Schadensersatz nach Art. 82 DSGVO bei DSGVO-Verstößen

Seit dem 25. Mai 2018 gilt nunmehr auch in Deutschland die Datenschutz-Grundverordnung (DSGVO) unmittelbar und zwingend. Neben dem umfassenden Auskunftsanspruch aus Art. 15 DSGVO, dem „Recht vergessen zu werden“ – Art. 17 DSGVO – und den hohen Geldbußen aus den Art. 83 ff. DSGVO, ist nun eine weitere Norm in den Fokus der Öffentlichkeit geraten. Art. 82 DSGVO räumt betroffenen Personen einen umfassenden Anspruch auf Schadensersatz ein.

Allgemeines zum Schadensersatz nach Art. 82 DSGVO 

Nach dem Wortlaut von Art. 82 Abs. 1 DSGVO hat jede Person einen Anspruch auf Schadensersatz gegenüber dem Verantwortlichen, sollte dieser personenbezogene Daten unrechtmäßig verarbeiten. Ungeklärt war nach alter Rechtslage unter anderem die Frage, ob auch immaterielle Schäden (Nichtvermögensschäden, die nicht in Geld messbar sind – wie Freiheitsentzug oder Ehrverletzung) ersetzt werden können. Dies wurde mit der DSGVO nunmehr mit einem klaren „JA“ beantwortet, sodass nun auch Schmerzensgeldansprüche durchsetzbar sind. 

Bei dem Anspruch nach Art. 82 DSGVO handelt es sich um einen eigenständigen unionsrechtlichen Anspruch, der das nationale Haftungsrecht überlagert. Aus diesem Grund gewinnt der unionsrechtliche Effektivitätsgrundsatz bei der Bemessung der Schadenshöhe eine zentrale Rolle. Hiernach muss die Schadensersatzhöhe zusätzlich nicht nur den tatsächlich entstandenen Schaden abdecken, sondern zusätzlich auch eine Abschreckungswirkung entfalten. Bedauerlicherweise beachten die bis jetzt veröffentlichten Gerichtsentscheidungen die Abschreckungsfunktion nicht in dem unionsrechtskonformen Ausmaß.

Voraussetzungen des Schadensersatzanspruchs 

Im Wesentlichen muss ein Verstoß gegen die Verordnung und ein Verursachungsbeitrag vorliegen, um die Haftung nach Art. 82 DSGVO zu begründen. Anspruchsverpflichtete des Schadensersatzanspruchs aus Art. 82 DSGVO können nur der Verantwortliche und der Auftragsverarbeiter sein. Wichtig zu beachten ist, dass Art. 82 DSGVO nicht zwischen privaten und öffentlichen Datenverarbeitern unterscheidet. Somit können auch öffentliche Stellen nach Art. 82 DSGVO in Anspruch genommen werden.

Verstöße im Sinne der Verordnung können zunächst Zuwiderhandlungen gegen Art. 5 oder Art. 6 DSGVO darstellen. In Betracht kommen also beispielsweise Verstöße gegen die Speicherbegrenzung (Art. 5 Abs. 1e DSGVO) oder die Verarbeitung von Daten ohne die entsprechende Ermächtigungsgrundlage (Art. 6 Abs. 1 DSGVO). Interessanterweise können sich auch Verstöße gegen „delegierte Rechtsakte“ der Mitgliedsstaaten haftungsbegründend auswirken – bspw. bei Verstößen gegen das BDSG. Ausweislich des Erwägungsgrundes 146 ist nämlich Ziel der DSGVO den „betroffenen Personen […] einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden […]“ zu gewähren. Dies betrifft daher auch Verstöße gegen § 26 BDSG, welcher im Grundsatz die Datenverarbeitung im Beschäftigungsverhältnis regelt. 

Weiterhin muss die Verantwortlichkeit des Handelnden vorliegen. Um den Nachweis für den Geschädigten zu erleichtern, muss nicht der Geschädigte beweisen, dass die Verantwortung beim Handelnden liegt, sondern der jeweilige Verantwortliche muss sich entlasten. Um der Haftung zu entgehen, muss sich daher der Schädiger entlasten (exkulpieren). Dazu hat er nachzuweisen, dass die Datenverarbeitung im gesetzlichen Einklang stand.  

Abschließend muss der Verstoß auch für den Schaden kausal sein. Hierbei ist die ausführliche und komplexe Judikatur des Europäischen Gerichtshofes zu beachten. In der Literatur werden Beweiserleichterungen zu Gunsten der Anspruchssteller im Hinblick auf Kausalität diskutiert. Eine Beweiserleichterung hinsichtlich der Kausalität wird jedoch bei der Rechtsprechung bis jetzt nicht angenommen.

Gerichtsentscheidungen zu Art. 82 DSGVO

Das Arbeitsgericht Lübeck (ArbG Lübeck, 20.06.2019 – 1 Ca 538/19) hielt einen Schadensersatzanspruch mit bis zu 1.000 EUR für die Verwendung eines Mitarbeiterfotos auf einer firmeneigenen Facebookseite ohne Einwilligung, beziehungsweise einer nachträglichen Genehmigung, für angemessen. Mit 1.000 EUR liegt das Arbeitsgericht Lübeck in der derzeitig oberen Hälfte der Schadensersatzansprüche – bei den bis dato veröffentlichten Gerichtsentscheidungen. Das Amtsgericht Diez hielt ein unerlaubtes Versenden von Werbe-Mails für nicht ausreichend, um einen Schadensersatzanspruch in Höhe von 500 EUR zu rechtfertigen. Das Oberlandesgericht Dresden betonte in seiner Entscheidung, dass Bagatellverstöße keinen Schadensersatz nach Art. 82 DSGVO begründen (OLG Dresden, 11.06.2019 – 4 U 760/19) würden. 

Trotz der Abschreckungswirkung des Schadensersatzanspruches nach Art. 82 DSGVO, verneinte das Landgericht Karlsruhe auch einen Schadensersatzanspruch allein aus generalpräventiven Gründen (LG Karlsruhe, Urteil vom 2.8.2019 – 8 O 26/19). In dem einschlägigen Fall machte der Kläger einen Schadensersatzanspruch auf Grund unrichtiger Datenspeicherung und -verarbeitung bei einem Kreditscoring Unternehmen geltend. Auf Grund der falschen Datenspeicherung erhielt der Kläger einen falschen Basisscore, welcher zu einer Ablehnung bei einem Kreditinstitut führte.