von Dr. Jens Bücking

– Der Verlust der Datenkontrolle und die immaterielle Schadenshaftung –

Am 04.05.2023 hat der Europäische Gerichtshof (EuGH, Rs. C-300/21) einige grundlegende Fragen zum Ersatz immaterieller Schäden aus Art. 82 DSGVO beantwortet, die mit dem Oberlandesgericht Hamm soweit ersichtlich erstmals ein deutsches Obergericht aufgenommen hat (Urteil vom 15.08.2023).

I. Praxisrelevant: Abhandenkommen/ Kontrollverlust persönlicher Daten

Das Oberlandesgericht Hamm hatte über einen Sachverhalt zu entscheiden, bei dem personenbezogene Daten wie bspw. Mobilfunknummern von den Webseiten der Betreiber sozialer Netzwerke abgegriffen und im Darknet veröffentlicht wurden.

II. Nicht jeder DSGVO-Verstoß begründet einen Schadensersatzanspruch

Der EuGH hatte klargestellt, dass mit der bloßen Tatsache eines objektiven Verstoßes gegen Vorschriften der DSGVO noch nicht bereits automatisch ein Schadensersatzanspruch begründet werde. Vielmehr sei ein konkret eingetretener Schaden erforderlich, der wiederum ursächlich auf dem Datenschutzverstoß beruhen müsse.

III. Für den Schaden besteht keine Bagatell-/ Erheblichkeitsschwelle

Ist hiernach ein Schadensersatzanspruch eröffnet, wird dieser jedoch in seiner Höhe nicht begrenzt durch eine sog. „Erheblichkeit- oder Bagatellschwelle“. Die konkret angemessene Schadenshöhe richtet sich laut EuGH nach dem Recht der EU-Mitgliedstaaten.

IV. Welche Art von Schäden kommen in Betracht?

Wenn der EuGH die Einziehung einer Erheblichkeitsschwelle ablehnt, müssten folgerichtig auch geringfügige Beeinträchtigungen – wie bspw. den Verlust der Kontrolle über höchstpersönliche Daten und die damit einhergehenden psychischen Belastungen – grundsätzlich als in Geld zu ersetzender Schaden in Betracht kommen. Leider stellt der EuGH jedoch keine Vorgaben auf, was aus seiner Sicht einen ersatzfähigen Schaden ausmacht.

Ein “leichtes Datenunwohlsein” genügt jedenfalls nicht: Am 25.01.20224 hat der EuGH (C-687/21) entschieden, dass die unbefugte Weitergabe von personenbezogenen Daten an Dritte jedenfalls dann nicht ohne weiteres bereits einen Schaden darstellt, wenn erwiesenermaßen die betreffenden Daten von Dritten noch nicht zur Kenntnis genommen worden sind. Allein die Befürchtung, dies könne zukünftig geschehen, genüge noch nicht für einen immateriellen Schaden.

Für eine Schmerzensgeld-ähnliche Kompensation der erlittenen Beeinträchtigung durch Sorge, Angst und Ungewissheit dergestalt, “was denn nun alles theoretisch noch mit meinen Daten passieren könnte”, wäre hiernach kein Raum.

Auch hierzu gibt nun erstmals mit dem Oberlandesgericht Hamm ein Obergericht eine Richtungsweisung, indem es – vereinfacht dargestellt – die psychischen Belastungen aus einem Datenverlust als allgemeines, sozial-adäquat hinzunehmendes Lebensrisiko einstuft: Die aus dem Datenschutzverstoß folgenden Risiken des Verlusts personenbezogener Daten seien lediglich ein generelles Folgerisiko aus dem Verstoß selbst, das jedoch noch keinen immateriellen Schaden darstelle. Ein solcher wäre vom Anspruchsteller im Einzelfall konkret darzulegen und zu beweisen und müsste laut OLG Hamm also über dieses generelle Risiko hinausgehen.

Dem steht jedoch wiederum die Auffassung des Generalanwalts beim EuGH im Verfahren C-182/22 entgegen, wonach eben gerade das Beispiel des Kontrollverlusts über personenbezogene Daten zu einem immateriellen Schaden führen könne.

V. Die Darlegungs- und Beweislast im Schadensersatzprozess

Nach allgemeinen Grundsätzen obliegt der Schadensnachweis dem Anspruchsteller.

Auch die Ursächlichkeit des DSGVO-Verstoßes für den Schaden ist vom Anspruchsteller zu beweisen.

Dies gilt jedoch nicht für den Verstoß gegen die DSGVO selbst. Denn aus Art. 5 Abs. 2 DSGVO folgt eine Rechenschaftspflicht, die den Verantwortlichen zur Einhaltung der Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO verpflichtet – sowie eben auch zum Nachweis dieser Einhaltung.

Hieraus folgert das Oberlandesgericht Hamm die Darlegungs- und Beweislast des Verantwortlichen für seine DSGVO-konforme Datenverarbeitung.

Auch zur Frage der Kausalität äußert sich das Oberlandesgericht Hamm und stellt fest, dass mit Blick auf die vollumfängliche Darlegungs- und Beweislast des Anspruchstellers es konkreter Darlegungen bedurft hätte, „dass bzw. warum“ der Anspruchsteller „welche Beeinträchtigung hierdurch entwickelt hat“.

Man darf gespannt sein, wie sich der EuGH im noch anhängigen Verfahren C-43/21 zur Frage der Beweislast für DSGVO-Verstöße äußern wird. Ebenso muss man mit Interesse die weitere Entwicklung der Rechtsprechung abwarten, worin konkret der immaterielle Schaden bei einer infolge DSGVO-Verstoßes eingetretenen Beeinträchtigung des betroffenen Anspruchstellers liegen kann und wie demnach ein „Datenschutz-Schmerzensgeld“ zu bemessen sein wird.