Die DSGVO (Datenschutzgrundverordnung) hat mit ihrer Einführung für mehr Fragen als Antworten hinsichtlich der zu ergreifenden Maßnahmen geführt, die für eine DSGVO-konforme Datenverarbeitung erforderlich sind.
Dabei sollen hohe und abschreckende Bußgelder und ein Anspruch auf Schmerzensgeld gem. Art. 82 DSGVO Unternehmen wie Behörden zur datenschutzkonformen Verarbeitung anhalten und Datenschutzverstöße verhindern.
Kommt es doch zu einem Datenschutzverstoß, so stellt sich für den Betroffenen häufig die Frage: Habe ich nach einem Datenschutzverstoß Anspruch auf ein Schmerzensgeld?
Obwohl die DSGVO bereits seit zwei Jahren in Kraft getreten ist, beschäftigt der Anspruch auf Schmerzensgeld in Art. 82 DSGVO deutsche Gerichte erst seit kurzem. Wir stellen Ihnen die Urteile vor, in denen deutsche Gerichte Schmerzensgeldansprüche nach einem Datenschutzverstoß zuerkannt haben – und wann nicht.
Datenschutzverstöße ohne Schmerzensgeld
Kein Schaden – kein Schmerzensgeld?
Aus der unzulässigen Datenverarbeitung muss tatsächlich ein Nachteil entstehen, nicht nur ein Nachteil befürchtet werden
– (LG Hamburg, Urteil vom 04. September 2020 – 324 S 9/19 –)
Sachverhalt: Die Klägerin begehrte ein Schmerzensgeld nach Art. 82 DSGVO, da der Beklagte als Verantwortlicher der Datenverarbeitung ein Bild von Ihrer Wohnung auf seine Immobilien-Website gesetzt hatte. Die Klägerin trug vor, dass sie hierdurch Nachteile, insbesondere durch Einbrecher und einem von ihr abgemahnten Angestellten fürchte. Das Berufungsgericht, als auch das Gericht der ersten Instanz, lehnt aber ein Schmerzensgeld ab:
„Die Zubilligung eines Schadensersatzanspruchs bedarf es des Eintritts eines Schadens. Diesen hat die Klägerin weder dargelegt noch ist er sonst ersichtlich. Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz. […]
Nach dem Erwägungsgrund 146 ist der Begriff des Schadens weit auszulegen, so dass Betroffene einen wirksamen Ersatz erhalten. Erwägungsgrund 85 besagt, dass eine Verletzung des Schutzes personenbezogener Daten einen physischen, materiellen oder immateriellen Schaden für natürliche Personen – wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung – nach sich ziehen kann, wenn nicht rechtzeitig und angemessen reagiert wird. […] Es bedarf danach zwar keiner schweren Verletzung des Persönlichkeitsrechts, um einen immateriellen Schaden geltend zu machen […].
Dennoch führt nicht bereits jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht, denn der Verpflichtung zum Ausgleich eines immateriellen Schadens muss eine benennbar und insoweit tatsächliche Persönlichkeitsverletzung gegenüberstehen, die z.B. in der mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden „Bloßstellung“ liegen kann.“
Das Gericht führte weiter aus, dass eine reine Befürchtung von Nachteilen aber noch kein Schaden sei.
Die DSGVO und die SCHUFA – passt?
Die Schufa ist an die DSGVO bei der Erhebung und Verarbeitung von Daten als Tatsachengrundlage gebunden. Die Prognosewertung (Kreditscore) ist aber als Werturteil nicht von der DSGVO umfasst
– (LG Karlsruhe, Urteil vom 02. August 2019 – 8 O 26/19 –)
Sachverhalt: Der Kläger bekam, seiner Auffassung nach aufgrund falscher Daten, einen negativen Kreditscore einer Wirtschaftsauskunftei. Diese wurde an eine verbundenes Kreditinstitut (rechtmäßig) übergeben, welches aufgrund der negativen Prognose einen Kredit verweigerte. Der Kläger fühlte sich hierdurch bloßgestellt und machte geltend, dass aufgrund der falschen Bewertung ihr kein Kredit zur Anschaffung eines Kfz gewährt wurde. Das Gericht entschied hierzu
„Die Ermittlung eines Scorewertes durch eine wirtschaftliche Auskunftei nach einem von dieser im Detail nicht offenbarten Berechnungsverfahren und die Weitergabe dieses Scorewertes an vertraglich verbundenen Kreditinstitute stellt für sich genommen noch keinen Verstoß gegen die DSGVO […]. Der Scorewert selbst ist im Ergebnis ein subjektives Werturteil, also eine Meinungsäußerung der Auskunftei. Geschützt ist die Klägerin jedoch davor, dass die Beklagte die von ihr ausgegebene Meinung über die Bonität der Klägerin, den Scorewert, aus einer Tatsachengrundlage entwickelt, die nachweislich falsch ist, denn eine Auskunftei, will sie von ihrer Äußerungsfreiheit Gebrauch machen, muss eine auf einer zutreffenden Tatsachengrundlage beruhende Meinungsäußerung liefern.“
Konto gesperrt, Daten gesperrt?
Eine Sperrung eines Nutzerkontos für bestimmte Zeit aufgrund von Community-Richtlinienverstößen führt nicht dazu, dass in der Sperrungszeit keine Erlaubnis zur Datenverarbeitung vorliegt
– (LG Mannheim, Urteil vom 13. Mai 2020 – 14 O 32/19 –)
Sachverhalt: Der Kläger wurde aufgrund von menschenverachtenden Kommentaren das Facebookkonto für 30 Tage gesperrt. Neben einer Vielzahl von anderen (unbegründeten) Klageanträgen machte er auch geltend, dass durch die Sperrung seine Daten nicht weiter von Facebook hätten gespeichert, genutzt oder verarbeitet werden dürfen. Denn seine Einwilligung innerhalb des Nutzungsvertrags wäre in diesem Zeitraum auch erloschen. Das Gericht wies die Klage vollumfänglich ab:
„Während der Dauer einer rechtswidrigen Sperrung erlöschen dieses vertraglich eingeräumte Nutzungsrecht und die datenschutzrechtliche Einwilligung nicht ipso iure. […] Sowohl die Einräumung von Nutzungsrechten als auch die datenschutzrechtliche Einwilligung sind von der vertraglichen Verpflichtung hierzu zu trennende und von dieser grundsätzlich unabhängige selbstständige Rechtshandlungen – die Nutzungsrechtseinräumung ein Rechtsgeschäft dinglichen Charakter. Eine (konkludente) Erklärung des Klägers gegenüber der Beklagten, die zu einem (vorübergehenden) Erlöschen des vertraglich eingeräumten Nutzungsrechts oder der datenschutzrechtlichen Einwilligung während der Sperrzeit führte, ist nicht ersichtlich.“
Dies gilt dann erst Recht für rechtmäßige Sperrungen. Auch hier liegt keine Verbotene Verarbeitung von Daten vor, da die Einwilligung fortwirkt.
Führen Werbe-Emails zum Schmerzensgeld?
Das Verschicken einer E-Mail allein kann nicht zu einem Schmerzensgeld führen
– (AG Diez, Urteil vom 07. November 2018 – 8 C 130/18 –)
Sachverhalt: Der Kläger brachte vor, dass die Beklagte ihm eine Mail mit dem Hinweis, dass ein von ihm genutztes Portal abgeschaltet werden würde. In dieser selben E-Mail wie die Beklagte zusätzlich darauf hin, dass ein (kostenpflichtiges) Nachfolgeportal existiere. Der Kläger führte aus, dass dies (uneingewilligte) Werbung sei, und das Schicken der Mail somit eine unzulässige Datenverarbeitung. Der Sachstreit ging in diesem Fall bis zum Landesverfassungsgericht des Landes Nordrhein Westfalen. Dem Kläger wurde ein Schmerzensgeld jedoch nicht gewährt:
„Einerseits ist eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.“
Fazit
In den meisten Fällen scheitert ein Schmerzensgeld daran, dass nicht nachgewiesen werden kann, dass ein materieller oder immaterieller Schaden vorliege.
Datenschutzverstöße mit Schmerzensgeld
In manchen Fällen wurde dem Schmerzensgeldanspruch gem. Art. 82 DSGVO jedoch stattgegeben:
Foto eines Mitarbeiters durch Arbeitgeber genutzt
Verwendet der Arbeitgeber ein Bild eines Nicht(mehr)-Mitarbeiters auf der Website und Facebook, kann er zur Zahlung eines Schmerzensgeldes verpflichtet werden, wenn der Mitarbeiter hierzu nicht eingewilligt hat
– (ArbG Lübeck, Beschluss vom 20. Juni 2019 – 1 Ca 538/19 –)
Sachverhalt: Der Arbeitgeber lud ein Foto eines Mitarbeiters bei Facebook und Website hoch. Der Mitarbeiter monierte dies, und verlangte, dass die Bilder gelöscht werden. Der Arbeitgeber vergaß jedoch, auch das Bild auf Facebook zu löschen. Die Klägerin erhielt aber nur 1.000,00 € Schmerzensgeld anstelle von 3.500,00 €. Das Gericht führte aus:
Die Voraussetzungen eines Schmerzensgeldes sind erfüllt, wenn trotz fehlender Einwilligung ein Bild auf der Website verbleibt. Hierdurch wird Dritten vorgespielt, dass die Person tatsächlich noch für das Unternehmen arbeite, und hierfür einstehe. Hierdurch kommt es zu einer Verletzung des Persönlichkeitsrechts, die als immaterieller Schaden nach Art. 82 DSGVO zu ersetzen sei.
Verspäteter und unvollständiger Auskunftsanspruch
Es kann einen Anspruch auf Schmerzensgeld geben, wenn ein Arbeitgeber trotz Auskunftsverlangen gem. Art. 15 DSGVO über gespeicherte und verarbeitete Daten diesem nicht nachkommt
Sachverhalt: Ein ehemaliger Mitarbeiter einer Firma hatte Auskunft über seine Daten nach Art 13 und 15 DSGVO von seinem Arbeitgeber gefordert. Dieser schickte ihm jedoch erst nach fünf Monaten die erbetene Information zu. Das Gericht führte aus:
„Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren […].[…] Indem die Beklagte die Vorgaben aus Art. 15 […]verletzt hat, hat sie das Auskunftsrecht des Klägers – das zentrale Betroffenenrecht – beeinträchtigt.
Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 E. irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus.[…]“
Fazit
Auch in Fällen, in denen ein Schmerzensgeld nach Art. 82 DSGVO zugesprochen wurde, wird häufig ein niedrigerer Betrag gezahlt, als gefordert wird. Dies beweist erneut die große Unsicherheit in der Verknüpfung DSGVO-Verstoß und Schmerzensgeld.
Dies dürfte sich jedoch in den kommenden Monaten und Jahren noch ändern: aktuell sind mehrere tausend Klagen vor deutschen Gerichten anhängig.