Recht häufig werden die Gerichte mit der Frage beschäftigt, wann wegen eines Verstoßes gegen die DSGVO eigentlich immaterieller Schadensersatz zu zahlen ist. Nach Art. 82 DSGVO steht grundsätzlich jeder Person, der bei einem Verstoß gegen die DSGVO ein immaterieller Schaden entstanden ist, auch Schadenersatz zu. Der immaterielle Schadensersatz wird auch als Schmerzensgeld bezeichnet und wird oft bei der Verletzung des eigenen Persönlichkeitsrechts zugesprochen.
Datenschutzverstoß
Nach dem klaren Wortlaut der Norm kann jeder Verstoß gegen datenschutzrechtliche Regelungen der DSGVO zu einem Schadensersatzanspruch führen.
Beispiele für einen Verstoß sind:
• unberechtigte Offenbarung von Daten gegenüber Dritten
• unberechtigtes Anschreiben eines Betroffenen
• Verlust von Daten
• Verstoß gegen das Löschungsrecht
• Verstoß gegen das Auskunftsrecht
• Versäumnisse bei den technischen und organisatorischen Maßnahmen
Wo ist der Schaden
Im konkreten Fall fragt sich dann, worin eigentlich der Schaden liegen soll.
In Erwägungsgrund 75 finden sich ein paar Beispiele für einen immateriellen Schaden:
• Rufschädigung
• Diskriminierung
• Kontrollverlust über die eigenen Daten
• wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht wird
Bagatellschwelle
Die meisten Verstöße führen gerade nicht zu einem Vermögenschaden, sondern überwiegend zu Persönlichkeitsverletzungen. In der bisherigen Rechtsprechung nahmen daher einige Gerichte einen immateriellen Schaden erst dann an, wenn eine Verletzung des Datenschutzrechts im Einzelfall zu einer konkreten, nicht bloß unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten geführt hat. Eine Erheblichkeitsschwelle findet sich jedoch nicht in der DSGVO.
Dennoch sprechen einige Gerichte nur immateriellen Schadensersatz bei erheblichen Verletzungen oder Verstößen zu.
In einem Verfahren vor dem OLG Dresden entschied das Gericht beispielweise, dass nicht jede individuell empfundene Unannehmlichkeit oder jeder Bagatellverstoß einen solchen Anspruch rechtfertige. Die bloße Sperrung von Daten sowie der Datenverlust stellen demnach noch keinen Schaden dar. Weitere Informationen zu dieser Entscheidung lesen Sie hier.
Auch das LG Hamburg (Urteil vom 04.09.2020 - 324 S 9/19) und das LG Karlsruhe (Urteil vom 02.08.2019 - 8 O 26/19) fordern eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung.
Bundesverfassungsgericht hebt Urteil auf
In einem aktuellen Fall hob das Bundesverfassungsgericht nun eine Entscheidung mit einer solchen Bagatellschwelle für immateriellen Schadensersatz eines Amtsgerichts auf. Hierzu führte es aus, dass der Geldentschädigungsanspruch in der Rechtsprechung des EuGH weder erschöpfend geklärt ist, noch dass sich dessen Beurteilung unmittelbar aus der DSGVO ergäbe. Dazu bemerkte es weiterhin, dass das betreffende Amtsgericht
„sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen [habe], indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet wird. (BVerfG, Beschluss vom 14.01.2021 - 1 BvR 2853/19)
Das Amtsgericht muss nun erneut entscheiden und die Frage nach der der Erheblichkeit unter Umständen auch dem EuGH vorlegen.
Wie hoch ist der Schaden?
Die Höhe der zugesprochenen Schmerzensgelder reicht von 50,00 Euro bis 5.000 Euro.
Für das Amtsgericht Pfaffenhofen, Urteil vom 09.09.2021, Az.: 2 C 133/21 kann der Schaden bereits in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind oder nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt EG 75 ausdrücklich als „insbesondere“ zu erwartenden Schaden. Des Weiteren kommen etwa Ängste, Stress, Komfort- und Zeiteinbußen in Betracht. Die Höhe des Schadens müsse sich dann auf der Grundlage der Schwere und Dauer der Rechtsverletzung ergeben. Dabei können dann auch Genugtuungs- und Vorbeugungsfunktion eine Rolle spielen. Im konkreten Fall wurden dem Kläger 300,00 Euro wegen einer unerlaubten Werbemail zugesprochen.
Im Fall einer unvollständigen, inkorrekten und zu spät erteilte Auskunft hat das Arbeitsgerichts Düsseldorf mit Urteil vom 05.03.2020, Aktenzeichen: 9 Ca 6557/18, einen Schaden von immerhin 5.000 Euro angenommen. Diese vor allem in der Ungewissheit über die Verarbeitung der Daten. Dabei stelle das Gericht selbst fest, dass der entstandene immaterielle Schaden nicht erheblich ist.
Bei der Einbindung von Schriftarten von Google sah das LG München mit Urteil vom 20.01.2022, Az.: 3 O 17493/20, einen Schaden von 100 Euro für angemessen. Dieser liege im Kontrollverlust des Websitebesuchers über ein personenbezogenes Datum an Google. Google sei ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit das vom Websitebesucher empfundene individuelle Unwohlsein so erheblich macht, dass ein Schadensersatzanspruch gerechtfertigt ist.
Vorlage beim EuGH
Über zahlreiche Fragen zum Anspruch auf Schadensersatz gibt es derzeit noch keine Rechtssicherheit. Zuletzt hat das LG Saarbrücken vom 22.11.2021, Az.: 5 O 151/19 folgende Fragen an den EuGH vorgelegt:
1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 EUV 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?
2. Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird?
3. Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO genannten Zumessungskriterien erlaubt bzw. geboten?
4. Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere - zumindest mehrere gleichgelagerte - Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?
Fazit
Es ist daher nur eine Frage der Zeit bis wir eine Antwort auf die Frage erhalten, ob es bei immateriellen Schadensersatz auf eine Bagatellschwelle ankommt. In dem vom Bundesverfassungsgericht aufgehobenen Urteil ging es um eine unerwünschte Werbemail, die ein Rechtsanwalt bekommen hatte. In solchen Fällen geht es neben dem Unterlassungsanspruch und Rechtsverfolgungskosten daher meist auch um die Höhe der Geldentschädigung für eine Vielzahl an Fällen. In der Praxis wird dies daher sowohl für Verantwortliche als auch Betroffene entscheidende Auswirkungen haben.
Rechtsanwalt Robert Harzewski