Datenschutzrecht: Schadensersatz für Verstoß gegen Datenschutz-Grundverordnung
Die europäische Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung; kurz: DSGVO) sieht eine Reihe von Rechten bezüglich der Datenverarbeitung von Bürgern vor. Darunter sind unter anderem das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschen (Art. 17 DSGVO – auch „Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie das Recht auf Übertragbarkeit von Daten (Art. 20 DSGVO).
Liegt ein Verstoß gegen eines dieser Rechte oder gegen die Verordnung insgesamt vor, so kann der von diesem Verstoß Betroffene gem. Art. 82 DSGVO Schadensersatz verlangen. Ersatzfähig nach dieser Vorschrift sind sowohl materielle als auch immaterielle Schäden.
Materielle Schäden sind (objektiv nachweisbare) Vermögensschäden, die auf die Verletzung der DSGVO im konkreten Fall zurückzuführen sind.
Immaterielle Schäden sind demgegenüber solche, die sich nicht in der objektiven Vermögenslage des Betroffenen widerspiegeln, sondern von nicht gegenständlicher (also immaterieller) Natur sind. Hierunter wird insbesondere die Verletzung des Persönlichkeitsrechts einer Person (als typische Folge eines Datenschutzrechtsverstoßes) gefasst.
Uneinigkeit besteht bisher darüber, wie weitreichend solche immateriellen Schäden nach der Verordnung ersatzfähig sind und wer im Prozess dafür zuständig ist, ihr Vorliegen zu beweisen (siehe dazu unten).
I. Voraussetzungen für das Bestehen des Schadensersatzanspruchs
Voraussetzungen für das Bestehen eines Schadensersatzanspruchs nach Art. 82 DSGVO sind zunächst,
- - dass ein Verstoß gegen die Verordnung vorliegt,
- - dass dieser Verstoß beim Betroffenen zu einem kausalen (materiellen oder immateriellen) Schaden geführt hat
- - und dass der Anspruchsgegner „Verantwortlicher“ oder „Auftragsverarbeiter“ im Sinne der Vorschrift ist.
„Verantwortlicher“ im Sinne des Art. 82 I DSGVO ist nach der Begriffsbestimmung in Art. 4 Nr. 7 DSGVO jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
„Auftragsverarbeiter“ hingegen ist jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 14 Nr. 8 DSGVO).
II. Beweislastverteilung
Teilweise umstritten ist bisher, welche dieser Tatsachen von welcher Partei im Prozess bewiesen werden müssen.
Nach den allgemeinen zivilrechtlichen Beweislastregeln im deutschen Recht müssen Tatsachen immer von demjenigen vor Gericht bewiesen werden, zu dessen Gunsten sie angeführt werden.
Für den Anspruch auf Schadensersatz aus Art. 82 DSGVO würde das grundsätzlich bedeuten, dass vom Kläger/ von der Klägerin bewiesen werden muss,…
- - dass ein Verstoß gegen die DSGVO stattgefunden hat,
- - dass der/ die Beklagte hierfür verantwortlich war
- - und dass dem Kläger/ der Klägerin hieraus ein kausaler Schaden entstanden ist
Zur Beweisführung bezüglich des Verstoßes gegen die DSGVO hilft dem Kläger/ der Klägerin zunächst der gem. Art. 15 DSGVO gewährte Auskunftsanspruch gegen den Verantwortlichen.
Ist der Anspruch gegen einen „Auftragsverarbeiter“ gerichtet, so haftet dieser gem. Art. 82 II 2 DSGVO nur dann, wenn er den „speziell den Auftragsverarbeitern auferlegten Pflichten aus [der DSGVO] nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Dem Auftragsverarbeiter muss also über den Verstoß hinaus eine Pflichtverletzung nachgewiesen werden, die sich innerhalb des ihm speziell zugewiesenen Aufgabenbereichs ereignet hat.
Ein Schadensersatzanspruch aus Art. 82 I DSGVO ist hingegen ausgeschlossen, wenn der/ die Beklagte den Verstoß gegen die DSGVO nicht zu verantworten hat bzw. diese/n kein Verschulden trifft. Dies ergibt sich schon aus dem Umkehrschluss zu Art. 82 III DSGVO, indem eine Exkulpationsmöglichkeit für den Anspruchsgegner vorgesehen ist. Sowohl der „Verantwortliche“ als auch der „Auftragsverarbeiter“ können sich exkulpieren, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.
Das Vorliegen von Verschulden wird jedoch gem. Art. 82 III DSGVOwiderleglich vermutet. Das bedeutet, dass im Prozess solange von einem Verschulden des Verantwortlichen oder Auftragsverarbeiters ausgegangen wird, bis dieser das Gegenteil beweist. Der Kläger/ die Klägerin muss das Verschulden des Klagegegners somit nicht nachweisen.
Teilweise wird sogar eine vollumfassende Beweislastumkehr zugunsten des Klägers/ der Klägerin bezüglich der Tatbestandsvoraussetzungen des Anspruchs diskutiert. Diese ergebe sich aus der allgemeinen Rechenschaftspflicht der Verantwortlichen aus Art. 5 II sowie Art. 24 I DSGVO. Nach anderer Ansicht handelt es sich hierbei jedoch nur um eine Nachweispflicht gegenüber den Datenschutzbehörden (Wybitul, NJW 2019, 3265, 3268). Hierfür spreche auch der Erwägungsgrund 82 der Verordnung, indem die Rechenschaftspflicht umschrieben und damit in Zusammenhang gesetzt wird, dass die Verantwortlichen dazu verpflichtet sein sollten, mit der zuständigen Aufsichtsbehörde zusammen zu arbeiten, um Verstöße zu minimieren.
Für dieses Ergebnis spricht auch ein Umkehrschluss aus Art. 82 III DSGVO. Wäre der Verordnungsgeber davon ausgegangen, dass hinsichtlich aller Tatbestandsmerkmale eine Beweislastumkehr zugunsten des Klägers/ der Klägerin vorgesehen ist, hätte er diese nicht „zusätzlich“ und isoliert nur für die Voraussetzung des Verschuldens in Art. 82 III DSGVO geregelt.
Es ist wohl also davon auszugehen, dass die allgemeinen Beweislastregeln des deutschen Zivilrechts Anwendung finden und lediglich das Verschulden im Rahmen des Tatbestands von Art. 82 DSGVO vermutet wird. Hinsichtlich des sonst recht „voraussetzungsarmen“ Tatbestands von Art. 82 DSGVO könnte es sonst zu einer Ausuferung der Haftung kommen.
Somit hat der Kläger/ die Klägerin grundsätzlich das auch das Vorliegen eines kausal auf dem Verstoß beruhenden Schadens nachzuweisen.
Gelingt dem Kläger die Beweisführung, so sind ihm alle materiellen und immateriellen Schäden zu ersetzen.
III. Bagatellschwelle für immaterielle Schäden
Problematisch und daher umstritten ist jedoch, inwieweit das Vorliegen eines immateriellen Schadens vom Kläger/ der Klägerin nachzuweisen und dann auch ersatzfähig ist. Die Verordnung selbst gibt dazu keine zwingende Regelung vor.
Eine sehr weite Interpretation des Schadensbegriffs geht davon aus, dass ein immaterieller Schaden bereits mit dem Verstoß gegen die DSGVO als vorliegend anzusehen ist. Hierfür spricht die effektive Durchsetzung der Verordnung und der damit verbundene Wirksamkeitsgrundsatz (effet utile) hinsichtlich des Unionsrechts (Art. 4 III EUV). Der Europäische Gerichtshof hatte bereits in seinen Entscheidungen betont, dass die Gewährung von Schadensersatz im Lichte des Wirksamkeitsgrundsatzes durchaus auch „abschreckende Wirkung“ haben sollte. Ein solch punitiver Schadensersatz („Strafschadensersatz“) ist dem deutschen Recht jedoch fremd. Der deutschen Schadensersatzdogmatik liegt vielmehr der Grundsatz der Naturalrestitution zugrunde. Das bedeutet, dass dem Geschädigten bei Bestehen eines Schadensersatzanspruches nicht mehr und nicht weniger als das zu ersetzen ist, was ihm tatsächlich durch das schädigende Ereignis verlustig gegangen ist. Eine darüber hinaus gehende „strafende“ Wirkung bzw. das Verhängen von darüber hinaus gehenden Sanktionen ist hierzulande dem Strafrecht, welches in der Regel unter strengeren Voraussetzungen greift, vorbehalten.
Der weiten Schadensbegriffsauslegung ist auch das hohe Missbrauchspotential entgegenzusetzen, dass sich dadurch verwirklichen könnte, dass es zu einer kommerziellen Geltendmachung von Ansprüchen nach Art. 82 I DSGVO kommen könnte. Dem müsse jedenfalls dadurch ein Riegel vorgeschoben werden, dass nur ein tatsächlich vorliegender (wenn auch nicht-gegenständlicher) Schaden eingetreten sein muss. So sieht es bisher auch die Rechtsprechung der deutschen Gerichte, die eine eher zurückhaltende Auslegung des Schadensbegriffs in Art. 82 I DSGVO vornehmen.
Es muss also durch den Verstoß beim Betroffenen zu einer konkreten Verletzung des Persönlichkeitsrechts bekommen sein.
Teilweise wird bereits in der Rechtsprechung von einer Bagatellschwelle oder auch Erheblichkeitsschwelle ausgegangen. Die Verletzung des Persönlichkeitsrechts des Betroffenen dürfe also nicht „bloß unbedeutend“ oder nur „empfunden“ sein (AG Diez, ZD 2019, 85). Es seien „nachvollziehbare Beeinträchtigungen zu fordern, die ein gewisses Gewicht erreicht haben müssen“.
Hierfür spricht insbesondere, dass der Schadensersatzanspruch von wenigen Voraussetzungen abhängt und wohl auf der Ebene des Schadens einer Ausuferung der Ersatzpflicht entgegengewirkt werden muss.
Auch wird der Erwägungsgrund 85 der Verordnung als Argument herangezogen, der beispielhaft einige als ersatzfähig angesehene (immaterielle) Schäden aufzählt.
Nach Erwägungsgrund 85 sind ersatzfähige immaterielle Schäden wohl:
- - Verlust der Kontrolle über personenbezogene Daten
- - Einschränkung der eigenen Rechte über die Daten
- - Diskriminierung
- - Identitätsdiebstahl oder -betrug
- - Finanzielle Verluste
- - Unbefugte Aufhebung der Pseudonymisierung
- - Rufschädigung
- - Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten
- - Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene Person
Im Einklang mit dieser beispielhaften Aufzählung wird eine gewisse Erheblichkeitsschwelle für die Ersatzfähigkeit eines Schadens angenommen.
Zu beachten ist aber, dass es sich gerade nicht um eine Aufzählung von Regelbeispielen im Rahmen der gesetzlichen Regelung handelt, sondern um eine Ausführung zur Zielsetzung der Verordnung – also in ihren Erwägungsgründen. Es handelt sich somit weder um eine abschließende Aufzählung von immateriellen Schäden, noch um eine vom Verordnungsgeber als zwingend vorgegebene Regelung, an die sich die entscheidenden Gerichte zu halten haben. Diese Ausführungen können lediglich bei der Interpretation der Verordnung zu Rate gezogen werden.
Nach dem OLG Dresden sollen Bagatellschäden aber dennoch ersatzfähig sein, wenn diese Ausdruck einer bewussten, rechtswidrigen und weitreichend betriebenen Kommerzialisierung von Datenschutzverstößen seien. Hiermit solle dem Wirksamkeitsgrundsatz Rechnung getragen werden (OLG Dresden, 4 U 760/19).
IV. Beispiele aus der Rechtsprechung
Fundstelle | Verstoß | Höhe des Schadensersatzes |
LG Feldkirch, Beschl. v. 7.8.2019 – 57 Cg 30/19b – 15 (Österreich) (Berufung beim OLG Innsbruck anhängig) |
Ermittlung und Speicherung von Daten des Klägers ohne dessen Einwilligung | 800€ |
Rechtbank Amsterdam, Urt. v. 2.9.2019 – 7560515 CV EXPL 19-4611 (Niederlande) |
Unbefugte Offenlegung von Gesundheitsdaten | 250€ |
AG Bochum, Beschl. v. 11.3.2019 – 65 C 485/18 | Unverschlüsselt verschickte E-Mail | 0€ (weil weder dargelegt noch ersichtlich war, dass Dritten personenbezogene Daten bekannt geworden waren) |
V. Fazit & Ausblick
Für die Bestimmung des immateriellen Schadensbegriffs wird abzuwarten sein, welche Rechtsprechung sich durchsetzt – ggf. auch unter Anrufung des EuGH in einem entsprechenden Vorabentscheidungsverfahren (Art. 267 AEUV).
Es dürfte feststehen, dass zumindest zwischen einem Verstoß gegen die Verordnung und einem tatsächlich bestehenden Schaden unterschieden werden muss. Ein „automatischer“ Rückschluss vom Verstoß auf den Schaden ist wohl aufgrund der klaren Differenzierung der Voraussetzungen im Rahmen der Verordnung nicht zulässig.
Fraglich ist aber weiterhin, ob sich eine Bagatellschwelle tatsächlich durchzusetzen vermag – gerade hinsichtlich des Wirksamkeitsgrundsatzes und eben auch der vom EuGH gewünschten „abschreckenden“ Wirkung von Schadensersatz könnte dies problematisch sein. Eine derartige Einschränkung nur aufgrund eines (angeblich bestehenden) Missbrauchspotentials vorzunehmen, erscheint mehr als stark rechtspolitisch gefärbte Entscheidung als einer, die der Erreichung der Zielsetzung der DSGVO zu dienen vermag.
Im Ergebnis wird es wohl auf eine Entscheidung im jeweiligen Einzelfall ankommen und darauf, inwieweit das Vorliegen eines immateriellen Schadens durch die Kläger/innen hierzulande überzeugend dargelegt werden kann.
moreResultsText