einer Vielzahl von Personen gleichzeitig auswirken können, können sich diese Beträge zu ganz erheblichen bis hin zu existenzbedrohenden Schadensersatzbeträgen summieren. Derartige Entscheidungen waren der deutschen Rechtsprechung bislang fremd und waren eher aus dem US-amerikanischen Justizsystem bekannt (Stichwort: punitive damages).
Die Gerichte begründen die hohen Schadensersatzbeträge unter anderem mit dem Effektivitätsprinzip aus dem EU-Recht. Danach sollen Verstöße effektiv sanktioniert werden und Schadenersatz bei Datenschutzverstößen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen.
Ob diese Argumentation den obergerichtlichen Entscheidungen Stand hält, wird die Zeit zeigen. Die hier zitierten Urteile sind überwiegend erstinstanzliche Entscheidungen, sodass bald auch mit Entscheidungen von Obergerichten zu rechnen ist. Erst dann wird sich zeigen, ob sich diese Rechtsprechung bestätigt.
In jedem Fall sollten sich Unternehmen auf eine erhöhte Anzahl von Klagen einstellen, wenn es zu Datenschutzverstößen kommt.