Schmerzensgeld bei Datenschutzverstößen – darauf sollten Unternehmen achten

Stefan Hessel

Verstoßen Unternehmen gegen die DSGVO, drohen neben empfindlichen Bußgeldern (wir berichteten) insbesondere Klagen auf immateriellen Schadensersatz. In der Praxis häufen sich aktuell die Klagen, nicht nur von Datenschutzaktivisten oder Verbraucherverbänden, sondern insbesondere auch von einzelnen Betroffenen, die ein – meist unangemessen hohes – Schmerzensgeld fordern. Aufgrund einer ausufernden Rechtsprechung, insbesondere in der Arbeitsgerichtsbarkeit, und der vermehrten Nutzung von Legal Tech besteht aktuell die Gefahr, einer Vielzahl von Schmerzensgeldforderungen ausgesetzt zu sein, die zumindest in der Summe ein beachtliches Risiko für ein Unternehmen darstellen können. In diesem Beitrag erklären wir Ihnen, was Unternehmen tun müssen, um diesem oft unterschätzten Risiko zu begegnen.

Die vier wesentlichen Aspekte für Unternehmen:

Nach Art. 82 DSGVO hat jede Person, der wegen eines DSGVO-Verstoßes ein (materieller oder immaterieller) Schaden entstanden ist, einen Anspruch auf Schadensersatz. Dies gilt nicht, wenn der Anspruchsgegner nachweisen kann, dass er für den Schadenseintritt in keinerlei Hinsicht verantwortlich ist. Die einzelnen Voraussetzungen des Schmerzensgelds sind derzeit hochumstritten. In diesem Beitrag konzentrieren wir uns daher auf die folgenden praxisrelevanten Aspekte:

1. Verstoß gegen die DSGVO

Unstreitig muss ein Verstoß gegen datenschutzrechtliche Vorschriften vorliegen. Ein Unternehmen kann hierbei entweder als Verantwortlicher oder als Auftragsverarbeiter gehandelt haben, da beide Funktionsträger dem Schadensersatzanspruch unterliegen. Um die Geltendmachung von Schmerzensgeldansprüchen zu verhindern, gilt daher für Unternehmen, Datenschutzverstöße bereits im Vorfeld durch gute Datenschutzprozesse zu unterbinden bzw. bei Verstößen, z.B. im Wege des Incident Response, schnelle Abhilfe zu leisten.

2. Verantwortung für den DSGVO-Verstoß

Entscheidend für Unternehmen ist, dass sie sich von der Schmerzensgeldforderung befreien können, wenn sie nachweisen, dass sie nicht für den Eintritt des Schadens verantwortlich sind.  Hierfür muss das Unternehmen jedoch nachweisen, dass weder vorsätzlich noch fahrlässig gehandelt wurde. Ein Verweis auf ein Mitverschulden Dritter reicht hierfür nicht aus. Auch das Verhalten von Mitarbeitern ist grundsätzlich einem Unternehmen zuzurechnen. Wir empfehlen daher, sämtliche Verarbeitungsvorgänge in einem Unternehmen hinreichend zu dokumentieren, um im Streitfall den erforderlichen Nachweis datenschutzkonformen Verhaltens vorbringen zu können. Die Dokumentation sollte hierbei bestenfalls in klar definierten Datenschutzprozessen erfolgen, damit ein lückenloser Nachweis gewährleistet werden kann.

3. Vorliegen eines kausalen Schadens

Für die Bejahung eines Schmerzensgeldanspruches muss nach überwiegender Ansicht dem Betroffenen ein immaterieller Schaden tatsächlich entstanden sein, der kausal auf dem DSGVO-Verstoß beruht. Der Begriff des Schadens wird zum Schutz der Betroffenen weit ausgelegt. Die DSGVO listet beispielhaft die Fälle von Diskriminierung, Identitätsdiebstahl, Rufschädigung, Kontrollverlust über die Daten oder die Einschränkung von Betroffenenrechten (wir berichteten) auf. Nach Teilen der Rechtsprechung und der Literatur sollen sogar kleinste und minimale Beeinträchtigungen einen ersatzfähigen Schaden begründen. Sollte sich dieser Trend fortsetzen, wäre dies ein erheblicher Nachteil für Unternehmen, da diese zukünftig bei jeder noch so kleinen Beeinträchtigung einer Vielzahl von Schadensersatzforderungen gegenüberstehen könnten. Befeuert durch Legal-Tech-Anbieter könnten bei Datenschutzverletzungen schnell Flächenbrände entstehen.

4. Die konkrete Schadenshöhe

Im Ergebnis herrscht Einigkeit darüber, dass die Höhe des zu ersetzenden Schadens den Funktionen des immateriellen Schadensersatzes zum Ausgleich, zur Genugtuung und zur Generalprävention entsprechen muss und dem Schmerzensgeld weder eine reine Symbolwirkung noch ein Strafcharakter zukommen darf. Das OLG Koblenz hat in einer Entscheidung diesbezüglich betont, dass die Höhe des immateriellen Schadensersatzes zwar so anzusetzen sei, dass Anreize zu einem datenschutzkonformen Verhalten durch Verantwortliche geschaffen werden sollen, die Höhe aber nicht außer Verhältnis zu den konkreten Umständen des Einzelfalls stehen darf. Hierunter können insbesondere auch die Erheblichkeit der Beeinträchtigung oder ein Mitverschulden des Betroffenen fallen. Gleichzeitig soll damit eine Motivation der Betroffenen verhindert werden, wegen unangemessen hoher immaterieller Ersatzansprüche Datenschutzverstöße zu provozieren. Die generalpräventive Wirkung wird sich daher nicht in besonders hohen immateriellen Schadensersatzansprüchen niederschlagen, sondern in der Breitenwirkung ihre Funktion erfüllen. Dieser Ansatz ist zu begrüßen, sodass die bislang vereinzelt, insbesondere durch die Arbeitsgerichte zugesprochenen, unangemessen hohen Schmerzensgelder wohl künftig die Ausnahme bleiben werden. Ausgehend davon kann immateriellen Schadensersatzforderungen – auch in einem streitigen Verfahren – effektiv entgegengetreten werden.

Fazit und Empfehlung für Unternehmen

Bei Datenschutzverstößen werden Unternehmen zukünftig aller Voraussicht nach häufiger mit Schmerzensgeldforderungen konfrontiert sein. Insbesondere wegen zunehmender Angebote von Legal-Tech-Unternehmen kann es zu einer Klagehäufung und einer Breitenwirkung kommen, die ein beträchtliches Risiko für Unternehmen darstellen.

Zur Risikominimierung empfehlen wir die Implementierung eines Datenschutz-Compliance-Managements, das sowohl vorbeugende Maßnahmen zur präventiven Unterbindung künftiger DSGVO-Verstöße umfasst als auch Maßnahmen zur effektiven Abwehr von Schmerzensgeldforderungen beinhaltet. Dann bestehen auch in gerichtlichen Verfahren gute Verteidigungsmöglichkeiten.

[Juli 2022]