Durch die Datenschutz-Grundverordnung werden in der EU personenbezogene Daten geschützt und deren Verarbeitung reglementiert. Jeder Betroffene kann nicht nur einen Anspruch auf Auskunft darüber, in welcher Art und Weise seine Daten verarbeitet worden sind, sondern auch einen Anspruch auf Schadensersatz geltend machen. Der Auskunftsanspruch ist in Art. 15 DSGVO, der Schadensersatzanspruch in Art. 82 DSGVO geregelt.
Da es sich bei der DSGVO um ein noch sehr junges „Gesetz“ handelt, sind noch viele rechtliche Fragen nicht abschließend geklärt.
Voraussetzungen des Schadensersatzes nach der DSGVO
Besonders umstritten sind Aspekte des Schadensersatzanspruchs nach Art. 82 DSGVO. Er steht für sich selbst, kann aber auch darauf gestützt werden, dass die Auskunft nach Art. 15 DSGVO nicht rechtzeitig oder umfassend genug erfolgt war. Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Erheblichkeit des Schadens?
Im Rahmen des immateriellen Schadens ist beispielsweise umstritten, ob – entsprechend deutscher Rechtsprechungstradition – erst eine gewisse Erheblichkeitsschwelle überschritten werden muss, um überhaupt einen immateriellen Schadensersatz zusprechen zu können. Das Bundesverfassungsgericht hat zumindest entschieden, dass letztinstanzlich tätige Gerichte Klagen auf immateriellen DSGVO-Schadensersatz nicht allein mit der Begründung abweisen dürfen, dass der erlittene Schaden eine gewisse Erheblichkeitsschwelle nicht überschritten habe. Dem folgen die Gerichte (BAG, Urt. v. 26.08.2021 – 8 AZR 253/20 (A) – Rn. 33; LAG Hamm, Urt. v. 11.05.2021 – 6 Sa 1260/20 – Rn. 62ff.; LAG Niedersachsen, Urt. v. 22.10.2021 – 16 Sa 761/20 – Rn. 228; LAG Hamm, Urt. v. 14.12. 2021 – 17 Sa 1185/20). Ein Schaden liegt schnell vor. Er kann bereits im Kontrollverlust über die verlangten Daten zu erkennen (vgl. ArbG Dresden, Urt. v. 26.08.2020 – 13 Ca 1046/20; LG Darmstadt, Urt. v. 26.5.2020 – 13 O 244/19; LG Lüneburg, Urt. v. 14.7.2020 – 9 O 145/19; ArbG Düsseldorf, Urt. v. 5.3.2020 – 9 Ca 6557/18) oder gar bereits in dem unguten Gefühl liegend, dass personenbezogene Daten Unbefugten bekannt geworden sind (AG Pfaffenhofen, Urt. v. 9.9.2021 – 2 C 133/21).
Aktueller Stand der Debatte im Arbeitsrecht
Zwei weitere spannende Fragen zu Schutzzweck und Schadensbemessung hat das Bundesarbeitsgericht (BAG) kürzlich dem Europäischen Gerichtshof (EuGH) vorgelegt. Das BAG (Az. 8 AZR 253/20) möchte wissen:
„Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?“
„Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?“
Schadensersatz aus Gründen der Generalprävention
Nach Meinung der meisten Datenschutzrechtler bedarf es einer weiten Auslegung des Schadensbegriffs. Denn nach Erwägungsgrund 146 S. 3 zur DSGVO sollte der Begriff des Schadens „im Lichte der Rechtsprechung des EuGH weit in einer Art und Weise ausgelegt werden, die den Zielen der Datenschutz-Grundverordnung in vollem Umfang entspricht.“ Gemeint ist damit auch Rechtsprechung des EuGH, wonach der Schaden so bemessen werden muss, dass ihm eine hinreichend abschreckende Funktion im Hinblick auf den Schutz der betroffenen Rechtsgüter zukommt (EuGH, Urt. v. 22.4.1997 – C-180/95 Rn. 25, NJW 1997, 1809; EuGH, Urt. v. 17.12.2015 – C-407/14 Rn. 44 f.). Auch aus Erwägungsgrund 146 S. 6 zur DSGVO wird abgeleitet, dass die betroffene Person einen vollständigen und wirksamen Ersatz für den erlittenen Schaden erhalten soll. Auch um die europarechtlichen Vorgaben der DSGVO möglichst effektiv umsetzen zu können (effet utile), bedarf es einer abschreckenden Wirkung des Schadensersatzes (OLG Dresden, Urt. v. 30.11.2021 – 4 U 1158/21)
Mehrere deutsche Gerichte haben deshalb darauf hingewiesen, dass Schadensersatzansprüche nach DSGVO eine generelle Abschreckungswirkung entfalten sollen (LAG Niedersachsen, Urt. v. 22.10.2021 – 16 Sa 761/20; LAG Berlin-Brandenburg, Urt. v. 18.11.2021 – 10 Sa 443/21; LAG Hamm, Urt. v. 11.5.2021 – 6 Sa 1260/20 – Rn. 50; OLG Dresden, Urt. v. 30.11.2021 – 4 U 1158/21).
Letztlich aber wird der EuGH das letzte Wort haben. Bis zu dessen Entscheidung dürfte noch etwas Zeit vergehen. Wir halten Sie auf dem Laufenden.