Datenschutzverstöße können einen Anspruch auf immateriellen Schadensersatz begründen. Die Auslegung der rechtlichen Grundlage für einen solchen Anspruch divergiert hierbei derzeit je nach Gerichtsbarkeit.

Die Frage, ob und unter welchen Voraussetzungen dem Betroffenen eines Datenschutzverstoßes Schadensersatz zusteht, beschäftigt die Gerichte immer wieder. Im letzten Jahr sowie bereits in der ersten Hälfte dieses Jahres gab es zu dieser Frage zahlreiche gerichtliche Entscheidungen.

Während die Frage des sog. materiellen Schadensersatzes (also ein bezifferbarer Vermögensschaden, wie z.B. notwendige vorgerichtliche Rechtsverfolgungskosten) weniger Streitstoff bietet, sind die Voraussetzungen für einen Anspruch auf Ersatz immaterieller Schäden umstritten.

Bei einem Blick auf die Rechtsprechung fällt dabei auf, dass die Auslegung der einschlägigen DSGVO-Vorschrift (Art. 82 DSGVO) je nach Gerichtsbarkeit divergiert. Während die deutsche Zivilgerichtsbarkeit einen eher strengeren Maßstab an die Voraussetzungen eines immateriellen Schadensersatzanspruches ansetzt und folglich zurückhaltender dabei ist, Schadensersatz zuzusprechen, verurteilen die der Arbeitsgerichtsbarkeit zugehörigen Gerichte die Beklagten häufiger zur Zahlung immateriellen Schadensersatzes.

Dies ist unter anderem darauf zurückzuführen, dass die allgemeinen Zivilgerichte die Überschreitung einer Erheblichkeitsschwelle bzw. einer Bagatell-Grenze für die Begründung eines ersatzfähigen Schadens verlangen. Die Arbeitsgerichte verlangen dies - einer Entscheidung des Bundesarbeitsgerichts aus August 2021 folgend – nicht. Nach Auffassung der obersten Arbeitsrichter soll bereits der bloße Verstoß gegen datenschutzrechtliche Vorgaben einen ersatzfähigen Schaden nach Art. 82 Abs. 1 DSGVO begründen können.

So entschied etwa das LG Leipzig mit Urteil vom 23.12.2021 (Az. 03 O 1268/21), dass eine verspätete und unvollständige Auskunft des Verantwortlichen an den Betroffenen über Art und Umfang der durch ihn verarbeiteten Daten (Art. 15 DSGVO) mangels Erheblichkeit keinen immateriellen Schadensersatz begründe. Das Landesarbeitsgericht Berlin-Brandenburg hingegen sprach einem Kläger in einem sehr ähnlich gelagerten Fall (es ging ebenfalls um eine nicht ordnungsgemäß erteilte Auskunft nach Art. 15 DSGVO) 2.000,00 EUR Schadensersatz zu (Urteil vom 18. November 2021 – 10 Sa 443/21).

Richtungsweisend kann hinsichtlich dieser unterschiedlichen Rechtsauslegung für die Zukunft nur der EuGH sein, denn die DSGVO ist eine europäische Verordnung. Mehrere deutsche Gerichte (etwa das AG Hagen und das LG Saarbrücken) haben dem obersten europäischen Gericht daher u.a. die Frage zur Beantwortung vorgelegt, ob es für die Bejahung eines immateriellen Schadensersatzanspruches einer gewissen Erheblichkeit hinsichtlich der Beeinträchtigung der geschützten Rechtsposition des Betroffenen bedarf, oder gerade nicht. Mit einer Entscheidung des EuGHs ist im Laufe des kommenden Jahres zu rechnen.

Auch die Frage der Schadenshöhe bei immateriellen datenschutzrechtlichen Verstößen beschäftigt die Gerichte. Bislang bewegen sich die zugesprochenen Schadensersatzsummen in einem Rahmen zwischen 100,00 EUR (s. etwa LG München I, Endurteil vom 20. Januar 2022 – 3 O 17493/20 - Übermittlung der dynamischen IP-Adresse an Google ohne Einwilligung des Betroffenen durch Einbettung der Schriftart Google Fonts auf der Homepage der Beklagten, die eine Verbindung zum Google-Server in den USA herstellte) und 5.000,00 EUR (s. etwa OLG Dresden, Urteil vom 30. November 2021 – 4 U 1158/21 - Ausspähung von Daten und Weitergabe der Daten).

Sollte der EuGH der Zahlung immateriellen Schadenersatzes einen generalpräventiven Charakter mit Straf- und Abschreckungsfunktion zusprechen (auch diese Frage wurde dem EuGH zur Beantwortung vorgelegt), dürften die Schadensersatz-Summen in Zukunft – je nach Schwere des Verstoßes und Größe des verantwortlichen Unternehmens - in der Spitze deutlich höher ausschlagen.

Der Ball liegt somit in Luxemburg. Die für das kommende Jahr zu erwartenden Entscheidungen des EuGHs werden Aufschluss darüber bringen, ob in Zukunft bei datenschutzrechtlichen Verstößen mit einer Schadensersatz-Klagewelle zu rechnen sein wird oder die restriktive Rechtsauslegung der deutschen Zivilgerichtsbarkeit bestätigt wird.

Bild: ©pixaby