Tim Wybitul, Dr. Isabelle Brams

Kürzlich hat mit dem LG Darmstadt erstmals ein deutsches ordentliches Zivilgericht ein Unternehmen dazu verurteilt, immateriellen Schadensersatz nach Art. 82 DSGVO zu zahlen. Zuvor hatte bereits das Arbeitsgericht Düsseldorf einem Kläger Schadensersatz wegen eines DSGVO-Verstoßes zugesprochen. Sollten sich Gerichte künftig an dieser Rechtsprechung orientieren, so dürften auf Unternehmen erhebliche Schadensersatzforderungen zukommen. Der vorliegende Überblick bewertet die beiden Entscheidungen und zeigt ihre möglichen Folgen für die Praxis.

Der Fall ArbG Düsseldorf: 5.000 Euro immaterieller Schadensersatz

Das Arbeitsgericht Düsseldorf hat kürzlich ein Unternehmen dazu verurteilt, einem ehemaligen Mitarbeiter 5.000 Euro Schadensersatz zu zahlen (Urteil vom 5. März 2020 – 9 Ca 6557/18). Nach den Feststellungen des Arbeitsgerichts hatte das Unternehmen nicht fristgemäß und vollständig auf einen Auskunftsantrag nach Art. 15 DSGVO geantwortet. Das Arbeitsgericht nahm in dem Fall einen erstattungsfähigen Nichtvermögensschaden im Sinne von Art. 82 DSGVO an. Damit legte das Arbeitsgericht den Schadensbegriff der DSGVO sehr weit aus. Weitere Informationen zum Urteil des Arbeitsgericht Düsseldorf können Sie hier abrufen.

Der Fall LG Darmstadt: 1.000 Euro immaterieller Schadensersatz

Das Landgericht Darmstadt hat kürzlich einem Kläger 1.000 Euro an immateriellen Schadenersatz zugesprochen (Urteil vom 26. Mai 2020 – 13 O 244/19). Der Kläger hatte sich um eine Arbeitsstelle bei dem beklagten Unternehmen beworben. Dieses hatte irrtümlich eine E-Mail nicht an den Kläger, sondern an einen Dritten versandt. Diese E-Mail enthielt unter anderem die Gehaltsvorstellungen des Klägers. Der Arbeitgeber informierte den Kläger zunächst nicht über diesen Vorfall. Das Landgericht ging davon aus, dass der Arbeitgeber damit gegen die in Art. 6 DSGVO und Art. 34 DSGVO geregelten Vorgaben verstoßen habe. Der Kläger habe die Kontrolle über seine personenbezogene Daten verloren. Dies begründet aus Sicht des Landgerichts einen immateriellen Schaden im Sinne von Art. 82 DSGVO. Das Landgericht legt die Norm – wie bereits das Arbeitsgericht Düsseldorf – sehr weit aus. Neben dem Anspruch auf immateriellen Schadenersatz kann der Kläger vom beklagten Unternehmen zudem verlangen, die weitere Verarbeitung seiner personenbezogenen Daten zu unterlassen.

Drohen Unternehmen neben Bußgeldern und Nachteilen für das Geschäftsmodell „amerikanische Verhältnisse“ hinsichtlich Klagen auf immateriellen Schadensersatz?

Da beide Urteile noch nicht rechtskräftig sind, ist es noch deutlich zu früh, um von einer Trendwende der Rechtsprechung zu sprechen. Allerdings zeigen beide Entscheidungen, dass erste Gerichte durchaus dazu bereit sind, Klägern Forderungen auf nennenswerten immateriellen Schadensersatz zuzusprechen. Die Gerichte legen Art. 82 DSGVO dabei sehr weit aus. Danach erleiden betroffene Personen bereits dann einen immateriellen Schaden, wenn sie die Kontrolle über ihre personenbezogenen Daten verlieren. Es kommt demnach gerade nicht darauf an, dass den betroffenen Personen infolge des Kontrollverlustes auch ein konkreter Schaden entstanden ist. Sollten andere Gerichte der weiten Auffassung des Landgerichts Darmstadt folgen, könnten auf Unternehmen erhebliche Schadensersatzforderungen zukommen. Denn Datenschutzverstöße betreffen in der Praxis oftmals eine Vielzahl von betroffenen Personen.

Es überrascht daher nicht, dass sich Gerichte in Deutschland zunehmend mit Klagen auf immateriellen Schadensersatz befassen. Kläger verweisen zur Begründung ihrer Ansprüche typischerweise auf den unionsrechtlichen Effektivitätsgrundsatz und die Erwägungsgründe der DSGVO. Nach Erwägungsgrund 146 Satz 3 DSGVO soll der Begriff des Schadens „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung im vollen Umfang entspricht.” Der Europäische Gerichtshof (EuGH) legt die Vorgaben zum Datenschutz zum Schutz der betroffenen Personen bekanntlich streng aus. Diesen Ansatz hat der EuGH in einer kürzlich ergangenen Entscheidung zu Datenübermittlungen in die Vereinigten Staaten erneut bestätigt (Urteil vom 16. Juli 2020 – C-311/18, „Schrems II“, eine ausführliche Bewertung dieses Urteils ist hier abrufbar). Daran anknüpfend hat kürzlich die Europäische Gesellschaft für Datenschutz (EuGD) für einen Kläger eine Klage auf immateriellen Schadensersatz gegen einen großen Versand-Händler eingereicht. Die EuGD behauptet, dass der Versandhändler trotz der „Schrems II“-Entscheidung weiterhin auf Basis des EU-/US-Privacy Shield Abkommens personenbezogene Daten in die USA übermittele. Die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit hatte kurz zuvor bereits in einer Pressemitteilung festgestellt, dass Verstöße gegen die Vorgaben für Datenübermittlungen „abschreckend“ wirken müssen (die Pressemitteilung ist hier abrufbar).

Die vorstehend genannten Stimmen verkennen jedoch, dass die DSGVO gerade keinen einschränkungslosen Ansprüche auf immateriellen Schadensersatz gewährt. Dies wird beispielsweise aus dem bereits zitierten Erwägungsgrund 146 deutlich. In dessen Satz 6 ist ausdrücklich von einem „erlittenen Schaden“ die Rede. Dies setzt jedoch einen konkreten, über die konkrete Verletzungshandlung hinausgehenden Nachteil voraus. Der bloße Verlust der Kontrolle über personenbezogene Daten würde für sich betrachtet daher keinen immateriellen Schadensersatzanspruch begründen. Erforderlich ist vielmehr eine tatsächliche und spürbare Beeinträchtigung. Diese Auffassung hatten in der Vergangenheit bereits mehrere Gerichte ausdrücklich bestätigt (vgl. OLG Dresden, Hinweisbeschluss vom 11.06.2019 – 4 U 760/19; OLG Innsbruck, Urteil vom 13. Februar 2020 – 1 R 182/19b). Danach stellen bloße Unannehmlichkeiten oder unerhebliche Beeinträchtigungen gerade keinen immateriellen Schaden dar. Die Gerichte haben aber noch nicht abschließend festgelegt, wann die Erheblichkeitsschwelle überschritten ist und wer insofern die Darlegungs- und Beweislast trägt.

Ausblick

 Die Entscheidungen des Arbeitsgerichts Düsseldorf und des Landgerichts Darmstadt sind noch nicht rechtskräftig. Es bleibt daher abzuwarten, wie sich die Instanzgerichte zur Auslegung von Art. 82 DSGVO positionieren werden. Insbesondere ist noch weitgehend offen, wer im Rahmen von Schadensersatzprozessen die Darlegungs- und Beweislast trägt und wie hoch ein angemessener Schadensersatz zu bemessen ist. Die Urteile des Arbeitsgerichts Düsseldorf und des Landgerichts Darmstadt zeigen aber deutlich, dass Unternehmen gut beraten sind, sich effektiv auf mögliche Schadensersatzprozesse wegen Datenschutzverletzungen vorzubereiten.