Immaterielle Schäden beim Datenschutz

Zunehmend fordern betroffene Personen sogenannte immaterielle Schäden wegen vermeintlicher Datenschutzverletzungen von Verantwortlichen. Diese Klagen beruhen auf Art. 82 Abs. 1 DSGVO, der besagt, dass „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein […] immaterieller Schaden entstanden ist, […] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“ hat. Doch was sind „immaterielle Schäden“? Dazu sind in letzter Zeit einige Entscheidungen, u. a. des Europäischen Gerichtshofes, ergangen. Im Folgenden lesen Sie mehr zu immaterielle Schäden beim Datenschutz.

Mögliche Schäden

Die von einem Kläger angeführten Schäden können vielfältig sein. Der ErwG 85 DSGVO enthält Hinweise darauf, was ein immaterieller Schaden sein kann: „Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. (Hervorhebung durch die Autoren).

Beginnen kann solch ein Schaden also schon mit nur einem negativen Gefühl einer betroffenen Person bezüglich der Verarbeitung ihrer personenbezogenen Daten etwa in Form eines Kontrollverlustes. Schaut man sich die Klagen an, erweckt es den Eindruck, dass eine Vielzahl solcher Klagen sich genau auf Gefühle des Unwohlseins zur Verarbeitung oder des Kontrollverlustes über die eigenen Daten stützen.

Beispiele

Nun gibt es inzwischen zahlreiche Verfahren dazu, die darauf beruhen, dass Betroffene Verantwortliche verklagen und angeben, dass sie einem immateriellen Schaden aufgrund einer unbefugten Verarbeitung ihrer personenbezogenen Daten erlitten haben. Folgende Beispiele zeigen u. a., dass manchmal jedoch die bloße Behauptung eines immateriellen Schadens nicht ausreicht.

Verfahren 1 – LG München – Kontrollverlust – Az.: 4 O 6009/22

Das LG München befasste sich mit einem Schadenersatzbegehren einer betroffenen Person nach einem unbefugten Zugriff durch Dritte auf ihre personenbezogenen Daten. Das Endurteil wurde dann im März 2023 verkündet (Link).

Zum Datenschutzvorfall kam es, da der Verantwortliche nach Vertragsende mit einem IT-Dienstleister die Zugangsdaten nicht änderte. Die Zugangsdaten löschte der Dienstleister nach Vertragsende auch nicht. Folglich gelang es unbefugten Dritten, Zugang zu diese zu erlangen und demnach auch auf die Systeme beim Verantwortlichen, wo sich personenbezogene Daten befanden.

Die betroffene Person trug vor, ein Gefühl des Kontrollverlustes über seine Daten erlitten zu haben. Demnach war sie Opfer von Phishing-Angriffen und Spam-E-Mails geworden. Konkrete Beweise dafür liefern konnte der Betroffene aber nicht bzw. dazu war er nicht in der Lage, da er bei der mündlichen Verhandlung nicht erschienen war. Das Gericht vermerkte, mögliche zukünftige Angriffe könnten auf diesen Datenschutzvorfall zurückzuführen sein, müssen es aber nicht. Des Weiteren merkte das Gericht an, dass solche Angriffe heutzutage jeden Online-Dienste-Nutzer treffen können und es schwierig sein kann, dies auf einen bestimmten Datenschutzvorfall zurückzuführen.

Verfahren 2 – OLG Dresden – SCHUFA-Eintrag – Az.: 4 U 1078/23

In diesem Rechtsstreit zu einem unrechtmäßigen SCHUFA-Eintrag entschied das OLG Dresden: Link. Hier führte der Betroffene – Kläger – an, dass ihm aufgrund dieses nachteiligen Eintrages Konten gekündigt wurden und dies Unannehmlichkeiten und auch Rufschädigung (bzgl. seines Standes als Unternehmer) verursachte. Das Gericht berücksichtige dabei, dass der Kläger eine wirksame Kündigung hätte abwenden können. Zusätzlich bemerkte das Gericht, dass die Rufschädigung sich auf seine Tätigkeit als Unternehmen auswirkte, welche er allerdings im Nebenerwerb ausführte. Letztendlich konnte der Kläger keine genauen Nachweise für die angeführten massiven Beeinträchtigungen nachweisen, weshalb der Senat ihm empfahl, seine Berufung zurückzunehmen.

Verfahren 3 – ArbG Duisburg – verspätete Auskunft – Az.: 3 Ca 44/23

In diesem Fall (Link) entschied das ArbG Duisburg in einem Verfahren, zu einer sowohl verspäteten als auch unvollständigen Auskunftsanfrage gemäß Art. 15 DSGVO.

Der Senat entschied, dass der betroffenen Person ein Ausgleich für den immateriellen Schaden zustehe, da zum einen das – wie es hier aufgefasst wird – Auskunftsrecht als wichtigstes Betroffenenrecht gemäß der DSGVO verletzt wurde sowie ein europäisches Grundrecht der betroffenen Person. Das Gericht sprach dem Kläger 10.000 Euro Schadenersatz zu. Allerdings hob das LAG Düsseldorf  diese Entscheidung mit dem Urteil vom 28.11.2023 (Az.: 3 Sa 285/23) wieder auf.

Einerseits falle die Verletzung des Auskunftsanspruches nicht zu den mit einem Bußgeld sanktionierten Pflichten der DSGVO; das kann man durchaus auch anders sehen. Zudem bedarf es für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztendlich identisch. Diese Ansicht wird im Ergebnis vom EuGH in einer in anderer Sache ergangenen Entscheidung geteilt.

Verfahren 4 – EuGH – Az.: C‑300/21

Der EuGH fordert zwar keine Erheblichkeit des immateriellen Schadens, lehnt also eine Bagatellgrenze ab. Dafür fordert er aber einen konkreten und mehr als nur formelhaften und abstrakten Vortrag zum konkreten Schaden, den der Betroffene erlitten hat. – Link zum Urteil. –

Verfahren 5 – EuGH – Az.: C-340/21

In diesem Verfahren (Link) urteilte der EuGH, dass ein unbefugter Zugriff auf personenbezogene Daten, also ein Datenschutzvorfall, per se keinen Schadenersatz rechtfertigt.

Verfahren 6 – EuGH – Az.: C‑687/21

Dieses Urteil des EuGH (Link) besagt, dass die Person, die aufgrund der DSGVO Schadenersatz verlangt, nicht nur den Verstoß gegen diese Bestimmung nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist. Die theoretische Möglichkeit eines künftigen Missbrauchs von Daten nach einem kurzzeitigen Datenschutzvorfall genügt nicht.

Fazit

Wie aus diesen Beispielen von zahlreichen weiteren ersichtlich werden dürfte, ist es u. U. schwierig, einzuschätzen, wie ein Gericht bei einer Klage einer betroffenen Person entscheiden wird. Umso wichtiger ist es für Verantwortliche, eine solche Klage nach Möglichkeit zu vermeiden. Hilfreich dafür ist in solchen Fällen u. a. die Implementation von Prozessen, wem im Unternehmen, Verein, in der Arztpraxis etc. bei der Verarbeitung personenbezogenen Daten und im Fall einer Betroffenenanfrage welche Aufgabe zugeschrieben ist, um die Anfrage möglichst schnell und vollständig beantworten zu können. Dabei hilft es auch aber auch, ein aktuelles Verzeichnis von Verarbeitungstätigkeiten, Lösch– und Berechtigungskonzept zu führen. Des Weiteren ist es wichtig zu wissen, wo man selbst als Verantwortlicher personenbezogene Daten verarbeitet und welche Dienstleister dabei zum Einsatz kommen.

Gern unterstützen und beraten wir Sie bei der Erstellung der relevanten Datenschutzdokumente. Kontaktieren Sie uns am besten heute.