16.11.2021Fachbeitrag

Update Datenschutz Nr. 105

Schadensersatz nach DSGVO-Verstößen – Bundesarbeitsgericht lässt wichtige Fragen durch den Europäischen Gerichtshof klären

Unter welchen Umständen eine betroffene Person wegen eines Datenschutzverstoßes Schadensersatz verlangen kann, ist weiterhin hochumstritten. Das Bundesarbeitsgericht (BAG) hat dem Europäischen Gerichtshof (EuGH) zwei in diesem Zusammenhang wesentliche Fragen zur Klärung vorgelegt (Beschluss vom 26.08.2021 – 8 AZR 253/20 (A)). Das BAG nimmt dabei eine sehr klägerfreundliche Position ein, die bei Bestätigung durch den EuGH erhebliche zusätzliche Risiken für Unternehmen bedeuten würde.

Klärungsbedarf bei der Anwendung von Art. 82 DSGVO

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Bei der praktischen Umsetzung dieser Regelung gehen die Auffassungen weit auseinander.

Manche Gerichte verlangen für einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO den Nachweis eines konkreten und spürbaren Schadens, der über die reine Verletzung von datenschutzrechtlichen Vorschriften hinausgeht (z. B. OLG Brandenburg, Beschluss vom 11.08.2021 – 1 U 69/20; OLG Bremen, Beschluss vom 16.07.2021 – 1 W 18/21; LG Bonn, Urteil vom 01.07.2021 – 15 O 372/20; OLG München, Urteil vom 08.12.2020 – 18 U 5493/19). Der Schadensersatz nach Art. 82 DSGVO hat nach dieser Auffassung die Kompensation tatsächlich eingetretener Schäden zum Gegenstand, nicht jedoch darüber hinausgehende Zwecke wie die Prävention weiterer Datenschutzverletzungen.

Andere Gerichte gehen davon aus, dass der Nachweis eines konkreten Schadens im Rahmen von Art. 82 Abs. 1 DSGVO nicht erforderlich ist. Allein der Verstoß gegen die Vorschriften der DSGVO soll einen zu ersetzenden immateriellen Schaden begründen (z. B. ArbG Neumünster, Urteil vom 11.08.2020 – 1 Ca 247 c/20; ArbG Düsseldorf, Urteil vom 05.03.2020 – 9 Ca 6557/18). Nach dieser Auffassung soll sich aus dem Regelungszusammenhang ein präventiver Charakter von Art. 82 DSGVO ergeben, insbesondere aus den Bestimmungen in Erwägungsgrund 146 zur DSGVO. Der Schadensersatzanspruch soll danach auch zur Abschreckung dienen (ArbG Dresden, Urteil vom 26.08.2020 – 13 Ca 1046/20).

Das Bundesverfassungsgericht hatte bereits auf die Klärungsbedürftigkeit der Auslegung des Art. 82 DSGVO hingewiesen und die Gerichte unter Verweis auf die Verfassungsgarantie des gesetzlichen Richters dazu aufgefordert, erforderlichenfalls eine Entscheidung des EuGH zur Auslegung des Schadensbegriffs einzuholen (Beschluss vom 14.01.2021 – 1 BvR 2853/19). Diesen Auftrag hat das BAG nun umgesetzt. Es hat dem EuGH im Wege eines Vorabentscheidungsersuchens verschiedene Fragen zu Auslegung der DSGVO vorgelegt und das zugrundeliegende Revisionsverfahren bis zur Entscheidung des EuGH ausgesetzt.

Hintergrund des Verfahrens

Der Kläger im zugrundeliegenden Verfahren war bei einem Medizinischen Dienst der Krankenkassen (MDK) als IT-Spezialist tätig. Ab dem Jahr 2017 war der Kläger dauerhaft erkrankt. Seine Krankenversicherung gab daraufhin beim Arbeitgeber des Klägers ein arbeitsmedizinisches Gutachten über den Kläger in Auftrag. Dieses Gutachten, aus welchem unter anderem die Diagnose einer schweren Depression hervorging, wurde im System des MDK gespeichert und nicht vor dem Zugriff durch Kollegen geschützt. Nachdem ihm das Gutachten zu seiner Person von einem Arbeitskollegen zugeleitet wurde, verlangte der Kläger vom MDK gemäß Art. 82 Abs. 1 DSGVO immateriellen Schadensersatz in Höhe von EUR 20.000,00 sowie Ersatz materieller Schäden.

Das Arbeitsgericht Düsseldorf (Urteil vom 22.02.2019 – 4 Ca 6116/18) und das Landesarbeitsgericht Düsseldorf (Urteil vom 11.03.2020 – 12 Sa 186/19) wiesen die Klage in den Vorinstanzen ab. Die Datenverarbeitung durch den MDK habe nicht gegen die Vorschriften der DSGVO verstoßen.

Vorlagebeschluss des Bundesarbeitsgerichts

Das BAG ist anderer Auffassung. Die Verarbeitung der Gesundheitsdaten des Klägers durch den MDK könne gegen die Vorgaben der DSGVO für die Verarbeitung von besonders Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verstoßen haben. In diesem Fall stehe dem Kläger grundsätzlich Schadensersatz gemäß Art. 82 Abs. 1 DSGVO zu.

Zur Ermittlung des zu ersetzenden Schadens hat das BAG den EuGH um Vorabentscheidung über die folgenden Fragen ersucht:

  • Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
  • Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Daneben hat das BAG dem EuGH weitere Fragen vorgelegt, die die Auslegung von Art. 9 DSGVO betreffen. Dazu gehört insbesondere die umstrittene Frage, ob die Verarbeitung von besonderen Kategorien personenbezogener Daten das kumulative Vorliegen der Voraussetzungen des Art. 6 Abs. 1 DSGVO und des Art. 9 Abs. 2 DSGVO voraussetzt oder ob die Verarbeitung allein auf Art. 9 Abs. 2 DSGVO gestützt werden kann.

Im Vorlagebeschluss vom 26.08.2021 hat das BAG zugleich seine Rechtsauffassung zu den Vorlagefragen festgehalten. Das BAG befürwortet danach eine sehr weite Auslegung des Schadensbegriffs und will denkbar geringe Voraussetzungen für den Schadensersatz wegen Datenschutzverstößen aufstellen. Danach soll jeder Verstoß gegen die Vorgaben der DSGVO zugleich einen ersatzfähigen immateriellen Schaden begründen. Die Haftung nach Art. 82 DSGVO setzt aus Sicht des BAG auch kein schuldhaftes Handeln voraus.

Das BAG grenzt sich damit deutlich von der Rechtsauffassung ab, die der Oberste Gerichtshof in Österreich (ÖOGH) in seinem Vorlagebeschluss zum EuGH vertreten hat (Beschluss vom 12.05.2021 – 6 Ob 35/21x; EuGH C-300/21). Der ÖOGH hat den EuGH ebenfalls um Vorabentscheidung über Fragen zur Auslegung von Art. 82 DSGVO ersucht, unter anderem ob bereits die Verletzung der DSGVO unabhängig von einem tatsächlich erlittenen Schaden für die Zuerkennung von Schadensersatz ausreicht. Ebenso wie zahlreiche deutsche Gerichte hat auch der ÖOGH in seinem Vorlagebeschluss die Auffassung vertreten, dass der Anspruch nach Art. 82 Abs. 1 DSGVO die Darlegung eines tatsächlichen und spürbaren Nachteils voraussetze.

Ausblick

Die vom BAG aufgeworfenen Fragen zum Schadensersatzanspruch nach der DSGVO sind von großer praktischer Relevanz. Betroffen sind insbesondere Unternehmen, die eine Vielzahl von Kunden- oder Mitarbeiterdaten verarbeiten. Einzelne Verstöße gegen die Vorschriften der DSGVO können hier zu einer großen Zahl von potentiell Geschädigten und somit auch zu einer großen Zahl von potentiellen Schadensersatzklägern führen.

Falls der EuGH die Auffassung des BAG aus dem Vorlagebeschluss vom 26.08.2021 bestätigten sollte, wird es für Kläger künftig deutlich leichter, erfolgreich Schadensersatz wegen DSGVO-Verstößen einzuklagen. Die mit der Einführung der DSGVO bewirkte Verschärfung datenschutzrechtlicher Haftungsrisiken würde für datenverarbeitende Unternehmen nochmals deutlich verstärkt. Zudem könnten datenschutzrechtliche Schadensersatzforderungen auch zunehmend Gegenstand arbeitsrechtlicher Auseinandersetzungen werden. Schon bislang ist zu beobachten, dass einige (ehemalige) Arbeitnehmer datenschutzrechtliche Betroffenenrechte als taktisches Mittel in Vergleichsverhandlungen einsetzen. Auch dieser Trend könnte sich noch verstärken, wenn der EuGH die Auffassung des BAG bestätigt.

Die Rechtsauffassung des BAG wirft im Ergebnis Zweifel auf. Dennoch ist es sehr zu begrüßen, dass das BAG die damit verbundenen Fragen durch den EuGH geklärt wissen will. In Zusammenschau mit der zu erwartenden Entscheidung über das Vorabentscheidungsersuchen des ÖOGH besteht Grund zur Hoffnung auf mehr Einheitlichkeit und Klarheit in der bislang sehr diffusen Rechtsprechung zum datenschutzrechtlichen Schadensersatz.

Mit einer Entscheidung des EuGH ist wohl erst im Jahr 2023 zu rechnen. Unternehmen sollten die Zwischenzeit nutzen, um bestehende datenschutzrechtliche Risiken zu ermitteln und Organisationsstrukturen zu optimieren. Dazu gehört auch die Definition von Prozessen und Zuständigkeiten im Fall von Datenschutzverstößen und darauf gegründeten Schadensersatzforderungen.

Als PDF herunterladen
Als PDF herunterladen

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.