Schadensersatz und Schmerzensgeld bei jedwedem DSGVO-Verstoß?

RA/ Fachanwalt IT-Recht Dr. Jens Bücking, Stuttgart

Nach in Kraft treten der DSGVO taten sich die Zivilgerichte aus ihrer „Rechtsprechungstradition“ der „Spürbarkeitsschwelle“ bzw. „Bagatellgrenze“ naturgemäß schwer, Schadensersatz- und Entschädigungsansprüche überhaupt – oder zumindest in einer die bisherige restriktive Praxis übersteigenden Höhe – zuzusprechen.

Diese Rechtsprechung kann allerdings nicht aufrechterhalten werden.  Deutsche Gerichte dürfen lt. Bundesverfassungsgericht (BVG) Klagen aus Artikel 82 DSGVO nicht mehr mit der Begründung abweisen, dass die geltend gemachte Beeinträchtigung lediglich einen Bagatellschaden darstellt.

Auch das sogenannte „Presse- bzw. Medienprivileg“ steht, wenn der Verstoß etwa in einer Medienberichterstattung liegt, der Feststellung (dem Grunde nach) und der „Aufstockung“ (der Höhe nach) solcher Ansprüche nicht entgegen, da insoweit ein „Nebeneinander“ mit der DSGVO gilt und sich das Privileg zudem nicht auf der Schadensersatzebene, die sich allein nach Artikel 82 DSGVO bestimmt, auswirkt.

Es kann daher nicht darauf ankommen, ob die schadensrechtliche Beeinträchtigung beim Betroffenen die Schwelle zur „Erheblichkeit“ genommen hat.

Bis zur Entscheidung des BVG war die Bereitschaft der Gerichte sehr gering, selbst niederschwellige immaterielle Entschädigungen zuzusprechen. Zwischenzeitlich freilich kommt Bewegung in die Judikatur zu Artikel 82 DSGVO. Ein Teil der seitdem ergangenen Rechtsprechung ist geprägt von dem Gedanken, dass an die Voraussetzungen für einen Anspruch auf Geldentschädigung zumindest „keine allzu hohen Anforderung“ gestellt werden dürfen (bspw. Werbung mittels E-Mailmarketing ohne Einwilligung; Informationen, die innerhalb eines Bewerbungsverfahrens an einen Dritten weitergeleitet wurden).

Der österreichische Oberste Gerichtshof (ÖOGH) stellt mit Blick auf den Wortlaut von Artikel 82 DSGVO die Frage, ob für den Zuspruch von Schadensersatz neben der Verletzung von Bestimmungen der DSGVO überhaupt (noch) Voraussetzung sei, dass der Kläger einen tatsächlichen Schaden erlitten hat, oder ob nicht bereits die Verletzung von Bestimmungen der DSGVO als solche ausreicht, und legt dies dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vor. Weiter erscheint dem ÖOGH zweifelhaft, ob es Voraussetzung für den immateriellen Schadensersatzanspruch sein kann, dass eine Konsequenz  der Rechtsverletzung von zumindest einer Gewichtung vorliegen muss, die über den durch die Rechtsverletzung an sich hervorgerufenen Ärger hinausgeht.

Dem BVG und dem OGH ist zuzustimmen:

Eine Bagatellgrenze zieht Artikel 82 Abs. 1 DSGVO nicht ein („jeder“, der einen Schaden erlitten hat). Der DSGVO-Verstoß muss zwar kausal für den Schaden sein, es kann sich freilich der Verstoß auch bereits zugleich im Schaden selbst realisieren. Die Bemessung des Schadensbetrages muss nach den Erwägungsgründen zur DSGVO auch eine präventiv-abschreckende Wirkung haben. Dem widerspräche eine Spürbarkeitsschwelle bzw. Bagatellgrenze. Im Gegenteil soll grundsätzlich jede Form der Rechtsbeeinträchtigung einen Schaden darstellen. Daraus folgt, dass grundsätzlich jeder noch so geringfügige Verstoß gegen die Anforderungen der DSGVO einen Schaden der betroffenen Person indiziert, denn jede auferlegte Pflicht der DSGVO dient zugleich dem Recht des Betroffenen auf Schutz seiner personenbezogenen Daten.

Autor: Dr. Jens Bücking

Autor: Dr. Jens Bücking

Rechtsanwalt
Fachanwalt für IT-Recht
Senior Partner e|s|b Stuttgart


Veröffentlicht am 10.11.2021
unter #Allgemein, #Datenschutz, #Internationales Recht, #IT-Recht, #Onlinerecht