Gemäß Artikel 82 der Datenschutz-Grundverordnung hat jede Person, die infolge eines Verstoßes gegen die Verordnung […] einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Ersatz des jeweiligen Schadens.
Die Person, die einen solchen Schadensersatzanspruch geltend machen möchte, muss (1) das Vorliegen eines Verstoßes gegen die DSGVO, (2) eines materiellen oder immateriellen Schadens und (3) die Kausalität des Verstoßes gegen die DSGVO für den Schadenseintritt nachweisen. Das für einen Schadensersatzanspruch erforderliche Verschulden der verantwortlichen Partei wird dagegen vermutet; die verantwortliche Partei kann sich nur dann von der Haftung befreien, wenn sie nachweist, dass sie für den Umstand, der den Schaden verursacht hat, in keiner Weise verantwortlich ist.
Auslegungs- und Entscheidungspraxis bisher uneinheitlich
Trotz dieser scheinbar einfachen Voraussetzungen sind sich die Gerichte in ihrer Auslegung und Anwendung des datenschutzrechtlichen Schadensersatzanspruchs bisher uneins. Insbesondere die Höhe des Anspruchs variiert, wie die folgenden Urteile beispielhaft illustrieren.
- So hat das Arbeitsgericht Dresden in seinem Urteil vom 26. August 2020 (Az.: 13 Ca 1046/20) anerkannt, dass die Weitergabe von Gesundheitsdaten durch den ehemaligen Arbeitgeber an die Ausländerbehörde zu einem immateriellen Schaden von 1.500 Euro führt. In einem anderen Fall, in dem ein Psychotherapeut Gesundheitsdaten an einen Rechtsanwalt zur Verwendung in einem gerichtlichen Umgangsverfahren weitergegeben hatte, sprach das AG Pforzheim (Urteil vom 25. März 2020, Az. 13 C 160/19) dem Kläger einen Schadensersatz von 4.000 Euro zu.
- Das Arbeitsgericht Neumünster (Urteil vom 11. August 2020, Az.: 1 Ca 247 c/20) stellte fest, dass eine dreimonatige Verspätung bei der Auskunftserteilung über die vom Arbeitgeber verarbeiteten personenbezogenen Daten einen Verstoß gegen Art. 15 Abs. 1 DSGVO darstellt, der zugleich einen Schadensersatz von 1.500 Euro begründet. In einem anderen Fall, in dem eine Arbeitnehmerin ebenfalls von ihrem Arbeitgeber Auskunft über die gespeicherten Daten verlangte, sprach das Gericht der Klägerin ganze 500 Euro weniger zu (LAG Hamm, Urteil vom 11. Mai 2021, A.z.: 6 Sa 1260/20).
- Das Amtsgericht Pfaffenhofen entschied in seinem Urteil vom 9. September 2021 (Az.: 2 C 133/21), dass bereits das Versenden einer Werbe-E-Mail ohne Einwilligung des Empfängers gegen die Datenschutzgrundverordnung verstößt. Der Schaden liege dabei bereits in einem durch die rechtswidrige Datenverarbeitung ausgelösten \“unangenehmen Gefühl\“, welches nach Ansicht des Gerichts einen immateriellen Schaden in Höhe von 300 Euro begründet. Die gleiche Argumentation wandte das LG München I in seinem Urteil vom 20. Januar 2022 (Az.: 3 O 17493/20) an, welches in der Übermittlung der IP-Adresse des Klägers an Google einen Verstoß gegen die DSGVO sah, dem Kläger daraufhin aber nur einen Schadensersatzanspruch in Höhe von 100 Euro zusprach.
Es bleibt abzuwarten, wie sich die Rechtsprechung in Zukunft entwickeln wird. Spannend dürfte auch die mit der EU-Verbandsklagerichtlinie geschaffene Möglichkeit sein, Schadensersatz für viele Verbraucher einzuklagen. Dadurch wird es auch in Deutschland bald möglich sein, eine DSGVO-Sammelklage zu erheben.
