Ein Anwalt bekam von Juris weiterhin Werbemails, obwohl er mehrmals widersprochen hatte. Für ihn ein Verstoß gegen die DSGVO – aber gibt es auch Schadensersatz? Das Landgericht war sich unsicher und fragte den EuGH. Ob die Antworten helfen?
Mehrmals sendete ein Rechtsanwalt eine Widerspruchserklärung an die juristische Datenbank juris: Sie möge ihn aus dem Werbeverteiler entfernen. Dennoch erhielt er über Monate hinweg weiter Werbemails von juris. Darin enthalten war jeweils ein persönlicher Code, mit dem der Mann testweise Zugriff auf juris-Produkte erhalten sollte. Nachdem der Anwalt bereits Schadensersatz wegen der rechtswidrigen Verarbeitung seiner Daten von juris verlangt hatte, erhielt er ein weiteres Werbeschreiben. Dann reichte es ihm: Nach insgesamt drei erfolglosen Versuchen, die Mails abzubestellen, brachte er den Fall vor Gericht.
Vor dem Landgericht (LG) Saarbrücken verklagte er juris auf Schadensersatz gemäß Artikel 82 Abs.1 Datenschutz-Grundverordnung (DSGVO). Er meint, die Kontrolle über seine persönlichen Daten verloren und damit einen immateriellen Schaden erlitten zu haben. Juris selbst sah die Sache anders: Nur weil ein Verstoß gegen die DSGVO gegeben sei, bedeute das noch lange nicht, dass das auch einen Anspruch auf immateriellen Schadensersatz begründe. Art. 82 Abs. 1 DSGVO spricht "jeder Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist", einen Ersatzanspruch zu. Was ein immaterieller Schaden genau ist und welche Darlegungsanforderungen den Verletzten treffen, lässt die DSGVO aber offen.
Um genau das zu klären, setzte das LG das Verfahren aus und legte dem Europäischen Gerichtshof (EuGH) vier Fragen zur Auslegung von Art. 82 Abs. 1 DSGVO vor. Insbesondere wollte es wissen, ob für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ein tatsächlicher Schaden gegeben sein müsste. Das bejahte der EuGH im Grundsatz, allein der Verstoß gegen die DSGVO reiche jedenfalls nicht aus (Urt. v. 11.04.2024, Az. C-741/21).
Ohne Schaden kein Schadensersatz
Damit bestätigten die Luxemburger Richter ein Urteil vom 15.01.2024 (Az. C-687/21). Dort hatte der EuGH im Fall eines wohl versehentlichen DSGVO-Verstoßes bei Saturn entschieden, dass das ungute Gefühl, ein Dritter könnte die Daten missbrauchen, nicht genügt. Vielmehr müsste der Verletzte auch einen Schaden darlegen. Die genauen Anforderungen an den Klägervortrag ließ er aber offen.
Der EuGH machte aber deutlich, dass die Tatsache, dass juris den Verstoß ganze dreimal begangen hat, keine Auswirkungen auf die Höhe eines potenziellen Schadensersatzanspruchs habe. Denn Art. 82 DSGVO bezwecke keine Strafe, sondern eine Ausgleichsfunktion. Daher komme es nicht auf die Schwere des DSGVO-Verstoßes an, sondern nur auf den dadurch tatsächlich entstandenen Schaden.
Unklar bleibt aber, was ein solcher Schaden sein soll. Der EuGH konkretisierte in seinem Urteil nicht, was der Verletzte sachlich vortragen muss, um darzulegen, dass er durch den Verlust der Kontrolle an den eigenen Daten einen immateriellen Schaden erlitten hat.
Dass ein Kontrollverlust ein Schaden sein kann, ergibt sich aus Erwägungsgrund 85 der DSGVO. Als weitere mögliche Schäden werden dort etwa genannt: Identitätsdiebstahl oder -betrug, finanzielle Verluste, eine Rufschädigung, der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Da es sich hierbei teilweise um messbare Vermögensschäden handelt, besteht in der Rechtspraxis nach wie vor große Unsicherheit, was einen immateriellen Schaden i.S.v. Art. 82 DSGVO begründet. Diese hat der EuGH am Donnerstag nicht beseitigt.
Mitarbeiter zählen nicht als Ausrede
Etwas mehr Klarheit schafften die Luxemburger Richter im Hinblick auf die Frage, inwiefern sich der Arbeitgeber darauf berufen kann, Mitarbeiter hätten den DSGVO-Verstoß unter Missachtung betrieblicher Weisungen begangen. Juris hatte nämlich vorgebracht, dass im Fall des Anwalts die betrieblichen Bestimmungen zum Umgang mit Werbewidersprüchen missachtet worden sein müssen. Daher hafte juris nicht für den Schaden.
Diese Argumentation hatte das Unternehmen auf Art. 82 Abs. 3 DSGVO gestützt. Demnach wird der Verantwortliche oder der Auftragsverarbeiter von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Der EuGH betonte jedoch, dass Unternehmen sich nicht einfach aus der Verantwortung ziehen können, indem sie sich auf eine betriebliche Weisung berufen. Es ist nach Ansicht des EuGH die Aufgabe des Arbeitgebers, dafür zu sorgen, dass seine Weisungen von den Mitarbeitenden korrekt ausgeführt werden. Er kann sich demnach nur entschuldigen, indem er nachweist, dass er den Schaden nicht verursacht habe.
Was das konkret für Unternehmen bedeutet, ließ der EuGH offen. Tendenziell dürfte es für Unternehmen aber nahezu ausgeschlossen sein, ein von den betrieblichen Prozessen abweichendes Verhalten der eigenen Mitarbeitenden als Entschuldigungsgrund geltend zu machen.
Anwälte raten jedenfalls zur Vorsicht. "Sie müssen weitere organisatorische und ggf. sogar technische Maßnahmen ergreifen, um die Einhaltung ihrer Anweisungen auch tatsächlich sicherzustellen”, sagt Sebastian Dienst, Associated Partner der Kanzlei Noerr. "Dies erfordert eine robuste Datenschutz-Governance, also eine wirksame Aufbau- und Ablauforganisation zur Umsetzung der datenrechtlichen Vorgaben mit klar definierten Verantwortlichkeiten und praktikablen Prozessen", ergänzt er. Dagegen genüge es nicht, interne Richtlinien und andere Weisungen zu erlassen.
Ein Erfolg für die Betroffenen?
Auch Rechtsanwalt und YouTuber Christian Solmecke berichtete in diesem Zusammenhang, dass Betroffenenrechte durch das Urteil des EuGH gestärkt würden. Seit mehreren Jahren vertritt seine Kanzlei WBS.Legal zehntausende Betroffene in Fällen von Datenlecks. Konkret wurden in diesen Fällen personenbezogene Daten der Nutzer ohne deren Zustimmung weitergegeben. Seine Kanzlei stellt den Betroffenen dabei eine Chance auf bis zu 1.000 Euro Schadensersatz in Aussicht. Solmecke selbst sieht die Chancen auf einen solchen Anspruch durch das EuGH-Urteil gestärkt.
Auch in einem aktuellen YouTube Video zeigt Solmecke sich überzeugt. Dort spricht er von einem ersten Urteil in diesem Verfahren, bei dem einem Betroffenen vor dem LG Offenburg 5.000 Euro zugesprochen wurden (Urt. v. 21.02.2024, Az. 3 O 17/24). Allerdings handelte es sich dabei um ein Versäumnisurteil und das hier betroffene Unternehmen Vodafone will nun in Berufung gehen.
Anders als das LG Offenburg hat das LG Frankfurt am Main eine solche Klage der Kanzlei Legalbird in Kooperation mit WBS.Legal abgelehnt (Urt. v. 19.03.2024, Az. 2-10 O 691/23). Auch in diesem Fall war der immaterielle Schadensbegriff der DSGVO der Streitpunkt. Konkret stellte das Gericht klar, dass durch einen Verstoß gegen die DSGVO ausgelöste Existenzsorgen keinen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen, wenn sie lediglich auf einer "völlig übertriebenen Angstvorstellung" beruhen.
Ob der Anwalt im vorliegenden Fall von juris Geld erhalten wird, ist unklar. Das hängt davon ab, inwiefern das LG Saarbrücken den Kontrollverlust über die persönlichen Daten annimmt, und für einen immateriellen Schaden genügen lässt.
xp/mk/LTO-Redaktion
EuGH zur DSGVO weiter vage: . In: Legal Tribune Online, 12.04.2024 , https://www.lto.de/persistent/a_id/54323 (abgerufen am: 04.11.2024 )
Infos zum Zitiervorschlag