Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
23. April 2024
Haftung Auskunft DSGVO
Datenschutzrecht

Art. 82 DSGVO: Haftungsfalle datenschutzrechtlicher Auskunftsanspruch

Philippe Heinzke, Reemt Matthiesen und Julia Dreyer SEITE DRUCKEN   SEITE SCHICKEN

Eine DSGVO-Auskunft ist schnell verlangt. Bei unvollständiger, verspäteter oder unterlassener Erteilung können Schadensersatzansprüche die Folge sein.

Arbeitnehmer* gegen ehemalige Arbeitgeber, Verbraucher gegen Versicherungen, Banken und andere Unternehmen: Die Rechtsverhältnisse, in denen es zu Schadensersatzforderungen wegen Verstößen gegen die Vorschriften der Europäischen Datenschutz-Grundverordnung (DSGVO) kommen kann, sind weit gestreut. Art. 82 Abs. 1 DSGVO spricht jeder Person, der wegen eines DSGVO-Verstoßes ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter zu. Außerdem können bei Verstößen gegen die DSGVO durch die Datenschutzbehörden Bußgelder in erheblichen Höhen verhängt werden. 

Eine der maßgeblichen Vorschriften der DSGVO, auf die bei unzureichender Erfüllung zahlreiche Kläger ihre Forderungen nach Schadensersatz gemäß Art. 82 DSGVO und Behörden Bußgelder gemäß Art. 83 DSGVO stützen, ist Art. 15 DSGVO. Nach Art. 15 DSGVO stehen betroffenen Personen gegenüber den Verantwortlichen Auskunftsrechte zu. Bereits zu der Frage, ob überhaupt Daten der betroffenen Person verarbeitet werden, kann von dem Verantwortlichen eine Bestätigung verlangt werden (sog. Negativauskunft). Sofern Daten vorliegen, steht dem Betroffenen darüber hinaus ein Recht auf Auskunft über diese personenbezogenen Daten zu. Art. 15 Abs. 1 DSGVO listet die Informationen auf, über die Auskunft zu erteilen ist; hierzu zählen u.a. die Kategorien der verarbeiteten personenbezogenen Daten, der Verarbeitungszweck und die Empfänger, denen diese Daten offengelegt wurden.

Die Bedeutung dieser Vorschrift ist nicht zu unterschätzen. Dies zeigt auch die koordinierte Aktion der Datenschutzbehörden für das Jahr 2024.

Coordinated Enforcement Framework: In diesem Jahr geht es um Art. 15 DSGVO

Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat das Auskunftsrecht nach Art. 15 DSGVO als Schwerpunkt der dritten koordinierten Aktion (Coordinated Enforcement Framework [CEF]) der nationalen Datenschutzbehörden ausgewählt. Diese koordinierte Aktion hat bereits begonnen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) teilte in einer Pressemitteilung vom 28. Februar 2024 mit, dass sich in Deutschland verschiedene nationale Datenschutzbehörden an der Aktion beteiligen, wie z.B. aus Niedersachsen oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (wir berichteten in unserem Blog). Auch andere europäische Länder nehmen über ihre Datenschutzbehörden an der Aktion teil, u.a. Österreich, die Niederlande und die CNIL aus Frankreich. Mit der Aktion möchten die Behörden herausfinden, wie das Auskunftsrecht in der Praxis umgesetzt wird und ob Anpassungs- oder Klarstellungsbedarf in den Leitlinien des EDPB zum Auskunftsrecht besteht. Die Behörden werden zwar unterschiedlich vorgehen, aber ihre Ergebnisse gemeinsam auswerten, in einem Bericht veröffentlichen und u.a. über mögliche Durchsetzungsmaßnahmen entscheiden.

Doch nicht nur im Jahr 2024 und aufgrund dieser koordinierten Aktion der europäischen Datenschutzbehörden, sondern hiervon unabhängig, sollten datenverarbeitende Unternehmen die Anforderungen erfüllen, die Art. 15 DSGVO an sie stellt, um Schadensersatzforderungen zu vermeiden.

Fehlerhafte oder verspätete Auskünfte können Schadensersatzansprüche in empfindlichen Höhen zur Folge haben 

Hat der Betroffene einen Anspruch auf Auskunft, so ist der Verantwortliche verpflichtet, diese gemäß Art. 15 Abs. 3 DSGVO in Form einer Datenkopie zu erteilen. Bei der Erfüllung dieses Auskunftsanspruchs lauern Fehlerquellen, die dazu führen können, dass der Anspruch nicht hinreichend erfüllt wird. Je komplexer, umfangreicher und unübersichtlicher die Datenverarbeitung gestaltet ist, umso größer kann das Risiko fehlerhaft erteilter Auskünfte über den Datenbestand werden. So könnten die erteilten Informationen unvollständig, verspätet, gar nicht oder in nicht ausreichender Form erteilt werden – und schon ist ein Verstoß gegen Art. 15 DSGVO zu bejahen, der einen Schadensersatzanspruch nach Art. 82 DSGVO auslösen kann.

Die Spanne des zugesprochenen Schadensersatzes lag in den (bisher) öffentlich bekannten Verfahren, in denen der Anspruch auf einen Verstoß gegen Art. 15 DSGVO gestützt wurde, zwischen EUR 500 und EUR 10.000. Die große Spanne hängt nicht nur mit unterschiedlich gelagerten Sachverhaltskonstellationen, sondern auch einer fehlenden einheitlichen gerichtlichen Anwendung bei ähnlich gelagerten Fällen zusammen. Die neue Abhilfeklage kann zudem dazu führen, dass Schadensersatzansprüche in ähnlich gelagerten Fällen kollektiv geltend gemacht werden und sich so für den Verantwortlichen zu relevanten Summen aufaddieren könnten. Insbesondere deutsche Arbeits- und Landesarbeitsgerichte hatten sich bisher mit auf Verstöße gegen Art. 15 DSGVO gestützten Schadensersatzklagen nach Art. 82 DSGVO zu beschäftigen. Einige Verfahren sind oder waren zwischenzeitlich sogar beim Bundesarbeitsgericht (BAG) anhängig. 

Schadensersatzansprüche wegen Verstoßes gegen Art. 15 DSGVO: Ein Dauerbrenner vor den Arbeitsgerichten

Mit EUR 10.000 haben die Arbeitsgerichte (ArbG) in Duisburg und Oldenburg die höchsten Beträge im Rahmen eines Anspruchs aus Art. 82 und Art. 15 DSGVO bejaht. In dem Verfahren vor dem ArbG Oldenburg (Urteil v. 23. März 2023 – 3 Ca 44/23) ging es um eine verspätet und unvollständig erteilte Auskunft an einen Arbeitnehmer durch den Arbeitgeber in einem ehemaligen Arbeitsverhältnis nach Art. 15 DSGVO. Das ArbG zog zur Ermittlung der Höhe des zu leistenden Schadensersatzes Art. 83 Abs. 2 DSGVO heran und setzte den Betrag aus EUR 2.500 für jeweils zwei inhaltliche Verstöße gegen Art. 15 Abs. 1 DSGVO sowie aus EUR 5.000 für die vorsätzlich verspätete Auskunft zusammen und kam so zu der Summe von EUR 10.000. Als nachfolgende Instanz hob das LAG Düsseldorf (Urteil v. 28. November 2023 – 3 Sa 285/23) die Duisburger Entscheidung allerdings auf und wies die Klage ab, sodass dem ehemaligen Arbeitnehmer nunmehr kein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO, den die vorherige Instanz in dieser ungewöhnlicher Höhe bejaht hatte, zusteht. Das LAG Düsseldorf griff zur Verneinung des Anspruchs auf eine verbreitete Argumentation zurück (mehr dazu unten).

Das ArbG Oldenburg bejahte in einem anderen Verfahren bzgl. einer um 20 Monate verspätet erteilten Auskunft nach Art. 15 DSGVO an einen ehemaligen Arbeitnehmer dessen Schadensersatzanspruch gegen den ehemaligen Arbeitgeber ebenfalls in Höhe von EUR 10.000 (Urteil v. 9. Februar 2023 – 3 Ca 150/21). Auf diese hohe Summe kam das ArbG nachdem es einen Betrag von EUR 500 Schadensersatz für jeden Monat, in dem die Auskunftspflicht nicht erfüllt wurde, annahm und diesen bei einer Verspätung von 20 Monaten zu EUR 10.000 aufaddierte (ähnlich das ArbG Neumünster, aber wegen einer dreimonatigen Verspätung der Auskunft EUR 1.500 zusprechend [Urteil v. 11. August 2020 – 1 Ca 247 c/20]). Auch das Oldenburger Verfahren ging in die nächste Instanz und ist nun beim LAG Niedersachsen (12 Sa 219/23) anhängig. 

Üblich sind bei Verstößen gegen Art. 15 DSGVO allerdings geringere Beiträge als Schadensersatz. So ließ beispielsweise das LG Bonn (Urteil v. 1. Juli 2021 – 15 O 356/20) eine Dauer des Wartens von acht Monaten auf eine Auskunft nicht für einen Schadensersatzanspruch ausreichen, was das OLG Köln (Urteil v. 14. Juli 2022 – 15 U 137/21) als nachfolgende Instanz auf einen Schadensersatzanspruch in Höhe von EUR 500 abänderte. Das ArbG Düsseldorf (Urteil v. 5. März 2020 – 9 Ca 6557/18) berücksichtigte bei der Bemessung der Höhe des zu leistenden Schadensersatzes auch die Finanzkraft des Unternehmens, das gegen Art. 15 DSGVO verstoßen hatte, und sprach dem Betroffenen einen Anspruch in Höhe von EUR 5.000 zu (das Verfahren ist mittlerweile anhängig beim LAG Düsseldorf (14 Sa 294/20). Das LAG Berlin-Brandenburg (Urteil v. 18. November 2021 – 10 Sa 443/21) hielt im Falle einer unvollständigen Auskunft eines Arbeitgebers einen Betrag von EUR 2.000 für angemessen. Auch dieses Verfahren ist mittlerweile beim BAG anhängig (8 AZR 91/22), die mündliche Verhandlung in dieser Sache ist für den 20. Juni 2024 terminiert. 

Bejaht wurden Schadensersatzansprüche wegen Verstößen gegen Art. 15 DSGVO in der Arbeitsgerichtsbarkeit zudem u.a. durch: 

Doch nicht nur deutsche (Arbeits-)Gerichte beschäftigen sich mit Art. 15 DSGVO und Schadensersatzforderungen. Besonders bemerkenswert ist noch eine Entscheidung des AG Düsseldorf (Urteil v. 24. August 2023 – 51 C 206/23): In dem diesen Verfahren zugrunde liegenden Fall hatte der Betroffene einen Einkauf in einem Online-Shop getätigt, aber statt die Rechnung zu begleichen, Auskunft nach Art. 15 DSGVO gefordert. Nachdem das Unternehmen diese unzureichend erfüllt hatte, rechnete der Betroffene den Kaufpreis mit dem Schadensersatz nach Art. 82 DSGVO, den das AG Düsseldorf ihm in Höhe von EUR 500 zusprach, auf. In Österreich hat der Datenschutzaktivist Maximilian Schrems z.B. ein Urteil gegen ein soziales Netzwerk erwirkt, das ihm unvollständige und verspätete Auskunft über die ihn betreffenden gespeicherten Informationen erteilt hatte. Der Oberste Gerichtshof der Republik Österreich (OGH, Teilurteil v. 23. Juni 2021 – 6 Ob 56/21k) sprach einen eher symbolischen Betrag in Höhe von EUR 500 zu. 

Uneinheitlichkeit in der Rechtsprechung bei Verstößen gegen Art. 15 DSGVO: Klärung durch den EuGH

Einige Rechtsfragen zu Art. 82 DSGVO, die auch in Verfahren relevant werden, in denen Kläger Schadensersatz wegen eines Verstoßes gegen Art. 15 DSGVO verlangen, warteten lange Zeit oder warten immer noch auf obergerichtliche Klärung. Dies betraf zum einen die Frage, ob ein Schadensersatzanspruch nach Art. 82 DSGVO auszuschließen sei, wenn eine etwaige Erheblichkeitsschwelle oder Bagatellgrenze unterschritten werde. Zum anderen stellen einige Gerichte in Frage, ob ein Verstoß gegen die Pflichten aus Art. 15 DSGVO überhaupt Schadensersatzansprüche nach Art. 82 DSGVO auslösen kann.

EuGH stellt klar: Keine Erheblichkeitsschwelle oder Bagatellgrenze bei Art. 82 DSGVO

Erfolglos verliefen Schadensersatzklagen in der Vergangenheit insbesondere dann, wenn Gerichte für einen Anspruch gemäß Art. 82 DSGVO eine Erheblichkeitsschwelle oder Bagatellgrenze annahmen, die der kausal auf dem DSGVO-Verstoße beruhende und erlittene Schaden überschreiten müsse. Diese (vermeintliche) Voraussetzung wurde auch in Verfahren herangezogen, in denen über Schadensersatzansprüche wegen Verstoßes gegen Art. 15 DSGVO zu entscheiden war: So verlangte das z.B. LG Leipzig eine „Beeinträchtigung von einer gewissen Erheblichkeit“ und orientierte sich dafür u.a. an den Beispielen der Erwägungsgründe 75 und 85 der DSGVO. Das bloße Warten auf die Auskunft genüge dem Gericht zufolge nicht und so lehnte es den Schadensersatzanspruch ab (Urteil v. 23. Dezember 2021 – 03 O 1268/21). 

Ob eine solche Erheblichkeitsschwelle erreicht werden muss, war in der juristischen Fachliteratur und Rechtsprechung umstritten und wurde dem Europäischen Gerichtshof (EuGH) durch den OGH zur Klärung vorgelegt (Beschluss v. 15. April 2021 – 6 Ob 35/21x). Mit Urteil v. 4. Mai 2023 (C-300/21) hat der EuGH der Annahme einer solchen Erheblichkeitsschwelle oder Bagatellgrenze für Ansprüche aus Art. 82 DSGVO eine deutliche Absage erteilt und seine Rechtsprechung hierzu in weiteren folgenden Urteilen bestätigt. Auf einen Verstoß gegen die Auskunftspflicht des Art. 15 DSGVO gestützte Schadensersatzklagen können demzufolge nicht mehr unter Verweis auf das Nicht-Erreichen einer gewissen Erheblichkeit des erlittenen Schadens abgewiesen werden. Vielmehr kommt es darauf an, ob der Kläger im jeweiligen Einzelfall nachweisen kann, ob und inwieweit ein materieller oder immaterieller Schaden konkret erlitten wurde.

Umstritten: Stellt eine nicht erteilte Auskunft eine Datenverarbeitung dar?

Einen weiteren Grund für die Zurückweisung von Schadensersatzforderungen, die sich auf einen Verstoß gegen Art. 15 DSGVO stützen, sehen einige Gerichte in dem Wortlaut von Art. 82 Abs. 2 DSGVO sowie von Erwägungsgrund 146 der DSGVO und fordern für den Schadensersatzanspruch, dass der auszugleichende Schaden durch eine „Verarbeitung“ personenbezogener Daten verursacht wurde, sodass das bloße Warten auf Erfüllung des Auskunftsanspruchs keinen Schaden darstelle. Mit diesem Argument lehnte z.B. das LAG Nürnberg mit Urteil v. 25. Januar 2023 (4 Sa 201/22) einen Anspruch auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO eines Arbeitnehmers gegen dessen ehemaligen Arbeitgeber ab, nachdem die Vorinstanz dem Kläger noch einen Betrag in Höhe von EUR 4.000 für einen Verstoß gegen Art. 15 DSGVO zugesprochen hatte (ArbG Bamberg, Urteil v. 11. Mai 2022 – 2 Ca 942/20). Ähnlich argumentierte auch das LAG Düsseldorf, das mit Urteil v. 28. November 2023 (3 Sa 285/23) die o.g. Entscheidung des ArbG Duisburg (Urteil v. 23. März 2023 – 3 Ca 44/23) aufhob, in der dem Kläger wegen Verstoßes gegen Art. 15 DSGVO ein Schadensersatzanspruch in Höhe von EUR 10.000 zugesprochen wurde. Das LAG Düsseldorf schreibt hierzu in seiner Pressemitteilung, dass es bei einer „bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO“ an einer Datenverarbeitung fehle und dass der vom Kläger behauptete „Kontrollverlust“ über seine personenbezogenen Daten nicht ausreiche.

Mit ähnlichen Ausführungen nahmen auch das LG Düsseldorf mit Urteil v. 28. Oktober 2021 (16 O 128/20) und das LG Bonn mit Urteil v. 1. Juli 2021 (15 O 356/20; und ähnlich mit Urteil v. 1. Juli 2021 – 15 O 372/20) an, dass ein Verstoß gegen Art. 15 DSGVO nicht zu einem Anspruch nach Art. 82 DSGVO führe, da es sich bei einer verspätetet erteilten Auskunft nun einmal nicht um eine „Verarbeitung“ personenbezogener Daten handele und somit in diesen Fällen des Wartens auf Auskunft kein Schaden durch eine Datenverarbeitung entstanden sei. Dieser Auslegung durch das LG Bonn hat sich das OLG Köln (Urteil v. 14. Juli 2022 – 15 U 137/21) entgegengestellt und auf den Wortlaut des Art. 82 DSGVO verwiesen, der einen „Verstoß gegen diese Verordnung“ fordert. Das OLG kam daher zu dem Ergebnis, dass Verstöße gegen die Auskunftspflicht aus Art. 15 DSGVO sehr wohl Schadensersatzansprüche auslösen und bejahte einen Anspruch in Höhe von EUR 500 (ähnlich: ArbG Hannover, Urteil v. 23. Januar 2024 – 1 Ca 121/23).

Der EuGH führte in seinem wegweisenden Urteil v. 4. Mai 2023 (C-300/21) zu Art. 82 Abs 2. DSGVO aus:

Art. 82 Abs. 2 DSGVO […] übernimmt […] die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden. Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO […] in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken […] aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem […] Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten […] einen […] Schaden […] nach sich ziehen [kann]“ […].

Dieses EuGH-Urteil zog beispielsweise jüngst das OLG Dresden (Urteil v. 30. Januar 2024 – 4 U 1168/23) zur Untermauerung seiner Ansicht heran, dass eine Verletzung der Auskunftspflichten gemäß Art. 15 DSGVO keine „Verarbeitung“ personenbezogener Daten darstelle und daher keinen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auslösen könne.

Klargestellt hat der EuGH jedenfalls, dass nicht jeder DSGVO-Verstoß automatisch bedeutet, dass dem Betroffenen ein Schaden materieller oder immaterieller Art entstanden ist. 

Welchen Schaden ziehen nicht erfüllte Auskunftsverlangen nach sich?

Für einen Schadensersatzanspruch gemäß Art. 82 DSGVO muss ein ersetzbarer Schaden vorliegen. Soweit so gut – doch was ist der Schaden in den Fällen, in denen ein Auskunftsverlangen nach Art. 15 DSGVO fehlerhaft, verspätet oder gar nicht erfüllt wird? Für Betroffene entsteht in diesen Fällen eine Ungewissheit darüber, ob und welche personenbezogenen Daten von wem und wo zu welchen Zwecken verarbeitet worden sind und was mit diesen geschehen ist. Der verursachte Schaden kann also in einem Kontrollverlust über die eigenen personenbezogenen Daten liegen, wobei das bloße Behaupten eines solchen Kontrollverlustes dem LG München I schon im Jahr 2021 nicht ausreichte, um einen Schadensersatzanspruch gerichtlich geltend machen zu können ([Endurteil v. 2. September 2021 – 23 O 10931/20]; dies zeigen auch die vielen abweisenden Urteile in den sog. Scraping-Fällen in jüngster Zeit).

Das LG Berlin (Urteil v. 21. Dezember 2021 – 4 O 381/20) benennt in einem Verfahren, in dem allerdings kein Anspruch auf Schadensersatz geltend gemacht wurde, die Folgen eines Kontrollverlustes über die eigenen Daten: Durch die Unwissenheit darüber, was mit welchen Daten geschehen sein könnte, ist es dem Betroffenen nicht möglich, seine weiteren Rechte aus der DSGVO in vollem Umfang wahrzunehmen. Ohne Auskunft nach Art. 15 DSGVO könne der Betroffene insbesondere nicht auf eine Berichtigung gemäß Art. 16 DSGVO, eine Löschung nach Art. 17 DSGVO oder eine Einschränkung der Verarbeitung nach Art. 18 DSGVO hinwirken. Ein Hinweis auf das Bestehen genau dieser Rechte ist wiederum gemäß Art. 15 Abs. 1 Hs. 2 lit. e) DSGVO ausdrücklich von der Auskunftspflicht umfasst. Das OLG Köln erkannte in dem Fall einer verspäteten Auskunft durch einen Rechtsanwalt an, dass diese verzögerte Auskunft bei der Betroffenen Stress und Sorge um die rechtzeitige Regulierung ihrer Ansprüche im Rahmen des Mandats um einen Verkehrsunfall führe (Urteil v. 14. Juli 2022 – 15 U 137/21). Das OLG zog zur Auslegung die Erwägungsgründe 146 und 75 der DSGVO heran, wonach ein Kontrollverlust über personenbezogene Daten sowie ein drohender Einfluss auf die eigene wirtschaftliche Position ausreiche.

Der erlittene Schaden muss nachgewiesen werden

Der EuGH hat in seiner neuesten Rechtsprechung zuletzt konkretisiert, dass ein immaterieller Schaden keinen spürbaren Nachteil voraussetzt, aber vom Betroffenen nachgewiesen werden müsse. Pauschale Behauptungen genügen hier nicht. Beispielsweise haben andere Gerichte geltend gemachte Ansprüche auf Schadensersatz wegen nicht erfüllter Auskunftspflichten bereits aufgrund nicht ausreichend nachgewiesenen Schadens verneint wie u.a.:

  • das ArbG Gießen (Urteil v. 7. Juni 2023 – 2 Ca 327/22) mit dem Hinweis, dass der DSGVO-Verstoß nicht automatisch einen Schaden bedeute (das Verfahren ist inzwischen anhängig beim Hessischen LAG [17 Sa 720/23]);
  • das ArbG Hamburg (Urteil v. 14. November 2023 – 19 Ca 223/23) mit dem Hinweis, dass ein behaupteter Kontrollverlust oder „emotionales Ungemach“ bloße Schlagworte ohne inhaltliche Substanz seien;
  • das LG Köln (Urteil v. 16. Februar 2022 – 28 O 303/20), da der Kläger keinen immateriellen Schaden dargelegt habe;
  • das OLG Köln (Urteil v. 10. August 2023 – 15 U 149/22), da keine Darlegung eines kausal auf der Pflichtverletzung der Beklagten beruhenden Schadens durch den Kläger erfolgt sei;
  • nochmal das OLG Köln (Urteil v. 10. August 2023 – 15 U 184/22), da der Kläger keinen immateriellen Schaden dargelegt habe, mit dem Hinweis, dass eine lange Verzögerung und unterstellter „böser Wille“ nicht ausreichten;
  • OLG Brandenburg (Beschluss v. 5. März 2024 – 12 U 132/23) in einem Verfahren, in dem der Kläger EUR 8.000 als Schadensersatz verlangte; das OLG kam zu dem Ergebnis, dass kein Schaden entstanden sei, da pauschale Behauptungen eines Kontrollverlustes nicht genügten und da es sich bei Ärger, Unwohlsein und Stress um persönliche und psychische Beeinträchtigungen handele, zu denen konkrete Indizien vorgetragen und die durch einen Beweis und objektive Beweisanzeichen gestützt werden müssten;
  • das LAG Hamm (Urteil v. 2. Dezember 2022 – 19 Sa 756/22) mit dem Hinweis, dass ein DSGVO-Verstoß nicht automatisch einen Schaden bedeute und dass der Kläger keinen Schaden dargelegt habe; 
  • oder das LAG Mecklenburg-Vorpommern (Urteil v. 17. Oktober 2023 – 2 Sa 61/23) mit dem Hinweis, dass der DSGVO-Verstoß nicht automatisch einen Schaden bedeute und dass es sich bei Art. 82 DSGVO nicht um einen von dem Vorliegen eines konkreten Schadens losgelösten Strafschadensersatz handele.

Diese Beispiele machen deutlich: Zu dem erlittenen Schaden müssen Betroffene hinreichend konkret und deutlich vortragen, damit ein Anspruch auf Ersatz des Schadens zu bejahen ist. Die DSGVO spricht im Falle von Verstößen gegen ihre Vorschriften allerdings nicht nur Betroffenen Ansprüche auf Schadensersatz gegen den Verantwortlichen zu – zudem können behördliche Bußgelder drohen.

Auch Bußgelder können die Folge von Verstößen gegen die Pflichten aus Art. 15 DSGVO sein

Datenschutzbehörden können bei Verletzung der DSGVO-Vorschriften tätig werden und Bußgelder verhängen, die sich zum Teil auf erhebliche Beträge belaufen. Die Kriterien zur Bemessung der Höhe der Geldbuße richten sich dabei nach Art. 83 Abs. 2 DSGVO, wonach u.a. die Art und Dauer des Verstoßes sowie der Grad des Verschuldens maßgeblich sind. 

Art. 83 Abs. 5 DSGVO begrenzt die Geldbuße bei Verstößen u.a. gegen Art. 15 DSGVO der Höhe nach auf bis zu EUR 20.000.000 oder auf bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens – je nachdem welcher Betrag der höhere ist. So haben in den vergangenen Jahren u.a. Verstöße gegen Art. 15 DSGVO beispielweise eine Rolle gespielt bei Bußgeldern der französischen Datenschutzbehörde in Höhe von EUR 40 Mio.EUR 20 Mio. und EUR 1 Mio., der schwedischen Datenschutzbehörde in Höhe von EUR 4,9 Mio. oder der norwegischen Datenschutzbehörde in Höhe von EUR 900.000. Aber auch die deutschen Datenschutzbehörden verhängten Bußgelder, die u.a. auf nicht hinreichend erfüllten Auskunftsverlangen beruhten, in Höhe von EUR 500 bis EUR 300.000

All dies zeigt: Verstöße gegen die Auskunftspflicht des Art. 15 DSGVO können schnell erhebliche zu zahlende Summen nach sich ziehen – Sei es in Form von Schadensersatz oder Bußgeldern.

DSGVO-Compliance zur Vermeidung von Haftungsrisiken

Die Rechtsprechung zu Schadensersatzansprüchen aufgrund von Verstößen gegen das Auskunftsrecht aus Art. 15 DSGVO ist derzeit uneinheitlich. Zudem werden die an der o.g. koordinierten Aktion teilnehmenden Datenschutzbehörden auf deutsche Unternehmen zugehen und deren Umsetzung des Auskunftsrechts unter die Lupe nehmen. Für Unternehmen kann die koordinierte Aktion ein Anlass sein, ihre Auskunftsprozesse nochmals zu überprüfen und diese ggf. zu aktualisieren.

Mit unserem regelmäßig aktualisierten Blog-Beitrag zur Rechtsprechung zum Schadensersatz nach Art. 82 DSGVOinformieren wir Sie laufend zu diesem Thema. Einen Überblick über DSGVO-Bußgelder erhalten Sie über den CMS Enforcement Tracker, der auch nach Verstößen gegen Art. 15 DSGVO gefiltert werden kann. Sehen Sie zudem gerne: Umfang und Umsetzung des datenschutzrechtlichen Auskunftsanspruchs (cmshs-bloggt.de) und Schadensersatz wegen DSGVO-Verstoß – was droht Arbeitgebern? (cmshs-bloggt.de).

This article is also available in English.

* Gemeint sind Personen jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.

Tags: Auskunft Datenschutzrecht DSGVO Haftung


Avatar-Foto

Philippe Heinzke

weitere Artikel des Autors
Autor:innenprofil
Avatar-Foto

Reemt Matthiesen

weitere Artikel des Autors
Autor:innenprofil
Avatar-Foto

Julia Dreyer

weitere Artikel der Autorin
Autor:innenprofil
nach oben
© CMS Hasche Sigle 2024