Köln, 11.02.2020
Nachdem es längere Zeit relativ ruhig an der Datenschutzfront war, hat ein massives Datenleck vor kurzer Zeit für erhebliches öffentliches Aufsehen gesorgt - und damit zugleich wieder die DSGVO ins kollektive Bewusstsein gerufen. Ca. 10 Terabyte an Daten eines Autovermieters – darunter E-Mail-Adressen, Telefonnummern, Postanschriften, und Mietverträge von Kunden – waren für jedermann im Internet zugänglich. Ursache dafür war offensichtlich ein fehlerhaft konfigurierter Back-up Server.
Neben dem bereits eingetretenen Imageschaden dürften auf das Unternehmen finanzielle Einbußen zukommen. Wahrscheinlich ist zumindest ein empfindliches Bußgeld durch die Datenschutzaufsicht. Wie im Fall der Deutschen Wohnen deutlich geworden ist, besteht seitens der Behörden mittlerweile die Bereitschaft, datenschutzrechtliches Fehlverhalten mit hohen Beträgen zu sanktionieren (vgl. Lehmann, Legal Update vom 15. November 2019). Zusätzliche Kosten drohen aber auch aus anderer Richtung. Denn die Millionen von dem Datenleck betroffenen Kunden könnten gegenüber dem Unternehmen Schadensersatzansprüche geltend machen.
Wer sich im Internet über den Vorfall informiert, dem wird jedenfalls relativ schnell vorgeschlagen, etwaige Schadensersatzansprüche prüfen zu lassen. Verwiesen wird in diesem Zusammenhang primär auf den Art. 82 DSGVO, der ausdrücklich den Ersatz immaterieller Schäden erfasst. Auch aus der Beratungspraxis lässt sich ableiten, dass diese Norm in jüngster Zeit grundsätzlich angeführt wird, um bei Datenschutzverstößen ein „Schmerzensgeld“ einzuklagen. Dieses wird im Mindestmaß nicht selten sogar mit einer fünfstelligen Summe bemessen.
I. Attraktivität des Art. 82 DSGVO
Bei Betrachtung des Wortlauts von Art. 82 DSGVO sowie einem Vergleich mit den vor Eintritt der DSGVO geltenden Regelungen, wird deutlich, dass dieser Anspruch aus Klägersicht im Wesentlichen aus zwei Gründen attraktiv ist.
Zum Ersten ist diese Vorschrift im Hinblick auf seine Anwendbarkeit deutlich großzügiger als seine Vorgängerregelungen. Denn das BDSG in seiner bis zum 24.05.2018 geltenden Fassung sah einen Anspruch auf eine angemessene Geldentschädigung bei immateriellen Schäden lediglich dann vor, wenn eine öffentliche Stelle einen Datenschutzverstoß begangen hatte. Demgegenüber eröffnete die Anspruchsgrundlage gegenüber nicht-öffentlichen Stellen nur die Möglichkeit, Vermögensschäden einzuklagen – was angesichts der Schwierigkeit der Bezifferung konkreter Schadenspositionen bzw. ihres geringen Umfangs als wenig lohnenswert erschien.
Alternativ blieb nur der Weg über § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, 2 Abs. 1 GG, um eine billige Entschädigung in Geld wegen einer Verletzung des Persönlichkeitsrechts zu verlangen. Seit jeher hat die Rechtsprechung die Hürde für eine Zuerkennung dieses Anspruchs jedoch so hochgelegt, dass nur in extremsten Fällen von Datenschutzverstößen ein Schmerzensgeld in Betracht kam. Gerade beim „Abfluss“ von Daten wie etwa der E-Mail-Adresse oder der Kontonummer dürfte es einem Anspruchssteller schwerfallen, ein Gericht von einer erheblichen Beeinträchtigung zu überzeugen.
Zum Zweiten begünstigt Art. 82 DSGVO den Betroffenen durch eine Verschiebung der Beweislast. Wie weit der Art. 82 Abs. 3 DSGVO die Beweislast verschiebt, wird momentan in der Literatur kontrovers diskutiert. Einigkeit besteht lediglich dahingehend, dass zumindest das Verschulden des für die Datenverarbeitung Verantwortlichen widerlegbar vermutet wird. Steht also ein Verstoß gegen das Datenschutzrecht fest, liegt es am Unternehmen sich zu exkulpieren. Ein in diesem Zusammenhang ergangenes Urteil des LG Karlsruhe (Urteil vom 2.8.2019 – 8 O 26/19) deutet darauf hin, dass die Gerichte die Exkulpationsmöglichkeit eher streng handhaben werden.
Diese spürbaren Änderungen des Rechts werden von Seiten der Anspruchsteller in der Regel zum Anlass genommen, Art. 82 DSGVO so auszulegen, dass sie bei jedem (sei es auch noch so kleinen) Fehlverhalten eine finanzielle Entschädigung verlangen können. Zur Unterstützung berufen sie sich häufig zusätzlich auf den EuGH, der grundsätzlich die abschreckende Funktion von Schadensersatzansprüchen betont. Analog zu den deutlich höheren Bußgeldern müssten auch empfindliche Schmerzensgelder ausgeurteilt werden, damit die Einhaltung datenschutzrechtlicher Vorschriften seitens der Verantwortlichen ernster genommen werde.
II. Angriffspunkte für die Verteidigung
Wer mit derartigen Ansprüchen konfrontiert wird, sollte sich von dieser Argumentation nicht zu sehr beeindrucken lassen. Auch wenn sich die Rechtslage offensichtlich zulasten der für die Datenverarbeitung Verantwortlichen gedreht zu haben scheint, lohnt es sich, den Schadensersatzansprüchen von Beginn an konsequent entgegen zu treten. Dafür gibt es verschiedene Anknüpfungspunkte.
So kann zunächst der geltend gemachte Schaden in Zweifel gezogen werden. Die durch Art. 82 DSGVO vorgenommene Verschärfung des Rechts ändert nämlich nichts daran, dass ein Kläger in einem etwaigen Prozess zunächst einmal ausreichend substantiiert zu seinem immateriellen Schaden vortragen muss. Pauschaler Vortrag unter Hinweis auf eher fernliegende, nicht greifbare Folgen von Datenschutzverstößen genügt jedenfalls nicht für die Zuerkennung von „Schmerzensgeld“.
Dies hat kürzlich das LG Karlsruhe (Urteil vom 2.8.2019 – 8 O 26/19) deutlich zu verstehen gegeben. Für eine Ausgleichspflicht sei eine benennbare und insoweit tatsächliche Persönlichkeitsverletzung erforderlich. Ähnlich sah es bereits zuvor das AG Bochum (Beschluss vom 11.03.2019 – 65 C 485/18), das eine Klage abwies, weil weder dargelegt noch ersichtlich gewesen sei, dass der behauptete Datenschutzverstoß zum Bekanntwerden von Daten des Klägers geführt habe. Und auch aus dem klageabweisenden Urteil des AG Diez (Urteil vom 7.11.2018 – 8 C 130/18) lässt sich entnehmen, dass nur bei einer objektiv nachvollziehbaren Beeinträchtigung von persönlichkeitsbezogenen Belangen ein Anspruch aus Art. 82 DSGVO in Betracht kommt.
Ist der Vortrag des Anspruchsstellers ausreichend substantiiert, kann dies wiederum zum Anlass genommen werden, um die Grundlage des Anspruchs in Frage zu stellen. Denn nicht jede aus einem Datenschutzverstoß resultierende Folge stellt einen Schaden dar, der von der DSGVO umfasst wird. Dem OLG Dresden (Hinweisbeschluss vom 11.06.2019 – 4 U 760/19) ist zuzustimmen, wenn es sich dafür ausspricht, dass nur individuell empfundene Unannehmlichkeiten ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person nicht für einen Anspruch gem. Art. 82 DSGVO genügen.
Weiterhin ergibt sich unter Anknüpfung an einen ausreichend substantiierten Vortrag die Möglichkeit, den eigenen Datenschutzverstoß als Auslöser für den angeblichen Schaden in Zweifel zu ziehen. Denn es liegt weiterhin am Kläger, das Gericht davon zu überzeugen, dass der Schaden aufgrund des Verstoßes entstanden ist (LG Frankfurt a. M., Urteil vom 20.12.2018 – 2/5 O 151/18).
Unabhängig von dem Vorgenannten empfiehlt es sich schließlich stets, die Angemessenheit der geforderten Summe in Zweifel zu ziehen. Was Gerichte als angemessen beurteilen werden, hängt stark von den Umständen des Einzelfalles (etwa der Art der betroffenen Daten und den Folgewirkungen des Verstoßes) ab. Da sich bislang in Deutschland noch keine Rechtsprechung entwickelt hat, die verlässliche Vergleichswerte liefert, besteht in diesem Zusammenhang erheblicher Argumentationsspielraum, um überhöhten Forderungen entgegenzutreten. Erste Entscheidungen aus dem benachbarten EU-Ausland zu Art. 82 DSGVO zeigen, dass dies lohnenswert ist. Denn in den (wenigen) bislang entschiedenen Fällen wurden die Klageforderungen jeweils deutlich unterschritten. Das österreichische LG Feldkirch (Urteil vom 7.8.2019 – 57 Cg 30/19b – 15) sprach dem Kläger lediglich EUR 800 zu, ein niederländisches Gericht (Rechtbank Amsterdam, Urteil vom 02.09.2019 - 7560515 CV EXPL 19-4611) verurteilte einen Beklagten zu einer Zahlung von EUR 250. Fünfstellige Beträge erscheinen vor dem Hintergrund jedenfalls als völlig überzogen.
III. Fazit
Mit dem Anspruch auf immateriellen Schadensersatz gem. Art. 82 DSGVO hat der EU-Gesetzgeber an einer Tür gerüttelt, die im deutschen Recht bislang nur einen kleinen Spalt geöffnet war. Folgerichtig versuchen Betroffene von Datenschutzverstößen verstärkt, durch diese Tür zu schreiten. Wie gezeigt gibt es allerdings einige Möglichkeiten, den Weg über die Schwelle im Einzelfall zu verhindern oder jedenfalls zu erschweren.
Sofern Ihr Unternehmen auf Zahlung von „Schmerzensgeld“ wegen eines Datenschutzverstoßes in Anspruch genommen wird, sollten Sie unter Berücksichtigung der genannten Anknüpfungspunkte eine für Ihren Fall passende Verteidigungsstrategie entwickeln, die dem Anspruchssteller auf seinem eingeschlagenen Weg möglichst effektive Hindernisse entgegenstellt. Dabei gilt es aber im Blick zu behalten, dass nicht nur aus dieser Richtung Ungemach droht. Die erforderliche Zusammenarbeit mit der Aufsichtsbehörde sollte durch die Verteidigungsstrategie nicht unnötig belastet werden. Zudem ist das Vorgehen auch stets im Hinblick auf seine Wirkung auf das regelmäßig schon angegriffene öffentliche Image zu bewerten. Falls Sie in diesem Spannungsfeld Hilfestellung benötigen, beraten wir Sie gerne.
