Ich bin neulich auf einen interessanten Artikel von Tim Wybitul gestoßen, dessen Inhalte ich hier kurz zusammenfassen möchte, da ich dies auch schon beobachten konnnte und befürchte. Die Fundstelle finden Sie unten.
In dem Artikel geht es um eine Entscheidung des AG Düsseldorfs. Dort sprach man einem Kläger immateriellen Schadenersatz in Höhe von 5.000 Euro zu, weil sein früherer Arbeitgeber seinen Auskunftsantrag verspätet und unvollständig beantwortet habe (ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca 6557/18).
Nach der bisher jedenfalls überwiegenden Rechtsprechung haben die Gerichte Art. 82 DSGVO eher zurückhaltend ausgelegt und eine umfassende Beweislastumkehr zugunsten von Klägern abgelehnt. Die meisten Gerichte gehen auch davon aus, dass Art. 82 DSGVO eine sogenannte Bagatellschwelle enthalte. Insofern müssten Kläger, auch wenn sie immaterielle Ersatzansprüche geltend machen, einen spürbaren Schaden darlegen und nachweisen. Allein ein möglicher Verstoß gegen datenschutzrechtliche Vorgaben würde demnach, für sich genommen, noch keinen ersatzfähigen Schaden darstellen.
Es häufen sich jedoch Klagen, in denen Kläger die Auffassung vertreten und durchsetzen wollen, dass dem Art. 82 ein weiter Schadensbegriff zugrunde zu legen sei. Dafür spreche Erwägungsgrund 146 DSGVO, wonach eine von einem Datenschutzverstoß "betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden" erhalten. Dort heißt es auch: "Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht."
Einige Kläger folgern daraus, dass betroffenen Personen bei DSGVO-Verstößen hohe immaterielle Schadensersatzansprüche zustünden. Denn, so ihre Begründung, nur eine weite Auslegung von Art. 82 DSGVO würde der DSGVO zu einer effektiven Durchsetzung verhelfen. Der bestehende Bußgeldrahmen bestätige dies ja schließlich auch.
Wie verbreite das schon ist, können wir nur erahnen, da ein Teil der Verfahren aufgrund der hohen Rechtsanwaltskosten (ohne einen Datenschutzspezialisten ist man hier praktisch aufgeschmissen) und des ungewissen Prozessausgangs sicher auch schon Vergleichsweise beendet werden.
Die genannte Entscheidung des Arbeitsgericht Düsseldorf geht nun ebenfalls in diese Richtung. Klagen durch Betroffene im Datenschutz sind gegenüber früher ein ernst zu nehmendes Risko geworden. Die ganzen Graubereiche (wenn ich das mal so nennen darf), wie Verzögerungen, Werbeinwilligungen bei Gewinnspielen, Social Media, Cookies, Auslandsdatenverarbeitung usw. eigenen sich hier hervorragend als Ansatzpunkt.
Hierzu auch: LTO Legal Tribune Online, Geschäftsmodell Datenschutz-Klage?, Gastkommentar von Tim Wybitul vom 24.07.2020
Einen weiteren Artikel hat Wybitul zu dem Thema jetzt auch in der ct 22/2020 S. 168/9 veröffentlicht. Sein derzeitiges Fazit:
"Massenklagen wegen Datenschutzverstößen könnten sich in Deutschland zu einem ernsthaften Risiko für Unternehmen ent- wickeln. Fehler beim Datenschutz betref- fen oft eine große Anzahl von Kunden, Mitarbeitern oder sonstigen betroffenen Personen. Verliert man ein einziges Verfahren vor Gericht, muss man damit rech- nen, dass Klägeranwälte, Prozessfinanzie- rer und andere Anbieter dies nutzen, um weitere Kläger anzuwerben.Derzeit ist noch nicht absehbar, ab welcher Erheblichkeitsschwelle Gerichte künftigKlagenaufimmateriellenSchaden wegen Datenschutzverstößen stattgeben."