Die Datenschutzgrundverordnung (DSGVO) bietet seit ihrer Einführung vor über vier Jahren Anlass zu zahlreichen Streitigkeiten an deutschen Gerichten. Dies gilt auch für den hochumstrittenen Schadensersatzanspruch aus Art. 82 DSGVO. Dennoch sprechen Gerichte Schadenersatzsummen von bis zu 5.000 EUR aus – pro Fall. Rechtssicherheit ist wohl nur durch den EuGH zu erwarten. Bis dahin stellen Schadenersatzforderungen wegen Datenschutzverstößen ein Risiko für Unternehmen dar. In diesem Beitrag geben wir einen Überblick über die aktuelle Diskussion.
Der Schadensersatzanspruch nach Art. 82 DSGVO
Art. 82 DSGVO sieht grundsätzlich „bei jedem Verstoß“ gegen die DSGVO einen Schadensersatzanspruch vor. Der Anwendungsbereich der Norm ist mithin denkbar weit. Es handelt sich hierbei um einen originär europarechtlichen Schadenersatzanspruch. Die Grundsätze des deutschen Rechts sind also nur sehr eingeschränkt übertragbar.
Ersetzt werden soll nach dem eindeutigen Wortlaut nicht nur der materielle Schaden, sondern auch der immaterielle Schaden, welcher im deutschen Recht bislang selten als ersatzfähig angesehen wird. In den Erwägungsgründen werden dabei einige mögliche ersatzfähige Schäden aufgezählt, darunter Identitätsdiebstahl, Rufschädigung, aber auch der bloße Verlust der Kontrolle über die eigenen Daten. Aus den Erwägungen kann abgeleitet werden, dass quasi jeder Verstoß gegen die DSGVO einen Schadenersatzanspruch für einen immateriellen Schaden nach sich zieht, wenn er zumindest ein ungutes Gefühl bei der betroffenen Person auslöst.
Besonders umstritten ist die Frage, ob es bereits ausreicht, dass personenbezogene Daten abhandengekommen sind und die betroffene Person quasi die Kontrolle darüber verloren hat oder ob die immaterielle Beeinträchtigung eine gewisse Erheblichkeitsschwelle überschreiten muss. Für Letzteres hat zuletzt der Generalanwalt am EuGH plädiert.
Was die Bemessung der Schadenshöhe angeht, bleibt diese gänzlich offen und den einzelnen Gerichten überlassen. Die bislang zugesprochenen Beträge variieren zwischen wenigen Hundert Euro bis zu mehreren Tausend Euro, wobei auch schon bei ausdrücklich „nicht sehr großen“ und „nicht erheblichen“ Schäden bis zu 5.000 Euro anerkannt wurden. Das Risiko für Unternehmen ist dabei besonders hoch, wenn Ansprüche im Zusammenhang mit Datenpannen geltend gemacht werden. Dann ist eine Vielzahl unterschiedlicher Personen betroffen, die alle einen potenziellen Schadenersatzanspruch geltend machen können. Aus Unternehmenssicht gilt es dann, einen Präzedenzfall zu vermeiden.
Mögliche Einschränkungen
Deutsche Gerichte haben bislang maßgeblich über zwei Voraussetzungen versucht, den Anspruch nach Art. 82 DSGVO sinnvoll zu begrenzen. Zum einen wird diskutiert, ob tatsächlich jede Verletzung einer Regelung der DSGVO dazu führen kann, dass ein Schadenersatzanspruch entsteht oder ob es nicht vielmehr nur auf solche Regelungen ankommen kann, die tatsächlich die Verarbeitung von Daten betreffen, also insbesondere die Rechtsgrundlagen des Art. 6 DSGVO. So wurde in der bisherigen Rechtsprechung teils eine Einschränkung dahin gehend vorgenommen, dass ein Anspruch lediglich bei einer fehlerhaften „Datenverarbeitung“ in Betracht komme. Dies könne den Erwägungsgründen der DSGVO entnommen werden. Andere Stimmen in der Literatur und Rechtsprechung sind jedoch der Ansicht, dass auch ein Verstoß gegen andere Vorschriften der DSGVO ausreichen kann (so etwa ArbG Herne, 5 Ca 178/20); teilweise werden jegliche Verstöße gegen die DSGVO einschließlich der Formvorschriften als ausreichend erachtet (so LAG Niedersachsen, 16 Sa 761/20).
Zum anderen haben manche Gerichte das weitere Kriterium einer Erheblichkeitsschwelle zur Einschränkung eingeführt. Diese zusätzlich geschaffene Voraussetzung ist jedoch weder nach dem Wortlaut noch in den Erwägungsgründen des Art. 82 DSGVO vorgesehen. So setzte etwa das AG Frankfurt am Main voraus, dass der Kläger gesellschaftliche, persönliche oder sonstige Nachteile zu seiner Person erlitten habe (385 C 155/19 (70)). Das Erfordernis einer konkreten und spürbaren Beeinträchtigung bei der betroffenen Person findet sich auch in Entscheidungen des OLG Bremen (1 W 18/21) oder des OLG Stuttgart (9 U 34/21) wieder. Anders sah es das ArbG Neumünster und betonte in seiner Begründung die Abschreckfunktion des Art. 82 DSGVO und den Zweck, Verstöße effektiv sanktionieren zu können (1 Ca 247 c/20) (so auch das LAG Hamm, 6 Sa 1260/20).
Jüngste Entscheidungen
Beispielhaft für die verbraucherfreundliche Tendenz der Rechtsprechung, welche zu einer größeren Klagewelle führen könnte, ist auch das Verfahren gegen das FinTech-Unternehmen Scalable Capital. In diesem Verfahren erhielt nun im August 2022 – laut Europäischer Gesellschaft für Datenschutz (EuGD) erstmalig in der EU – ein Betroffener eines Datenlecks rechtskräftig Schadensersatz nach Art. 82 DSGVO. Scalable Capital hatte zuvor seine Berufung gegen das Urteil des LG München zurückgenommen. Das LG ging davon aus, dass dem Kläger aufgrund eines Datenlecks ein immaterieller Schaden entstanden sei. Im Rahmen des Lecks waren Adress-, Ausweis-, Steuer- und Kontodaten entwendet und weitergegeben worden. Das Gericht hielt die Sicherheitslücke, durch die es zu dem Datenleck kam, für vermeidbar. Unterstützt wurde der Kläger in dem Verfahren durch die EuGD, welche als Onlineplattform dafür wirbt, Ansprüche nach Art. 82 DSGVO für Verbraucher kostenlos überprüfen zu lassen und die Anspruchsdurchsetzung an spezialisierte Klägerkanzleien zu vermitteln. Im Gegenzug erhält die EuGD im Erfolgsfall eine Provision.
Die Entscheidung des LG München kann jetzt schon als „Warnschuss“ für Unternehmen verstanden werden. So zeichnet sich mehr und mehr ab, dass die bislang vereinzelten verbraucherfreundlichen Entscheidungen zu Art. 82 DSGVO Symptome einer größeren Entwicklung sind, an deren Ende sogar DSGVO-Massenverfahren stehen könnten.
Der EuGH wird im Rahmen mehrerer aktueller Vorlagefragen in absehbarer Zeit darüber entscheiden, worin schadensersatzfähige Verstöße gegen die DSGVO liegen können. Ferner wird sich der EuGH mit den Fragen beschäftigen müssen, ob der Kläger einen über die reine Verletzung hinausgehenden Schaden darlegen muss, wie die Höhe des immateriellen Schadenersatzes zu bemessen ist und ob der Schadenersatzanspruch tatsächlich eine Erheblichkeitsschwelle voraussetzt. Schließlich wird er zu der Frage Stellung nehmen müssen, ob der Schadensersatzanspruch verschuldensunabhängig ist.
Konsequenzen für die Praxis
Bis es eine gefestigte Rechtsprechung zu Art. 82 DSGVO gibt, ist zu erwarten, dass jegliche denkbaren Verstöße und Anspruchshöhen durch Klägerkanzleien versuchsweise geltend gemacht werden. Die Vorlagebeschlüsse und verbraucherfreundlichen Gerichtsurteile der letzten Monate bieten dabei eine durchaus komfortable Argumentationsgrundlage, welche durch die Bestätigung des EuGH noch verstärkt werden könnte. Schon jetzt zeichnet sich zudem ein Trend hin zu größeren Schadensersatzsummen aus der DSGVO ab, vor dem Unternehmen sich wappnen sollten.
Im Fall von Datenlecks müssen sich Unternehmen auf Massenklagen im Bereich von Schadensersatzansprüchen nach Art. 82 DSGVO einstellen. Dies kann zum einen geschehen durch mehrere Einzelverfahren der betroffenen Verbraucher selbst, die in der Regel durch Legal-Tech gestützte, auf Massenverfahren spezialisierte Verbraucherkanzleien vertreten werden. Zum anderen können Betroffene ihre Ansprüche an spezielle Dienstleister abtreten, die diese in gebündelten Verfahren geltend machen. In der Regel handelt es sich bei diesen Dienstleistern um Verbraucherplattformen, welche sich – ebenso wie sonstige Verbraucherkanzleien – die massenweise Durchsetzung von Klagen zum Geschäftsmodell gemacht haben und von denen schon jetzt einige in den Startlöchern stehen.
Unternehmen sollten sich daher schon frühzeitig und umfassend zu ihren Haftungsrisiken beraten lassen. Idealerweise ist ein Unternehmen so aufgestellt, dass Datenschutzverstöße gar nicht erst zum Thema werden. Sinnvolle Maßnahmen sind hier etwa die umfassende Dokumentation aller Datenschutzmaßnahmen in einem Unternehmen und eine gründliche Überprüfung der internen Datenschutzstrategie. Sollte es dennoch zu potenziellen Haftungsfällen kommen, können sich aufgrund der zu erwartenden Massenklagen neben der juristischen Beratung vor allem eine gute Prozessorganisation und der Einsatz von Legal Tech bezahlt machen.
(Gastautoren: Christian Kuss, LL.M.; Rechtsanwalt, Partner; Luther Rechtsanwaltsgesellschaft mbH & Katharina Klenk-Wernitzki, Rechtsanwältin; Luther Rechtsanwaltsgesellschaft mbH)
Bildquellen
- DSGVO: Bild von Benedikt Geyer auf Pixabay