Veröffentlicht von:
DSGVO - Schadensersatz Art. 82 Abs.1 DSGVO - "tickende Zeitbombe", nicht nur für Arbeitgeber und Versicherungen
- 5 Minuten Lesezeit
Das BAG bestätigt in einem Vorlagebeschluss vom 26.08.2021 an den EuGH …. „VERSCHULDENSUNABHÄNGIGEn SCHADENENSERSATZ nach Art 82 I EU – DSGVO“ … "bei jedem Verstoss gegen die DSGVO".
Relevant und "brisant" ist dies in allen „Verbraucher“ Versicherungsstreitigkeiten gegen Versicherungen , im Arbeitsrecht, und weiter auch in sehr vielen anderen Zivilrechtsgebieten
- schon bei intransparentem Geschäftsgebarren von Versicherungen, Arbeitgebern und anderen Datenverarbeitern.
Wie bereits unter Sanktionen & Haftungsrisiken in der DSGVO erleutert, begründet Art. 82 I Schadensersatzansprüche
Mit Vorlagebeschluss des BAG an den EugH
- BAG Beschluss vom 26.08.2021, 8 AZR 253/20 (A)
https://www.bundesarbeitsgericht.de/entscheidung/8-azr-253-20-a/.
bestätigt das Bundesarbeitsgericht, dass
- JEDER Verstoss gegen die DSGVO einen Anspruch auf materiellen UND immateriellen Schadensersatzanspruch,
- „ …. für Personen vorsieht, die selbst wegen der Verletzung einer oder mehrerer Bestimmungen der DSGVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DSGVO) in ihren (subjektiven) Rechten verletzt worden sind, die also selbst Opfer eines Verstoßes bzw. mehrerer Verstöße gegen die DSGVO geworden sind“ (Rz 33 Beschlussgründe),
- bereits OHNE, dass „eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegen (muss), die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht“ (Rz 33 Beschlussgründe),
- und „ …die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten (sollen) … UND. dass ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden soll …. .wobei vermutlich eine wirklich abschreckende Wirkung – gegebenenfalls mit spezial- bzw. generalpräventivem Charakter – zu gewährleisten, zugleich aber der allgemeine Grundsatz der Verhältnismäßigkeit zu wahren (ist).“ (Rz 36 Beschlussgründe).
Weiter stellt das Bundesarbeitsgericht auf der Verschuldensseite klar, dass
- § 276 BGB nicht Anwendung findet, sondern
- „dass die Haftung des Verantwortlichen (bzw. Auftragsverarbeiters) nach Art. 82 Abs. 1 DSGVO verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht“. (Rz 39 Beschlussgründe).
Anders, als in der nachfolgenden (aelteren) Übersicht von mir, kann sich der Arbeitgeber nach Ansicht des BAG "faktisch"nicht mehr , oder nur noch ganz ausnahmsweise, entlasten = "exculpieren".
2. Zum Kern von Art. 82 I DSGVO führt das Bundesarbeitsgericht wörtlich unter anderem folgendes auf Rz 33 – 40 der Beschlussgründe an (Fetthervorhebungen durch den Verfasser):
Insoweit geht der Senat in Kenntnis des Vorabentscheidungsersuchens des Obersten Gerichtshofs (Österreich) (- C-300/21 -) davon aus, dass Art. 82 Abs. 1 DSGVO ein Recht auf Schadenersatz nur für Personen vorsieht, die selbst wegen der Verletzung einer oder mehrerer Bestimmungen der DSGVO bei der Verarbeitung „ihrer“ personenbezogenen Daten (vgl. 2. Erwägungsgrund der DSGVO) in ihren (subjektiven) Rechten verletzt worden sind, die also selbst Opfer eines Verstoßes bzw. mehrerer Verstöße gegen die DSGVO geworden sind. Ferner geht der Senat davon aus, dass der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO über eine solche Verletzung der DSGVO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Sie muss also aus Sicht des Senats keine „Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht“ (vgl. dazu jedoch die dritte Vorlagefrage des Vorabentscheidungsersuchens des Obersten Gerichtshofs (Österreich) – C-300/21 -) darlegen. Nach Auffassung des Senats führt demnach bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden.
…
6. Zur vierten Frage
Mit seiner vierten Vorlagefrage möchte der Senat wissen, ob Art. 82 Abs. 1 DSGVO neben seiner Ausgleichsfunktion zudem spezial- bzw. general-präventiven Charakter hat und ob der Senat dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen (bzw. Auftragsverarbeiters) zu berücksichtigen hat.
Nach dem 146. Erwägungsgrund der DSGVO sollen die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Dabei geht der Senat davon aus, dass bei der Bemessung des immateriellen Schadenersatzes durch das Gericht alle Umstände des Einzelfalls zu berücksichtigen sind – hier gegebenenfalls auch die spätere Kündigung des Arbeitsverhältnisses des Klägers – und dass ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden soll. Deshalb könnte es darauf ankommen, dass – wie in anderen Bereichen des Unionsrechts – die Höhe eines immateriellen Schadenersatzes der Schwere des mit ihm geahndeten Verstoßes gegen die DSGVO entspricht, wobei vermutlich eine wirklich abschreckende Wirkung – gegebenenfalls mit spezial- bzw. generalpräventivem Charakter – zu gewährleisten, zugleich aber der allgemeine Grundsatz der Verhältnismäßigkeit zu wahren wäre(vgl. zu anderen Bereichen des Unionsrechts etwa: EuGH 15. April 2021 – C-30/19, EU:C:2021:269 – [Braathens Regional Aviation] Rn. 38; 25. April 2013 – C-81/12, EU:C:2013:275 – [Asociatia ACCEPT] Rn. 63).
…
7. …
Mit seiner fünften Vorlagefrage möchte der Senat wissen, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen (bzw. Auftragsverarbeiters) ankommt. In diesem Zusammenhang ist insbesondere fraglich, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen (bzw. Auftragsverarbeiters) zu dessen Gunsten berücksichtigt werden darf.
Diese Frage stellt sich für den Senat insbesondere vor dem Hintergrund des deutschen Zivilrechts, in dem es neben verschuldensunabhängigen Haftungstatbeständen auch verschuldensabhängige gibt, wobei das Verschulden im nationalen allgemeinen Schuldrecht mit „Vertretenmüssen“ bezeichnet wird. Insoweit ist in § 276 Abs. 1 Satz 1 BGB geregelt, dass der Schuldner in der Regel Vorsatz und Fahrlässigkeit zu vertreten hat, wenn nicht eine strengere oder mildere Haftung bestimmt ist. Würde für Art. 82 Abs. 1 DSGVO ähnliches gelten, müsste für eine Haftung zu dem bloßen Verstoß gegen die DSGVO etwas Weiteres hinzutreten, nämlich die subjektive Vorwerfbarkeit wegen Vorsatz oder Fahrlässigkeit. Der Senat nimmt allerdings an, dass die Haftung des Verantwortlichen (bzw. Auftragsverarbeiters) nach Art. 82 Abs. 1 DSGVO verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht(vgl. zu anderen Bereichen des Unionsrechts etwa: EuGH 22. April 1997 – C-180/95, EU:C:1997:208 – [Draehmpaehl] Rn. 17; 8. November 1990 – C-177/88, EU:C:1990:383 – [Dekker] Rn. 22). Wie unter Rn. 33 ausgeführt, geht der Senat davon aus, dass bereits die Verletzung der DSGVO als solche für einen Anspruch nach Art. 82 Abs. 1 DSGVO ausreicht.
Schließlich ist der Senat der Auffassung, dass sich insoweit aus Art. 82 Abs. 3 DSGVO nichts Abweichendes ergibt. Die darin enthaltene Bestimmung, wonach bei Nachweis der Nichtverantwortlichkeit für den Umstand, durch den der Schaden eingetreten ist, eine Befreiung von der Haftung eintritt, betrifft nach Auffassung des Senats nicht das Verschulden im Sinne eines „Vertretenmüssens“. Art. 82 Abs. 3 DSGVO betrifft vielmehr lediglich die Frage nach einer „Beteiligung“ (im Sinne von: „beteiligt“ oder „nicht beteiligt“) – etwa in von außen schwer durchschaubaren Datenverarbeitungszusammenhängen mit mehreren potentiellen Beteiligten – bzw. die Frage nach der Urheberschaft im Sinne der Kausalität. Letzteres kann beispielsweise anzunehmen sein, wenn der haftungsbegründende Umstand auf einem unzulässigen Zugriff eines Dritten beruht, der trotz aller gebotenen Sicherheitsmaßnahmen Erfolg hatte (Däubler in Däubler/Wedde/Weichert/Sommer EU-DSGVO und BDSG 2. Aufl. DSGVO Art. 82 Rn. 24 mwN).
Artikel teilen: