Schadensersatz und Schmerzensgeld nach der EU-Datenschutzgrundverordnung (DSGVO)

Lesezeit: ca. 7 Minuten

In den Diskussionen um die Einführung der EU-Datenschutzgrundverordnung (DSGVO) richtet sich der Fokus vor allen Dingen auf die hohen Geldbußen, die in Art. 83 DSGVO festgeschrieben sind. In zwei Stufen hat der Gesetzgeber festgelegt, dass bei Verstößen gegen die DSGVO in einem Rahmen bis zu 10.000.000 oder in der zweiten Stufe bis zu 20.000.000 Euro oder für Unternehmen im Rahmen eines Bußgeldes bis 2 % des weltweiten Jahresumsatzes und in einer zweiten Stufe bis 4 % des weltweiten Jahresumsatzes Geldstrafen festgelegt werden können.

Daneben darf nicht außer Acht gelassen werden, dass zusätzlich zu den Geldbußen nach Art. 83 DSGVO auch Schadensersatzansprüche nach Art. 82 DSGVO von Betroffenen geltend gemacht werden können. Diese Schadensersatzansprüche betreffen sowohl Unternehmen als auch Behörden.

Bei den Geldbußen haben der Bundesgesetzgeber und auch viele Landesgesetzgeber die in der Datenschutzgrundverordnung vorgesehene Ausnahmeregelung genutzt und gesetzlich festgelegt, dass gegenüber Behörden keine Geldbußen verhängt werden dürfen. Art. 82 und die darin festgelegten Schadensersatzansprüche können aber nicht eingeschränkt werden.

Bisher war es Betroffenen nur möglich, einen materiellen Schadensersatzanspruch geltend zu machen. Dieser scheiterte in der Praxis immer wieder daran, dass Betroffene einen konkreten Schaden nicht nachweisen konnten. Nunmehr hat die DSGVO den Schadensersatzanspruchsrahmen erweitert und lässt auch Schmerzensgeldansprüche aufgrund von Verstößen gegen die DSGVO zu.

Insbesondere einzelne Kunden oder Mitarbeiter eines Unternehmens und auch einer Behörde haben hier die Möglichkeit, eigene Ansprüche durchzusetzen. In Verbindung mit den nunmehr möglichen Sammelklagen können solche Ansprüche sowohl für Unternehmen als auch für Behörden finanziell äußerst unangenehm werden.

Beweislast bei Verstößen gegen die DSGVO

Wenn Behörden oder Unternehmen die Vorgaben der DSGVO nicht umfassend umsetzen, drohen Schadensersatzforderungen und Schmerzensgeldansprüche. Solche Ansprüche können sowohl von Kunden, Geschäftspartnern oder Mitarbeitern sowie sonstigen natürlichen Personen, beispielsweise auch Bewerbern, geltend gemacht werden. Nach dem Wortlaut des Art. 82 Abs. 1 DSGVO kann jeder Verstoß gegen die DSGVO einen Schadensersatzanspruch begründen. Insbesondere die Informationspflichten bieten sich für entsprechende finanzielle Forderungen an.

Wenn Betroffene wegen tatsächlicher oder angeblicher Datenschutzverstöße oder anderer Missachtungen der DSGVO Schmerzensgeldansprüche geltend machen, stellt sich die Frage, wer die Anspruchsgrundlagen beweisen muss.

Grundsätzlich gilt nach den deutschen zivilprozessualen Beweislastregelungen, dass entsprechende Verstöße vom Anspruchsteller bewiesen werden müssen. Dies führte in der Vergangenheit häufig dazu, dass entsprechende Ansprüche nicht durchgesetzt werden konnten, da ein Beweis nicht vollständig und gerichtsfest erbracht werden konnte. Zuständig für Schmerzensgeldansprüche und Schadensersatzansprüche sind die Zivilgerichte.

Mit der DSGVO wurde ein sogenanntes „Rechenschaftsprinzip“ eingeführt. Nach Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO muss der Verantwortliche, sprich die Behörde oder das Unternehmen, nachweisen können, dass die Vorgaben der Verordnung eingehalten worden sind. Daraus wird gefolgert, dass hier eine Beweislastumkehr hinsichtlich der Verletzungshandlung vorliegt, die auch die Regelungen der Zivilprozessordnung ändert. Hier ist die Frage, ob die in der Normenhierarchie höhere europäische Verordnung die nationalen Zivilprozessgesetze „überstimmt“. Als Gegenargument wird angebracht, dass das Rechenschaftsprinzip für das Verfahren von den Datenschutzbehörden konzipiert wurde und die Zivilprozesse nicht ausdrücklich im Blick hatte und regelt. Es bleibt abzuwarten, wie die europäischen Gerichte das Zusammenspiel des Rechenschaftsprinzips und der Zivilprozesse zukünftig fassen werden.

Allerdings ist beispielsweise bei den Informationspflichten nach Art. 13 und Art. 14 DSGVO der Nachweis zivilprozessual relativ leicht, dass die Informationspflichten nicht eingehalten worden sind. Der Betroffene behauptet, dass er nicht ausreichend oder überhaupt nicht entsprechend den gesetzlichen Vorgaben Informationen erhalten hat, beispielsweise über den Zweck der Verarbeitung, die Rechtsgrundlage oder die Speicherdauer. Dann wird der Verantwortliche, sprich das Unternehmen oder die Behörde, nachweisen müssen, dass eine entsprechende Information übersandt wurde. Die Beweislast bei den Informationspflichten liegt faktisch bei dem Unternehmen oder der Behörde.

Daneben kann ein Betroffener über Art. 15 DSGVO ein umfassendes Auskunftsrecht geltend machen. Dabei muss der Verantwortliche der betroffenen Person Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, überlassen. Dann lässt sich auf Basis dieser durch Art. 15 DSGVO erlangten Informationen eine ausreichende Begründung für einen Schadensersatzanspruch erreichen.

Aktivlegitimation und Passivlegitimation nach DSGVO

Art. 82 Abs. 1 DSGVO gewährt jeder Person einen Schadensersatzanspruch, die aufgrund eines Datennutzverstoßes einen Schaden erlitten hat. Es liegt eine Begrenzung auf natürliche Personen vor. Dabei ist der Begriff nicht identisch mit der Definition des „Verbrauchers“. Kaufleute können sich insoweit auf die DSGVO berufen. Juristische Personen selbst können hingegen grundsätzlich keine Ansprüche nach Art. 82 DSGVO geltend machen.

Unabhängig davon bestehen aber durchaus rechtliche Möglichkeiten, auf Basis des Wettbewerbsrechts durch wettbewerbsrechtliche Abmahnungen Verstöße gegen die DSGVO bei Mitbewerbern anzugreifen.

Anspruchsgegner ist der Verantwortliche oder der Auftragsverarbeiter

In Art. 82 Abs. 1 DSGVO wird als Anspruchsgegner eines Schadensersatzanspruches nach dem Wortlaut sowohl der „Verantwortliche“ als auch der „Auftragsverarbeiter“ genannt. Der Verantwortliche ist in Art. 4 Nr. 7 DSGVO und der Auftragsverarbeiter in Art. 4 Nr. 8 DSGVO definiert. Der Auftragsverarbeiter haftet nur dann, wenn ihm der Vorwurf hinsichtlich seiner Pflichten gemacht werden kann, er habe die DSGVO verletzt oder Weisungen des Verantwortlichen nicht beachtet. So können beispielsweise Zulieferer, die eigentlich keinen direkten Kundenkontakt haben, in den Fokus von Schadensersatzansprüchen oder Schmerzensgeldern geraten. Kann ein Verstoß gegen die DSGVO mehreren zugerechnet werden, so haften Verantwortlicher und auch Verarbeiter im Außenverhältnis als Gesamtschuldner. So regelt dies Art. 82 Abs. 4 DSGVO.

Verschulden und Schaden nach DSGVO und ZPO

Der weite Haftungstatbestand aus Art. 82 DSGVO wird in den nachfolgenden Absätzen, insbesondere in den Absätzen 2 und 3, eingeschränkt. Der Anspruchsgegner kann sich entlasten und darlegen, dass ihn kein Verschulden trifft. Dazu muss er nachweisen, dass er sämtliche die DSGVO betreffenden Sorgfaltsanforderungen erfüllt hat. Dazu ist es notwendig, eine möglichst vollständige Dokumentation der Umsetzung der DSGVO und der damit verbundenen Maßnahmen und Prozesse darzulegen. Diese Dokumentation wird auch mit Blick auf die Aufsichtsbehörden dringend erforderlich sein. Die Erwartungshaltung bei den Schmerzensgeldansprüchen ist, dass entsprechende Sanktionierung eine effektive Durchsetzung europarechtlicher Regelungen gewährleisten soll.

Bisher waren Verstöße gegen den Datenschutz häufig dadurch gekennzeichnet, dass keine konkret bezifferbaren Vermögensschäden entstanden sind. In der DSGVO selbst finden sich keine konkreten Hinweise zu dem Umfang und der Höhe eines immateriellen Schadens. Dies führt in der Praxis dazu, dass die Bemessung derartiger Ersatzforderungen häufig gemäß § 287 ZPO in das pflichtgemäße Ermessen des Gerichts gestellt werden. Dabei orientieren sich die deutschen Gerichte vor allem an der Dauer, der Art und der Schwere der Beeinträchtigung. Bisher wurden Schmerzensgeldansprüche bei Datenschutzverstößen nur in Ausnahmefällen zugesprochen. Dies betraf beispielsweise Videoüberwachungen am Arbeitsplatz, wo Schmerzensgeldansprüche zwischen 1.000 Euro und 7.000 Euro ausgeurteilt worden sind. Welche Dimensionen Schmerzensgeldansprüche haben können, wird beispielsweise in der Entscheidung des Landgerichts Köln deutlich, das dem ehemaligen Bundeskanzler Kohl 1.000.000 Euro wegen unzulässiger Veröffentlichung von Zitaten aus Tonbandprotokollen zugesprochen hat.

Neben den oben beschriebenen Kriterien für die Bemessung eines Schmerzensgeldanspruchs und immateriellen Schadens sind auch der Genugtuungs- und der Präventionsgedanke sowie die betroffene Sphäre bei der Bemessung zu berücksichtigen.

Es wird diskutiert, ob die deutschen Gerichte bei der Bemessung des immateriellen Schadensersatzanspruchs auch die Bußgelder und deren Zumessungskriterien nach Art. 83 Abs. 2 DSGVO berücksichtigen müssen. Hier wird unter anderem auf die Art, die Schwere, die Dauer des Verstoßes, den Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens und auch auf frühere einschlägige Verstöße abgestellt.

Wenn dieser Kriterienkatalog so umfassend angewandt wird, müssen die Gerichte nachweisen können, dass ein gutes Datenschutzmanagement vorhanden ist und somit nicht mit entsprechenden Datenschutzverstößen zu rechnen war.

Ggf. kann auch der Europäische Gerichtshof konkretere Maßstäbe für die Bemessung immaterieller Schäden entwickeln. Hier ist zu erwarten, dass die datenschutzfreundliche Haftung, von der der Europäische Gerichtshof bisher ausgeht, erhalten bleibt. Auch sehen die europäischen Gerichte bisher eine Bagatellgrenze immaterieller Beeinträchtigung vor, unter der Schadensersatzansprüche ausscheiden. Letztendlich ist aber unklar, wohin die „prozessuale Reise“ mit Blick auf den immateriellen Schadensersatzanspruch geht. Ob letztendlich eine „datenschutzrechtliche Klageindustrie“ entsteht, wie teilweise in der juristischen Literatur erörtert wird, ist abzuwarten.

Kausalität

Bei einem Verstoß gegen die DSGVO ist die Erfordernis der Kausalität bereits aus dem Wortlaut des Art. 82 Abs. 1 DSGVO zu entnehmen. Voraussetzung ist, dass ein Schaden äquivalent und adäquat kausal durch die Rechtsgutverletzung verursacht wurde. Dies ist beispielsweise bei den Informationspflichten leicht darzustellen. Dagegen fehlt es beispielsweise an einer Kausalität, wenn eine rechtmäßige Bonitätsauskunft der Schufa zu einer Kreditkündigung führt. Dann liegt keine Kausalität eines Rechtsverstoßes für den Schaden, sprich die Kreditkündigung, vor.

Mitverschulden des Betroffenen bei einem Verstoß gegen DSGVO

Die DSGVO selbst enthält keine Regelung zum Mitverschulden. Die juristische Frage ist, ob es eine Analoganwendung des § 254 BGB gibt, die dann den Einwand eines Mitverschuldens des Betroffenen ermöglicht. Wenn beispielsweise ein Nutzer schwache Passwörter verwendet, kann dies ein Fall des Mitverschuldens sein. Hier wird ebenfalls abzuwarten sein, wie die Gerichte sich positionieren.

Insgesamt ist also festzustellen, dass das Thema immaterielle Schäden und Schmerzensgeldansprüche sowie Schadensersatzansprüche ebenfalls durchaus ein „Bedrohungsszenario“ ist, dass Unternehmen und Behörden ernst nehmen sollten.

Insbesondere die Informationspflichten eignen sich für entsprechende rechtliche Ansprüche.

Wir empfehlen daher Unternehmen und Behörden, unbedingt die Informationspflichten nach Art. 13 und Art. 14 DSGVO möglichst umfassend und vollständig umzusetzen.

Gern unterstützen wir Unternehmen und Behörden bei der Einführung und Umsetzung der DSGVO. Wir sind bundesweit tätig.

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 4 Bewertung(en), durchschnittlich: 4,25 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien



Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen