Verfolgt man die Gerichtsurteile, die sich primär oder auch sekundär mit datenschutzrechtlichen Themen auseinandersetzen, kommt man nicht umhin festzustellen, dass Entscheidungen über die Zahlung von Schadensersatz häufiger werden. Interessant hierbei ist, dass die Rechtsprechung zu den Voraussetzungen des Vorliegens eines Schadens im Laufe der Jahre immer mal wieder divergieren. Im Folgenden verschaffen wir uns einen Überblick zum Wandel der rechtsdogmatischen Auslegung des Schadensbegriffs im Hinblick auf Bagatellschäden.
Der Inhalt im Überblick
Schadensersatz im Datenschutzrecht
Der Schadensersatz im Datenschutzrecht ist in Art. 82 DSGVO geregelt. Danach hat grundsätzlich jede Person einen Anspruch auf Schadensersatz, soweit ihr aufgrund eines Verstoßes gegen Bestimmungen der DSGVO ein Schaden materieller oder immaterieller Art entstanden ist. Dabei muss der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter den Schaden durch den datenschutzrechtlichen Verstoß zu verschulden haben.
Diese Voraussetzungen sind klar in Art. 82 DSGVO geregelt. Weitere Anhaltspunkte, wie der Begriff des Schadens im Rahmen der DSGVO verstanden werden soll, sind im Satz 3 des Erwägungsgrundes 146 zu finden:
„Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“
Auf die sich stetig ändernde, mitunter auch konträre, richterliche Auslegung des Schadensbegriffs haben wir bereits 2020 aufmerksam gemacht. Bei dem Vergleich von Urteilen des Landgerichts Hamburgs sowie des Landgerichts Darmstadt wurde deutlich, dass beispielsweise die Frage, wann ein tatsächlicher Schaden bei einem Kontrollverlust von Daten eingetreten ist und zu einem Anspruch auf immateriellen Schadenersatz führt, unterschiedlich bewertet werden kann.
Was sagen die Gerichte zu Bagatellschäden?
Anlässlich der neueren Entwicklung in der Rechtsprechung möchten wir einen weiteren Fall konträrer richterlicher Auslegung zum Begriff des Schadens im Sinne des Art. 82 DSGVO vorstellen – und zwar die Frage, ob sogenannte Bagatellschäden bei der Geltendmachung eines immateriellen Schadensersatzes umfasst sein sollen.
Eine Legaldefinition für einen Bagatellschaden ist weder im Datenschutzrecht noch in einem anderen Gesetzestext zu finden. Das erscheint nicht überraschend, denn im allgemeinen Sprachgebrauch ist ein Bagatellschaden ein „verhältnismäßig geringfügiger Schaden“ und damit eine Frage der konkreten Einzelfallbetrachtung.
Trotz mangelnder Legaldefinition kann sehr wohl eine allgemeine Aussage dazu getroffen werden, ob Bagatellschäden im Rahmen von immateriellen oder materiellen Schadensersatzansprüchen umfasst sein oder außer Acht bleiben sollen.
Worüber Einigkeit herrscht…
Die vergangene deutsche Rechtsprechung – insbesondere bis zum Jahr 2018 –, die einen immateriellen Schadensersatz nur bei schwerwiegenden Persönlichkeitsrechtsverletzungen zugesprochen hatte, ist nicht mehr anwendbar. Eine solche zusätzliche Voraussetzung der schwerwiegenden Persönlichkeitsverletzung entsprach der ausdrücklichen Regelung in § 8 Abs. 2 BDSG alter Fassung, die aber mit der derzeitigen Fassung der DSGVO und des neuen BDSG nicht mehr in Einklang zu bringen ist, so beispielsweise das Landgericht Karlsruhe in seinem Urteil vom 09.02.2021 (Az.: 4 O 67/20):
„Anders als nach dem alten Recht (§ 8 Abs. 2 BDSG a. F.) ist inzwischen keine schwere Verletzung des Persönlichkeitsrechts mehr notwendig, um einen immateriellen Schaden geltend zu machen (vgl. Plath/Becker, DSGVO, 3. Auflage, Art. 82 Rn. 4c; Gola/Piltz, DS-GVO, 2. Auflage, Art. 82 Rn. 13).“
Bagatellverstöße als Grenze des immateriellen Schadensersatzes
Weniger Einigkeit herrscht jedoch im Rahmen der Frage, wo die Grenzen des Schadensersatzes zu ziehen sind. Insbesondere das Oberlandesgericht Dresden sowie das Landgericht Karlsruhe sprechen sich deutlich dafür aus, dass bloße Bagatellschäden nicht vom Schadensersatz des Art. 82 DSGVO umfasst sein sollen.
Nach der Auffassung des Oberlandesgerichts Dresden in seinem Hinweisbeschluss vom 11.06.2019 (Az.: 4 U 760/19) könne der Art. 82 DSGVO auch vor dem Hintergrund des Erwägungsgrundes 146 der DSGVO nicht so verstanden werden, dass ein vollständiger und wirksamer Schadensersatz normiert sein solle. Vielmehr sei nicht schon jede individuell empfundene Unannehmlichkeit oder jeder Bagatellverstoß oder ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person dazu geeignet, einen Anspruch auf immateriellen Schadensersatz zu begründen. Obwohl das Datenschutzrecht gerade ein subjektives Recht schütze, das einen starken Bezug zum persönlichen Empfinden des Einzelnen habe, wie das Oberlandesgericht ausführt, seien also Bagatellverstöße die Grenze für eine Geltendmachung von immateriellen Schadensersatzansprüchen.
Das Landgericht Karlsruhe stimmt dieser gerichtlichen Rechtsauffassung zu und ergänzt:
„Der Verpflichtung zum Ausgleich eines immateriellen Schadens muss nämlich eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die beispielsweise in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann (Ehmann/Selmayr/Nemitz, DS-GVO, 2. Auflage, Art. 82 Rn. 13).“
Es müsse für die Betroffenen ein spürbarer Nachteil entstanden sein, der sich nicht nur in einem Verstoß gegen Vorschriften des Datenschutzes allein begründen könne. Mit Verweis auf das Urteil des Oberlandesgerichtes Dresden meint das Landgericht Karlsruhe, die Wahrung der informationellen Selbstbestimmung als Bestandteil des allgemeinen Persönlichkeitsrechts gebiete einen solchen Ausgleich nicht. Ebenso wenig sei nach Auffassung der beiden Gerichte eine wirksame Durchsetzung der DSGVO nur möglich, wenn auch ein Ausgleich immaterieller Schäden gewährleistet würde.
Gegenauffassung des Landesarbeitsgerichts Hessen
Während das Landgericht Karlsruhe eine „echte Schädigung des Betroffenen beziehungsweise seines Persönlichkeitsrechts“ verlangt, erwähnt das Landgericht Hessen eher nebenbei in einem arbeitsrechtlichen Prozess, dass nach seiner Auffassung ein Ausschluss von Bagatellschäden nicht vom Gesetz vorgesehen sei.
Dem Urteil vom 18.10.2021 (Az.: 16 Sa 380/20) ist zu entnehmen, dass das Gericht etwaige Einschränkungen des Schadensersatzes über die europarechtlichen Vorgaben hinaus, nicht annimmt.
„Da der Begriff des Schadens in Art. 82 DSGVO ein europarechtlicher ist, darf nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden. (Rn. 133)“
Mit Verweis auf die Literatur, namentlich den Kommentar Kühling/Buchner, vertritt das Gericht die Ansicht, dass etwaige Bagatellverstöße ebenfalls im Rahmen des immateriellen Schadensersatzes geltend zu machen seien.
Abwarten, wie weitere Gerichte entscheiden
Wie bei so vielen Fragen im Bereich des Datenschutzrechts bleibt zur endgültigen Klärung eine höchstrichterliche Rechtsprechung abzuwarten. Beide rechtliche Auffassungen haben interessante rechtsdogmatische Aspekte. Das Landesarbeitsgericht weist zu Recht auf den Wortlaut der geltenden Datenschutzgesetze hin, die in der Tat keine Erheblichkeitsschwellen oder andere Einschränkungen beinhalten. Hierzu passt insbesondere auch der klare Wortlaut des Erwägungsgrundes 146 der DSGVO, der einen weiten Schadensbegriff fordert.
Auf der anderen Seite ist fraglich, ob ein nahezu voraussetzungsloser immaterieller Schadensersatz vom europäischen und nationalen Gesetzgeber gewollt ist. Zu Recht wird diesbezüglich auf ein Missbrauchsrisiko hingewiesen, das sich hinsichtlich der Geltendmachung von Ansprüchen im Datenschutzrecht nicht manifestieren sollte.
Aufgrund der steigenden Sensibilisierung der Bürger:innen im Bereich des Datenschutzes wird das Thema immaterieller Schadensersatz auch in Zukunft weiter an Bedeutung zunehmen. Eine höchstrichterliche Rechtsprechung bleibt abzuwarten.
Guten Tag, welchen Schadensersatz kann bsp.gektend gemacht werden bei a. Diskriminierung (Art. 3 GG) b. Vernichten von Urkunden und Dokumente c. Kontaktverbot für 6 Monate zu seinem Kind d. Entziehung Sorgerecht?
Guten Tag, in Ihrem Beitrag vom 10. Mai 2022 zu „Bagatellschäden im datenschutzrechtlichen Schadensrecht“ erklären Sie, dass der für die Datenverarbeitung verantwortliche oder der Auftragsverarbeiter den Schaden durch den datenschutzrechtlichen Verstoß verschuldet haben müssen. Woraus entnehmen Sie diese Ansicht? In den einschlägigen Vorschriften ist von Verschulden nicht die Rede. Dies hat mich schon öfter zum Grübeln gebracht.
Ich freue mich auf Ihre Rückantwort.
Mit freundlichen Grüßen,
Ralph Sendler
Vielen Dank für Ihre spannende Rückfrage zu dem Beitrag.
Die Frage des Verschuldens im Rahmen des Art. 82 DSGVO ist in der Tat eine nicht Unumstrittene und hat insbesondere im letzten Jahr an Bedeutung gewonnen. Der Formulierung des angesprochenen Satzes im Beitrag sowie der Rechtsauffassung, dass das Verschulden Voraussetzung des Schadensersatzes nach Art. 82 DSGVO ist, liegt die bisherige Rechtsprechung sowie Literatur zu Grunde.
So ist beispielsweise im Kommentar Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 47, zu lesen, dass Art. 82 DSGVO keine Gefährdungshaftung sein kann, da die Norm bei fehlendem Verschulden eine Möglichkeit der Enthaftung vorsieht. Auch Teile der Rechtsprechung folgen dieser Argumentation. So urteilt beispielsweise das OLG Stuttgart (Urteil vom 31.03.2021, Az.: 9 U 34/21, Rn. 53)
„Erst wenn ein Verstoß festgestellt ist, hilft dem Geschädigten – allerdings auch nur hinsichtlich des Verschuldens – die Regelung in Art. 82 Abs. 3 DS-GVO, wonach hinsichtlich des Verschuldens der Verantwortliche sich exkulpieren muss, andernfalls von einem schuldhaften Verstoß auszugehen ist (vgl. LG Karlsruhe, Urteil vom 02.08.2019 – 8 O 26/19, ZD 2019, 511, 512; LG Frankfurt a.M., Urteil vom 18.01.2021 – 30 O 147/20, zitiert nach Leibold, ZD-Aktuell 2021, 05043).“
Zutreffend jedoch ist, dass das Unionsrecht zu Beweislast und Verschulden keine ausdrücklichen Bestimmungen enthält. Zur Klärung dessen hat das Bundesarbeitsgericht mit Beschluss vom 28.08.2021 einige Rechtsfragen zur Auslegung von Art. 82 DSGVO zur Vorabentscheidung dem Europäischen Gerichtshof vorgelegt. Das Bundesarbeitsgericht vertritt hierin die Auffassung, dass der Anwendungsbereich des Art. 82 Abs. 3 DSGVO sich auf die Frage der Beteiligung an einem Datenschutzverstoß und damit verbundenen Kausalitätsfragen beschränke und keine Rückschlüsse auf einer generelles Verschuldenserfordernis normiere.
Es bleiben also die Ausführungen des Europäischen Gerichtshofs abzuwarten, ob Art. 82 DSGVO ein Verschulden zur Anspruchsbegründung voraussetzt.
Sie schreiben im vorletzten Absatz: „Zu Recht wird diesbezüglich auf ein Missbrauchsrisiko hingewiesen, das sich hinsichtlich der Geltendmachung von Ansprüchen im Datenschutzrecht nicht manifestieren sollte.“. Schon irgendwie witzig. Wenn das Recht den betroffenen Personen dient, wird von Missbrauch geredet. Dass die großen Player tatsächlich Missbrauch betreiben, ist Geschäftsalltag und ja nicht so schlimm. Sind ja nur Bagatellen. Und wenn Missbrauch betrieben wird, siehe Google Fonts, dann sind es seltsamerweise auch nicht die betroffenen Personen, die sich bereichern, sondern einzelne…., na wer kommt drauf? Werde dann doch mal die Meinung vertreten, dass die aus dem Kartell- und Diskriminierungsrecht abschreckende Wirkung, welche eine Notwendigkeit zur Wahrung der Grundrechte ist, befürworten.