Kein Schadenersatzanspruch nach DS-GVO ohne Schaden

Unternehmen sehen sich in letzter Zeit vermehrt Ansprüchen von Mitarbeitern oder Kunden im Zusammenhang mit datenschutzrechtlichen Vorschriften ausgesetzt. Darunter werden neben Auskunftsbegehren, Unterlassungen und anderen Forderungen zunehmend Schadensersatzansprüche u.a. auch wegen immaterieller Schäden in nicht unbeträchtlicher Höhe von den Unternehmen verlangt. Inwieweit solche Schadensersatzansprüche begründet sind, damit hat sich nun der Europäische Gerichtshof (EuGH) in einer neuen Entscheidung befasst. Er hat damit mehr Klarheit und Ordnung in die unübersichtliche und unentschiedene Rechtsprechung deutscher Instanzgerichte gebracht. Diese hatten sich zur Frage, ob ein Schaden vorliegen muss oder ob der Datenschutzverstoß für sich allein bereits für Schadensersatzansprüche ausreicht, bislang auf keine einheitliche Linie festlegen können.

Was genau hat der EuGH entschieden?

Der EuGH hat mit Urteil vom 04.05.2023, Az.: C-300/21, entschieden, dass selbst bei fehlerhafter und/oder unzulässiger Verarbeitung von personenbezogenen Daten durch ein Unternehmen, dem Betroffenen nicht automatisch Schadensersatzansprüche zustehen; auch nicht für immaterielle Schäden.

Zunächst legt der EuGH die Begriffe „materieller oder immaterieller Schaden“ und „Schadensersatz“ aus Art. 82 Abs. 1 DS-GVO ausschließlich gemeinschaftsrechtlich aus. Bereits der Wortlaut des Art. 82 DS-GVO unterscheidet zwischen „Schaden“ und „Verstoß“, was die Anspruchsvoraussetzung „Schaden“ zu einem eigenständigen Element macht. Diese müssen genauso wie das dritte Element des Kausalzusammenhangs allesamt für einen Anspruch vorliegen.

Für den immateriellen Schadensersatz ergibt sich aus der DS-GVO und ihren Erwägungsgründen kein Hinweis auf eine Erheblichkeitsschwelle. D.h. jeder tatsächliche Schaden ist ausgleichsfähig, ein Ausschluss wegen Geringfügigkeit darf nicht erfolgen.

Allerdings ist der Betroffene für diese immaterielle Schäden darlegungsbelastet.

Da die DS-GVO keine Vorschriften zur Höhe des Schadensersatzes enthält, ist insoweit nationales Recht anzuwenden.

Was bedeutet das für Arbeitgeber?

Für Arbeitgeber bedeutet dies, dass bei Datenschutzverstößen nicht schadensunabhängig Schadenersatzansprüche des Beschäftigten bestehen. Dies gilt für die zumeist im Zusammenhang mit Bestandsschutzklagen im Rahmen weiterer DS-GVO-Ansprüche geltend gemachten Schadensersatzansprüchen von Arbeitnehmern. Hierzu wurde oftmals seitens der Arbeitnehmer behauptet, schon ein Datenschutzverstoß wie beispielsweise die nicht vollständige oder nicht rechtzeitige Auskunftserteilung stelle den immateriellen Schaden dar, was einen Schadensersatzanspruch bedeute. Und diese Argumentation führte sogar in einigen Fällen zum Erfolg (siehe LAG Hamm ZD 2022, 295; ArbG Oldenburg ArbR 2023, 187; ArbG Dresden ZD 2021, 54).

Der Arbeitnehmer muss nun nach der EuGH-Entscheidung nach unserer Auffassung neben dem Datenschutzverstoß auch den konkret eingetretenen Schaden – auch den immateriellen – darlegen und beweisen, sowie auch, dass zwischen dem Datenschutzverstoß und dem eingetretenen Schaden ein kausaler Zusammenhang besteht.

Es besteht keine Vermutung für das Vorliegen eines Schadens und es gibt auch keine Beweislastumkehr.

Was bedeutet das für Banken/Kreditinstitute?

In Auseinandersetzungen von Banken und Kreditinstituten mit zumeist ehemaligen Kunden über die Meldung von Forderungen an Wirtschafts-Auskunfteien wurde bislang von Gerichten teilweise angenommen, dass bereits die (unberechtigte) Meldung der Daten an die Auskunftei einen Schaden nach sich ziehe, wegen der zu befürchtenden Bloßstellung (vgl. LG Hannover DSB 2022, 75; LG Berlin, Urt. vom 04.04.2022, Az.: 83 O 153/20) oder einer potentiellen Einschränkung der wirtschaftlichen Dispositionsfreiheit.

Nach dem Urteil des EuGH kann nach unserer Auffassung diese Rechtsprechung einiger deutscher Gerichte nicht bestehen bleiben, wonach ein Verstoß selbst mit einem Schaden gleichgestellt wird. Wünschenswert wäre, dass ausgehend von dem EuGH-Urteil ein bloßer Verstoß gegen datenschutzrechtliche Vorschriften künftig nicht automatisch einen Zahlungsanspruch des Betroffenen begründet. Sondern dass vielmehr ein eigenständiger (d.h. von dem Verstoß unterscheidbarer) Schaden entstanden sein muss, für dessen Bestehen der Betroffene nicht nur dem Grunde, sondern auch der Höhe nach gemäß den allgemeinen Grundsätzen beweispflichtig ist.

Denn auch die von den deutschen Gerichten teilweise in Art. 82 DS-GVO hineingelesene Handhabung nach den Grundsätzen, die für Geldbußen gilt (Art. 83 DS-GVO), hat der EuGH nicht bestätigt. Mit seiner Klarstellung, dass ungleich den Grundsätzen für die Geldbußen keine Vermutung für das Vorliegen eines Schadens und keine Beweislastumkehr gibt, hat der EuGH verdeutlicht, dass er zum Verständnis des Schadenersatzanspruches nicht auf die Vorschriften über Geldbußen zurückgreift.

Ausdrücklicher Hinweis:

Die Ansprüche des Betroffenen aus der DS-GVO auf Auskunft sowie Unterlassung, Löschung etc. bei Datenschutzverstößen werden durch die o.g. Rechtsprechung des EuGH nicht berührt.

Download der Mandanteninformation