Alexa Finke, Anna-Lena Glander
Neben der Verhängung von Bußgeldern stellen Schadensersatzansprüche von Betroffenen für verantwortliche und auftragsverarbeitende Unternehmen ein weiteres wirtschaftliches Risiko dar.
Zwar belaufen sich die bisher öffentlich bekannten zugesprochenen Schadenssummen auf lediglich 100 EUR bis 5.000 EUR, jedoch sollten diese dennoch nicht unterschätzt werden. Gerade bei Datenpannen durch Hackerangriffe oder anderen Sicherheitsverletzungen sind oftmals eine sehr hohe Anzahl von Personen von der Datenschutzverletzung betroffen, sodass durch ein einziges Ereignis eine hohe Anzahl an Schadensersatzansprüchen ausgelöst werden kann. Aufgrund der prozessualen Möglichkeit, diese Ansprüche zu bündeln und im Rahmen von Massenverfahren geltend zu machen, könnten die durch Schadensersatzansprüche hervorgerufenen Schadenssummen sogar kumulativ mögliche Bußgelder gegen das Unternehmen auf Grundlage desselben Sachverhaltes übersteigen. In diesem Zusammenhang sei auch darauf hingewiesen, dass Ende des Jahres 2020 die EU-Richtlinie zu Verbandsklagen verabschiedet wurde, nach deren Implementierung in das deutsche Recht auch Verbände für mehrere Betroffene entsprechende Schadensersatzansprüche einklagen können.
Ähnlich wie bei Bußgeldern bestehen aber auch im Zusammenhang mit den Schadensersatzansprüchen von Betroffenen noch viele rechtliche Unklarheiten, insbesondere in Bezug auf die Voraussetzungen eines Schadens (nachfolgend unter 1) sowie die Darlegungs- und Beweispflicht bezüglich desselben (nachfolgend unter 2):
3.2.1 Voraussetzungen von Schadensersatzansprüchen
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Was konkret einen materiellen oder immateriellen Schaden darstellt, ist in der DSGVO nicht definiert. Der Erwägungsgrund 85 der DSGVO nennt als typische Schadensgruppen – sowohl materiell als auch immateriell – lediglich Verlust der Kontrolle über personenbezogene Daten, Einschränkung der Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung oder den Verlust der Vertraulichkeit. Aus dieser Auflistung wird bereits ersichtlich, dass im Zusammenhang mit Schadensersatz aufgrund von Datenschutzverletzungen hauptsächlich immaterielle Schäden relevant sind.
Die Frage, wann ein Ersatz für einen solch immateriellen Schaden zugesprochen werden soll, wird derzeit von deutschen Gerichten nicht einheitlich beantwortet:
Teile der Rechtsprechung sind der Ansicht, dass bereits ein einfacher Verstoß gegen die DSGVO ausreicht, um einen Schadensersatz auszulösen. So wurde zum Beispiel bei einer unrechtmäßigen Weitergabe von Gesundheitsdaten an eine Behörde, bei einer versehentlichen Versendung einer E-Mail an einen falschen Empfänger, sowie bei einer unvollständigen Auskunft ein immaterieller Schaden bejaht. Die Gerichte, die diese Entscheidungen getroffen haben, begründen ihre Auffassung insbesondere mit einer effektiven Durchsetzung der datenschutzrechtlichen Vorschriften sowie einer Abschreckungswirkung, die aufgrund höherer Schadensersatzsummen entstehen soll. Auch das BVerfG entschied kürzlich, dass im Hinblick auf immaterielle Schäden keine Erheblichkeitsschwelle eingeführt werden dürfe, sondern auch bei Bagatellverstößen ein Schaden vorliegen könne.
Teilweise vertreten Gerichte jedoch auch eine wesentlich engere Auslegung des immateriellen Schadens. So wird von einigen Gerichten gefordert, dass für einen Schaden eine benennbare und tatsächliche Persönlichkeitsverletzung mit einem spürbaren Nachteil für die betroffene Person vorliegen müsse. Die bloße Befürchtung des Eintritts von Nachteilen beziehungsweise bloße individuell empfundene Unannehmlichkeiten könnten nicht ausreichen, um einen Schadensersatzanspruch zu begründen.
3.2.2 Beweislast bei Schadensersatzansprüchen
Ebenfalls noch nicht abschließend geklärt ist die Frage, wer bei der Geltendmachung von Schadensersatzansprüchen darlegen und beweisen muss, dass ein Datenschutzverstoß vorliegt, beziehungsweise nicht vorliegt. Normalerweise ist nach dem deutschen (Zivil-) Prozessrecht der Antragssteller für die Voraussetzungen seines Anspruchs stets darlegungs- und beweispflichtig.
Teile der Literatur und auch das LAG Baden-Württemberg sind jedoch der Ansicht, dass im Rahmen von datenschutzrechtlichen Ersatzansprüchen eine Beweislastumkehr greife. Aus diesem Grund müssten im Falle der Geltendmachung entsprechender Ansprüche nicht die Betroffenen dessen Voraussetzungen und insbesondere den Datenschutzverstoß, sondern vielmehr die datenverarbeitenden Unternehmen nachweisen, dass sie die Vorgaben der DSGVO eingehalten haben. Diese Ansich...