von Tim WybitulDr. Isabelle Brams

Nach der Auffassung der Richter soll bereits ein Verstoß gegen datenschutzrechtliche Vorgaben einen zu ersetzenden Schaden nach Art. 82 Abs. 1 EU Datenschutz-Grundverordnung (DSGVO) darstellen. Die Haftung des Verantwortlichen soll zudem kein Verschulden voraussetzen.

Der 8. Senat des Bundesarbeitsgerichts (BAG) hat dem Europäischen Gerichtshof (EuGH) mit Beschluss vom 28. August 2021 einige Rechtsfragen zur Auslegung von Art. 9 und Art. 82 DSGVO zur Vorabentscheidung vorgelegt (Beschl. v. 26.08.2021 – 8 AZR 253/20 (A), hier abrufbar). Das BAG trifft dabei bereits einige recht deutliche Aussagen zu der aus seiner Sicht maßgeblichen Auslegung von Art. 82 DSGVO. Das BAG befürwortet eine sehr weite Auslegung der Norm und stellt ungewöhnlich niedrige Anforderungen an die Geltendmachung von Schadensersatz wegen Datenschutzverstößen. Danach soll bereits der bloße Verstoß gegen die Vorgaben der DSGVO einen ersatzfähigen immateriellen Schaden begründen. Die Haftung nach Art. 82 DSGVO setzt aus Sicht des BAG auch kein schuldhaftes Handeln des Verantwortlichen voraus. Sollte der EuGH diese extensive Auslegung bestätigen, drohen Unternehmen weitreichende Haftungsrisiken bis hin zu DSGVO-Massenklagen. Aber auch für bereits jetzt schon vor deutschen Gerichten anhängige Klagen wegen DSGVO-Schmerzensgeldern hat die Entscheidung Auswirkungen. Der vorliegende Beitrag stellt den Beschluss des BAG und seine Folgen für die Praxis dar.

Was sind die Hintergründe der Entscheidung?

Der Kläger war als IT-Spezialist bei einem Medizinischen Dienst der Krankenkassen tätig (MDK). Zu den Aufgaben des beklagten MDK zählt unter anderem die Erstellung von gutachtlichen Stellungnahmen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten. Der MDK führte eine solche Begutachtung auch bei dem bei ihm beschäftigten Kläger durch. Auf dieses Gutachten konnten sämtliche Mitarbeiter der IT-Abteilung des MDK zugreifen – so auch eine Kollegin des Klägers. Diese leitete dem Kläger ein über ihn angefertigtes Gutachten weiter, welches unter anderem auch die Diagnose einer schweren Depression auswies.

Der Kläger verlangte vom MDK daraufhin gemäß Art. 82 Abs. 1 DSGVO immateriellen Schadensersatz in Höhe von EUR 20.000. Zudem verlangte er Ersatz der von ihm aufgrund der Verarbeitung seiner Daten geltend gemacht materiellen Schäden in Form von Verdienstausfall. Das Arbeitsgericht Düsseldorf (4 Ca 6116/18) und das Landesarbeitsgericht Düsseldorf (12 Sa 186/19) hatten die Klage in den Vorinstanzen abgewiesen. Sie verneinten bereits das mögliche Vorliegen eines durch den MDK begangenen Datenschutzverstoßes.

Welche Aussagen hat das BAG getroffen?

Das BAG folgte der von den Vorinstanzen vertretenen Auffassung nicht. Vielmehr geht es davon aus, dass der MDK gegen die in Art. 9 DSGVO geregelten Vorgaben für die Verarbeitung von Gesundheitsdaten verstoßen habe. Dem Kläger stehe wegen dieses Verstoßes grundsätzlich auch immaterieller Schadensersatz nach Art. 82 Abs. 1 DSGVO zu. Nachstehend fassen wir die wesentlichen Aussagen des BAG in Bezug auf den Schadensersatz zusammen.

Verstoß gegen die DSGVO begründet bereits immateriellen Schaden

Nach Auffassung des BAG setzt ein Anspruch auf immateriellen Schadensersatz nicht voraus, dass die betroffene Person eine über den Datenschutzverstoß hinausgehende Beeinträchtigung „von einigem Gewicht“ dargelegt habe. Vielmehr begründe bereits der Verstoß gegen die DSGVO selbst einen auszugleichenden immateriellen Schaden. Das BAG vertritt insofern eine Rechtsauffassung, die etwa von der des Obersten Gerichtshofs Österreich (ÖOGH) in seinem Vorlagebeschluss zum EuGH (Beschl. v. 12. Mai 2021, 6 Ob 35/21x) abweicht. Wie viele andere deutsche Zivilgerichte vertritt auch der ÖOGH die Auffassung, dass die betroffene Person einen tatsächlichen und spürbaren Nachteil darlegen müsse, der über die bloße Verletzung der DSGVO hinausgehe (weitere Informationen über den Beschluss finden Sie hier). Der 8. Senat des BAG verzichtet hingegen vollständig auf den Nachweis eines konkreten Schadens. Falls sich diese Rechtsauffassung allgemein durchsetzen sollte, würde es für Kläger künftig deutlich leichter, erfolgreich immateriellen Schadensersatz einzuklagen.

Haftung setzt kein Verschulden voraus

Das BAG geht zudem davon aus, dass Art. 82 DSGVO eine verschuldensunabhängige Haftung des Verantwortlichen begründe. Der Anspruch auf Schadensersatz setze gerade nicht den Nachweis eines subjektiven Fehlverhaltens des Verantwortlichen voraus. Abweichendes folge auch nicht aus Art. 82 Abs. 3 DSGVO. Der Anwendungsbereich der Norm beschränke sich auf die Frage der Beteiligung an einem Datenschutzverstoß und damit verbundenen Kausalitätsfragen. Sie begründe hingegen kein Verschuldenserfordernis im Sinne eines „Vertretenmüssens“. Folgt man der Auffassung des BAG, so wird man künftig Schadensersatzansprüche nach Art. 82 DSGVO wie eine verschuldensunabhängige Gefährdungshaftung mit sehr niedrigen Anspruchsvoraussetzungen bewerten müssen.

DSGVO-Schadensersatz soll abschreckend wirken

Das BAG geht davon aus, dass Art. 82 DSGVO „in der gesamten Union eine autonome und einheitliche Auslegung erfahren muss“. Das kann man durchaus als eine Abkehr von der bisherigen Rechtsprechung deutscher Gerichte verstehen, die beim Zusprechen von immateriellem Schadensersatz bislang überwiegend zurückhaltend waren.

Aus Sicht des BAG soll DSGVO-Schadensersatz zudem abschreckend wirken. Falls sich diese Rechtsauffassung durchsetzt, würde dies voraussichtlich zur erfolgreichen Geltendmachung von höheren Schadenersatzforderungen führen. Der 8. Senat verweist zur Begründung auf Erwägungsgrund 146 DSGVO, wonach betroffene Personen vollständig und wirksam entschädigt werden soll. Es ist damit zu rechnen, dass Gerichte bei der Bemessung von immateriellen Schadensersatzansprüchen vermehrt general- und spezialpräventive Aspekte berücksichtigen werden. Dies kann künftig vor Gericht zu deutlich höheren Schadensersatzansprüchen führen.

Das BAG hat dem EuGH in Bezug auf die Schadensbemessung von DSGVO-Schadensersatzansprüchen zwei aus seiner Sicht entscheidungserhebliche Rechtsfragen zur Vorabentscheidung vorgelegt:

Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Wie wird der EuGH entscheiden?

Es ist nicht unwahrscheinlich, dass sich der EuGH den Wertungen des BAG anschließt. Der EuGH hat in der Vergangenheit oft sehr „pro Datenschutz“ geurteilt, ohne sich übermäßig mit den daraus resultierenden Praxisfolgen für Unternehmen zu befassen. Die Entscheidung des EuGH in Sachen Schrems II zu Datenübermittlungen in Drittstaaten zeigt dies deutlich (eine Analyse des Urteils können Sie hier abrufen). Es spricht daher einiges dafür, dass der EuGH auch dieses Vorlageersuchen nutzen könnte, um den Datenschutz und die Rechte betroffener Personen auf Kosten der Verantwortlichen aus seiner Sicht noch weiter zu stärken. Die Argumente des BAG könnten somit durchaus durch den EuGH bestätigt werden.

Was sind die Folgen für Unternehmen?

Ein gewisser Trend hin zu höherem DSGVO-Schadensersatz für Datenschutzverstöße zeichnet sich bereits seit einiger Zeit ab (weitere Informationen dazu finden Sie hier). Das BAG setzt mit seinem Beschluss in dieser Diskussion ein weiteres Ausrufezeichen. Die vom BAG getroffenen Wertungen sind im Ergebnis ausgesprochen arbeitnehmer- bzw. verbraucherfreundlich. Sollte der EuGH der vom BAG vertretenen Auslegung von Art. 82 DSGVO folgen, kämen auf Unternehmen voraussichtlich weitreichende Haftungsrisiken zu. Klägervertreter werden die Entscheidung des 8. Senats in künftigen Schriftsätzen in Verfahren um DSGVO-Schadensersatz mit Sicherheit aufgreifen. Mit derart klaren Aussagen eines Bundesgerichts werden sich beispielsweise auch ordentliche Zivilgerichte in künftigen Entscheidungen also voraussichtlich auseinandersetzen müssen.

Können betroffene Personen jetzt einfacher Schadensersatz verlangen?

Folgt man den vom BAG vertretenen Argumenten, wird es für betroffene Personen deutlich leichter, Ansprüche auf immateriellen Schadensersatz vor Gericht erfolgreich durchzusetzen. Da aus Sicht des BAG der bloße Verstoß gegen die DSGVO einen ersatzfähigen Schaden begründet, müssen Kläger lediglich das Vorliegen eines solchen Verstoßes und eine subjektiven Betroffenheit darlegen. Aufgrund der vom BAG angenommenen verschuldensunabhängigen Haftung, können sich Verantwortliche in diesem Fall auch nicht nach Art. 82 Abs. 3 DSGVO exkulpieren.

Bislang waren viele Gerichte in Deutschland eher davon ausgegangen, dass ein Schadensersatzanspruch nach Art. 82 DSGVO den Nachweis eines konkreten und spürbaren Schadens voraussetzt, der über die bloße Verletzung der DSGVO hinausgehe (vgl. OLG Bremen, Beschl. v. 16.07.2021 – 1 W 18/21; OLG Stuttgart, Urt. v. 31.03.2021 – 9 U34/21). Weitere Nachweise zur aktuellen Rechtsprechung finden Sie in unserer Latham DSGVO-Schadensersatztabelle.

Drohen Unternehmen jetzt DSGVO-Massenklagen?

Bereits vor einer abschließenden Entscheidung durch den EuGH kommt dem Beschluss des BAG eine erhebliche Signalwirkung für die Praxis zu.

Es ist damit zu rechnen, dass Kläger und Verbraucheranwälte die vom BAG getroffenen Wertungen vermehrt in laufenden und künftigen Klageverfahren auf Schadensersatz nutzen werden, um ihre Positionen zu untermauern. Die Entscheidung des BAG erschwert es Richtern künftig, Klagen auf Schadensersatz wegen eines fehlenden oder nicht nachgewiesenen Schadens oder Verschuldens abzuweisen, ohne sich mit der Argumentation des BAG zu befassen.

Kläger und Verbraucheranwälte könnten auf dieser Basis deutlich einfacher und effektiver DSGVO-Schadensersatzklagen geltend machen. So können Unternehmen insbesondere nach Datenpannen Massenklagen drohen. Weitere Informationen zum Geschäftsmodell von spezialisierten DSGVO-Verbraucherplattformen können Sie hier abrufen.

Was kann ich als Unternehmen tun, um mich auf mögliche Verfahren vorzubereiten?

Die durchschnittliche Verfahrensdauer beim EuGH beträgt ein bis zwei Jahre. Unternehmen sind gut beraten, dieses Zeitfenster als eine Art Umsetzungsfrist zu nutzen, in der sie ihre Datenschutzstrukturen im Hinblick auf mögliche Klageverfahren auf Schadensersatz optimieren. Hierzu können unter anderem die folgenden Maßnahmen zählen:

  • Gerichtsfeste Dokumentation: Unternehmen sollten die von ihnen zur Umsetzung der DSGVO ergriffenen Maßnahmen umfassend (und gerichtsfest!) dokumentieren. Man sollte in der Lage sein vor Gericht nachzuweisen, dass die eigenen Datenschutzstrukturen den datenschutzrechtlichen Vorgaben entsprechen – zumal dies das einzige vom BAG zugelassene Verteidigungsargument gegen DSGVO-Schadensersatzansprüche ist. Die Form der Dokumentation sollte für Richter verständlich sein.
  • Überprüfung von Datenschutzstrukturen: Unternehmen sollten ihre Datenschutzstrukturen dahingehend prüfen, ob und an welchen Stellen sie möglichen Klägern Angriffsfläche bieten könnten. Dies gilt beispielsweise für den Umgang mit Auskunftsanträgen nach Art. 15 DSGVO. Nach dem vom BAG vertretenen Ansatz könnte etwa die verspätete oder vermeintlich unzureichende Beantwortung eines Auskunftsersuchens für sich betrachtet bereits einen Schaden der betroffenen Person begründen (so bereits das Arbeitsgericht Düsseldorf, weitere Informationen dazu finden Sie hier).
  • Einsatz von Dienstleistern: Zudem sollten Unternehmen Auftragsverarbeiter oder sonstige Dienstleister nur noch mit der Verarbeitung personenbezogener Daten betrauen, die sie nachweislich hinreichend gründlich ausgesucht, angewiesen und überwacht haben. In diesem Bereich kommen in der Praxis nicht selten Fehler vor. Da Art. 82 DSGVO nach Ansicht des BAG eine verschuldensunabhängige Haftung begründet, müssen Verantwortliche gegebenenfalls auch für Datenschutzverstöße von Auftragsverarbeitern haften.

Fazit

Es bleibt zu hoffen, dass der EuGH den Rechtsauffassungen des BAG nicht folgt. Auch vor einer Entscheidung durch den EuGH sind Unternehmen gut beraten, sich auf mögliche Schadensersatzklagen vorzubereiten. Verbraucheranwälte, Prozessfinanzierer und sonstige Rechtsdienstleister nutzen gerade Datenpannen oder sonstige Cybersecurity Incidents, aber auch das Bekanntwerden möglicher Verstöße gegen die komplexen Vorgaben der DSGVO, zunehmend, um Gerichtsverfahren gegen Beteiligte Unternehmen anzustrengen. Allerdings zeigt die Erfahrung auch, dass man sich mit einer gründlichen Verteidigung vor Gericht auch durchaus erfolgreich gegen derartige Forderungen wehren kann.