schadenersatz betroffenenrechte auskunftsrecht löschrecht

Ersatz immaterieller Schäden nach der DSGVO – aktuelle Entwicklungen

/von

Erst vor kurzem haben wir uns im Zusammenhang mit den immateriellen Schadensersatzansprüchen nach der DSGVO gefragt, wie lange die (noch) relativ entspannte Situation voraussichtlich anhalten und wo die Reise in diesem Bereich hingehen würde (hierzu vgl. unseren Beitrag vom 07.09.2020). Nun gibt es seit einiger Zeit Bewegung in dieser Sache, über die es sich zu berichten lohnt.

Zum einen zeigt sich, dass deutsche Gerichte in immer mehr Fällen den betroffenen Personen immateriellen Schadensersatz (auch Schmerzensgeld genannt) zusprechen. Bei diesen Entscheidungen halten sie im Rahmen der Feststellung eines Schadens nicht an der Bagatellgrenze (enger Schadensbegriff) fest, sondern machen die Annahme eines immateriellen Schadens von anderen Aspekten und Kriterien abhängig. Dabei legen sie eher einen weiten Begriff des immateriellen Schadens zugrunde. Zur Abgrenzung des engen und des weiten Begriffs des immateriellen Schadens vgl. unsere Ausführungen im oben verlinkten Beitrag vom 07.09.2020.

Zum anderen kommt nun scheinbar genau das, was wir befürchtet hatten, nämlich dass die Durchsetzung solcher Schadensersatzansprüche als ein lukratives Geschäftsfeld erschlossen wird. Beispielsweise berichtet die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) in ihren aktuellen Informationen darüber, dass ihre Mitglieder vermehrt mit missbräuchlich anmutenden Anfragen zu Betroffenenrechten gem. Art. 15 bis 22 DSGVO konfrontiert werden. Die Geltendmachung der Betroffenenrechte würde dabei darauf abzielen, Verantwortliche zur außergerichtlichen Zahlung eines immateriellen Schadensersatzes an die betroffene Person sowie zur Erstattung angeblich entstandener Rechtsanwaltskosten zu bewegen (hierzu vgl. Informationen der GDD unter folgendem Link).

Aktuelle Rechtsprechung:

Wie bereits geschrieben, neigen immer mehr deutsche Gerichte und insbesondere Arbeitsgerichte (ArbG) dazu, betroffenen Personen einen immateriellen Schadensersatzanspruch zuzusprechen. Im Folgenden stellen wir einige aktuelle Gerichtsentscheidungen vor, die den betroffenen Personen einen Schadensersatzanspruch für immaterielle Schäden zugesprochen haben. Zudem gehen wir auf die wesentlichen Aussagen des jeweiligen Gerichts ein, die den jeweiligen Entscheidungen zugrunde lagen. Und wir erläutern Ihnen eine aktuelle Entscheidung des Bundesverfassungsgerichts (BVerfG), in der es um den engen Schadensersatzbegriff und die Bagatellgrenze geht.

Entscheidung des ArbG Dresden:

In seinem Urteil vom 26.08.2020 (Az.: 13 Ca 1046/20) sprach das ArbG Dresden einer betroffenen Person Schadensersatz i.H.v. 1.500,- EUR zu, weil der verantwortliche Arbeitgeber die Gesundheitsdaten der Arbeitnehmer*in unzulässig an die Ausländerbehörde übermittelt hatte. Zudem wurden die Daten auch gegenüber der Bundesagentur für Arbeit offengelegt. Zur Begründung führt das ArbG Dresden aus, dass die Offenlegung der Daten gegenüber der Ausländerbehörde und der Bundesagentur für Arbeit zu einer Rufschädigung der Arbeitnehmer*in und einem Kontrollverlust über die eigenen Daten geführt habe. Das reiche nach Auffassung des Gerichts aus, um einen immateriellen Schaden i.H.v. 1.500,- EUR anzunehmen.

Entscheidung des ArbG Lübeck:

In seinem Beschluss vom 20.06.2020 (Az.: 1 Ca 538/19) sprach das ArbG Lübeck einer betroffenen Person einen Anspruch in Höhe von 1.000,- EUR zu, weil eine unzulässige Veröffentlichung eines Lichtbilds (ohne wirksame Einwilligung der betroffenen Person) auf der Unternehmensseite in einem Social-Media-Netzwerk festgestellt wurde. Der Schaden läge demnach laut ArbG Lübeck in der unbefugten Veröffentlichung des Fotos auf der Fanpage des Unternehmens und „koste“ 1.000,- EUR. Bei einem Gruppenfoto, auf dem mehrere Beschäftigte abgebildet werden, könnte es gegebenenfalls eine sehr kostspielige Angelegenheit werden.

Entscheidung des ArbG Neumünster:

In seinem Urteil vom 11.08.2020 (Az.: 1 Ca 247 c/20) sprach das ArbG Neumünster einer betroffenen Person einen Anspruch in Höhe von 1.500,- EUR zu, weil eine Auskunftsanfrage verspätet beantwortet wurde. Der Schaden der betroffenen Person läge laut ArbG Neumünster in der Ungewissheit über die Verarbeitung der eigenen Daten. Das Gericht geht indessen davon aus, dass der Schadensersatz eine abschreckende Wirkung haben solle und das Gericht sich bei der Bemessung der Schadenshöhe am Art. 83 Abs. 2 DSGVO (eine Norm, die allgemeine Bedingungen für die Verhängung von Geldbußen enthält) orientieren könne. Insbesondere die Begründung überzeugt aus unserer Sicht nicht, da die Höhe einer Geldbuße eben gerade nicht in einem direkten Zusammenhang mit einem gegebenenfalls entstandenen Schaden steht. Dieser kann geringer aber auch sehr viel höher sein als ein für den Verstoß vorgesehenes Bußgeld. Es bleibt abzuwarten, ob sich andere Gerichte dieser Argumentation anschließen werden.

Entscheidung des LG Lüneburg:

In seinem Urteil vom 14.07.2020 (Az.: 9 O 145/19) sprach das LG Lüneburg einer betroffenen Person einen Anspruch in Höhe von 1.000,- EUR zu, weil die Daten der Person unzulässigerweise an eine Wirtschaftsauskunftei übermittelt worden waren. Der Schaden der betroffenen Person läge laut LG Lüneburg im Kontrollverlust über die personenbezogenen Daten. In diesem Zusammenhang drohe der betroffenen Person sowohl öffentliche „Bloßstellung“ als auch potenzielle „Stigmatisierung“, die mit der Zahlung eines immateriellen Schadensersatzes auszugleichen wäre.

Entscheidung des BVerfG:

In seinem Beschluss vom 14.01.2021 (Az.: 1 BvR 28531/19) entschied das BVerfG, dass der Anspruch einer betroffenen Person auf Ersatz eines (immateriellen) Schadens nicht unter Hinweis auf die sog. Bagatellgrenze abgelehnt werden darf, wie dies beispielsweise im Rahmen der angegriffenen Entscheidung des Amtsgerichts Goslar vom 27.09.2019 (Az.: 28 C 7/19) erfolgt ist. Der Fall, den das AG Goslar zu entscheiden hatte, betraf den Versand einer Werbe-E-Mail ohne Einwilligung der betroffenen Person.

Zur Begründung führt das BVerfG aus, dass das AG Goslar seine Entscheidungskompetenz überschritten habe und im vorliegenden Fall eine Entscheidung erst dann treffen dürfe, nachdem es die für die Entscheidung relevanten datenschutzrechtlichen Fragen dem Europäischen Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens gem. Art. 267 Abs. 3 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) vorgelegt hätte. Dieser Vorlagepflicht kam das AG Goslar nicht nach. Damit wurde nach Feststellungen des BVerfG das Recht auf gesetzlichen Richter verletzt, so dass die Entscheidung des AG Goslar aufgehoben wurde. Das BVerfG betonte, dass das AG Goslar die Problematik durchaus erkannt, dann aber fehlerhafterweise selbst das Unionsrecht ausgelegt habe.

Informationen der GDD zu missbräuchlich anmutenden Schadensersatzforderungen:

Nach Informationen der GDD werden folgende Szenarien der missbräuchlich anmutenden Geltendmachung der Betroffenenrechte durch die Mitglieder der GDD geschildert (siehe Link weiter oben).

Demnach erfolgt im ersten Schritt wahlweise eine Anfrage über ein Kontaktformular auf der Homepage des betroffenen Unternehmens oder eine Anmeldung zu einem Newsletter.

Bei der Anfrage per Kontaktformular wird um Rückruf unter einer Telefonnummer gebeten. Soweit die Person unter der angegebenen Nummer angerufen wird, bleibt der Anruf unbeantwortet. Zu einem späteren Zeitpunkt (einige Wochen später) erfolgt eine erneute Kontaktaufnahme durch dieselbe Person, mit der diesmal der Auskunfts- und Löschanspruch geltend gemacht werden.

Ähnlich passiert es im Fall des Newsletter-Abonnements. Auch hier wird einige Zeit nach der Anmeldung zum Newsletter das Unternehmen kontaktiert und Auskunft und Löschung der Daten verlangt.

Bei der Beauskunftung passieren schnell kleinere Fehler. Häufig wird beispielsweise nach Erhalt der Auskunftsanfrage lediglich in der Kundendatenbank nach Daten zu der anfragenden Person recherchiert und somit übersehen, dass es die Anmeldung zum Newsletter oder die Kontaktanfrage gab.

Im nächsten Schritt meldet sich nun ein Rechtsanwalt bei dem betroffenen Unternehmen, der durch die betroffene Person beauftragt wurde. Es wird dann die Verletzung datenschutzrechtlicher Pflichten im Rahmen der Erfüllung der Betroffenenrechte behauptet und Schadensersatz zur Kompensation eines immateriellen Schadens verlangt. Moniert wird in der Regel, dass die Auskunft nicht, unvollständig, verspätet oder falsch erteilt wurde oder dass die Datenlöschung zu schnell erfolgt wäre. Die Forderungen bewegen sich dann meist zwischen 1.500,- und 2.500,- EUR. Zudem soll die anwaltliche Kostennote beglichen werden, die sich im Bereich von 500,- bis 600,- EUR bewege.

Da – wie oben gezeigt wurde, die Gerichte dazu tendieren, den weiten Schadensersatzbegriff im Rahmen ihrer Entscheidung zugrunde zu legen – könnte nahezu jeder Verstoß gegen die DSGVO zu einem Anspruch auf Ersatz eines materiellen sowie immateriellen Schadens führen.

Um insbesondere missbräuchlichen Anfragen betroffener Personen effektiv zu begegnen, müssen daher Anfragen betroffener Personen sehr sorgfältig bearbeitet werden. Zu beachten ist hier auch, dass gem. Art. 12 Abs. 3 S. 1 DSGVO zur Beantwortung einer Anfrage der Verantwortliche nach Eingang des Antrags maximal einen Monat Zeit hat. Innerhalb dieser Zeit hat der Verantwortliche die betroffene Person über die aufgrund des Betroffenenantrags ergriffenen Maßnahmen zu unterrichten. Das bedeutet, dass beispielsweise im Rahmen einer Auskunftsanfrage der betroffenen Person gemäß Art. 15 DSGVO die angefragten und im Gesetz bestimmten Informationen zur Verfügung zu stellen sind. Soweit die Bearbeitung des Betroffenenantrags innerhalb der Monatsfrist nicht möglich sein sollte, besteht die Möglichkeit, diese Frist um weitere zwei Monate zu verlängern. Allerdings wären hier vor allem die Einschränkungen und Bestimmungen des Art. 12 Abs. 3 S. 2 und 3 DSGVO zu beachten. Insbesondere müsste der Verantwortliche die betroffene Person über die Fristverlängerung und die Gründe für die Verzögerung informieren. Zu den Gründen, die eine Fristverlängerung rechtfertigen könnten, zählen beispielsweise ein hoher Aufwand, der mit der Auskunftserteilung zusammenhängt, Personalmangel, hohe Anzahl an gleichzeitig zu erledigenden Anträgen betroffener Personen.

Der GDD-Praxishinweis lautet für solche Fälle wie folgt:

Zu beachten ist, dass Anträge zur Wahrnehmung der Betroffenenrechte über verschiedenste Kommunikationskanäle eingereicht werden können. Verantwortliche sollten, um eine falsche Negativbeauskunftung Betroffener zu vermeiden, nicht nur alle Unternehmensbereiche erneut sensibilisieren, sondern auch eine Erhebung über mögliche Datenpools im Unternehmen aus sämtlichen Fachabteilungen anfertigen.  Mitarbeiter/innen im Kundenservice, im Sekretariat, in der HR-Abteilung etc., die über eine öffentliche Kontaktadresse/-nummer verfügen, sollten bei Fragen über gespeicherte Daten direkt den Kontakt zu der mit den Datenschutzthemen beauftragten Person im Unternehmen (betriebliche/externe Datenschutzbeauftragte, DS-Koordinator/innen, DS-Manager/innen etc.) suchen und Rücksprache halten.

Zudem rät die GDD zu folgendem Vorgehen:

Wichtig bei der Herangehensweise sind folgende Schritte:

  • Identifikation der betroffenen Person (ggf.  11. Abs. 2 DS-GVObeachten)

  • Überprüfung der personenbezogenen Daten in allen Systemen – ggf. sind Newsletter-Abonnenten nicht in der Kunden-/Mitgliederdatenbank zu finden oder es gibt andere Kundenbindungs-/Werbesysteme

  • Beachtung aller angesprochenen Betroffenenrechte – nicht die Daten zuerst löschen und dann angeben, dass keine personenbezogenen Daten vorhanden sind

  • Beachtung der 1MonatsFrist, ggf. über Notwendigkeit der Fristverlängerung informieren.

Die Vorschläge und Hinweise der GDD sind aus unserer Sicht sehr sinnvoll und hilfreich und sollten beachtet werden, auch um missbräuchlichen Betroffenenanfragen wirksam zu begegnen.

Fazit:

Die aktuellen Entwicklungen beim Ersatz von immateriellen Schäden sowohl im Bereich der Rechtsprechung als auch im Bereich der Datenschutzpraxis zeigen, dass die betrieblichen Datenschutzprozesse funktionieren müssen. Denn wenn die Gerichte den weiten Schadensbegriff mehrheitlich übernehmen sollten und der EuGH die Bagatellgrenze im Rahmen eines Vorabentscheidungsverfahrens kippen sollte, wird es zu vielen Prozessen kommen, in denen wegen einer Verletzung der datenschutzrechtlichen Vorgaben insbesondere der Ersatz immaterieller Schäden verlangt und regelmäßig zugesprochen werden wird. Hier kann ein Unternehmen nur durch funktionierende Datenschutzprozesse, wie sie vorliegend skizziert wurden, dafür sorgen, dass insbesondere missbräuchlich motivierte Betroffenenanfragen wirksam abgewehrt werden können.

Sie benötigen Unterstützung in Bezug auf interne Prozesse für den Datenschutz? Sprechen Sie uns an, wir helfen Ihnen gerne!

 


Diesen Beitrag teilen

Das könnte Dich auch interessieren
datenpanne meldepflicht passwörter bsi tom fidoDer richtige Umgang mit Datenpannen – Meldepflicht oder nicht?
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bNutzung öffentlich zugänglicher Verzeichnisse für Werbung
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichSerie Rechtsgrundlagen: Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoVerpflichtung auf die Vertraulichkeit nach der DS-GVO
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bSerie Rechtsgrundlagen: Die Vertragserfüllung oder vorvertragliche Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO
auftragsverarbeitung vertrag informationspflichten ausnahmenAuftragsverarbeitungsvertrag durch Nichthandeln und ohne Unterschrift?