· Fachbeitrag · Datenschutzrecht
Immaterieller Schadenersatzanspruch nach Art. 82 DS-GVO als Risiko
| „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ So heißt es in Art. 82 Abs. 1 DS-GVO. Gerade im Bereich großer Mengen von eher kleinen Forderungen, wie in der Telekommunikation, bei Versicherungs- oder Energieversorgungsleistungen begründet dies für Unternehmen und ihre (Rechts-)Dienstleister ein großes Risiko. Zwar sollen nur tatsächliche Pflichtverletzungen bei der Erfüllung von Forderungen bei Auskunfteien eingemeldet werden. Aber dort, wo Menschen arbeiten, passieren auch Fehler. Die Instanzgerichte zeigen bei der Bemessung des Schadenersatzanspruchs ein breites Spektrum. Teilweise wird eine Bagatellgrenze angenommen und kein Schadenersatz zuerkannt. Teilweise liegen die Schadenersatzbeträge bei 200 bis 1.500 EUR, in Einzelfällen erreichen sie 5.000 EUR und mehr. Das OLG Koblenz hat sich aktuell mit einem Fall auseinandergesetzt, mit der im Wege der Teilklage bereits 6.000 EUR an immateriellem Schadenersatz verlangt wurden. |
Sachverhalt
Die Parteien stritten klagend um die Berechtigung einer Telekommunikationsforderung und widerklagend um die Leistung von immateriellem Schadenersatz wegen einer unberechtigten Einmeldung bei der Schufa.
Nach den Feststellungen des OLG hat der Inkassodienstleister eines Telekommunikationsunternehmens trotz ‒ ihm von dem Telekommunikationsunternehmen nicht mitgeteilten ‒ zumindest streitigem Widerruf des Vertrags und damit der Begründetheit der geltend gemachten Forderung aus diesem Vertrag eine vorgerichtliche Einmeldung bei der Schufa vorgenommen. Auf die Einwände der Klägerin hat die Dienstleisterin die Löschung der Eintragung bei der Schufa eingemeldet, die aber über einen längeren Zeitraum dort nicht erfolgt ist.
Während das LG der Klage stattgegeben und die Widerklage abgewiesen hat, entschied das OLG genau umgekehrt. Aufgrund des Widerrufs sei die Forderung nicht begründet. Der Schadenersatzanspruch bestehe dem Grunde nach, nicht aber in der geltend gemachten Höhe.
Entscheidungsgründe
Das OLG Koblenz versucht einen Ausgleich zwischen dem Schadenersatz-anspruch als Sanktionierung der Pflichtverletzung und den berechtigten Zielen der Einmeldung zu erreichen:
|
|
Datenschutzverstoß
Voraussetzung des Anspruchs ist zunächst ein Verstoß gegen die DS-GVO. Dabei ist streitig, ob es sich um einen Anspruch der Verschuldens- oder der Gefährdungshaftung handelt. Steht der Verstoß fest, sind die weiteren Voraussetzungen zur Höhe des Schadenersatzanspruchs umstritten. Insbesondere im Streit ist, ob eine Bagatellgrenze zu beachten ist und nach welchen Kriterien sich der Schadenersatzanspruch der Höhe nach bestimmt. An einer europarechtlichen Konkretisierung der Voraussetzungen fehlt es bisher, auch wenn es bereits Vorlagen zum EuGH gibt (BAG 26.8.21, 8 AZR 253/20; EuGH C-340/21 (Bulgarien); EuGH C-300/21 (Österreich); LG Saarbrücken 22.11.21, 5 O 151/19).
Das OLG geht aufgrund der Feststellungen des LG von einem schuldhaften Verstoß gegen die DS-GVO bei der Einmeldung aus. Die Forderung war streitig und noch nicht tituliert, sodass eine Einmeldung nicht hätte erfolgen dürfen. Die Schuldnerin hatte urkundlich nachgewiesen, dass sie den Anspruchsgrund gegenüber der Gläubigerin bestritten hatte, ohne dass diese die Information an die Inkassodienstleisterin weitergegeben hatte.
Beachten Sie | Auch wenn das BAG dies in seiner Vorlageentscheidung zum EuGH vom 26.8.21 (8 AZR 253/20) in Zweifel zieht und von einer Gefährdungshaftung ausgeht (Rn. 39), spricht nach Ansicht des OLG Art. 82 Abs. 3 DS-GVO, der eine Haftung bei fehlendem Verschulden im Sinne einer Beweislastumkehr ausschließt, gegen eine solche Sichtweise.
Schaden
Zu fragen war also, ob und welcher Schaden der Klägerin entstanden ist. Der Begriff des immateriellen Schadens i. S. v. Art. 82 Abs. 1 DS-GVO ist ‒ europarechtlich autonom und die in den Erwägungsgründen zur DS-GVO niedergelegten Zielsetzungen aufnehmend ‒ nach Ansicht des OLG weit auszulegen. Bereits aus dem Wortlaut der Norm ergebe sich, dass ein immaterieller Schadenersatzanspruch kausale Folge der Pflichtverletzung sein kann.
Beachten Sie | Er ist allerdings von den materiellen Schäden, etwa wegen einer verweigerten oder nur zu ungünstigeren Bedingungen zustande gekommenen Kreditgewährung oder der Versagung bestimmter Zahlungsmethoden mit der Folge höherer Transaktionskosten, abzugrenzen und zu unterscheiden. Dieser Schaden ist ggf. gesondert geltend zu machen.
Andererseits spricht der Wortlaut der Norm dafür, dass der europäische Gesetzgeber nicht davon ausgeht, dass schon allein die Pflichtverletzung den materiellen Schaden begründet (Laoutoumai, K&R 22, 25, 27; LG Saarbrücken 22.11.21, 5 O 151/19 in seinem Vorlagebeschluss an den EuGH). Ein Anspruch auf Schadenersatz besteht nämlich nur, wenn „ein materieller oder immaterieller Schaden entstanden ist“. Dieser Differenzierung im Wortlaut hätte es nicht bedurft, wenn bereits der Verstoß konstitutiv für den Anspruch wäre. Insoweit folgt das OLG nicht dem BAG (26.8.21, 8 AZR 253/20), das annimmt, dass „bereits die Verletzung der DS-GVO selbst zu einem auszugleichenden immateriellen Schaden“ führt.
Diese Frage ist von der Annahme abzugrenzen, im Rahmen von Art. 82 Abs. 1 DS-GVO sei eine Bagatellgrenze zu berücksichtigen. Eine Bagatellgrenze normiert Art. 82 Abs. 1 DS-GVO seinem Wortlaut nach nicht und sie erscheint auch im Übrigen nicht angezeigt. Schon im nationalen Recht wurden einer solchen Grenze im Rahmen der Schuldrechtsreform 2002 verfassungsrechtliche Bedenken entgegengehalten (Ebert in: Erman, BGB, 16. Aufl., § 253 BGB, Rn. 14a). Der Gesetzgeber verwarf solche Ansätze deshalb (BT-Drucksache 14/8780). Ist ein immaterieller Schaden entstanden, ist dessen Schwere im Rahmen der Höhe des Ersatzanspruchs zu berücksichtigen, nicht aber bei einer notwendigerweise nur willkürlich zu setzenden Bagatellgrenze zu finden. Soweit der BGH eine Korrektur aus Gründen der Billigkeit angenommen hat (BGH NJW 92, 1043; NJW 93, 2173), beruhte dies einerseits auf einer heute nicht mehr gültigen Norm (§ 847 BGB) und knüpfte andererseits nicht an eine Bagatellgrenze an, sondern an dem Umstand, dass weder die Ausgleichs- noch die Genugtuungsfunktion derart tangiert waren, dass ein immaterieller Schaden überhaupt entstanden ist. Es fehlt also in der zuletzt genannten Konstellation an einem „erlittenen Schaden“.
Die Kategorien des nationalen Schadenersatzrechts sind nach dem OLG nicht zielführend, um den Begriff des immateriellen Schadenersatzes i. S. d. Art. 82 DS-GVO europarechtlich autonom auszulegen. Der Schadenbegriff des Art. 82 Abs. 1 DS-GVO sei ein europarechtlicher Begriff, bei dessen Ausfüllung nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden dürfe (vgl. Kühling/Buchner/Bergt, DS-GVO, 3. Aufl., Art. 82 Rn. 18a bis 18b). Der Begriff des Schadens soll nach Erwägungsgrund 146 S. 3 EU-DS-GVO „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Daraus kann abgeleitet werden, dass der nach Abs. 1 bereits weite ‒ weil Ansprüche aus § 253 BGB bereits umfassende ‒ Schadenbegriff im Zweifel nicht begrenzend auszulegen sein wird (Paal/Pauly/Frenzel, 3. Aufl., DS-GVO, Art. 82 Rn. 10). Einen Ausschluss vermeintlicher Bagatellschäden sieht die DS-GVO nicht vor. Der immaterielle Schadenersatz ist mithin auch ein Instrument, um die Ziele der DS-GVO unter dem Schutzzweck des Individualrechtsschutzes zu verwirklichen. Kern ist danach der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Schutzbereich der Grundrechte und der Grundfreiheiten im konkreten Einzelfall.
Der Funktion eines immateriellen Schadenersatzanspruchs dienend sind daher nach dem OLG verschiedene Aspekte in dessen Bemessung der Höhe nach einzubeziehen: zunächst die immaterielle und individuelle Ausgleichsfunktion wegen der Schutzgutverletzung, sodann die den Verstoß feststellende Genugtuungsfunktion und letztlich die generalpräventive Einwirkung auf den Schädiger zur künftigen Beachtung des Datenschutzes. In diesem Sinne komme Art. 82 DS-GVO kein Strafcharakter zu ‒ dieser ist vielmehr das staatliche Gewaltmonopol respektierend in Art. 84 DS-GVO niedergelegt ‒, sehr wohl aber eine Anreizfunktion für den Verantwortlichen, hinreichende Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten der betroffenen Person zu treffen.
Ausgleichsfunktion
Wegen der in Erwägungsgrund 146 S. 3 DS-GVO geforderten weiten Auslegung sieht das OLG bereits in dem Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, einen erlittenen immateriellen Schaden. Potenzielle Schäden sind daher z. B. Ängste, Stress sowie Komfort- und Zeiteinbußen und die potenzielle Stigmatisierung, die Diskriminierung, die Rufschädigung und der Verlust von Vertraulichkeit durch einen Negativeintrag bei einer Auskunftei, ohne dass dieser an Dritte übermittelt wird (Kühling/Buchner/Bergt, a. a. O.; Quaas, BeckOK Datenschutzrecht, 39. Ed., Stand 1.11.21, Rn. 24). Dieser immaterielle Schaden, auch wenn er im Einzel- und Regelfall niederschwellig sein wird, ist auszugleichen.
Einen Schaden erst anzunehmen, wenn es zu einer mit einer unrechtmäßigen Zugänglichmachung von Daten liegenden (öffentlichen) Bloßstellung, einem Identitätsdiebstahl, einer Weitergabe sensibler Informationen oder einer anderen ernsthaften Beeinträchtigung für das Selbstbild oder Ansehen einer Person kommt, und ein besonderes immaterielles Interesse zu verlangen, das über den allein durch die Verletzung an sich hervorgerufenen Ärger oder sonstige Gefühlsschäden hinausgeht, verkennt den autonom und nach Erwägungsgrund 146 ausdrücklich weit auszulegenden Begriff des Schadens (Kühling/Buchner/Bergt, a. a. O.) und missachtet den individuellen Ausgleichsanspruch im Hinblick auf die aufgezeigten Folgen. Eine solche Sichtweise greift also zu kurz. Die vorgenannten Beschränkungen bleiben bei der Frage nach dem Schadenersatzanspruch dem Grunde nach außer Betracht und sind erst im Kontext der Höhe des Ersatzanspruchs zu berücksichtigen.
Beachten Sie | Maßgeblich ist, ob die betroffene Person mit dem Beweismaß des § 286 ZPO die immaterielle Betroffenheit darlegen und nachweisen kann. Deren Intensität ist dann mit dem Beweismaß des § 287 ZPO bei der Höhe des Anspruchs zu berücksichtigen. Erst hier kommen dann die weiter denkbaren immateriellen Beeinträchtigungen oder das notwendige Schutz-niveau der betroffenen Daten zum Tragen.
Genugtuungsfunktion
Die Genugtuungsfunktion kommt dann ‒ ergänzend ‒ zum Tragen, wenn es zu einer tatsächlichen Beeinträchtigung der Schutzgüter im Verhältnis zu Dritten i. S. e. Verwendung der pflichtwidrig verarbeiteten personenbezogenen Daten gegenüber Dritten gekommen ist. Hier greift also nicht (nur) die Sorge vor der Stigmatisierung, Diskriminierung oder Rufschädigung, sondern das im Datenschutzverstoß liegende Risiko hat sich nun verwirklicht. Das steigert einerseits die Anforderungen an die Ausgleichsfunktion und begründet zugleich innerhalb des einheitlich zu bestimmenden immateriellen Ersatzanspruchs die Genugtuung als Bestimmungsmerkmal für die Höhe. Genau diese Verarbeitung unter Beteiligung Dritter bewirkt die zu korrigierende Bloßstellung außerhalb dadurch verursachter materieller Schäden. Dies kann bei der Konfrontation mit Negativauskünften bei einer Kreditanfrage ebenso der Fall sein wie bei der Bewerbung um eine Mietwohnung oder negativen Auskünften im Rahmen eines Arbeitsverhältnisses. Auch die Verweigerung von Postpaid-Angeboten wegen negativer Scores kann hierzu gehören. Die betroffene Person hat auf der Grundlage der ihr zustehenden Auskunftsansprüche nach Art. 15 DS-GVO regelmäßig keine Schwierigkeiten, die Verarbeitung der Daten gegenüber Dritten nachzuweisen und auf dieser Grundlage die Genugtuungsfunktion geltend zu machen.
Generalpräventive Wirkung
Wichtig ist auch die generalpräventive Wirkung des immateriellen Schadenersatzanspruchs. Im Spannungsfeld zwischen dem Risiko der entgeltlichen Sanktionierung von folgenlosen Verstößen gegen die DS-GVO durch einen immateriellen Schadenersatzanspruch, den Aufgaben des kollektiven Rechtsschutzes durch Aufsichtsbehörden mit den Sanktionsmöglichkeiten nach Art. 84 DS-GVO, dem Verhältnismäßigkeitsgrundsatz und dem Grundsatz, die gleiche Pflichtverletzung mit der gleichen Zielsetzung nicht doppelt zu sanktionieren, muss dem Grundanliegen der DS-GVO, schon die Verarbeitung der Daten im Kontext der Schutzzwecke zu gewährleisten, Rechnung getragen werden.
Schon bei der Bestimmung der Zwecke, den angenommenen Rechtfertigungsgründen und der ggf. vorzunehmenden Datenschutzfolgeabwägung muss das Schutzniveau auch durch den immateriellen Schadenersatzanspruch effektiv gewahrt werden. Hier gilt es also, im Lichte des immateriellen Schadenersatzanspruchs nach Art. 82 DS-GVO Anreize zu schaffen, dass das Schutzniveau so hoch ist, dass es zur Realisierung des Schadenersatzrisikos erst gar nicht kommt. Dabei muss sich die generalpräventive Wirkung nicht in besonders hohen immateriellen Schadenersatzansprüchen niederschlagen, sondern kann gerade in der Breitenwirkung ‒ auch kleine Verstöße werden ohne Bagatellgrenze sanktioniert ‒ ihre Funktion erfüllen.
MERKE | Wo Menschen arbeiten, passieren Fehler. Kommt es im Einzelfall hierzu, ist die geringere Sanktion verhältnismäßig und gleichwohl spürbar und damit effektiv. Kommt es dagegen zu vielfachen Pflichtverletzungen und Rechtsverstößen, wird sich aus vielen kleinen Ansprüchen schnell ein großer finanzieller Verlust beim betroffenen Unternehmen einstellen. Bei großer oder größerer Quantität der Pflichtverletzungen wird also auch eine höhere Effektivität kleinerer Schadenersatzansprüche erreicht. Dabei muss auch das weiter in Art. 1 DS-GVO formulierte Ziel gesehen werden, den freien Verkehr von Daten zu ermöglichen. Bonitätsprüfungen schützen nicht nur Wirtschaftsunternehmen vor leistungsunfähigen und -unwilligen Kunden, sondern auch Verbraucher vor übermäßiger Verschuldung. |
Die generalpräventive Wirkung darf in der Bemessung des immateriellen Schadenersatzes deshalb nicht dazu führen, dass wegen des Schadenersatzrisikos keine Einmeldungen bei Wirtschaftsauskunfteien mehr erfolgen, weil dann andere Schutzzwecke negativ tangiert werden. Der in seinen finanziellen Verhältnissen nicht gefestigte Verbraucher soll durch Einmeldungen davor geschützt werden, schnell in die Verschuldung zu geraten. Die Warnfunktion durch die Beschränkung kreditierter Geschäfte ist ein Baustein, um dies zu gewährleisten. In diesem Kontext ist dann auch zu bewerten, dass die Zuerkennung immateriellen Schadenersatzes nicht die einzige Sanktionsform gegenüber dem pflichtwidrig handelnden Unternehmen darstellt, gerade dann, wenn über Beschwerden an Aufsichtsbehörden beharrliche Rechtsverstöße festzustellen sind. Auch darf am Ende keine Motivation bestehen, wegen hoher immaterieller Ersatzansprüche Datenschutzverstöße zu provozieren, vor allem, wenn schon ein geringes Verschulden oder sogar nur der objektive Pflichtverstoß den Anspruch auslöst. Bei der Bewertung der generalpräventiven Wirkung in der Bemessung des immateriellen Schadenersatzanspruchs der Höhe nach ist daher auch zu berücksichtigen, inwieweit im Einzelfall die verfolgten Ziele schon durch Ausgleich und Genugtuung erreicht sind oder es einer überschießenden Wirkung bedarf.
Keine überzogenen Ansprüche
Die Höhe des Anspruchs auf materiellen Schadenersatz erachtet das OLG mit 6.000 EUR für überzogen. Er steht auch außer Verhältnis zu immateriellen Ersatzansprüchen im Kontext anderer Schädigungshandlungen, etwa bei physischen Auswirkungen von Körperverletzungen. Es würden damit die maßgeblichen Umstände des konkreten Einzelfalls im Gesamtkontext nicht hinreichend berücksichtigt. Das OLG hielt 500 EUR für angemessen.
Um den verschiedenen Funktionen des Schadenersatzanspruchs im Einzelfall wie im Generellen Rechnung zu tragen, sei es nicht zwingend, die Beträge hoch anzusetzen, um die geforderte Wirksamkeit und abschreckende Wirkung zu erzielen (so aber Kühling/Buchner/Bergt, a. a. O., Rn. 18d und andere). Eine solche Betrachtungsweise lasse die Summe der konkreten Umstände des Einzelfalls außer Betracht und fokussiere sich allein auf die generalpräventive Wirkung. Das lasse wieder außer Betracht, dass ein konkreter Anspruchsteller mit seiner Betroffenheit zu entschädigen ist, während das Allgemeininteresse im Schwerpunkt nach Art. 83 DS-GVO durch Bußgelder gewahrt wird. Am Ende werde mit einer anderen Sichtweise die Schwelle zu einer strafenden Funktion unangemessen überschritten. Art. 82 DS-GVO wolle aber keinen Strafanspruch verwirklichen, was ohnehin allein dem Staat und nicht einem Einzelnen zusteht, sondern allein general-präventiv zu Sicherungsmaßnahmen motivieren. Das OLG wendet seine Grundsätze dann ausführlich auf den konkreten Einzelfall an und sieht dabei die Zielkonflikte.
Relevanz für die Praxis
Der Wert der Entscheidung liegt darin, dass sie den Einmeldenden, den von der Einmeldung Betroffenen und die Allgemeininteressen an dem System der Einmeldung sieht und den daraus erwachsenden Zielkonflikt zu lösen sucht. Sie bleibt deshalb nicht einseitig. Es ist zu wünschen, dass die Klärung der nationalen Grundsätze durch den BGH erfolgt ‒ die Revision ist eingelegt ‒ und dann auch auf europäischer Ebene schnell klärende Grundsätze postuliert werden.
PRAXISTIPP | Unternehmen müssen angesichts der Bandbreite der Instanzrechtsprechung abwägen, ob sie bis zur Entscheidung des EuGH untitulierte Ansprüche überhaupt noch einmelden. Unternehmensanwälte werden, dem Grundsatz des sichersten Wegs folgend, davon abraten. Dem Verbraucher- und Schuldnerschutz würde damit aber ebenso ein Bärendienst erwiesen, wie dem Wirtschaftsverkehr bei der Abwägung des Risikos von zugelassenen kreditierenden Zahlungswegen auf der Grundlage von Bonitätsprüfungen. |