Schadensersatz im Datenschutzrecht
Urteile zu Schadensatzforderungen nach Art. 82 DSGVO, § 83 BDSG
Inhalt
Also ehrlich: Ihr Schaden ist doch nur eine Bagatelle!
Schadensersatz nach Art. 82 DSGVO und § 83 BDSG – Kennen Sie das Sprichwort: „Wer den Schaden hat, braucht für den Spott nicht zu sorgen“?
Daran fühlt man sich bei der einen oder anderen Gerichtsentscheidung erinnert: Da versendet eine Bank Kontoauszüge an einen falschen Empfänger. Der Kunde ist verständlicherweise „not amused“. Alles halb so gar nicht schlimm, urteilt das Gericht. Das ist doch eine Bagatelle und kein Schaden. Und damit auch kein Schadensersatz.
Anderer Fall: Ein Arbeitgeber legt unbefugt Gesundheitsdaten einer Arbeitnehmerin offen.
Oder die Personalakte eines Beschäftigten wird ohne Einwilligung an US-Behörden vollständig übermittelt. Das ist nun wirklich keine Bagatelle, sondern ein Riesending. Schließlich ist ja selbst Facebook an den Datenübermittlung in die USA (also einem unsicheren Drittland!) am Bußgeld (wohl) verzweifelt. Und wenn die IP-Adresse ohne Einwilligung in die USA übertragen werden, gibt es auch richtig Ärger und natürlich Bußgelder. Und Abmahnungen der werten Wettbewerber. Selbst bei einem Cookie-Banner droht Ärger.
Da muss es doch bei der Übermittlung der vollständigen Personalakte ohne Rechtsgrundlage so richtig hohe Summen „hageln“ oder?
Weit gefehlt: 1.250 EUR sind nach Auffassung des Gerichtes ein angemessener Schadensersatz.
Bei der unbefugten Offenlegung der Gesundheitsdaten waren es 250 EUR — die Entscheidung kommt zwar aus den Niederlanden (Rechtbank Amsterdam, Urt. v. 2.9.2019 – 7560515 CV EXPL 19–4611) — aber so hätten wohl auch deutsche Gerichte entschieden. Das Gericht meint hierzu, dass 250 EUR für die durchlittenen Ängste und den empfundenen Stress ausreichen. Bei der unbefugten Offenlegung der Gesundheitsdaten? 250 EUR?
Des Deutschen Schadensersatzrecht
Vergleichbare Urteile sind nachvollziehbar, wenn man die Dogmatik des (deutschen) Schadensersatzrechtes kennt:
Vereinfacht ausgedrückt, bekommt man einen Ersatz für den Schaden, wenn nachgewiesen werden kann, dass der Verursacher falsch gehandelt hat und es dadurch zu einem Schaden gekommen ist.
Wer also eine Beule in das Auto eines anderen fährt, muss dem anderen die Kosten für die Beseitigung der Beule zahlen. Der geleistete Schadensersatz dient also dazu, den ursprünglichen Zustand wieder herstellen (sog. Naturalrestitution).
Und wenn ich als Geschädigter nicht beweisen kann, dass der Anspruchsgegner die Beule ins Auto gefahren hat, bekomme ich auch keinen Schadensersatz.
Eigentlich ganz einfach. Jedenfalls, wenn es sich um Schäden an Gegenständen handelt, also um einen sog. materieller Schaden.
Was sind Sorgen und Kontrollverlust denn wert?
Aber:
- Welcher Schaden entsteht, wenn ich eine Werbe-Mail bekomme, obwohl ich das ausdrücklich abgelehnt habe? Ist mir ein Schaden durch Zeitverlust entstanden? Welche Zeitspanne? Eine Minute? Oder entsteht der Schaden durch verwendeten Speicherplatz? Was soll da berechnet werden? 1 EUR oder 2 EUR?
- Welcher Schaden entsteht mir, wenn mein Nachbar, der fälschlicherweise meine Kontoauszüge erhalten hat, jetzt weiß, dass ich das Auto lease. Oder Unterhalt zahle. Oder eine Reise anbezahlt habe? Oder wie häufig ich bei Amazon einkaufe? Und welche Mitgliedschaften ich in welche Organisation habe? Oder eine Geldstrafe überwiesen habe? Oder Leistungen vom Amt erhalte?
- Welcher Schaden entsteht, wenn mein Arbeitgeber eine Kamera nutzt und ich jeden Morgen gefilmt werden? Ist das Filmen an sich schon eine Beeinträchtigung – oder eine Schädigung meiner Rechte? Wie bemesse ich dann den „Schaden“ in Geld?
Kaum zu beantworten, oder?
Denn bei den immateriellen Schäden ist es wirklich schwer, einen Betrag zu finden, der den erlittenen Schaden für Ehre, Ruf, Reputation usw. widerspiegelt. Für den einen ist die Ehre eben unbezahlbar, dem anderen ist das relativ egal.
Was ist der „Wert“ von Schmerzen? Der eine erträgt das Leiden klaglos – der andere zetert. Ist das Opfer ein zartes Kind oder ein robuster Karate-Kämpfer? Oder ein robustes Kind oder ein zarter Kämpfer? Mann, Frau, Kind? Jung oder alt?
Und was ist eigentlich mit meinem Recht auf informationelle Selbstbestimmung?
Wie soll ein Gericht eine nachvollziehbare Entscheidung treffen können? Wie soll ich den Schaden durch den Abfluss von Daten oder die rechtswidrige Erhebung beweisen oder gar in Geld bestimmen? Wie soll ich beweisen, was der Nachbar mit den Informationen aus den Kontoauszügen machen? Oder der Arbeitgeber, der mich jeden Tag filmt?
Wirklich schwierig.
Hinzu kommt, dass nach dem deutschen Schadensersatzrecht eine „Bestrafung“ des Täters für die Verursachung des Schadens in der Bemessung des Schadensersatzes nicht eingepreist wird. Auch ist völlig irrelevant, ob der Verursacher ein Jahreseinkommen von 20.000 EUR oder hat oder 20.000 EUR am Tag verdient. Es kommt nur auf den Schaden bzw. die Kosten für Wiederherstellung des ursprünglichen Zustands, also die Kosten der Schadensbeseitigung, an. Und auf den individuell erlittenen Schmerz.
Der Fall von Stella Liebeck, der 1994 wegen einer Verbrühung mit verschütteten Kaffee von McDonalds 640.000 US Dollar zugesprochen wurden (in der ersten Instanz waren es noch 2,7 Millionen US-Dollar) ist nach deutschem Schadensersatzrecht nicht denkbar: hier wären ihr die Heilbehandlungskosten (sie war 8 Tage im Krankenhaus und benötigte eine Hauttransplantation) und ein angemessenes Schmerzensgeld zugestanden worden — also eher eine Größenordnung von 5.000 bis 10.000 EUR als von 600.000 EUR 0der gar knapp 2,5 Millionen EUR.
Sag’s substantiiert: Der notwendige Vortrag im Schadensersatzrecht
Der eine oder andere Jurist mag sich wundern, dass die Schadensersatzklagen überwiegend auch deshalb nicht erfolgreich sind, weil der Vortrag des Klägers (also des Geschädigten) zum eingetretenen Schaden nicht ausreichend substantiiert war.
Das ist für den Kläger schon eine schallende Ohrfeige. Und als Anwalt „versucht“ man das zu vermeiden.
So einfach ist es aber dann doch nicht.
Zwar ist in Art. 82 Abs. 1 DSGVO, EG 146 Satz 6 zu lesen, dass die betroffenen Personen eine vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten, der durch „eine nicht der Verordnung entsprechenden Verarbeitung verursacht wurde“.
Jedoch ist die Möglichkeit, den erlittenen Schaden substantiiert darzulegen, nicht immer gegeben. Wo ist denn der Schaden z. B. bei der Personalakte, die ihren Weg in die USA nahm (s. o.)? Irgendwie so ohne weitere Informationen oder Reaktionen der US-Behörden, die die Akten erhalten haben, ist ja eher „nichts“ passiert – was dann aber auch „0 EUR“ Schadensersatz heißt.
Es bleibt der Eindruck, dass das deutsche Schadensersatzrecht nicht so wirklich zu Art. 82 DSGVO passen will. Jedenfalls, wenn man bei der Beweislast im Prozess und bei der Bemessung des immateriellen Schadens, die Eigenart und Werthaltigkeit von Daten, nicht berücksichtigen kann.
Ach so: Bußgelder und Geldstrafen bekommt leider nicht der Geschädigte vom Täter, sondern der Staat ist der „glückliche“ Zahlungsempfänger …
Wir haben einige Urteile gesammelt, die sich mit der Thematik „Schadensersatz nach der DSGVO“ beschäftigen. Vielleicht lässt aus der einen oder anderen Entscheidung „Honig saugen“.
§ 83 BDSG
- Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit bei einer nichtautomatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.
- Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.
- Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welche von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, so haftet jeder Verantwortliche beziehungsweise sein Rechtsträger.
- Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden.
- Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
Art. 82 DSGVO Haftung und Recht auf Schadensersatz
- Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
- 1Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. 2Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
- Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
- Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
- Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.
- Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.
Erwägungsgrund 146 Schadensersatz
1Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.
2Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist.
3Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.
4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten.
5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht.
6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.
7Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden.
8Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält.
9Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.