In Bezug auf DSGVO-Verstöße zeichnet sich langsam ein neuer Trend ab. Wurde von deutschen Gerichten in der Vergangenheit generell eher zurückhaltend immaterieller Schadensersatz zugesprochen (Art. 82 DSGVO), geht es nun eher in Richtung Strafschadensersatz ganz nach dem Vorbild der USA.

In diesem Artikel geben wir Ihnen einen Überblick über den neuen Trend an deutschen Gerichten in Bezug auf DSGVO-Verstöße.

Bisherige Rechtsprechung

Bisher stellte die Rechtsprechung fallbezogen Kriterien zu Beurteilung des immateriellen Schadens bei Datenschutzverstößen auf. Demnach musste der Schaden eine „konkrete und deutlich erkennbare Relevanz aufweisen, die eine finanzielle Kompensation geboten erscheinen lässt“.

Diese lag nicht schon bei einer Verletzung des Datenschutzes selbst! Es bedurfte vielmehr einer (erheblichen) Persönlichkeitsrechtsverletzung nach den strengen Vorgaben des Art. 82 Abs. 1 DSGVO. Diese können beispielsweise Rufschädigungen in der Öffentlichkeit sein.

Neuer Trend – Strafschadensersatz

Im folgenden möchten wir Ihnen neuere Urteile kurz zusammenfassen, damit Ihnen die Neuerungen deutlich werden.

Arbeitsgericht Düsseldorf, Urteil vom. 5.3.2020 – 9 Ca 6557/18

Das Arbeitsgericht Düsseldorf entschied hier, dass der Begriff des Schadens auf eine Art und Weise weit auszulegen ist, die den Zielen der DSGVO in vollem Umfang entspricht. 

Ein immaterieller Schaden entsteht dabei nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt. Er entsteht, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren.

Kurz: hier ist der Kontrollverlust über die eigenen personenbezogenen Daten bereits als ersatzfähiger Schaden anerkannt worden!

Das Arbeitsgericht Lübeck sprach in seinem Urteil vom 20.06.2020 (Az. 1 CA 538/19) von einer „effektiven Ahndung“ bei datenschutzrechtlichen Verstößen.

Arbeitsgericht Pforzheim, Urteil vom 25.3.2020 – 13 C 160/19

In diesem Urteil stellte das Arbeitsgericht Pforzheim fest, dass der Schadensersatz nach Art. 82 DSGVO auch eine abschreckende Wirkung haben muss. Das Gericht beziffert den Schadensersatzanspruch unter Abwägung sämtlicher Gesichtspunkte des konkreten Falles auf 4.000,- €. Ein solcher Betrag ist ausreichend, aber auch erforderlich, um eine Abschreckungswirkung zu erzielen und dem Kläger zugleich Genugtuung für das erlittene Unrecht zu gewährleisten. 

Die Richter begründeten ihre Entscheidung auch damit, dass es im vorliegenden Fall um die Weitergabe von Gesundheitsdaten geht. Hierbei handelt es sich generell um besonders sensible Daten.

Dass der Schadensersatz bei DSGVO-Verstößen auch eine abschreckende Wirkung haben soll, bestätigte auch das Arbeitsgericht Dresden in seinem Urteil vom 26.08.2020 (Az. 13 Ca 1046/20). Nach Ansicht der Richter am ArbG Dresden müsse nach den Grundsätzen des „effet utile“, also der europarechtlichen Verpflichten das nationale Recht nach dem Effektivitätsgrundsatz im Sinne des Europarechts auszulegen und zur Geltung kommen zu lassen, eine abschreckende Schadensersatzhöhe ausgesprochen werden. Nur so wird man nach Ansicht der Richter dem Art. 4 Abs. 3 EUV gerecht. 

Landgericht Frankfurt, Urteil vom 18.09.2020 – 2/27 O 100/20

Auch das LG Frankfurt stellte im September diesen Jahres nur niedrige Anforderungen an die Ersatzfähigkeit des Schadens, lehnte aber gleichermaßen einen Schadensersatzanspruch wegen fehlender Kausalität ab. 

Nach Ansicht der Richter muss der Schaden wegen eines Verstoßes gegen die DSGVO entstanden sein. Es muss also ein Verstoß gegen die DSGVO und dessen Kausalität für den Schaden festgestellt werden. Ein Rechtsgut der betroffenen Person muss infolge der Verletzung einer Norm der DSGVO im Vergleich zum status quo ante nachteilig verändert worden sein.

Fazit

All diese neuen Urteile zum Thema Datenschutzverstößen zeigen, dass seit neuestem weniger hohe Anforderungen an den Schadensbegriff gem. Art. 82 Abs. 1 DSGVO gestellt wurden. Daraus kommt es zu einem Strafschadensersatz bei DSGVO-Verstößen, wenn ein Schaden (wie oben dargelegt) schon bei Kontrollverlust anerkannt wird. 

Auch eine Abschreckungswirkung bei ausgesprochen Schadensersatzansprüche scheint mit Begründung der europarechtlichen Verpflichtung äußerst fraglich! 

In Zukunft könnte dadurch der Art. 82 Abs. 1 DSGVO missbraucht werden, um Schadensersatzansprüche zur erhalten. 

Liest man sich den Art. 82 Abs. 1 DSGVO einmal genauer durch, findet man nichts von einer Bußgeldvorschriften die ausdrücklich eine abschreckende Höhe verlangt:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Anders ist das in Art. 83 Abs. 1 DSGVO:

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“

Hätte der europäische Gesetzgeber gewollte, dass ein Verstoß gegen Art. 82 Abs.1 DSGVO eine abschreckende Wirkung hat, hätte er es ausdrücklich geschrieben. 

Unternehmen könnten nun schnell schon für kleinere Verstöße gegen die DSGVO verklagt werden.

Sie haben Fragen zum Thema DSGVO? Ihnen wird ein Verstoß gegen die DSGVO vorgeworfen oder Sie sehen Ihre personenbezogenen Daten gefährdet? Melden Sie sich bei uns!

Unser erfahrenes Team steht Ihnen schnell und unkompliziert zur Seite und berät Sie gern.