Zum Inhalt springen Zur Navigation springen
Schadensersatz wegen nicht erteilter Auskunft

Schadensersatz wegen nicht erteilter Auskunft

Artikel von Dr. Datenschutz·16. November 2023

Mahatma Gandhi sagte einmal: „Reich wird man erst durch Dinge, die man nicht begehrt“. Damit hat er wohl Recht. Begehrt man Schadensersatz wegen nicht erteilter Auskunft nach der DSGVO, so wird man durch das Urteil vielleicht nicht reich. Aber man geht immerhin mit 500 EUR Schadensersatz nach Hause. Das Amtsgericht Düsseldorf entschied, dass einem Betroffenen Schadensersatz wegen nicht erteilter Auskunft gemäß Art. 82 DSGVO zusteht. Wir beleuchten die Thematik im Folgenden genauer.

Voraussetzungen für den Schadensersatzanspruch

In der Regel zieht man vor Gericht, um Recht zu bekommen. Und zwar in Form von Geld. Im Rahmen der DSGVO ist das nicht immer so. Denn oftmals handelt es sich bei dem klägerischen Begehr um die Erwirkung eines Betroffenenrechts. Eines dieser Rechte mausert sich zum Liebling aller Betroffenenrechte. Der Auskunftsanspruch gemäß Art. 15 DSGVO. Aber Moment: Da gibt es doch noch mehr zu holen, oder nicht? Genau. Der Schadensersatz ist des Klägers liebster Anspruch. Und auch die DSGVO sieht in bestimmten Fällen einen Anspruch auf Schadensersatz vor. Namentlich in Art. 82 Abs. 1 DSGVO. Nach dieser Vorschrift hat

„jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz (…)“

Das erfreut das Klägerherz. Denn neben den Rechten der betroffenen Person kann unter bestimmten Voraussetzungen auch ein Schadensersatzanspruch geltend gemacht werden.

Nicht erteilte Auskunft = Schadensersatz – Ist das nicht selbstverständlich?

Die Voraussetzungen für einen Schadensersatzanspruch gemäß Art. 82 DSGVO waren indes nicht unumstritten.

Contra Schadensersatz

Beispielsweise hat das Landesarbeitsgericht (LArbG) Nürnberg mit Urteil vom 25.01.2023 (Az. 4 Sa 201 22) noch entschieden, dass eine Verletzung der Auskunftspflicht nach Art. 15 DSGVO nicht zu einem Schadensersatzanspruch nach Art. 82 DSGVO führt, da es sich bei der Erfüllung der Auskunftsverpflichtung um keine Datenverarbeitung im Sinne der Legaldefinition des Art. 4 Nr. 2 DSGVO handelt – und ein Anspruch demnach schon dem Grunde nach ausscheidet (Leitsatz).

Pro Schadensersatz

Das Arbeitsgericht (ArbG) Oldenburg, hat mit Urteil vom 09.02.2023 (Az.: 3 Ca 150/21) dagegen fast zeitgleich entschieden: Der Kläger hat einen Anspruch auf 10.000,- EUR Schadensersatz für eine verspätete Auskunft gemäß Art. 15 DSGVO. Denn be­reits die Ver­let­zung der DSGVO selbst führe zu einem aus­zu­glei­chen­den im­ma­te­ri­el­len Scha­den. Eine nä­he­re Dar­le­gung des Scha­dens sei nicht einmal er­for­der­lich (Pressemitteilung Beck).

Schadensersatz wegen nicht erteilter Auskunft – Der EuGH spricht Recht

Mit Urteil vom 04.05.2023 in der Rechtssache C-300/21 hat sich bereits der Europäische Gerichtshof (EuGH) mit den Voraussetzungen für einen Schadensersatzanspruch auseinandergesetzt. Er befasste sich mit der Frage,

„ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.“ (Rn. 43)

Die Antwort des EuGH: Ein reiner Verstoß gegen die DSGVO reiche zwar noch nicht aus – vielmehr müsse der betroffenen Person ein individueller [materieller oder] immaterieller Schaden entstanden sein. Allerdings gebe es auch keine Erheblichkeitsschwelle für immaterielle Schadensersatzansprüche.

Ohne kausalen Schaden gibt es also keinen Schadensersatz. Klar. Es kann aber einen Ersatz des erlittenen immateriellen Schadens geben. Und ist der Schaden noch so klein, bringt er Geldersatz herein.

Rechtsklarheit

Da lohnte sich doch die örtliche Zuständigkeit. Nun darf man sich voraussichtlich Deutschlandweit über den Segen eines monetären Anspruchs freuen. Rechtsklarheit hat auch seine Vorteile. Ein Verstoß gegen ein Betroffenenrecht kann also nach alledem grundsätzlich einen Schadensersatzanspruch gemäß Art. 82 DSGVO nach sich ziehen. Dies gilt demnach auch und insbesondere bei einem Verstoß gegen das Auskunftsrecht der betroffenen Person gemäß Art. 15 DSGVO.

Amtsgericht hatte über einen Auskunftsanspruch zu entscheiden

In einem aktuellen Fall hatte das Amtsgericht Düsseldorf (Az.: 51 C 206/23) über einen Auskunftsanspruch zu entscheiden und ob, dem Kläger ein Schadensersatz wegen nicht erteilter Auskunft gemäß Art. 82 DSGVO zusteht.

Der Sachverhalt: Bestellung bei einem Onlineshop

Aber was war geschehen? Es soll nun nicht auf die Einzelheiten des Prozessrechts sowie der Klage und Widerklage eingegangen werden. Deshalb wird der Sachverhalt sinngemäß in der gebotenen Kürze dargestellt: Der Verantwortliche unterhält u.a. einen Onlineshop. Der Betroffene kaufte bei ihm ein, zahlte aber die Rechnung nicht. Im Verfahren ging es nun einerseits darum, ob er zurecht nicht gezahlt hat.

Interessanter ist aber, dass der Betroffene den Verantwortlichen bereits im Vorfeld aufgefordert hat,

„gemäß Artikel 15 Abs. 1 und 2 DSGVO eine umfassende Auskunft über die zu seiner Person gespeicherten Daten erteilen und zudem gemäß Artikel 15 Abs. 3 S. 1 DSGVO eine Kopie sämtlicher Daten zur Verfügung stellen.“

Der Verantwortliche erteilte aber keine Auskunft, so dass die Sache mit vor Gericht ging. Hier stellte der Betroffene deshalb den Antrag, den Verantwortlichen

„zu verurteilen, eine Geldentschädigung, deren Höhe in das Ermessen des Gerichts gestellt wird, einen Betrag von 1.000,00 Euro aber nicht unterschreiten sollte, nebst Verzugszinsen […] zu zahlen.“

Das sagt das Gericht zum Auskunftsanspruch und Schadensersatz

Das AG urteilte sinngemäß:

„Der Verantwortliche hat eine Kopie sämtlicher Daten, die er über den Betroffenen verarbeitet, an diesen herauszugeben.“

und

„Der Verantwortliche hat Auskunft darüber zu erteilen, an welche anderen Unternehmen er Daten des Betroffenen übermittelt hat.“

und

„Der Verantwortliche hat an den Betroffenen einen Betrag in Höhe von 500,00 EUR zu zahlen.“

Die Urteilsgründe

Der Betroffene hat also einen Anspruch auf Herausgabe einer Kopie sämtlicher Daten, die über ihn verarbeitet werden, sowie auf Auskunftserteilung, an welche anderen Unternehmen der Verantwortliche seine Daten übermittelt hat. Rechtsgrundlage ist Art. 15 Abs. 1 und 3 DSGVO.

Weiter hat der Beklagte gegen die Klägerin einen Anspruch auf immateriellen Schadensersatz in Höhe von 500,00 € gemäß Art. 82 Abs. 1 DSGVO. Die Begründung fällt zunächst kurz aus, lässt sich aber nach den vorstehenden Ausführungen nachvollziehen:

„Indem [der Verantwortliche] die [dem Betroffenen] nach Art. 15 DSGVO zustehenden Ansprüche nicht erfüllt, führt dies zu einem Schadensersatzanspruch.“

Dann sagte das Gericht aber doch noch etwas Erwähnenswertes. Nämlich zur Frage der Höhe des Schadensersatzanspruchs:

„Der Umstand, dass der Beklagte systematisch Verstöße gegen die DSGVO in Bezug auf seine Person verfolgt, ist bei der Höhe des Schadenersatzes zu berücksichtigen, führt aber nicht dazu, dass dies einen Anspruch wegen rechtsmissbräuchlichen Handelns ausschließt.“

Ein immaterieller Schadensersatz diene nach Auffassung des Gerichts der Genugtuung, solle aber keine Einnahmequelle darstellen.

„Weiter kommt es bei der Höhe des Betrages nicht darauf an, wie wirtschaftlich potent der Anspruchsgegner ist. Der immaterielle Schadensersatzanspruch des geschädigten hat insoweit keine Straffunktion, so dass es auf eines „abschreckende“ Wirkung nicht ankommt.“

Ein höherer Schadensersatz komme auch nicht unter dem Gesichtspunkt in Betracht, dass der Verantwortliche sich – rechtlich unbegründet – weigert die Auskunft zu erteilen und verlangten Daten herauszugeben.

Ein höherer Schaden könne allenfalls dann bejaht werden, wenn der Verantwortliche mit den Daten weiter arbeiten würde, insbesondere sie seit Aufforderung der Auskunft an weitere Dritte weitergegeben hätte und allein damit den Schaden des Betroffenen vertiefen würde. Dies sei aber nicht ersichtlich.

Wie soll man mit Betroffenenrechten umgehen?

Welche Lehren können aus dem Fall gezogen werden?

Einerseits ist die Tendenz zu erkennen, dass Gerichte eine rechtsmissbräuchliche Ausübung von Betroffenenrechten wenigstens zunehmend im Blick haben. Dahingehend gab es auch eine weitere Vorlage des Bundesgerichtshofs an den EuGH. Eine Rechtsmissbräuchlichkeit wird aber nur in engen Grenzen anzunehmen sein. Dafür spricht auch ein Urteil des EuGH (C‑307/22), nachdem ein Auskunftsanspruch nicht schon deshalb zurückgewiesen werden darf, weil mit ihm ein anderer Zweck als die Überprüfung der Rechtmäßigkeit der Verarbeitung verfolgt wird.

Andererseits ist offensichtlich, dass Betroffenenrechte einen hohen Schutz genießen. Betroffenenrechte sollten deshalb sowohl vom Verantwortlichen als auch vom Betroffenen selbst ernst genommen werden. Ein leichtfertiger Umgang kann in beide Richtungen zu Problemen führen.

Mithin lauern Gefahren bei einer vorschnellen und gegebenenfalls rechtsmissbräuchlichen Ausübung von Betroffenenrechten, doch noch größer scheint die Gefahr einer Verurteilung zum Schadensersatz wegen nicht erteilter Auskunft.

Monatsfrist und Reichweite des Auskunftsanspruchs

Für Verantwortliche stellt daneben die Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO eine Herausforderung dar. Denn auch inhaltlich ist ein Auskunftsanspruch manchmal nicht leicht zu erfüllen.

Deshalb befasste sich der EuGH (C-487/21) bereits mit der Reichweite eines Auskunftsanspruchs. Da sich dieser Anspruch (nur) auf personenbezogene Daten bezieht, hatte der EuGH zu klären, welche der von verarbeiteten Daten als personenbezogen gelten. Er entschied, dass der Begriff des Personenbezugs, seinem Schutzzweck entsprechend, tendenziell weit auszulegen ist.

„[…] Personenbezogene Daten“ [sind] potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen […]“ Rn. 23

Daraus leitet das Gericht ab, dass zu den personenbezogenen Daten nicht nur die ursprünglich erhobenen Originaldaten gehören. Auch abgeleitete Daten über die betroffene Person (also z.B. Daten über deren Zahlungsfähigkeit oder Zahlungsunwilligkeit) gehören hierzu. Das bedeutet, dass ein Auskunftsanspruch grundsätzlich vollumfassend bedient werden sollte. Aber es kommt auf den Einzelfall an, wie beispielsweise Konkretisierung oder abgestufte Auskünfte.

Typische anspruchsbegleitende Forderungen

Es können eine Vielzahl an Betroffenenrechten gleichzeitig geltend gemacht werden. Typisch ist neben dem Anspruch auf Auskunft ein Löschbegehren gemäß Art. 17 DSGVO: Ähnlich wie bei anderen Betroffenenrechten kann auch hier eine verspätete oder gar nicht erfolgte Erfüllung des Begehrs einen Schadensersatzanspruch auslösen. (Schadensersatz für verspätete Löschung in Höhe von EUR 50,00).

Praxisrelevant – Ja!

In der Praxis spielt die Thematik mithin eine große Rolle. Und zwar auf beiden Seiten. Die Rechtsfortbildung werden wir deshalb weiter im Auge behalten und Sie darüber informieren.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.