Neues zu Schadensersatzansprüchen

von (Kommentare: 0)

Aktuelles Urteil des Bundesarbeitsgerichts zu Schadensersatzansprüchen betroffener Personen bei Verstößen gegen die DSGVO

Erst im Februar haben wir uns in einem Blogbeitrag mit dem umstrittenen Thema der Schadensersatzansprüche betroffener Personen bei Verstößen gegen die DSGVO beschäftigt. Nun musste sich auch das Bundesarbeitsgericht mit der Frage nach der korrekten Auslegung des Art. 82 DSGVO auseinandersetzen und folgt mit seiner Einschätzung einem sehr verbraucherfreundlichen Ansatz.

Bußgeld und Schadensersatz

Ein Verstoß gegen DSGVO-Vorschriften kann neben dem von der Aufsichtsbehörde verhängten Bußgeld auch die Geltendmachung von Schadensersatzansprüchen durch betroffene Personen mit sich bringen. In derartigen Fällen handelt es sich typischerweise um ein Auskunfts- oder Löschersuchen, dem nicht (fristgerecht) Folge geleistet wurde, woraufhin die betroffene Person Ersatz für den ihr entstandenen Schaden verlangt Typischerweise wird in derartigen Fällen einem Auskunfts- oder Löschersuchen nicht (fristgerecht) Folge geleistet, woraufhin die betroffene Person Ersatz für den ihr entstandenen Schaden verlangt. Der geltend gemachte Schaden liegt dabei zumeist nicht in finanziellen oder wirtschaftlichen Einbußen, sondern in dem Gefühl des Kontrollverlusts über die eigenen Daten (sog. immaterieller Schaden).

Nachweis des immateriellen Schadens

Bisher herrschte unter den deutschen Gerichten Uneinigkeit, unter welchen Umständen betroffenen Personen ein solcher Schadensersatzanspruch zuzugestehen war. Besonders umstritten war die Frage, ob und in welcher Ausführlichkeit die betroffene Person den ihr entstandenen Schaden nachweisen musste und in welcher Höhe dieser zu bemessen war. Im Kern drehte sich der Streit darum, wie der den Schadensersatzanspruch regelnde Art. 82 DSGVO, auszulegen sei: Sollte bereits die Verletzung der DSGVO selbst zu einem auszugleichenden immateriellen Schaden führen oder sei zusätzlich erforderlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlege?

Klare Stellungnahme des Bundesarbeitsgerichts

Mit dieser Frage hat sich das Bundesarbeitsgericht in der Entscheidung 8 AZR 253/20 (A) beschäftigt und dabei eine klare Stellung bezogen. Es geht „davon aus, dass bereits die Verletzung der DSGVO als solche für einen Anspruch nach Art. 82 Abs. 1 DSGVO ausreicht“ und vertritt die Ansicht, dass die Höhe des zu ersetzenden Schadens so hoch zu bemessen sei, dass sie eine abschreckende Wirkung habe (vgl. Rn. 33 und 39 AZR 253/20 (A))

Konsequenzen

Da das Thema sehr umstritten ist, hat das BAG das von ihm verhandelte Verfahren zunächst ausgesetzt und die Frage dem EuGH zur Entscheidung vorgelegt. Der EuGH wird vermutlich im Laufe der nächsten 2 Jahre darüber entscheiden, ob er bei der Auslegung des Art. 82 DSGVO der Sichtweise des BAG folgt. Da die Entscheidungen des EuGHs in der Vergangenheit zumeist sehr verbraucherfreundlich waren und wirtschaftliche Unternehmensinteressen dem Datenschutz oftmals untergeordnet wurden, ist damit zu rechnen, dass der EuGH die Sichtweise des BAG teilen wird. Aufgrund der geringen Hürden bei der Darlegung und dem Nachweis des Schadens ist bei einem solchen Ausgang mit einer Klagewelle zu rechnen. Für Unternehmen steigt das Risiko, sich den Forderungen gezielt auf „Schadensersatzjagd“ gehender (betroffener) Personen massiv an, da jedes nicht beantwortete Auskunftsersuchen und jedes ohne die erforderliche Einwilligung gesetzte Cookie einen schadensersatzpflichtigen DSVO-Verstoß darstellen würde.

Die Konsequenzen dieser Rechtsprechung werden jedoch nicht erst in 2 Jahren spürbar sein. Bereits die Existenz einer derart klaren Stellungnahme eines Bundesgerichts stärkt die Position von auf Schadensersatz klagenden betroffenen Personen massiv und stellt in gerichtlichen Verfahren ein gewichtiges Argument dar.

Was tun?

Unternehmen ist daher zu raten, sich gerade in den Bereichen mit Außenwirkung, d. h. Onlineauftritt (Website, Social Media) und Bearbeitung von Betroffenenanfragen, gut aufzustellen. Homepages sollten auf ihre Datenschutzkonformität überprüft werden (Stichwort: Cookies und Drittanfragen, Datenschutzerklärung, Einwilligung bei Mitarbeiterfotos) und entsprechende Prozesse und Richtlinien zum korrekten Umgang mit Betroffenenersuchen implementiert werden.

TAGS

Zurück

Einen Kommentar schreiben

Bitte addieren Sie 3 und 4.

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.