Schadenersatzansprüche: Das unterschätzte Risiko der DSGVO
Schadenersatzansprüche sind zunehmend ein Thema. Das Arbeitsgericht Düsseldorf hat z.B. aktuell die Kriterien zur Bußgeldbemessung herangezogen, um einen immateriellen Schaden zu bewerten. Sensibilisieren Sie die Geschäftsleitung auch für dieses Risiko.
Die Datenschutz-Grundverordnung (DSGVO) hält einige Überraschungen bereit. Ein bisher unterschätztes Risiko sind z.B. die Schadenersatzansprüche.
Eine zentrale Frage in der aktuellen Entwicklung ist, wer was beweisen muss. Außerdem muss sich zeigen, ob der Geschädigte eher einen Ausgleich für seinen Schaden erhält oder ob es vielmehr darum gehen wird, den Verursacher zu bestrafen.
Grundlagen eines Schadenersatzanspruchs
Die DSGVO regelt den Schadenersatzanspruch in Art. 82 DSGVO.
Schadenersatzansprüche sind nicht neu. §§ 7, 8 des alten Bundesdatenschutzgesetzes (BDSG a.F.) sahen Schadenersatzansprüche ebenso vor wie das deutsche Zivilrecht im Bürgerlichen Gesetzbuch sowohl für eine Verletzung von Vertragspflichten (z.B. Arbeitsvertrag) als auch als sogenannter deliktischer Anspruch (§§ 823 ff. BGB; z.B. Verletzung des Persönlichkeitsrechts).
Weder nach DSGVO noch nach BGB ist also zwingend eine Vertragsbeziehung zwischen den Geschädigten und dem Schädiger erforderlich. Art. 82 DSGVO ist eine datenschutzrechtliche Spezialregelung, die gegenüber §§ 823 ff. BGB Vorteile für den Anspruchsteller vorsieht.
Voraussetzungen eines Schadenersatzanspruchs
Um Anspruch auf Schadenersatz zu haben, sind verschiedene Elemente Voraussetzung.
Art. 82 Abs. 1 DSGVO formuliert das so: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Anspruchsberechtigte
Nach Art. 82 Abs. 1 DSGVO ist also „jede Person“ anspruchsberechtigt. Da die DS-GVO nur natürliche Personen schützt, ergibt sich zumindest die Einschränkung, dass juristische Personen nicht anspruchsberechtigt sind.
Die Fachliteratur diskutiert, dass nicht nur die betroffene Person (siehe Art. 4 Nr. 1 DSGVO), sondern jede Person berechtigt sein soll, weil Art. 82 DSGVO das so formuliert.
Das bedeutet, dass nicht nur die Personen den Anspruch geltend machen können, deren Daten von der Verletzung direkt betroffen sind, sondern auch mittelbar berührte Personen.
Abgesehen davon, dass diese Ansicht abzulehnen ist, scheinen sich Anwendungsfälle auch nicht gerade aufzudrängen. Ein Beispiel könnte der Schaden eines familiären Mit-Kreditnehmers sein: Ist der Scoring-Wert falsch, zahlt er dadurch bedingt höhere Zinsen.
Rechtsverletzung
Grundlegende Voraussetzung für einen Anspruch ist, dass gegen eine Regelung der DSGVO verstoßen wurde. Hier kommt jede Regelung der DSGVO in Betracht. Gerade auch die in der Praxis ungeliebten Pflichten wie Löschregelungen, Privacy by Design and Default, Datenschutz-Folgenabschätzung, Dokumentations- und Organisationspflichten.
Schaden
Kein Schadenersatzanspruch ohne Schaden! Dem Anspruchsteller muss ein Schaden entstanden sein. Das sind zum einen materielle Schäden. Häufig sind das zumindest die Kosten der Rechtsverfolgung. Die DSGVO stellt aber klar, dass zum anderen auch immaterielle Schäden erfasst sind – Stichwort: Schmerzensgeld.
Die deutsche Rechtsprechung ist derzeit zurückhaltend bei der Höhe von Schmerzensgeld. Nach deutschem Zivilrecht ist auch schon der Anwendungsbereich von Schmerzensgeld inhaltlich begrenzt.
Hier ist mit Ausweitungen gegenüber der bisherigen deutschen Rechtspraxis zu rechnen. Denn der Schadenersatz nach Art. 82 DSGVO sollte EU-weit einheitlich ausgelegt und angewendet werden und nicht alle EU-Mitgliedstaaten sind so restriktiv wie die deutsche Rechtspraxis.
Kausalität zwischen Rechtsverletzung und Schaden
Allein eine Rechtsverletzung und ein Schaden führen nicht zum Schadenersatz. Genau die konkrete Rechtsverletzung muss zusätzlich auch den konkreten Schaden verursacht haben. Das bringt in Art. 82 Abs. 1 DSGVO der Begriff „wegen“ zum Ausdruck.
Welche Anforderungen der ursächliche Zusammenhang erfüllen muss, ist noch nicht abschließend geklärt. Genügt die reine (Mit-)Ursächlichkeit? Oder ist auch die im deutschen Recht anerkannte Adäquanz erforderlich – sprich: Der Schaden liegt nicht außerhalb jeder Erwartbarkeit?
Nicht erforderlich ist nach der DSGVO, dass die verletzte Regelung vor dem konkreten Schaden schützen sollte. Im deutschen Deliktsrecht ist das unter dem Stichwort „Schutzzweck der Norm“ dagegen eine weitere Voraussetzung für einen Schadenersatzanspruch.
Verschulden
Nach deutschem Rechtsverständnis setzt ein Schadenersatzanspruch ein Verschulden desjenigen, der mit dem Anspruch konfrontiert wird (Inanspruchgenommener), in Bezug auf die Rechtsverletzung voraus.
In Bezug auf den Schadenersatzanspruch von Art. 82 DSGVO ist das umstritten, weil er das Verschulden nicht ausdrücklich anspricht.
Allerdings sieht Art. 82 Abs. 3 DSGVO vor, den Inanspruchgenommenen von der Haftung zu befreien, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.
Vereinfacht läuft das auf Vergleichbares hinaus. Denn auch nach dem deutschen Schadenersatzrecht müsste der Inanspruchgenommene darlegen, dass ihn kein Verschulden trifft.
Allerdings könnte die Formulierung von Art. 82 Abs. 3 DSGVO dazu führen, dass er sich in weiterem Umfang entlasten muss. Insbesondere könnte auch die Frage nach einer ausreichenden Datenschutzorganisation relevant werden.
Umfang eines Schadenersatzanspruchs
Damit ist noch nichts über das Ausmaß des Ersatzanspruchs gesagt. Dieser zweite Teil eines Schadenersatzanspruchs wird auch als „haftungsausfüllender Tatbestand“ bezeichnet. Hierzu enthält die DSGVO keine Regelungen. Es gilt somit das deutsche Zivilrecht – also insbesondere §§ 249 ff. BGB.
Die DSGVO sieht den Ersatzanspruch sowohl für materielle als auch für immaterielle Schäden vor. Den immateriellen Schaden kennt man auch unter dem Stichwort „Schmerzensgeld“. Materielle Schäden sind – vereinfacht gesagt – die Kosten, die anfallen, um den Zustand ohne das Schadensereignis wiederherzustellen.
Häufig sind das zumindest die Kosten der Rechtsverfolgung – also insbesondere des eingeschalteten Rechtsanwalts. In der deutschen Rechtsprechung ist aber anerkannt, dass nicht jede sofortige Einschaltung eines Rechtsanwalts schadenersatzfähig ist, sondern sich der Betroffene zunächst selbst bemühen muss. Ob das auch für die DSGVO gilt, wird noch zu klären sein.
Strafschadenersatz: Der neue Weg, Datenschutz durchzusetzen
Im deutschen Schadenersatzrecht ist der Schadenersatz in Gestalt einer Bestrafung des Verletzers eigentlich nicht anerkannt. Ziel ist bisher stattdessen, einen entstandenen Schaden zu kompensieren, also auszugleichen.
Das Arbeitsgericht Düsseldorf schlägt in seinem Urteil vom 5. März 2020 (Az. 9 Ca 6557/18) über einen Anspruch auf Ersatz des immateriellen Schadens wegen nicht vollständiger und verspäteter Auskunftserteilung allerdings einen anderen Weg ein.
Das Gericht stellt darauf ab, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten solle. Verstöße müssten effektiv sanktioniert werden, damit die DSGVO wirken könne. Das werde v.a. durch Schadenersatz in abschreckender Höhe erreicht.
Gerichte könnten sich bei der Bemessung des immateriellen Schadenersatzes auch an Art. 83 Abs. 2 DSGVO – also den Bußgeldbemessungskriterien – orientieren. Das tut das Gericht sodann und setzt 5.000 € fest.
Ein solcher Weg birgt erhebliche Risiken:
- Der Schadenersatzanspruch wird zur „Ersatzstrafe“ und die Zivilgerichte faktisch zu Sanktionsgerichten.
- Die betroffene Person darf den „Strafschadenersatz“ – anders als das etwa bei staatlichen Bußgeldern nach Art. 83 DSGVO der Fall ist – behalten. Das könnte auf Kläger und Klägerinnen motivierend wirken. Bedenkt man, dass bei einem Datenschutzverstoß, der auf strukturellen Problemen fußt, eine Vielzahl von Personen betroffen sein kann, potenziert sich das Risiko.
- Auch ist nicht klar, ob es dann zu Doppel- und Mehrfachbestrafungen desselben Verstoßes käme. Man stelle sich eine unzulässige Aussendung von E-Mail-Werbung vor, und jeder Empfänger macht Strafschadenersatz geltend. Im Ergebnis würde – jedenfalls unter Beachtung der jeweiligen Kosten für Gerichtsverfahren – eine erheblich höhere Strafe „herauskommen“ als die, die eine Aufsichtsbehörde verhängt.
Das macht die potenzielle Dimension erkennbar. Sie ergibt sich insbesondere auch deshalb, weil die betroffene Person bei diesem Ansatz überhaupt nichts zum eigenen Schaden vortragen müsste, sondern nur den Rechtsverstoß. Das Zivilgericht würde dann anhand der Bußgeldbemessungskriterien einen angemessenen Strafschadenersatz festlegen.
Auch für Datenschutzverantwortliche im Unternehmen kann das Konsequenzen haben. Denn die Unternehmen könnten auf die Idee kommen, den Datenschutzverantwortlichen wegen der Schadenersatzpflicht in Anspruch zu nehmen.
Sollte sich dieser Ansatz durchsetzen, schafft das durch die Hintertür die Möglichkeit, im Privatklageweg die Bestrafung von Datenschutzverstößen zu erreichen.
Entscheidend: die Beweislast
In der Praxis von entscheidender Bedeutung ist: Wer muss was beweisen?
Nach deutschem Zivilrecht muss der Anspruchsteller grundsätzlich alle Anspruchsvoraussetzungen mit Ausnahme des Verschuldens beweisen. Der Inanspruchgenommene muss also nur beweisen, dass ihn kein Verschulden trifft.
Die Rechtsprechung sieht aber – vereinfacht gesagt – auch Beweiserleichterungen für den Anspruchsteller vor, wenn sich beispielsweise ein Vorgang vollkommen in der Sphäre des Inanspruchgenommenen befindet. Wie sich diese Ansätze der Zivilrechtsprechung auf die DSGVO-Ansprüche auswirken, ist noch nicht final klar.
Bleibt es angesichts von Art. 82 DSGVO dabei? Nach der Systematik der DSGVO müssen Verantwortliche und Auftragsverarbeiter nachweisen, dass sie die DSGVO einhalten und nicht gegen das Recht verstoßen (siehe z.B. Art. 5 Abs. 2 DSGVO). Damit läge die vollständige Beweislast allein beim Verantwortlichen bzw. beim Auftragsverarbeiter.
Erste gerichtliche Entscheidungen halten aber am Ansatz des deutschen Zivilrechts fest und sehen nicht die vollständige Beweislast beim Verantwortlichen (und Auftragsverarbeiter). Hier wird die weitere Entwicklung zu beachten sein.
Muss nach deutschen Zivilrecht der Anspruchsteller seinen Schaden und die Kausalität der Rechtsverletzung für diesen Schaden darlegen und beweisen, würde der Ansatz des ArbG Düsseldorf auch hier einschlagen: Denn bestimmte sich der zu zahlende Schadenersatz nicht nach dem Schaden, sondern nach den Bußgeldbemessungskriterien, müsste der Anspruchsteller nichts zum Schaden oder zur Kausalität ausführen.
Schadenersatzhaftung des Auftragsverarbeiters
Für den Auftragsverarbeiter ist mit Blick auf die Haftung eine neue Zeitrechnung angebrochen. Denn nach dem alten BDSG war er durch § 11 Abs. 1 Satz 1 vor Schadenersatzansprüchen des Datenschutzrechts geschützt. Art. 79 und Art. 82 DSGVO haben diese „Haftungsprivilegierung“ beendet.
Der Auftragsverarbeiter kann also seit dem 25.05.2018 direkt in Anspruch genommen werden. Die DSGVO ist noch einen Schritt weitergegangen. Denn nach Art. 82 Abs. 4 DSGVO haftet der Auftragsverarbeiter gegenüber einer betroffenen Person auch für Verstöße des Auftraggebers.
Nach Art. 82 Abs. 2 Satz 2 DSGVO haftet ein Auftragsverarbeiter für den Schaden, den eine Verarbeitung verursacht. Das gilt aber „nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Das schränkt seine Haftung zumindest in Teilen ein.
Gerade für die Sicherheit der Verarbeitung nach Art. 32 DSGVO ist zu beachten, dass der Auftragsverarbeiter diese Pflicht nicht nur als Auftrag des Auftraggebers ausführt.
Art. 32 Abs. 1 DSGVO verpflichtet ihn auch selbst und direkt. Blindes Vertrauen auf die Haftungsbegrenzung könnte daher trügerisch sein.
Fazit: Die bessere Ausgangsposition hat der Anspruchsteller
Der Schadenersatzanspruch nach DSGVO ist ein bisher unterschätztes Risiko. Auch wenn noch nicht alle Fragen abschließend geklärt sind, müssen Datenverarbeiter zunehmend damit rechnen.
Die beste Gegenmaßnahme ist schlicht, die DSGVO einzuhalten. Aber wenn es schiefgelaufen ist, muss sich der Verantwortliche konsequent und weitsichtig verteidigen. Denn der Anspruchsteller ist – auch wenn nicht die extreme Auslegung greift, dass er selbst nichts darlegen muss – in der komfortableren Ausgangsposition.