Die Angst vor hohen Bußgeldern beschäftigte vor der Geltung der DSGVO in den einzelnen Mitgliedsstaaten nahezu jedes Unternehmen, das personenbezogene Daten in einem gewissen Umfang verarbeitet. Die internen Abläufe und Prozesse wurden analysiert und zur Not angepasst. Dem Datenschutz wurde selten eine so große Aufmerksamkeit zuteil. Das ist auch gut so, denn beim Datenschutz handelt es sich nach Art. 8 GRCh (Charta der Grundrechte der Europäischen Union) um ein europäisches Grundrecht. Die Einhaltung der Vorgaben der DSGVO überwachen in erster Linie die zuständigen Datenschutzaufsichtsbehörden der Länder. Mit der DSGVO wurden allerdings auch die Rechte des Einzelnen gestärkt. Die private Durchsetzung von Datenschutzrechten beschäftigt zunehmend die nationalen Gerichte.
Einen Großteil dieser Verfahren nehmen Verfahren auf Zahlung von Schadensersatz nach einem Datenschutzverstoß ein. Mit der DSGVO wurde erstmals in Art. 82 DSGVO ein für alle Konstellationen geltender Anspruch auf Ersatz eines immateriellen Schadens eingeführt und betroffene Personen machen diesen zunehmend auch gerichtlich geltend. Neben den drohenden Bußgeldern bildet der DSGVO-Schadensersatz somit für Unternehmen ein zusätzliches wirtschaftliches Risiko dar, das nicht unterschätzt werden sollte.
Gegenstand des DSGVO-Schadensersatzanspruches
Art. 82 DSGVO gewährt der betroffenen Person einen deliktischen Anspruch auf Schadensersatz, der auch den Ersatz eines immateriellen Schadens erfasst. Die Einführung eines Anspruches auf Ersatz eines immateriellen Schadens ist neu, denn diesen gab es nach der alten Fassung des BDSG nur in Sonderkonstellationen. Die aktuellen gerichtlichen Entscheidungen zeigen aber deutlich, dass der Schwerpunkt der DSGVO-Schadensersatzklagen beim Anspruch auf Ersatz eines immateriellen Schadens liegt. Insofern zeigt sich, dass diese gesetzgeberische Neuregelung von den betroffenen Personen angenommen wird und Unternehmen zusätzlich unter Druck setzt.
Es ist zudem zu beobachten, dass vermehrt Anbieter auf den Markt kommen, die sich darauf spezialisiert haben, gebündelt Schadensersatzansprüche der betroffenen Personen durchzusetzen. Diese Entwicklung zeigt, dass Unternehmen künftig bei Datenschutzverstößen nicht nur mit (hohen) Bußgeldern der Aufsichtsbehörden zu rechnen haben. Es drohen zusätzlich zivilrechtliche Klagen auf Schadensersatz.
Lesetipp: Gesetzesentwurf soll Abmahnanwälte stoppen
Selbst wenn dabei der Schadensersatz für die einzelne betroffene Person moderat ausfallen mag, führt die gebündelte Geltendmachung von einer Vielzahl von Einzelforderungen zu einer nicht nur unerheblichen wirtschaftlichen Belastung für den in Anspruch genommenen Verantwortlichen. Auch die DSVO-Schadensersatzklagen mit einem arbeitsrechtlichen Hintergrund nehmen immer mehr zu und die Arbeitsgerichte tendieren dazu, vergleichsweise hohe Schadenssummen auszusprechen.
Wann besteht ein Anspruch auf Schadensersatz?
Der Anspruch aus Art. 82 Abs. 1 DSGVO hat nach seinem Wortlaut verhältnismäßig wenige Voraussetzungen. Zunächst muss der richtige Anspruchsberechtigte (Aktivlegitimation) gegen den richtigen Anspruchsverpflichteten (Passivlegitimation) darlegen, dass ein Datenschutzverstoß zu einem Schaden bei ihr geführt hat. Obwohl der DSGVO-Schadensersatz wenige Voraussetzungen hat, führt die richtige Auslegung der einzelnen Voraussetzungen derzeit noch zu einer sehr uneinheitlichen Rechtsprechung der nationalen Gerichte.
Wer kann einen Anspruch auf DSGVO-Schadensersatz geltend machen?
Der Wortlaut von Art. 82 Abs. 1 DSGVO erfasst jede Person. Das wirft für die praktische Anwendung zwei relevante Fragen auf:
Muss die Person i.S.v. Art. 4 Nr. 1 DSGVO auch betroffen sein?
Sind auch juristische Personen aktivlegitimiert?
Hinsichtlich der zweiten Frage kann man die theoretische Debatte schnell beenden. Die DSGVO bezweckt den Schutz natürlicher Personen vor einer unberechtigten Verarbeitung personenbezogener Daten. Damit ist klar, dass juristische Personen nicht in den Anwendungsbereich eines DSGVO-Schadensersatzes fallen. Ob die Person des Anspruchstellers auch betroffen i.S.v. Art. 4 Nr. 1 DSGVO sein muss, bleibt bis zu einer endgültigen Klärung diskutabel. Es handelt sich allerdings auch eher um einen theoretischen Streit, da nur wenige Fälle denkbar erscheinen, in denen eine Person einen DSGVO-Schadensersatz geltend machen könnte, bei denen nicht zugleich personenbezogene Daten dieser Person auch von dem Unternehmen verarbeitet werden.
Wesentlich praxisrelevanter ist allerdings die Frage, ob Legal-Tech-Anbieter sich Ansprüche auf Ersatz immaterieller Schäden zur gebündelten Geltendmachung von den betroffenen Personen abtreten lassen dürfen. Hiergegen könnte sprechen, dass es sich hierbei um höchstpersönliche Ansprüche handelt, die nur von der betroffenen Person selbst geltend gemacht werden dürften.
Diese Frage wird letztlich der EuGH verbindlich klären müssen. Für Unternehmen bleibt im Streitfall bis zu einer Klärung die Möglichkeit, die Zulässigkeit einer solchen Abtretungskonstellation in Frage zu stellen.
Gegen wen richtet sich der Anspruch?
Der Anspruch richtet sich gegen Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO und Auftragsverarbeiter gem. 4 Nr. 8 DSGVO, nicht jedoch gegen deren Mitarbeiter oder Datenschutzbeauftragte. Anspruchsgegner sind also stets die Unternehmen, die an der Datenverarbeitung beteiligt sind. Der Auftragsverarbeiter haftet grundsätzlich nach Art. 82 I DSGVO im gleichen Umfang wie der Verantwortliche, wird allerdings durch Art. 82 II 2 DSGVO wiederum privilegiert. Danach haftet der Auftragsverarbeiter nur insoweit, als er gegen seine Pflichten aus der DSGVO verstößt oder entgegen oder unter Nichtbeachtung der Anweisungen gehandelt hat.
Lesetipp: Was tun beim Eingang von Auskunftsersuchen?
Verstoß gegen die DSGVO
Für einen Anspruch auf Schadensersatz bedarf es eines Verstoßes gegen die DSGVO. Der weit formulierte Wortlaut "Verstoß gegen diese Verordnung" impliziert die Frage, ob auch Verstöße, die nicht die Verarbeitung selbst betreffen, wie zum Beispiel solche, die vor der Verarbeitung stattfinden oder nur organisatorischer Natur sind, wie die fehlende Bestellung eines Datenschutzbeauftragten für sich genommen ausreichen, um einen Schadensersatzanspruch zu begründen. Allerdings ist kaum vorstellbar, wie ein solcher Verstoß kausal für einen Schaden der betroffenen Person sein soll, so dass dieser Streit wohl akademischer Natur bleiben wird.
Die in der Praxis bislang am häufigsten vorkommenden Verstöße sind vielmehr die folgenden:
Verlust von personenbezogenen Daten nach einem Hackerangriff;
Ungewollte Offenlegung von personenbezogenen Daten im Internet aufgrund fehlender IT-Sicherheit;
Weitergabe personenbezogener Daten an nicht zum Empfang berechtigte Personen;
Fehlende oder unvollständige Löschung von personenbezogenen Daten;
Fehlende oder unvollständige Auskunft über die Datenverarbeitung.
Eintritt eines Schadens
Die betroffene Person muss einen Schaden erlitten haben. Dieser muss tatsächlich eingetreten sein und nicht lediglich befürchtet werden. Im Rahmen der gerichtlichen Geltendmachung scheitern zahlreiche betroffene Personen daran, gegenüber dem Gericht das Vorliegen eines konkreten Schadens darzulegen und entsprechend nachzuweisen. Das liegt darin, dass der europarechtlich zu bestimmende Begriff des DSGVO-Schadens noch nicht hinreichend konturiert ist. Gerade beim immateriellen Schaden fällt es schwer, diesen für das Gericht greifbar zu machen.
Welchen Schaden hat zum Beispiel eine betroffene Person erlitten, die erst eine Woche nach Ablauf der gesetzlichen Frist ihre Auskunft nach Art. 15 DSGVO erteilt bekommt?
Die nationalen Gerichte versuchen sich der Ausfüllung des Begriffs des Schadens anzunähern. Der Begriff des Schadens sollte dabei nach dem Erwägungsgrund 146 S. 3 DSGVO im Lichte der Rechtsprechung des EuGH weit auf eine Art und Weise ausgelegt werden, die den Zielen der DSGVO im vollen Umfang entspricht.
Höhe eines Schadens
Für die Bemessung der Höhe des immateriellen Schadens bietet es sich an, auf die Kriterien des Art. 83 Abs. 2 DSGVO für die Bemessung von Bußgeldern zurückzugreifen. Obwohl der Wortlaut von Art. 82 DSGVO das an keiner Stelle ausdrücklich vorsieht, hatten viele nationale Gerichte Vorbehalte, einen DSGVO-Schadensersatz auch dann zuzusprechen, wenn der Verstoß selbst nach objektiven Maßstäben als Bagatelle einzustufen ist. In diesen Fällen wurden Klagen auf Zahlung eines DSGVO-Schadensersatzes unter Hinweis auf eine Bagatellgrenze abgewiesen. Dieser Praxis ist das Bundesverfassungsgericht am 14.Januar 2021 unter dem Akgenzeichen 2853/19 mittlerweile entgegengetreten. Der Senat hat in seinem Beschluss ausdrücklich festgestellt, dass Art. 82 DSGVO in seinem Wortlaut keine Ausnahme für Bagatellverstöße vorsehe. Sollte sich eine solche Bagatellgrenze jedoch aus einer Auslegung der DSGVO ergeben, so ist eine letztverbindliche Auslegung allein dem EuGH vorbehalten. Nationale Gerichte dürfen demnach nicht nach eigenem Ermessen eine Bagatellgrenze in Art. 82 DSGVO reinlesen.
Zusammenhang zwischen Verstoß und Schaden
Schon aus dem Wortlaut des Art. 82 Abs. 1 DSGVO "wegen eines Verstoßes" folgt das Kausalitätserfordernis. Der eingetretene Schaden muss direkte Folge des Verstoßes gegen die DSGVO sein.
Wann ist die Haftung des Unternehmens ausgeschlossen?
Art. 82 Abs. 3 DSGVO regelt die Möglichkeit für das verantwortliche Unternehmen, sich von einer Haftung loszusagen. Für eine solche Exkulpation ist jedenfalls notwendig, dass das Unternehmen nachweist, dass es in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Praxishinweis: Verantwortliche bzw. Auftragsverarbeiter sollten die Maßnahmen zur Sicherstellung des Datenschutzes möglichst genau dokumentieren, wenn sie eine Chance haben wollen, sich wirksam zu exkulpieren. Zertifizierungen nach Art. 42, 43 DSGVO und die Unterwerfung unter Verhaltensregeln gem. Art. 40, 41 DSGVO können dabei die Beweisführung erleichtern, schließen eine Verantwortlichkeit jedoch für sich genommen nicht aus. Nur wer nahezu lückenlos dokumentiert, welche Maßnahmen zum Schutz der personenbezogenen Daten getroffen wurden, hat überhaupt eine Chance sich bei einem unstreitig vorliegenden Datenschutzvorfall auf der Ebene der "Verantwortlichkeit" zu exkulpieren. Selbst wenn am Ende eine Exkulpation nicht (vollständig) gelingen sollte, kann eine lückenlose Dokumentation gerade bei der Geltendmachung immaterieller Schäden dazu dienen, die Schadenshöhe so gering wie möglich ausfallen zu lassen. Berücksichtigt man, dass der immaterielle Schadensersatz auch einen Abschreckungseffekt bezwecken soll, muss diese Abschreckung bei demjenigen Verantwortlich deutlich höher ausfallen, der zum einen nur wenige Maßnahmen zum Schutz personenbezogener Daten ergreift und diese zum anderen nicht einmal dokumentiert. Je enger das Netz der Maßnahmen ist und je detaillierter die Dokumentation dieser Maßnahmen ausfällt, umso eher lässt sich gegenüber dem erkennenden Gericht glaubwürdig argumentieren, dass es sich bei diesem Vorfall um einen bedauerlichen Einzelfall gehandelt hat, der gerade nicht auf grober Fahrlässigkeit beruht. |
(bw)