K(l)eingeld für Datenpannen – ein Rückschlag für die Klageindustrie
In aktuellen Entscheidungen zu Art. 82 DSGVO zeichnet sich ein Trend hin zu “Kleinstbeträgen” oder abweisenden Urteilen ab.
“Data Privacy Litigation” ist für deutsche Juristen längst kein Neuland mehr. Immer öfter entscheiden unsere Gerichte über oft massenhaft geltend gemachte Ansprüche auf Ersatz immaterieller Schäden wegen tatsächlichen oder vermeintlichen Datenschutzverstößen nach Art. 82 DSGVO. Dessen Voraussetzungen sind trotz einiger EuGH-Entscheidungen umstritten. Denn der Gerichtshof bleibt in seinen Urteilen an einigen entscheidenden Stellen vage. Dazu gehört insbesondere die Frage, wie die konkrete Höhe eines immateriellen Schadens zu bemessen ist. Diese Entscheidung obliegt nach dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten den nationalen Gerichten. Wie viel ist also der Verlust der Kontrolle über die eigenen personenbezogenen Daten nach einer Datenpanne wert?
In aktuellen Entscheidungen zu Art. 82 DSGVO zeichnet sich ein Trend hin zu “Kleinstbeträgen” oder abweisenden Urteilen ab. Das LG Mannheim nahm in einem Fall zwar einen Verstoß an, sprach dem Kläger deswegen aber letztlich 50 Euro Schadensersatz zu (LG Mannheim, 15.3.2024 – 1 O 99/23, juris). Eine ohne Einwilligung des Klägers versandte Werbemail war dem AG Goslar lediglich 25 Euro wert (AG Goslar, 22.1.2024 – 28 C 7/19, juris). Die von den Gerichten zugesprochenen Kleinstbeträge sind vor dem Hintergrund der EuGH-Rechtsprechung konsequent. Einerseits entschied der Gerichtshof, dass Art. 82 DSGVO keine Erheblichkeitsschwelle kenne (EuGH, 4.5.2023 – C-300/21, BB 2023, 1106, Ls. mit BB-Kommentar Ashkar/Schröder; s. auch Zhou/Wybitul, BB 2023, 1411, 1414 f.). Andererseits sei lediglich eine tatsächlich erlittene Beeinträchtigung auszugleichen. Der Anspruch erfülle gerade keine Straffunktion (EuGH, 25.1.2024 – C-687/21, BB 2024, 321, Ls.).
Die genannten geringen Beträge stehen auch in Relation zu einer kürzlich ergangenen Entscheidung des EuGH (5.3.2024 – C-755/21 P, DSB 2024, 101). Dort ging es um die unbefugte Weitergabe von schriftlichen Aufzeichnungen intimer Gespräche mit (auch) sexuellem Charakter durch Europol. Der Gerichtshof stellte sowohl eine rechtswidrige Datenverarbeitung als auch eine Verletzung des Rechts auf Achtung des Privat- und Familienlebens sowie der Kommunikation aus Art. 7 GRCh fest. Er sprach dem Rechtsmittelführer statt der beantragten 50 000 Euro aber lediglich 2 000 Euro immateriellen Schadensersatz zu. Auch wenn der Sachverhalt nicht der DSGVO unterfällt, sondern auf Grundlage von Art. 50 Abs. 1 VO (EU) 2016/794 entschieden wurde, lassen sich die Wertungen des EuGH gut auf Art. 82 DSGVO übertragen.
Die Frage nach der konkreten Bezifferung eines immateriellen Schadens stellt sich aber nur, wenn zuvor ein solcher angenommen wurde. Die o. g. Entscheidungen weisen an diesem Punkt deutliche Schwachstellen in der Argumentation auf. So sei dem Kläger nach Auffassung des AG Goslar infolge der unrechtmäßig versandten Werbemail dadurch ein Schaden entstanden, dass “er sich mit den unerwünschten Werbemails der Beklagten auseinandersetzen, sich um eine Auskunft von der Beklagten mittels eines Schreibens bemühen und die unerwünschte E-Mail löschen musste” (AG Goslar, 22.1.2024 – 28 C 7/19, juris Rn. 37). Diese Auffassung überzeugt nicht. Nach dem Willen des EuGH soll der bloße Datenschutzverstoß allein gerade keinen Schadensersatzanspruch begründen. Nach der ständigen Rechtsprechung des EuGH muss der Kläger nachweisen, dass die Folgen eines Datenschutzverstoßes einen immateriellen Schaden darstellen (zuletzt EuGH, 11.4.2024 – C-741/21, juris Rn. 36, BB 2024, 897, Ls.). Der Nachweis der Kausalität eines Verstoßes für den eingetretenen Schaden obliegt nach dem EuGH ebenfalls den Klägern. Auch diese Anforderung kann in der Praxis viele Verfahren entscheiden.
Gerade bei Datenpannen dürfte Klägern der Nachweis einer individuell erlittenen Beeinträchtigung nach wie vor nur bei entsprechendem Sachvortrag zu Schaden und Kausalität gelingen. In der Praxis scheitern solche Ansprüche häufig an dieser Anforderung (vgl. OLG Hamm, 15.8.2023 – 7 U 19/21, juris; s. auch Wybitul, Die Erste Seite, BB Heft 41/2023). Nach dem EuGH kann ein Verlust der Kontrolle über die eigenen personenbezogenen Daten zwar einen immateriellen Schaden darstellen, er muss es aber nicht. Die Befürchtung eines rein hypothetisch möglichen Missbrauchs der Daten soll etwa noch keinen Schaden begründen (EuGH, 25.1.2024 – C-687/21, BB 2024, 321, Ls.).
Selbst wenn Klägern der Nachweis eines immateriellen Schadens tatsächlich gelingt, dürfte sich die gerichtliche Geltendmachung von DSGVO-Schadensersatz nach der neueren Rechtsprechung oft kaum lohnen. Nicht auszuschließen ist auch, dass die Kläger unter dem Strich sogar Verluste machen. Beantragen sie wie bislang in der Praxis mehrere tausend Euro und bekommen nur einen Bruchteil (unter 10 % der beantragten Summe) zugesprochen, können Gerichte ihnen gem. § 91 Abs. 2 Nr. 1 ZPO die gesamten Prozesskosten auferlegen – so geschehen in der oben zitierten Entscheidung des LG Mannheim. Um dieses Kostenrisiko zu vermeiden, ist zu erwarten, dass Kläger kleinere Beträge geltend machen werden. Folglich werden auch die von den Gerichten zugesprochenen Summen aller Voraussicht nach sinken. Art. 82 DSGVO wird uns also weiterhin noch begleiten. DSGVO-Schadensersatz ist und bleibt ein Dauerbrenner.
Johannes Zhou, Ass. iur., ist Wissenschaftlicher Mitarbeiter am Institut für Arbeitsrecht und Recht der Sozialen Sicherheit an der Rheinischen Friedrich-Wilhelms-Universität Bonn.
Tim Wybitul, RA/FAArbR und CIPP/E, ist Partner der Sozietät Latham & Watkins LLP in Frankfurt a. M. Er berät umfassend im Datenschutzrecht. Insbesondere verteidigt er Unternehmen in Bußgeldverfahren und sonstigen gerichtlichen oder verwaltungsrechtlichen Verfahren im Datenschutz. Dazu gehört auch die hier besprochene Entscheidung vor dem EuGH, 25.1.2024 – C-687/21, an der er auf Seiten des beklagten Unternehmens beteiligt war.