Wie viel Schadenersatz gibt es bei Datenschutzverstößen? Alle Augen waren am 4. Mai 2023 nach Luxemburg gerichtet. Der Europäische Gerichtshof (EuGH) sollte in seinem ersten Urteil zu Schadensersatzansprüchen nach der Datenschutzgrundforderung (DSGVO) langersehnte Antworten geben (Aktenzeichen C-300/21). Die Ausführungen der Luxemburger Richter enttäuschen jedoch: Sie belassen es einerseits bei Selbstverständlichkeiten – kein Schadensersatzanspruch ohne konkreten Schaden und keine Bagatellgrenze – und vermeiden andererseits eine Antwort darauf, wann ein immaterieller Schaden vorliegt. Für Unternehmen ist das Urteil insgesamt positiv zu bewerten, denn Betroffene dürften vor Gericht zukünftig nicht mehr mit der bloßen Behauptung Erfolg haben, der Datenschutzverstoß hätte sie geärgert oder ein Unbehagen verursacht.

Dr. Hauke Hansen Dr. Hauke Hansen ist Partner der Wirtschaftskanzlei FPS in Frankfurt a. M., Experte für Cybersicherheit, IT-Recht und Datenschutz und entwirft Strategien, um Unternehmen vor Cyberattacken und ihren Folgen zu schützen.

Worum geht es?

Verstöße gegen datenschutzrechtliche Vorgaben können für Unternehmen teuer werden und behördliche Bußgelder in Millionenhöhe nach sich ziehen, wie in der Vergangenheit beispielsweise H&M, 1&1 oder Deutsche Wohnen erfahren haben. Der von einer unrechtmäßigen Datenverarbeitung betroffene Kunde oder Mitarbeiter kann zudem Schadensersatz geltend machen – für materielle Schäden, aber auch für immaterielle Beeinträchtigungen. Letzteres ist neu und im deutschen Recht die absolute Ausnahme. Beispiele sind entgangene Urlaubsfreuden im Reiserecht oder Schmerzensgeld bei Körperverletzungen.

iX-tract Laut DSGVO kann Betroffenen von Datendiebstählen Schadensersatz zustehen. Die Klageindustrie hatte solche Massenschadensersatzklagen als neues Geschäftsmodell für sich entdeckt.

Mit seinem Urteil schränkt der europäische Gerichtshof nun die Schadensersatzansprüche Betroffener ein: Demnach reicht das aus einer Datenschutzverletzung resultierende Unbehagen nicht mehr als Grund aus.

Da der EuGH entscheidende Fragen nicht beantwortet hat, ist mit zahlreichen weiteren Einzelfallentscheidungen der nationalen Gerichte zu rechnen.

Deutsche Gerichte waren gerade beim Schmerzensgeld immer sehr zurückhaltend und haben es auch bei schwersten Verletzungen regelmäßig bei vierstelligen Beträgen belassen. Anders handhaben es neuerdings insbesondere die deutschen Arbeitsgerichte, wenn es um Datenschutzverstöße geht. Als besonders drastisches Beispiel sei ein Urteil des Arbeitsgerichts Oldenburg erwähnt, das einem Arbeitnehmer ohne konkreten Nachweis eines Schadens 10.000 Euro zugebilligt hat, weil die geforderte datenschutzrechtliche Auskunft zu spät erfolgte (Aktenzeichen 3 Ca 150/21). Berühmt geworden ist auch ein Urteil des Landgerichts München, das dem Kläger wegen eines von ihm empfundenen "Unwohlseins" einen Schadensersatz in Höhe von 100 Euro zugesprochen hat. Das beklagte Unternehmen hatte auf seiner Webseite dynamische Google Fonts eingesetzt, wodurch nach einem Besuch der Webseite durch den Kläger, dessen dynamische pseudonyme IP-Adresse an Google übermittelt worden war (Aktenzeichen 3 O 17493/20). Dieses Urteil hat im Anschluss zu datenschutzrechtlichen Massenabmahnungen gegen Unternehmen geführt.

Der Ausgangsfall

Und für abhandengekommene Daten nach einer erfolgreichen Cyberattacke hat ebenfalls das Landgericht München einen Schadensersatz von 2500 Euro zugesprochen (Aktenzeichen: 31 O 16606/20). Dieses Urteil ist Grundlage der Aktivitäten von Prozessfinanzierern und LegalTech-Unternehmen.

In einem österreichischen Gerichtsprozess machte der Kläger einen solchen immateriellen Schadensersatzanspruch gegen die österreichische Post AG geltend. Diese hatte Informationen zu Parteipräferenzen mithilfe eines Algorithmus basierend auf der Wohnanschrift ermittelt. Diese Daten waren für Wahlwerbezwecke von Parteien gedacht, wurden aber nicht an Dritte weitergegeben. Dem Kläger wurde eine Affinität zu einer Partei aus dem rechten Spektrum bescheinigt. Der Kläger, dessen Daten ohne seine Zustimmung verarbeitet wurden, war – so die Feststellung der österreichischen Gerichte – "erbost und beleidigt". Diesen immateriellen Schaden bezifferte er auf 1000 Euro und berief sich dabei auf Artikel 82 DSGVO. Die ersten beiden Instanzen bejahten zwar einen Verstoß gegen datenschutzrechtliche Vorschriften, verneinten aber einen Schadensersatzanspruch. Der Oberste Gerichtshof in Wien wandte sich im Anschluss mit mehreren Fragen an den EuGH zur Auslegung der DSGVO.

Kein Anspruch ohne Schaden

Der EuGH stellte nun klar:

Ein bloßer Verstoß gegen die DSGVO rechtfertigt noch keinen Schadensersatz; ein Kläger muss seinen durch die Datenschutzverletzung angeblich entstandenen Schaden darlegen und beweisen.

Es gibt keine Bagatellgrenze. Jeder noch so kleine Schaden kann gerichtlich geltend gemacht werden.

Hat man einen Schaden festgestellt, müssen die Gerichte unter Zugrundelegung der jeweiligen nationalen Rechtsordnungen Kriterien entwickeln, um die Schadensersatzhöhe zu bestimmen. Der europarechtliche Effektivitätsgrundsatz verlange jedoch, dass die Geltendmachung des Schadensersatzanspruchs nicht praktisch unmöglich gemacht oder übermäßig erschwert werde.

Dass ein Schadensersatzanspruch immer auch einen Schaden zur Voraussetzung hat, liest sich wie eine Binsenweisheit. Dennoch haben insbesondere deutsche Gerichte immer wieder Schadensersatzansprüche zugesprochen, obwohl ein konkreter Schaden nicht nachgewiesen, manchmal nicht einmal behauptet wurde. Ein Beispiel hierfür ist die verspätet erteilte Auskunft. Dies stellt einen Verstoß gegen die DSGVO dar, aber ein Schaden entsteht dem Betroffenen hierdurch in der Regel nicht. Trotzdem haben in solchen Fällen deutsche Gerichte Unternehmen regelmäßig zu Schadensersatzzahlungen verurteilt. Dies wird in Zukunft nicht mehr möglich sein, es sei denn, der Kläger kann beweisen, dass er durch die verspätete Auskunft konkrete Einbußen erlitten hat oder in anderer Weise beeinträchtigt wurde.

In einer gegenläufigen Bewegung haben deutsche Gerichte versucht, dem Ausufern datenschutzrechtlicher Schadensersatzansprüche entgegenzuwirken. Sie haben eine Bagatellgrenze eingezogen. So sollte bei geringfügigen Beeinträchtigungen oder lediglich individuell empfundenen Unannehmlichkeiten kein Schadensersatz zugesprochen werden, beispielsweise bei einmaliger Zusendung einer Werbe-E-Mail oder einem umgehend gelöschten Social-Media-Post. Auf eine solche Untergrenze dürfen sich Gerichte in Zukunft nicht mehr berufen. Jeder Schaden kann gerichtlich geltend gemacht werden.

Entscheidende Fragen bleiben offen

Die entscheidende Frage aber bleibt unbeantwortet: Ab wann liegt ein immaterieller Schaden vor? Die DSGVO enthalte, so der EuGH, keine Bestimmung, die sich dieser Frage widmet. Daher sei es Sache der Mitgliedsstaaten, Klageverfahren auszugestalten, die Kriterien für die Ermittlung geschuldeten Schadensersatzes festlegen. Aus dem europäischen Recht folge lediglich, dass einerseits die effektive Einhaltung der DSGVO gesichert sein müsse und andererseits Gerichte über den tatsächlich erlittenen Schaden hinaus keinerlei Strafschadensersatz zubilligten.

Eine unverlangt übermittelte E-Mail-Adresse, eine verspätete Auskunft, eine nicht gelöschte alte Adresse – begründet dies schon einen immateriellen Schaden? Ab wann wird ein individuell empfundenes ungutes Gefühl zu einem Schaden im Sinne der DSGVO? Und hängt ein Schadensersatzanspruch von der betroffenen Person ab? Das heißt, sollen sehr sensible oder rechthaberischer Personen, die sich über derartige Verstöße besonders stark ärgern, eher einen immateriellen Schaden geltend machen können als andere? Oder werden die Gerichte in Anlehnung an Bußgeldkataloge für bestimmte Datenschutzverstöße Schadensersatzbeträge festlegen? Zu diesen wichtigen Fragen hat der EuGH leider keine Klarheit geschaffen. Betroffene und Unternehmen werden weiter vor Gericht viele Einzelfälle ausfechten, und der EuGH, der sich für diese Fragen für nicht zuständig erklärt hat, kann nur dann eingreifen, wenn er durch nationale Urteile den über allem schwebenden europäischen Effektivitätsgrundsatz gefährdet sieht.

Ausblick

Die Konsequenzen des Urteils werden unterschiedlich beurteilt. Von Verbraucherschützern heißt es, der Datenschutz und die Verbraucherrechte seien gestärkt worden. Unternehmen müssten nun schneller und höheren Schadensersatz zahlen. Unternehmensvertreter fürchten durch das Urteil und den Wegfall der Bagatellgrenze vor allem Schadensersatzklagen in Massenverfahren durch eine professionelle Klageindustrie. Äußerungen von Thomas Bindl, Geschäftsführer und Gründer der Europäischen Gesellschaft für Datenschutz (EuGD), weisen in der Tat in diese Richtung. Er spricht von einer Zeitenwende und kündigt Tausende von Klagen an.

Der Erfolg dieser datenschutzrechtlichen Schadensersatzklagen ist keinesfalls ausgemacht. Der EuGH entzieht zahlreichen Klagen, in denen zwar ein Rechtsverstoß im Raum steht, aber kein Schaden vorliegt, die Grundlage. Betroffene, die über ihren Ärger hinaus keine nachweisbaren Einbußen erlitten haben, würden mit einer Klage ein erhebliches finanzielles Risiko eingehen. Jedenfalls bietet Artikel 82 DSGVO für Unternehmen genügend Raum, sich gegen Schadensersatzklagen erfolgreich zu verteidigen. Und schließlich ist zu hoffen, dass die deutschen Gerichte den verlangten datenschutzrechtlichen Schadensersatz in ein angemessenes Verhältnis setzen zu von ihnen zugesprochene Schmerzensgelder bei gravierenden Körperverletzungen.

(ur)