Ausbildung & Beruf
Licht 5 | 2021

Serie: Recht im Licht

Immaterieller Schadensersatz gem. Art. 82 DSGVO – eine kleine Rechtsprechungsübersicht

Die Datenschutzgrundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten. Hohe Wellen schlug und schlägt die Möglichkeit des immateriellen Schadensersatzes, so dass sich dieser Artikel nach drei Jahren DSGVO mit einer Bestandsaufnahme, der bislang ergangenen Rechtsprechung und einem Ausblick in die Zukunft zu diesem Thema befasst.

Lesezeit: ca. 5 Minuten
Abb.: Sicherheit für Daten ist wichtig und wird mit der DSGVO verstärkt geschützt. Was hat sich seit Inkrafttreten der Verordnung getan? Chuyko Sergey / shutterstock.com

1. Inkrafttreten der DSGVO

Die DSGVO ist am 25. Mai 2018 in Kraft getreten. Das begrüßenswerte Ansinnen, ein erhöhtes Datenschutzniveau zu schaffen, wurde schnell durch die zahlreichen praktischen Umsetzungsprobleme enttäuscht, denen sich insbesondere kleine Betriebe ausgesetzt sahen. So stand die DSGVO von Anfang an unter einem schlechten Stern, da die große Befürchtung bestand, dass nun eine Welle von Abmahnungen und behördlichen Bußgeldern erfolgt. Nach drei Jahren DSGVO bleibt festzuhalten, dass sowohl massenhafte Abmahnungen als auch überzogene behördliche Bußgelder ausgeblieben sind.

2. Immaterieller Schadensersatz

Eine wichtige Neuerung, welche dem deutschen Recht bislang grundsätzlich fremd ist, hält Art. 82 DSGVO bereit. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Das deutsche Recht kennt bislang vor allem einen Ersatz von materiellen Vermögensschäden. Der immaterielle Schadensersatz ist bislang nur sehr selten in der Rechtsprechung zu finden. Die entscheidende Frage war also, ob die Gerichte den Begriff des immateriellen Schadens eng oder weit auslegen werden und so Betroffenen Schadensersatzansprüche zusprechen, obwohl diesen kein Vermögensschaden entstanden ist.

Manche Gerichte nehmen einen immateriellen Schaden an, wenn es durch eine Verletzung des Datenschutzrechts zu einer konkreten nicht bloß unbedeutenden Verletzung von Persönlichkeitsrechten gekommen ist. Andere Ansichten sehen in jedem Verstoß gegen datenschutzrechtliche Vorschriften einen immateriellen Schaden. Dies birgt ein erhebliches Missbrauchspotenzial, da hierdurch die Gefahr besteht, dass ein Datenschutzverstoß nur vorgeschoben wird, um damit Einnahmen in Form von immateriellem Schadensersatz zu generieren. Das zeigt sich insbesondere auch daran, dass es mittlerweile einige Prozessfinanzierer gibt, die den Betroffenen das Prozessrisiko abnehmen und im Gegenzug einen Teil des zu generierenden Schadensersatzes einbehalten. Hierdurch wird die Hemmschwelle des einzelnen, einen Prozess gegen ein Unternehmen wegen eines Datenschutzverstoßes zu führen, erheblich gesenkt, da ihm kein finanzielles Risiko entsteht.

In letzter Zeit wurden Gerichtsentscheidungen veröffentlicht, in denen sich eine Tendenz zu höheren Schadensersatzzahlungen abzeichnet. Dies wird häufig auch damit begründet, dass hierdurch eine abschreckende Wirkung erzielt werden müsse. Ein weiteres Argument ist, dass der Schadensersatz umso höher sein muss, wenn eine größere Anzahl an Betroffenen existiert. Am Ende werden erst Entscheidungen des Bundesgerichtshofs, des Bundesverfassungsgerichts oder des europäischen Gerichtshofs für Klarheit sorgen, inwiefern immaterieller Schadensersatz gefordert werden kann und wie hoch die Schwelle ist, ab der sich Unternehmen schadensersatzpflichtig machen.

3. Rechtsprechungsübersicht

Es zeigt sich also, dass der immaterielle Schadensersatzanspruch nach DSGVO ein immer wichtigeres Thema für Unternehmen wird, weswegen nachfolgend einige wichtige Entscheidungen aus der Rechtsprechung dargestellt werden sollen, damit eine entsprechende Sensibilisierung erfolgt.

  • Das BVerfG hat am 14. Januar 2021 (Az. 1 BvR 2853/19) beschlossen, dass das zuvor befasste Amtsgericht nicht ohne Einbindung des europäischen Gerichtshofs hätte entscheiden dürfen, dass kein immaterieller Schadensersatzanspruch bestehe, weil ein Schaden nicht eingetreten sei. Der Ausgangsentscheidung lag ein Sachverhalt zugrunde, in dem ein Rechtsanwalt eine Werbung per E-Mail auf seinen beruflichen Account erhalten hat. Das bedeutet, dass ein immaterieller Schadensersatz nicht lapidar mit der Begründung zurückgewiesen werden kann, dass es an einer »Erheblichkeit« des Verstoßes fehlt.
  • Das LAG Köln (Az. 2 Sa 358/20) hat entschieden, dass für die Veröffentlichung des beruflichen Tätigkeitsprofils eines bereits ausgeschiedenen Arbeitnehmers auf der Website des Arbeitgebers ein Schadensersatz von 300 € zu zahlen ist.
  • Ähnlich hat das ArbG Lübeck (Az. 1 Ca 538/19) entschieden und für die unbefugte Veröffentlichung eines Mitarbeiter Fotos auf einem sozialen Netzwerk einen Anspruch von 1.000 € in Aussicht gestellt.
  • Das Landgericht Darmstadt (Az. 13 O 244/19) hat wegen der unbefugten Offenlegung von Bewerberdaten an einen Dritten einen Schadensersatzanspruch von 1.000 € zuerkannt.
  • Das Landgericht Lüneburg (Az. 9 O 145/19) hat entschieden, dass einem Betroffenen ein Schadensersatzanspruch in Höhe von 1.000 € aufgrund einer unzulässigen Meldung bei einer Wirtschaftsauskunftei zusteht.
  • Das AG Pforzheim (Az. 13 C 244/19) hat einem Betroffenen einen Schadensersatzanspruch in Höhe von 4.000 € wegen einer unbefugten Offenlegung von Gesundheitsdaten zugesprochen. Hierbei war insbesondere zu berücksichtigen, dass es sich bei Gesundheitsdaten um sehr sensible personenbezogene Daten handelt.
  • Das ArbG Düsseldorf (Az. 9 Ca 6557/18) hat einen Schadensersatz in Höhe von 5.000 € wegen einer unvollständigen und verspäteten Auskunft nach Art. 15 DSGVO zugesprochen. Die Höhe des Schadensersatzes wurde damit begründet, dass eine abschreckende Wirkung und der Schutz vor einem Kontrollverlust über personenbezogene Daten hervorgerufen werden soll. Zudem soll die Höhe des Schadensersatzes von der Leistungsfähigkeit des beklagten Unternehmens abhängig sein.
  • Das OLG Stuttgart (Az. 9 U 34/21) hat immateriellen Schadensersatzanspruch mit der Begründung abgelehnt, dass ein Verstoß gegen die DSGVO für den Schaden kausal sein muss. Hierfür muss der Kläger einen entsprechenden Nachweis führen, was ihm im vorliegenden Fall nicht gelungen ist.
  • Das OLG Dresden (Az. 4 U 784/20) hat einen immateriellen Schadensersatzanspruch wegen einer Löschung eines Posts bzw. der Sperrung eines Nutzerkontos in einem sozialen Netzwerk mit der Begründung abgelehnt, dass es sich um einen Verstoß mit reinem Bagatellcharakter gehandelt habe, der nicht zu einem Schadensersatz nach DSGVO führt.

4. Fazit und Ausblick in die Zukunft

Auffällig ist, dass zahlreiche Gerichte immaterielle Schadensersatzansprüche mit der Begründung ablehnen, dass die Erheblichkeitsschwelle für einen Schadensersatzanspruch nicht überschritten ist. Bei einem Berufen auf diese Argumentation ist jedoch spätestens seit der oben zitierten Entscheidung des Bundesverfassungsgerichts Vorsicht geboten. Die DSGVO kennt eine solche Erheblichkeitsschwelle nämlich nicht, weswegen unklar ist, ob diese in die DSGVO hineingelesen werden kann oder nicht. Letztlich wird hier nur eine entsprechende Klarstellung des Bundesgerichtshofs bzw. des europäischen Gerichtshofs weiterhelfen.

Weiterhin ist auffällig, dass viele Entscheidungen aus Arbeitsverhältnissen entstammen. Gerade hier vertraut der Arbeitnehmer dem Arbeitgeber sensible personenbezogene Daten an, welche von dem Arbeitgeber gespeichert und verarbeitet werden. Hier ist insbesondere Vorsicht geboten, dass diese Daten nicht in falsche Hände geraten, da die Rechtsprechung dazu tendiert, in diesem Fall immateriellen Schadensersatzanspruch zuzusprechen. Gleiches gilt für die Verwendung von Bildern von ausgeschiedenen Arbeitnehmern, wenn nicht zuvor eine entsprechende Vereinbarung für die Weiternutzung getroffen worden ist.

Aber auch die klassische E-Mail-Werbung dürfte immer mehr in den Fokus von gerichtlichen Entscheidungen zum immateriellen Schadensersatz nach DSGVO gelangen. Wer also E-Mail-Werbung betreibt, sollte die Entwicklung der Rechtsprechung im Auge behalten, da er sich ansonsten einer Vielzahl von Schadensersatzklagen ausgesetzt sehen könnte.

Grundsätzlich ist jedem Unternehmen, welches personenbezogene Daten verarbeitet, anzuraten, sich mit der Thematik des immateriellen Schadensersatzes auseinanderzusetzen, da davon auszugehen ist, dass diesem Thema in der Zukunft immer größere Bedeutung zukommen wird. Insbesondere sollte auf den Datenschutz bzw. Datenverarbeitung in einem Arbeitsverhältnis großes Augenmerk gelegt werden, da die Rechtsprechung mit Strafzahlungen ich hier – aus gutem Grund – nicht zimperlich ist.

Weitere Informationen:

Autor: Daniel Loschelder, Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Gewerblichen Rechtsschutz, LoschelderLeisenberg Rechtsanwälte München, www.LL-ip.com

Dieser Artikel ist erschienen in