Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Das Vergolden von Datenschutzverstößen durch Betroffene

PrintMailRate-it

veröffentlicht am 19. Januar 2022 | Lesedauer ca. 3 Minuten

 

Obwohl die Europäische Datenschutz-Grundverordnung (DSGVO) bereits seit Mai 2018 Anwendung findet, sind zentrale Fragen noch immer rechtlich umstritten. Neben dem Umfang des Auskunftsrechts der Betroffenen und dessen möglicher Einschränkung sowie Zurechnungsfragen bei pflichtwidrigen Verhalten zur Verhängung von Bußgeldern ist insbesondere die Forderung nach Schadenersatz und Schmerzensgeld nach Art. 82 DSGVO praktisch bedeutsam. 

 

 

 

  

Zu letzterem liegen bereits einige Urteile deutscher Gerichte vor. Danach ist zwischenzeitlich zwar anerkannt, dass für ein solches Schmerzensgeld keine schwere Verletzung des Persönlichkeitsrechts des Betroffenen mehr erforderlich ist. Dennoch soll teilweise bei „Bagatellverstößen" ohne ernsthafte Beeinträchtigung oder bloß individuell empfundene Unannehmlichkeit kein Schmerzensgeld zu zahlen sein, vgl. Landgericht Landshut, Urteil vom 6. November 2020 - 51 O 513/20 sowie Landgericht Essen, Urteil vom 23. September 2021 – 6 O 190/21 und zuletzt noch einmal klarstellend Hessisches Landesarbeitsgericht, Urteil vom 18. Oktober 2021 – 16 Sa 380/20. Andererseits hat das Bundesverfassungsgericht hervorgehoben, dass spätestens letztinstanzliche Gerichte verpflichtet sind, als noch nicht geklärte Frage dem Europäischen Gerichtshof (EuGH) vorzulegen, unter welchen Voraussetzungen Art. 82 Abs. 1 DSGVO einen Geldentschädigungsanspruch gewährt (Beschluss vom 14. Januar 2021 – 1 BvR 2853/19).

 

Hierzu hat nunmehr das Landgericht Saarbrücken mit Beschluss vom 22. November 2021 (5 O 151/19) dem EuGH (Aktenzeichen C-741/21) Fragen vorgelegt. Abhängig von deren Beantwortung wird sich zeigen, worauf sich Unternehmen bei der Abwehr, aber auch Betroffene bei der Geltendmachung von Schmerzensgeldansprüchen wegen Datenschutzverletzungen künftig einstellen müssen.

 

Sachverhalt

Dem Landgericht lag ein Fall zur Entscheidung vor, bei dem Daten des Betroffenen trotz dessen dreimaligen Widerspruchs gegen die Verwendung zu Werbezwecken (Art. 21 Abs. 3 DSGVO) weiterhin für genau diese Zwecke verarbeitet wurden: Nach einem Werbewiderspruch des Klägers im November 2018 erhielt er im Januar 2019 zwei Werbebriefe von der Beklagten, die jeweils personalisierte Rabatt-Codes für deren Produkte enthielten. Nach erneutem Widerspruch im April 2019 versandte die Beklagte einen Werbebrief Anfang Mai 2019, der gleichfalls einen Rabatt-Code enthielt. Erneut widersprach der Kläger gegenüber der Beklagten, seine personenbezogenen Daten zu Werbezwecken zu verwenden. Dennoch führte 3 Wochen nach diesem dritten Widerspruch die Eingabe des Rabatt-Codes aus dem Schreiben von Anfang Mai 2019 im Web-Shop der Beklagten dazu, dass automatisch die personenbezogenen Daten des Klägers vervollständigt, also noch vorhanden und weiter verarbeitet wurden.

 

Für die Entscheidung der Klage auf Zahlung von Schmerzensgeld hat das Landgericht Saarbrücken dem EuGH die folgenden Fragen vorgelegt:

 

1. Immaterieller Schaden unabhängig von Folgen und Erheblichkeit?

Zunächst fragt das Landgericht, ob bereits der bloße Verstoß gegen Vorschriften der DSGVO für eine Geltendmachung von Ersatzansprüchen ausreicht, hier also die aufgrund des mehrfachen Widerspruchs des Betroffenen unzulässige Datenverarbeitung.

 

Für ein solches Verständnis spricht, dass nach dem Wortlaut der Verordnung jede Person Anspruch auf Schadenersatz hat, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Art. 82 Abs. 1 DSGVO. Zudem soll „Schaden" im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht, Erwägungsgrund (EG) 146 Satz 3 DSGVO. Zudem ist der Schaden europaweit einheitlich auszulegen, auf ein national anderes Verständnis immaterieller Schäden kann es nach der Vollharmonisierung durch die DSGVO nicht ankommen.

 

Das hätte zur Folge, dass bei bloßen Datenschutzverstößen eines Unternehmens jede davon betroffene Person einen Ersatzanspruch hätte. Auf die Kenntnis oder Spürbarkeit der Beeinträchtigung käme es nicht an, so dass die Ersatzverpflichtungen praktisch eine Strafwirkung erzielen würden. Das dürfte Anstrengungen zur Einhaltung der DSGVO und damit das Erreichen ihrer Ziele verstärken, da nicht nur Datenpannen, Aufsichtsbehörden, Wettbewerber und verärgerte ehemalige Kunden oder Mitarbeiter zu fürchten sind, sondern praktisch jeder Person, deren Daten rechtswidrig verarbeitet werden, ein Anspruch auf eine Geldzahlung zustünde.

 

Dagegen sprechen grundsätzliche Wertungen des deutschen Zivilrechts. Demnach soll insbesondere vermieden werden, dass es zu einem „dulde & liquidiere" kommt und Individuen die Verletzung von Persönlichkeitsrechten im Zweifel hinnehmen, um sie später im Wege der Geltendmachung von Entschädigungen zu kapitalisieren.

 

Nach den von der Rechtsprechung entwickelten Grundsätzen handelt es sich beim allgemeinen Persönlichkeitsrecht um ein Rahmenrecht, dessen Verletzung – vereinfacht ausgedrückt – nur dann in Geld ausgeglichen werden soll, wenn zum einen eine Spürbarkeitsschwelle überschritten wird und zum anderen ein angemessener Verletzungsausgleich durch andere Mittel als eine Geldzahlung schlechterdings nicht oder nicht mehr möglich ist.

 

Würden diese Grundsätze durchbrochen, stünden ggfs. auch andere Zumessungsprinzipien aus dem allgemeinen Schadensersatzrecht zur Disposition. Man denke zum Beispiel an die ausgesprochen zurückhaltenden Gelder im Bereich der Körperverletzung. Sollten die Gerichte zu einer abschreckenden Zumessung im Datenschutz gezwungen werden, dürfte hier schnell ein grobes Missverhältnis entstehen.

 

 

2. Lässt sich durch Aufgabendelegation Haftung vermeiden?

Sodann möchte das Landgericht wissen, ob eine Schadensersatzpflicht entfällt, wenn der Verstoß durch das Fehlverhalten einer nach Art. 29 DSGVO unterstellten Person erfolgte, also beispielsweise eines angewiesenen Beschäftigten.

 

Für eine solche Möglichkeit spricht, dass sich nach Art. 82 Abs. 3 DSGVO der Verantwortliche von der Haftung befreien kann, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

 

Allerdings sind die Anforderungen an den Nachweis noch unklar. Der pauschale Hinweis darauf, dass eine x-beliebige Person im Unternehmen für den Verstoß verantwortlich gemacht werden kann, dürfte in keinem Fall ausreichen. Nach dem Wortlaut wird der Verantwortliche auch nachweisen müssen, dass kein Organisationsverschulden vorliegt, also die kausal für den Verstoß verantwortliche Person ordnungsgemäß ausgewählt, angeleitet und überwacht wurde und der Verstoß dennoch nicht vermieden werden konnte. Die Beweislast dafür liegt beim Verantwortlichen, wobei die Anforderungen hoch sein dürften.

 

Dagegen spricht jedoch, dass die jeweils „angewiesene Person" für den Geschädigten unter Umständen kein angemessener Haftungsschuldner ist. Die mit Abschreckungsabsicht eingeführte Haftung für Datenschutzverstöße nach Art. 82 DSGVO würde durch eine derartige „Ausflucht" praktisch wieder relativiert. Zudem entstammt der Begriff des Verantwortlichen im Art. 82 Abs.3 DSGVO der Definition in Art. 4 Nr. 7 DSGVO. Insofern würde die Frage aufgeworfen, ob auch eine juristische Person als „unterstellte Person" im Sinne des Art. 29 DSGVO in Betracht kommt. In diesem Fall ließen sich Haftungsgesellschaften gründen, um einem möglichen (Haupt-) Verantwortlichen die Haftung zu ersparen.

 

3. sind die Bussgeldkriterien für Ersatzansprüche heranzuziehen?

Zur Bemessung des immateriellen Schadenersatzes fragt das Landgericht, ob eine Orientierung an den zur Bußgeldbemessung geregelten Kriterien erlaubt oder sogar geboten ist. Insbesondere verweist es auf eine mögliche Orientierung an Art. 83 Abs. 2 DSGVO (mit dem Katalog erschwerender oder mildernder Umstände) sowie Abs. 5 (mit dem Bußgeldrahmen von bis zu 20 Millionen Euro bei bestimmten Verstößen).

 

Eine Berücksichtigung jedenfalls einiger der Kriterien von Art. 83 Abs. 2 DSGVO bei der Bestimmung der Schadenersatzhöhe erscheint (ohnehin) sinnvoll: Art, Schwere und Dauer des Verstoßes, Ausmaß eines erlittenen Schadens, Vorsätzlichkeit oder Fahrlässigkeit der Begehung, Berücksichtigung der ergriffenen Maßnahmen zur Vermeidung des Verstoßes oder Minderung des Schadens. Interessant ist die Frage, ob und ggf. wie selbst mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste bei der Höhe des immateriellen Ersatzanspruches berücksichtigt werden können, Art. 83 Abs. 2 lit. k DSGVO. Für eine solche „Gewinnabschöpfung" durch einzelne Betroffene würde sprechen, dass damit die Durchsetzung der Ziele der DSGVO verbessert wird und Unternehmen nicht ausrechnen können, ob sich Verstöße gegen Datenschutzvorschriften finanziell lohnen. Dagegen spricht insbesondere, dass ein solcher Strafschadenersatz dem Europäischen Recht bislang fremd ist, vom deutschen Recht ganz zu schweigen.

 

Eine Berücksichtigung des Bußgeldrahmens aus Art. 83 Abs. 5 DSGVO als Maßstab für individuelle Schadenersatzansprüche erscheint dagegen eher fernliegend. Systematisch passt das nicht, weil für die aufsichtsrechtliche Ahndung von Datenschutzverstößen eine allein zuständige Aufsichtsbehörde unter Beachtung aller Umstände eine Geldbuße innerhalb des vorgegebenen Rahmens festlegt, mit der der Verstoß geahndet ist. Dabei ist die Zahl der Betroffenen und deren erlittener Schaden bereits zu berücksichtigen, Art. 83 Abs. 2 lit. a DSGVO. Es ist dann wenig nachvollziehbar, wenn daneben zusätzlich jeder einer möglichen Vielzahl von Betroffenen noch einen Ersatzanspruch haben kann, der sich prinzipiell auf jeweils 20 Millionen Euro belaufen können soll.

 

4. Gesamtentschädigung bei Mehrfachverstössen?

Schließlich fragt das Landgericht, ob mehrfach gleichgelagerte Verstöße jeweils zu einzelnen Ersatzansprüchen führen oder ob eine Gesamtentschädigung nach wertender Betrachtung und nicht bloß Summierung der Einzelansprüche festzusetzen ist.

 

Jedenfalls werden vorangegangene Verstöße bzw. Nichtabhilfen wie im vorliegenden Fall zu berücksichtigen sein – entweder bei der individuellen Einzelbemessung oder im Rahmen einer Gesamtabwägung.

 

Ausstehende Entscheidung(en) des EuGH

Diese praktisch bedeutsamen Fragen hat der EuGH bislang noch nicht beantwortet, eine Entscheidung über die Fragen des Landgerichts Saarbrücken (Aktenzeichen C-741/21) wird auch noch einige Zeit in Anspruch nehmen.

 

Zudem gib es noch weitere anhängige Verfahren zu diesem Themenkomplex beim EuGH. Am weitesten gehen dabei die Fragen des Österreichischen Obersten Gerichtshofes, ob für Ersatzansprüche bereits die bloße Verletzung von DSGVO-Bestimmungen ausreicht oder ob es zulässig ist, für immateriellen Schadenersatz stärkere Folgen für den Betroffenen als einen bloßer Ärger über die Rechtsverletzung zu fordern, Az. C-300/21. Vom Bundesarbeitsgericht ist u.a. die Frage beim EuGH anhängig (C-667/21), ob und wie der Schadenersatzanspruch neben einer Ausgleichsfunktion auch präventiven Charakter hat und wie ein geringes Verschulden des Verantwortlichen berücksichtigt werden kann.

 

Fazit

Bis zu einer Klarstellung durch den EuGH brauchen Verantwortliche gerichtliche Entscheidungen zur Zahlung von immateriellem Schadenersatz nicht akzeptieren. Allerdings besteht die Gefahr, dass der EuGH die Anforderungen senkt, so dass auch eine vorherige Beendigung laufender Verfahren zu überschaubaren Kosten als Option in Betracht zu ziehen ist. Schließlich hilft die Vermeidung von Verstößen gegen die DSGVO.

Kontakt

Contact Person Picture

Alexander von Chrzanowski

Rechtsanwalt, Fachanwalt für IT-Recht und Arbeitsrecht

Associate Partner

+49 3641 4035 30
+49 3641 4035 33

Anfrage senden

Profil

Contact Person Picture

Johannes Marco Holz

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU)

Associate Partner

+49 911 9193 1511
+49 911 9193 1599

Anfrage senden

Profil

 Wir beraten Sie gern!

 Mehr lesen?

Deutschland Weltweit Search Menu