Mit Art. 82 DSGVO hat das seit 25. Mai 2018 anzuwendende Datenschutzrecht einen Haftungstatbestand, dessen Abs. (1) wie folgt lautet:
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Das ist nicht neu, bereits die zuvor geltende EU-Datenschutzrichtlinie DSRL enthielt in Art. 23 eine Schadensersatzanspruchsgrundlage.
Abs. (1) Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen.
Ab. (2) Der für die Verarbeitung Verantwortliche kann teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann.
Für den nichtöffentlichen Bereich umgesetzt wurde die Richtlinie in § 7 BDSG alter Fassung.
Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
Anders als nach dem Wortlaut des § 7 BDSG alter Fassung kann der Anspruchssteller nach DSGVO auch immateriellen Schaden ersetzt bekommen. Und Art. 82 DSGVO erweitert die Verantwortung gegenüber dem Geschädigten auf den Auftragsverarbeiter.
Voraussetzungen und Reichweite des Anspruchs auf den Ersatz immaterieller Schäden infolge von Datenschutzverstößen sind in der Fachliteratur umstritten. Umso relevanter wird die Interpretation von Art. 82 DSGVO durch Gerichte in den EU-Mitgliedsstaaten. In Deutschland sind erste Urteile gesprochen.
Die folgende Tabelle fasst wesentliche Aspekte der Urteile zusammen.
|
Tatbestand |
Verstoß gegen Datenschutzrecht |
zu den Anspruchsvoraussetzungen für den Ersatz immaterieller Schäden |
|
|
|
|
|
AG Dietz, 07.11.2018, 8 C 130/18 |
||
|
|
|
|
|
Unverlangt versendete E-Mail mit Aufforderung zur Einwilligung in Newsletter-Versand |
Art. 6 DSGVO (fehlende Rechtsgrundlage für die E-Mail) |
Allein der Verstoß gegen Vorschriften der DSGVO begründet keinen Schadensersatzanspruch, erforderlich seien spürbarer Nachteil und objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung persönlichkeitsbezogener Belange; für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit sei ein Schmerzensgeld nicht zu gewähren; eine schwere Verletzung des Persönlichkeitsrechts sei allerdings nicht (mehr) erforderlich |
|
|
|
|
|
AG Bochum, 11.03.2019, 65 C 485/18 |
||
|
|
|
|
|
Übersendung der Bestellungsurkunde einer Betreuerin in unverschlüsselter E-Mail |
Verstoß gegen Art. 32 DSGVO (technische und organisatorische Maßnahmen) möglich aber offen gelassen |
Schadensersatz hänge davon ab, dass Daten unbefugten Dritten tatsächlich bekannt geworden sind. Das war aber vom Kläger nicht behauptet worden. |
|
|
|
|
|
OLG Dresden, 11.06.2019, 4 U 760/19 |
||
|
|
|
|
|
Löschung eines auf einem sozialen Netzwerk veröffentlichten Beitrags und die Sperrung des Nutzerkontos für höchstens 3 Tage |
Kein Verstoß gegen Art. 6 Abs. (1) DSGVO, da der Kläger gegen die Nutzungsbedingungen des Plattformbetreibers verstieß; darauf kam es aber nicht an, da kein ersatzfähiger Schaden eingetreten |
Kein Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person; anders möglicherweise, wenn der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist; Hemmung in der Persönlichkeitsentfaltung durch die dreitägige Sperrung hat allenfalls Bagatellcharakter; |
|
|
|
|
|
LG Karlsruhe, 2.8.2019, 8 O 26/19 |
||
|
|
|
|
|
Errechnung eines Bonitäts-Scorewertes durch eine Kreditauskunftei, die nach Auffassung des Klägers zu schlecht ausfiel, so dass er einen gewünschten Kredit nicht erhielt
|
Art. 6 Abs. 1 lit. e und f DSGVO, oder ergänzend bzw. konkretisierend auch § 31 BDSG durch Nutzung einer falschen Tatsachenbasis für die Ermittlung des Scorewerts; Vom Gericht verneint, da hierzu nicht vorgetragen, Darlegungs- und Beweislast liege aber beim Kläger;
|
eine schwere Verletzung des Persönlichkeitsrechts sei anders als nach dem alten Datenschutzrecht wohl nicht (mehr) erforderlich; allein der Verstoß gegen Vorschriften der DSGVO begründet keinen Schadensersatzanspruch; zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung vorliegen, die beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann; Zu einem konkreten immateriellen Schaden hatte der Kläger nichts vorgetragen |
Zur Beweislastverteilung stellte das Landgericht Karlsruhe noch klar, dass es bei den allgemeinen Regeln bleibe. Nach denen trägt im Grundsatz die betroffene Person die Beweislast für den haftungsbegründenden Tatbestand. Erst wenn ein Verstoß feststellbar ist, hilft dem Geschädigten die Regelung in Art. 82 Abs. 3 DSGVO, aus der sich nach wohl überwiegender Ansicht eine Beweislastumkehr ergibt: Das Verschulden des Datenverarbeitenden an dem Verstoß wird vermutet und diesem wird lediglich eine Exkulpationsmöglichkeit gewährt, an die jedoch strenge Maßstäbe gelegt werden.
Fazit und Ausblick
In den oben angeführten Urteilen werden Ansprüche auf den Ersatz immaterieller Schäden restriktiv behandelt. Art 82 DSGVO und der in Erwägungsgrund 146 eingeflossene Satz 6, wonach Schadensersatz vollständig und wirksam sein sollte, haben die vier oben benannten Gerichten nicht zu einer vollständigen Abkehr vom bisherigen Schadensersatzrecht motiviert. Allein der Verstoß gegen Datenschutzrecht führe nicht zum Schadensersatz. Der Datenschutzverstoß müsse kausal einen Schaden verursacht haben. Das könne eine Bloßstellung sein [LG Karlsruhe] oder die Kenntnisnahme durch Unbefugte [AG Bochum]. Nicht aber die Sperrung eines Nutzerkontos bei einem sozialen Netzwerk für höchstens 3 Tage [OLG Dresden]. Zwar sei für den Ersatz immaterieller Schäden eine schwere Verletzung des Persönlichkeitsrechts nicht erforderlich; andererseits sollen Bagatellverstöße nicht ausreichen.
Einerseits zeigen die vier Urteile aus Deutschland eine Rechtssprechungstendenz, andererseits ist so viel dadurch nicht gewonnen. Das Datenschutzrecht der DSGVO ist EU- Recht, daher autonom EU-rechtlich und nicht nach den bewährten Vorstellungen des deutschen Schadensersatzrechts auszulegen. Es bleibt daher abzuwarten, ob diejenigen Gerichte anderer Mitgliedsstaaten ähnlich zurückhaltend urteilen, die nach ihrem nationalen Recht Schadensersatz offensiver gewähren.
Wenig konturiert sind die Voraussetzungen mit Blick auf den Grad der Verletzung bzw. des Schadens zwischen Bagatellschaden und schwerer Persönlichkeitsverletzung. Hier wird erst eine gefestigtere Rechtsprechung der Mitgliedsstaaten Rechtsklarheit schaffen können.
Sollten sich die Auffassungen des LG Karlsruhe zur Beweislast durchsetzen, sollte ein Betroffener zunächst den Anspruch aus Art. 15 DSGVO auf Auskunft geltend machen, um seinen Schadensersatzanspruch zu unterfüttern.
Datenschutzrecht (DSGVO) | Schadensersatz
Art. 82 DSGVO