Der 9. Zivilsenat des OLG Stuttgart hat mit Urt. v. 03.03.21 eine Entscheidung zu den Voraussetzungen des immateriellen Schadensersatzanspruchs gem. Art. 82 DSGVO gefällt (Az. 9 U 34/21), wonach es bei den allgemeinen Regeln zur Darlegungs- und Beweislast bleibt.

Alles was Sie zu diesem Thema wissen müssen, erfahren Sie in diesem Artikel!

Art. 82 Abs.1 DSGVO

Art. 82 Abs.1 DSGVO stellt eine Anspruchsgrundlage für die Geltendmachung von materiellem oder immateriellem Schadensersatz dar:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Reichweite und Umfang der Vorschrift

Obwohl schon viele Urteile bzgl. Art. 82 Abs.1 DSGVO ergangen sind, herrscht immer noch Uneinigkeit über die Reichweite und den Umfang der Vorschrift.

Das OLG München urteilte am 08.12.2020 (Az. 18 U 5493/19), dass die bloße Sperrung des Nutzerprofils keinen Schaden gem. Art. 82 Abs.1 DSGVO begründet.

Mit Urteil vom 12.01.2021 (Az. 4 U 1600/20) entschied das OLG Dresden, dass für einen Geldentschädigungsanspruch ein schwerwiegender Persönlichkeitseingriff vorliegen muss.

Das OLG Stuttgart entschied am 31.03.2021 (Az. 9 U 34/21), dass Art. 82 Abs.1 DSGVO den Begriff der Pflichtverletzung weit erfasst und damit grds. jede Verletzung materieller oder formeller Bestimmungen der Verordnung einschließt.

Rechtstipp: Eine Beweislastumkehr würde zu einer vom Verordnungsgeber nicht gewollten Risikohaftung führen und unter Umständen eine unüberbrückbare Hürde für die Geltendmachung des Auskunftsanspruchs darstellen.

Das LG Karlsruhe urteilte hingehen am 09.02.2021 (Az. 4 O 67/20), dass keine schwere Verletzung des Persönlichkeitsrechts mehr notwendig ist, um einen immateriellen Schaden geltend zu machen. Es schränkte aber ein, dass nicht jeder Verstoß gegen die DSGVO zu einer Ausgleichspflicht führt. Nach Ansicht der zuständigen Richter, führt der Verstoß gegen Vorschriften der DSGVO allein nicht unmittelbar zum Schadensersatz. Art. 82 DSGVO ist nicht so auszulegen, dass die Norm einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet.

Rechtstipp: Verbreitung des Namens, Geburtsdatums, Geschlechts, der E-Mail-Adresse und der Telefonnummer stellen, in Anbetracht der Rechtsprechungen, nur einen Bagatellschaden dar.

DSGVO enthält keine ausdrücklichen Bestimmungen zur Beweislast

Das Unionsrecht enthält, so das OLG Stuttgart, zur Beweislast keine ausdrücklichen Bestimmungen. Das gilt insbesondere auch für den Normverstoß an sich! Hier verbleibt es beim allgemeinen Grundsatz, dass der Anspruchsteller die Anspruchsvoraussetzungen vorzutragen und nachzuweisen hat. Erst wenn ein Verstoß festgestellt ist, hilft dem Geschädigten – allerdings auch nur hinsichtlich des Verschuldens – die Regelung in Art. 82 Abs. 3 DSGVO, wonach hinsichtlich des Verschuldens der Verantwortliche sich exkulpieren muss, andernfalls ist von einem schuldhaften Verstoß auszugehen. 

Rechtstipp: Die DSGVO ändert nichts daran, dass der Anspruchssteller die Darlegungs- und Beweislast für eine haftungsbegründende Pflichtverletzung ggü. dem Anspruchsgegner hat.

Allgemeine Rechenschaftspflicht gem. Art. 5 Abs. 2, 24 Abs. 1 DSGVO

Auf die Rechenschaftspflicht kann, nach Ansicht der zuständigen Richter, eine Beweislastumkehr oder Beweiserleichterung nicht gestützt werden, da die DSGVO kein Beweisrecht kennt.

Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DSGVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. Der Verantwortliche ist grundsätzlich gehalten, der Behörde eine Mitteilung binnen 72 Stunden zu machen. Er darf hiervon allerdings nach eigener Beurteilung absehen, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. 

Rechtstipp: Eine Benachrichtigung setzt außerdem voraus, dass „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ besteht.

Effet Utile – Europarechtlicher Effektivitätsgrundsatz 

Gemäß des Effektivitätsgrundsatzes darf das nationale Beweisrecht keine unüberbrückbaren Hürden für die Geltendmachung des Anspruchs vorsehen. Der Effektivitätsgrundsatz verlangt, nach Ansicht des OLG Stuttgart, keine Beweislastumkehr bezüglich der Tatbestandsmerkmale des Art. 82 DSGVO. Ansonsten bestünde eine Art „Gefährdungshaftung“, die der Verordnungsgeber offensichtlich nicht einführen wollte.

Kausalität zwischen Verstoß und Schaden

Der Anspruch aus Art. 82 DSGVO setzt voraus, dass ein Verstoß gegen die DSGVO für den Schaden des Betroffenen ursächlich geworden ist. Die Norm macht dabei vom Kausalitätserfordernis keine Ausnahme, sondern setzt als selbstverständlich voraus, dass es sich um Schäden handeln muss, die auf eine DSGVO-widrige Verarbeitung von personenbezogenen Daten zurückzuführen ist. 

Daran ändert die Zielsetzung der Vorschrift der betroffenen Person einen „vollständigen und wirksamen Schadenersatz“ gewährleisten zu wollen, nichts. Damit ist kein Aufweichen des Kausalitätserfordernisses, auch keine Beweiserleichterung gemeint.

Rechtstipp: Es genügt also nicht, dass ein etwaiger Schaden auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist. Das ergibt sich schon klar aus dem Wortlaut des Art. 82. Abs. 1 DSGVO, wonach der Schaden „wegen“ eines Verstoßes eingetreten sein muss. 

Fazit

Art. 82 Abs. 1 DSGVO wird in der Praxis gerne und häufig in Anspruch genommen, um gegen jeden datenschutzrechtlichen Verstoß einen Schadensersatz begründen zu können. Die gerichtlichen Entscheidungen zum Schadensersatz nach Art. 82 Abs. 1 DSGVO könnten einen Fall für den EuGH sein, da bei den gerichtlichen Entscheidungen, hinsichtlich Reichweite und Umfang Uneinigkeit herrscht.

Unternehmen raten wir deshalb, ausreichend Maßnahmen zur Erfüllung der datenschutzrechtlichen Vorgaben zu treffen. So können Sie im Streitfall Ihrer sekundären Darlegungslast nachkommen. Melden Sie sich bei uns! Unser Team berät Sie gern, damit Sie rechtlich abgesichert sind.

Sie sind betroffen von einem Datenskandal oder vermuten, dass Ihre Daten von einem Unternehmen nicht gesetzeskonform verarbeitet sind? Sprechen Sie uns kostenlos und unverbindlich an, um wir helfen Ihnen weiter.

Wenn Sie von dem Datenleak betroffen sind, könnte Ihnen ein Schadensersatz- oder Schmerzensgeldanspruch zustehen! Die Höhe der Ihnen zustehenden Entschädigung hängt von dem Grad der Beeinträchtigung ab, welche Sie erlitten haben. Dazu bieten wir einen Service an, um Ihre maximale Entschädigung zu sichern!