DSGVO: Wann gibt es Schmerzensgeld oder Schadensersatz? [Update 16.3.2023]

Das Problem: Viele Menschen, denen ein Auskunftsanspruch als sog. Betroffene nach Art. 15 DSGVO zusteht sind, wissen nicht, ob ihnen ein Schadensersatz zusteht, wenn die Daten z.B. versehentlich für die Versendung eines Newsletters verwendet wurden, wenn irrtümlich eine Mail, die an sie gerichtet war, an jemand anderen ging usw.

Doch wann bestehen solche Ansprüche über den Auskunftsanspruch hinaus? Das ist insbesondere wichtig in Fällen, in denen Schlimmeres passiert ist. So ging die Antwort auf Bewerbungsschreiben an die info@-Adresse des derzeitigen Arbeitgebers; Krankenunterlagen wurden an jemand anderes, gleichen Namens versendet – oder, so ein aktueller Fall unserer Kanzlei, eine Quarantäneanordnung ging an den namensähnlichen Sohn eines Infizierten)

Die Rechtslage: Gem. Art. 82 DSGVO kann jede „Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist…Schadenersatz gegen den Verantwortlichen…“ geltend machen.

Ein materieller Schaden – also eine echte finanzielle Einbuße – kann häufig leicht dargelegt werden, zB. den Verlust des Jobs, wenn die Antwort auf eine Bewerbung an die info@-Adresse des Unternehmens geht. Dann ist ggf. noch der Umfang des Schadens fraglich.

Anders sieht es bei immateriellen Schäden aus – vergleichbar einem Schmerzensgeld, bei der „Schaden“ ja auch nur geschätzt werden kann. Insoweit habe sich in jahrzehntelanger Rechtsprechung bestimmte Sätze herausgebildet – häufig anhand von Urteilen im Bereich von Verkehrsunfällen.

Wie ist der Schaden zu berechnen? Doch wie ist eine solche Einbuße nach der DSGVO zu berechnen? Kann man einfach die bisherige Rechtsprechung des Bundesgerichtshofes übernehmen? Der sieht eine Geldentschädigung nämlich nur bei schweren Persönlichkeitsrechtsverletzungen vor – die eher selten sind. Sonst gibt es nicht weniger, sondern gar nichts.

Dieser Gedanke, so jetzt das Bundesverfassungsgericht (Az.: 1 BvR 2853/19), kann aber nicht so einfach übernommen werden, weil die DSGVO nun einmal europäisches Recht ist und über Grundgesetz und BGB steht. Auch eine Bagatellklausel besteht nicht, so dass die Rechtsfrage einstweilen offen ist.  

Der Bundesgerichtshof hatte bisher nur eine derartige Sache zu entscheiden und Ansprüche aus anderen Gründen abgelehnt (Az.: 6 ZA 6/20), während das Landesarbeitsgericht Köln schon 2020 (Az.: 2 Sa 358/20) Ansprüche nach der DSGVO zuerkannt hat, allerdings nur € 300,00, wie auch schon die Vorinstanz. Eine PDF-Datei mit den Personalien einer Mitarbeiterin war auch nach ihrem Ausscheiden noch eine Weile sichtbar. Das sah das Gericht als nicht schwerwiegend an. In einer weiteren Sache beim OLG Bremen wurden Ansprüche verneint, weil nicht ausreichend zum „Schaden“ vorgetragen worden war (Az.: 1 W 18/21). 

Update I: LG Darmstadt (Az. 13 0 244/19) hat von verlangten € 2.500,00 immerhin € 1.000,00 zuerkannt, weil Bewerberunterlagen an den falschen Empfänger versandt wurden.

Update II: Das OLG Köln hat (14.7.2022) entschieden, dass sogar eine (nur) verspätete Antwort eine Schmerzensgeld von € 500,00 rechtfertigen kann. 

Update III: Das Bundesarbeitsgericht hält ein Schmerzensgeld von € 1.000,00 nicht für zu hoch.

Update IV: Aktuell wurden sogar € 10.000,00 zugesprochen - vom Arbeitsgericht Oldenburg - das war eine Entschädigung für 20 Monate.

Art. 82 DSGVO ist zwar kein Blankoscheck. Wenn Sie aber Opfer einer Datenschutzverletzung geworden sind, oder jemand behauptet das Ihnen gegenüber, sprechen Sie uns an!