Wann entstehen bei Datenschutzverstößen Schadensersatzansprüche?

In den letzten Monaten häuften sich Klagen und Entscheidungen zum Anspruch auf Schadensersatz für Betroffene von Datenschutzverstößen und Datenpannen. Die Gerichte urteilen dabei teilweise sehr unterschiedlich. Demnächst könnten Entscheidungen des EuGH und des Bundesgerichtshofs für mehr Rechtssicherheit sorgen.

Kommt es in einem Unternehmen zu einer Datenpanne oder gar zu bewussten Verstößen gegen die Datenschutzvorgaben, kann dies nicht nur Bußgelder in erheblicher Größenordnung nach sich ziehen. Zusätzlich haben auch die Betroffenen unter Umständen einen Anspruch auf Schadensersatz bzw. Schmerzensgeld gegenüber Verantwortlichen.

Klärungsbedarf beim Anspruch auf Schadensersatz wegen Verletzungen der DSGVO

Unter welchen Voraussetzungen ein Anspruch bei Verletzungen des DSGVO im Umgang mit persönlichen Daten besteht, wie Kausalität und Verschulden zu beweisen sind  und welche Schwelle der Schaden erreichen muss, um einen Anspruch auszulösen, das ist bisher umstritten. Das es sich bei der DSGVO um EU-Recht handelt, ist die Auslegung des Gesetzes Sache der europäischen Gerichtsbarkeit. Mit Beschluss vom Januar hat das BVerfG die Auslegung des Anspruchs auf Schadensersatz aus Art. 82 DSGVO dem EuGH vorgelegt. Ein anderer Rechtsfall zur  Problematik der Beweislastbei DSGVO-Schadensersatzansprüchen wird wohl in Kürze vor dem BGH landen.

Schadenersatzansprüche nach DSGVO

Die Regelungen dazu finden sich in Art. 82 DSGVO und nahezu drei Jahre nachdem die Vorgaben der DSGVO verbindlich in Kraft getreten sind, mehren sich mittlerweile auch die Fälle, bei denen Gerichte über geltend gemachte Ansprüche von Betroffenen entscheiden müssen. Allerdings zeichnet sich bei den bislang ergangenen Entscheidungen keine einheitliche Linie ab. Mal sehen die Gerichte die Klagen als begründet an, mal werden sie in vergleichbaren Fällen mangels relevanter Schädigung abgewiesen.

Kriterien für Entscheidungen zu Datenschutzverletzungen

Für die Bewertung des Vorliegens einer relevanten Verletzung spielt es eine Rolle, ob der individuelle Schaden, der Einzelnen etwa durch eine Datenpanne entstanden ist gering bleibt oder viele bzw. sensible Daten umfasst und wie hoch das Risiko ist, dass durch unberechtigte Zugriffe auf Daten wie Name, E-Mail-Adresse oder Alter noch größere Schäden entstehen.

Schließlich muss, wenn es sich nicht um bewusste Umgehung oder Verletzung von Datenschutzpflichten, sondern um eine Datenpanne handelt, dem Verantwortlichen auch eine Pflichtverletzung beim Umgang mit den Daten nachgewiesen werden können, denn nur dann bestehen Schadensersatzansprüche.

Uneinheitliche Rechtsprechung zum DSGVO-Schadensersatz

Jahre nach dem Inkrafttreten der DSGVO lässt sich bei den Bußgeldern zwar zumindest eine Linie erkennen, zum Schadensersatz für von Verstößen Betroffene ist dagegen noch keine Einheitlichkeit ersichtlich:

Im Falle der Klage eines Mastercard-Kunden gegen das Kreditkartenunternehmen entschied etwa das Landgericht Frankfurt gegen den Kläger. Dieser hatte vom Unternehmen ein Schmerzensgeld von etwas mehr als 2.500 EUR verlangt, nachdem seine persönlichen Kontaktdaten von Hackern aus einer Datenbank entwendet und im Internet zusammen mit zahlreichen weiteren Datensätzen aus diesem Diebstahl in Umlauf gebracht worden waren und er anschließend Spam-Mails und unerwünschte Werbeanrufe bekommen hatte. 

Der Kläger warf dem Unternehmen vor, die Daten nur unzureichend geschützt zu haben und ihn zudem verspätet über das Datenleck informiert zu haben. Mastercard vertrat dagegen die Meinung, dass man ein ausreichendes Schutzniveau für die Daten geboten habe und daher keinen Verstoß gegen die DSGVO begangen habe. Das LG Frankfurt a. M.  schloss sich in seinem Urteil (v. 18.01. 2021, 2-30 O 147/20) dieser Auffassung an.

Beweislast für die Ursache des Datendiebstahls 

Der Kläger habe es versäumt, schlüssig vorzutragen, aus welcher Art von Nachlässigkeit oder Fehlverhalten des Unternehmens sich eine Pflichtverletzung herleiten ließe. Allein aus dem Umstand, dass es zu einem ein Datenleck gekommen sei, könne man nicht auf eine Pflichtverletzung schließen. Zudem sei es nicht sicher, dass die Spam-Mails und Werbeanrufe tatsächlich auf dieses Datenleck zurückzuführen seien, da dazwischen mehrere Monate verstrichen waren. Es sei Sache des Klägers darzulegen und zu beweisen, dass das Datenleck auf­grund einer Pflichtverletzung der Beklagten oder ihrer Erfüllungsgehilfen entstanden ist.

Beweislastumkehr betrifft nur das Verschulden

Auf die Beweislastumkehr des Art. 82 Abs. 3 DSGVO könne er sich insoweit nicht berufen. Diese beträfe nur das Verschulden, nicht die Frage nach der Ursache eines Datenlecks (LG Frankfurt a. M., Urteil v. 18.01. 2021, 2-30 O 147/20).  Ebenso entschied in einem anderen Verfahren aufgrund derselben Datenpanne bei Mastercard das LG Karlsruhe (Urteil v. 09.02.2021, 4 O 67/20) gegen einen Kläger, der einen Schadensersatz in Höhe von 5.000 EUR  gefordert hatte. Auch die Karlsruher Richter waren der Ansicht, dass allein der Umstand, dass es zu einem Datendiebstahl gekommen war, einen sicheren Schluss auf einen Verstoß gegen Art 5 Abs. 1 DSGVO nicht zulasse.

OLG Stuttgart lässt Revision zum BGH zu

In einem weiteren Verfahren, bei dem es ebenfalls um die Mastercard-Datenpanne ging, hat sich jetzt auch das OLG Stuttgart mit der Problematik der Beweislast beschäftigt und ähnlich entschieden. In der Entscheidung vom 31.03.2021 (Az: 9 U 34/21) wiesen die Richter die Berufung einer Klägerin gegen ein Urteil der Vorinstanz (LG Stuttgart, Urteil v. 11.11.2020, 14 O 273/20) zurück.

Das OLG vertritt in der Urteilbegründung den Standpunkt, dass die DSGVO keine ausdrücklichen Bestimmungen zur Beweislast enthalte und damit weiterhin die allgemeinen Beweisregeln des Prozessrechts gelten.

  • Somit bleibe es beim allgemeinen Grundsatz, dass der von der Datenpanne betroffene Anspruchsteller die Voraussetzungen für seine Ansprüche nachzuweisen habe.
  • Erst nach der Feststellung eines Verstoßes könne dann die Regelung in Art. 82 Abs. 3 DSGVO herangezogen werden, wonach der Verantwortliche nur dann nicht schadensersatzpflichtig ist, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Aufgrund der grundsätzlichen Bedeutung dieser Rechtsfragen ließ das OLG ließ allerdings die Revision zum Bundesgerichtshof zu. Hierüber könne dann höchstrichterlich die bislang strittige Frage der Beweislastverteilung bei Ansprüchen aus dem Art. 82 DSGVO geklärt werden.

Überzogene Schufa-Meldung als unberechtigte Datenübermittlung  

Mehr Erfolg hatte dagegen der Kunde einer Bank, der sein Geldinstitut verklagt hatte, weil dieses nach einer Überziehung des Dispo-Rahmens seines Kontos um einen minimalen Betrag, dieses gekündigt hatte und zugleich eine Meldung an die Schufa über diesen Umstand gesendet hatte, obwohl der Kunde das Minus auf dem Konto direkt nach der Benachrichtigung durch die Bank und noch vor dem Versenden der Mitteilung an die Schufa ausgeglichen hatte.

Der Bankkunde verklagte das Geldinstitut auf einen Schadensersatz in Höhe von 10.000 EUR, weil sich sein Schufa-Score durch die Meldung verschlechtert habe und sich daraus Nachteile für ihn ergäben. Beim Landgericht Lüneburg schloss man sich der Argumentation des Klägers in der Sache weitgehend an. So stufte die Richter die Meldung der Bank an die Schufa als unberechtigte Datenübermittlung und damit als Datenschutzverstoß ein, weil zur Zeit der Meldung keine Zahlungsrückstände mehr vorhanden gewesen seien und damit auch kein berechtigtes Interesse der Bank an einer Meldung nach § 31 Abs. 2 BDSG bestanden habe. Bei der Bemessung des Schadensersatzes lag das Gericht jedoch deutlich niedriger Wert und bezifferte diesen auf 1.000 EUR (LG Lüneburg, Urteil v. 14.07.2020, 9 O 145/19).

Datenschutzverstoß im Bewerbungsverfahren

Erfolgreich mit einer Schadensersatzforderung war ein Kläger vor dem Landgericht Darmstadt. Hier hatte ich der Kläger über das Portal Xing bei einer Bank um eine Stelle beworben. Bei der Antwort über diesen Dienst wurde diese Nachricht jedoch versehentlich an einen anderen Xing-Nutzer gesendet. In dieser Antwort-Mail wurde nicht nur das Interesse des Bewerbers an der Stelle bestätigt, konkret wurde etwa auch schon auf die Gehaltsvorstellungen beider Seiten eingegangen.

Nachdem die Bewerbung nicht erfolgreich war, hatte der Bewerber die Bank auf Zahlung eines Schmerzensgelds verklagt und war vor dem Landgericht erfolgreich, das die Höhe des Schmerzensgeldes auf 1.000 Euro festlegte (LG Darmstadt, Urteil v. 26.05.2020, 13 O 244/19). Begründung: Diese Informationen hätten den Kläger erheblich zum Nachteil gereichen können, wenn sein damaliger Arbeitgeber oder seine Kollegen davon erfahren hätten. Das versehentlich angeschriebene Xing-Mitglied hatte die Nachricht an den eigentlichen Empfänger weitergeleitet. 

Rechtsstreit über DSGVO-Schadensersatz erreicht den EuGH

Ein anderer Rechtsstreit um einen Schadensersatzanspruch aufgrund eines DSGVO-Verstoßes hat jetzt zur Folge, dass sich demnächst der EuGH mit dieser Problematik befassen wird. Hier hatte das Amtsgericht Goslar über die Klage eines Rechtsanwalts entschieden, der von einem Unternehmen ohne seine Einwilligung Werbe-Mails erhalten hatte und von diesem daraufhin unter Berufung auf den Art. 82 Abs. 1 DSGVO ein Schmerzensgeld in Höhe von mindestens 500 Euro verlangte. Das Amtsgericht sah in dem Verhalten des verklagten Unternehmens zwar ebenfalls einen Datenschutzverstoß, wollte die Schmerzensgeldansprüche jedoch nicht anerkennen

Ist eine Werbe-Mail ein relevanter Schaden?

Das Gericht erkannte hier keinen relevanten Schaden. Es habe sich lediglich um eine einzelne Werbe-Mail gehandelt, die zudem schon aufgrund ihres Erscheinungsbildes bereits als Werbung zu erkennen gewesen sei und daher keinen zeitlichen Bearbeitungsaufwand mit sich gebracht habe. 

Da das Amtsgericht Berufung und Revision in seinem Urteil nicht zugelassen hatte, erhob der Rechtsanwalt eine Verfassungsbeschwerde vor dem Bundesverfassungsgericht  und dieser wurde nun stattgegeben

EuGH ist für Auslegung der DSGVO zuständig

Nach Ansicht der Verfassungsrichter hätte das Amtsgericht den Fall im Rahmen des sogenannten Vorabentscheidungsverfahren dem Europäischen Gerichtshof vorlegen müssen, da dieser für die Rechtsauslegung von europäischen Rechtsakten, zu denen die DSGVO gehört, zuständig ist.

EuGH

Nach ständiger EuGH-Rechtsprechung ist ein nationales letztinstanzliches Gericht zur Vorlage verpflichtet, wenn sich in einem Verfahren eine entscheidungserheblich Frage des Unionsrechts stellt,  die vom EuGH noch nicht ausgelegt wurde, sofern die die richtige Anwendung des Unionsrechts nicht so offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt ("acte clair").

Amtsgericht hatte Vorlagepflicht an den EuGH verletzt

Das Amtsgericht hatte daher das Recht auf den gesetzlichen Richter aus Art. 101 Abs. 1 Satz 2 GG verletzt, indem es von einem Vorabentscheidungsersuchen bezüglich der Frage, ob die datenschutzwidrigen Verwendung einer Email-Adresse und der Übersendung einer ungewollten Email an das geschäftliche Email-Konto des Beschwerdeführers ein Schmerzensgeldanspruch des nach Art. 82 Abs. 1 DSGVO in Betracht kommt. 

Mit Beschluss v. 14.1.2021, ( 1 BvR 2853/19) hat das BVerfG das Urteil des AG Goslar (v. 27.9.2019,  28 C 7/19) daher aufgehoben und die Fragen zur Auslegung der in Art. 82 DSGVO behandelten Schadensersatzansprüche an den Europäischen Gerichtshof weitergeleitet. Danach muss das Amtsgericht muss sich nun erneut mit der Sache befassen. Mit der EuGH-Auslegung sollte künftig ebenso wie durch die Entscheidung des Bundesgerichtshofs eine einheitlichere Rechtsprechung zu erwarten sein.

Weitere News zum Thema:

Massenklagen: Datenschutzverstöße können künftig Sammelklagen nach sich ziehen

Wann entstehen Ansprüche auf Schadensersatz gegenüber dem Arbeitgeber?

Schadensersatzpflicht des Arbeitgebers nach unzureichender DSGVO-Auskunft