Schadensersatz und Schmerzensgeld bei Datenschutz­verstößen

• Ausgangslage »

• Abweichendes Begriffsverständnis in Art. 82 DSGVO »

• Immaterieller Schaden unabhängig von Folgen und Erheblichkeit »

• Haftungsvermeidung durch Aufgabendelegation »

• Bussgeldkriterien als Zumessungsregeln beim immateriellen Schadensersatz »

• Gesamtentschädigung bei Mehrfachverstössen »

• Fazit »

Ausgangslage

Den Grundsätzen liegen verschiedene Überlegungen des Gesetzgebers und der Rechtsprechung zugrunde. Eine wichtige Überlegung ist, dass das Persönlichkeitsrecht Betroffener nicht kapitalisiert werden soll. Das heißt, dass vermieden werden soll, dass eine Beeinträchtigung in der Erwartung hingenommen wird, die Verletzung später in Geld ausgeglichen zu bekommen (sog. „dulde und liquidiere“). Die überragende Bedeutung des Per­sön­lichkeitsrechts als Bestandteil der Menschenwürde soll nicht von der Rechtsordnung als bloße Vermö­gens­position abgehandelt werden können. Gerichte müssten sonst zwangsläufig regelmäßig darüber befinden, welchen Geldwert z.B. der Schutz von Privat- oder Intimsphäre hat. Dies wurde bislang im Rahmen einer grund­sätzlichen und dogmatischen Grundwertung abgelehnt. Die Reichweite und Erstattungsfähigkeit von sog. immateriellen Schäden wurde stets ausgesprochen streng gehandhabt und der Begriff an sich eng ausgelegt.

Würden diese Grundsätze durchbrochen, stünden ggfs. auch andere Zumessungsprinzipien aus dem allge­meinen Schadensersatzrecht zur Disposition. Man denke zum Beispiel an die ausgesprochen zurückhaltenden Gelder im Bereich der Körperverletzung. Sollten die Gerichte zu einer abschreckenden Zumessung im Daten­schutz gezwungen werden, dürfte hier schnell ein grobes Missverhältnis entstehen. Ein solches Missverhältnis zeichnet sich in der Rechtsprechung bereits ab.

Abweichendes Begriffsverständnis in Art. 82 DSGVO

Nach der Regelung des Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein ma­terieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verant­wort­lichen oder Auftragsverarbeiter.

Der entscheidende Aspekt ist dabei abermals die Auslegung des Begriffs des immateriellen Schadens. Nach­dem die DSGVO aber den Wertungen des deutschen Rechts als nationaler Rechtsordnung weitgehend entzogen ist und vor allem die Grundsätze der Anwendung europäischen Rechts zur Geltung kommen (z.B. der Grundsatz der effektiven Rechtsanwendung; „effet utile”), gehen Gerichte zunehmend davon aus, dass weder eine spürbare Beeinträchtigung des Betroffenen, noch das Überschreiten einer Erheblichkeitsschwelle notwendig ist, um einen Ausgleich in Geld zuzusprechen (vgl. z.B. LAG Hamm, Urteil vom 14.12.2021 – 17 Sa 1185/20; LAG Niedersachsen, Urteil vom 22.10.2021 – 16 Sa 761/20, anders OLG Dresden, Urteil vom 30.11.2021 – 4 U 1158/21). Vielmehr rückt immer mehr das Ziel der Abschreckung in den Vordergrund (vgl. OLG Dresden aaO.; LAG Hessen, Urteil vom 18.10.2021 – 16 Sa 380/20), welches dem deutschen Recht als Ziel des Schadensausgleichs gänzlich fremd ist – anders, als zum Beispiel im US-amerikanischen Recht, wo der sog. Strafschadensersatz („punitive damages“) eine wichtige Säule des Schadensersatzrechts darstellt.

Andererseits hat das Bundesverfassungsgericht hervorgehoben, dass spätestens letztinstanzliche Gerichte verpflichtet sind, als noch nicht geklärte Frage dem Europäischen Gerichtshof (EuGH) vorzulegen, unter wel­chen Voraussetzungen Art. 82 Abs. 1 DSGVO einen Geldentschädigungsanspruch gewährt (Beschluss vom 14. Januar 2021 – 1 BvR 2853/19).

Das Landgericht Saarbrücken hat dem EuGH (Aktenzeichen C-741/21) mit Beschluss vom 22. November 2021 (5 O 151/19) bestimmte Fragen zur Auslegung der Datenschutz-Grundverordnung vorgelegt. Abhängig von deren Beantwortung wird sich zeigen, worauf sich Unternehmen bei der Abwehr, aber auch Betroffene bei der Gel­tend­machung von Schmerzensgeldansprüchen wegen Datenschutzverletzungen künftig einstellen müssen. Die Vorlagefragen beziehen sich hier vor allem auf die Notwendigkeit einer Erheblichkeitsschwelle und die Zu­mes­sungsregeln.

Das Bundesarbeitsgericht (BAG) hat den EuGH (Aktenzeichen 8 AZR 253/20 (A), bzw. C-667/21) am 26.08.2021 darüber hinaus gefragt, ob die besagte Vorschrift general- oder spezialpräventiven Charakter hat und bei der Zumessung von Schadensersatzbeträgen der Grad des individuellen Verschuldens berücksichtigt werden darf.

Bis zu einer vom EuGH vorgenommenen, endgültigen Klärung besteht im Hinblick auf nachstehende Aspekte eine erhebliche Rechtsunsicherheit.

Immaterieller Schaden unabhängig von Folgen und Erheblichkeit

Im Raum steht, dass der bloße Verstoß gegen Vorschriften der DSGVO für eine Geltendmachung von Ersatz­ansprüchen ausreicht.

Für ein solches Verständnis spricht, dass nach dem Wortlaut der Verordnung jede Person Anspruch auf Scha­denersatz hat, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden ent­standen ist, Art. 82 Abs. 1 DSGVO. Zudem soll „Schaden" im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht, Erwä­gungsgrund (EG) 146 Satz 3 DSGVO. Zudem ist der Schaden europaweit einheitlich auszulegen, auf ein national anderes Verständnis immaterieller Schäden kann es nach der Vollharmonisierung durch die DSGVO nicht an­kommen.

Das hätte zur Folge, dass bei bloßen Datenschutzverstößen eines Unternehmens jede davon betroffene Person einen Ersatzanspruch hätte. Auf die Kenntnis oder Spürbarkeit der Beeinträchtigung käme es nicht an, so dass die Ersatzverpflichtungen praktisch eine Strafwirkung erzielen würden. Das dürfte Anstrengungen zur Ein­hal­tung der DSGVO und damit das Erreichen ihrer Ziele verstärken, da nicht nur Datenpannen, Aufsichts­behörden, Wettbewerber und verärgerte ehemalige Kunden oder Mitarbeiter zu fürchten sind, sondern praktisch jeder Person, deren Daten rechtswidrig verarbeitet werden, ein Anspruch auf eine Geldzahlung zustünde. Dagegen sprechen grundsätzliche Wertungen des deutschen Zivilrechts wie oben dargelegt.

Haftungsvermeidung durch Aufgabendelegation

Sodann ist vom EuGH zu beantworten, ob eine Schadensersatzpflicht entfällt, wenn der Verstoß durch das Fehlverhalten einer nach Art. 29 DSGVO unterstellten Person erfolgte, also beispielsweise eines angewiesenen Beschäftigten.

Für eine solche Möglichkeit spricht, dass sich nach Art. 82 Abs. 3 DSGVO der Verantwortliche von der Haftung befreien kann, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden ein­getreten ist, verantwortlich ist.

Allerdings sind die Anforderungen an den Nachweis noch unklar. Der pauschale Hinweis darauf, dass eine x-beliebige Person im Unternehmen für den Verstoß verantwortlich gemacht werden kann, dürfte in keinem Fall ausreichen. Nach dem Wortlaut wird der Verantwortliche auch nachweisen müssen, dass kein Organisations­verschulden vorliegt, also die kausal für den Verstoß verantwortliche Person ordnungsgemäß ausgewählt, an­geleitet und überwacht wurde und der Verstoß dennoch nicht vermieden werden konnte. Die Beweislast dafür liegt beim Verantwortlichen, wobei die Anforderungen hoch sein dürften.

Dagegen spricht jedoch, dass die jeweils „angewiesene Person” für den Geschädigten unter Umständen kein angemessener Haftungsschuldner ist. Die mit Abschreckungsabsicht eingeführte Haftung für Datenschutz­verstöße nach Art. 82 DSGVO würde durch eine derartige „Ausflucht" praktisch wieder relativiert. Zudem ent­stammt der Begriff des Verantwortlichen im Art. 82 Abs.3 DSGVO der Definition in Art. 4 Nr. 7 DSGVO. Insofern würde die Frage aufgeworfen, ob auch eine juristische Person als „unterstellte Person" im Sinne des Art. 29 DSGVO in Betracht kommt. In diesem Fall ließen sich Haftungsgesellschaften gründen, um einem möglichen (Haupt-) Verantwortlichen die Haftung zu ersparen.

Bußgeldkriterien als Zumessungsregeln beim immateriellen Schadensersatz

Zur Bemessung des immateriellen Schadenersatzes wird der EuGH zu beantworten haben, ob eine Orientierung an den zur Bußgeldbemessung geregelten Kriterien erlaubt oder sogar geboten ist. Insbesondere verweist es auf eine mögliche Orientierung an Art. 83 Abs. 2 DSGVO (mit dem Katalog erschwerender oder mildernder Um­stände) sowie Abs. 5 (mit dem Bußgeldrahmen von bis zu 20 Millionen Euro bei bestimmten Verstößen).

Eine Berücksichtigung jedenfalls einiger der Kriterien von Art. 83 Abs. 2 DSGVO bei der Bestimmung der Scha­denersatzhöhe erscheint (ohnehin) sinnvoll: Art, Schwere und Dauer des Verstoßes, Ausmaß eines erlittenen Schadens, Vorsätzlichkeit oder Fahrlässigkeit der Begehung, Berücksichtigung der ergriffenen Maßnahmen zur Vermeidung des Verstoßes oder Minderung des Schadens. Interessant ist die Frage, ob und ggf. wie selbst mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste bei der Höhe des imma­teriellen Ersatzanspruches berücksichtigt werden können, Art. 83 Abs. 2 lit. k DSGVO. Für eine solche „Gewinnabschöpfung" durch einzelne Betroffene würde sprechen, dass damit die Durchsetzung der Ziele der DSGVO verbessert wird und Unternehmen nicht ausrechnen können, ob sich Verstöße gegen Datenschutz­vorschriften finanziell lohnen. Dagegen spricht insbesondere, dass ein solcher Strafschadenersatz dem Euro­päischen Recht bislang fremd ist, vom deutschen Recht ganz zu schweigen.

Eine Berücksichtigung des Bußgeldrahmens aus Art. 83 Abs. 5 DSGVO als Maßstab für individuelle Schaden­ersatzansprüche erscheint dagegen eher fernliegend. Systematisch passt dies nicht, weil für die aufsichts­rechtliche Ahndung von Datenschutzverstößen eine allein zuständige Aufsichtsbehörde unter Beachtung aller Umstände eine Geldbuße innerhalb des vorgegebenen Rahmens festlegt, mit der der Verstoß geahndet ist. Dabei ist die Zahl der Betroffenen und deren erlittener Schaden bereits zu berücksichtigen, Art. 83 Abs. 2 lit. a DSGVO. Es ist dann wenig nachvollziehbar, wenn daneben zusätzlich jeder einer möglichen Vielzahl von Betroffenen noch einen Ersatzanspruch haben kann, der sich prinzipiell auf jeweils 20 Millionen Euro belaufen können soll.

Gesamtentschädigung bei Mehrfachverstößen

Schließlich wird der EuGH klären, ob mehrfach gleichgelagerte Verstöße jeweils zu einzelnen Ersatzansprüchen führen oder ob eine Gesamtentschädigung nach wertender Betrachtung und nicht bloß Summierung der Einzel­ansprüche festzusetzen ist.

Jedenfalls werden vorangegangene Verstöße bzw. Nichtabhilfen wie im vorliegenden Fall zu berücksichtigen sein – entweder bei der individuellen Einzelbemessung oder im Rahmen einer Gesamtabwägung.

Fazit

Bis zu einer Klarstellung durch den EuGH brauchen Verantwortliche gerichtliche Entscheidungen zur Zahlung von immateriellem Schadenersatz nicht akzeptieren. Es besteht jedoch eine erhebliche Gefahr, dass der EuGH die Anforderungen senkt, so dass auch eine vorherige Beendigung laufender Verfahren zu überschaubaren Kosten als strategische Option in Betracht zu ziehen ist. Die beste Prävention ist und bleibt jedoch die Ein­rich­tung und Aufrechterhaltung einer adäquaten Datenschutzorganisation im Unternehmen.