Der Schadensersatzanspruch gemäß Art. 82 DSGVO spricht Betroffenen, die einen Schaden durch Datenverarbeitungen erlitten haben, einen Schadensersatz zu. Damit soll insbesondere der Betroffene angemessen entschädigt werden. Nun hat das OLG Hamm entschieden, dass derartige Schadensansprüche von Betroffenen auch an Dritte abgetreten werden dürfen.
Der Inhalt im Überblick
Was ist der Schadensersatz gemäß der DSGVO?
Der Schadensersatz gemäß Art. 82 der DSGVO bietet Betroffenen von Datenschutzverstößen die Möglichkeit, sowohl materielle als auch immaterielle Schäden geltend zu machen, die durch die unrechtmäßige Verarbeitung ihrer personenbezogenen Daten entstanden sind. Diese Regelung stellt sicher, dass jede Person, deren Datenschutzrechte verletzt wurden, Anspruch auf eine finanzielle Entschädigung hat.
- Materielle Schäden
Materielle Schäden entstehen Betroffenen beispielsweise durch Identitätsdiebstahl oder Unterwanderung von (Online-)Konten. Hier erleiden die betroffenen Personen einen direkten finanziellen Verlust. - Immaterielle Schäden
Immaterielle Schäden sind nicht-finanzieller Natur. Diese können zum Beispiel psychische Belastungen, Rufschädigungen oder der Verlust von gesellschaftlichem Ansehen sein. Diese resultieren durch die unrechtmäßigen Verarbeitungen von personenbezogenen Daten.
Zudem erfüllt der Schadensersatzanspruch gemäß Art. 82 DSGVO eine präventive Funktion. Für Unternehmen soll eine mögliche Haftung der Anreiz zur Einhaltung der Datenschutzvorschriften sein. Dieser Umstand soll sodann dazu beiträgt, das Vertrauen der Betroffenen in den Schutz personenbezogener Daten zu stärken und Verstöße zu verhindern. Somit sorgt der Schadensersatzanspruch nicht nur für einen Ausgleich erlittenen Schadens, sondern wirkt auch als Anreiz für datenverarbeitende Stellen, sich an die DSGVO zu halten.
Das Geschäftsmodell „Sammelklage“
Oft betreffen Datenschutzverstöße in Unternehmen eine große Anzahl von Personen, da diese große Mengen an Daten von vielen verschiedenen Personen verarbeiten. Die einzelnen Schadensersatzansprüche sind regelmäßig jedoch relativ gering. Für Betroffene bedeutet dies, dass die Geltendmachung eines Schadensersatzanspruches wegen eines Datenschutzverstoßes mit erheblichem Aufwand verbunden ist. Einzelne Betroffene sind daher häufig nicht bereit, das finanzielle Risiko und den Aufwand eines Rechtsstreits auf sich zu nehmen, um derart kleine Beträge einzufordern.
Hier kommen sogenannte Legal-Tech-Unternehmen oder spezialisierte Rechtsdienstleister ins Spiel. Diese Sammelklage-„Dienstleister“ bieten Betroffenen die Möglichkeit, ihre Ansprüche sie abzutreten. Das Unternehmen bündelt dann die vielen kleinen Forderungen und reicht eine Sammelklage gegen das verarbeitende Unternehmen ein. Dieses Modell „Factoring“ besteht ferner daraus, Ansprüche von Betroffenen aufzukaufen und diesen Betroffenen im Erfolgsfall einen Teil des erstrittenen Betrags auszuzahlen, während der Anbieter den Rest als Gebühr einbehält.
Das Geschäftsmodell lebt davon, dass es besonders vorteilhaft für die Betroffenen ist. Sie müssen kein Risiko tragen, da die Unternehmen die Prozesskosten übernehmen. Wenn sie also vor Gericht verlieren sollten, erleiden sie keinen Verlust. Gewinnt das Unternehmen jedoch vor Gericht, erhält der Betroffene einen kleinen Betrag, den er sonst wegen der Nichtgeltendmachung des Anspruches nicht erhalten hätte.
Das Sammeln von Ansprüchen ermöglicht es den Sammelklage-„Dienstleistern“ die Durchsetzungskosten zu senken und den Druck auf die datenverarbeitenden Unternehmen zu erhöhen. Allerdings gibt es auch rechtliche Diskussionen darüber, ob solche Abtretungsmodelle in jedem Fall zulässig sind.
Rechtliche Diskussion um die Abtretung von Schadensersatzansprüchen
Die Abtretbarkeit von Schadensersatzansprüchen ist ein Thema, das in der Rechtswissenschaft intensiv diskutiert wird. Im Zivilrecht konzentriert sich die Diskussion auf §399 BGB regelt, dass Schadensersatzansprüche nicht abtretbar sind, wenn sie höchstpersönlich sind. Bei Persönlichkeitsrechtsverletzungen, wie Rufschädigung, wird die Abtretung oft verneint, da sie eng mit der Person verknüpft sind. Vermögensrechtliche Schadensersatzansprüche, die rein finanziellen Schaden ausgleichen sollen, gelten hingegen als abtretbar, da ihnen die persönliche Bindung fehlt.
Auch im Datenschutzrecht dreht sich um die Frage, ob betroffene Personen ihre Schadensersatzansprüche aus Datenschutzverletzungen an Dritte, etwa Rechtsdienstleister oder Legal-Tech-Unternehmen, abtreten dürfen, um diese gesammelt und effizienter geltend zu machen. Die Literatur und das LG Essen bejahen eine Abtretbarkeit zumeist. Gegenmeinungen, unter anderem das unterstreichen jedoch, dass die Genugtuungsfunktion des Schadensersatzanspruchs nur gegenüber dem Betroffenen wirkend gemacht werden kann.
Höchstpersönlichkeit der Ansprüche
Als fraglich wird erachtet, ob Schadensersatzansprüche nach Art. 82 DSGVO als „höchstpersönlich“ anzusehen sind und somit nicht abtretbar wären. Gemäß §399 BGB sind höchstpersönliche Ansprüche, die auf persönliche Rechte wie das Allgemeine Persönlichkeitsrecht abzielen, nicht übertragbar. Wird ein Betroffener durch eine Datenverarbeitung geschädigt, ist er zumeist in seinem Persönlichkeitsrecht verletzt, da es sich um seine personenbezogenen Daten und damit einen Eingriff in seine Privatsphäre handelt. Es liegt nahe, zu diskutieren, ob eine derart persönliche Verletzung und der daraus resultierende Ersatzanspruch übertragbar sein können.
Rechtsdienstleistungsgesetz
Am Rande sei erwähnt, dass auch die Berechtigung von Legal Tech Unternehmen zur Durchsetzung von derartigen Ansprüchen diskutiert wird. Kritiker, die eine Abtretung ablehnen, argumentieren, dass Legal-Tech-Unternehmen, die massenhaft Schadensersatzansprüche übernehmen, als Rechtsdienstleister ohne entsprechende Zulassung tätig werden könnten. In diesem Falle verstieße die Abtretung solcher Ansprüche gegen das Rechtsdienstleistungsgesetz.
Was hat das OLG Hamm entschieden?
Das OLG Hamm hat in seinem Urteil vom 24. Juli 2024 (Az. 11 U 69/23) entschieden, dass die Abtretung von Schadensersatzansprüchen aus Datenschutzverstößen nach Art. 82 DSGVO grundsätzlich zulässig ist. Das Gericht geht davon aus, dass der datenschutzrechtliche Schadensersatzanspruch nicht höchstpersönlich sei.
Was war geschehen?
Die Klägerin war das Unternehmen, das die Schadensersatzansprüche von den Betroffenen abgekauft hatte. In dem Fall verlangt die Klägerin immateriellen Schadensersatz von der Beklagten aufgrund eines Datenschutzvorfalls, bei dem personenbezogene Daten von rund 13.000 Personen versehentlich per E-Mail an 1.200 Empfänger gesendet wurden. Die Beklagte betrieb ein Impfzentrum und hatte interne Anweisungen zur Datenverarbeitung, die jedoch nicht ausreichend beachtet wurden. Die Klägerin macht Ansprüche für 532 Zedenten geltend, die ihr ihre Schadensersatzansprüche abgetreten haben, und argumentiert, dass der Datenschutzverstoß zu einem immateriellen Schaden für die Betroffenen geführt habe, da ihre Kontrolle über persönliche Daten verloren ging. Sie fordert eine angemessene Entschädigung von mindestens 800 Euro pro Zedent.
Die Begründung des OLG
Das Gericht stellte fest, dass der Anspruch auf Entschädigung nicht auf die Genugtuung des Persönlichkeitsrechts abzielt, sondern auf einen finanziellen Ausgleich des entstandenen Schadens.
„Eine Persönlichkeitsverletzung sei gerade keine Anspruchsvoraussetzung. Art. 82 Abs. 1, 2 DSGVO diene auch der Vermeidung von zukünftigen Verstößen, sodass ihm ein spezialpräventiver Charakter und damit auch eine objektive Aufgabe zukomme.“
Wichtig ist zudem, dass für solche Ansprüche keine „Erheblichkeitsschwelle“ besteht, d.h., es muss kein besonders schwerer Verstoß vorliegen, um Schadensersatz zu fordern. Dies stützt sich auf die Rechtsprechung des Europäischen Gerichtshofs.
Überdies sah das Gericht keinen Verstoß gegen das Rechtsdienstleistungsgesetz, da es sich bei den Abtretungsverträgen um echtes Factoring handelte.
„Das Auskunftsersuchen stelle keine Rechtsdienstleistung dar und bei der Geltendmachung der Schadensersatzansprüche handele es sich um Factoring, bei dem nach der Rechtsprechung des BGH das RDG keine Anwendung finde.“
Das Gericht bejahte zwar grundsätzlich die Abtretung von datenschutzrechtlichen Schadensersatzansprüchen. In dem vorliegenden Fall konnte die Klägerin jedoch nur in zwei von 523 Fällen einen wirksamen Abtretungsvertrag nachweisen. Dies hatte zur Folge, dass statt die Klägerin statt der geforderten 425.600 Euro Schadensersatz lediglich 500€ zugesprochen bekommen hat.
Auswirkungen und Bedeutung
Diese Entscheidung ermöglicht es Betroffenen, ihre Rechte effektiver durchzusetzen, indem sie Ansprüche an spezialisierte Dienstleister abtreten. Dies ist besonders relevant bei „Massenfällen“, wie großen Datenlecks, bei denen Einzelansprüche oft gering sind, aber durch Bündelung eine stärkere Wirkung erzielt werden kann. Dieses Urteil stärkt das Geschäftsmodell, könnte aber auch die Justiz stärker belasten, da die Zahl der Klagen steigen dürfte, wenn Sammelklagen dieser Art weiter zunehmen.
Und obwohl die Klägerin im konkreten Fall nur einen kleinen Teil des geforderten Schadensersatzes zugesprochen bekam, eröffnet das Urteil für Legal-Tech-Unternehmen neue Möglichkeiten zur Rechtsdurchsetzung im Datenschutzbereich.
Sollten wir nun alle unsere Schadensersatzansprüche abtreten?
Eine pauschale Empfehlung zur Abtretung dieser Ansprüche kann man nicht aussprechen. Betroffene sollten sich gut informieren und rechtlichen Rat einholen, um die individuellen Umstände und möglichen Folgen einer Abtretung abzuwägen. Letztlich hat der Betroffene hier jedoch ein äußerst geringes Risiko.
Anders hingegen sieht das womöglich die Justiz. Diese dürfte mit einer erneuten Sammelklagen-Welle wohl überfordert sein. Manche Stimmen hegen Hoffnungen, ob sich der Fall vor dem Bundesgerichtshof wiederfinden wird. Bei entsprechenden rechtspolitischen Einflüssen könne das Urteil abgeschwächt werden. Ob dies geschieht, ist zweifelhaft, denn der BGH ist natürlich keine Superrevisionsinstanz.