Jüngste Rechtsprechung und Vorlageverfahren zum Schadensersatz nach Art. 82 DSGVO

Beitrag als PDF (Download)

 

Die Datenschutzgrundverordnung (DSGVO) bietet seit ihrer Einführung vor über vier Jahren Anlass zu zahlreichen Streitigkeiten an deutschen Gerichten. Dies gilt auch für den Schadensersatzanspruch aus Art. 82 DSGVO. Dieser wurde höchst vage ausgestaltet und wirft daher zahlreiche Auslegungsfragen auf. Haftungsrisiken und potentielle Klagewellen drohen angesichts der jüngsten Entwicklungen mehr und mehr auszuufern.

Der Schadensersatzanspruch nach Art. 82 DSGVO

Laut Art. 82 Abs. 1 DSGVO hat „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (…) Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Abs. 3 sieht lediglich eine Exkulpationsmöglichkeit bei fehlender Verantwortlichkeit vor.

Art. 82 DSGVO sieht mithin grundsätzlich „bei jedem Verstoß“ gegen die DSGVO einen Schadensersatzanspruch vor. Der Anwendungsbereich der Norm ist mithin denkbar weit. Es handelt sich hierbei um einen originär europarechtlichen Schadensersatzanspruch. Die Grundsätze des deutschen Rechts sind also nur sehr eingeschränkt übertragbar.

Anspruchsberechtigt ist nach dem Wortlaut der Norm zunächst „jede Person“. Obwohl sich aus der Schutzrichtung des Art. 1 Abs. 1 DSGVO erschließen lässt, dass hiermit nur natürliche Personen gemeint sein dürften, bleibt auch diese Voraussetzung weit: Zum Teil wird zwar argumentiert, dass nur die sogenannte betroffene Person, also die Person, deren personenbezogene Daten verarbeitet wurden, einen Anspruch geltend machen kann. Andere beziehen jedoch selbst beliebige Dritte mit ein. Ferner ist für den Umfang an denkbaren Anspruchstellern und potentiellen Klagen zu berücksichtigen, dass der Anspruch nach weit verbreiteter Auffassung keinen höchstpersönlichen Charakter hat und daher (auch an kommerzielle Legal-Tech-Unternehmen) abtretbar ist.

Ersetzt werden soll nach dem eindeutigen Wortlaut nicht nur der materielle Schaden, sondern auch der immaterielle Schaden, welcher im deutschen Recht bislang selten als ersatzfähig angesehen wird. Aus den Erwägungsgründen des Art. 82 DSGVO geht zudem hervor, dass der Schaden nicht nur der Kompensation, sondern auch der Prävention von Verstößen dienen soll. Die Norm hat damit einen Strafcharakter, der dem deutschen Recht bislang völlig fremd ist. In den Erwägungsgründen werden dabei einige mögliche ersatzfähige Schäden aufgezählt, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung, aber auch der bloße Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile. Teilweise wird aus den Erwägungsgründen gefolgert, dass bereits das „ungute Gefühl“, ein Unbefugter könnte Zugang zu personenbezogenen Daten erhalten haben sowie das Gefühl der Hilflosigkeit als immaterielle Schäden anzusehen seien.

Aus deutscher Sicht besonders befremdlich ist, dass der Schadensersatzanspruch kein Verschulden beziehungsweise kein „Vertreten müssen“ verlangt. Teilweise wird auf die vorgesehene Exkulpationsmöglichkeit in Abs. 3 verwiesen. Zwar meint „Verantwortung“ in Art. 82 Abs. 3 DSGVO nach Auffassung mancher deutscher Gerichte ein Verschulden im Sinne des deutschen Rechts und werde lediglich über eine Beweislastumkehr vermutet (so LG Mainz, 3 O 12/20). Diese Ansicht interpretiert allerdings das Verständnis des deutschen Haftungsrechts in eine europäische Rechtsnorm. Nach anderer Auffassung meint „verantwortlich“ lediglich eine ursächliche Mitwirkung an dem Umstand, der den Schaden verursacht hat. So hat das BAG kürzlich ausdrücklich angenommen, dass Art. 82 Abs. 1 DSGVO verschuldensunabhängig sei [vgl. BAG, 8 AZR 253/20 (A)].

Im Hinblick auf die Darlegungslast zum Schaden geht die Rechtsprechung – so kürzlich das BAG – teils ebenfalls davon aus, dass ein Anspruch auf immateriellen Schadensersatz neben der Darlegung einer Verletzung der DSGVO selbst nicht erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Nach Auffassung des BAG führt demnach bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden.

Auch hinsichtlich der haftungsausfüllenden Kausalität ist umstritten, ob der Betroffene nach den allgemeinen Regeln die volle Substantiierungs- und Beweislast trägt. Aufgrund seiner fehlenden Möglichkeit, Einblick in die Datennutzungsprozesse zu erhalten, werden auch in dieser Hinsicht Beweiserleichterungen bis hin zur Beweislastumkehr vorgeschlagen.

Was die Bemessung der Schadenshöhe angeht, bleibt diese gänzlich offen und den einzelnen Gerichten überlassen. Die bislang zugesprochenen Beträge variieren zwischen wenigen hundert Euro bis zu mehreren tausend Euro, wobei auch schon bei ausdrücklich „nicht sehr großen“ und „nicht erheblichen“ Schäden bis zu 5.000 Euro anerkannt wurden. Andere Gerichte sprachen bei erheblichen Verletzungen hingegen weniger zu.

Der Anspruch nach Art. 82 DSGVO ist nach alledem denkbar weit und die Haftungsrisiken sind ungewiss. Deutsche Gerichte haben bislang daher maßgeblich über zwei Voraussetzungen versucht, den Anspruch sinnvoll zu begrenzen. Ob diese Rechtsprechung jedoch Bestand haben wird, bleibt abzuwarten.

Zum einen wird diskutiert, ob tatsächlich jede Verletzung einer Regelung der DSGVO dazu führen kann, dass ein Schadensersatzanspruch entsteht, oder ob es nicht vielmehr nur auf solche Regelungen ankommen kann, die tatsächlich die Verarbeitung von Daten betreffen, also insbesondere die Rechtsgrundlagen des Art. 6 DSGVO. So wurde in der bisherigen Rechtsprechung teils eine Einschränkung dahingehend vorgenommen, dass ein Anspruch lediglich bei einer fehlerhaften „Datenverarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO in Betracht komme. Dies könne aus Erwägungsgrund 146 Satz 1 DSGVO und Art. 82 Abs. 2 Satz 1 DSGVO entnommen werden. Hiernach solle ein Anspruch nur bei einem Verstoß durch die Verarbeitung selbst in Betracht kommen. Verletzungen von Informationsrechten nach Art. 12 bis 15 DSGVO reichten hingegen nicht aus, da die Auskunft ein bloßes Informationsrecht darstelle (so LG Bonn, 15 O 355/20). Andere Stimmen in der Literatur und Rechtsprechung sind jedoch der Ansicht, dass auch ein Verstoß gegen Art. 15 DSGVO in Form einer Nichterteilung einer Auskunft innerhalb der Fristen nach Art. 12 Abs. 3, Abs. 4 DSGVO ausreichen kann (so etwa ArbG Herne, 5 Ca 178/20); teilweise werden jegliche Verstöße gegen die DSGVO einschließlich der Formvorschriften als ausreichend erachtet (so LAG Niedersachsen, 16 Sa 761/20). Bei der Datenverarbeitung handelt es sich mithin um alles andere als ein gefestigtes Kriterium der Rechtsprechung. Zum anderen haben manche Gerichte das weitere Kriterium einer Erheblichkeitsschwelle zur Einschränkung eingeführt. Diese zusätzlich geschaffene Voraussetzung ist jedoch weder nach dem Wortlaut noch in den Erwägungsgründen des Art. 82 DSGVO vorgesehen. So setzte zwar etwa das AG Frankfurt am Main voraus, dass der Kläger gesellschaftliche, persönliche oder sonstige Nachteile zu seiner Person erlitten habe [385 C 155/19 (70)]. In einem anderen Verfahren entschied das LG Feldkirch, dass kein Schaden mehr vorliege, wenn er durch eine verspätete Auskunft nachträglich beseitigt wurde (57 Cg 30/19b – 15). Das Erfordernis einer  konkreten und spürbaren Beeinträchtigung  bei der betroffenen Person findet sich auch in Entscheidungen des OLG Bremen (1 W 18/21) oder des OLG Stuttgart (9  U  34/21) wieder. Andere Gerichte sahen jedoch unter Berufung auf den Wortlaut von solchen Einschränkungen ab. Das ArbG Neumünster betonte in seiner Begründung die Abschreckfunktion des Art. 82  DSGVO und den Zweck, Verstöße effektiv sanktionieren zu können (1 Ca 247 c/20). Auch das LAG Hamm sah keinen Anhaltspunkt für die Annahme einer Erheblichkeitsschwelle oder den Ausschluss von Bagatellfällen (6 Sa 1260/20).

Auch in diesem Zusammenhang ist daher keine Vorhersehbarkeit im Hinblick auf die Einschränkbarkeit des Anspruchs gegeben. Die Rechtsprechung wird in ihrer Tendenz nicht nur zunehmend verbraucherfreundlicher und spricht Schadensersatzansprüche nach Art. 82 DSGVO vermehrt zu. Auch wird sich der EuGH mit zahlreichen der streitigen Auslegungsfragen zeitnah beschäftigen müssen und entscheiden, ob bislang erfolgte Einschränkungen des Anspruchs deutscher Gerichte europarechtskonform sind.

Jüngste Entscheidungen

Beispielhaft für die verbraucherfreundliche Tendenz der Rechtsprechung, welche zu einer größeren Klagewelle führen könnte, ist nicht nur die oben zitierte Entscheidung des BAG, das zuletzt einen äußerst weiten Auslegungsmaßstab angesetzt hat.

Auch in einem Verfahren gegen das FinTech-Unternehmen Scalable Capital erhielt nun im August 2022 – laut Europäischer Gesellschaft für Datenschutz (EuGD) erstmalig in der EU – ein Betroffener eines Datenlecks rechtskräftig Schadensersatz nach Art. 82 DSGVO. Scalable Capital hatte zuvor seine Berufung gegen das Urteil des LG München zurückgenommen. Das LG ging davon aus, dass dem Kläger aufgrund eines Datenlecks ein immaterieller Schaden entstanden sei. Im Rahmen des Lecks waren Adress-, Ausweis-, Steuer- und Kontodaten entwendet und weitergegeben worden. Das Gericht hielt die Sicherheitslücke, durch die es zu dem Datenleck kam, für vermeidbar. Unterstützt wurde der Kläger in dem Verfahren durch die EuGD, welche als Onlineplattform dafür wirbt, Ansprüche nach Art. 82 DSGVO für Verbraucher kostenlos überprüfen zu lassen und die Anspruchsdurchsetzung an spezialisierte Klägerkanzleien zu vermitteln. Im Gegenzug erhält die EuGD im Erfolgsfall eine Provision.

Die Entscheidung des LG München kann jetzt schon als „Warnschuss“ für Unternehmen verstanden werden. So zeichnet sich mehr und mehr ab, dass die bislang vereinzelten verbraucherfreundlichen Entscheidungen zum Art. 82 DSGVO Symptome einer größeren Entwicklung sind, an deren Ende sogar DSGVO-Massenverfahren stehen könnten.

Die Vorlageverfahren vor dem EuGH

Nachdem deutsche Gerichte zunächst selbst über den Anspruch aus Art. 82 DSGVO entschieden, ohne den EuGH anzurufen, und diesen Anspruch dabei äußerst unterschiedlich auslegten, stellte das Bundesverfassungsgericht in einem Fall vor dem AG Goslar (28 C 7/19) wegen fehlender Vorlage vor dem EuGH einen Verstoß gegen den gesetzlichen Richter nach Art. 101 Abs. 1 S. 2 GG fest (1 BvR 2853/19). In der Zwischenzeit erhielt der EuGH zahlreiche Vorlagen nationaler Gerichte, über die er nun entscheiden muss (so etwa Deutschland: C-741/21; C-687/21; C-667/21; C-182/22; C-456/22 Bulgarien: C-340/21; Österreich: C-300/21). Diese könnten bald Klarheit über zahlreiche Klagen schaffen.

So wird der EuGH in absehbarer Zeit insbesondere darüber entscheiden, worin schadensersatzfähige Verstöße gegen die DSGVO liegen können. Ferner wird sich der EuGH mit den Fragen beschäftigten müssen, ob der Kläger einen über die reine Verletzung hinausgehenden Schaden darlegen muss, wie die Höhe des immateriellen Schadensersatzes zu bemessen ist, und ob der Schadensersatzanspruch tatsächlich eine Erheblichkeitsschwelle voraussetzt. Schließlich wird er zu der Frage Stellung nehmen müssen, ob der Schadensersatzanspruch verschuldensunabhängig ist.

Im Lichte der europäischen Rechtsgrundsätze und der „Pro Datenschutz“-Tradition des Gerichts ist zu erwarten, dass die Entscheidungen vorteilhaft für die betroffenen Personen ausfallen dürften. Bereits der Vorlagebeschluss des BAG stellt sich etwa auf die Seite einer weiten Auslegung, nach der schon der bloße Verstoß gegen die Vorgaben des DSGVO ausreichen und auch kein schuldhaftes Handeln des Verantwortlichen vorausgesetzt werden solle. Auch stünde eine weitere Auslegung des Art. 82 DSGVO im Einklang mit dem unionsrechtlichen Effektivitätsgebot (Art. 4 Abs. 2 EUV). Es könnte somit bald erheblich leichter sein, einen Schadensersatzanspruch nach Art. 82 DSGVO geltend zu machen.

Konsequenzen für die Praxis

Der Art. 82 DSGVO wird die deutschen Gerichte noch viel beschäftigen. Zum einen bleiben die Anwendungsfälle unüberschaubar und werden mutmaßlich auch vom EuGH nicht merklich beschränkt werden. Von Verstößen gegen Datenschutzregelungen sind dabei branchenübergreifend beinahe alle B2C-Unternehmen potentiell betroffen. Die oben beschriebenen niedrigen Anspruchsvoraussetzungen, insbesondere die niedrigen Anforderungen an individuelle Darlegungslasten, führen zu weiteren potentiellen Ausbreitungsmöglichkeiten. Bis es eine gefestigte Rechtsprechung zu der Norm gibt, ist daher zu erwarten, dass jegliche denkbaren Verstöße und Anspruchshöhen durch Klägerkanzleien versuchsweise geltend gemacht werden. Die Vorlagebeschlüsse und verbraucherfreundlichen Gerichtsurteile der letzten Monate bieten ihnen dabei eine durchaus komfortable Argumentationsgrundlage, welche durch die Bestätigung des EuGH noch verstärkt werden könnte. Schon jetzt zeichnet sich zudem ein Trend hin zu größeren Schadensersatzsummen aus der DSGVO ab, vor dem Unternehmen sich wappnen sollten. Wenn sich zudem noch die weite Auslegung des Anspruches manifestieren sollte, wird die Anzahl an klagewilligen Geschädigten sprunghaft steigen.

Wegen der großen Anzahl an gleichzeitig Betroffenen, etwa im Fall von Datenlecks, müssen sich Unternehmen insoweit auf Massenklagen im Bereich von Schadensersatzansprüchen nach Art. 82 DSGVO einstellen. Dies kann zum einen geschehen durch mehrere Einzelverfahren der betroffenen Verbraucher selbst, die in der Regel durch Legal-Tech gestützte, auf Massenverfahren spezialisierte Verbraucherkanzleien vertreten werden. Zum anderen können Betroffene ihre Ansprüche an spezielle Dienstleister abtreten, die diese in gebündelten Verfahren geltend machen. In der Regel handelt es sich bei diesen Dienstleistern um Verbraucherplattformen, welche sich – ebenso wie sonstige Verbraucherkanzleien – die massenweise Durchsetzung von Klagen zum Geschäftsmodell gemacht haben und von denen schon jetzt einige in den Startlöchern stehen.

Unternehmen sollten sich daher schon frühzeitig und umfassend zu ihren Haftungsrisiken beraten lassen. Dies umfasst sowohl die datenschutzrechtlichen Themen als auch die prozessualen Handlungsoptionen im Streitfall. Idealerweise ist ein Unternehmen so aufgestellt, dass Datenschutzverstöße gar nicht erst zum Thema werden. Sinnvolle Maßnahmen sind hier etwa die umfassende Dokumentation aller Datenschutzmaßnahmen in einem Unternehmen und eine gründliche Überprüfung der internen Datenschutzstrategie. Sollte es dennoch zu potentiellen Haftungsfällen kommen, können sich aufgrund der zu erwartenden Massenklagen neben der juristischen Beratung vor allem eine gute Prozessorganisation und der Einsatz von Legal Tech bezahlt machen.

 

katharina.klenk@luther-lawfirm.com

christian.kuss@luther-lawfirm.com

Aktuelle Beiträge