Geschrieben am 21.10.2019 von:
Sabine Pernikas
Rechtsanwältin | Fachanwältin für IT-Recht
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 0
E-Mail senden
Die am 25.05.2018 in Kraft getretene Datenschutzgrundverordnung (DS-GVO) hat zu zahlreichen Veränderungen im Umgang mit personenbezogenen Daten bei deutschen Unternehmen geführt. Grund dafür ist unter anderem das gestiegene Risiko bei Datenschutzverstößen. Nicht nur die möglichen Bußgelder wurden erhöht. Vielmehr sind nach Art. 82 Abs. 1 DS-GVO nun auch immaterielle Schäden ausdrücklich ersatzpflichtig.
Was hat sich geändert?
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Immaterielle Schäden können z.B. immer dann entstehen, wenn personenbezogene Daten unbefugten Dritten zugänglich gemacht werden. Vor der DS-GVO mussten Unternehmen gemäß § 7 BDSG a.F. nur klar bezifferbare Vermögensschäden erstatten. Man musste als Geschädigter also konkret nachweisen, dass das eigene Vermögen gemindert wurde (weil z.B. Kreditkartendaten missbraucht wurden). Nach Art. 82 Abs. 1 DSGVO hat der Geschädigte nun aber das Recht, ohne eine genaue Angabe Schmerzensgeld zu verlangen.
Dabei sind der Höhe des eventuell anfallenden Schadensersatzes nach Erwägungsgrund 146 keine Grenzen gesetzt. Sie soll sich an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes orientieren. Der Ersatz immaterieller Schäden wird also laut DS-GVO grundsätzlich gewährt.
Das machen die deutschen Gerichte
Die deutschen Gerichte pflegen bisher einen sehr restriktiven Umgang mit der Möglichkeit, einen Datenschutzverstoß mit Schadensersatz zu bestrafen. Einem Bericht der FAZ zufolge haben deutsche Gerichte Stand jetzt noch in keinem Fall Schmerzensgeld nach Datenschutzverstößen gewährt. Als erstes deutsches Gericht musste sich das Amtsgericht Diez mit dieser Frage befassen. Dieses wies den begehrten Schadensersatz allerdings in einem Urteil vom 07.11.2018 zurück. Als Begründung wurde dabei ausgeführt, dass es durch den Datenschutzverstoß nicht zu einer erheblichen Beeinträchtigung gekommen sei. Es handele sich lediglich um einen Bagatellschaden.
Um dies nachvollziehen zu können, muss zunächst geklärt werden, was genau denn immaterielle Schäden sind. Als typische Beispiele werden häufig Ehrverletzungen oder seelische Beeinträchtigungen genannt. Der Schaden muss eine gewisse Tragweite für den Geschädigten haben, um einen Schmerzensgeldanspruch zu rechtfertigen.
Nach der Wertung des Gesetzgebers wäre es denkbar, jeden Verstoß gegen die DS-GVO als entsprechend „schwerwiegend“ zu betrachten. Allerdings wäre das wohl verfehlt. Dieser Ansicht war auch das Amtsgericht Diez, bei dessen Fall es um Schmerzensgeld wegen einer unzulässig versendeten E-Mail ging. Der Kläger verlangte deswegen 500,00 EUR Schmerzensgeld. Das Amtsgericht stellte aber fest, dass ein bloßer Verstoß gegen die DS-GVO nicht immer zu einem Schmerzensgeldanspruch führt. Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung beziehungsweise für jede bloß individuell empfundene Unannehmlichkeit sei nichts zu zahlen.