Unternehmen blühen bei Datenschutzverstößen weitreichende finanzielle Einbußen. Abschreckend ist bekanntermaßen vor allem das hohe Bußgeld der Aufsichtsbehörden nach Art. 83 DSGVO. Doch auch die Ansprüche der in ihren Rechten verletzten Personen auf Schadensersatz nach Art. 82 DSGVO kann das Unternehmen einer finanziellen Bedrängnis aussetzen. Welche Anforderungen an die erlittenen Schäden zu stellen sind, wird nachfolgend anhand von zwei kürzlich ergangenen Urteilen beleuchtet.
Der Inhalt im Überblick
- Die Voraussetzungen eines Schadensersatzanspruchs
- Der weite oder enge Schadensbegriff?
- LG Hamburg: Der Schadensbegriff ist zwar weit auszulegen, aber nicht jeder Verstoß begründet einen Anspruch
- LG Darmstadt: Der Kontrollverlust begründet bereits einen ersatzpflichtigen Schaden
- Die unbeständigen Urteile der Gerichte
Die Voraussetzungen eines Schadensersatzanspruchs
In zwei bereits entschiedenen Gerichtsverfahren wurde die Frage diskutiert, welche Anforderungen an die Intensität des Eingriffs zu stellen sind. Doch bevor wir diese Urteile näher beleuchten, treten wir einen Schritt zurück und schauen uns die Norm des Art. 82 DSGVO genauer an.
Grundsätzlich hat nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Somit müssen folgende Kriterien erfüllt sein, um einen Schadensersatzanspruch zu begründen:
- Verstoß gegen die DSGVO
- Materieller oder immaterieller Schaden
- Verschulden seitens des Verantwortlichen oder des Auftragsverarbeiters
Der weite oder enge Schadensbegriff?
Der Schadensbegriff ist – wie in Erwägungsgrund 146 der DSGVO näher ausgeführt – im Lichte der europäischen Rechtsprechung weit auszulegen, um einen vollständigen und wirksamen Ersatz des erlittenen Schadens zu erhalten.
In der deutschen Rechtsprechung hat sich der Umfang von Schmerzensgeldansprüchen im Datenschutz bisher jedoch restriktiv entwickelt und wurde vorrangig auf schwere Persönlichkeitsrechtsverletzungen gestützt, entsprechend § 8 Abs. 2 der alten Fassung des Bundesdatenschutzgesetzes. Insofern gibt es geteilte Meinungen, ob der Schadensbegriff in Art. 82 DSGVO europarechtlich weit auszulegen ist oder gemäß der deutschen Rechtsprechung hohe Anforderungen an die Schwere des Eingriffs stellt.
Die Urteile des LG Hamburg und des LG Darmstadt beurteilen diese Frage unterschiedlich hinsichtlich des tatsächlichen Schadenseintritts bei der Verbreitung von Daten der betroffenen Person.
LG Hamburg: Der Schadensbegriff ist zwar weit auszulegen, aber nicht jeder Verstoß begründet einen Anspruch
Gegenstand des Gerichtsverfahrens war die Klage einer betroffenen Person, dessen personenbezogene Daten ohne ihre Zustimmung von dem beklagten Unternehmen über das Internet veröffentlicht wurden. Neben dem Ersatz der anwaltlichen Kosten beantragte sie den Ersatz des immateriellen Schadens.
Mit Beschluss vom 04.09.2020 verneinte das LG Hamburg (Az. 324 S 9/19) einen Anspruch auf Schadensersatz. In der Begründung befürwortete das Gericht eine weite Auslegung des Schadens. Nach Erwägungsgrund 75 der DSGVO könne dieser
„einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung“
umfassen. Somit bedürfe es keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen.
Im Umkehrschluss begründe jedoch nicht jeder Verstoß einen Ersatzanspruch. Vielmehr müsse dem eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen. Diese Verletzung könne, wie von der Klägerin angeführt, nicht bereits durch die Befürchtung von Nachteilen vorliegen. Tatsächliche Nachteile durch die Veröffentlichung ihrer Daten legte die Klägerin nicht vor.
LG Darmstadt: Der Kontrollverlust begründet bereits einen ersatzpflichtigen Schaden
In diesem Sachverhalt wurden personenbezogene Daten eines Bewerbers versehentlich an einen Dritten weitergeleitet. Die Daten beinhalteten, unter anderem Informationen bezüglich der Stellenposition und der Gehaltsverhandlung. Das beklagte Unternehmen informierte die betroffene Person jedoch nicht unverzüglich über den Datenschutzverstoß, sondern erst nach zwei Monaten. Der Kläger beantragte daraufhin Schadensersatz.
Das LG Darmstadt entschied zugunsten des Klägers und stimmte dem Schadenersatzanspruch zu (Az. 13 O 244/19). Es sei ein tatsächlicher Schaden eingetreten und die Informationspflicht sei zudem verletzt worden.
Dazu führte das LG Darmstadt aus, dass sich durch die Weiterleitung an einen Dritten die Eintrittswahrscheinlichkeit eines Schades nicht nur manifestiert habe, sondern auch ein tatsächlicher Schaden bereits eingetreten sei.
„In einem solchen Fall ist es nicht maßgeblich, ob die Datenschutzverletzung auch zu einem besonders hohen Schadensumfang führt.“
Der Schaden läge in dem Kontrollverlust des Klägers, wer Kenntnis von seiner Bewerbung bei dem beklagten Unternehmen habe. Ein weiterer Schaden hätte auch in einer Rufschädigung liegen können, wenn beispielsweise der derzeitige Arbeitgeber des Klägers von seiner Suche nach einer anderweitigen Arbeitsstelle erfahren hätte.
Die unbeständigen Urteile der Gerichte
Der immaterielle Schaden nach Art. 82 DSGVO ist ein Tatbestandsmerkmal ohne festgesetzte Konturen, wie anhand der Urteile des LG Hamburg und des LG Darmstadt erkennbar.
Besonders hervorzuheben ist das in Erwägungsgrund 75 genannte Risiko des Kontrollverlusts, das in den Urteilen unterschiedlich beurteilt wird. Das LG Darmstadt sieht in der versehentlichen Weiterleitung von personenbezogenen Daten bereits einen solchen schadensersatzpflichtigen Kontrollverlust.
Das LG Hamburg war hingegen der Ansicht, dass ein solcher Kontrollverlust nicht bereits in der Veröffentlichung von Daten der Klägerin im Internet gegeben sei. Liegt jedoch nicht bereits in der Ungewissheit, dass die eigenen Daten möglicherweise an Dritte gelangt sind, ein solcher Kontrollverlust? Kann das eigene Befinden in solch einem Fall überhaupt ausschlaggebend sein?
Somit steht man abermals vor der Frage, wie der Schadensbegriff für den Anspruch eines Schadensersatzanspruches auszulegen ist. Es bleibt abzuwarten, ob weitere Gerichte dem Urteil des LG Darmstadt folgen werden, oder die Richtung des LG Hamburg einschlagen werden.