Die DSGVO ist inzwi­schen das sprich­wört­li­che Damo­kles­schwert über allen Unter­neh­men, die mas­sen­haft Daten ver­ar­bei­ten. Ein ein­zi­ger „data bre­ach“ könn­te, soll­te der EuGH ent­spre­chend ent­schei­den, zur Insol­venz eines Unter­neh­mens füh­ren.

Inzwi­schen kann jeder mit Sei­ten wie „haveibeenpwned.com“ sehr ein­fach her­aus­fin­den, ob sei­ne Daten von einem Daten­leck o.ä. betrof­fen sein könn­ten.“  — Nils Stark

  1. Aus­gangs­si­tua­ti­on

Gemäß Art. 82 DSGVO kann jede natür­li­che Per­son, die von einem Daten­schutz­ver­stoß betrof­fen war, wegen der Ver­let­zung ihres Per­sön­lich­keits­rechts, einen imma­te­ri­el­len Scha­den­er­satz ver­lan­gen. Vie­le Unter­neh­men ver­ar­bei­ten oft hun­dert­tau­sen­de oder mil­lio­nen­fa­che per­so­nen­be­zo­ge­ne Daten. Dane­ben kön­nen auch auf­sichts­recht­li­che Maß­nah­men bis hin zu saf­ti­gen Buß­gel­dern anfal­len. Selbst wenn nach einem Daten­leck nur ein Bruch­teil der Betrof­fe­nen ihre Ansprü­che gem. Art. 82 DSGVO gel­tend machen, könn­te die Insol­venz dro­hen, wenigs­tens aber erheb­li­che Ein­bu­ßen bedeu­ten.

Nach Wort­laut des Art. 82 I DSGVO ist ein Ver­stoß gegen die­se Ver­ord­nung (also die DSGVO, aber auch ande­re EU- oder natio­na­le Rechts­ak­te die auf­grund der DSGVO erlas­sen wur­den – sie­he auch Erwä­gungs­grund Nr. 146 DSGVO) aus­rei­chend, der zu einem Scha­den bei dem Anspruch­stel­ler geführt hat.

Die bis­her zuge­spro­che­nen Scha­den­er­satz­sum­men durch die Recht­spre­chung bewe­gen sich zwi­schen 300 € und 5000 €. Aller­dings ist die Ten­denz zu höhe­ren Scha­den­er­satz­sum­men zu erken­nen. Hin­sicht­lich des Vor­lie­gens eines tat­säch­li­chen Scha­dens und des­sen Höhe, ergin­gen mit­un­ter dia­me­tra­le Ent­schei­dun­gen.

Das Arbeits­ge­richt Düs­sel­dorf (Urt. 05.03.2021 – 9 CA 6567/18) hat in sei­ner Ent­schei­dung deut­lich gemacht, dass eine effek­ti­ve Sank­tio­nie­rung durch die DSGVO nur durch eine „abschre­cken­de Wir­kung“ des Scha­den­er­satz­an­spruchs zu errei­chen ist. Die Höhe des Scha­dens rich­tet sich daher nicht an der tat­säch­li­chen Ver­let­zung des Per­sön­lich­keits­rechts, son­dern viel­mehr an der wirt­schaft­li­chen Leis­tungs­fä­hig­keit des Ver­ant­wort­li­chen im Sin­ne der DSGVO.

Das OLG Dres­den (Urteil vom 08.12.2020 – 18 U 5493/19) lehnt hin­ge­gen einen Scha­den­er­satz mit der Begrün­dung ab, dass für einen Scha­den­er­satz nach Art. 82 DSGVO eine „schwer­wie­gen­de Per­sön­lich­keits­rechts­ver­let­zung“ vor­lie­gen muss. Mit ande­ren Wor­ten: Baga­tell­fäl­le sind aus­ge­schlos­sen.

Das OLG Mün­chen (Urteil vom 08.12.2020 – 18 U 5493/19) ent­schied, dass auch eine gering­fü­gi­ge Ver­let­zung des Per­sön­lich­keits­rechts einen Scha­den begrün­den kann, lehn­te einen Scha­den­er­satz­an­spruch jedoch ab, da es sich streit­ge­gen­ständ­lich um ver­trag­li­che Ansprü­che han­del­te.

  1. Pra­xis­re­le­vanz

War­um ist also das The­ma imma­te­ri­el­ler Scha­den­er­satz nach Art. 82 DSGVO plötz­lich rele­vant, wenn die Bestim­mung schon seit Mai 2018 nach DSGVO anwend­bar ist?

Um das zu beant­wor­ten ist die Ent­schei­dung des BVerfG (Beschluss vom 14.01.2021 – 1 BvR 2853/19) und der Vor­la­ge­be­schluss des OGH in Wien an den EuGH (Beschluss vom 15.04.2021 – 6Ob35/21x) beson­ders inter­es­sant.

  1. a) Ent­schei­dung des BVerfG

Das BVerfG ent­schied dar­über, ob das Amts­ge­richt Gos­lar einen Rechts­streit über einen Scha­den­er­satz­an­spruch nach Art. 82 DSGVO gem. Art. 267 AEUV dem EuGH zur Vor­ab­ent­schei­dung hät­te vor­le­gen müs­sen.

Das Amts­ge­richt ent­schied, dass zwar gegen die DSGVO ver­sto­ßen wur­de, aber der Ver­stoß dahin­ste­hen­blei­ben kann, da hin­sicht­lich der Ver­let­zung des Per­sön­lich­keits­rechts ledig­lich eine Unan­nehm­lich­keit für den Betrof­fe­nen ein­ge­tre­ten ist. Das BVerfG stell­te jedoch fest, dass ein imma­te­ri­el­ler Scha­den­er­satz gem. Art. 82 DSGVO nach Recht­spre­chung des EuGHs bis­her nicht geklärt wur­de und die Vor­aus­set­zun­gen eines Scha­dens gem. Art. 82 DSGVO sich weder aus der DSGVO selbst, der Lite­ra­tur, noch den Erwä­gungs­grün­den erge­hen. Daher durf­te das Amts­ge­richt nicht inhalt­lich über die Vor­aus­set­zun­gen des (Bagatell-)Schadens im Sin­ne des Art. 82 DSGVO ent­schei­den.

  1. b) Vor­la­ge­be­schluss des OGH Wien

In die­sem Kon­text gewinnt der Vor­la­ge­be­schluss des OGH in Wien an den EuGH. Die Rich­ter in Luxem­burg  sol­len nun über fol­gen­des ent­schei­den:

  1. Erfor­dert der Zuspruch von Scha­den­er­satz nach Art 82 DSGVO neben einer Ver­let­zung von Bestim­mun­gen der DSGVO auch, dass der Klä­ger einen Scha­den erlit­ten hat oder reicht bereits die Ver­let­zung von Bestim­mun­gen der DSGVO als sol­che für die Zuer­ken­nung von Scha­den­er­satz aus?
  1. Bestehen für die Bemes­sung des Scha­den­er­sat­zes neben den Grund­sät­zen der Effek­ti­vi­tät und Äqui­va­lenz wei­te­re Vor­ga­ben des Uni­ons­rechts?
  1. Ist die Auf­fas­sung mit dem Uni­ons­recht ver­ein­bar, dass Vor­aus­set­zung für den Zuspruch imma­te­ri­el­len Scha­dens ist, dass eine Kon­se­quenz oder Fol­ge der Rechts­ver­let­zung von zumin­dest eini­gem Gewicht vor­liegt, die über den durch die Rechts­ver­let­zung her­vor­ge­ru­fe­nen Ärger hin­aus­geht?
  1. Spa­ren ist nicht gebo­ten

Wie der EuGH ent­schei­den wird, kann nicht abschlie­ßend beur­teilt wer­den. Ten­den­zi­ell ent­schei­det der EuGH zuguns­ten der Ver­brau­cher. Zurück­leh­nen ist aber bei Wei­tem nicht ange­sagt. Soll­te der EuGH zum Schluss kom­men, dass es mit dem Uni­ons­recht unver­ein­ba­re wäre, dass die Kon­se­quenz aus der Rechts­ver­let­zung erheb­li­ches Gewicht haben muss, also jeg­li­che Beläs­ti­gung als imma­te­ri­el­ler Scha­den anzu­er­ken­nen ist, dann könn­te auf von Daten­lecks betrof­fe­ne Unter­neh­men eine Wel­le von Scha­den­er­satz­kla­gen zurol­len. Etli­che Ver­brau­cher­kanz­lei­en und Legal-Tech-Anbieter ste­hen bereits in den Start­lö­chern, die Betrof­fe­nen zu ver­tre­ten. Die Recht­spre­chung hat hier­zu auch grü­nes Licht gege­ben: dass imma­te­ri­el­le Scha­den­er­satz­an­sprü­che abtret­bar sind, hat der BGH (Beschluss vom 18.06.2020 – IX ZB 11/19) schon ent­schie­den.

Inzwi­schen kann jeder mit Sei­ten wie „haveibeenpwned.com“ sehr ein­fach her­aus­fin­den, ob sei­ne Daten von einem Daten­leck o.ä. betrof­fen sein könn­ten.

Im Hin­blick auf die mög­li­chen Aus­wir­kun­gen des Urteils soll­te jedes Unter­neh­men, ins­be­son­de­re die­je­ni­gen, die mas­sen­haft beson­ders sen­si­ble Daten ver­ar­bei­ten, ihre technisch-organisatorische Maß­nah­men über­prü­fen und gege­be­nen­falls revi­die­ren.

Wer jetzt Geld spa­ren will, könn­te in Zukunft die Insol­venz dro­hen.

Was Sie noch interessieren könnte:

BEM: Betriebliches Eingliederungsmanagement

5. August 2021|

Keh­ren Arbeit­neh­mer nach län­ge­rer Krank­heit an ihren Arbeits­platz zurück, ist der Arbeit­ge­ber gesetz­lich ver­pflich­tet, mit Zustim­mung und unter Betei­li­gung […]

Ist die Nutzung eines Port-Scans strafbar?

21. Juli 2021|

Port-Scanner wie Nmap sind belieb­te Tools, um Sicher­heits­lü­cken von Netz­wer­ken im Rah­men einer Netz­werk­dia­gno­se auf­zu­spü­ren. Doch war­um könn­te sich […]

Neue Standardvertragsklauseln der EU-Kommission

30. Juni 2021|

Die EU-Kommission hat neue Stan­dard­ver­trags­klau­seln ver­ab­schie­det. Das in die Jah­re gekom­men, prä-DSGVO-Werk wur­de rund­erneu­ert. Die neu­en Klau­seln sind nicht […]

Autor des Arti­kels:

Nils Stark

Rechtsanwalt
MEHR ZUM AUTOR