Die Verkündung der Datenschutzgrundverordnung (DSGVO), die seit dem 25.5.2018 anzuwenden ist, hatte zunächst bei der Allgemeinheit für Angst und Schrecken gesorgt. Es bestand zuvor zwar Einigkeit, dass personenbezogene Daten irgendeines Schutzes bedürfen würden, war sich allerdings der (potenziellen) Ausmaße eines entsprechenden Gesetzes bzw. einer wie ein Gesetz wirkenden EU-Verordnung zunächst nicht bewusst gewesen. Das Hauptproblem der DSGVO lag nun darin, sehr offen formuliert zu sein. Daher kamen diesbezügliche Einschätzungen, wie weit die DSGVO in ihrem Anwendungsberiech nun letztlich geht, zunächst meistens sibyllinischen Orakeln gleich.
Insbesondere die Frage, wie mit Entschädigung nach rechtswidrigem Umgang mit Daten, also dem Schadenersatz nach Datenschutzverstößen, gemäß Art. 82 DSGVO umzugehen ist, war einige Zeit lang allzu unklar; mittlerweile bringen die Gerichte jedoch auch hier Licht ins Dunkel. Aktuell stark thematisiert werden die Fragen, wie weit der Schadensbegriff reicht und ob/wann bereits Bagatellen den Anspruch auslösen. Besinnt man sich auf das Grundsätzliche, können Geschädigte infolge rechtswidriger Verwendung ihrer Daten (im)materiellen Schadenersatz geltend machen. Hierbei ist auf Folgendes zu achten:
Immaterieller Schadenersatz
Art. 82 Abs. 1 DSGVO stellt fest, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat.
Letztlich bedarf es für einen Entschädigungsanspruch folglich vergleichsweise nicht viel: Zunächst ist ein Verstoß gegen die DSGVO erforderlich (und ausreichend). Sodann muss infolgedessen, also kausal, daraus ein materieller oder immaterieller Schaden entstanden sein, den der Verantwortliche zu vertreten hat.
Die DSGVO gilt bekanntlich für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
Personenbezogene Daten
Beispiele für personenbezogene Daten: Namen, Adressen, Handynummer, Mailadresse, IP-Adresse, Bonitätsdaten, Kennnummern, Standortdaten, Online-Kennung oder besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Eine „Verarbeitung“ liegt schon in jedem mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jeder solcher Vorgangsreihen im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO).
Beispiele: Das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Typische Verstöße gegen die DSGVO bestehen darin, dass der für die Daten Verantwortliche sie einem Dritten, beispielsweise einem Unternehmen, zugänglich macht, also unbefugt offenbart. Fehlt es an einer Rechtfertigung dafür, kann Schadenersatz geltend gemacht werden. Hinsichtlich des Schadens ist eine Bezifferung für immaterielle Schäden naturgemäß schwierig – wie soll man schon einen Datenverstoß in Geld bemessen? Die Umstände der Bemessung wären vor Gericht darzulegen und somit einzelfallabhängig. Mittlerweile haben sich allerdings einige Gerichte mit dieser Thematik beschäftigt, anhand derer eine schematische Einschätzung der Entschädigungshöhe abgeleitet werden kann.
Überblick über immateriellen Schadenersatz bei Datenschutzverstößen
- Das ArbG Düsseldorf sprach einem ehemaligen Arbeitnehmer EUR 5.000 Schadenersatz wegen einer verspäteten und unvollständigen Auskunft nach Art. 15 DSGVO zu (Urt. v. 5.3.2020 – 9 Ca 6557/18)
- Das AG Pforzheim sprach dem Kläger EUR 4.000 zu, weil ein Psychotherapeut seine sensiblen Daten entgegen Art. 9 DSGVO verarbeitet und weitergegeben hatte (Urt. v. 25.3.2020 – 13 C 160/19)
- Das ArbG Lübeck hält Schadenersatz in Höhe von EUR 1.000 bei unbefugter Veröffentlichung eines Mitarbeiterfotos auf sozialen Netzwerken für angemessen (Beschl. v. 20.6.2019 – 1 Ca 538/19)
- Das ArbG Dresden sprach einem Kläger EUR 1.500 zu, weil der Arbeitgeber Gesundheitsdaten unrechtmäßig an Behörden weitergegeben hatte (Urt. v. 26.8.2020 – 13 Ca 1046/20)
- Das LG Darmstadt urteilte, dass der Verlust der Kontrolle über die eigenen Bewerbungsdaten einen Schadenersatzanspruch in Höhe von EUR 1.000 begründen kann (Urt. v. 26.5.2020 – 13 O 244/19)
- Das ArbG Neumünster sprach einem Kläger einen Schadenersatz von EUR 1.500 für eine – drei Monate – verspätete Beantwortung eines Auskunftsersuchens zu (Urt. v. 11.08.2020 – 1 Ca 247/20)
- Das LAG Köln urteilte, dass die unbefugte Veröffentlichung des beruflichen Tätigkeitsprofils nach Ende des Beschäftigungsverhältnisses einen Schadenersatz von EUR 300 auslösen kann (Urt. v. 14.09.2020 – 2 Sa 358/20)
- Das LG Lüneburg sprach EUR 1.000 für die Bewirkung eines rechtswidirgen Negativeintrages bei einer Wirtschaftsauskunftei zu (Urt. v. 14.7.2020 – 9 O 145/19)