Schadensersatz und Entschädigungen

Art. 82 Abs. 1 DSGVO spricht einem Geschädigten Ersatz zu:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Dabei sind sowohl ein materieller Schaden zu ersetzen, also ein Schaden in Geld, wie auch ein immaterieller Schaden, also eine Art Schmerzensgeld. Richtiger heißt es Entschädigung wegen eines immateriellen Schadens.

Wie kann ein materieller Schaden aussehen? Ein Beispiel: Ihr Unternehmen nimmt den Datenschutz noch nicht so ernst. Ein ungeschulter Mitarbeiter versendet ein vertrauliches Angebot anstatt an den Kunden an einen Wettbewerber. Dadurch entsteht dem Kunden ein Schaden, weil der Wettbewerber ihm jetzt seine Kunden teilweise abluchsen kann. Dann wären Sie ihrem Kunden zum Schadensersatz verpflichtet, weil Sie sich den Fehler Ihres Mitarbeiters zurechnen lassen müssen (§ 278 BGB, Verschulden des Erfüllungsgehilfen).

Ein Beispiel für einen immateriellen Schaden ist eine Verarbeitung von personenbezogenen Daten ohne Einwilligung (und natürlich auch ohne eine sonstige Rechtsgrundlage im Sinne von Art. 6 und Art. 9 DSGVO), z.B. durch Nutzen eines Fotos eines Mitarbeiters auf Ihrer Unternehmens-Website oder durch eine unerlaubte Nutzung einer E-Mail-Adresse für Zwecke der Werbung (Bundesverfassungsgericht Beschluss vom 14.1.2021 – 1 BvR 2853/19, juris). Die Gerichte streiten noch ein wenig darüber, ob jede kleine Sünde einen Anspruch auf eine immaterielle Entschädigung auslöst. Die Tendenz geht allerdings dahin, dies zu bejahen. Entscheiden muss dies der Europäische Gerichtshof (EuGH).

Der Oberste Gerichtshof Österreichs hat diese Frage dem EuGH mit Vorlagebeschluss vom 12. Mai 2021 (UI gegen österreichische Post AG) vorgelegt (Rs. C-300/21, Amtsbl. C-320/25) und wie folgt gestellt:

„3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?“

Nun, wenn man sich den Gesetzestext von Art. 82 DSGVO und den Erwägungsgrund 146 anschaut, scheint die Richtung klar zu sein, dass auch Bagatellverstöße dem Grunde nach einen Schadensersatzanspruch auslösen. Erwägungsgrund 146 Satz 3 DSGVO lautet: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“. Und Art. 84 spricht davon, dass Sanktionen – auch außerhalb von behördlichen Geldbußen – wirksam, verhältnismäßig und abschreckend sein sollen.

Auch das Landesarbeitsgericht Hannover folgt diesem Ansatz, also dass auch kleine Verstöße einen Anspruch auf immateriellen Schadensersatz begründen; Urteil vom 22.10.2021 – Aktenzeichen: 16 Sa 761/20 mit Anmerkung Mauer in jurisPR-ArbR 51/2021, Anm. 2.

Dies spricht daher nicht nur dafür, auch bei Bagatellverstößen dem Grunde nach einen immateriellen Schadensersatz zuzusprechen, sondern sich auch bei der Bemessung der Höhe des Schadensersatzes an der Abschreckungswirkung zu orientieren.

Ebenfalls noch nicht abschließend geklärt ist die Frage, ob sich Wettbewerber auf Datenschutzverstöße Ihres Unternehmens berufen und aufgrund dessen Schadensersatz verlangen können (bejaht vom OLG Stuttgart für den Fall der Verletzung von Marktverhaltensregelungen, Urteil vom 27.2.2020 – 2 U 257/19, juris).