Schmer­zens­geld bei Daten­schutz­ver­stö­ßen – dar­auf soll­ten Unter­neh­men achten

Ver­sto­ßen Unter­neh­men gegen die DSGVO, dro­hen neben emp­find­li­chen Buß­gel­dern (wir berich­te­ten) ins­be­son­de­re Kla­gen auf imma­te­ri­el­len Scha­den­er­satz. In der Pra­xis häu­fen sich aktu­ell die Kla­gen, nicht nur von Daten­schutz­ak­ti­vis­ten oder Ver­brau­cher­ver­bän­den, son­dern ins­be­son­de­re auch von ein­zel­nen Betrof­fe­nen, die ein – meist unan­ge­mes­sen hohes – Schmer­zens­geld for­dern. Auf­grund einer aus­ufern­den Recht­spre­chung, ins­be­son­de­re in der Arbeits­ge­richts­bar­keit, und der ver­mehr­ten Nut­zung von Legal Tech besteht aktu­ell die Gefahr, einer Viel­zahl von Schmer­zens­geld­for­de­run­gen aus­ge­setzt zu sein, die zumin­dest in der Sum­me ein beacht­li­ches Risi­ko für ein Unter­neh­men dar­stel­len kön­nen. In die­sem Bei­trag erklä­ren wir Ihnen, was Unter­neh­men tun müs­sen, um die­sem oft unter­schätz­ten Risi­ko zu begegnen.

Die vier wesent­li­chen Aspek­te für Unternehmen:

Nach Art. 82 DSGVO hat jede Per­son, der wegen eines DSGVO-Verstoßes ein (mate­ri­el­ler oder imma­te­ri­el­ler) Scha­den ent­stan­den ist, einen Anspruch auf Scha­den­er­satz. Dies gilt nicht, wenn der Anspruchs­geg­ner nach­wei­sen kann, dass er für den Scha­dens­ein­tritt in kei­ner­lei Hin­sicht ver­ant­wort­lich ist. Die ein­zel­nen Vor­aus­set­zun­gen des Schmer­zens­gelds sind der­zeit hoch­um­strit­ten. In die­sem Bei­trag kon­zen­trie­ren wir uns daher auf die fol­gen­den pra­xis­re­le­van­ten Aspekte:

1. Ver­stoß gegen die DSGVO

Unstrei­tig muss ein Ver­stoß gegen daten­schutz­recht­li­che Vor­schrif­ten vor­lie­gen. Ein Unter­neh­men kann hier­bei ent­we­der als Ver­ant­wort­li­cher oder als Auf­trags­ver­ar­bei­ter gehan­delt haben, da bei­de Funk­ti­ons­trä­ger dem Scha­den­er­satz­an­spruch unter­lie­gen. Um die Gel­tend­ma­chung von Schmer­zens­geld­an­sprü­chen zu ver­hin­dern, gilt daher für Unter­neh­men, Daten­schutz­ver­stö­ße bereits im Vor­feld durch gute Daten­schutz­pro­zes­se zu unter­bin­den bzw. bei Ver­stö­ßen, z.B. im Wege des Inci­dent Respon­se, schnel­le Abhil­fe zu leisten.

2. Ver­ant­wor­tung für den DSGVO-Verstoß

Ent­schei­dend für Unter­neh­men ist, dass sie sich von der Schmer­zens­geld­for­de­rung befrei­en kön­nen, wenn sie nach­wei­sen, dass sie nicht für den Ein­tritt des Scha­dens ver­ant­wort­lich sind.  Hier­für muss das Unter­neh­men jedoch nach­wei­sen, dass weder vor­sätz­lich noch fahr­läs­sig gehan­delt wur­de. Ein Ver­weis auf ein Mit­ver­schul­den Drit­ter reicht hier­für nicht aus. Auch das Ver­hal­ten von Mit­ar­bei­tern ist grund­sätz­lich einem Unter­neh­men zuzu­rech­nen. Wir emp­feh­len daher, sämt­li­che Ver­ar­bei­tungs­vor­gän­ge in einem Unter­neh­men hin­rei­chend zu doku­men­tie­ren, um im Streit­fall den erfor­der­li­chen Nach­weis daten­schutz­kon­for­men Ver­hal­tens vor­brin­gen zu kön­nen. Die Doku­men­ta­ti­on soll­te hier­bei bes­ten­falls in klar defi­nier­ten Daten­schutz­pro­zes­sen erfol­gen, damit ein lücken­lo­ser Nach­weis gewähr­leis­tet wer­den kann.

3. Vor­lie­gen eines kau­sa­len Schadens

Für die Beja­hung eines Schmer­zens­geld­an­spru­ches muss nach über­wie­gen­der Ansicht dem Betrof­fe­nen ein imma­te­ri­el­ler Scha­den tat­säch­lich ent­stan­den sein, der kau­sal auf dem DSGVO-Verstoß beruht. Der Begriff des Scha­dens wird zum Schutz der Betrof­fe­nen weit aus­ge­legt. Die DSGVO lis­tet bei­spiel­haft die Fäl­le von Dis­kri­mi­nie­rung, Iden­ti­täts­dieb­stahl, Ruf­schä­di­gung, Kon­troll­ver­lust über die Daten oder die Ein­schrän­kung von Betrof­fe­nen­rech­ten (wir berich­te­ten) auf. Nach Tei­len der Recht­spre­chung und der Lite­ra­tur sol­len sogar kleins­te und mini­ma­le Beein­träch­ti­gun­gen einen ersatz­fä­hi­gen Scha­den begrün­den. Soll­te sich die­ser Trend fort­set­zen, wäre dies ein erheb­li­cher Nach­teil für Unter­neh­men, da die­se zukünf­tig bei jeder noch so klei­nen Beein­träch­ti­gung einer Viel­zahl von Scha­dens­er­satz­for­de­run­gen gegen­über­ste­hen könn­ten. Befeu­ert durch Legal-Tech-Anbieter könn­ten bei Daten­schutz­ver­let­zun­gen schnell Flä­chen­brän­de entstehen.

4. Die kon­kre­te Schadenshöhe

Im Ergeb­nis herrscht Einig­keit dar­über, dass die Höhe des zu erset­zen­den Scha­dens den Funk­tio­nen des imma­te­ri­el­len Scha­den­er­sat­zes zum Aus­gleich, zur Genug­tu­ung und zur Gene­ral­prä­ven­ti­on ent­spre­chen muss und dem Schmer­zens­geld weder eine rei­ne Sym­bol­wir­kung noch ein Straf­cha­rak­ter zukom­men darf. Das OLG Koblenz hat in einer Ent­schei­dung dies­be­züg­lich betont, dass die Höhe des imma­te­ri­el­len Scha­den­er­sat­zes zwar so anzu­set­zen sei, dass Anrei­ze zu einem daten­schutz­kon­for­men Ver­hal­ten durch Ver­ant­wort­li­che geschaf­fen wer­den sol­len, die Höhe aber nicht außer Ver­hält­nis zu den kon­kre­ten Umstän­den des Ein­zel­falls ste­hen darf. Hier­un­ter kön­nen ins­be­son­de­re auch die Erheb­lich­keit der Beein­träch­ti­gung oder ein Mit­ver­schul­den des Betrof­fe­nen fal­len. Gleich­zei­tig soll damit eine Moti­va­ti­on der Betrof­fe­nen ver­hin­dert wer­den, wegen unan­ge­mes­sen hoher imma­te­ri­el­ler Ersatz­an­sprü­che Daten­schutz­ver­stö­ße zu pro­vo­zie­ren. Die gene­ral­prä­ven­ti­ve Wir­kung wird sich daher nicht in beson­ders hohen imma­te­ri­el­len Scha­den­er­satz­an­sprü­chen nie­der­schla­gen, son­dern in der Brei­ten­wir­kung ihre Funk­ti­on erfül­len. Die­ser Ansatz ist zu begrü­ßen, sodass die bis­lang ver­ein­zelt, ins­be­son­de­re durch die Arbeits­ge­rich­te zuge­spro­che­nen, unan­ge­mes­sen hohen Schmer­zens­gel­der wohl künf­tig die Aus­nah­me blei­ben wer­den. Aus­ge­hend davon kann imma­te­ri­el­len Scha­den­er­satz­for­de­run­gen – auch in einem strei­ti­gen Ver­fah­ren – effek­tiv ent­ge­gen­ge­tre­ten werden.

Fazit und Emp­feh­lung für Unternehmen

Bei Daten­schutz­ver­stö­ßen wer­den Unter­neh­men zukünf­tig aller Vor­aus­sicht nach häu­fi­ger mit Schmer­zens­geld­for­de­run­gen kon­fron­tiert sein. Ins­be­son­de­re wegen zuneh­men­der Ange­bo­te von Legal-Tech-Unternehmen kann es zu einer Kla­ge­häu­fung und einer Brei­ten­wir­kung kom­men, die ein beträcht­li­ches Risi­ko für Unter­neh­men darstellen.

Zur Risi­ko­mi­ni­mie­rung emp­feh­len wir die Imple­men­tie­rung eines Datenschutz-Compliance-Managements, das sowohl vor­beu­gen­de Maß­nah­men zur prä­ven­ti­ven Unter­bin­dung künf­ti­ger DSGVO-Verstöße umfasst als auch Maß­nah­men zur effek­ti­ven Abwehr von Schmer­zens­geld­for­de­run­gen beinhal­tet. Dann bestehen auch in gericht­li­chen Ver­fah­ren gute Verteidigungsmöglichkeiten.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.