Immaterieller Schadensersatz bei DSGVO-Verstößen

Das neue Datenschutzrecht gibt Betroffenen einer Datenschutzverletzung die Möglichkeit, Schadensersatz über Art. 82 der DSGVO geltend zu machen. Davon umfasst werden zum einen materielle, aber auch immaterielle Schäden. In der bisherigen Rechtsprechungspraxis wird sich vor allem um die immateriellen Schäden gestritten. Deutsche Gerichte – generell eher zurückhaltend bei der Ausurteilung von Schmerzensgeld bei Datenschutz- und Persönlichkeitsrechtsverletzungen – schwenken jetzt zunehmend um.

Voraussetzungen eines Schadensersatzanspruchs

Anders als nach dem alten Datenschutzrecht besteht nunmehr nach der neuen Rechtslage nicht nur in Sonderfällen ein Anspruch auf Ersatz immaterieller Schäden. Der Begriff des Schadens wird In der Gesetzesbegründung zur DSGVO ganz bewusst weit ausgelegt. Ziel ist es einerseits, dass Betroffene einer Datenschutzverletzung alle erlittenen Schäden vollständig ersetzt bekommen sollen. Andererseits soll der Schadensersatz auch so hoch bemessen sein, dass ihm eine „abschreckende Wirkung“ zukommt. Dies klingt eher nach dem anglo-amerikanischen Rechtssystem, in dem ein sog. Strafschadensersatz (punitive damages) existiert.

Ob und in welcher Höhe ein immaterieller Schadensersatzanspruch besteht, entscheidet im deutschen Recht das Gericht nach § 287 ZPO im Einzelfall. Nach den Erwägungsgründen Nr. 75 und 85 zur DSGVO kommt insbesondere in folgenden Fällen ein Schadensersatzanspruch in Betracht: Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erhebliche wirtschaftliche oder gesellschaftliche Nachteile können zu einem Schadensersatzanspruch führen.

Deutsche Gerichte nehmen vielfach eine sog. „Bagatellgrenze“ an. Diese findet sich in der DSGVO nicht wieder und beruht eher auf der traditionellen deutschen Rechtsprechung zum Schmerzensgeld.

Inzwischen mehren sich die Urteile deutscher Gerichte zu dieser Thematik, die ein Fingerzeig für die Anwendung der Rechtsgrundlage sind.

Abschreckende Wirkung ausdrücklich erwünscht

In einem Verfahren vor dem Arbeitsgericht Dresden wurde dem Kläger ein immaterieller Schadensersatz in Höhe von 1.500 Euro zugesprochen, weil der Arbeitgeber Gesundheitsdaten ohne ausreichende Rechtsgrundlage an Behörden weitergegeben hatte (ArbG Dresden, Urteil vom 26. August 2020, 13 Ca 1046/20). Das Gericht begründete die Höhe des Schadensersatzes vor allem mit der gewünschten Abschreckungswirkung.

Auch das Amtsgericht Pforzheim sprach einem Kläger einen immateriellen Schadensersatz von 4.000 Euro zu. Hier hatte ein Psychotherapeut Gesundheitsdaten entgegen  Art. 9 DSGVO verarbeitet und weitergegeben (AG Pforzheim, Urteil vom 25. März 2020, 13 C 160/19).

Anforderungen an den Ersatz immaterieller Schäden

Aber nicht jeder Datenschutzverstoß führt nach Ansicht der Gerichte unmittelbar zu einem Schadensersatzanspruch. Voraussetzung ist in jedem Fall, dass der Betroffene einer Datenschutzverletzung darlegen muss, worin die Beeinträchtigung liegt. Allein der Umstand, dass die Daten eines Betroffenen (im konkreten Fall: Name, Anschrift, Geburtsdatum und Kreditkartennummer) nach einem Datenleck bei einem Unternehmen im Internet veröffentlicht waren, reicht nach Ansicht des Amtsgericht Hamburg-Barmbek nicht aus für einen immateriellen Schadensersatz (AG Hamburg-Barmbek, Urteil vom 18. August 2020, 816 C 33/20).

Anders das Arbeitsgericht Düsseldorf: wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren, steht nach Ansicht der Düsseldorfer Richter dem Betroffenen ein Schadensersatz zu kontrollieren (ArbG Düsseldorf, Urteil vom 5. März 2020, 9 Ca 6557/18). Geklagt hatte ein Betroffener gegen seinen ehemaligen Arbeitgeber, der den geltend gemachten Auskunftsanspruch gem. Art. 15 DSGVO nicht erfüllt hatte. Der Kläger bekam in diesem Fall ein Schmerzensgeld von 5.000 Euro zugesprochen.

Auch die Preisgabe von personenbezogenen Daten an Dritte kann zu einem Schadensersatzanspruch führen. Ein Bewerber bekam vom Landgericht Darmstadt einen immateriellen Schadensersatz von 1.000 Euro zugesprochen, weil das beklagte Unternehmen eine Nachricht mit der Gehaltsvorstellung des Bewerbers versehentlich an einen Dritten versandte (LG Darmstadt, Urteil vom 26. Mai 2020, 13 O 244/19).

Strafschadensersatz damit auch im deutschen Recht?

Die einzelnen Beträge wirken auf zunächst noch nicht bedrohlich für Unternehmen. Dabei muss man aber bedenken, dass sich Datenschutzverstöße oft bei einer Vielzahl von Personen gleichzeitig auswirken können. Somit können sich schnell ganz erhebliche oder sogar existenzbedrohende Schadensersatzbeträge summieren – mögliche Bußgelder noch gar nicht berücksichtigt.

Die Gerichte begründen die im Einzelfall empfindlichen Schadensersatzbeträge unter anderem mit dem europarechtlichen Effektivitätsprinzip. Verstöße sollen danach effektiv sanktioniert werden und Schadenersatz bei Datenschutzverstößen eine abschreckende Wirkung haben, damit der Datenschutzgrundverordnung zum Durchbruch verholfen wird.

Bei den hier angeführten Urteilen handelt es sich um erstinstanzliche Entscheidungen. Ob die Argumentationen der Nachprüfung in zweiter Instanz Stand halten, wird die Zeit zeigen. In jedem Fall sollten sich Unternehmen auf eine erhöhte Anzahl von Klagen einstellen, wenn es zu Datenschutzverstößen kommt. Die korrekte Umsetzung der datenschutzrechtlichen Regelungen gewinnt auch aus diesem Grund daher wieder an Bedeutung.