Schadenersatzklagen wegen Datenschutzverletzung als neue Herausforderung.
Die Datenschutzgrundverordnung (DSGVO) ist nun bereits seit mehr als zwei Jahren in allen EU-Mitgliedstaaten unmittelbar anwendbar. Seitdem mehren sich die Schlagzeilen über durchaus beträchtliche Geldbußen, mit denen Datenschutzverstöße von Unternehmen sanktioniert werden. So hat etwa die österreichische Datenschutzbehörde in einem Verfahren gegen die Österreichische Post AG im Jahr 2019 eine Rekordgeldbuße von 18 Millionen Euro verhängt. Doch wie steht es um Schadenersatzklagen der von einer Datenschutzverletzung betroffenen Personen?
Ersatz materieller und immaterieller Schäden
Ein Ersatzanspruch für durch Datenschutzverletzungen verursachte Schäden ergibt sich unmittelbar aus Art 82 DSGVO. Dem Schadenersatzrecht nach Allgemeinem Bürgerlichen Gesetzbuch (ABGB) kommt insofern nur eine Lückenfüllungsfunktion zu. Ein Geschädigter kann nach der DSGVO neben dem Ersatz von geldwerten Beeinträchtigungen auch Ersatz für erlittene Beeinträchtigungen der Gefühlssphäre (immateriellen Schadenersatz) begehren. Diese Beeinträchtigungen sollen durch Geldersatz aufgewogen werden. Nach herrschender Ansicht soll die Höhe des Geldersatzes für solche Gefühlsbeeinträchtigungen aber auch abschreckende Wirkung entfalten, um eine effektive Durchsetzung der DSGVO zu gewährleisten.
Gerichte sprechen hier immateriellen Schadenersatz zu, sofern der Kläger einen solchen Schaden und dessen rechtswidrige und kausale Verursachung nachweist.
Schon im Hinblick auf einen Sachverhalt, der noch auf Basis der Rechtslage vor der DSGVO zu entscheiden war, sprach der Oberste Gerichtshof (OGH) dem Kläger aufgrund einer Datenschutzverletzung immateriellen Schadenersatz gemäß § 1328a ABGB zu. Konkret verurteilte das Höchstgericht ein Unternehmen zur Zahlung von 400 Euro für jeden Monat, in dem es einen Mitarbeiter mittels GPS-Ortung in einem auch privat genutzten Firmenfahrzeug überwacht hatte (OGH 22.01.2020, 9 ObA 120/19s).
Die erste OGH-Entscheidung zu einem Sachverhalt, der auf Basis der DSGVO zu beurteilen war, gibt weiteren Aufschluss über den Zuspruch von immateriellem Schadenersatz (OGH 27.11.2019, 6 Ob 217/19h): Im Anlassfall ging es um Bonitätsdaten des Klägers, die von der beklagten Wirtschaftsauskunftei verarbeitet wurden. Über Anfrage eines Dritten erhielt eine Bank folgende Auskunft über den Kläger, die aus der Datenbank der Beklagten stammte: "Ampel-Score: 5 (durchschnittliche Bonität, durchschnittliches bis erhöhtes Risiko sowie Negativmerkmal 20 (Inkasso)."
Die betreffende Bank lehnte den Kreditantrag des Klägers ab. Dieser musste sich eine andere Bank suchen, die ihm den benötigten Kredit gewährte - allerdings zu schlechteren Konditionen. Im Gerichtsverfahren brachte der Kläger vor, dass ohne die negative Auskunft der Wirtschaftsauskunftei der ursprüngliche Kreditvertrag zustande gekommen wäre und ihm durch Abschluss des ungünstigeren Kreditvertrags Mehraufwendungen von etwa 6.000 Euro entstanden seien. Neben diesen Mehraufwendungen begehrte der Kläger 2.000 Euro als Ersatz für die von ihm erlittenen immateriellen Schäden.
Das Erstgericht sprach dem Kläger dann die begehrten 2.000 Euro an Schadenersatz zu. Das Mehrbegehren von 6.000 Euro wurde abgewiesen. Der Zuspruch von 2.000 Euro wurde von der beklagten Wirtschaftsauskunftei nicht bekämpft. Über Berufung des Klägers bestätigten dann sowohl das Berufungsgericht als auch der OGH die Abweisung des Mehrbegehrens.
OGH-Urteil: Verarbeitung der Bonitätsdaten rechtswidrig
Der OGH hielt dazu fest, dass die Verarbeitung der Bonitätsdaten durch die Wirtschaftsauskunftei rechtswidrig erfolgte, zumal der Kläger darüber nicht informiert worden war. Dadurch wurde dem Kläger die Möglichkeit genommen, sich gegen die seine Kreditwürdigkeit beeinträchtigende Datenverwendung zur Wehr zu setzen. Die Ablehnung des Mehrbegehrens von 6.000 Euro begründete der OGH damit, dass der Kläger nicht nur den Schaden, sondern auch dessen kausale Verursachung durch den geltend gemachten Datenschutzverstoß beweisen muss. Im konkreten Fall scheiterte der Kläger jedoch mit dem Nachweis des erlittenen Schadens sowie der Kausalität zwischen der rechtswidrigen Datenverarbeitung und der Kreditverweigerung. Nur der Nachweis fehlenden Verschuldens obliegt aufgrund der in der DSGVO normierten Beweislastumkehr dem beklagten Unternehmen.
Ähnlich sieht das auch das Oberlandesgericht Innsbruck in einer jüngeren Entscheidung (13.02.2020, 1 R 182/19b): Es lehnte den Zuspruch von immateriellem Schadenersatz in einem Berufungsverfahren deshalb ab, weil der Kläger keinen "erheblichen Nachteil in seinem Gefühlsleben" durch die Verstöße gegen die DSGVO behaupten und beweisen konnte. In erster Instanz hatte das Landesgericht Feldkirch dem Kläger noch 800 Euro als Ersatz für die immaterielle Beeinträchtigung zugesprochen, die der Kläger durch die rechtswidrige Verarbeitung von Daten über seine Affinität zu einer bestimmten politischen Partei erlitten habe. Beklagte in diesem Zivilverfahren war die Österreichische Post AG, die für diesen Sachverhalt von der Datenschutzbehörde bereits mit der eingangs erwähnten Geldbuße von 18 Millionen Euro belegt worden war.
Datenschutz-Compliancebei Unternehmen
Zuletzt hat das Landesgericht für Zivilrechtssachen Wien in erster Instanz aufgrund der Verletzung der Auskunftspflicht durch Facebook Schadenersatz in Höhe von 500 Euro zugesprochen; das Berufungsverfahren ist noch anhängig.
In Österreich liegen somit bereits einige Entscheidungen zum Thema Schadenersatz bei Datenschutzverletzungen vor. Ähnlich ist die Situation in Deutschland, wo etwa das Arbeitsgericht Düsseldorf einem Ex-Mitarbeiter 5.000 Euro Schadenersatz aufgrund einer verspäteten und mangelhaften Auskunft zusprach (05.03.2020, 9 Ca 6557/18). Es ist davon auszugehen, dass die in diesem Zusammenhang auftretenden Rechtsfragen demnächst auch den Europäischen Gerichtshof beschäftigen werden. Vor diesem Hintergrund sollte das Thema Datenschutz-Compliance bei Unternehmen weiterhin großgeschrieben werden. Auch vermeintlich geringe Schadenersatzbeträge können sich nämlich sehr rasch summieren, wenn eine Vielzahl an Geschädigten Ersatz verlangt oder von diesen gar eine "Sammelklage" initiiert wird. Dann ist durchaus denkbar, dass die als Schadenersatz zu leistenden Beträge eine von der Datenschutzbehörde verhängte Geldbuße noch übersteigen.