Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schadenentstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Dabei haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
Für die Verwirklichung eines Anspruches auf Schadenersatz dem Grunde nach genügen bereits einfache Vergehen wie etwa eine nicht erfolgte Löschung oder die nicht erteilte Auskunft an den Betroffenen über den Umfang der Speicherung seiner personenbezogenen Daten. Das es hierbei zu einem positiven (materiellen) Schaden für den Betroffen kommt, ist eher unwahrscheinlich.
Spannend wird es beim immateriellen Schadenersatz. Dem Betroffenen muss also – ähnlich wie beim Schmerzensgeldanspruch – ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen. Bislang waren die deutschen Gerichte noch sehr zurückhaltend, was solche Ansprüche angeht.
Eine unzulässige Werbemail führe, so das AG Diez (Urt. v. 07.11.2018 – 8 C 130/18), nicht zu einer Haftung, da ein bloßer Verstoß gegen die DSGVO, ohne dass eine Schadensfolge eintrete, nicht zu einer Haftung führe. Einerseits sei eine schwere Verletzung des Persönlichkeitsrechts nicht erforderlich. Andererseits sei auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren. Auch die dreitägige Sperrung eines Social-Media-Accounts (OLG Dresden, Beschl. v. 11.06.2019 – 4 U 760/19) oder die Übermittlung von Unterlagen per unverschlüsselter E-Mail (AG Bochum, Beschl. vom 11.03.2019 – 65 C 485/18) haben allenfalls Bagatellcharakter. Anders mag dies in den Fällen sein, in denen der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist. Notfalls lassen die Gerichte einen Anspruch wegen mangelnder Kausalität scheitern. Bspw. kann der Bankkunde keinen Anspruch durchsetzen, wenn sein Kreditgesuch zwar aufgrund unzutreffender Bonitätsdaten wurde, er aber auch ohne diese falschen Daten keinen Anspruch auf einen Kredit gehabt hätte (LG Karlsruhe, Urt. vom 02.08.2019 – 8 O 26/19).
Jetzt kommt das ArbG Düsseldorf (Urt. v. 05.03.2020, Az. 9 Ca 6557/18) und spricht einem Arbeitnehmer wegen fehlerhafter und unvollständiger Auskunftserteilung EUR 5.000,00 zu. Hierzu stellt das ArbG (a.a.O.) fest, dass die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten solle und Verstöße effektiv sanktioniert werden müssen. Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 DSGVO orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können.
Gründe für die Schadenshöhe waren u.a.:
- Verordnungsgeber ordnet das verletzte Recht auf Auskunft als bedeutsam ein
- Verstoß dauert einige Monate an
- Beträchtlicher Umsatz der Beklagten
- Starke Finanzkraft des Verantwortlichen
- Lediglich fahrlässiges Vergehen
Im Ergebnis fasst das ArbG zusammen: „Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.“