06.11.2020 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Die Behörden machen auch schmerzhaften Gebrauch von den neuen Möglichkeiten. Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER warnt vor einem weiteren steigenden Risiko: Schadensersatzforderungen von Betroffenen auch bei kleinen Verstößen!
Prozesse im Personalmanagement und Arbeitsrecht automatisieren
Immaterieller Schadensersatz war in Deutschland bislang nur selten ein Thema. Anders, als etwa in den USA verlangen deutsche Gerichte bislang einen ganz erheblichen immateriellen Nachteil. Solche Nachteile werden z.B. im Rahmen des Schmerzensgeldes diskutiert. Aber auch bei solchen Entscheidungen ging es regelmäßig allenfalls um kleine Summen, sieht man von Ausreißern ab.
Im Datenschutzrecht kommt mit Art. 82 DSGVO eine neue Herausforderung auf alle zu, die personenbezogene Daten verarbeiten.
Art. 82 Abs. 1 DSGVO lautet:
Es müssen also nicht nur eventuelle finanzielle Nachteile ausgeglichen werden, sondern es geht um eine Art „Schmerzensgeld“. Hier urteilen die Gerichte in Deutschland bislang recht unterschiedlich. Dennoch kann man langsam von einem Trend sprechen, der sich in Richtung Schmerzensgeld bei Datenschutzverstößen bewegt.
Aufmerksamkeit erregte das Urteil des Arbeitsgerichts Düsseldorf (Urt. v. 05.03.2020 – Az. 9 Ca 6557/18). Ein Arbeitgeber, der Auskünfte zunächst nur unvollständig und damit die vollständigen Auskünfte nur verzögert erteilt hatte, wurde zu einem Zahlbetrag von 5.000 Euro verurteilt. Die Angelegenheit ist bei dem Landesarbeitsgericht Düsseldorf in der Berufung anhängig (Aktenzeichen:14 Sa 294/20). Hier wurde damit argumentiert, dass bereits jeder Verstoß gegen Datenschutzvorschriften den Schadensersatz auslöse.
Aus dem Urteil:
Noch misslicher: Das Gericht forderte entsprechend den Erwägungsgründen, die der DSGVO vorangestellt sind, dass der Schadensersatz abschreckend sein soll:
Tatsächlich sieht Erwägungsgrund 146 in der DSGVO vor:
Von „abschreckend“ ist an dieser Stelle nicht die Rede. Dieser Begriff ist vielmehr Art. 83 DSGVO zu den Geldbußen der Aufsichtsbehörden zu entnehmen:
Die Reihe der Urteile lässt sich fortsetzen:
Das Arbeitsgericht Lübeck sah in seinem Beschluss vom 20.6.2020 (Az. 1 Ca 538/19) schon in der Veröffentlichung eines Mitarbeiterfotos einen ersatzfähigen Schaden von 1.000 Euro.
Das Arbeitsgericht Dresden urteilte 1.500 Euro für die unrechtmäßige Übermittlung von Gesundheitsdaten eines Mitarbeiters an die Behörden aus (Urt. v. 26.08.2020, Az. 13 Ca 1046/20).
Natürlich gibt es auch noch andere Entscheidungen, die ein gewisses Maß an Beeinträchtigung verlangen, bevor Schadensersatz verlangt werden kann.
So sah das OLG Dresden keinen Schadensersatzanspruch bei bloßen Bagatellverstößen (OLG Dresden, Beschl. v. 11.06.2019 - Az.: 4 U 760/19 - zu unberechtigter Sperrung eines Posts durch Facebook). Das OLG Dresden hat zudem mit Urteil vom 20.08.2020 (Az. 4 U 784/20) entschieden, dass die Löschung von Posts in einem sozialen Netzwerk zwar eine Verarbeitung nach DSGVO darstellt. Die Löschung stelle für sich genommen jedoch keinen ersatzfähigen Schaden dar.
Auch das LG Karlsruhe (LG Karlsruhe, Urt. v. 02.08.2019 - Az.: 8 O 26/19) ließ die Ablehnung eines Kreditvertrages, die möglicherweise auf Basis eines falschen Basisscores beruhte, nicht ausreichen, um Schadensersatz zuzubilligen. Vorbeugende („generalpräventive“) Gründe reichen nicht aus.
Auch das LG Hamburg hat mit Urteil vom 04.09.2020 (Az. 324 S 9/19) einen Schadensersatzanspruch abgelehnt. Es fehle im konkreten Fall an einer "benennbar und insoweit tatsächliche Persönlichkeitsverletzung" (für unberechtigte Veröffentlichung einer Wohnungsanzeige auf Immonet).
Insgesamt werden die Risiken größer. Schon haben einige Betroffene das Thema für sich entdeckt und fordern etwa für Besuche auf Webseiten pro Cookie ohne ausreichende Einwilligung 1.000 Euro. Die rechtliche Komplexität der Fragen zur Cookie-Einwilligung befördert solche Vorhaben. Hinzu kommt, dass jetzt auch mit dem Fall des Privacy Shield Datenverarbeitungen im Land des digitalen Weltmarktführers USA im Ergebnis nur noch mit informierter Einwilligung über die Risiken stattfinden können. Auswege, wie etwa die Vereinbarung von Standardvertragsklauseln, stellen unsichere Grundlagen dar. Von dieser Unsicherheit nähren sich die Abmahner.
Bald könnten sich Legal-Tech Unternehmen herausgefordert sehen, solche Ansprüche zu verfolgen. Eine wirtschaftliche Basis und Geschäftschancen für ein dortiges Vorgehen gab es schon bei Flugverspätungsentschädigungen oder bei VW & Co.
Weil alles derart kompliziert ist, sollten Unternehmen sich rechtlich beraten lassen. Wenden Sie sich dazu an einen Rechtsanwalt. Eine Haftung des Datenschutzbeauftragten ist durchaus nicht selbstverständlich und dürfte am ehesten dort bestehen, wo der Datenschutzbeauftragte nicht nur zu den Pflichten allgemein berät, sondern selbst Texte zur Verfügung stellt und damit Geschäfte des Unternehmens besorgt. Hier besteht allerdings nicht, wie bei Anwälten, ein gesetzlich verpflichtender Versicherungsschutz.
Bitte nicht falsch verstehen: Der Datenschutzbeauftragte ist wichtig und in vielen Fällen der erste Ansprechpartner. Er ist allerdings gerade kein einseitiger Interessenvertreter, wie der Anwalt! Seine Haftung ist unklar und oft nicht gesondert versichert. Er sollte Lücken und Unzulänglichkeiten helfen aufzudecken und das Unternehmen veranlassen, für Abhilfe zu sorgen und Lösungen beurteilen. Die eigene Lösung zu liefern und sie mit den richtigen Risikoabwägungen zu beurteilen, überfordert die Stellung des Datenschutzbeauftragten in vielen Fällen.
Bild: rawpixel (Pixabay, Pixabay License)