Schadensersatz für Datenschutzverstöße: Muss der Verstoß dafür erheblich sein?

Die DSGVO bietet der betroffenen Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein materieller oder immaterieller Schaden entstanden ist, die Möglichkeit, Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter geltend zu machen.

Eine Erheblichkeitsschwelle oder ein Bagatellvorbehalt hinsichtlich des Schadens ist in der Datenschutzgrundverordnung nicht angelegt. Dennoch entschied  das Amtsgericht Goslar kürzlich, dass ein Schadensersatz nach Art. 82 DSGVO eine gewisse Erheblichkeit des Schadens erfordere, ohne die Frage dem EuGH vorzulegen. Zu Unrecht, wie das Bundesverfassungsgericht entschied.

Werbe-E-Mail ohne Einverständnis

Ein Rechtsanwalt hatte eine Werbemail an seine berufliche Adresse erhalten. Daraufhin machte er einen Schadensersatzanspruch wegen unrechtmäßiger Datenverarbeitung des Absenders nach Art. 82 Datenschutzgrundverordnung (DSGVO) geltend. Diesen Anspruch wies das Amtsgericht Goslar ab: Mangels Erheblichkeit bestehe kein Schaden.

Die 2. Kammer des Ersten Senats des BVerfG entschied, dass das AG Goslar mit seinem Urteil gegen Art. 101 Abs. 1 Satz 2 GG verstoßen habe, indem es als letztinstanzliches Gericht von einer Vorlage an den Europäischen Gerichtshof (EuGH) absah. Obwohl die Voraussetzungen für einen Verfassungsverstoß hoch sind, attestierte das BVerfG dem Untergericht eine unvertretbare Überschreitung seines Beurteilungsspielraums hinsichtlich einer bisher durch den EuGH nicht geklärten Rechtsfrage, weil mögliche Gegenauffassungen zu der entscheidungserheblichen Frage des Unionsrechts eindeutig vorzuziehen seien. Daher hätte das AG Goslar nicht eigenmächtig eine Erheblichkeitsschwelle oder einen Bagatellvorbehalt annehmen dürfen, weil diese in der DSGVO eben nicht angelegt seien.

DSGVO-Schadensersatzansprüche

Gemäß Artikel 82 DSGVO hat

„jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (…) Anspruch auf Schadensersatz.“

Dies gilt unabhängig davon, ob es sich bei dem Anspruchsgegner um eine Privatperson, ein Unternehmen oder eine Behörde handelt. Die betroffene Person, die einen solchen Schadensersatzanspruch geltend macht, muss jedoch das Vorliegen eines tatsächlichen Verstoßes gegen die DSGVO, eines materiellen oder immateriellen Schadens sowie der Ursächlichkeit des DSGVO-Verstoßes für den Eintritt des Schadens nachweisen. Das für den Schadensersatzanspruch erforderliche Verschulden des in Anspruch genommenen Verantwortlichen wird vermutet. Der Verantwortliche wird von seiner Haftung nur dann gem. Art. 82 Abs. 3 DSGVO befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Hinsichtlich des Schadens ergibt sich aus Erwägungsgrund 146 S. 3, dass der Begriff des Schadens weit zu verstehen ist. Darin findet sich außerdem ein Verweis auf die Rechtsprechung des EuGH und die Ziele der Verordnung – dieser wird allgemein so verstanden, dass der Schadensersatzanspruch nicht alleine der Kompensation, sondern gerade auch der Prävention dienen soll. Er soll also verhindern, dass es überhaupt erst zu solchen Verstößen kommt. Damit fügt sich der datenschutzrechtliche Schadensersatzanspruch in eine allgemeine europäische Entwicklung ein, wonach Schadensersatzansprüchen explizit eine Präventionsfunktion zukommt. Daher sei bei jeder Entscheidung zu berücksichtigen, ob sie einen ausreichenden Anreiz setzt, künftige Datenschutzverstöße und daraus resultierende Schäden zu vermeiden.

Abschreckende Wirkung des Schadensersatzanspruches

Kurz gesagt: Dem Schadensersatzanspruch müsse immer eine abschreckende Wirkung zukommen. Denn auch Schäden wie Identitätsdiebstahl, finanzielle Verluste, Rufschädigungen, aber auch der Verlust der Kontrolle über die eigenen Daten sowie die Erstellung unzulässiger Persönlichkeitsprofile rufen ein „ungutes Gefühl“ hervor. Und gerade dieses ungute Gefühl, dass ein Unbefugter Zugang zu personenbezogenen Daten erhalten habe sowie das Gefühl der Hilflosigkeit müssten als immaterielle Schäden anzusehen sein. Das zeige aber vor allem, dass weder in Art. 82 DSGVO noch in den Erwägungsgründen eine Erheblichkeitsschwelle vorgesehen sei.

Auslegung der erstinstanzlichen Gerichte nicht immer überzeugend

Die ersten Urteile in Deutschland zu DSGVO-Schadensersatzansprüche zeigen, wie viel Auslegungsmöglichkeiten die auf den ersten Blick klare Vorschrift des Artikel 82 DSGVO bietet. Während einige Urteile deutlich machen, dass die Gerichte eine insgesamt vorsichtige und restriktive Anwendung des DSGVO-Schadensersatzanspruches verfolgen, zeigen ebenso viele andere Urteile genau das Gegenteil.

Sie lehnen einen Schadensersatzanspruch aufgrund fehlenden immateriellen Schadens ab, wobei ein wiederkehrende Begründungsmuster auftritt: Danach reiche ein bloßer Bagatellverstoß nicht aus, um einen Schaden zu begründen. Vielmehr bestehe eine gewisse Erheblichkeitsschwelle, die durch objektiv nachvollziehbare Beeinträchtigungen von einigem Gewicht überschritten werden müsse. Eine solche Beeinträchtigung könne etwa in der öffentlichen Bloßstellung einer Person liegen.

Andere Gerichte argumentieren damit, dass ein Verstoß gegen die DSGVO für sich genommen noch keinen Schaden darstelle. Vielmehr obliege es dem Betroffenen, einen konkreten, spürbaren und objektiv nachvollziehbaren Schaden substantiiert darzulegen und zu beweisen.

Keine Stütze in DSGVO

Auch wenn viele der ablehnenden Entscheidungen im Ergebnis nachvollziehbar erscheinen, lassen sich auch viele Gegenbeispiele finden, in denen trotz konkret benannter Nachteile ein Schaden verneint wurde. Letzten Endes geht es jedoch nicht um die jeweiligen Entscheidungen im Einzelfall, sondern um die Begründungen und vor allem die Stoßrichtung der einzelnen Urteile. Denn die von den Gerichten angenommenen Tatbestandsrestriktionen finden eben keine Stütze in der Datenschutzgrundverordnung.

Um die Zulässigkeit dieser einschränkenden Auslegung im Europarecht abzusichern, müssen die nationalen Gerichte die aufgeworfenen Rechtsfragen dem EuGH vorlegen. Die Begründung, ein weites Schadensverständnis widerspreche der Systematik des deutschen Rechts, ist bereits im Ansatz unzulässig, so das BVerG. Denn die nationalen Vorschriften und Prinzipien könnten den Anspruch nicht beschränken – vielmehr seien sämtliche tatbestandsmerkmale einschließlich des Schadens autonom auszulegen. Nur dadurch kann eine einheitliche Interpretation der Unionsbegriffe gewährleistet werden.

Durch überhöhte Anforderungen an die Schwere und Darlegung der Beeinträchtigung werde die Präventionsfunktion der Vorschrift jedoch ausgehöhlt – was durch das restriktive Begründungmuster völlig aus dem Blick geraten sei. In den Hintergrund gerate aber vor allem die Tatsache, dass datenschutzrechtliche Fälle meist durch ein hohes Maß an Ungewissheit geprägt sind, das selbst bei drastischen Verstößen für die Betroffenen nicht zulässt, erhebliche, konkrete und objektiv nachvollziehbare Schäden zu belegen. Häufig gelinge den wenigsten, einen konkreten Vermögensschaden, einen identitätsdiebstahl oder eine Rufschädigung nachzuweisen.

Korrektur durch das Bundesverfassungsgericht

Das BVerfG erkannte hier wohl eine grundsätzliche Fehlentwicklung, die es dazu bewog, die „Notbremse zu ziehen“. Die Kammer beanstandete vor allem, dass die Auslegung des Gerichts mit einiger Wahrscheinlichkeit der Intention des Verordnungsgebers zuwiderläuft und es eben nicht an deutschen Gerichten ist, darüber abschließend zu entscheiden.

Nun werden sich die Gerichte stärker als bisher mit dem europäischen Charakter des datenschutzrechtlichen Schadensersatzanspruches auseinandersetzen müssen. Dabei ist insbesondere zu beachten, dass der Begriff des Schadens im Falle des Art. 82 DSGVO autonom auszulegen ist. Es ist unzulässig, ein deutsches Schadensverständnis über den Anspruch zu legen.