0351 418866840
kontakt@rechtsanwalt-harzewski.de

Anwaltskanzlei Harzewski

Schlagwort: Schadensersatzanspruch

Erheblichkeitsschwelle beim Schadenseratz

Erheblichkeitsschwelle beim Schadenseratz

von

am 22. Juni 2023

in Urteile

An den falschen Empfänger versendete Unterlagen oder der Verlust von wichtigen Akten in einem öffentlichen Café, jeder Datenschutzverstoß kann auch immer die Forderung von Schadensersatz mit sich bringen. Voraussetzung ist, dass dem Betroffenen auch wirklich ein Schaden entstanden ist. Der bloße Verstoß gegen die DSGVO allein, soll nach Ansicht des EuGH (Urteil v. 04.05.2023 – C-300/21) noch nicht ausreichen, um einen immateriellen Schaden zu begründen. Eine Erheblichkeitsschwelle beim Schadensersatz wird jedoch nicht gefordert. Der EUGH stellte klar, dass jede konkrete Einbuße oder Beeinträchtigung auf Seiten des Betroffenen einen Schadensersatz begründen könne.

 

Was war passiert?

Die österreichische Post hatte Daten ihrer Kunden weitergegeben, damit eine Agentur anhand der Daten die Parteiaffinität der Kunden ermitteln und so zielgerichtete Wahlwerbung betreiben konnte. Der Kläger, dessen Daten so genutzt wurden, war nach eigenen Angaben „erbost“ davon und fühlte sich durch die Bekanntmachung seiner Parteiaffinität „bloßgestellt“. In anderen Worten: der Vorgang löste bei ihm zwar ein schlechtes Gefühl aus, aber verursachte keinen finanziellen Schaden. Das Gericht sollte nun urteilen, ob diese Gefühlslage einen immateriellen Schadensersatz begründet.

 

Keine Erheblichkeitsschwelle beim Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO

Der EUGH machte deutlich, dass zwar nicht jeder Verstoß gegen die DSGVO einen Schadensersatz begründen könne. Sobald aber der Betroffene eine kausale Beeinträchtigung nachweisen kann, kommt es auf die Erheblichkeit nicht mehr an. Vielmehr ist jede konkrete Einbuße ersatzfähig. Eine Bagatellgrenze soll es gerade nicht geben. Wie hoch allerdings der Schadensersatz zu beziffern ist, lässt der EUGH offen, denn dafür sind die nationalen Gerichte zuständig.

Bisher gab es zu der Frage unterschiedliche Rechtssprechung. Gerichte, wie das OLG Dresden, lehnten einen Anspruch bei Bagatellverstößen, ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person oder eine benennbare tatsächliche Persönlichkeitsrechtsverletzung, ab. Das Bundesverfassungsgericht hob dagegen ein solches Urteil auf, da der Geldentschädigungsanspruch in der Rechtsprechung des EuGH zum damaligen Zeitpunkt nicht erschöpfend geklärt war.

 

Praxistipp:

Wahrscheinlich werden nach diesem Urteil künftig mehr Betroffene versuchen, einen immateriellen Schadensersatz gerichtlich durchzusetzen. Insbesondere die Forderung von niedrigen Beträgen verursacht neben den Prozesskostenrisiko auch immer einen nicht unerheblichen Aufwand für die eigene Recherche und Aufarbeitung.

Davor können Sie sich am besten schützen, indem Sie ein Ihr Datenschutz-Management optimieren. Es sollte eine professionelle Bewertung von Datenschutzverletzungen ermöglichen sowie eine Bearbeitung von Anfragen betroffener Personen sicherstellen. Idealerweise sollte das Datenschutz-Management System sogar dazu beitragen, Datenschutzverstöße vollständig zu vermeiden.

Rechtsanwalt Robert Harzewski

Geschäftsführer haften persönlich

Geschäftsführer haften persönlich!

von

am 18. Februar 2022

in Allgemein, Urteile

Der Geschäftsführer einer GmbH kann neben der Gesellschaft “Verantwortlicher” im Sinne der DSGVO sein. Dies hat das OLG Dresden mit Urteil vom 30.11.2021, Az.: 4 U 1158/21, entschieden.

Sollte sich diese Rechtsauffassung durchsetzen, dann müssen Geschäftsführer künftig damit rechnen, bei Datenschutzverstößen in Anspruch genommen zu werden. Geschäftsführer haften dann persönlich.

Als „Verantwortlicher“ wird grundsätzlich die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle verstanden, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Frage ist also, ob man für die Verarbeitung zuständig ist. Diese Entscheidungszuständigkeit kann sich ergeben durch:

  • eine ausdrücklich gesetzlich zugewiesene Zuständigkeit (z.B. Verpflichtung, bestimmte Daten vorzuhalten oder bereitzustellen).
  • eine implizierte Zuständigkeit, abgeleitet aus traditionell bestehenden Rollen oder aus der Rechtspraxis (z.B. Arbeitgeber in Bezug auf Daten seiner Mitarbeiter).
  • den tatsächlichen Einfluss

In der Vergangenheit wurden Abgrenzungsfragen vor allem in Hinblick auf die Gemeinsame Verantwortlichkeit gestellt. In diesem Zusammenhang hatte der EuGH bereits eine Verantwortlichkeit angenommen, selbst wenn ein Akteur gar keinen Zugang zu den betreffenden Daten hatte (Urteil des EuGH vom 10.07.2018, Az: C-25/17).

Nach dem Urteil des OLG Dresden bleibt leider offen, welcher konkrete Tatbeitrag eines Geschäftsführers für eine persönliche Haftung erforderlich ist. Im Fall hatte der Geschäftsführer einen Datenschutzverstoß selbst veranlasst. Demgegenüber grenzt das Gericht die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter ein. Bei diesen entfalle in aller Regel die Verantwortlichkeit.

In jedem Fall ist es ratsam, das ohnehin schon bestehende Haftungsrisiko, mit einem Datenschutzmanagementsystem, zu minimieren. So kann der Verantwortliche ein betriebliches Organisationsverschulden vermeiden. Sowohl bei dem zivilrechtlichen Schadensersatzanspruch, als auch bei der Bescheidung von Bußgeldern gilt das Verschuldensprinzip. Ohne Verschulden kann es keine Strafe geben. Daher ist ein Verschulden in der Praxis möglichst auszuschließen bzw. zumindest stark zu minimieren. Dadurch gelingt der Nachweis, dass der Verantwortliche alles getan hat, um das Entstehen eines Schadens zu verhindern.

 

Update vom 24.10.2022

Nun hat auch das OLG Nürnberg eine persönliche Haftung der Geschäftsführung einer GmbH gemäß § 43 Abs. 2 GmbHG angenommen, wenn keine oder unzureichende Compliance-Maßnahmen getroffen werden (OLG Nürnberg, Endurteil v. 30.03.2022 – 12 U 1520/19). Das Gericht stellte dabei vor allem fest, dass eine gelegentliche Prüfung nicht ausreicht.

Zu den Kernaussagen:

Nach Auffassung des Gerichts sind Geschäftsführer verpflichtet, ein Compliance Management System einzurichten. Es bedarf also organisatorische Vorkehrungen, welche die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. Dabei ist der Geschäftsführer nicht nur verpflichtet, den Geschäftsgang so zu überwachen oder überwachen zu lassen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte rechnen kann; er muss vielmehr weitergehend sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen.
Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss der Geschäftsführer unverzüglich nachgehen. Zur Überwachungspflicht gehört außerdem eine hinreichende Kontrolle, die nicht erst dann einsetzen darf, wenn Missstände entdeckt worden sind. Ihre Intensität darf sich je nach Gefahrgeneigtheit der Arbeit und Gewicht der zu beachtenden Vorschriften nicht in gelegentlichen Überprüfungen erschöpfen. Über diese allgemeine Kontrolle hinaus muss der Geschäftsführer die Aufsicht so führen, dass Unregelmäßigkeiten auch ohne ständige unmittelbare Überwachung grundsätzlich unterbleiben. Danach sind stichprobenartige, überraschende Prüfungen erforderlich und regelmäßig auch ausreichend, sofern sie den Unternehmensangehörigen vor Augen halten, dass Verstöße entdeckt und geahndet werden können
Delegiert der Geschäftsführer seine Überwachungsaufgabe, reduziert sich die effektive Überwachungspflicht des Geschäftsführers auf die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten ("Überwachung der Überwacher"). Man spricht insoweit von einer Meta-Überwachung.

 

Rechtsanwalt Robert Harzewski

Immaterieller Schadensersatz

Immaterieller Schadensersatz

von

am 3. März 2021

in Urteile

Recht häufig werden die Gerichte mit der Frage beschäftigt, wann wegen eines Verstoßes gegen die DSGVO eigentlich immaterieller Schadensersatz zu zahlen ist. Nach Art. 82 DSGVO steht grundsätzlich jeder Person, der bei einem Verstoß gegen die DSGVO ein immaterieller Schaden entstanden ist, auch Schadenersatz zu. Der immaterielle Schadensersatz wird auch als Schmerzensgeld bezeichnet und wird oft bei der Verletzung des eigenen Persönlichkeitsrechts zugesprochen.

 

Datenschutzverstoß

Nach dem klaren Wortlaut der Norm kann jeder Verstoß gegen datenschutzrechtliche Regelungen der DSGVO zu einem Schadensersatzanspruch führen.

Beispiele für einen Verstoß sind:

• unberechtigte Offenbarung von Daten gegenüber Dritten
• unberechtigtes Anschreiben eines Betroffenen
• Verlust von Daten
• Verstoß gegen das Löschungsrecht
• Verstoß gegen das Auskunftsrecht
• Versäumnisse bei den technischen und organisatorischen Maßnahmen

 

Wo ist der Schaden

Im konkreten Fall fragt sich dann, worin eigentlich der Schaden liegen soll.
In Erwägungsgrund 75 finden sich ein paar Beispiele für einen immateriellen Schaden:

• Rufschädigung
• Diskriminierung
• Kontrollverlust über die eigenen Daten
• wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht wird

 

Bagatellschwelle

Die meisten Verstöße führen gerade nicht zu einem Vermögenschaden, sondern überwiegend zu Persönlichkeitsverletzungen. In der bisherigen Rechtsprechung nahmen daher einige Gerichte einen immateriellen Schaden erst dann an, wenn eine Verletzung des Datenschutzrechts im Einzelfall zu einer konkreten, nicht bloß unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten geführt hat. Eine Erheblichkeitsschwelle findet sich jedoch nicht in der DSGVO.

Dennoch sprechen einige Gerichte nur immateriellen Schadensersatz bei erheblichen Verletzungen oder Verstößen zu.

In einem Verfahren vor dem OLG Dresden entschied das Gericht beispielweise, dass nicht jede individuell empfundene Unannehmlichkeit oder jeder Bagatellverstoß einen solchen Anspruch rechtfertige. Die bloße Sperrung von Daten sowie der Datenverlust stellen demnach noch keinen Schaden dar. Weitere Informationen zu dieser Entscheidung lesen Sie hier.

Auch das LG Hamburg (Urteil vom 04.09.2020 - 324 S 9/19) und das LG Karlsruhe (Urteil vom 02.08.2019 - 8 O 26/19) fordern eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung.

 

Bundesverfassungsgericht hebt Urteil auf

In einem aktuellen Fall hob das Bundesverfassungsgericht nun eine Entscheidung mit einer solchen Bagatellschwelle für immateriellen Schadensersatz eines Amtsgerichts auf. Hierzu führte es aus, dass der Geldentschädigungsanspruch in der Rechtsprechung des EuGH weder erschöpfend geklärt ist, noch dass sich dessen Beurteilung unmittelbar aus der DSGVO ergäbe. Dazu bemerkte es weiterhin, dass das betreffende Amtsgericht

„sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen [habe], indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird. (BVerfG, Beschluss vom 14.01.2021 - 1 BvR 2853/19)

Das Amtsgericht muss nun erneut entscheiden und die Frage nach der der Erheblichkeit unter Umständen auch dem EuGH vorlegen.

 

Wie hoch ist der Schaden?

Die Höhe der zugesprochenen Schmerzensgelder reicht von 50,00 Euro bis 5.000 Euro.
Für das Amtsgericht Pfaffenhofen, Urteil vom 09.09.2021, Az.: 2 C 133/21 kann der Schaden bereits in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind oder nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt EG 75 ausdrücklich als „insbesondere“ zu erwartenden Schaden. Des Weiteren kommen etwa Ängste, Stress, Komfort- und Zeiteinbußen in Betracht. Die Höhe des Schadens müsse sich dann auf der Grundlage der Schwere und Dauer der Rechtsverletzung ergeben. Dabei können dann auch Genugtuungs- und Vorbeugungsfunktion eine Rolle spielen. Im konkreten Fall wurden dem Kläger 300,00 Euro wegen einer unerlaubten Werbemail zugesprochen.

Im Fall einer unvollständigen, inkorrekten und zu spät erteilte Auskunft hat das Arbeitsgerichts Düsseldorf mit Urteil vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18, einen Schaden von immerhin 5.000 Euro angenommen. Diese vor allem in der Ungewissheit über die Verarbeitung der Daten. Dabei stelle das Gericht selbst fest, dass der entstandene immaterielle Schaden nicht erheblich ist.

Bei der Einbindung von Schriftarten von Google sah das LG München mit Urteil vom 20.01.2022, Az.: 3 O 17493/20, einen Schaden von 100 Euro für angemessen. Dieser liege im Kontrollverlust des Websitebesuchers über ein personenbezogenes Datum an Google. Google sei ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit das vom Websitebesucher empfundene individuelle Unwohlsein so erheblich macht, dass ein Schadensersatzanspruch gerechtfertigt ist.

 

Vorlage beim EuGH

Über zahlreiche Fragen zum Anspruch auf Schadensersatz gibt es derzeit noch keine Rechtssicherheit. Zuletzt hat das LG Saarbrücken vom 22.11.2021, Az.: 5 O 151/19 folgende Fragen an den EuGH vorgelegt:

1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 EUV 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?
2. Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird?
3. Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO genannten Zumessungskriterien erlaubt bzw. geboten?
4. Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere - zumindest mehrere gleichgelagerte - Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?

 

Fazit

Es ist daher nur eine Frage der Zeit bis wir eine Antwort auf die Frage erhalten, ob es bei immateriellen Schadensersatz auf eine Bagatellschwelle ankommt. In dem vom Bundesverfassungsgericht aufgehobenen Urteil ging es um eine unerwünschte Werbemail, die ein Rechtsanwalt bekommen hatte. In solchen Fällen geht es neben dem Unterlassungsanspruch und Rechtsverfolgungskosten daher meist auch um die Höhe der Geldentschädigung für eine Vielzahl an Fällen. In der Praxis wird dies daher sowohl für Verantwortliche als auch Betroffene entscheidende Auswirkungen haben.

Rechtsanwalt Robert Harzewski

Kein Schadensersatzanspruch bei Bagatellverstößen

von

am 1. Oktober 2019

in Urteile

Leitsatz:

Für ein Schadensersatzanspruch bei Bagatellverstößen, ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person besteht kein Schadensersatzanspruch nach Art. 82 DSGVO.

Gericht: : Oberlandesgericht Dresden, Beschluss vom 11.Juni 2019
Aktenzeichen: 4U 760/19

Was war passiert?

Facebook hatte einen fremdenfeindlichen Beitrag eines Nutzers gelöscht, in welchem mehrfach das Wort „Neger“ verwendet wurde. Anschließend wurde auch der Account des Nutzers für wenige Tage gesperrt. Aufgrund dessen klagte der Nutzer gegen das Vorgehen und verlangte Schadensersatz in Höhe von 150,00 Euro. In der Löschung seines Beitrages und in der kurzzeitigen Versetzung seines Kontos in den read-only Modus sah der Nutzer unter anderem einen Verstoß gegen die DSGVO.

Entscheidung:

Das Oberlandesgericht (OLG) entschied, dass Bagatellverstöße, wie hier der Fall, keinen Schadensersatzanspruch nach Artikel 82 Datenschutzgrundverordnung (DSGVO) begründen.

In der Löschung des Posts und der Sperrung des Accounts des Klägers liegt kein Verstoß gegen zwingende Vorgaben der DSGVO. Zur Erhebung, Verarbeitung und letztendlich auch Löschung seiner Daten habe der Nutzer gemäß der Nutzungsbedingungen eingewilligt, Art. 6 Abs. 1 lit a) DSGVO. Dies umfasse mithin auch die Löschung des streitgegenständlichen Posts und die Sperrung seines Kontos.

Voraussetzung für einen Anspruch aus Art. 82 DSGVO ist materieller oder immaterieller Schaden des Betroffenen. Die bloße Sperrung von Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar. Auch die behauptete Hemmung in der Persönlichkeitsentfaltung durch die Sperrung des Kontos habe allenfalls Bagatellcharakter.

Art. 82 DSGVO ist nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Dies kann anders zu bewerten sein, wenn ein datenschutzrechtlicher Verstoß zum Beispiel eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist.

Rechtsanwalt Robert Harzewski

Anwaltskanzlei Harzewski

 
Königsbrücker Landstraße 5
01109 Dresden

Datenschutzbeauftragter Harzewski

 
Torgauer Str. 5
01127 Dresden

Sprechzeiten

 

Montag bis Freitag:

09.00 Uhr bis 18.00 Uhr

 

Dienstag:

20:00 Uhr bis 22:00 Uhr

Kontakt

Telefon:  0351 418866840

Telefax:  0351 418866849

E-Mail:    kontakt@rechtsanwalt-harzewski.de

Design von South Bird Design