Kein Schadensersatz nach DSGVO in Bagatellfällen

Bagatellschaden DSGVO
In Bagatellfällen muss kein Schadensersatz nach DSGVO geleistet werden.

Seit gut einem Jahr gelten die Vorschriften der Datenschutz-Grundverordnung (DSGVO). Gerichtliche Entscheidungen zur näheren Auslegung der Regelungen sind noch selten. Insbesondere zur Frage des Anspruches auf Schadensersatz nach DSGVO fehlt es in der Praxis an konkreten Vorgaben. Gleichzeitig sehen Online-Shops und Foren sich immer häufiger mit Ansprüchen von Kunden und Nutzern konfrontiert, die sich auf den Datenschutz berufen.

Eine neue Gerichtsentscheidung könnte für viele Fragestellungen wegweisend sein.

Wie regelt die DSGVO den Schadensersatzanspruch?

Generell verspricht der Art. 82 DSGVO jedem Geschädigten einen Ersatz für materielle und immaterielle Schäden bei Verstößen gegen die DSGVO. Als immaterieller Schaden gilt in erster Linie das Schmerzensgeld. Werden zum Beispiel höchst sensible private Daten unerlaubt im Internet verbreitet, dann lässt sich ein materieller Schaden in der Regel schwer beziffern. Die Verletzung des hohen Guts des Persönlichkeitsrechts kann aber eine Schmerzensgeldforderungen nach sich ziehen. Denn das Ansehen eines Menschen kann durch den Datenmissbrauch so schwer geschädigt sein, dass dies sogar gesundheitliche Folgen für ihn hat. Eine Haftung des Verantwortlichen nach DSGVO  kommt aber beispielsweise auch in Betracht, wenn er die ihm anvertrauten Daten fahrlässig verliert oder absichtlich löscht. Auch hier können Werte verloren gehen, die für den Betroffenen von zentraler Bedeutung sind. Nur in Fällen, in denen der Auftragsverarbeiter oder der Verantwortliche die Umstände des Verstoßes nicht zu vertreten hatten, bleibt für Schadensersatz kein Raum. Weitere Einschränkungen sind in der DSGVO jedoch nicht zu finden. Dem Wortlaut der Vorschrift zufolge gibt es also keine weiteren Voraussetzungen für einen Anspruch, als den Nachweis des Verstoßes. Hintergrund und Ziel dieses “bedingungslosen Anspruchs” war eine möglichst effektive Abschreckungswirkung. In der Praxis zeigt sich jedoch, dass  Detailfragen von der Rechtsprechung geklärt werden müssen, um die Verhältnismäßigkeit zu wahren.

Muss bei Verstößen wirklich jeder Schaden ersetzt werden?

Das OLG Dresden hat sich nun zu der Frage geäußert, wann ein Betroffener Schadensersatzansprüche, insbesondere auch Schmerzensgeldansprüche nach DSGVO  geltend machen darf. In dem entschiedenen Fall ging es um die die Löschung eines Beitrages in einem sozialen Netzwerk sowie die zeitweilige Sperrung des dazugehörigen Nutzeraccounts . Der Beitrag war vom Betreiber des sozialen Netzwerks gelöscht worden, da der Inhalt gegen die Nutzungsbedingungen verstoßen hatte. Gleichzeitig waren die Nutzerberechtigungen des Verfasser für einige Tage eingeschränkt worden. Der machte Betroffene  daraufhin Schadensersatzansprüche geltend, insbesondere den Anspruch auf Schmerzensgeld. Begründung: Der Anbieter habe gegen zwingende Vorschriften der DSGVO verstoßen und damit das Persönlichkeitsrecht des Nutzers verletzt. Die Richter am OLG Dresden kamen jedoch zu dem Ergebnis, dass eine Geldentschädigung hier nicht verlangt werden kann (Az. 4 U 760/19). Unabhängig davon, ob hier aufgrund des Verstoßes gegen die Nutzungsbedingungen überhaupt ein Anspruch bestehen könnte, sei jedenfalls kein nach Art. 82 DSGVO ausgleichsfähiger Schaden entstanden. 

Bagatellschäden müssen in der Regel nicht ersetzt werden

In der Entscheidung hieß es, die bloße Sperrung wie auch die Löschung des Beitrages stellten noch keinen Schaden im Sinne der DSGVO dar. So käme durch die Sperrung des Nutzer zwar eine Verletzung seines Rechts auf freie Persönlichkeitsentfaltung in Betracht. Diese habe allerdings aufgrund der kurzen Dauer lediglich einen Bagatellcharakter. Nicht alles, was individuell als Unannehmlichkeit empfunden werde, dürfe einen Schadensersatzanspruch auslösen. Es müsse immer geprüft werden, ob eine ernsthafte Beeinträchtigung durch den Verstoß bestehe.

Grobes Kriterium für die Abgrenzung müsse die Frage sein, ob es sich um eine Vielzahl gleichartiger, bewusster, rechtswidrige Verstöße handelt. Bei denen legt der Verantwortliche es in der Regel darauf an, dass sich die Mehrzahl der Betroffenen nicht gegen den datenschutzrechtlichen Verstoß wehrt. Das wäre beispielsweise der Fall, wenn der Betreiber eines Online-Shops regelmäßig die Daten seiner Kunden ohne Einwilligung weitergibt. In der Erwartung, dass nur ein Bruchteil der Kunden gegen unerwünschte Werbung vorgehen wird. Diese Art von Kommerzialisierung ist nach Auffassung des OLG immer ein Indiz für einen ernsthafte Beeinträchtigung. In dem entschieden Fall ging es aber um einen sehr individuellen Sachverhalt. Und es war dazu noch so, dass die Sperrung des Nutzers zur Folge hatte, dass der Verantwortliche dessen Daten gar nicht mehr kommerziell verarbeiten konnte. Er hatte also nicht einmal einen „Vorteil“ durch die Löschung bzw. Sperrung.

Für Betreiber von Online-Shops und andere Verantwortliche nach DSGVO ist diese Entscheidung ein Schritt in die richtige Richtung. Das Datenschutzrecht darf im Hinblick auf die erheblichen Missbrauchsgefahren nicht bewirken, dass jedermann auch in Bagatellfällen pauschal Schadensersatz und Schmerzensgeld geltend machen darf.