IFH Köln Logo
Neues aus der Handelswelt
Mit Forschung und Beratung erfolgreich im Handeln
#Verstehen
#Planen
#Machen
#Teilen
Ihre Experten für Handel im digitalen Zeitalter
Menu
Studien und Marktdaten zum Kauf / Download
Studien
Daten
Spannende Projekte aus der IFH Welt
29. Oktober 2020Rolf Becker
Law Books

Bußgelder nach der DSGVO von bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) wirken bereits abschreckend und die Behörden machen auch schmerzhaften Gebrauch vom höheren Rahmen. ECC CLUB Mitglied Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER, warnt vor einem weiteren steigenden Risiko: Schadensersatzforderungen von Betroffenen auch bei kleinen Verstößen!

Schmerzensgeld in Deutschland

Immaterieller Schadensersatz war in Deutschland bislang nur selten ein Thema. Anders, als etwa in den USA verlangen deutsche Gerichte bislang einen ganz erheblichen immateriellen Nachteil. Solche Nachteile werden z.B. im Rahmen des Schmerzensgeldes diskutiert. Aber auch bei solchen Entscheidungen ging es regelmäßig allenfalls um kleine Summen, sieht man von Ausreißern ab.

DSGVO gewährt immateriellen Schadensersatz

Im Datenschutzrecht kommt mit Art. 82 DSGVO eine neue Herausforderung auf alle zu, die personenbezogene Daten verarbeiten.

Art. 82 Abs. 1 DSGVO lautet:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Es müssen also nicht nur eventuelle finanzielle Nachteile ausgeglichen werden, sondern es geht um eine Art „Schmerzensgeld“. Hier urteilen die Gerichte in Deutschland bislang recht unterschiedlich. Dennoch kann man langsam von einem Trend sprechen, der sich in Richtung Schmerzensgeld bei Datenschutzverstößen bewegt.

Urteilseinschläge rücken näher

An dieser Stelle wurde bereits auf das soweit ersichtlich erste Urteil des Arbeitsgerichts Düsseldorf (Urt. v. 05.03.2020 – Az. 9 Ca 6557/18) verwiesen. Ein Arbeitgeber, der Auskünfte zunächst nur unvollständig und damit die vollständigen Auskünfte nur verzögert erteilt hatte, wurde zu einem Zahlbetrag von 5.000 Euro verurteilt. Die Angelegenheit ist in der Berufung bei dem Landesarbeitsgericht Düsseldorf anhängig (Az.14 Sa 294/20). Hier wurde damit argumentiert, dass bereits jeder Verstoß gegen Datenschutzvorschriften den Schadensersatz auslöse.

Aus dem Urteil:

Der Begriff des Schadens ist weit auf eine Art und Weise auszulegen, die den Zielen der DS-GVO in vollem Umfang entspricht (…). Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (EG 75).

Schadensersatz soll abschreckend hoch sein

Noch misslicher: Das Gericht forderte entsprechend den Erwägungsgründen, die der DSGVO vorangestellt sind, dass der Schadensersatz abschreckend sein soll:

Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die DSGVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird.“

Tatsächlich sieht Erwägungsgrund 146 in der DSGVO vor:

1Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. …. 3Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. … 6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. ….

Von „abschreckend“ ist an dieser Stelle nicht die Rede. Dieser Begriff ist vielmehr Art. 83 DSGVO zu den Geldbußen der Aufsichtsbehörden zu entnehmen:

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“

Die Reihe der Urteile lässt sich fortsetzen:

Veröffentlichung von Mitarbeiterfoto 1.000 Euro

Das Arbeitsgericht Lübeck sah in seinem Beschluss vom 20.6.2020 (Az. 1 Ca 538/19) schon in der Veröffentlichung eines Mitarbeiterfotos einen ersatzfähigen Schaden von 1.000 Euro.

1.500 Euro für Gesundheitsdaten eines Mitarbeiters

Das Arbeitsgericht Dresden urteilte 1.500 Euro für die unrechtmäßige Übermittlung von Gesundheitsdaten eines Mitarbeiters an die Behörden aus (Urt. v. 26.08.2020, Az. 13 Ca 1046/20).

Kein Schadensersatz bei Bagatellverstößen?

Natürlich gibt es auch noch andere Entscheidungen, die ein gewisses Maß an Beeinträchtigung verlangen, bevor Schadensersatz verlangt werden kann.

So sah das OLG Dresden keinen Schadensersatzanspruch bei bloßen Bagatellverstößen (OLG Dresden, Beschl. v. 11.06.2019 - Az.: 4 U 760/19 - zu unberechtigter Sperrung eines Posts durch Facebook). Das OLG Dresden hat zudem mit Urteil vom 20.08.2020 (Az. 4 U 784/20) entschieden, dass die Löschung von Posts in einem sozialen Netzwerk zwar eine Verarbeitung nach DSGVO darstellt. Die Löschung stelle für sich genommen jedoch keinen ersatzfähigen Schaden dar.

Auch das LG Karlsruhe (LG Karlsruhe, Urt. v. 02.08.2019 - Az.: 8 O 26/19) ließ die Ablehnung eines Kreditvertrages, die möglicherweise auf Basis eines falschen Basisscores beruhte, nicht ausreichen, um Schadensersatz zuzubilligen. Vorbeugende („generalpräventive“) Gründe reichen nicht aus.

Auch das LG Hamburg hat mit Urteil vom 04.09.2020 (Az. 324 S 9/19) einen Schadensersatzanspruch abgelehnt. Es fehle im konkreten Fall an einer "benennbar und insoweit tatsächliche Persönlichkeitsverletzung" (für unberechtigte Veröffentlichung einer Wohnungsanzeige auf Immonet).

Abmahnunwesen

Insgesamt werden die Risiken größer. Schon haben einige Betroffene das Thema für sich entdeckt und fordern etwa für Besuche auf Webseiten pro Cookie ohne ausreichende Einwilligung 1.000 Euro. Die rechtliche Komplexität der Fragen zur Cookie-Einwilligung befördert solche Vorhaben. Hinzu kommt, dass jetzt auch mit dem Fall des Privacy Shield Datenverarbeitungen im Land des digitalen Weltmarktführers USA im Ergebnis nur noch mit informierter Einwilligung über die Risiken stattfinden können. Auswege, wie etwa die Vereinbarung von Standardvertragsklauseln, stellen unsichere Grundlagen dar. Von dieser Unsicherheit nähren sich die Abmahner.

Bald könnten sich Legal-Tech Unternehmen herausgefordert sehen, solche Ansprüche zu verfolgen. Eine wirtschaftliche Basis und Geschäftschancen für ein dortiges Vorgehen gab es schon bei Flugverspätungsentschädigungen oder bei VW & Co.

Fazit: Qualifizierten Rechtsrat einholen

Weil alles derart kompliziert ist, sollten Unternehmen sich rechtlich beraten lassen. Daran führt letztlich kein Weg vorbei. Wenn Sie von einem Datenschutzbeauftragten hier nicht nur allgemein, sondern mit konkreten Maßnahmen beraten werden, fragen Sie doch einmal nach, inwieweit er für den Rat haftet? Eine Haftung ist durchaus nicht selbstverständlich und dürfte am ehesten dort bestehen, wo der Datenschutzbeauftragte nicht nur zu den Pflichten allgemein berät, sondern selbst Texte zur Verfügung stellt und damit Geschäfte des Unternehmens besorgt. Hier besteht allerdings nicht, wie bei Anwälten, ein gesetzlich verpflichtender Versicherungsschutz.

Bitte nicht falsch verstehen: Der Datenschutzbeauftragte ist wichtig und in vielen Fällen der erste Ansprechpartner. Er ist allerdings gerade kein einseitiger Interessenvertreter, wie der Anwalt! Seine Haftung ist unklar und oft nicht gesondert versichert. Er sollte Lücken und Unzulänglichkeiten helfen aufzudecken und das Unternehmen veranlassen, für Abhilfe zu sorgen und Lösungen beurteilen. Die eigene Lösung zu liefern und sie mit den richtigen Risikoabwägungen zu beurteilen, überfordert die Stellung des Datenschutzbeauftragten in vielen Fällen.

Ihr Rolf Becker

Über den Autor

Rechtsanwalt Rolf Becker ist Partner der Rechtsanwälte WIENKE & BECKER in Köln und Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Online-Handel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen. 

RA Becker auf Twitter: http://twitter.com/rolfbecker   

Er ist auch Autor auf den Informationsdiensten www.versandhandelsrecht.de.

Pressehinweise

Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker WIENKE & BECKER / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!

Bildnachweis: © BillionPhotos.com_Fotolia

Newsletter handel im fokus

Holen Sie sich die neueste Forschungserkenntnisse und aktuelle Themen, Trends und Hintergründe rund um Einzel-, Großhandel und E-Commerce wöchentlich in Ihr Postfach.
cart