Bei DSGVO-Verstößen drohen hohe Bußgelder, Rufschäden und andere Nachteile. Nach einem neueren Urteil des ArbG Düsseldorf müssen Unternehmen nun schon bei kleinsten Datenschutz-Fehlern hohe Schadensersatzansprüche von Verbrauchern fürchten.
Anders als nach dem bis zum 25. Mai 2018 geltenden Recht können betroffene Personen seit Geltung der EU-Datenschutz-Grundverordnung (DSGVO) Ansprüche auf Ersatz immaterieller Schäden deutlich einfacher geltend machen und durchsetzen. Für Daten verarbeitende Unternehmen kann das weitreichende Folgen haben.
Die unzulässige Verarbeitung personenbezogener Daten führt in der Praxis typischerweise eher zu einer Verletzung von Persönlichkeitsrechten als zu Vermögensschäden. Weil ein Datenschutzvorfall in der Regel aber nicht einen einzelnen Kunden oder Mitarbeiter, sondern eine Vielzahl von Menschen betrifft, kann die einfachere Geltendmachung von Schadensersatzansprüchen für Unternehmen ein großes finanzielles Risiko bedeuten.
Andererseits kann es damit durchaus lukrativ sein, Ansprüche auf Ersatz immaterieller Schäden durchzusetzen. In Deutschland haben sich bereits erste Anbieter darauf spezialisiert, Forderungen nach Art. 82 DSGVO massenhaft geltend zu machen. Dabei setzen Verbraucheranwälte oder Prozessfinanzierer zunehmend auch Legal-Tech-Anwendungen ein, um mit überschaubarem Aufwand viele Gerichtsverfahren führen zu können.
Nun liegt ein Urteil des Arbeitsgerichts Düsseldorf vor, das diesem Geschäftsmodell Auftrieb geben könnte. Falls sich weitere Gerichte dieser Linie anschließen sollten, müssten sich Unternehmen künftig auf eine Vielzahl von Schadensersatzprozessen nach Art. 82 DSGVO einstellen.
"Der Begriff des Schadens sollte weit ausgelegt werden"
Die Vorschrift sieht das Recht auf Schadensersatz für jede Person vor, der wegen eines Datenschutzverstoßes ein materieller oder immaterieller Schaden entstanden ist.
Laut Erwägungsgrund 146 DSGVO soll eine von einem Datenschutzverstoß "betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden" erhalten. Dort heißt es auch: "Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht."
Einige Kläger folgern daraus, dass betroffenen Personen bei DSGVO-Verstößen hohe immaterielle Schadensersatzansprüche zustünden. Denn, so ihre Begründung, nur eine weite Auslegung von Art. 82 DSGVO würde der DSGVO zu einer effektiven Durchsetzung verhelfen.
Schaden hier, DSGVO-Vorgaben dort: Wer was beweisen muss
Zudem argumentieren Kläger oft, Unternehmen müssten beweisen, dass sie personenbezogene Daten gesetzeskonform verarbeiten. Denn Art. 5 Abs. 2 DSGVO erlegt datenschutzrechtlich Verantwortlichen eine sogenannte Rechenschaftspflicht auf. Danach müssen Verantwortliche in der Lage sein, gegenüber den Datenschutzbehörden nachzuweisen, dass ihre Prozesse, Strukturen und Datenverarbeitungen den komplexen Anforderungen der DSGVO entsprechen.
Zwar sieht die DSGVO gerade keine zivilrechtliche Beweislastregelung vor. Dennoch gehen einige Fachleute davon aus, dass eine wirksame Rechtsdurchsetzung in Zivilprozessen eine solche Beweislastumkehr zu Gunsten der Kläger erfordere. Sollte sich die Rechtsprechung dieser Ansicht anschließen, hätten Kläger gute Chancen, im Rahmen von Schadensersatzklagen nennenswerte Beträge zu erstreiten. Schließlich müssten Unternehmen dann beweisen, dass sie sämtliche komplexen Vorgaben der DSGVO richtig umgesetzt haben.
Bisher haben die Gerichte Art. 82 DSGVO aber eher zurückhaltend ausgelegt. Insbesondere haben viele Gerichte eine umfassende Beweislastumkehr zugunsten von Klägern abgelehnt. Zudem gehen die meisten Gerichte davon aus, dass Art. 82 DSGVO eine sogenannte Bagatellschwelle enthalte.
Demnach müssten Kläger, auch wenn sie immaterielle Ersatzansprüche geltend machen, einen spürbaren Schaden darlegen und nachweisen. Allein ein möglicher Verstoß gegen datenschutzrechtliche Vorgaben soll demnach für sich genommen noch keinen ersatzfähigen Schaden darstellen, urteilte beispielsweise das Landgericht Karlsruhe.
ArbG Düsseldorf: Kehrtwende beim Schadensersatz
Das Arbeitsgericht (ArbG) Düsseldorf geht nun deutlich weiter. Die Düsseldorfer Richter sprachen einem Kläger immateriellen Schadenersatz in Höhe von 5.000 Euro zu, weil sein früherer Arbeitgeber seinen Auskunftsantrag verspätet und unvollständig beantwortet habe (ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca 6557/18).
Der in Art. 15 DSGVO geregelte Auskunftsanspruch soll betroffenen Personen Transparenz über die sie betreffenden Datenverarbeitungen verschaffen. Die Düsseldorfer Richter urteilten, dass bereits die unrichtige Erteilung einer solchen Auskunft einen ersatzfähigen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstelle. Denn die unvollständige Auskunftserteilung erschwere dem Kläger die Kontrolle über seine personenbezogenen Daten.
Das Arbeitsgericht verneinte auch das Erfordernis einer Bagatellschwelle. Der Schadensersatz müsse zudem abschreckend sein, um dem europarechtlichen Effektivitätsgrundsatz Rechnung zu tragen. Daher müsse man bei der Bemessung seiner Höhe auch die finanzielle Leistungsfähigkeit des beklagten Unternehmens berücksichtigen. Denn, so die Düsseldorfer Richter, nur ein spürbarer Schadensersatz wirke abschreckend auf finanzstarke Unternehmen.
Diese Wertungen sind überraschend. Denn während von Behörden zur Ahndung von Verstößen verhängte Bußgelder nach dem Wortlaut von Art. 83 Abs. 1 DSGVO tatsächlich ausdrücklich abschreckend wirken sollen, ist für den Schadensersatzanspruch in Art. 82 DSGVO eine entsprechende Vorgabe gerade nicht vorgesehen. Die Düsseldorfer Richter hatten aber anscheinend eine Art Strafschaden nach US-amerikanischem Vorbild im Sinn.
Extensive Auslegung könnte DSGVO-Klagen lukrativ machen
Einen ähnlichen Ansatz verfolgt offenbar auch die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit (BInDI). Sie rät beispielsweise betroffenen Personen, deren Daten entgegen den Vorgaben des EuGH-Urteils Schrems II aus der EU übermittelt werden, dazu, Schadensersatz einzuklagen. "Dieser dürfte insbesondere den immateriellen Schaden ('Schmerzensgeld') umfassen und müsse nach dem europäischen Recht eine abschreckende Höhe aufweisen", meinte die BInDI in der vergangenen Woche.
Falls weitere Gerichte den Ansichten des Arbeitsgerichts Düsseldorf folgen sollten, müssten sich Unternehmen künftig auf eine Vielzahl von Schadensersatzprozessen nach Art. 82 DSGVO einstellen. Eine extensive Auslegung von Art. 82 DSGVO könnte es für Kläger, Verbraucheranwälte und Prozessfinanzierer lukrativ machen, immaterielle Schäden wegen tatsächlicher oder vermeintlicher DSGVO-Verstöße einzuklagen. So prognostiziert etwa der gewerkschaftsnahe Bund-Verlag, dass Arbeitnehmer künftig – etwa im Falle einer Kündigung – standardmäßig Auskunftsansprüche nach Art. 15 DSGVO geltend machen werden, um einen Schadenersatzanspruch gegen ihren Arbeitgeber vorzubereiten.
Die Entscheidung des ArbG Düsseldorf ist noch nicht rechtskräftig, die Berufung beim Landesarbeitsgericht (LAG) Düsseldorf anhängig. Es ist also durchaus möglich, dass die nächste Instanz die Wertungen des Arbeitsgerichts noch korrigieren wird. Unternehmen sind dennoch gut beraten, ihre Datenschutz- und Auskunftsprozesse zu überprüfen und gegebenenfalls anzupassen.
Nach Urteil über 5.000 Euro für Datenschutzverstoß: . In: Legal Tribune Online, 24.07.2020 , https://www.lto.de/persistent/a_id/42305 (abgerufen am: 02.11.2024 )
Infos zum Zitiervorschlag