Markt & Wettbewerb
Schadenersatzansprüche nach Art. 82 DS-GVO – gibt es eine „Bagatell-Untergrenze“ oder eine „Erheblichkeitsschwelle“?
Bekanntlich stellt Art. 82 DS-GVO eine Anspruchsgrundlage für Schadenersatzansprüche bei Datenschutzverstößen zur Verfügung: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
In den 2 Jahren seit dem Ende der Übergangsfrist im Mai 2018 haben sich Gerichte immer wieder mit der Frage beschäftigt, ob ein „Schmerzensgeld“ auch dann zuzusprechen ist, wenn es sich um sog. „Bagatellverletzungen“ handelt. Mit durchaus unterschiedlichen Ergebnissen: Das OLG München entschied am 08.12.2020 (18 U 5493/19), dass die bloße Sperrung eines Nutzerprofils auf „Facebook“ nicht zu einem Schaden i.S.d. Art. 82 DS-GVO führt. Ähnlich urteilte auch das OLG Dresden am 12.01.2021 (Az. 4 U 1600/20), dass ein „schwerwiegender Persönlichkeitseingriff“ vorliegen müsse. Anders hingegen das OLG Stuttgart, das am 31.03.2021 (Az. 9 U 34/21) die Auffassung vertrat, dass Art. 82 Abs.1 DSGVO einen weiten Begriff der Pflichtverletzung enthalte. schon die verzögerte Auskunftserteilung könne einen Schadenersatzanspruch rechtfertigen. Die Entscheidung ist nichts rechtkräftig, da das OLG Stuttgart die Revision zum BGB zugelassen hat. In gleichem Sinne entschied das LG Karlsruhe am 09.02.2021 (Az. 4 O 67/20).
Der DS-GVO selbst lässt sich in den Erwägungsgründen 85 S. 1 und 146 S. 6 entnehmen, dass die Verletzung der datenschutzrechtlichen Bestimmungen (nur) dann zu einem Ersatzanspruch führt, wenn „erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“ sowie ein „erlittenen Schaden“ vorliegen.
Nunmehr hat sich das Bundesverfassungsgericht (BVerfG) in die Diskussion eingeschaltet (Beschluss vom 14.1.2021 - 1 BvR 2853/19) und eine Entscheidung des AG Goslar kritisiert, in der ein Unternehmen eine einzige ungewollte Werbe-E-Mail versandt hatte. Das Amtsgericht wies den geltend gemachten Schadensersatzanspruch mit der Begründung ab, es handele sich um einen Bagatellschaden - (was in der Sache sicher zutreffend ist). Das BVerfG gab der gegen das ansonsten nicht anfechtbare Urteil gerichteten Verfassungsbeschwerde statt und stellte klar, dass das Amtsgericht die Frage einer möglichen Erheblichkeitsschwelle dem Europäischen Gerichtshof (EuGH) hätte vorlegen müssen.
Die Entscheidung aus Karlsruhe ist zum einen richtig, da die Auslegung europäischer Vorschriften nun einmal dem EuGH vorbehalten ist, zum anderen von erheblicher Bedeutung für die Praxis: es wird also der EuGH sein, der einmal mehr eine wichtige Frage klärt. Angesichts der eher „verbraucherfreundlichen“ Rechtsprechung des EuGH muss damit gerechnet werden, dass jede Datenschutzverletzung (also auch eine einzige Werbe-Email) zu einem Schadenersatzanspruch führen kann. Sollte der EuGH den Begriff des Schadens in Art. 82 DS-GVO weit auslegen, so dürfte dies zu einer Welle von Ansprüchen führen.
Unternehmen sollten jedenfalls noch sorgfältiger als bisher auf die Einhaltung datenschutzrechtlicher Bestimmungen achten und ihre Prozesse ständig überprüfen und anpassen, um Datenpannen aller Art zu verhindern.