Donnerstag, 19. Oktober 2023

DSGVO-Schadensersatz-, Unterlassungs- und Auskunftsanspruch

Prof. Dr. Hervé Edelmann, Fachanwalt für Bank- und Kapitalmarktrecht, Thümmel, Schütze & Partner, Stuttgart

 

1.      Der EuGH hat in seiner Entscheidung vom 04.05.2023, C-300/21 (DB 2023, 1280 m. Anm. Feller/Britz, BKR 2023, 486; Ernst, EWiR 11/2023, 331; Baier/Selz DB 2023, 1403), zunächst klargestellt, dass Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Insofern steht nunmehr fest, dass ein reiner Pflichtverstoß wie z. B. die Nichterteilung bzw. die fehlende Erteilung von datenschutzrechtlichen Auskünften nach der DSGVO nicht ausreichend ist, um einen entsprechenden Anspruch auf Ersatz eines materiellen oder immateriellen Schadens zu rechtfertigen. Vielmehr muss der Betroffene substantiiert darlegen und vor allem auch beweisen, dass ihm durch den datenschutzrechtlichen Pflichtverstoß auch ein entsprechender konkreter materieller oder immaterieller Schaden entstanden ist (Rn. 28–42).

Sodann führt der EuGH aus, dass der von einem datenschutzrechtlichen Pflichtverstoß Betroffene unabhängig davon einen Anspruch auf Ersatz seines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO hat, ob nationale Regelungen für einen solchen Anspruch das Erreichen einer bestimmten Erheblichkeitsschwelle voraussetzen, was eine Vielzahl deutscher Gerichte und auch der den Fall zum EuGH vorlegende österreichische OGH anders gesehen und daher dem Betroffenen, z. B. bei Bagatellschäden oder bei rein negativen Gefühlen oder bei einem bloßen Ärgernis, die Gewährung eines materiellen Schadensersatzanspruchs verweigert hatten (Rn. 43–51; vgl. hierzu auch Feller/Britz, BKR 2023, 486, 487).

Hieran anschließend stellt der EuGH klar, dass sich der Schadensersatzanspruch nach Art. 82 DSGVO ausschließlich auf den Ersatz des dem Betroffenen tatsächlich entstandenen materiellen oder immateriellen Schadens bezieht mit der Folge, dass dem Betroffenen kein weiterer darüber hinausgehender Strafschadensersatz zugesprochen werden darf, dem Schadensersatzanspruch nach Art. 82 DSGVO somit keine Genugtuungs- oder Straffunktion zukommt (Rn. 57).

Schließlich stellt der EuGH klar, dass die Festsetzung der Höhe des Schadensersatzanspruchs nach Art. 82 DSGVO nach den nationalen Regelungen zu erfolgen hat, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (Rn. 52–56).


2.      Im Anschluss an vorstehende EuGH-Entscheidung hält das OLG Hamm in seinem Urteil vom 15.08.2023, 7 U 19/23, GRUR-RS 2023, 22505, in Bezug auf den Inhalt und Umfang des DSGVO-Schadensersatzanspruchs fest, dass ein Schadensersatzanspruch wegen einer solchen der DSGVO nicht entsprechenden Datenverarbeitung dann ausscheidet, wenn bei der betroffenen Person ein konkreter tatsächlicher, über den durch die unrechtmäßige Datenverarbeitung ohnehin eintretenden Kontrollverlust hinausgehender immaterieller Schaden nicht eintritt.

In Übereinstimmung mit dem EuGH stellt das Oberlandesgericht Hamm sodann fest, dass die Darlegungs- und Beweislast für den Eintritt des konkreten (materiellen und immateriellen) Schadens beim Betroffenen liegt. Demgemäß könne der Beweis bei behaupteten persönlichen/psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller und dem Beweis zugänglicher Indizien erbracht werden.


3.      Was wiederum den Inhalt und Umfang des Schadensersatzanspruches nach Art. 82 DSGVO anbelangt, so hat der BGH in seiner Entscheidung vom 26.09.2023, VI ZR 97/22, dem EuGH nachfolgende Fragen vorgelegt:

  • Ist Art. 82 Abs. 1 des DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens i. S. d. Bestimmung bloße negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und auch des täglichen Lebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?
  • Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt?
  • Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

Unabhängig von der Frage des Schadensersatzes hat der Bundesgerichtshof in seiner vorstehend erwähnten Entscheidung dem EuGH darüber hinaus in Bezug auf Inhalt und Umfang des unionsrechtlichen Unterlassungsanspruchs nachfolgende Fragen vorgelegt:

  • Ist Art. 17 DSGVO dahingehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangen?
  • Kann sich ein solcher Unterlassungsanspruch auch aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?

Für den Falle, dass der EuGH vorstehende zwei Fragen bejaht, werden nachfolgende weitere zwei Fragen an den EuGH gestellt:

  • Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?
  • Wird das Bestehen der Wiederholungsgefahr ggf. aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?

Für den Fall wiederum, dass der EuGH die ersten beiden Fragen verneint, möchte der Bundesgerichtshof folgendes vom EuGH wissen:

  • Sind Art. 84 i. V. m. Art. 79 DSGVO dahingehend auszulegen, dass sie es den nationalen Richtern erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

 

PRAXISTIPPS

Aufgrund vorstehender Ausführungen steht für die Praxis in Bezug auf Inhalt und Umfang des DSGVO-Schadensanspruchs folgendes fest:

  • Ein DSGVO-Schadensersatzanspruch ist nicht schon dann zuzusprechen, wenn ein DSGVO-Pflichtverstoß vorliegt. Vielmehr muss der Betroffene darüber hinaus einen konkreten ihm entstandenen tatsächlichen materiellen oder immateriellen Schaden darlegen und auch beweisen.
  • Fest steht auch, dass dem Betroffenen ein DSGVO-Schadensersatzanspruch unabhängig davon zusteht, ob der vom Betroffenen nachgewiesene immaterielle Schaden eine gewisse Erheblichkeitsschwelle übersteigt. Ob allerdings bloße negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst einen materiellen Schaden i. S. d. DSGVO darstellen, wird der EuGH aufgrund vorstehend wiedergegebener Vorlageentscheidung des Bundesgerichtshofs noch entscheiden müssen.
  • Ein Strafschadensersatzanspruch ist vom DSGVO-Schadensersatzanspruch nicht erfasst. Zu ersetzen ist vielmehr nur der dem Betroffenen tatsächlich entstandene konkrete materielle oder immaterielle Schaden.

 

Für die Praxis von Bedeutung ist auch, dass der EuGH über die Reichweite des DSGVO-Auskunftsanspruchs in zwei weiteren aktuellen Entscheidungen seine bisherige weite Auslegung des DSGVO-Auskunftsrechts bestätigt hat (EuGH-Urteil vom 22.06.2023, C-579/21 m. Anm. Schonhofen, DB 2023, 1911 sowie EuGH, Urteil vom 04.05.2023, C-487/21 m. Anm. Eichelberger, BKR 2023, 640).

Erwähnenswert für die Praxis im Zusammenhang mit DSGVO-Verstößen ist auch noch die Entscheidung des BAG vom 29.06.2023, 2 AZR 296/22 (NZA 2023, 1105 m. Anm. Fuhlrott, GWR 2023, 305; Kaufmann, FD-ArbR 2023, 458279 u. Stück, CCZ 2023, 25), in welcher das BAG ausgeführt hat, dass bei einem Kündigungsschutzprozess nach Maßgabe der DSGVO und der ZPO grundsätzlich kein Verwertungsverbot in Bezug auf solche Aufzeichnungen aus einer offenen Videoüberwachung besteht, die vorsätzlich vertragswidriges Verhalten des Arbeitnehmers belegen soll. Dies soll auch dann gelten, wenn die Überwachungsmaßnahme des Arbeitgebers nicht vollständig im Einklang mit den Vorgaben des Datenschutzes steht. Dabei hebt das BAG völlig zu Recht hervor, dass Datenschutz keinen Tatenschutz darstellt und daher den Betroffenen nicht dazu dienen soll, sich der Verantwortung für vorsätzliches rechtswidriges Handeln zu entziehen. 


Beitragsnummer: 22326

Beitrag teilen:

Produkte zum Thema:

Produkticon
Datenschutzberatung und Unterstützung
Produkticon
Revisionskompetenz Datenschutz in Banken - Vorbereitung & Durchführung

399,00 € exkl. 19 %

22.02.2024

Beiträge zum Thema:

Beitragsicon
BGH äußert sich zum Anspruch auf „Kopie“ nach Art. 15 Abs. 3 DSGVO

Sofern ein Dokument nicht von der betroffenen Person selbst stammt, besteht nach BGH-Auffassung grundsätzlich keine Verpflichtung zur Herausgabe dessen Kopie.

17.04.2024

Beitragsicon
Der Schadensersatzanspruch bei Datenschutzverstößen nach Art. 82 DSGVO

Der Beitrag durchleuchtet unter welchen Voraussetzungen nach dem EuGH ein Schadensersatzanspruch besteht und wie ein Unternehmen sich dagegen wehren kann.

03.04.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.