von Tim WybitulDr. Isabelle Brams

Latham unterstützt MediaMarktSaturn vor EuGH gegen DSGVO-Schadensersatzforderung

Das Amtsgericht Hagen hat dem Europäischen Gerichtshof („EuGH“) verschiedene Fragen zur Geltendmachung von Schadensersatzforderungen nach Art. 82 DSGVO vorgelegt (Rs. C-687/21). Ein Kläger hatte von der Saturn Electro-Handelsgesellschaft Hagen mbH, einem Unternehmen der MediaMarktSaturn-Gruppe, Schadensersatz gefordert, da ihn betreffende Vertragsunterlagen versehentlich einem anderen Kunden ausgehändigt worden waren.

Der EuGH soll unter anderem entscheiden, ob Kläger bei der Geltendmachung von immateriellem DSGVO-Schadensersatz einen konkreten Schaden darlegen müssen. Zudem soll der EuGH die für die Praxis wichtige Frage beantworten, ob bereits bloßes Unbehagen einen erstattungsfähigen Schaden im Sinne von Art. 82 DSGVO begründen kann. Die anstehende Entscheidung des EuGH wird erhebliche Folgen für die Praxis haben.

Der Fall

Der Kläger hatte bei einem Saturn-Markt eine Waschmaschine gekauft. An der Warenausgabe waren zwei von einer Behinderung betroffene, aber uneingeschränkt für diese Tätigkeit geeignete Saturn-Mitarbeiter beschäftigt. Bei der Abholung an der Warenausgabe drängte sich ein anderer Kunde ihm vor. Die vor Ort tätigen Mitarbeiter hatten das Vordrängeln des anderen Kunden nicht wahrgenommen. Daher übergaben die Mitarbeiter ihm die nicht für ihn bestimmte Waschmaschine zusammen mit einer Mappe, die den Kaufvertrag sowie Unterlagen zu einem Kreditvertrag des Klägers enthielt. Die entsprechenden Unterlagen zeigten neben dem Namen und der Anschrift auch den Arbeitgeber, das Einkommen und die Bankdaten des Klägers. Der andere Kunde hat die Daten allerdings unstreitig nicht zur Kenntnis genommen. Die Verwechslung wurde schnell aufgedeckt. Der Leiter der Warenausgabe konnte innerhalb von 30 Minuten die Mappe sowie die richtige Waschmaschine zurückerlangen.

Der beklagte Saturn-Markt bot dem Kläger zum Ausgleich an, die Waschmaschine unentgeltlich zu liefern. Dieses Angebot nahm der Kläger zwar an. Er forderte aber nach erfolgter Lieferung eine darüber hinaus gehende Entschädigung.

Rechtlicher Hintergrund

Der EuGH soll unter anderem klären, ob der Kläger aufgrund des Vorfalls einen Anspruch auf immateriellen Schadenersatz nach Art. 82 DSGVO hat. Der Fall ist ein gutes Beispiel für eine aktuelle und für Unternehmen sehr bedrohliche Entwicklung. Immer mehr Kläger fordern vor deutschen und anderen europäischen Gerichten Schadensersatz wegen tatsächlichen oder vermeintlichen Datenschutzverstöße. Als zu erstattenden Schadensposten führen sie dabei häufig den Verlust über die Kontrolle der eigenen Daten an.

Die Hagener Richter möchten vom EuGH unter anderem wissen, ob ein solcher Kontrollverlust einen ersatzfähigen immateriellen Schaden begründen kann. Dabei ist zu berücksichtigen, dass der andere Kunde den Inhalt der Mappe nachweislich gar nicht zur Kenntnis genommen hat. Aus Sicht der Hagener Richter besteht aber bei jeder unberechtigten Offenlegung von Daten die nicht auszuschließende Möglichkeit, dass diese gegenüber einer unbekannten Vielzahl von Personen weiterverbreitet oder gar missbraucht werden könnten. Das hiermit verbundene Unbehagen könne einen ersatzfähigen Schaden begründen.

Es sprechen gute Argumente gegen eine derart extensive Auslegung von Art. 82 DSGVO. Nach der klaren Systematik der DSGVO begründet ein Datenschutzverstoß für sich betrachtet gerade keinen Schaden. Vielmehr bedarf es eines über den bloßen Datenschutzverstoß hinausgehenden Schadens. Für diese Auffassung spricht insbesondere der Wortlaut von Art. 82 DSGVO, der einen Schaden “wegen” eines Verstoßes fordert. Auch die Erwägungsgründe 75, 85 S. 1, 146 S. 1 und S. 6 DSGVO trennen eindeutig zwischen den beiden Merkmalen Verstoß und Schaden.

Auch das von den Hagener Richtern angeführte „Unbehagen“ genügt nicht, um einen ersatzfähigen Schaden zu begründen. Vielmehr muss der festgestellte Schaden eine gewisse Erheblichkeit erreichen. Für diese Auffassung sprechen insbesondere Erwägungsgrund 75 und 85 S. 1 DSGVO.

Schließlich kann der Verantwortliche durch eine rechtzeitige und angemessene Reaktion den Schadenseintritt verhindern. Diese in Erwägungsgrund 85 S. 1 DSGVO vorgesehene Option wäre hinfällig, wenn die bloße Weitergabe von Daten an einen unbefugten Dritten bereits einen Schaden begründen könnte. Richtigerweise setzt ein Schaden voraus, dass die unbefugte Person die maßgeblichen personenbezogenen Daten auch tatsächlich zur Kenntnis nimmt.

Bewertung und Ausblick

Der Fall ist ein gutes Beispiel dafür, wie Verbraucher oder Klägeranwälte mittlerweile immer öfter versuchen, aus tatsächlichen oder vermuteten Datenschutzverstößen Gewinn zu schlagen. Nicht selten sprechen deutsche und andere europäische Gerichte Klägern in vergleichbaren Fällen tatsächlich Schadensersatz nach Art. 82 DSGVO zu. In Deutschland liegt die höchste bislang zugesprochene Schadenssumme bei 5000 Euro. Auch das Bundesarbeitsgericht hat in einer Vorlageentscheidung zum EuGH kürzlich einen ganz ähnlichen extensiven Kurs vertreten.

Es steht zu hoffen, dass der EuGH ausufernden Forderungen wie der vorliegenden eine Absage erteilt. Allerdings haben die Luxemburger Richter in der Vergangenheit oft sehr datenschutzfreundliche Entscheidungen gefällt. Sollte der EuGH Art. 82 DSGVO extensiv auslegen und keinen Nachweis eines eingetretenen Schadens fordern, brechen gerade für auf solche Verfahren spezialisierte Verbraucheranwälte und Dienstleister voraussichtlich sehr lukrative Zeiten an.

Unternehmen sollten sich daher schon jetzt auf die Verteidigung gegen derartige DSGVO-Schadensersatzforderungen vorbereiten. Hierfür kann es sehr ratsam sein, mögliche Schwachstellen beim Datenschutz zu identifizieren und abzustellen. Gerade Sachverhalte oder Prozesse, bei denen im Fall von Fehlern eine Vielzahl von Klagen droht, sind dabei genau zu überprüfen. Ein gutes Beispiel hierfür sind etwa Datenpannen oder Hackerangriffe, durch die die Daten vieler Kunden oder Mitarbeiter offengelegt werden können. Auch eine gute Verteidigungsstrategie kann sehr hilfreich sein, solche Klageverfahren für sich zu entscheiden.

Einen stetig aktualisierten Überblick hierzu gibt die Latham DSGVO-Schadensersatztabelle. Weitere Informationen und einen aktuellen Überblick zur neueren Rechtsprechung finden Sie auch in der Zeitschrift für Datenschutz (ZD). Diesen Beitrag können Sie hier mit freundlicher Genehmigung des Verlags C.H. Beck abrufen.