Verstoß gegen die DSGVO allein löst keinen Schadensersatz aus

Auch das Finanzgericht Berlin-Brandenburg (16 K 16150/21; Revision eingelegt, Az. des BFH: IX R 17/23) vertritt die Auffassung, dass ein Verstoß gegen die als solcher nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr müsse zusätzlich ein konkreter (auch: immaterieller) Schaden dargelegt und bewiesen werden. Der Senat folgte der Auffassung, dass über den festgestellten Verstoß gegen die Vorgaben der DSGVO hinaus auch der Nachweis eines konkreten (immateriellen) Schadens Voraussetzung für eine Entschädigung in Geld ist:

(1) Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DSGVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („…Schaden entstanden ist“) voraussetzt (Eichelberger, Wettbewerb in Recht und Praxis –WRP– 2021, 159; Wybi- tul/Brams, ZD 2020, 644). Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies – wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen zu regeln (Eichelberger, WRP 2021, 159 Rn. 24).

(2) Für dieses Auslegungsergebnis sprechen ferner die Erwägungsgründe zur DSGVO. In dem Erwägungsgrund 146 Satz 3 heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 Satz 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen.

Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte (Kühling/Buchner/Bergt, DS-GVO/, 3. Aufl. 2020, Art. 82 Rn. 17; vgl. in diesem Zusammenhang auch: –BVerfG–, Beschluss vom 14.01.2021 – 1 BvR 2853/19 -, ZD 2021, 266). Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (LAG Baden-Württemberg, Urteil vom 25.02.2021 – 17 Sa 37/20 -, juris, Rn. 96 unter Bezug auf Paal/Pauly/Frenzel, DS-GVO/BDSG, 3. Aufl. 2021, Art. 82 DS-GVO, Rn. 10 und Klein, Praxis im Immaterialgüter- und Wettbewerbsrecht — GRUR-Prax– 2020, 433). Der bloße Verstoß gegen Bestimmungen der DSGVO reicht daher nicht aus.

(3) Hinzu kommt, dass weder Art. 82 DSGVO noch dessen Erwägungsgründe einen Hinweis darauf enthalten, dass geringfügige (Bagatellschäden) nicht auszugleichen wären; vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass lediglich ausnahmsweise bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann (LAG Baden-Württemberg, Urteil vom 25.02.2021 – 17 Sa 37/20 -, juris m.w.N.). Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden (so insbesondere auch Ernst, jurisPR-ITR 1/2021 Anm. 6).

(4) Schließlich sieht sich der Senat in seiner Rechtsansicht bestätigt durch die Schlussanträge des Generalanwalts –GA– Manuel Campos Sanchez-Bordona in der Rs. C-300/21 vom 06.10.2022 (BeckRS 2022, 26562; vgl. auch Anm. Leibold, -Berater –DSB– 2022, 285).

Der GA bringt in den Schlussanträgen seine Überzeugung zum Ausdruck, die bloße Verletzung einer Norm aus der DSGVO reiche nicht aus, um einen Schadensersatzanspruch zu begründen. Vielmehr müsse mit dieser Verletzung auch ein entsprechender materieller oder immaterieller Schaden einhergehen. Dies ergebe sich bereits aus dem Wortlaut des Art. 82 Abs. 1 DSGVO. Die Auslegung, die den Begriff „Verstoß“ automatisch, ohne Erfordernis eines Schadens, mit dem Begriff „Ausgleich“ in Verbindung bringe, stehe nicht mit Art. 82 Abs. 1 DSGVO im Einklang.

Nach Ansicht des GA sei Art. 82 Abs. 1 DSGVO im Lichte typischer Funktionen zivilrechtlicher Haftung konzipiert und gesetzgeberisch gefasst worden. Art. 82 DSGVO begründe gerade keinen Strafschadensersatz. Dies ergebe sich aus der grammatikalischen, historischen, systematischen und teleologischen Auslegung der Vorschrift. Der DSGVO sei kein Sanktionscharakter des Ersatzes materieller oder immaterieller Schäden zu entnehmen oder Hinweise auf die abschreckende Wirkung des Schadensersatzes. Letztere komme nur den strafrechtlichen Sanktionen und verwaltungsrechtlichen Geldbußen zu. Aus den Gesetzesmaterialien ergebe sich keine Diskussion über eine etwaige Straffunktion der in der DSGVO vorgesehenen zivilrechtlichen Haftung.

Die vorgesehene zivilrechtliche Haftung habe eine „private Ausgleichsfunktion“, während Geldbußen und strafrechtliche Sanktionen die „öffentliche Funktion“ haben, abzuschrecken und gegebenenfalls zu sanktionieren. Bei der Verhängung einer Geldbuße und der Festsetzung ihrer Höhe habe die Aufsichtsbehörde die in Art. 83 DSGVO aufgezählten Faktoren zu berücksichtigen, die in der Regel nicht auf die Berechnung des Schadensersatzes nach Art. 82 DSGVO übertragbar seien.

Ferner stellt der GA fest, dass unter Zugrundelegung der vier Auslegungsmethoden die Vermutung eines Schadens zu keinem ersatzfähigen Schaden i.S.d. Art. 82 DSGVO führen könne. Der bloße Kontrollverlust an personenbezogenen Daten allein führe noch zu keinem ersatzfähigen Schaden.

Finanzgericht Berlin-Brandenburg, 16 K 16150/21
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.