aufsichtsbehörde bußgeld eprivacy verordnung epvo schadensersatz

Schadensersatz nach der DSGVO – wieviel darf´s denn sein?

/von

Wenn es um Datenschutzverstöße geht, so richtet sich das Hauptaugenmerk häufig auf die Höhe der drohenden Bußgelder. Die Praxis der Aufsichtsbehörden zeigt, dass diese sehr hoch ausfallen können. Das ist jedoch nicht verwunderlich, denn die Aufsicht hat einen klaren Auftrag des Verordnungsgebers, der in Art. 83 Abs. 1 DSGVO ausdrücklich dokumentiert ist. Dort steht, dass die Bußgelder nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sein sollen.

Worüber jedoch (noch) deutlich weniger gesprochen wird, ist eine andere mögliche Auswirkung der DSGVO auf Datenschutzverstöße. Hierbei handelt es sich um den Anspruch auf Schadensersatz, den eine betroffene Person gemäß Art. 82 Abs. 1 DSGVO gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter hat, wenn ihr wegen (= Kausalzusammenhang) eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist.

Und warum wird darüber so wenig gesprochen? Nun, die Antwort liegt auf der Hand. Außer der Fachpresse berichtet kaum jemand darüber. Das liegt vermutlich daran, dass es in diesem Bereich keine Sensationsmeldungen gibt, für die es sich lohnen würde, (Digital-)Tinte und die Zeit des Lesers aufzuwenden. Anzahl und Höhe solcher Schadenersatzzahlungen sind dafür derzeit noch zu niedrig. In der Wissenschaft und in der Fachliteratur findet dieses Thema aber bereits durchaus Beachtung.

Wie lange wird jedoch diese relativ entspannte aktuelle Situation voraussichtlich noch anhalten? Und wie ist die aktuelle Entwicklung in diesem Bereich? Wo geht die Reise also hin? Mit diesen Fragen beschäftigen wir uns in unserem heutigen Beitrag.

Diskussionsstand und Beispiele aus der Rechtsprechung

Um die Problematik besser verstehen zu können, müssen wir uns kurz mit dem aktuellen Stand der Diskussion bezüglich des Schadensersatzanspruchs nach der DSGVO und der diesbezüglich noch recht spärlichen Rechtsprechung der deutschen Gerichte beschäftigen. Dabei geht es im Kern um die Frage wann ein immaterieller Schaden anzunehmen und wie dieser gegebenenfalls zu beziffern wäre. Denn anders als beim materiellen Schaden gibt es bei immateriellen Schäden regelmäßig Probleme im Zusammenhang mit der Feststellung des Anspruchsgrunds und der Anspruchshöhe. Dies liegt daran, dass keine konkreten Schadensposten bzw. -summen im Raum stehen, die zu ersetzen wären, soweit der Schadensersatzanspruch begründet ist und nachgewiesen werden kann.

Was sagt die Literatur?

In der Literatur gibt es, wie so oft, keine einheitliche Meinung bezüglich der Frage, wie der Begriff des immateriellen Schadens zu definieren wäre und wie dieser der Höhe nach zu beziffern ist.

Ein Teil der Literatur vertritt den Standpunkt, dass der Begriff eines Schadens entsprechend der Rechtsprechung des EuGH (vgl. z.B. EuGH, 17.12.2015, Rs. C-407/14) und gemäß dem Erwägungsgrund (ErwG) 146 S. 3 zur DSGVO weit auszulegen wäre und keine überspannten Voraussetzungen für die Annahme eines Schadens zu erfüllen wären. Der Schadensersatzanspruch nach der DSGVO müsste entsprechend dieser weiten Auslegung auch abschreckende Wirkung haben (hierzu vgl. insbesondere: Paal/Pauly/Frenzel, 2. Aufl. 2018, Art. 82 DSGVO, Rn. 10; Moos/Schefzig/Arning/Schefzig/Rothkegel/Cornelius, Die neue Datenschutz-Grundverordnung, Kap. 16, Rn. 138). Bei Zugrundelegung des weiten Begriffsverständnisses könnte bereits in dem Umstand, dass personenbezogene Daten rechtswidrig verarbeitet wurden, leicht ein schadenbegründendes Ereignis gesehen werden, ohne dass weitere Voraussetzungen zu erfüllen wären.

Deshalb wird vertreten, dass der Begriff eines immateriellen Schadens nicht so ausgelegt werden darf, dass ein Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen zugesprochen werden sollte. Auch der Hinweis auf einen vollständigen und wirksamen Schadensersatz im ErwG 146 der DSGVO darf entsprechend dieser Auffassung nicht in dem Sinne verstanden werden, dass jeder noch so kleine Verstoß gegen die datenschutzrechtlichen Vorschriften zu einem Schadensersatzanspruch führt (vgl. hierzu Wybitul, NJW 2019, 3265, 3268).

Was sagt die Aufsicht?

Die Aufsichtsbehörden für den Datenschutz vertreten erwartungsgemäß die weite Auslegung des Begriffs eines immateriellen Schadens und fordern eine abschreckende Wirkung bei der Zumessung des Schadensersatzes durch die Gerichte beispielsweise im Zusammenhang mit den unzulässigen Datenexporten nach dem Schrems II-Urteil des EuGH (hierzu vgl. die Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 17.07.2020; zum Schrems II-Urteil des EuGH). Wir hatten in unserem Beitrag vom 21.07.2020 ausführlich über die Folgen des EuGH-Urteils berichtet.

Was sagen die Gerichte?

Obwohl die Rechtsprechung hinsichtlich des immateriellen Schadensersatzanspruchs wie ausgeführt bisher eher spärlich ist, gibt es dennoch einige Entscheidungen, die hierzu ergangen sind. Zu nennen wären insbesondere die Entscheidungen des

  • AG Dietz (vgl. AG Dietz, Urteil vom 07.11.2018 – 8 C 130/18),
  • OLG Dresden (vgl. OLG Dresden, Beschluss vom 11.06.2019, Az.: 4 U 760/19),
  • LG Karlsruhe (vgl. LG Karlsruhe, Urteil vom 02.08.2019 – 8 O 26/19),

die sich der engen Auslegung des Begriffs anschließen und einen Schadensersatzanspruch bei Bagatellverstößen verneinen.

Davon abweichend stellt sich jedoch beispielsweise das ArbG Düsseldorf (vgl. ArbG Düsseldorf, Urteil vom 05.03.2020, Az.: 9 Ca 6557/18) auf den Standpunkt, dass die weite Auslegung den Vorzug verdient und dass die in der Rechtsprechung bisher angenommene Bagatellschwelle nicht gilt. Zudem wird durch das ArbG Düsseldorf angenommen, dass die abschreckende Wirkung nicht nur beim Bußgeld, sondern auch im Rahmen der Zumessung des Schadensersatzes in einem zivilrechtlichen Verfahren zu berücksichtigen wäre. Hier müsste entsprechend der Auffassung der Düsseldorfer Richter die finanzielle Leistungsfähigkeit der schadensersatzpflichtigen Verantwortlichen berücksichtigt werden, denn nur so könnte festgestellt werden, was auf den jeweiligen Verantwortlichen abschreckend wirken würde.

Im oben zitierten Fall hat das ArbG Düsseldorf einem Arbeitnehmer unter diesen Gesichtspunkten einen immateriellen Schadensersatzanspruch in Höhe von 5.000 EUR zugesprochen, weil sein Auskunftsbegehren gemäß Art. 15 DSGVO verspätet und unvollständig von seinem (Ex-)Arbeitgeber beantwortet wurde (zum Auskunftsanspruch gemäß Art. 15 DSGVO vgl. unseren Beitrag vom 01.08.2019).

Es ist hier aber zu beachten, dass die Entscheidung des ArbG Düsseldorf durch das LAG Düsseldorf noch „gekippt“ werden könnte, da dort eine Berufung gegen das Urteil des ArbG Düsseldorf anhängig ist. Das letzte Wort ist in dieser Sache also noch nicht gesprochen.

Zu erwartende Tendenzen

Derzeit gibt es also noch keine klare und einheitliche Linie in der Literatur oder den ergangenen Gerichtsurteilen. Sollte sich die weite Auslegung des Begriffs des immateriellen Schadens jedoch durchsetzen und sich auch andere Gerichte der Auffassung des ArbG Düsseldorf anschließen, so würde es nicht verwundern, wenn es demnächst verstärkt zu Schadensersatzprozessen insbesondere gegen die (Ex-)Arbeitgeber käme.

Denkbar wäre auch, dass die Durchsetzung der Schadensersatzansprüche durch sogenannte Legaltech-Unternehmen, Prozessfinanzierer oder spezialisierte Anwaltskanzleien als ein lukratives Geschäftsfeld erschlossen wird. So könnten einzelne Schadensersatzforderungen auch (günstig) gekauft und zu einer Klage gegen den jeweiligen Verantwortlichen bzw. das jeweilige Unternehmen, welchem ein Datenschutzverstoß zur Last gelegt wird, „gebündelt“ werden. Somit würde sich aus einer Mehrzahl an Fällen, bei denen jeder Fall für sich genommen zwar keine allzu hohe Forderung ausmachen würde, im Endergebnis dennoch eine beträchtliche Schadenersatzsumme ergeben.

Fazit

Viele Verantwortliche bzw. viele Unternehmen unterschätzen aufgrund der bisher ausgebliebenen hohen Schadensersatzforderungen vermutlich das Risiko, wegen eines Datenschutzverstoßes und insbesondere eines darauf begründeten immateriellen Schadens in Anspruch genommen zu werden. Allerdings ist insbesondere aufgrund der sich abzeichnenden Tendenz zu extensiveren Schadensersatzforderungen und -ansprüchen eher dazu zu raten, die möglichen Schadensersatzzahlungen in das betriebliche Risikomanagement einzuplanen. Daneben sollte die Gefahr der möglichen Schadensersatzzahlungen durch die Einhaltung der technischen und besonders der organisatorischen Maßnahmen, wenn nicht komplett ausgeschlossen, so wenigstens deutlich reduziert werden.

 

Sie benötigen Unterstützung in Bezug auf interne Prozesse für den Datenschutz? Sprechen Sie uns an, wir helfen Ihnen gerne!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
e-mail verschlüsselung ao bfdi datenschutz schulung sensibilisierung datenschutzhinweiseUnverschlüsselter Versand von E-Mails mit Einwilligung – immer noch ein Thema
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukName am Klingelschild nur noch mit Zustimmung der Mieter?
hacker pentest penetrationstest abmahnung abmahnfähigDie Rechenschaftspflicht nach der DSGVO und Penetrationstests
TOM Technikgestaltung technische organisatorische Maßnahmen private nutzung kommunikationsmittel supportende windows 7Datenschutz durch Technikgestaltung im Rahmen der DSGVO
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bSerie Rechtsgrundlagen: Die Vertragserfüllung oder vorvertragliche Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21Office365 – Unter Datenschutzgesichtspunkten noch zu empfehlen?