Online-Weiterbildung
Akademie
VideoCampus
Produkte
Themen
Dashöfer

Neues Risiko: Schmerzensgeld bei Datenschutzverletzungen

06.11.2020  — Rolf Becker.  Quelle: Verlag Dashöfer GmbH.

Bußgelder nach der DSGVO sind bereits abschreckend. Der Rahmen von bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) birgt große Risiken.

Die Behörden machen auch schmerzhaften Gebrauch von den neuen Möglichkeiten. Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER warnt vor einem weiteren steigenden Risiko: Schadensersatzforderungen von Betroffenen auch bei kleinen Verstößen!

Immaterieller Schadensersatz

Immaterieller Schadensersatz war in Deutschland bislang nur selten ein Thema. Anders, als etwa in den USA verlangen deutsche Gerichte bislang einen ganz erheblichen immateriellen Nachteil. Solche Nachteile werden z.B. im Rahmen des Schmerzensgeldes diskutiert. Aber auch bei solchen Entscheidungen ging es regelmäßig allenfalls um kleine Summen, sieht man von Ausreißern ab.

DSGVO Regelung gibt neuen Anspruch

Im Datenschutzrecht kommt mit Art. 82 DSGVO eine neue Herausforderung auf alle zu, die personenbezogene Daten verarbeiten.

Art. 82 Abs. 1 DSGVO lautet:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Es müssen also nicht nur eventuelle finanzielle Nachteile ausgeglichen werden, sondern es geht um eine Art „Schmerzensgeld“. Hier urteilen die Gerichte in Deutschland bislang recht unterschiedlich. Dennoch kann man langsam von einem Trend sprechen, der sich in Richtung Schmerzensgeld bei Datenschutzverstößen bewegt.

Mehr Gerichte sprechen Schadensersatz zu

Aufmerksamkeit erregte das Urteil des Arbeitsgerichts Düsseldorf (Urt. v. 05.03.2020 – Az. 9 Ca 6557/18). Ein Arbeitgeber, der Auskünfte zunächst nur unvollständig und damit die vollständigen Auskünfte nur verzögert erteilt hatte, wurde zu einem Zahlbetrag von 5.000 Euro verurteilt. Die Angelegenheit ist bei dem Landesarbeitsgericht Düsseldorf in der Berufung anhängig (Aktenzeichen:14 Sa 294/20). Hier wurde damit argumentiert, dass bereits jeder Verstoß gegen Datenschutzvorschriften den Schadensersatz auslöse.

Aus dem Urteil:

Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der DS-GVO in vollem Umfang entspricht (…). Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75)

Schadensersatz soll abschreckend hoch sein

Noch misslicher: Das Gericht forderte entsprechend den Erwägungsgründen, die der DSGVO vorangestellt sind, dass der Schadensersatz abschreckend sein soll:

“Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die DS-GVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird“.

Tatsächlich sieht Erwägungsgrund 146 in der DSGVO vor:

1) Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. …. 3) Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. … 6) Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten …

Von „abschreckend“ ist an dieser Stelle nicht die Rede. Dieser Begriff ist vielmehr Art. 83 DSGVO zu den Geldbußen der Aufsichtsbehörden zu entnehmen:

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“

Die Reihe der Urteile lässt sich fortsetzen:

Veröffentlichung von Mitarbeiterfoto 1.000 Euro

Das Arbeitsgericht Lübeck sah in seinem Beschluss vom 20.6.2020 (Az. 1 Ca 538/19) schon in der Veröffentlichung eines Mitarbeiterfotos einen ersatzfähigen Schaden von 1.000 Euro.

1.500 Euro für Gesundheitsdaten eines Mitarbeiters

Das Arbeitsgericht Dresden urteilte 1.500 Euro für die unrechtmäßige Übermittlung von Gesundheitsdaten eines Mitarbeiters an die Behörden aus (Urt. v. 26.08.2020, Az. 13 Ca 1046/20).

Bagatellverstöße ohne Schadensersatz

Natürlich gibt es auch noch andere Entscheidungen, die ein gewisses Maß an Beeinträchtigung verlangen, bevor Schadensersatz verlangt werden kann.

So sah das OLG Dresden keinen Schadensersatzanspruch bei bloßen Bagatellverstößen (OLG Dresden, Beschl. v. 11.06.2019 - Az.: 4 U 760/19 - zu unberechtigter Sperrung eines Posts durch Facebook). Das OLG Dresden hat zudem mit Urteil vom 20.08.2020 (Az. 4 U 784/20) entschieden, dass die Löschung von Posts in einem sozialen Netzwerk zwar eine Verarbeitung nach DSGVO darstellt. Die Löschung stelle für sich genommen jedoch keinen ersatzfähigen Schaden dar.

Auch das LG Karlsruhe (LG Karlsruhe, Urt. v. 02.08.2019 - Az.: 8 O 26/19) ließ die Ablehnung eines Kreditvertrages, die möglicherweise auf Basis eines falschen Basisscores beruhte, nicht ausreichen, um Schadensersatz zuzubilligen. Vorbeugende („generalpräventive“) Gründe reichen nicht aus.

Auch das LG Hamburg hat mit Urteil vom 04.09.2020 (Az. 324 S 9/19) einen Schadensersatzanspruch abgelehnt. Es fehle im konkreten Fall an einer "benennbar und insoweit tatsächliche Persönlichkeitsverletzung" (für unberechtigte Veröffentlichung einer Wohnungsanzeige auf Immonet).

Risiken steigen

Insgesamt werden die Risiken größer. Schon haben einige Betroffene das Thema für sich entdeckt und fordern etwa für Besuche auf Webseiten pro Cookie ohne ausreichende Einwilligung 1.000 Euro. Die rechtliche Komplexität der Fragen zur Cookie-Einwilligung befördert solche Vorhaben. Hinzu kommt, dass jetzt auch mit dem Fall des Privacy Shield Datenverarbeitungen im Land des digitalen Weltmarktführers USA im Ergebnis nur noch mit informierter Einwilligung über die Risiken stattfinden können. Auswege, wie etwa die Vereinbarung von Standardvertragsklauseln, stellen unsichere Grundlagen dar. Von dieser Unsicherheit nähren sich die Abmahner.

Bald könnten sich Legal-Tech Unternehmen herausgefordert sehen, solche Ansprüche zu verfolgen. Eine wirtschaftliche Basis und Geschäftschancen für ein dortiges Vorgehen gab es schon bei Flugverspätungsentschädigungen oder bei VW & Co.

Lassen Sie sich beraten

Weil alles derart kompliziert ist, sollten Unternehmen sich rechtlich beraten lassen. Wenden Sie sich dazu an einen Rechtsanwalt. Eine Haftung des Datenschutzbeauftragten ist durchaus nicht selbstverständlich und dürfte am ehesten dort bestehen, wo der Datenschutzbeauftragte nicht nur zu den Pflichten allgemein berät, sondern selbst Texte zur Verfügung stellt und damit Geschäfte des Unternehmens besorgt. Hier besteht allerdings nicht, wie bei Anwälten, ein gesetzlich verpflichtender Versicherungsschutz.

Bitte nicht falsch verstehen: Der Datenschutzbeauftragte ist wichtig und in vielen Fällen der erste Ansprechpartner. Er ist allerdings gerade kein einseitiger Interessenvertreter, wie der Anwalt! Seine Haftung ist unklar und oft nicht gesondert versichert. Er sollte Lücken und Unzulänglichkeiten helfen aufzudecken und das Unternehmen veranlassen, für Abhilfe zu sorgen und Lösungen beurteilen. Die eigene Lösung zu liefern und sie mit den richtigen Risikoabwägungen zu beurteilen, überfordert die Stellung des Datenschutzbeauftragten in vielen Fällen.

Kennen Sie schon unseren neuen News­letter Digitalisierung aktuell?

Bild: rawpixel (Pixabay, Pixabay License)

nach oben