Die Urteile zu DSGVO-Schadensersatzansprüchen mehren sich und die Diskussionen um DSGVO-Verbandsklagen werden immer lauter. Ein genauerer Blick lohnt sich.
Aktuelle Urteile bringen mehr Klarheit dazu, wie teuer Verstöße gegen die Datenschutzgrundverordnung (DSGVO) werden können. In mehreren Fällen hatten Kläger auf Schadensersatz wegen Verletzung von Vorschriften der DSGVO geklagt. In einem Fall ging es um die Löschung eines Posts in einem sozialen Netzwerk, in einem anderen um eine behauptete Datenpanne und in einer wiederum anderen um eine Falschzusendung von Kontoauszügen durch eine Hausbank.
Die tatsächlichen Hintergründe der Klagen könnten nicht unterschiedlicher sein. Eines eint sie jedoch: Die Rechtsgrundlage für die Beurteilung eines möglichen Schadensersatzanspruchs richtet sich in allen Fällen nach Artikel 82 DSGVO und dieser könnte bald Grundlage von EU-Verbandsklagen werden. Es lohnt sich daher, einen kritischen Blick auf die Urteile zu werfen und zu überlegen, welche Maßnahmen Unternehmen zur Vermeidung von Schadensersatzansprüchen umsetzen können.
Rechtliche Grundlagen des Schadensersatzanspruchs finden sich in Art. 82 DSGVO
Gemäß Artikel 82 DSGVO hat
jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadensersatz.
Dies gilt unabhängig davon, ob es sich bei dem Anspruchsgegner um eine Privatperson, ein Unternehmen oder eine Behörde handelt.
Bei dem Schadensersatzanspruch gemäß Artikel 82 DSGVO handelt es sich um eine eigene Anspruchsgrundlage, neben der weitere Schadensersatzansprüche – etwa wegen Vertragsverletzung oder allgemein deliktische Schadensersatzansprüche des Bürgerlichen Gesetzbuchs (BGB) gemäß § 823 Abs. 1 BGB oder § 823 Abs. 2 BGB i.V.m. Art. 2 Abs. 1, 1 Abs. 1 des Grundgesetzes – in Betracht kommen.
Die betroffene Person, die einen DSGVO-Schadensersatzanspruch geltend macht, muss das Vorliegen
- eines tatsächlichen Verstoßes gegen die DSGVO,
- eines materiellen oder immateriellen Schadens sowie
- der Ursächlichkeit des DSGVO-Verstoßes für den Eintritt des Schadens
nachweisen.
Das für einen Schadensersatzanspruch erforderliche Verschulden des in Anspruch genommenen Verantwortlichen wird, wie im allgemeinen Schuldrecht des BGB, vermutet. Der Verantwortliche wird von seiner Haftung nur dann gem. Art. 82 DSGVO befreit,
wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Hierdurch unterscheidet sich der eigentlich deliktische DSGVO-Schadensersatzanspruch von den deliktischen Schadensersatzansprüchen des BGB, bei denen der Verletzte das Verschulden des Verletzers nachweisen muss.
Wesentlicher Unterschied zu der Rechtslage vor Geltung der DSGVO ist, dass der Schadensersatzanspruch nicht nur auf materielle Schäden, d.h. Vermögensverluste beschränkt ist, sondern auch immaterielle Schäden erfasst. Immaterielle Schäden können etwa Rufschädigungen, gesellschaftliche Nachteile, der Kontrollverlust über die eigenen personenbezogenen Daten oder die unbefugte Aufhebung der Pseudonymisierung sein.
Der DSGVO-Schadensersatzanspruch kann gemäß Artikel 79 Abs. 2 DSGVO vor den Gerichten des EU-Mitgliedsstaates eingeklagt werden, in denen der Anspruchsgegner seinen Sitz hat oder in denen sich der Kläger gewöhnlich aufhält. Soll gegen das hoheitliche Handeln einer Behörde vorgegangen werden, besteht dieses Wahlrecht nicht; in diesem Fall sind ausschließlich die Gerichte am Sitz der Behörde zuständig. Da die Regeln des nationalen Prozessrechts gelten, solange sie den Aussagen und Wertungen der DSGVO nicht widersprechen, sind für Klageverfahren zwischen Privatpersonen die Zivilgerichte zuständig, während bei Klageverfahren gegen hoheitliches Handeln von Behörden die Verwaltungsgerichte zuständig sind.
Bisher haben sich insbesondere das Oberlandesgericht Dresden, das Landgericht Frankfurt a.M. und das Landgericht Köln in Zivilverfahren mit den Anspruchsvoraussetzungen des DSGVO-Schadensersatzanspruchs auseinandergesetzt.
OLG Dresden: Kein Schadensersatzanspruch bei Löschung eines Hassrede-Posts in sozialem Netzwerk
Das OLG Dresden entschied mit Urteil vom 20. August 2020 (Az. 4 U 784/20), dass die Löschung von Posts durch ein soziales Netzwerk zwar grundsätzlich eine Verarbeitung von Daten im Sinne der DSGVO sei, dies für sich genommen jedoch keinen ersatzfähigen Schaden darstelle.
Der Kläger hatte gegen ein soziales Netzwerk wegen der Löschung eines Posts und der 30-tägigen Sperrung seines Nutzerkontos geklagt. Konkreter Gegenstand des Rechtsstreits war folgende Äußerung des Klägers als Reaktion auf einen Artikel mit dem Titel „Menschen in Seenot muss geholfen werden″:
I.F. Die geringsten Brüder (und Schwestern) kommen aber nicht. Die hätten auch andere Sorgen als unsere Frauen anzugrapschen (oder zu ermorden) und Ämter zu zerlegen, wen sie nicht genug Geld bekommen. Invasoren aufzunehmen fordert Jesus nicht von uns. Und fremde Götter ins Land zu lassen gleich gar nicht.
Das OLG Dresden hat sowohl einen Schadensersatzanspruch wegen Verletzung des allgemeinen Persönlichkeitsrechts (APR) gemäß Artikel 1, 2 Abs. 1 GG als auch wegen Verletzung der DSGVO verneint.
Hierdurch werden in dem Urteil die unterschiedlichen Anforderungen an Schadensersatzansprüche wegen Persönlichkeitsrechtsverletzung und wegen Verletzung des spezielleren Datenschutzrechts deutlich: Bei behaupteter Verletzung des APR steht Anspruchstellern ein immaterieller Schadensersatz nur dann zu, wenn die Verletzung schwerwiegend ist. Im Gegensatz hierzu kommt es bei dem Schadensersatzanspruch wegen einer Verletzung der DSGVO nicht auf eine besondere Schwere der Verletzung an.
In dem vorliegenden Fall hatte das OLG Dresden die Schwere der Persönlichkeitsrechtsverletzung des Klägers verneint. Die Entscheidung darüber, ob eine schwerwiegende Persönlichkeitsrechtsverletzung vorliege, hänge insbesondere von der Bedeutung und Tragweite des Eingriffs ab. Dies sei bei der Löschung nur eines Beitrags und einer nur befristeten Sperrung des Nutzeraccounts nicht vorstellbar. Indem der Kläger gerade mal einen Schadensersatzanspruch in Höhe von EUR 1.500,00 einklage, mache er zudem deutlich, dass er selbst nur von einer geringen Eingriffsschwere ausgehe.
Obwohl der Anspruch auf Ersatz eines immateriellen Schadens gemäß Artikel 82 DSGVO nicht nach der Schwere der Verletzung datenschutzrechtlicher Vorschriften differenziert, verneint das OLG Dresden konsequenterweise den Anspruch bereits mangels Verletzung der DSGVO. Die Löschung des Posts stelle zwar eine Verarbeitung personenbezogener Daten dar, hierfür bestehe jedoch eine Rechtsgrundlage. Der Kläger habe durch das Akzeptieren der Nutzungsbedingungen zugestimmt, dass eigene Äußerungen in dem sozialen Netzwerk gelöscht werden können, wenn sie gegen das Verbot der Hassrede verstießen. Hierdurch habe er in die Datenverarbeitung gemäß Artikel 6 Abs. 1 lit. a) DSGVO eingewilligt.
LG Frankfurt a.M.: Nicht jede Datenschutzverletzung führt zu einem Schadensersatzanspruch
Das LG Frankfurt a.M. wies mit Urteil vom 18. September 2020 (Az. 2 27 O 100/20) eine auf Zahlung von Schadensersatz i.H.v. EUR 8.400,00 gerichtete Klage wegen einer Datenpanne zurück.
Konkret ging es bei dem Rechtsstreit um ein Bonusprogramm eines Zahlungsdienstleisters und bekannten Kreditkartenunternehmens, das für die Durchführung des Bonusprogramms einen externen Dienstleister beauftragte. Dieser externe Dienstleister agierte hierdurch als Auftragsverarbeiter gemäß Artikel 28 DSGVO. Nachdem Ende Mai 2019 ein unbefugter Zugriff auf die IT-Systeme des externen Dienstleisters entdeckt wurde, ließen das Kreditkartenunternehmen und sein externer Dienstleister die Firewall des Dienstleisters von einer IT-Sicherheitsfirma überprüfen. Noch bevor die Überprüfung beendet werden konnte, wurden die für das Bonusprogramm erhobenen Daten, mitunter auch die Kreditkartennummern, von 90.000 Teilnehmern des Bonusprogramms am 19. August 2019 im Internet veröffentlicht. Erst zehn Tage nach deren Veröffentlichung wurden die Daten aus dem Internet entfernt.
Der Kläger macht geltend, dass die Veröffentlichung der Daten zeige, dass das Kreditkartenunternehmen die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen nicht umgesetzt und deren Einhaltung durch den externen Dienstleister nicht ausreichend überprüft habe. Der externe Dienstleister habe ein unverändertes Initialpasswort für ein Administratorenkonto verwendet und habe die Primary Account Number, d.h. die Kreditkartennummer, ohne die Verwendung von Hashes gespeichert.
Das LG Frankfurt a.M. nimmt an, dass es sich bei der Veröffentlichung der Daten um eine öffentliche „Bloßstellung″ handele, und mithin ein immaterieller Schaden vorliege. Das Landgericht ist jedoch der Ansicht, dass der Kläger nicht habe nachweisen können, dass ein Verstoß gegen die DSGVO vorliege, der für die Veröffentlichung ursächlich gewesen sei. Der Kläger sei hierfür darlegungs- und beweisbelastet, hätte aber bereits nicht konkret genug vorgetragen. Die Veröffentlichung sei lediglich mögliche Folge eines Verstoßes gegen die DSGVO, nicht aber ein Verstoß an sich. Der Kläger könne insbesondere nicht nachweisen, dass das Kreditkartenunternehmen seine Auswahl- und Überwachungspflichten gemäß Artikel 28 DSGVO verletzt habe. Dass der externe Dienstleister ein nicht geändertes Initialpasswort verwendet habe, lasse keinen sicheren Schluss darauf zu, dass die Veröffentlichung gerade hierdurch verursacht worden sei oder durch andere Sicherheitsvorkehrungen hätte verhindert werden können.
Auch der Umstand, dass über den Veröffentlichungsakt hinaus die Daten weiterhin zugänglich waren, reiche für einen Schadensersatzanspruch gemäß Artikel 82 DSGVO nicht aus. Anders als durch die Veröffentlichung sei dem Kläger hierdurch bereits kein (weiterer) Schaden entstanden. Das LG Frankfurt a.M. ist der Ansicht, dass
nicht jede Datenschutzrechtverletzung in Form einer nicht (vollständig) rechtskonformen Datenverarbeitung […] automatisch ein ersatzfähiger Schaden [sei]. (vgl. etwa Wybitul, NJW 2019, 3265 mwN). Vielmehr [müsse] die Verletzungshandlung auch zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben. Eine weite Auslegung des Schadensbegriffs nach Art. 82 DSGVO, nach dem mit jedem Verstoß ein Schaden begründet wird […], [widerspreche] der Systematik des deutschen Rechts.
LG Köln: Eine uferlose Haftung muss vermieden werden
Das LG Köln entschied mit Urteil vom 7. Oktober 2020 (Az. 28 O 71/20) über einen Anspruch auf Schadensersatz wegen einer einmaligen Falschzusendung von Kontoauszügen.
Die Klägerin hatte nach dem Tod ihrer Mutter das Girokonto bei der verklagten Hausbank übernommen. Die Beklagte versandte die dazugehörigen Kontoauszüge jedoch nicht an die Klägerin, sondern an einen Rechtsanwalt, der als Betreuer der verstorbenen Mutter tätig gewesen war. Die Klägerin behauptet, dass sie die Falschzusendung psychisch belastet habe. Sie habe hierdurch Herzrasen bekommen, sei nervös geworden, habe angefangen zu zittern und zu weinen. Grund hierfür sei, dass der Rechtsanwalt bei einem die Klägerin sehr belastenden Erbrechtsstreit auf der Gegenseite gestanden habe.
Das LG Köln wies die auf EUR 25.000,00 gerichtete Klage auf Schadensersatz gemäß Artikel 82 DSGVO zurück. Dies begründet es damit, dass
Grundlage der Fehlversendung […] eine versehentliche Falscherfassung im System der Beklagten [gewesen sei], die unmittelbar nach Kenntnisnahme korrigiert wurde. Das Zuerkennen von Schmerzensgeld in derartigen Bagatellfällen würde die Gefahr einer nahezu uferlosen Häufung der Geltendmachung von Ansprüchen bergen, was nicht Sinn und Zweck von Art. 82 DSGVO entsprechen [könne].
Erstinstanzliche Gerichte setzen den DSGVO-Schadensersatzanspruch vorsichtig um
Die ersten Urteile in Deutschland zu DSGVO-Schadensersatzansprüchen zeigen, wie viel Auslegungsmöglichkeiten die auf den ersten Blick klare Vorschrift des Artikel 82 DSGVO bietet. Die Urteile aus Dresden, Frankfurt a.M. und Köln machen deutlich, dass die Gerichte eine insgesamt vorsichtige und restriktive Anwendung des DSGVO-Schadensersatzanspruchs verfolgen.
Auslegung der erstinstanzlichen Gerichte nicht immer überzeugend
Ob es dabei bleiben wird, ist fraglich, denn gerade die erstinstanzlichen Landgerichte scheinen sich mit der Umsetzung des Unionsrechts schwer zu tun. Hierdurch bestehen rechtliche Angriffsmöglichkeiten, die im Rahmen einer Berufung geltend gemacht werden können.
Das LG Köln und das LG Frankfurt a.M. setzen sich mit ihrer Begründung in direkten Widerspruch zum Wortlaut des Artikels 82 DSGVO, der für die Zuerkennung eines Schadensersatzanspruchs nicht nach der Schwere der Verletzungshandlung unterscheidet. Voraussetzung für den Schadensersatzanspruch ist allein ein Verstoß gegen die DSGVO. Hierdurch unterscheidet sich der DSGVO-Schadensersatzanspruch gerade von dem Anspruch auf Schadensersatz wegen einer Verletzung des APR.
Es verwundert daher umso mehr, dass das LG Frankfurt a.M. bei der Auslegung des Schadensbegriffs eine Orientierung an der Systematik des deutschen Rechts anstrebt. Artikel 82 DSGVO gilt direkt. Eine Umsetzung oder Konkretisierung durch den deutschen Gesetzgeber ist nicht erforderlich. Nachvollziehbar wird zwar überwiegend vertreten, dass das Haftungsregime des BGB ergänzend gilt, dies bedeutet jedoch nicht, dass hierdurch Wertungen des EU-Gesetzgebers verdrängt werden. Die nationalen Regime sollen auf der DSGVO aufsetzen, diese ausfüllen und ergänzen, ihr jedoch nicht widersprechen.
Nach dem Erwägungsgrund 146 der DSGVO soll
[d]er Begriff des Schadens […] im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.
Zudem sollen
[d]ie betroffenen Personen […] einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.
Eine Eingrenzung auf Schäden mit einer gewissen Erheblichkeit widerspricht diesen Erwägungen.
Auch die rechtlichen Überlegungen des LG Frankfurt a.M. zur Darlegungs- und Beweislast des Klägers sind nicht vollständig überzeugend. Richtigerweise geht das Landgericht davon aus, dass der Anspruchsteller, darlegungs- und beweisbelastet ist. Dies bedeutet jedoch nicht, dass bei Umständen, die nur in der Sphäre der anderen Partei liegen, eine Umverteilung der Beweislast nicht möglich wäre (sog. sekundäre Beweislast). Zwar regelt die DSGVO selbst eine Beweislastumkehr in Artikel 82 Abs. 3 DSGVO nur hinsichtlich des Verschuldens, die allgemeinen zivilprozessualen Grundsätze gelten jedoch auch hier. Eine ergänzende Anwendung des nationalen Rechts wäre in diesem Fall geboten.
Unternehmen sollten Datenschutzmaßnahmen möglichst genau dokumentieren
Obwohl die ersten Urteile das Vorliegen eines DSGVO-Schadensersatzanspruchs verneinen, sollten Unternehmen alle Maßnahmen ergreifen, die eine Verteidigung erleichtern. Da eine vertragliche Abbedingung des DSGVO-Schadensersatzanspruchs nicht zulässig ist, können Unternehmen einen Verzicht auf die Geltendmachung etwaiger Schadensersatzansprüche nicht wirksam in ihren allgemeinen Geschäftsbedingungen vereinbaren.
Unternehmen sollten ihren Fokus daher darauf legen, sich zu exkulpieren. Am Ende müssen sie nachweisen zu können, dass sie für den eingetretenen Schaden nicht verantwortlich sind. Dies kann durch eine möglichst genaue Dokumentation der Erfüllung der Anforderungen der Datenschutzgesetze, aber auch durch Zertifizierungen erfolgen.
Neue EU-Richtlinie zu Verbandsklagen machen Schadensersatzanspruch attraktiv für Verbraucherverbände
Unternehmen sollten auch die abzeichnende Konkretisierung der DSGVO-Verbandsklage im Auge behalten. Im Juni dieses Jahres haben sich die Mitgliedsstaaten der EU und das Europäische Parlament auf eine europäische Verbandsklage geeinigt.
Durch die Umsetzung einer Richtlinie über Verbandsklagen zum Schutz der Kollektivinteressen von Verbrauchern sollen Verbraucherorganisationen Entschädigungen für ganze Gruppen von Verbrauchern erwirken können. Es ist damit zu rechnen, dass die Richtlinie am 25. November 2020 vom Präsidenten des Europäischen Parlaments und dem Präsidenten des Rates der EU unterzeichnet wird und dadurch in Kraft tritt. Danach haben die Mitgliedsstaaten Zeit, die Richtlinie in ihr nationales Recht umzusetzen.