Schadensersatz im Datenschutzrecht
Urteile zu Schadensatzforderungen nach Art. 82 DSGVO, § 83 BDSG
Also ehrlich: Ihr Schaden ist doch nur eine Bagatelle!
Schadensersatz nach Art. 82 DSGVO und § 83 BDSG – Kennen Sie das Sprichwort: „Wer den Schaden hat, braucht für den Spott nicht zu sorgen“?
Daran fühlt man sich bei der einen oder anderen Gerichtsentscheidung erinnert: Da versendet eine Bank Kontoauszüge an einen falschen Empfänger. Der Kunde ist verständlicherweise „not amused“. Alles halb so gar nicht schlimm, urteilt das Gericht. Das ist doch eine Bagatelle und kein Schaden. Und damit auch kein Schadensersatz.
Anderer Fall: Ein Arbeitgeber legt unbefugt Gesundheitsdaten einer Arbeitnehmerin offen.
Oder die Personalakte eines Beschäftigten wird ohne Einwilligung an US-Behörden vollständig übermittelt. Das ist nun wirklich keine Bagatelle, sondern ein Riesending. Schließlich ist ja selbst Facebook an den Datenübermittlung in die USA (also einem unsicheren Drittland!) am Bußgeld (wohl) verzweifelt. Und wenn die IP-Adresse ohne Einwilligung in die USA übertragen werden, gibt es auch richtig Ärger und natürlich Bußgelder. Und Abmahnungen der werten Wettbewerber. Selbst bei einem Cookie-Banner droht Ärger.
Da muss es doch bei der Übermittlung der vollständigen Personalakte ohne Rechtsgrundlage so richtig hohe Summen „hageln“ oder?
Weit gefehlt: 1.250 EUR sind nach Auffassung des Gerichtes ein angemessener Schadensersatz.
Bei der unbefugten Offenlegung der Gesundheitsdaten waren es 250 EUR — die Entscheidung kommt zwar aus den Niederlanden (Rechtbank Amsterdam, Urt. v. 2.9.2019 – 7560515 CV EXPL 19–4611) — aber so hätten wohl auch deutsche Gerichte entschieden. Das Gericht meint hierzu, dass 250 EUR für die durchlittenen Ängste und den empfundenen Stress ausreichen. Bei der unbefugten Offenlegung der Gesundheitsdaten? 250 EUR?
Des Deutschen Schadensersatzrecht
Vergleichbare Urteile sind nachvollziehbar, wenn man die Dogmatik des (deutschen) Schadensersatzrechtes kennt:
Vereinfacht ausgedrückt, bekommt man einen Ersatz für den Schaden, wenn nachgewiesen werden kann, dass der Verursacher falsch gehandelt hat und es dadurch zu einem Schaden gekommen ist.
Wer also eine Beule in das Auto eines anderen fährt, muss dem anderen die Kosten für die Beseitigung der Beule zahlen. Der geleistete Schadensersatz dient also dazu, den ursprünglichen Zustand wieder herstellen (sog. Naturalrestitution).
Und wenn ich als Geschädigter nicht beweisen kann, dass der Anspruchsgegner die Beule ins Auto gefahren hat, bekomme ich auch keinen Schadensersatz.
Eigentlich ganz einfach. Jedenfalls, wenn es sich um Schäden an Gegenständen handelt, also um einen sog. materieller Schaden.
Was sind Sorgen und Kontrollverlust denn wert?
Aber:
- Welcher Schaden entsteht, wenn ich eine Werbe-Mail bekomme, obwohl ich das ausdrücklich abgelehnt habe? Ist mir ein Schaden durch Zeitverlust entstanden? Welche Zeitspanne? Eine Minute? Oder entsteht der Schaden durch verwendeten Speicherplatz? Was soll da berechnet werden? 1 EUR oder 2 EUR?
- Welcher Schaden entsteht mir, wenn mein Nachbar, der fälschlicherweise meine Kontoauszüge erhalten hat, jetzt weiß, dass ich das Auto lease. Oder Unterhalt zahle. Oder eine Reise anbezahlt habe? Oder wie häufig ich bei Amazon einkaufe? Und welche Mitgliedschaften ich in welche Organisation habe? Oder eine Geldstrafe überwiesen habe? Oder Leistungen vom Amt erhalte?
- Welcher Schaden entsteht, wenn mein Arbeitgeber eine Kamera nutzt und ich jeden Morgen gefilmt werden? Ist das Filmen an sich schon eine Beeinträchtigung – oder eine Schädigung meiner Rechte? Wie bemesse ich dann den „Schaden“ in Geld?
Kaum zu beantworten, oder?
Denn bei den immateriellen Schäden ist es wirklich schwer, einen Betrag zu finden, der den erlittenen Schaden für Ehre, Ruf, Reputation usw. widerspiegelt. Für den einen ist die Ehre eben unbezahlbar, dem anderen ist das relativ egal.
Was ist der „Wert“ von Schmerzen? Der eine erträgt das Leiden klaglos – der andere zetert. Ist das Opfer ein zartes Kind oder ein robuster Karate-Kämpfer? Oder ein robustes Kind oder ein zarter Kämpfer? Mann, Frau, Kind? Jung oder alt?
Und was ist eigentlich mit meinem Recht auf informationelle Selbstbestimmung?
Wie soll ein Gericht eine nachvollziehbare Entscheidung treffen können? Wie soll ich den Schaden durch den Abfluss von Daten oder die rechtswidrige Erhebung beweisen oder gar in Geld bestimmen? Wie soll ich beweisen, was der Nachbar mit den Informationen aus den Kontoauszügen machen? Oder der Arbeitgeber, der mich jeden Tag filmt?
Wirklich schwierig.
Hinzu kommt, dass nach dem deutschen Schadensersatzrecht eine „Bestrafung“ des Täters für die Verursachung des Schadens in der Bemessung des Schadensersatzes nicht eingepreist wird. Auch ist völlig irrelevant, ob der Verursacher ein Jahreseinkommen von 20.000 EUR oder hat oder 20.000 EUR am Tag verdient. Es kommt nur auf den Schaden bzw. die Kosten für Wiederherstellung des ursprünglichen Zustands, also die Kosten der Schadensbeseitigung, an. Und auf den individuell erlittenen Schmerz.
Der Fall von Stella Liebeck, der 1994 wegen einer Verbrühung mit verschütteten Kaffee von McDonalds 640.000 US Dollar zugesprochen wurden (in der ersten Instanz waren es noch 2,7 Millionen US-Dollar) ist nach deutschem Schadensersatzrecht nicht denkbar: hier wären ihr die Heilbehandlungskosten (sie war 8 Tage im Krankenhaus und benötigte eine Hauttransplantation) und ein angemessenes Schmerzensgeld zugestanden worden — also eher eine Größenordnung von 5.000 bis 10.000 EUR als von 600.000 EUR 0der gar knapp 2,5 Millionen EUR.
Sag’s substantiiert: Der notwendige Vortrag im Schadensersatzrecht
Der eine oder andere Jurist mag sich wundern, dass die Schadensersatzklagen überwiegend auch deshalb nicht erfolgreich sind, weil der Vortrag des Klägers (also des Geschädigten) zum eingetretenen Schaden nicht ausreichend substantiiert war.
Das ist für den Kläger schon eine schallende Ohrfeige. Und als Anwalt „versucht“ man das zu vermeiden.
So einfach ist es aber dann doch nicht.
Zwar ist in Art. 82 Abs. 1 DSGVO, EG 146 Satz 6 zu lesen, dass die betroffenen Personen eine vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten, der durch „eine nicht der Verordnung entsprechenden Verarbeitung verursacht wurde“.
Jedoch ist die Möglichkeit, den erlittenen Schaden substantiiert darzulegen, nicht immer gegeben. Wo ist denn der Schaden z. B. bei der Personalakte, die ihren Weg in die USA nahm (s. o.)? Irgendwie so ohne weitere Informationen oder Reaktionen der US-Behörden, die die Akten erhalten haben, ist ja eher „nichts“ passiert – was dann aber auch „0 EUR“ Schadensersatz heißt.
Es bleibt der Eindruck, dass das deutsche Schadensersatzrecht nicht so wirklich zu Art. 82 DSGVO passen will. Jedenfalls, wenn man bei der Beweislast im Prozess und bei der Bemessung des immateriellen Schadens, die Eigenart und Werthaltigkeit von Daten, nicht berücksichtigen kann.
Ach so: Bußgelder und Geldstrafen bekommt leider nicht der Geschädigte vom Täter, sondern der Staat ist der „glückliche“ Zahlungsempfänger …
Wir haben einige Urteile gesammelt, die sich mit der Thematik „Schadensersatz nach der DSGVO“ beschäftigen. Vielleicht lässt aus der einen oder anderen Entscheidung „Honig saugen“.
Gericht | Sachverhalt | Antrag | Entscheidung | Rechtskraft | Anmerkung |
---|---|---|---|---|---|
LAG Niedersachsen, Urteil vom 22.10.2021, 16 Sa 761/20 | VW Chefentwickler hatte im Rahmen des Dieselskandals die Kündigung erhalten. Gegen ihn wurde ein Schadenersatz von 3 Mio EUR geltend gemacht. Widerklagend machte der AN u.a. einen immateriellen Schaden wegen Verstoßes gegen datenschutzrechtliche Regelungen in Höhe von 5.000 EUR geltend. Beklagte hatte für ein Beweissicherungsverfahren bei einer US-Behörde, eine datenschutzrechtliche Einwilligung zur Übertragung personenbezogener Daten (u.a. war die vollständige Personalakte von US-Behörden angefordert worden) angefordert. Die Einwilligung wurde vom Kläger nicht erteilt. Die Daten wurden dennoch in die USA übertragen (u.a. an das Department of Justice und das State Attorney Generals). | 5.000 EUR | 1.250 EUR | anhängig BAG 8 AZN 763/21, BAG 2 AZN 765/21 | Revision war zugelassen für die auf Schadensersatz wegen datenschutzrechtlicher Verstöße gerichteten Anträge |
LG Essen, Urteil vom 23.09.2021, Az. 6 O 190/21 | Verlust einen USB-Sticks mit sensiblen personenbezogenen Daten nach Versand mit einfacher Post. | 30.000 EUR (je 15.000 EUR pro klagender Partei) | 0 EUR | ja | Nicht hinreichend substantiiert, dass ein Schaden entstanden ist. “Kontrollverlust” und “ungutes Gefühl” reichen nicht aus. |
OLG Dresden, Urteil vom 31.08.2021 | Schadensersatz wegen unverlangten und rechtsgrundlosem Ausbaus einer Festplatte und Einbaus einer neuen Festplatte und damit Vernichtung von Daten. | 10.000 EUR | 0 EUR | ja | Es fehlt an jeglichem Vortrag zu den Auswirkungen des behaupteten Datenverlusts. Der verlangte Schadensersatz “dient ersichtlich nur dazu, ein Drohpotential aufzubauen, um die Beklagte zu einer letztlich nicht gerechtfertigten Zahlung zu veranlassen.” |
LG Köln, Urteil vom 03.08.2021, 5 O 84/21 | Behörde leitet nicht anonymisiertes Urteil an andere Behörden weiter. Betroffener gibt an, jetzt als “Corona Leugner” gebrandmarkt zu sein. Behörde: “Stand doch schon alles in der Zeitung!”. Gericht erkennt Verstoß an, sieht aber keine Kausalität zwischen Verletzungshandlung und Schaden. | 8.000 EUR | 0 EUR | anhängig OLG Köln 7 U 130/21 | |
OLG Bremen, Beschluss vom 16.07.2021 | Versagung PKH, da keine Erfolgsaussicht. | ? | 0 EUR | ja | Ein Verstoß gegen die Bestimmungen der DSGVO führt nur dann zu einem Schadensersatz, wenn substantiiert vorgetragen wird, welcher (immaterielle) Schaden entstanden ist. |
LG Bonn, Urteil vom 01.07.2021, Az. 15 O 355/20 | Schmerzensgeld bei 8 Monate verspätet erteilter Auskunft. | 1.000 EUR | 0 EUR | ja | Es gibt nach dem Wortlaut des Art. 82 Abs. 2 DSGVO nur eine Haftung für fehlerhafte Verarbeitung. Eine Haftung für die verspätete Erfüllung von Auskunftsansprüchen wird nicht durch Art. 82 DSGVO ausgelöst. Zudem wurde kein Schaden, im Sinne einer spürbaren Beeinträchtigung, dargelegt. |
OLG Brandenburg, Beschluss vom 21.06.2021, Az. 1 U 69/20 | Schadensersatz wegen unzulässiger Nutzung eines Fotos und des Namens. | 10.000 EUR | 0 EUR | ja | “Allerdings muss auch nach dem Erwägungsgrund Nr. 146 zur DSGVO ein Schaden entstanden sein und nicht lediglich befürchtet werden, erst recht reicht der bloße Verstoß gegen eine Bestimmung der DSGVO für die Entstehung eines Entschädigungsanspruchs nicht aus.” Schaden wurde auch nicht hinreichend substantiiert. |
LG Köln, Urteil vom 07.10.2020, Az. 28 O 71/20 | Weiterleitung eines Kontoauszuges in einer Erbauseinandersetzung an einen falschen Empfänger (Rechtsanwalt der Gegenseite). Gericht: “Bagatellfall”. | 25.000 EUR | 0 EUR | ja | Bagatellfall weil keine Weitergabe an weitere Personen, tatsächliche Kenntnisnahme nicht nachgewiesen, immateriellen Schaden nicht substantiiert dargelegt |
AG Frankfurt a. M., Urteil vom 10.07.2020, Az. 385 C 155/19 | Datenleck in Reservierungssystem eines Hotels | 1.500 EUR | 0 EUR | ja | Schaden muss dargelegt werden. Aus Art. 5 Abs. 2 DSGVO ergibt sich nur eine Beweiserleichterung für die Kausalität zwischen Verstoß und Schaden. Kein Schadensersatz bei nur individuell empfundener Unannehmlichkeit. |
ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca 6557/18 | Verletzung des Auskunftsanspruches aus Art. 15 Abs. 1 DSGVO (zeitlich, inhaltlich) | 5.000 EUR | 5.000 EUR | Berufung eingelegt beim Landesarbeitsgericht Düsseldorf unter dem Aktenzeichen 14 Sa 294/20 | Verstöße müssen effektiv sanktioniert werden, damit die DSGVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird (Wybitul/Haß/Albrecht, NJW 2018, 113, 115; Bergt, in Kühling/Buchner, DSGVO/BDSG, 2. Aufl., Art. 82 Rn. 18; Frenzel, in Paal/Pauly, DSGVO/BDSG, 2. Aufl., Art. 82 Rn. 10 mwN.). (…) Da der Schadensersatz eine angemessene Wirkung erzielen soll, hängt dessen Höhe nicht nur vom eingetretenen immateriellen Schaden, sondern auch von dem nach Art. 4 Ziff. 7 DSGVO Verantwortlichen und dessen Finanzkraft ab. Mit anderen Worten: Die Verletzung der Auskunftspflicht aus Art. 15 DSGVO durch einen finanzschwächeren Verantwortlichen würde zu geringerem Schadensersatz führen. |
AG Diez, Urteil vom 07.11.2019, Az. 8 C 130/18 | E‑Mail vom 25.05.2018 mit der nachgefragt wurde, ob der Kläger in den Empfand eines Newsletters einwillige | 500 EUR | 50 EUR (anerkannt) | ja | Bagatelle |
ArbG Lübeck, Beschluss vom 20.06.2019, Az. 1 Ca 538/19 | (PKH Bewilligungsverfahren) Unzulässige Verwendung eines Mitarbeiterfotos auf firmeneigener Facebookseite | ? | 1.000 EUR (Obergrenze) | ja | Kläger hatte der firmeninternen Verwendung des Bildes für das “Schwarze Brett” zugestimmt. |
AG Bochum, Beschluss vom 11.03.2019, Az. 65 C 485/18 | Betreuerin übersendet Bestellungsurkunde mit unverschlüsselter Email. | ? | 0 EUR | ja | keine substantiierte Darlegung eines materiellen oder immateriellen Schadens |
§ 83 BDSG
- Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit bei einer nichtautomatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.
- Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.
- Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welche von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, so haftet jeder Verantwortliche beziehungsweise sein Rechtsträger.
- Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden.
- Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
Art. 82 DSGVO Haftung und Recht auf Schadensersatz
- Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
- 1Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. 2Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
- Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
- Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
- Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.
- Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.
Erwägungsgrund 146 Schadensersatz
1Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.
2Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist.
3Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.
4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten.
5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht.
6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.
7Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden.
8Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält.
9Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.