Schmerzensgeld nach Artikel 82 DSGVO

Wussten Sie schon? Mit der Datenschutzgrundverordnung (DSGVO) wurde auch das Schmerzensgeld für Betroffene eingeführt. Das gab es vorher im deutschen Recht nicht. Ohnehin sind deutsche Gericht mit solchen Schadensersatzansprüchen bisher sehr sparsam umgegangen. Das zeigt sich vor allem in der Höhe. Denn Schmerzensgeld in nennenswertem Umfang gab es bislang selten.

Es sieht so aus, als ob sich das mit der DSGVO jetzt ändern sollte.

Woher kommt denn jetzt dieser Schmerzensgeldanspruch?

In Artikel 82 Absatz 1 DSGVO steht der entscheidende Satz:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Der Satz hat es in sich. Denn demnach kann jedermann Ansprüche geltend machen. Und diese können eben sowohl materieller als auch immaterieller Art sein. Und letzteres nennt man auch „Schmerzensgeld“.

Worin besteht der „Schmerz“?

Was kann denn nun der „Schmerz“ bei einem Datenschutzverstoß sein? Die Betroffenen machen hier beispielsweise den Kontrollverlust über die eigenen Daten, die begründete Angst vor Identitätsdiebstahl oder die Verletzung der eigenen Ehre oder des Rufs geltend.

In der deutschen Rechtsprechung wurde bislang eigentlich für Schmerzensgeld eine schwerwiegende Persönlichkeitsverletzung des Betroffenen gefordert. Das Ziel der DSGVO nach einem effektiven Datenschutz und der Erfüllung einer Genugtuungs- und Abschreckungsfunktion sei aber nach Meinung vieler Gerichte damit nicht zu vereinbaren.

Daher wird teilweise Schmerzensgeld sogar dann zugesprochen, wenn gar kein immaterieller Schaden nachgewiesen oder gar behauptet wurde. Schon der Datenschutzverstoß selbst soll teilweise einen Schmerzensgeldanspruch auslösen. Der Zusammenhang zwischen Rechtsverletzung und Schaden, die Kausalität, wird damit ignoriert.

Die Schmerzensgeldbeträge steigen

Und auch die Beträge werden höher. So hat das Landgericht Mainz in einem Urteil vom 12.11.2021 (Aktenzeichen 3 O 12/21) entschieden, dass der dortige Kläger 5.000,00 Euro (!) Schadensersatz nach Art. 82 DSGVO wegen einer rechtswidrigen Einmeldung bei der Schufa erhält.

Das Gericht äußert sich ins einem Urteil zu der spannenden Frage des immateriellen Schadens und seiner Berechnung wie folgt:

„Der Kläger hat jedoch einen nach Art. 82 DSGVO gleichfalls ersatzfähigen immateriellen Schaden erlitten. Voraussetzung für einen Schadenersatzanspruch für immaterielle Schäden nach Art. 82 Abs. 1 DSGVO ist eine benennbare und tatsächliche Persönlichkeitsverletzung. Die in der bisherigen deutschen Rechtsprechung für Schmerzensgeld geforderte Voraussetzung einer schwerwiegenden Persönlichkeitsverletzung verträgt sich hingegen nicht mit Art. 82 Abs. 2 DSGVO; sie ist weder vorgesehen noch von dessen Ziel und Entstehungsgeschichte gedeckt, der Anspruch ist hiervon grundsätzlich unabhängig. Die schwerwiegende Persönlichkeitsverletzung kann vor diesem Hintergrund auch nicht als untere Grenze einer Schmerzensgeldhöhe wieder eingelesen werden. Vielmehr ist der immaterielle Schaden umfassend zu ersetzen. Eine schwerwiegende Persönlichkeitsverletzung wird regelmäßig zu einem hohen Schmerzensgeld führen (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rn. 32). Mit dieser Einschränkung gelten für den immateriellen Schadenersatz nach Art. 82 Abs. 2 DSGVO die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach 8 287 ZPO (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rn. 31). Bei der Bemessung des „vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden“ (Erwägungsgrund 146 zur DSGVO) ist auch die Genugtuungs- und Abschreckungsfunktion des Anspruchs aus Art. 82 DSGVO zu berücksichtigen“

(Volltext: https://rewis.io/urteile/urteil/zs4-12-11-2021-3-o-1220/)

Noch ein Beispiel: Das Landesarbeitsgericht Niedersachsen hat mit Urteil vom 22.10.2021 (Aktenzeichen: 16 Sa 761/20) einer betroffenen Person immateriellen Schadensersatz in Höhe von 1.250,00 Euro auf der Grundlage von Artikel 82 Abs. 1 DSGVO wegen fehlerhafter Auskunft nach Artikel 15 DSGVO zugesprochen.

Mein Fazit

Viele Unternehmen machen sich Sorgen wegen möglicher Bußgelder bei DSGVO-Verstößen. Das ist nicht falsch.

Aber man muss mindestens in gleicher Weise die möglichen Ansprüche der Betroffenen auf dem Schirm haben. Denn oft betrifft ein Datenschutzverstoß nicht nur einen sondern viele Betroffene. Beispielsweise, wenn eine Datenbank in falsche Hände gerät, haben wir auf einen Schlag eine Vielzahl an potentiellen Anspruchstellern. Das, zumal solche Datenpannen in der Regel den Betroffenen gemeldet werden müssen (Artikel 34 DSGVO).

Es zeigt sich dabei neben der Tendenz zu höheren Schmerzensgeldern auch eine klare Tendenz von de facto Sammelklagen, indem Ansprüche mehrerer betroffener im Wege der Abtretung gebündelt geltend gemacht werden.

Wappnen kann sich ein Unternehmen nur durch eine gute DSGVO-Compliance. Die Einhaltung aller Anforderungen, insbesondere im Bereich der Datensicherheit (bspw. Artikel 32 DSGVO) ist dabei enorm wichtig.

Ich unterstütze Sie in allen Belangen der DSGVO-Anforderungen. Nehmen Sie jetzt Kontakt mit mir auf und wir besprechen die Möglichkeiten.

Timo Schutt
Externer Datenschutzbeauftragter
Fachanwalt für IT-Recht