Ein permanentes Risiko?

In einer ersten Entscheidung hat der Europäische Gerichtshof (EuGH) dem Schadenersatz Konturen gegeben (Urteil vom 04.05.2023, Rs. C-60/22). Ein entsprechender Anspruch darf daher keinesfalls unterschätzt werden. Denn der Schadenersatzanspruch kommt nicht nur eigenständig, etwa bei Datenschutzverstößen, nach Auskunftsverlangen oder Datenschutzpannen, in Betracht, sondern häufig auch begleitend mit anderen Ansprüchen, wie etwa Arbeits- oder Versicherungsstreitigkeiten. Auch werden zum Teil Fallen gestellt, nur um danach Schadenersatzansprüche geltend machen zu können. Nachfolgend wird der Hintergrund für dieses – zuweilen unterschätzte – Risiko dargestellt. Die teilweise klärende Rechtsprechung des EuGH ist einem gesonderten Beitrag vorbehalten.

Grundlagen

Ein Schadenersatzanspruch nach der Datenschutz-Grundverordnung (DS-GVO) folgt aus Art. 82 DS-GVO. Der Anspruch besteht gegen jede Verarbeiterin und jeden Verarbeiter personenbezogener Daten – also neben dem Verantwortlichen im Sinne der DS-GVO auch gegen den Auftragsverarbeiter. Auslöser und Grundlage des Schadenersatzanspruchs kann ein Verstoß gegen ein Datenschutzgesetz sein. Der Schadenersatzanspruch ist also nicht auf die Regelungen der DS-GVO beschränkt. Aber dieses Gesetz allein bietet bereits ausreichend Angriffsfläche. Denn jeder Verstoß gegen eine Regelung der DS-GVO kann zu einem Schadenersatz führen. Nicht allein eine unzulässige Datenverarbeitung, etwa aufgrund einer unwirksamen Einwilligung oder eines unzulässigen Drittlandtransfers, wie er den Google-Fonts-Abmahnungen zugrunde liegt, kann den Anspruch begründen, sondern auch ein fehlender oder unvollständiger Datenschutzhinweis (Stichwort: Privacy Policy) nach den Art. 13 und 14 DS-GVO oder eine nicht erteilte, verspätete oder unvollständige Auskunft nach Art. 15 DS-GVO. Damit rückt jede der vielen Einzelpflichten dieses Gesetzes potenziell in den Fokus. Hier wirkt die sich selbst absichernde Gestaltung der DS-GVO. Denn – vereinfacht gesagt – ist jede Zulässigkeitsregelung durch Hinweis- und Dokumentationspflichten sowie jede Handlungspflicht durch eine Organisationspflicht abgesichert. Daher kann eine Ausrede bei einem Verstoß leicht zum Geständnis eines anderen Verstoßes führen. Für die Abwehr von Schadenersatzansprüchen ist daher die Berücksichtigung der Komplexität der DS-GVO erforderlich. Die bloße Betrachtung einer einzelnen Regelung führt eher zu weiteren Risiken.

Kausalität und Verschulden

Wenn etwa die Erfüllung der Pflichten nach der DS-GVO scheitert und dies betroffenen Personen bekannt wird, muss mit Schadenersatzansprüchen gerechnet werden. Diese Rechtsverletzung muss nach dem Wortlaut des Art. 82 DS-GVO kausal für einen Schaden geworden sein. Das bedeutet, dass sich die konkrete Rechtsverletzung in einem konkreten Schaden niederschlagen müsste. Aber einige Gerichte ließen allein schon den Rechtsverstoß für den Anspruch auf Schmerzensgeld genügen. Mit dieser Frage hat sich der EuGH in der oben zitierten Entscheidung bereits befasst, deren praktische Bedeutung aber in einem gesonderten Beitrag erläutert wird. Darüber hinaus muss natürlich ein Verschulden gegeben sein. Die DS-GVO stellt jedoch klar, dass der auf Schadenersatz in Anspruch genommene Datenverarbeiter das Fehlen des Verschuldens beweisen muss. Das macht es für die Anspruchsteller leichter.

Eintritt eines Schadens

Ein Schadenersatz setzt auch einen Schaden voraus. Gerade die immateriellen Schäden sind hierbei zur Spielwiese für – auch unberechtigte – Schadenersatzansprüche geworden. Der Rechtsprechung fehlen, anders als etwa in der Schmerzensgeldtabelle bei Unfällen, Anhaltspunkte für die Gewichtung von Schmerzen in Geld. Zumal sich auch, anders als bei einer Verletzung, ein Schmerzempfinden bei einer rechtswidrigen Datenverarbeitung nur plausibel machen lässt. Abgesehen davon, dass sich natürlich die Frage stellt, wie sich ein solcher Schaden anfühlen und dargelegt werden muss, haben vor allem zwei Extremstandpunkte in der Rechtsprechung zu Herausforderungen geführt. Man kann sich nicht recht des Eindrucks erwehren, dass die Rechtsprechung mit ihrer Hilflosigkeit in Bezug auf diese Bemessung nach einfachen alternativen Ansätzen zur Entscheidungsfindung gesucht hat. Die Justiz hat zum Teil die in der deutschen Rechtsprechung für Schmerzensgeld anerkannte Bagatellgrenze übernommen. Danach muss ein gefühlter Schmerz eine gewisse Erheblichkeit erreicht haben, um einen Geldanspruch auszulösen. Das andere Extrem in der Rechtsprechung stellt darauf ab, dass ein Schaden nicht zwingend erforderlich sei, sondern ein Rechtsverstoß genüge und sich die Höhe des Schmerzensgelds nach Strafbemessungskriterien bestimme, wie etwa der Schwere des Verstoßes, des Ausmaßes des Verschuldens sowie general- und spezialpräventiver Abschreckungswirkungen. Gerade Letzteres macht den Schadenersatzanspruch auch zur Spielwiese für Abzocker. Beide Themen sind bei Schadenersatzansprüchen relevant. Die Positionierung des EuGH wird in einem gesonderten Beitrag behandelt werden.

Haftung als Gesamtschuldner

Sind an einer gegen das Datenschutzrecht verstoßenden Verarbeitung personenbezogener Daten mehrere Verantwortliche oder Auftragsverarbeiter beteiligt, haften sie als Gesamtschuldner im Außenverhältnis. Das bedeutet, dass jeder vom Anspruchsteller auf den vollen Schadenersatz in Anspruch genommen werden kann und nicht nur entsprechend seinem Verursachungsbeitrag. Im Innenverhältnis der Beteiligten besteht dann zwar ein Ausgleichsanspruch, aber eben nur im Innenverhältnis. Für den Auftragsverarbeiter sieht die DS-GVO eine gewisse Haftungsprivilegierung vor. Er haftet – vereinfacht gesagt – nicht, wenn er sich innerhalb der Weisungen des Auftraggebers bewegt und nicht gegen eigene Pflichten der DS-GVO verstoßen hat. Damit ist klargestellt, dass es keine umfassende Privilegierung gibt. Der Auftragsverarbeiter muss sich also seiner eigenen Pflichten aus der DS-GVO bewusst sein, um nicht unentdeckt die Haftungsprivilegierung zu verlieren.