Vor Inkrafttreten der DSGVO bejahten deutsche Gerichte den Ersatz eines immateriellen Schadens („Geldentschädigung“) nur beim Vorliegen einer schweren Persönlichkeitsrechtsverletzung. Die DSGVO enthält mit
Art. 82 Abs. 1 DSGVO
eine zentrale Schadensersatznorm. Danach hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Eine besondere
Schwere
der Rechtsverletzung ist nach dem Wortlaut der Norm somit nicht erforderlich. Erste veröffentlichte Gerichtsentscheidungen zur Frage eines immateriellen Schadensersatzbegehrens nach der DSGVO deuten darauf hin, dass die deutschen Gerichte die früheren Rechtsprechungsgrundsätze zutreffend auch nicht „1 zu 1“ auf die neue Rechtslage übertragen. Aus größtenteils gut nachvollziehbaren Gründen wurde ein „Schmerzensgeld“ nach der DSGVO von den Gerichten in Deutschland und Österreich bislang dennoch zumeist verneint.
Der Beitrag skizziert in Grundzügen die Voraussetzungen des Art. 82 DSGVO im Hinblick auf den Ersatz eines immateriellen Schadens und vermittelt zugleich einen Überblick zu hierzu bislang veröffentlichten Gerichtsentscheidungen.
Bleiben neben dem Schadensersatzanspruch nach Art. 82 DSGVO mögliche andere Anspruchsgrundlagen aus nationalem Recht anwendbar?
Neben dem Schadensersatzanspruch nach Art. 82 DSGVO können grundsätzlich allgemeine Anspruchsgrundlagen nach nationalem Recht ebenso Anwendung finden, so etwa § 280 Abs. 1 BGB (bei Vorliegen eines Schuldverhältnisses), die deliktischen Ansprüche nach § 823 Abs. 1 BGB (z.B. wegen Verletzung des allgemeinen Persönlichkeitsrechts nach Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) oder § 823 Abs. 2 BGB i.V.m. der verletzten Norm der DSGVO. Mögliche, hieraus resultierende Vorteile sind anhand des jeweiligen Einzelfalles zu prüfen.
Wer ist nach Art. 82 Abs. 1 DSGVO wegen eines immateriellen Schadens anspruchsberechtigt?
Anspruchsberechtigt ist nach dem Wortlaut des Art. 82 Abs. 1 dem Wortlaut „jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist“.
Hiervon erfasst sind bei einem immateriellen Schadensersatzbegehren zunächst die von einer Datenverarbeitung betroffenen, natürlichen Personen (vgl. Art. 4 Abs. 1 DSGVO).
Umstritten ist im datenschutzrechtlichen Schrifttum die Frage der Anspruchsberechtigung „dritter“ Personen, denen durch eine Datenverarbeitung gegenüber einer betroffenen Person ein Schaden entstanden ist. Auch wenn es sich in der Praxis eher um Ausnahmefälle handeln dürfte, erscheint dabei diejenige Ansicht vorzugswürdig, die eine Anspruchsberechtigung dritter natürlicher Personen nicht von Vornherein ausschließt, sondern auf eine Prüfung der Normvoraussetzungen im Einzelfall abstellt.
Worin besteht die Verletzungshandlung i.S.d. Art. 82 Abs. 1 DSGVO?
Als Verletzungshandlung kommt grundsätzlich jeder Verstoß gegen die Pflichten der DSGVO in Betracht. Die Verletzungshandlung muss kausal für den Schaden sein und der Schaden eine typisch-vorhersehbare Folge der Verletzungshandlung (Adäquanz).
Was ist ein immaterieller Schaden nach Art. 82 Abs. 1 DSGVO? Welche Auffassungen werden hierzu bislang von Gerichten vertreten?
Die DSGVO definiert nicht, was unter einem immateriellen Schaden (auch: Nichtvermögensschaden) zu verstehen ist. Die DSGVO regelt auch keine Erheblichkeitsschwelle für die Bejahung eines immateriellen Schadens.
Nach einer weiten Auslegung des Schadensbegriffs könnte danach jeder Bagatellverstoß gegen die DSGVO zugleich einen immateriellen Schaden darstellen. Hiermit könnte insbesondere ein „Abschreckungseffekt“ im Hinblick auf die Begehung weiterer Rechtsverstöße erzielt werden. Damit könnte der Schadensersatzanspruch nach Art. 82 DSGVO jedoch auch der erhöhten Gefahr eines Rechtsmissbrauchs in Form einer Kommerzialisierung des Schadensrechts ausgesetzt sei.
Deutschsprachige Gerichte gehen in bislang zur Thematik ergangenen Entscheidungen von einem eher engen Schadensbegriff aus:
•
Amtsgericht Diez, AG Diez, Urteil vom 7.11.2018 – 8 C 130/18: Die beklagte Online-Shop Betreiberin hatte nach Inkrafttreten der DSGVO sämtliche ihrer Kunden angeschrieben und um Zustimmung für den Erhalt eines E-Mail Newsletters gebeten. Der Kläger hatte betreffend diese Bitte um Zustimmung keine vorherige Einwilligung erteilt und verlangte u.a. einen immateriellen Schadensersatz, der nicht unter 500,00 € liegen sollte. Die Beklagte hatte daraufhin einen Schadensersatzbetrag in Höhe von 50,00 € anerkannt. Nach Auffassung des Amtsgerichts Diez sei damit ein möglicher Schadensersatzanspruch jedenfalls abgegolten. Eine schwere Persönlichkeitsrechtsverletzung sei für einen Anspruch auf "Schmerzensgeld" nach der DSGVO zwar nicht erforderlich. Jedweder Bagatellverstoß ohne ernsthafte Beeinträchtigung reiche jedoch für die Gewährung eines immateriellen Schadensersatzes nicht aus. Dem Betroffenen müsse vielmehr ein spürbarer Nachteil entstanden sein und es müsse um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.
•
Amtsgericht Bochum, Beschluss vom 11.03.2019 - 65 C 485/18, betreffend Prozesskostenhilfe: Die Antragsgegnerin war zur Betreuerin des Antragstellers bestellt worden. Sie soll nicht näher bezeichnete Daten des Antragstellers ohne dessen Einwilligung an dessen Vermieter weitergegeben haben und ihre Bestellungsurkunde an den Rechtsanwalt des Antragstellers mit unverschlüsselter E-Mail gesendet haben. Nach Ansicht des AG Bochum mag die Übersendung der Betreuungsurkunde mittels einer unverschlüsselten E-Mail zwar einen Verstoß gegen Art. 32 DSGVO darstellen. Ein wie auch immer gearteter Schaden sei jedoch vom Antragsteller nicht dargelegt worden und auch nicht ersichtlich.
•
OLG Dresden, Hinweisbeschluss vom 11.6.2019 – 4 U 760/19, betreffend die beabsichtigte Zurückweisung einer Berufung: Der Kläger verlangte von der beklagten Betreiberin eines sozialen Netzwerks u.a. immateriellen Schadensersatz i.H.v. 150,00 € wegen der Löschung eines Postings und vorübergehenden Sperrung des Nutzerkontos des Klägers. Wie die Vorinstanz verneint das OLG Dresden einen immateriellen Schadensersatzanspruch. Die dreitägige Sperrung des Nutzerkontos habe allenfalls Bagatellcharakter und stelle keine ernsthafte Beeinträchtigung der Persönlichkeitsentfaltung des Klägers dar. Einen Schadensersatzanspruch hält das OLG Dresden jedoch in Fällen denkbar, in denen ein Datenschutzrechtsverstoß eine Vielzahl von Personen betrifft und dieser Verstoß Ausdruck einer „bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung" sei.
•
Landgericht Karlsruhe, Urteil vom 02.08.2019 - 8 O 26/19: Die Klägerin verlangt von einer Auskunftei 10.000,00 € immateriellen Schadensersatz wegen angeblich unrichtiger Datenspeicherung und -verarbeitung und eines daraus resultierenden, niedrigen Score-Wertes, der wiederum zu einer Verweigerung von Kreditvergaben an die Klägerin geführt habe. Das LG Karlsruhe weist die Klage ab. Die Ermittlung eines Score-Wertes stelle für sich zunächst keinen Verstoß gegen die DSGVO dar. Ein Verstoß komme in Betracht, wenn der Score-Wert auf einer falschen Tatsachengrundlage berechnet werde. Hierzu habe die Klägerin nicht hinreichend vorgetragen. Auch das LG Karlsruhe ist der Auffassung, dass es für die Geltendmachung eines immateriellen Schadens nach der DSGVO wohl keiner
schweren
Persönlichkeitsrechtsverletzung bedarf. Es müsse jedoch eine tatsächliche Persönlichkeitsrechtsverletzung vorliegen, die etwa in einer durch die unrechtmäßige Zugänglichmachung von Daten liegenden "Bloßstellung" gesehen werden könne. Die Ablehnung des Abschlusses eines Kreditvertrages, sofern diese überhaupt auf einer unzutreffend ermittelten Score-Wert beruhe, begründe hingegen nicht ohne Weiteres eine solche Persönlichkeitsrechtsverletzung.
•
Landgericht Feldkirch (Österreich), Beschluss vom 07.08.2019 - 57 Cg 30/19b – 15: Der Kläger verlangt 2.500,00 € immateriellen Schadensersatz von der beklagten Österreichischen Post AG. Diese habe ohne Einwilligung des Klägers dessen personenbezogene Daten verarbeitet, dabei mittels Marketinganalyseverfahren die individuellen Affinitäten des Klägers zu politischen Parteien ermittelt und hieraus resultierende Daten gespeichert. Der Kläger meint zudem, von ihm verlangte datenschutzrechtliche Auskünfte seien von der Beklagten zu spät erteilt worden und zudem inhaltlich unrichtig. Das Gericht bejaht hier einen Schadensersatzanspruch in Höhe von 800,00 €. Bei den von der Beklagten ermittelten Parteiaffinitäten des Klägers handele es sich um besondere Kategorien von Daten i.S.d. Art. 9 Abs. 1 DSGVO. Die Verarbeitung solcher Daten sei nach Art. 9 Abs. 1 DSGVO generell untersagt. Erlaubnistatbestände nach Art. 9 Abs. 2 DSGVO, insbesondere eine Einwilligung des Klägers, seien nicht einschlägig. Der Kläger sei auch nicht über die Datenverarbeitung informiert worden. Vor dem Hintergrund, dass die Daten des Klägers jedoch nicht an Dritte übermittelt wurden, sei hier ein Schadensersatzbetrag in Höhe von 800,00 € angemessen. Im Übrigen begründeten nach Ansicht des Gerichts die von der Beklagten verspätet erteilten Auskünfte und Informationen keinen Anspruch auf Ersatz eines immateriellen Schadens.
Auf die Berufung beider Parteien hin änderte das
OLG Innsbruck Urteil v. 13.02.2020 , Az.: 1 R 182/19 b, die Entscheidung des LG Feldkirch dahingehend ab, dass die Berufung des Klägers zurückgewiesen, der Berufung der Beklagten stattgegeben und die Klage auf immateriellen Schadensersatz somit vollumfänglich abgewiesen wurde.
Nach Ansicht des OLG Innsbruck habe der Kläger den von ihm behaupteten Schaden nicht hinreichend dargelegt. Das Tatbestandsmerkmal des erlittenen Schadens sei nicht mit einer Rechtsverletzung der DSGVO als solcher gleichzusetzen. Ein bloßer Kontrollverlust über die betreffenden Daten und ein hiermit verbundenes "Ungemach" reiche zur Begründung eines immateriellen Schadens nicht aus. Der Kläger habe nicht vorgetragen, wie sich der behauptete Kontrollverlust über die Daten konkret auf seine Persönlichkeit und sein Leben ausgewirkt habe.
Welcher Verschuldensmaßstab ist anzuwenden?
Der Verstoß muss vorsätzlich oder fahrlässig begangen worden sein. Nach Art. 82 Abs. 3 DSGVO wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Es besteht somit eine Vermutung des Verschuldens, von der sich der Verantwortliche oder der Auftragsverarbeiter befreien können (Beweislastumkehr).
Gegen wen besteht der Anspruch?
Anspruchsgegner kann sowohl der Verantwortliche i.S.d. Art. 4 Nr. 7 als auch der Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 sein.
Nach Art. 82 Abs. 1 S. 1 DSGVO haftet jeder an einer Verarbeitung beteiligte
Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
Ein Auftragsverarbeiter haftet nach der Haftungsprivilegierung des Art. 82 Abs. 2 S. 2 DSGVO für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
Art. 82 Abs. 4 DSGVO regelt zudem eine gesamtschuldnerische Haftung, wenn mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich sind.
Wer kann den Anspruch nach Art. 82 Abs. 1 DSGVO (gerichtlich) geltend machen?
Der Anspruch kann zum Einen von der betroffenen Person selbst geltend gemacht werden.
Nach Art. 80 Abs. 1 DSGVO hat die betroffene Person zudem das Recht, eine „Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist“, zu beauftragen, in ihrem Namen das Recht auf Schadensersatz in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Umstritten ist, ob es sich bei Art. 80 Abs. 1 DSGVO um eine Form der gewillkürten Prozessstandschaft handelt, bei der der Verband in eigenem Namen das Recht der betroffenen Person geltend macht oder ab es sich um eine Form der Vertretungsbefugnis handelt. Derzeit sieht § 79 Abs. 2 Nr. 3 ZPO vor, dass sich die Parteien durch „Verbraucherzentralen und andere mit öffentlichen Mitteln geförderte Verbraucherverbände bei der Einziehung von Forderungen von Verbrauchern im Rahmen ihres Aufgabenbereichs“ vor Gericht vertreten lassen können. Die rechtliche Zulässigkeit einer Vertretungsbefugnis nach Art. 80 Abs. 1 DSGVO sollte somit im Einzelfall vorab sorgfältig geprüft werden.
Auch die Frage, ob Ansprüche auf immateriellen Schadensersatz nach Art. 82 DSGVO möglicherweise im Wege der Musterfeststellungsklage nach §§ 606 ff. ZPO geltend gemacht werden können, bedarf einer sorgfältigen Prüfung im konkreten Fall. Da die Musterfeststellungsklage Rechtsverhältnisse zwischen einem Unternehmer und Verbraucher zum Gegenstand hat und zudem auch deliktische Ansprüche erfasst sein können, erscheint der Anwendungsbereich der Musterfeststellungsklage zumindest nicht von Vornherein ausgeschlossen zu sein.
Ist der Anspruch auf Ersatz eines immateriellen Schadens abtretbar?
Im datenschutzrechtlichen Schrifttum ist umstritten, ob ein Anspruch nach Art. 82 DSGVO auf Ersatz eines immateriellen Schadens abtretbar ist (§ 398 BGB). Vor Inkrafttreten der DSGVO war der Anspruch auf Ersatz eines immateriellen Schadens im Falle einer Persönlichkeitsrechtsverletzung wegen seines höchstpersönlichen Charakters und dem hieraus resultierenden Abtretungsverbot nach § 399 BGB nicht abtretbar. Eine gerichtliche Geltendmachung des Anspruchs nach Art. 82 DSGVO aus abgetretenem Recht ist hiernach jedenfalls mit hohen rechtlichen Risiken verbunden.
Welches Gericht ist zuständig?
Für die internationale Zuständigkeit gilt Folgendes: Nach Art. 82 Abs. 6 DSGVO sind mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz die Gerichte zu befassen, die nach den in Art. 79 Abs. 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.
Nach Art. 79 Abs. 2 S. 1 DSGVO sind für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Nach Art. 79 Abs. 2 S. 2 DSGVO können solche Klagen wahlweise auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.
Für die nationale Zuständigkeit gelten die Regelungen nach §§ 12 ff. ZPO. Insbesondere kommt auch der Gerichtsstand der unerlaubten Handlung nach § 32 ZPO in Betracht.
Wer muss das Vorliegen der Anspruchsvoraussetzungen beweisen?
Die Frage der Beweislast ist, insbesondere vor dem Hintergrund der sogenannten Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 DSGVO, umstritten. Grundsätzlich trägt der Anspruchsteller nach zivilprozessualen Grundsätzen die Beweislast für das Vorliegen der Anspruchsvoraussetzungen. Hiervon gehen auch die Gerichte in den oben zitierten Entscheidungen aus.
Fazit
Die zentrale Schadensersatznorm des Art. 82 DSGVO und der darin geregelte Anspruch auf Ersatz eines immateriellen Schadens stärkt die Rechte von betroffenen Personen bei Verstößen gegen die DSGVO. Insbesondere die in Art. 82 Abs. 3 DSGVO geregelte Verschuldensvermutung sollte einen Vorteil für den Anspruchsteller im Rahmen der Rechtsdurchsetzung darstellen. Vorbereitend kann die betroffene Person dabei ihr Auskunftsrecht nach Art. 15 DSGVO Gebrauch machen und die hieraus gewonnen Erkenntnisse rechtlich verwerten.
Erste veröffentlichte Gerichtsentscheidungen zu immateriellen Schadensersatzbegehren nach Art. 82 DSGVO deuten darauf hin, dass die Norm von der Rechtsprechung weitgehend sachgerecht und „mit Augenmaß“ gehandhabt werden wird. Ein immaterieller Schadensersatz im Falle von Verstößen gegen Hinweis- und Auskunftspflichten dürfte hiernach wohl nur in gut begründeten Ausnahmefällen zugesprochen werden.
Die Verurteilung zu einem angemessenen „Schmerzensgeld“ dürfte insbesondere bei Verstößen in Zusammenhang mit der rechtswidrigen Verarbeitung besonderer Kategorien von Daten i.S.d. Art. 9 Abs. 1 DSGVO in Betracht kommen, also z.B. bei der rechtswidrigen Erhebung und Verwendung von Gesundheitsdaten und Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen. Auch hier stellt jedoch grundsätzlich nicht bereits der jeweilige Verstoß für sich einen immateriellen Schaden dar. Es ist vielmehr zu konkret eingetretenen Nachteilen als Folge
des Verstoßes, z.B. bei einer erlittenen "Bloßstellung" durch den Rechtsverstoß, vorzutragen.