• Blog

Die DSGVO feiert Geburtstag – und der EUGH beschenkt Betroffene!?

Am 25. Mai 2023 feiert die DSGVO ihren fünften Geburtstag (Datum ihrer Geltung). Viel wurde über die DSGVO geschrieben. Es wurde und wird geschimpft (Prof. Dr. Hoeren wird aktuell wie folgt zitiert: Ich weiß gar nicht, warum Sie alle 5 Jahre DSGVO feiern. Die DSGVO ist eine Sch…„). In der Neue Juristische Wochenschrift wird die DSGVO als Meilenstein europäischer Werteordnung gefeiert (Prof. Dr. Anne Paschke, Editorial der NJW vom 24. Mai 2022, Heft 22/2023).

Kurzum, es gibt -wie es sich gehört- Pro und Contra und darunter immer wieder etwas Kluges.

Für Unternehmen bedeutete die Umstellung seinerzeit einen Paradigmenwechsel. Auch wenn sie sich bereits vor dem 25. Mai 2018 datenschutzkonform verhalten sollten, war der Schmerz bei Datenschutzverstößen für Unternehmen früher nicht groß. Drastische Sanktionen mussten sie regelmäßig nicht fürchten. Ansprüche von Betroffenen noch weniger. Das hat sich mit der DSGVO geändert. Auch das Risiko zivilrechtlicher Klagen, insbesondere auf Schadenersatz nach Artikel 82 DSGVO nach einem Datenschutzverstoß, ist um ein Vielfaches höher als früher.

In einer ersten Entscheidung zu Artikel 82 DSGVO hat der EUGH erst kürzlich zwei wichtige Auslegungsfragen beantwortet und damit auch die Rechte der Betroffenen gestärkt.

Vorsichtiges Herantasten der nationalen Gerichte

In den ersten Verfahren auf Zahlung eines immateriellen Schadens nach Artikel 82 DSGVO fremdelten insbesondere die deutschen ordentlichen Gerichte mit der Norm. Gerade bei vermeintlich kleineren Verstößen, wie zum Beispiel dem ungewollten Erhalt eines Newsletters, erinnerte man sich als Richter an die alte Rechtsprechung zu Persönlichkeitsrechtsverletzungen und verlangte für einen immateriellen Schaden das Überspringen einer Bagatellgrenze. So gab es zahlreiche Entscheidungen, die einen Anspruch auf Schadenersatz bereits am Nicht-Erreichen einer Bagatellgrenze scheitern ließen, vgl. statt vieler:

  • OLG Dresden, Urteil vom 20. August 2020, 4 U 784/20
  • LG Landshut, Urteil vom 6. November 2020, 51 O 513/20
  • LG Köln, Urteil vom 7. Oktober 2020, 28 O 71/20
  • AG Hamburg-Barmbek, Urteil vom 18. August 2020, 816 C 33/20

 

An dieser Einschränkung des Anspruches hatte das Bundesverfassungsgericht deutliche Zweifel (BVerfG, Beschluss vom 14. Januar 2021, 1 BvR 2853/19). Das Amtsgericht, welches eine Klage auf Schadenersatz abgewiesen hatte, hätte dies nicht ohne Vorabentscheidungsersuchen an den EUGH tun dürfen, insbesondere mit Blick auf die Frage, ob ein Anspruch davon abhänge, ob eine Bagatellgrenze erreicht sei oder nicht. Denn diese Frage sei bislang ungeklärt und für die Entscheidung auch relevant, so die Verfassungshüter.

Der EUGH stellt klar: die DSGVO kennt keine Bagatellgrenze

In seinem Urteil „Österreichische Post“ (vom 4. Mai 2023, C-300/21) hat der EUGH klargestellt: Die DSGVO kennt eine Bagatellgrenze nicht:

„Würde aber der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen, da die graduelle Abstufung einer solchen Schwelle, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen könnte.“

Damit ist klar, dass grundsätzlich jeder Verstoß gegen die DSGVO, der zu einem Schaden beim Betroffenen geführt hat, auch eingefordert werden kann.

Freilich wird sich für viele Betroffene die Frage stellen, ob es sich wirtschaftlich lohnt, ein kostenintensives Gerichtsverfahren zu führen, um einen Schaden von 25,00 EUR wegen einer erhalten SPAM zu verlangen. Aber das ist ein anderes Problem – alternative Klagemodelle und/oder Legal-Tech-Anbieter sollte man jedenfalls nicht unterschätzen.

Es muss ein konkreter Schaden vorliegen und dargelegt werden

Der EUGH machte mit seiner neuen Rechtsprechung nicht sämtliche Türen und Tore für Schadenersatzklagen auf. Er gibt in seinem Urteil „Österreichische Post“ im Stile eines Königs Salomon den Betroffenen zwar einen umfassenden Schadensersatzanspruch auch unterhalb einer Bagatellschwelle. Der EUGH verlangt jedoch, dass der Betroffene einen konkreten Schaden darlegt. Nicht ausreichend sei es, nur den Verstoß gegen die DSGVO darzulegen. Vielmehr müsse ein darüber hinaus tatsächlich eingetretener Schaden dargelegt werden. Damit stehen und fallen in vielen Verfahren die Erfolgsaussichten einer Schadenersatzklage mit einem konkreten Vortrag zum erlittenen Schaden. Zweifel sind bei solchen Klagen immer dann angebracht, wenn sie massenhaft auf Basis von Textbausteinen eingereicht werden und zu einem individuellen Schaden wenig bis gar nichts vorgebracht wird auch AI / KI / ChatGPT wird gute Prozessanwälte nicht ersetzen können.

Darüber hinaus hat der EUGH im Rahmen seines Urteils „Österreichische Post“ nur die Frage beantworten müssen, ob bereits die Verletzung der DSGVO einen Schaden bedeutet. Nicht beantwortet hat der EuGH die Frage, wie der Begriff des „Schadens“ tatsächlich auszulegen ist und was ein Betroffener hierzu vortragen muss. Diese Frage ist offen und muss vom EuGH zu einer anderen Gelegenheit beantworten.

Von Umsetzungsprojekten zur Privacy Litigation

Blickt man auf die letzten fünf Jahre zurück, sind viele Unternehmen aus einem datenschutzrechtlichen Tiefschlaf erwacht. Einige haben zuerst sprichwörtlich den Wald vor lauter Bäumen nicht sehen können. Alle Unternehmen musste (große) Umsetzungsprojekte vornehmen, um möglichst DSGVO-konform zu sein. Und trotz bestmöglicher Compliance und aller Anstrengungen gehört zur Wahrheit: verhindern lassen sich Datenschutzvorfälle nicht 100%. Ein gewisses Risiko bleibt, wie immer im Wirtschaftsleben. So ist das Risiko, Opfer einer Cyber-Attacke zu werden, aktuell größer denn je.

Be prepared!

Auch ein fahrlässiger Umgang mit der Beantwortung von Betroffenenanfragen stellt (wirtschaftliche) Risiken für das eigene Unternehmen dar. Innerhalb weniger Wochen haben jüngst zwei Arbeitsgerichte die beklagten Unternehmen jeweils zur Zahlung eines immateriellen Schadenersatzes in Höhe von 10.000,00 EUR verurteilt. „Nur“ weil eine Auskunft verspätet und unvollständig erteilt wurde. Solche Fehler lassen sich allerdings in enger Abstimmung mit dem internen Datenschutzbeauftragten oder dem externen Berater einfach vermeiden.

Eine gute Datenschutzorganisation ist das A und O und dabei gilt: „Datenschutz ist kein Ziel, es ist eine Aufgabe!“ (Asshoff). Mussten Unternehmen vor fünf Jahren erst einmal viel Zeit und Geld für eine gute Datenschutzorganisation investieren, benötigen sie heute zudem eine gut gefüllte „Kriegskasse“ für Verfahren. Insbesondere Unternehmen, deren Geschäftsmodell auf der Verarbeitung zahlreicher Daten basiert, laufen bei einem Datenschutzvorfall Gefahr, das Ziel massenhafter Klagen zu werden. Das so genannte Facebook-Datenleck zeigt, dass sich für solche Verfahren bereits zahlreiche Anwaltskanzleien positioniert haben und mit entsprechender zielgruppengerechter Werbung (die teils an Class Action Werbung in den USA erinnert), Betroffene für Schadenersatzklagen ansprechen.

Bitte sprechen Sie unseren Experten Sebastian Laoutoumai an, wenn Sie als Unternehmen oder Unternehmer Fragen haben.