Die erste Assoziation, die die meisten mit dem Begriff „Schmerzensgeld“ haben, ist – wie sollte es anders sein – Schmerzen. Bei juristischen Laien hält sich das Bild, dass Schmerzensgeld eine Ersatzzahlung für die erlittenen körperlichen Unannehmlichkeiten nach einem Unfall oder Tierbiss sein sei.
Darum klingt es zunächst ungewöhnlich, dass auch bei einem Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) ein Schmerzensgeld zu zahlen sei. Art. 82 Abs. 1 DSGVO besagt:
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Schmerzensgeld nach der DSGVO?
Schmerzensgeld bedeutet nicht unbedingt, dass körperliche Schmerzen erlitten worden sein müssen, sondern dass ein immaterieller Schaden entstanden ist.
Bei immateriellen Schäden ist die Bezifferung des Anspruchs – im Gegensatz zu einem Vermögensschaden, der z.B. anhand einer Reparaturrechnung belegt werden kann – nicht mathematisch oder möglich.
Denn dem „körperlichen Wohlbefinden“ oder einer Ehrverletzung kann kein wirtschaftlicher Vermögenswert zugeordnet werden. Auch der unberechtigten Verarbeitung Ihrer Daten kann kein wirtschaftlicher Schaden gegenübergestellt werden, ein immaterieller Schaden kann trotzdem vorliegen.
Denn bei einem Datenschutzverstoß kann – abhängig von der Schwere des Verstoßes – ein Eingriff in das allgemeine Persönlichkeitsrechts vorliegen, der einen Schmerzensgeldanspruch auslösen kann.
Urteile zu Schmerzensgeld bei Datenschutzverstößen
Die Rechtsprechung zu Schmerzensgeldansprüchen nach einem Datenschutzverstoß ist gegenwärtig noch nicht sonderlich ausgeprägt, da die Datenschutzgrundverordnung erst wenige Jahre alt ist und die Auslegung des Art. 82 DSGVO in Deutschland noch nicht durch die Rechtsprechung einheitlichoder obergerichtlich gefestigt ist.
Allerdings heißt es in Erwägungsgrund 146 S. 3 zum Art. 82 DSGVO:
„Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“
Damit kann ein weiteres Verständnis des Schadens – und damit des Schmerzensgeldes – angenommen worden. Insbesondere soll dem Schmerzensgeld eine abschreckende und sanktionierende Wirkung zukommen. Die deutsche Rechtsprechung legt den Erwägungsgrund jedoch unterschiedlich aus, weil dem deutschen Schadensrecht der Gedanken einer Sanktionierung durch Schmerzensgeld eher fremd ist. Das Schmerzensgeld soll vielmehr Ausgleich und Genugtuung für die erlittenen Beeinträchtigungen erreichen.
Darum ist auch nicht vollständig einsehbar, wie hoch ein Schmerzensgeld aufgrund eines Verstoßes gegen die DSGVO ausfallen kann.
Das Arbeitsgericht Düsseldorf urteilte erst in diesem Jahr, dass beispielsweise der Verstoß gegen die Erfüllung des Auskunftsanspruchs aus Art. 15 Abs. 1, 2 DSGVO einen Schmerzensgeldanspruch in Höhe von 5.000,00 € begründete. Wohlgemerkt: hier ging es (nur) darum, dass einem ehemaligen Arbeitnehmer nicht innerhalb einer gewissen Zeit vollständig Auskunft über die gespeicherten Daten erteilt wurde.
Das Landesgericht Feldkirch (Österreich) sprach 2019 dem klagenden Anwalt, nachdem die Post über ein automatisiertes Profiling parteipolitische Präferenzen ohne Einwilligung gespeichert hat, ein Schmerzensgeld von 800,00 € zu.
Das OLG Dresen entschied im Jahr 2019, dass ein DSGVO-Schadensersatzanspruch bei „Bagatellschäden“ nicht in Frage kommt. Geklagt hatte ein Social-Media-Nutzer, dessen Account nach rassistischem Posting gelöscht wurde.
Ansonsten sind zwar gegenwärtig mehrere tausend Verfahren bei deutschen Gerichten anhängig, mit denen Schadenersatzansprüche auf Grundlage der DSGVO verfolgt werden, diesbezügliche Entscheidungen stehen jedoch noch aus.
Die Einwilligung von der Versicherung für Datenverarbeitung unterzeichnen? Hier haben wir Ihnen erläutert, warum Sie dies nicht machen sollten!
Handlungshilfe nach Datenschutzverstoß
Der große Nachteil bei einem DSGVO-Schmerzensgeld besteht darin, dass man in den meisten Fällen nicht erkennen kann, das personenbezogene Daten überhaupt unzulässigerweise erhoben wurden oder an Dritte weitergegeben worden sind. Doch was können Sie in diesen Moment tun?
Nach Art. 15 DSGVO haben Sie einen Auskunftsanspruch, welche Daten erhoben wurden. Darüber hinaus beinhaltet Art. 15 eine weitreichende Liste von Auskunftsinhalten, die Sie einfordern dürfen. Nach Art. 15 Abs. 3 DSGVO ist der Datenverarbeiter sogar verpflichtet, Ihnen eine Kopie der angeforderten Auskunftsinhalte kostenfrei zur Verfügung zu stellen.
Darüber gilt im Datenschutzrecht eine umfassende Beweislastumkehr, sodass das Unternehmen, welches Ihre Daten erhebt, speichert oder verarbeitet, die datenschutzkonforme Datenverarbeitung beweisen muss, wodurch Ihnen die Durchsetzung Ihrer Datenschutzansprüche und des Schmerzensgeldes nach einem Datenschutzverstoß erleichtert wird.
Fazit: Schmerzensgeld nach Datenpanne ja, aber…
Schadenersatz- und Schmerzensgeldansprüche nach einem Datenschutzverstoß bestehen und können nach der gesetzgeberischen Intention auch geltend gemacht werden. Die praktische Umsetzung durch die erkennenden Gerichte hat jedoch erst begonnen, sodass die Bemessung eines Schmerzensgeldanspruchs sowie die Durchsetzung gegenwärtig noch einiger klarstellender Entscheidungen bedarf.