„Inzwi­schen kann jeder mit Sei­ten wie „haveibeenpwned.com“ sehr ein­fach her­aus­fin­den, ob sei­ne Daten von einem Daten­leck o.ä. betrof­fen sein könn­ten.“  — Nils Stark

1. Ausgangssituation 

Gemäß Art. 82 DSGVO kann jede natür­li­che Per­son, die von einem Daten­schutz­ver­stoß betrof­fen war, wegen der Ver­let­zung ihres Per­sön­lich­keits­rechts, einen imma­te­ri­el­len Scha­den­er­satz ver­lan­gen. Vie­le Unter­neh­men ver­ar­bei­ten oft hun­dert­tau­sen­de oder mil­lio­nen­fa­che per­so­nen­be­zo­ge­ne Daten. Dane­ben kön­nen auch auf­sichts­recht­li­che Maß­nah­men bis hin zu saf­ti­gen Buß­gel­dern anfal­len. Selbst wenn nach einem Daten­leck nur ein Bruch­teil der Betrof­fe­nen ihre Ansprü­che gem. Art. 82 DSGVO gel­tend machen, könn­te die Insol­venz dro­hen, wenigs­tens aber erheb­li­che Ein­bu­ßen bedeuten.

Nach Wort­laut des Art. 82 I DSGVO ist ein Ver­stoß gegen die­se Ver­ord­nung (also die DSGVO, aber auch ande­re EU- oder natio­na­le Rechts­ak­te die auf­grund der DSGVO erlas­sen wur­den – sie­he auch Erwä­gungs­grund Nr. 146 DSGVO) aus­rei­chend, der zu einem Scha­den bei dem Anspruch­stel­ler geführt hat.

Die bis­her zuge­spro­che­nen Scha­den­er­satz­sum­men durch die Recht­spre­chung bewe­gen sich zwi­schen 300 € und 5000 €. Aller­dings ist die Ten­denz zu höhe­ren Scha­den­er­satz­sum­men zu erken­nen. Hin­sicht­lich des Vor­lie­gens eines tat­säch­li­chen Scha­dens und des­sen Höhe, ergin­gen mit­un­ter dia­me­tra­le Entscheidungen.

Das Arbeits­ge­richt Düs­sel­dorf (Urt. 05.03.2021 – 9 CA 6567/18) hat in sei­ner Ent­schei­dung deut­lich gemacht, dass eine effek­ti­ve Sank­tio­nie­rung durch die DSGVO nur durch eine „abschre­cken­de Wir­kung“ des Scha­den­er­satz­an­spruchs zu errei­chen ist. Die Höhe des Scha­dens rich­tet sich daher nicht an der tat­säch­li­chen Ver­let­zung des Per­sön­lich­keits­rechts, son­dern viel­mehr an der wirt­schaft­li­chen Leis­tungs­fä­hig­keit des Ver­ant­wort­li­chen im Sin­ne der DSGVO.

Das OLG Dres­den (Urteil vom 08.12.2020 – 18 U 5493/19) lehnt hin­ge­gen einen Scha­den­er­satz mit der Begrün­dung ab, dass für einen Scha­den­er­satz nach Art. 82 DSGVO eine „schwer­wie­gen­de Per­sön­lich­keits­rechts­ver­let­zung“ vor­lie­gen muss. Mit ande­ren Wor­ten: Baga­tell­fäl­le sind ausgeschlossen.

Das OLG Mün­chen (Urteil vom 08.12.2020 – 18 U 5493/19) ent­schied, dass auch eine gering­fü­gi­ge Ver­let­zung des Per­sön­lich­keits­rechts einen Scha­den begrün­den kann, lehn­te einen Scha­den­er­satz­an­spruch jedoch ab, da es sich streit­ge­gen­ständ­lich um ver­trag­li­che Ansprü­che handelte.

2. Praxisrelevanz 

War­um ist also das The­ma imma­te­ri­el­ler Scha­den­er­satz nach Art. 82 DSGVO plötz­lich rele­vant, wenn die Bestim­mung schon seit Mai 2018 nach DSGVO anwend­bar ist?

Um das zu beant­wor­ten ist die Ent­schei­dung des BVerfG (Beschluss vom 14.01.2021 – 1 BvR 2853/19) und der Vor­la­ge­be­schluss des OGH in Wien an den EuGH (Beschluss vom 15.04.2021 – 6Ob35/21x) beson­ders interessant.

1. a) Ent­schei­dung des BVerfG 

Das BVerfG ent­schied dar­über, ob das Amts­ge­richt Gos­lar einen Rechts­streit über einen Scha­den­er­satz­an­spruch nach Art. 82 DSGVO gem. Art. 267 AEUV dem EuGH zur Vor­ab­ent­schei­dung hät­te vor­le­gen müssen.

Das Amts­ge­richt ent­schied, dass zwar gegen die DSGVO ver­sto­ßen wur­de, aber der Ver­stoß dahin­ste­hen­blei­ben kann, da hin­sicht­lich der Ver­let­zung des Per­sön­lich­keits­rechts ledig­lich eine Unan­nehm­lich­keit für den Betrof­fe­nen ein­ge­tre­ten ist. Das BVerfG stell­te jedoch fest, dass ein imma­te­ri­el­ler Scha­den­er­satz gem. Art. 82 DSGVO nach Recht­spre­chung des EuGHs bis­her nicht geklärt wur­de und die Vor­aus­set­zun­gen eines Scha­dens gem. Art. 82 DSGVO sich weder aus der DSGVO selbst, der Lite­ra­tur, noch den Erwä­gungs­grün­den erge­hen. Daher durf­te das Amts­ge­richt nicht inhalt­lich über die Vor­aus­set­zun­gen des (Bagatell-)Schadens im Sin­ne des Art. 82 DSGVO entscheiden.

1. b) Vor­la­ge­be­schluss des OGH Wien 

In die­sem Kon­text gewinnt der Vor­la­ge­be­schluss des OGH in Wien an den EuGH. Die Rich­ter in Luxem­burg  sol­len nun über fol­gen­des entscheiden:

1. Erfor­dert der Zuspruch von Scha­den­er­satz nach Art 82 DSGVO neben einer Ver­let­zung von Bestim­mun­gen der DSGVO auch, dass der Klä­ger einen Scha­den erlit­ten hat oder reicht bereits die Ver­let­zung von Bestim­mun­gen der DSGVO als sol­che für die Zuer­ken­nung von Scha­den­er­satz aus?

2. Bestehen für die Bemes­sung des Scha­den­er­sat­zes neben den Grund­sät­zen der Effek­ti­vi­tät und Äqui­va­lenz wei­te­re Vor­ga­ben des Unionsrechts?

3. Ist die Auf­fas­sung mit dem Uni­ons­recht ver­ein­bar, dass Vor­aus­set­zung für den Zuspruch imma­te­ri­el­len Scha­dens ist, dass eine Kon­se­quenz oder Fol­ge der Rechts­ver­let­zung von zumin­dest eini­gem Gewicht vor­liegt, die über den durch die Rechts­ver­let­zung her­vor­ge­ru­fe­nen Ärger hinausgeht?

3. Spa­ren ist nicht geboten

Wie der EuGH ent­schei­den wird, kann nicht abschlie­ßend beur­teilt wer­den. Ten­den­zi­ell ent­schei­det der EuGH zuguns­ten der Ver­brau­cher. Zurück­leh­nen ist aber bei Wei­tem nicht ange­sagt. Soll­te der EuGH zum Schluss kom­men, dass es mit dem Uni­ons­recht unver­ein­ba­re wäre, dass die Kon­se­quenz aus der Rechts­ver­let­zung erheb­li­ches Gewicht haben muss, also jeg­li­che Beläs­ti­gung als imma­te­ri­el­ler Scha­den anzu­er­ken­nen ist, dann könn­te auf von Daten­lecks betrof­fe­ne Unter­neh­men eine Wel­le von Scha­den­er­satz­kla­gen zurol­len. Etli­che Ver­brau­cher­kanz­lei­en und Legal-Tech-Anbieter ste­hen bereits in den Start­lö­chern, die Betrof­fe­nen zu ver­tre­ten. Die Recht­spre­chung hat hier­zu auch grü­nes Licht gege­ben: dass imma­te­ri­el­le Scha­den­er­satz­an­sprü­che abtret­bar sind, hat der BGH (Beschluss vom 18.06.2020 – IX ZB 11/19) schon entschieden.

Inzwi­schen kann jeder mit Sei­ten wie „haveibeenpwned.com“ sehr ein­fach her­aus­fin­den, ob sei­ne Daten von einem Daten­leck o.ä. betrof­fen sein könnten.

Im Hin­blick auf die mög­li­chen Aus­wir­kun­gen des Urteils soll­te jedes Unter­neh­men, ins­be­son­de­re die­je­ni­gen, die mas­sen­haft beson­ders sen­si­ble Daten ver­ar­bei­ten, ihre technisch-organisatorische Maß­nah­men über­prü­fen und gege­be­nen­falls revidieren.

Wer jetzt Geld spa­ren will, könn­te in Zukunft die Insol­venz drohen.