Jeder Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, steht ein Anspruch auf Schadensersatz gegen das verantwortliche Unternehmen zu. Schon bei kleinen Verstößen drohen daher neben einem Bußgeldverfahren vor der Aufsichtsbehörde auch Schadensersatzklagen von betroffenen Personen. Das Landesarbeitsgericht (LAG) Baden-Württemberg (Az.: 17 Sa 37/20) hat nun entschieden, dass ein Schaden jedoch auch tatsächlich eingetreten sein muss. Die bloße Gefahr eines Schadens reicht nicht aus.
Missbrauchsgefahr durch Übersendung von Daten in die USA?
Die Parteien des Verfahrens stritten über einen Schadensersatzanspruch nach Art. 82 Datenschutzgrundverordnung (DSGVO). Der Kläger machte geltend, dass ihm durch eine im Jahr 2017 erfolgte Übermittlung personenbezogener Daten in die USA an die Konzernmutter der Beklagten ein immaterieller Schaden entstanden sei. Diesen Schaden begründete der Kläger damit, dass nicht klar sei, wer in den USA auf seine Daten zugreifen könne, sodass er sich einer permanenten Missbrauchsgefahr gegenübergesehen habe. Zudem seien die Daten in ein Land übermittelt worden, das keinen wirksamen Schutz personenbezogener Daten gegenüber den dortigen Behörden garantiere.
Voraussetzungen für Schadensersatz im Datenschutz
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Für die Geltendmachung eines solchen Schadensersatzanspruchs muss ein Kläger insbesondere Folgendes darlegen:
- Der Beklagte muss entweder Verantwortlicher oder Auftragsverarbeiter sein,
- es muss ein Verstoß gegen die DSGVO oder andere relevante Bestimmungen vorliegen, und
- dieser Verstoß muss kausal für den tatsächlich eingetretenen Schaden sein.
Gefahr des Missbrauchs von Daten kann Schaden begründen
Das LAG Baden-Württemberg sah die vom Kläger beschriebene Gefahr eines Missbrauchs der Daten durch Ermittlungsbehörden in den USA oder andere Konzerngesellschaften als geeignet an, einen nach Art. 82 DSGVO ersatzfähigen immateriellen Schaden zu begründen.
Allerdings verlangte das Gericht, dass der Schaden gerade wegen eines Verstoßes gegen die DSGVO eingetreten sein müsse, d.h. einem Verordnungsverstoß zugeordnet werden könne (Kausalität). Dieses Erfordernis der Kausalität zwischen Rechtsverstoß und Schaden dient dazu, eine zu weitgehende Haftung auszuschließen, und ist allgemein anerkannt.
Kein Anspruch auf Schadensersatz mangels Kausalität
Vor diesem Hintergrund lehnte das Gericht den Schadensersatzanspruch ab. Der vom Kläger geltend gemachte Schaden könne nicht dem festgestellten Verordnungsverstoß zugeordnet werden bzw. sei tatsächlich nicht eingetreten.
Das Gericht deutete zwar an, dass der Fall ggf. anders zu beurteilen gewesen wäre, wenn durch den Verstoß die gesamte Datenverarbeitung rechtswidrig gewesen wäre. Dies war aber vorliegend nicht der Fall, da die Beklagte nach Geltungsbeginn alle Erfordernisse der DSGVO eingehalten hatte, um die Sicherheit der Daten bei ihrer Konzernmutter zu gewährleisten.
Sicherer Datenschutz mithilfe von WINHELLER
Der Fall macht deutlich, dass für die Geltendmachung von Schadensersatzansprüchen nach Art. 82 DSGVO bloß befürchtete Schäden nicht ausreichend sind, sondern diese kausal und tatsächlich eingetreten sein müssen.
Er lässt aber auch den Schluss zu, dass eine gründliche Umsetzung der datenschutzrechtlichen Vorgaben vor der Entstehung derartiger Schäden bewahren kann. Diese können je nach Umfang des Verstoßes im mehrstelligen Bereich beziffert werden.
Wenn Sie Unterstützung bei der lückenlosen Umsetzung der DSGVO-Anforderungen sowie der sicheren Ausgestaltung von Datenübermittlung in Drittstaaten benötigen, stehen Ihnen unsere erfahrenen Rechtsanwälte für Datenschutzrecht gerne zur Seite.
Weiterlesen:
Erstellung eines Datenschutzkonzepts für Ihr Unternehmen
Keine Erheblichkeitsschwelle bei DSGVO-Schadensersatz?