Überblick

Immer mehr Kläger fordern immateriellen Schadensersatz von Unternehmen, die ihre personenbezogenen Daten verarbeiten. Dementsprechend kommen auch immer mehr Fälle vor Gericht. Allein das deutsche Latham-Team verteidigt Mandanten gegen mehrere tausend Anspruchsteller in solchen Verfahren – Tendenz deutlich steigend. Mittlerweile gibt es auch bereits eine Vielzahl von Entscheidungen zu Schmerzensgeldforderungen wegen tatsächlichen oder vermuteten Verstößen gegen die DSGVO. Diese Entscheidungen finden Sie übersichtlich zusammengefasst und regelmäßig aktualisiert in der Latham DSGVO-Schadensersatztabelle.

Anders als etwa in Österreich gibt es aber bislang kaum Entscheidungen deutscher Obergerichte zur Anwendung von Art. 82 DSGVO. Allerdings entschied das Bundesverfassungsgericht (BVerfG) Anfang 2021, dass letztinstanzlich tätige Gerichte Klagen auf immateriellen Schadensersatz nach Art. 82 DSGVO nicht allein mit der Begründung abweisen dürfen, der vom Kläger erlittene Schaden habe eine gewisse Erheblichkeitsschwelle nicht überschritten. Kommt es für Entscheidungen deutscher Gerichte allein auf die Auslegung der DSGVO als europäische Verordnung an, muss der Europäische Gerichtshof (EuGH) entscheiden. Lesen Sie hier unsere Zusammenfassung zur Entscheidung des BVerfG.

Vorabentscheidungsersuchen des Bundesarbeitsgerichts

An dieser Vorgabe dürfte sich das Bundesarbeitsgericht (BAG) in seiner aktuellen Entscheidung (Az.: 8 AZR 253/20 (A)) zum DSGVO-Schadensersatz orientiert haben. Neben Fragen zur Verarbeitung von Gesundheitsdaten legte das BAG dem EuGH im Wege eines Vorabentscheidungsersuchens folgende wesentliche Fragen zur Auslegung von Art. 82 DSGVO vor, die in der Rechtsprechung sehr umstritten sind:

  • Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
  • Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Beide Fragen wurden bislang von deutschen Gerichten unterschiedlich beurteilt. Manche Gerichte, wie etwa das Arbeitsgericht Düsseldorf (Urt. v. 05.03.2020 – Az.: 9 Ca 6557/18) oder das Arbeitsgericht Neumünster (Urt. v. 11.8.2020 – Az.: 1 Ca 247 c/20), gehen davon aus, dass der Schadensersatz general- bzw. spezialpräventiv wirken solle. Dementsprechend solle Art. 82 DSGVO eine abschreckende Wirkung haben. Diese Auffassung halten wir für unzutreffend, wie wir auch bereits in dem hier abrufbaren Artikel in der Neuen Juristischen Wochenschrift (NJW) dargestellt haben. Schadensersatz dient der Kompensation tatsächlich eingetretener Schäden, nicht aber der Abschreckung. Eine andere Auslegung lässt sich auch nicht aus Erwägungsgrund 146 S. 6 DSGVO ableiten, der einen wirksamen Schadensersatz fordert. Dies zeigt beispielsweise auch ein Blick in die bisherige Rechtsprechung des EuGH. Insofern ist zu hoffen, dass der EuGH dem Konzept eines vermeintlich der Abschreckung dienenden Schadensersatzes eine Absage erteilt.

In eine ähnliche Richtung geht auch die zweite Vorlagefrage des BAG, ob der Grad des Verschuldens des Verantwortlichen bzw. des oder der beteiligten Auftragsverarbeiter sich auf die Höhe des zu ersetzenden Schadens auswirken soll. Hierbei ist zu berücksichtigen, dass Art. 82 Abs. 2 und Abs. 4 DSGVO eine gesamtschuldnerische Haftung aller an einer Datenverarbeitung beteiligten Verantwortlichen und Auftragsverarbeiter vorsehen. Der Verantwortliche oder der Auftragsverarbeiter wird von einer solchen gesamtschuldnerischen Haftung nur dann befreit, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist (Art. 82 Abs. 3 DSGVO). Insofern bleibt es spannend, ob der EuGH dem Ansatz des BAG folgen wird. In jedem Fall wäre klarzustellen, dass auch ein erhebliches Verschulden nicht zu einem überkompensatorischen Schadensersatz führen kann. Hier gelten die gleichen Überlegungen wie bereits vorstehend angesprochen. Schadensersatz dient – anders als Bußgelder nach Art. 83 DSGVO, die einen punitiven Charakter haben – dem Ersatz eingetretener Beeinträchtigungen. Dies zeigt auch ein Vergleich von Art. 82 mit Art. 83 DSGVO. Denn nur die letztgenannte Vorschrift sieht vor, dass Bußgelder auch abschreckend wirken sollen (Art. 83 Abs. 1 DSGVO). An einer vergleichbaren Regelung fehlt es bei dem in Art. 82 DSGVO normierten Schadensersatz.

Ausblick und weitere Beiträge

Das BAG hat das Revisionsverfahren bis zur Entscheidung des EuGH über das Vorabentscheidungsersuchen ausgesetzt. Mit dem hier dargestellten Vorabentscheidungsersuchen des BAG muss der EuGH nun über weitere praxisrelevante Fragen der DSGVO entscheiden. Einen Überblick über weitere anhängige Verfahren findet sich auch auf unserer hier abrufbaren Latham DSGVO-Schadensersatztabelle.

Angesichts einer möglichen verbraucherfreundlichen Entscheidung des EuGH zu den ihm vorgelegten Fragen sind Unternehmen gut beraten, bestehende Lücken bei der Umsetzung datenschutzrechtlicher Vorgaben zeitnah zu identifizieren und zu schließen. Einen Ablaufplan für die effektive Verteidigung gegen Bußgelder und Schadensersatzforderungen nach der DSGVO finden Sie hier in unserem Beitrag aus dem Datenschutz-Berater (DSB). Lesen Sie hier auch unseren Aufsatz aus der Zeitschrift für Datenschutz (ZD), der die wichtigsten Argumente und Prozessstrategien für Bußgeldverfahren zusammenfasst.