Ein Verstoß gegen DSGVO und nationales Datenschutzrecht kann – jenseits der viel besprochenen Bußgelder – auch zu einem Schadensersatzanspruch Betroffener führen. Werden die Daten einer Person rechtswidrig verarbeitet, ist ein dadurch eingetretener Schaden zu ersetzen. Dies betrifft einen materiellen Schaden. Auch zu zahlen ist für den immateriellen Schaden, zu leisten ist dann ein „angemessenes Schmerzensgeld“, etwa für eine „Bloßstellung“ bei unrechtmäßiger Veröffentlichung von Daten und vielleicht sogar für Ärger und Gefühlsschäden. In der Praxis wird dieser Anspruch immer häufiger geltend gemacht. Die Gerichte haben daher zunehmend Gelegenheit, Voraussetzungen und Grenzen zu konkretisieren. Einige relevante Entscheidungen der vergangenen Wochen stellen wir Ihnen nachfolgend vor.
Anspruchsgrundlage für einen solchen Schadensersatzanspruch ist Art. 82 DSGVO, neben nationalen Anspruchsgrundlagen. Die DSGVO sieht dabei explizit einen Ersatz des materiellen und immateriellen Schadens vor. Zum alten Datenschutzrecht war noch umstritten, ob auch immaterielle Schäden zu ersetzen sind, gerade unterhalb schwerwiegender Persönlichkeitsrechtsverletzungen wurde dies abgelehnt.
Mit Inkrafttreten der DSGVO ist geklärt, dass auch ein immaterieller Schaden zu ersetzen ist. Betroffene können daher bei jedem Datenschutzverstoß auch einen Schadensersatzanspruch geltend machen. In der Praxis geschieht dies auch in zunehmendem Maße.
Art. 82 DSGVO formuliert im Ausgangspunkt dazu sehr klar, dass „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“ hat. In der Praxis aber sind unzählige Fragen unklar und umstritten. Zunehmend hilft die Rechtsprechung, den Rahmen der Schadensersatzansprüche für die praktische Anwendung zu konkretisieren.
Eine für die Praxis bedeutende Konkretisierung haben zuletzt drei Oberlandesgerichte herausgearbeitet: Ohne Schadensvortrag gibt es auch bei einem Datenschutzverstoß keinen Schadensersatz. Konkret: Auch der Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO setzt voraus, dass einer natürlichen Person wegen eines Verstoßes gegen das Datenschutzrecht ein materieller oder immaterieller Schaden entstanden ist und die betroffene Person diesen Schaden darlegt und nachweist. Sowohl das OLG Bremen (E. v. 16.07.2021, 1 W 18/21) als auch das OLG Brandenburg (E. v. 11.08.2021, 1 U 69/20). Wenige Wochen zuvor hat auch das OLG Stuttgart dies bereits entsprechend festgehalten (wir berichteten hier).
Die Behauptung eines Verstoßes gegen die Vorschriften der DSGVO alleine genügt nach der aktuellen Entscheidung des OLG Bremen nicht. Der Anspruchsteller muss auch den hierdurch kausal entstandenen materiellen und / oder immateriellen Schaden darlegen und beweisen. Der Wortlaut des Art. 82 DSGVO zeige insoweit eindeutig, dass ein solcher Vortrag notwendig sei.
Was auf Grundlage des allgemeinen Zivilrechts wie eine Selbstverständlichkeit anmutet, war im Datenschutzrecht umstritten: Da Unternehmen unter der DSGVO umfassend rechenschaftspflichtig sind, es also ihnen obliegt, darzulegen, dass sie datenschutzkonform agieren, war dies von einigen Vertretern auch auf den Schadensersatzanspruch übertragen und eine Art Beweislastumkehr befürwortet worden. Gefordert wurde, dass sich die Unternehmen „entlasten“. Dem haben die beiden Oberlandesgerichte nun überzeugend eine Absage erteilt.
Für Unternehmen bedeutet dies: Werden Schadensersatzansprüche geltend gemacht, kommt nur dann eine Zahlungspflicht in Betracht, wenn die betroffene Person die Anspruchsvoraussetzungen einschließlich dem ihr entstandenen Schaden vollständig darlegt und nachweist.
Erfolgt dies, stellt sich weiter die Frage, in welcher Höhe welcher immaterielle Schaden überhaupt zu ersetzen ist. Ist tatsächlich für „Ärger“ oder einen „Gefühlsschaden“ Geldersatz zu leisten? Ob erst ab einer gewissen Erheblichkeit ein Schmerzensgeld zu zahlen ist oder aber jeder Bagatellschaden ausreicht, hat das BVerfG unlängst den EuGH gefragt (wir berichteten hier). Die Antwort steht noch aus.
Und noch eine interessante Entwicklung zeichnet sich ab: Das Bundesarbeitsgericht (BAG) hat Ende August dem EuGH zwei zentrale Fragen zur Höhe des immateriellen DSGVO-Schadensersatzes vorgelegt (E. v. 26.08.2021, 8 AZR 253/20 (A)): Zum einen stellt das BAG zur Bemessung der Schadenshöhe die Frage nach dem spezial- und generalpräventiven Charakter des Anspruchs und, ob dieser zu berücksichtigen sei. Kommt dem Anspruch generalpräventiver Charakter zu, muss er „abschreckend“ wirken und ist damit jenseits des Einzelfalls tendenziell höher anzusetzen. Zum anderen fragt das BAG – ebenfalls zur Schadenshöhe bei immateriellen Schäden –,ob es auf den Grade des Verschuldens ankommt. Üblich ist dies jenseits der Vorschriften zum Mitverschulden, um die es hier aber nicht geht, nicht. Im Datenschutzrecht aber könnte dem individuellen Verschuldensgrad Bedeutung etwa dann zukommen, wenn der Schadensersatzanspruch jenseits des Einzelfalls abschreckende Wirkung entfalten soll. Dann nämlich ist auch insoweit der Schadensersatz umso höher anzusetzen, umso größer das Verschulden war. Auch dies wirkt auf Grundlage des allgemeinen Zivilrechts fremd, im Datenschutzrecht ticken die Uhren bisweilen indes anders.
Hier bleibt abzuwarten, wie sich der EuGH positioniert.