+49 (0) 221 - 290270-40
info@datenschutzrechtsanwaelte.de

Keine Ablehnung von DSGVO-Schadensersatz wegen Bagatellschäden ohne Vorlage beim EuGH

Verstöße gegen die Datenschutzgrundverordnung können nach Art. 82 DSGVO einen Schadensersatzanspruch begründen. Voraussetzung dafür ist das Vorliegen eines materiellen oder immateriellen Schadens wegen eines Verstoßes gegen die DSGVO.

Bisher verlangten die Gerichte als Voraussetzung für einen solchen Anspruch allerdings immer eine gewisse Erheblichkeit der Beeinträchtigung.

Im November 2018 entschied das AG Diez (Az. 8 C 130/18) als erstes deutsches Gericht, dass ein Schmerzensgeldanspruch bei Bagatellschäden (Versand einer einzelnen Werbe-E-Mail) nach Art. 82 DSGVO ausscheidet.

Auch das OLG Dresden entschied noch mit Urteil vom 20. August 2020 (Az. 4 U 748/20), dass die rechtswidrige Löschung von Posts durch den Betreiber eines sozialen Netzwerkes zwar grundsätzlich eine Verarbeitung von Daten im Sinne der DSGVO sei, jedoch keinen Schadensersatzanspruch nach Art. 82 DSGVO zur Folge habe, da die Beeinträchtigung der Persönlichkeitsrechte allenfalls „Bagatellcharakter“ habe.

Das AG Goslar hatte in Fortführung dieser Rechtsprechung die Klage eines Rechtsanwaltes, der eine Werbe-E-Mail ohne vorherige Einwilligung an seine berufliche E-Mail-Adresse bekommen hat, als unbegründet abgewiesen (AG Goslar, Urteil. v. 27.09.2019  - Az.: 28 C 7/19). Der Kläger verlangte vom Absender einen DSGVO-Schadensersatz nach Art. 82 DSGVO von mindestens 500,- EUR. Das Gericht verneinte das Vorliegen eines Schadensersatzanspruches, da aufgrund der Umstände kein erheblicher Eingriff vorgelegen habe.

Vorlagepflicht beim EuGH

Der klagende Anwalt brachte den Fall vor das Bundesverfassungsgericht, welches mit Beschluss vom 14.01.2021 (Az. 1 BvR 2853/19) entschied, dass deutsche Gerichte Klagen auf immateriellen Schadensersatz nach Art. 82 DSGVO nicht ohne Weiteres mit der Begründung abweisen dürfen, dass die geltend gemachte Beeinträchtigung lediglich einen Bagatellschaden darstelle.

Im Gegensatz zum Anspruch auf immateriellen Schadensersatz bei Verletzungen des allgemeinen Persönlichkeitsrechtes (APR) aus § 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, 1 Abs. 1 GG, welcher nach ständiger Rechtsprechung des BGH eine schwerwiegende Rechtsverletzung voraussetzt, fordert der Wortlaut des Art. 82 DSGVO gerade keine besondere Schwere der Verletzung.

Da die Voraussetzungen des Geldentschädigungsanspruchs in der EuGH-Rechtsprechung nicht erschöpfend geklärt sind, die notwendigen Voraussetzungen nicht unmittelbar aus der DSGVO bestimmt werden können und auch in der Literatur die Details und der genaue Umfang des Anspruchs aus Art. 82 DSGVO noch umstritten diskutiert werden, habe das Amtsgericht verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen. Dabei habe es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt sei, noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet werde. Gemäß Art. 267 Abs. 3 AEUV sind die nationalen Gerichte deswegen von Amts wegen gehalten, die Frage dem EuGH vorzulegen.

Aktuelle Entwicklung der Rechtsprechung

Diese Entscheidung des BVerfG entspricht einer immer stärker werdenden Tendenz in der Rechtsprechung, an die Erstattung immaterieller Schäden nach Art. 82 DSGVO nur geringe Anforderungen zu stellen und nicht von einer Bagatellgrenze abhängig zu machen:

  1. Arbeitsgericht Lübeck, 20.06.2019 (Az. 1 Ca 538/19)/

Arbeitsgericht Köln, 12.03.2020 (Az. 5 Ca 4806/19)

Das ArbG Lübeck hat in einem Prozesskostenhilfeverfahren entschieden, dass es hinreichend wahrscheinlich sei, dass einem Arbeitnehmer für die Veröffentlichung seines Foto in einem Social-Media-Post ohne Einwilligung einen Schadensersatz nach Art. 82 DSGVO in Höhe von 1.000 € zustehe.

Der Kläger hatte nach Beendigung des Beschäftigungsverhältnisses seine Einwilligung zur Verarbeitung seiner persönlichen Daten im Internet widerrufen und der Arbeitgeber alle Daten des Klägers von seiner Homepage gelöscht. Allerdings befand sich auf der Facebook-Fanpage noch ein Foto des Klägers, das übersehen und nicht gelöscht wurde. Der Kläger verlangte auf Basis von Art. 82 DSGVO einen Schadensersatz von mindestens 3.500,- EUR. Im Rahmen der Entscheidung über die Gewährung des Antrags auf Prozesskostenhilfe entschied das ArbG, dass die Klage nur hinsichtlich 1.000,- EUR Aussicht auf Erfolg haben dürfte. Es sei argumentativ gut vertretbar, den in Art. 82 DSGVO normierten Anspruch auf Schadensersatz nicht nur auf Fälle einer schwerwiegenden Persönlichkeitsrechtsverletzung zu beschränken.

In einem vergleichbaren Fall hat das ArbG Köln für eine nicht von der Website gelöschte PDF-Datei, welche persönliche Daten der Klägerin enthalten hat, einen Schadensersatz nach Art. 82 DSGVO i.H.v. 300,- € zugesprochen.

Das Gericht stellt dabei grundsätzlich in Frage, ob „nach dem Willen des Gesetzgebers Bagatellfälle tatsächlich außen vorgenommen werden sollten“. Im konkreten Fall geht es bereits nicht von einem „Bagatelldelikt“ aus, obwohl die PDF insgesamt nur zweimal von der Website aufgerufen wurde (von der Klägerin und deren Prozessbevollmächtigten). Es bringt damit zum Ausdruck, dass eine Schwelle für Bagatelldelikte jedenfalls sehr niedrig anzusetzen wäre. Die Berücksichtigung der Schwere des Eingriffes nimmt das ArbG im Rahmen der Bemessung der Schadensersatzhöhe vor.

Die Entscheidung wurde vom LAG Köln mit Urteil vom 14. September 2020 (Az. 2 Sa 358/20) bestätigt.

  1. Arbeitsgericht Düsseldorf, 05.03.2020 (Az. 9 Ca 6557/18)

Das ArbG Düsseldorf sprach dem Kläger die Zahlung von 5.000 € Schadensersatz gegen seinen Arbeitgeber zu, weil das Unternehmen den Auskunftsanspruch des Klägers nicht nach den Vorgaben von Art. 15 DSGVO erfüllt habe.

Aufgrund einer monatelang verspäteten und zudem unzureichenden Auskunft sei der Kläger im Ungewissen gewesen und ihm die Prüfung zunächst verwehrt und dann nur eingeschränkt möglich gewesen, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet hat, so das Arbeitsgericht Düsseldorf. Insbesondere gebe es keine Bagatellschwelle, die zur Versagung eines Schadensersatzanspruches führe, denn die Schwere des immateriellen Schadens sei für die Höhe und nicht für die Begründung des Anspruchs nach Art. 82 Abs. 1 DSGVO relevant.

  1. Amtsgericht Pforzheim, 25.03.2020 (Az. 13 C 160/19)

Ein Psychotherapeut hatte im Rahmen einer Therapie seiner Patientin Gesundheitsdaten über deren Ehemann, den Kläger, erhoben und diese dann in einer Stellungnahme im Rahmen einer familienrechtlichen Auseinandersetzung zwischen seiner Patientin und dem Kläger an den Anwalt seiner Patientin herausgegeben. Dies stellt eine unerlaubte Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO dar. Der Therapeut wurde wegen der rechtswidrigen Datenverarbeitung zur Zahlung eines Schadensersatzes in Höhe von 4.000 € verurteilt. Da es sich vorliegend um Gesundheitsdaten nach Art. 9 DSGVO und somit einen Eingriff in die höchstpersönliche Sphäre des Klägers handelte, wurde das Erreichen einer Bagatellgrenze anscheinend vorausgesetzt und nicht näher thematisiert.

  1. Landgericht Darmstadt, 26.05.2020 (Az. 13 O 244/19).

Das LG Darmstadt hat zur Zahlung eines Schadensersatzes i.H.v. 1.000,- € verurteilt, weil es im Rahmen eines Bewerbungsprozesses über das Portal XING eine ablehnende Antwort, welche persönliche Daten des Bewerbers enthielt, irrtümlich an einen Dritten geschickt hatte und den Betroffenen nicht unverzüglich über diesen Rechtsverstoß informiert hat.

Das Gericht argumentiert, eine „etwaige Bagatellgrenze“ sei jedenfalls dadurch überschritten, dass einem unbeteiligten Dritten durch ein der Beklagten zurechenbares Fehlverhalten eines Mitarbeiters personenbezogene und insbesondere private Daten zur Kenntnis gelangt seien und damit eine Außenwirkung dieser Rechtsverletzung eingetreten sei. Es sei nicht notwendig, dass der Kläger darüber hinaus konkrete Nachtelle vorträgt. Der Betroffene hatte 2.500,- € Schadensersatz gefordert, wohingegen das LG ein Schmerzensgeld lediglich in Höhe von 1.000,00 € für angemessen hielt, da die Informationen keiner weiteren Person neben dem Dritten zugänglich gemacht wurden und insbesondere der Kläger keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten habe.


  1. Landgericht Lüneburg, 14.07.2020 (Az. 9 O 145/19)

Das LG Lüneburg hat einem Bankkunden, für eine unbegründete Meldung seines Kreditinstitutes an die SCHUFA einen Schadensersatz von 1.000,- € zugesprochen.

Als erstes deutsches Gericht vertritt das LG Lüneburg den Standpunkt, dass es keines erheblichen Eingriffs bedürfe, um einen Anspruch aus Art. 82 DSGVO zu begründen und stellt klar, dass auch unerhebliche Verletzungen zu einer Kompensation führen. Eine solche Voraussetzung sei weder in Art. 82 DSGVO vorgesehen, noch von dessen Ziel und Entstehungsgeschichte gedeckt. Der Anspruch sei davon „gänzlich unabhängig“.

Der Kläger hatte einen Betrag von 10.000,- € gefordert, das Gericht hielt einen Betrag von 1.000,- € für angemessen. Unter Berücksichtigung der Umstände und der Kriterien des Art. 83 Abs. 2 DS-GVO fehle es für die Bemessung eines höheren Anspruchs an konkreten tatsächlichen Anknüpfungstatsachen. Insbesondere habe der Kläger nicht dargelegt, dass die Eilmeldung tatsächliche negative Auswirkungen hatte.

  1. Arbeitsgericht Dresden, 26.08.2020 (Az. 13 Ca 1046/20)

Das ArbG Dresden hat einen Arbeitgeber, der unrechtmäßig Gesundheitsdaten im Sinne des Art. 9 DS-GVO an Behörden weitergegeben hat, zu einer Schadensersatzzahlung in Höhe von 1.500 € verurteilt.

Der Kläger, ein Ausländer, war im Jahr 2019 mehrere Tage erkrankt. Die Beklagte meldete dies per E-Mail an die Ausländerbehörde und die Arbeitsagentur, unter dem Vorwand, ihr läge keine aktuelle Anschrift des Klägers vor. Das ArbG Dresden sah darin eine Verletzung von Art. 9 Abs. 2 DSGVO, die einen immateriellen Schaden zur Folge habe. Der ersatzfähige Schaden liege bereits darin, dass die betroffene Person um ihre Rechte gebracht wurde, die sie betreffenden personenbezogen Daten zu kontrollieren. Das ArbG äußert die Auffassung, dass solche Verstöße effektiv sanktioniert werden müssten und Schadenersatz bei Datenschutzverstößen zudem eine abschreckende Wirkung haben solle, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen. Die nationalen Gerichte sollten sich bei der Bemessung des immateriellen Schadensersatzes an Art. 83 Abs. 2 DSGVO orientieren, sodass als Zumessungskriterien u.a. Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, früher einschlägige Verstöße sowie die Kategorien betroffener personenbezogener Daten betrachtet werden können.

Wir behalten die Entwicklungen für Sie weiter im Auge und informieren Sie weiter über interessante Entscheidungen.

© April 2021, Linda Römer, Philipp Selbach, Stefan Müller-Römer

Zurück


© 2020 Müller-Römer Rechtsanwälte