Kurz bevor die Datenschutzgrundverordnung (DSGVO) in Kraft trat war das Geschrei der Anwälte, die die Unternehmen und Noch-Nicht-Mandanten vor Millionen-Strafen bei Verstößen gegen die DSGVO warnen wollten, groß. Fast immer natürlich ohne konkret zu sagen, was Unternehmen genau tun und lassen sollten.Zu den wenigen Ausnahmejuristen, der einerseits schon sehr früh und andererseits auch mit konkreten Fakten und Handlungsanweisungen auch hier im Management-Blog aufwartete, zählt Datenschutzrechtler Tim Wybitul von Latham & Watkins: https://blog.wiwo.de/management/2017/04/27/das-neue-datenschutzgesetz-bringt-chaos-tim-wybitul-zeigt-die-wichtigsten-punkte/ Wybitul twittert laufend unter @TimWybitul.
Jetzt hat Wybitul mal die Urteile zusammengestellt, in denen Unternehmen inzwischen hierzulande zu Schmerzensgeldzahlungen wegen Verstößen gegen die Datenschutzgrundverodnung (DSGVO) verurteilt wurden. Die höchste Summe sprach das Arbeitsgericht Düsseldorf mit 5.000,– Euro einem Arbeitnehmer zu, dessen Arbeitgeber seinen Auskunftsanspruch viel zu spät erfülte.
Das Fazit: Von den Millionensummen sind diese Gerichtsurteile noch weit entfernt.
Das kann sich aber ruckzuck ändern, sobald in einem Fall ganz viele Kunden eines Unternehmens betroffen sind und die Fälle addiert werden, erklärt Wybitul. Denn vor den deutschen Gerichten landeten bisher nur Fälle mit je einem Betroffenen – und keiner mit Massen von Betroffenen.
Andere Schreckenszahlen kamen nämlich von den Behörden, die Geldbußen verhängten wie zum Beispiel gegen den schwedischen Textilfilialisten H&M: 35,5 Millionen Euro musste das Handelsunternehmen berappen – warum, erzählte Arbeitsrechtler Philipp Byers aus der Kanzlei Watson Farley & Williams hier im Management-Blog kürzlich: https://blog.wiwo.de/management/2020/11/25/ein-teller-moussaka-mit-arbeitsrechtler-philipp-byers-die-beobachtenden-mitarbeiter-gehen-uebermorgen-beim-ersten-abwerbeangebot/ Und wenn man den H&M-Sachverhalt mal liest, wird auch verständlich, wie es zu der Summe kommt: Es waren sehr viele Fälle über viele Jahre und systematisch – und vor allem mit dem Ziel, zu verhindern, dass die eigenen Arbeitnehmer ihre guten Recht wahrnehmen.
Latham DSGVO-Schadensersatztabelle | |||
Aktuelle Rechtsprechung zu Art. 82 DSGVO (Stand: Januar 2021) | |||
Entscheidung | Schadensersatz | DSGVO-Verstoß | Kernaussagen des Gerichts |
Teil 1: Aktuelle Entscheidungen, in denen Gerichte Klägern Schadensersatz zugesprochen haben | |||
LAG Köln, Urt. v. 14.09.2020 (2 Sa 358/20)BeckRS 2020, 31543Vorgehend: ArbG Köln, Urt. v. 12.03.2020 (5 Ca 4860/19) |
€300 | Unbefugte Veröffentlichung einer PDF-Datei mit einem beruflichen Tätigkeitsprofil auf der Website der Beklagten nach Ende des Arbeitsverhältnisses der Klägerin |
Die Veröffentlichung von Daten kann einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellen
Neben dem Verschuldensgrad und der Intensität der Rechtsverletzung, hängt die Höhe des Schmerzensgelds auch davon ab, ob die Datenschutzbehörde den Verstoß bereits gerügt hat Schadensersatz nach der DSGVO soll einen erzieherischen Effekt haben Die Revision wurde nicht zugelassen |
ArbG Neumünster, Urt. v. 11.08.2020 (1 Ca 247 c/20)BeckRS 2020, 29998 |
1.500€
(500€ pro Monat der verspäteten Auskunft) |
Verstoß gegen Art. 15 Abs. 1 DSGVO wegen verspäteter Beantwortung eines Auskunftsanspruchs | Schadensersatz soll eine abschreckende Wirkung haben
Erwägungsgrund 146 DSGVO verlangt eine vollständige und effektive Entschädigung Bei der Bemessung der Höhe können sich Gerichte an den Kriterien des Art. 83 Abs. 2 DSGVO orientieren Der Schaden liegt in der Ungewissheit über die Verarbeitung der eigenen Daten |
ArbG Dresden, Urt. v. 26.08.2020 (13 Ca 1046/20)BeckRS 2020, 26940 |
1.500€ | Verstoß gegen Art. 9 DSGVO wegen unbefugter Veröffentlichung von Gesundheitsdaten | Durch die DSGVO ist eine Verschärfung der Rechtslage bzgl. des immateriellen Schadensersatz eingetreten
Der Begriff des Schadens muss so ausgelegt werden, dass er den Zielen der DSGVO in vollem Umfang entspricht Die Auslegung gebietet eine abschreckende Wirkung des Schadensersatzes Die Kriterien des Art. 83 Abs. 2 DSGVO können zur Bemessung des Schadensersatzes herangezogen werden Der Schaden liegt in der Rufschädigung und dem Kontrollverlust über personenbezogene Daten |
ArbG Lübeck, Beschl. v. 20.06.2020 (1 Ca 538/19)ZD 2020, 422 |
(Anspruch in Höhe von 1.000€ möglich)
(Prozesskostenhilfebeschluss |
Verstoß gegen Art. 4 Nr. 2 und Art. 6 Abs. 1 lit. b) DSGVO wegen unbefugter Veröffentlichung eines Mitarbeiterfotos auf sozialem Netzwerk |
Die effektive Ahndung von Verstößen gegen die DSGVO und das BDSG gebieten eine abschreckende Wirkung
Der Schaden liegt in der unbefugten Veröffentlichung eines Fotos in einem sozialen Netzwerk |
LG Darmstadt, Urt. v. 26.05.2020 (13 O 244/19)ZD 2020, 642 |
1.000€ | Verstoß gegen Art. 6 Abs. 1 DSGVO wegen unbefugter Offenlegung von Bewerberdaten an einen Dritten und Verstoß gegen Mitteilungspflicht aus Art. 34 DSGVO |
Durch die Veröffentlichung an einen unbeteiligten Dritten ist eine „etwaige“ Bagatellgrenze überschritten
Der Schaden liegt im Kontrollverlust darüber, wer Kenntnis von personenbezogenen Daten hat |
AG Pforzheim, Urt. v. 25.03.2020 (13 C 160/19)BeckRS 2020, 27380 |
4.000€ | Verstoß gegen Art. 9 Abs. 1 DSGVO wegen unbefugter Offenlegung von Gesundheitsdaten | Schadensersatz muss eine abschreckende Wirkung bzw. Höhe haben
Der Schadensersatz muss zudem auch eine Genugtuungsfunktion für die betroffene Person erfüllen Zu berücksichtigen ist die besonders hohe Sensibilität der personenbezogenen Daten (hier Gesundheitsdaten) |
ArbG Düsseldorf, Urt. v. 05.03.2020 (9 Ca 6557/18)NZA-RR 2020, 409 |
5.000€ | Unvollständige und verspätete Auskunft nach Art. 15 Abs. 1 DSGVO und Verstoß gegen das Transparenzgebot nach Art. 12 Abs. 3 DSGVO |
Der Schaden liegt im Kontrollverlust über personenbezogene Daten
Die effektive Sanktionierung von DSGVO-Verstößen ist nur durch eine „abschreckende Wirkung“ des Schadensersatzes zu erreichen Die Höhe des Schadens hängt von der wirtschaftlichen Leistungsfähigkeit des Beklagten ab |
Teil 2: Aktuelle Entscheidungen, in denen Gerichte Schadensersatzansprüche abgelehnt haben | |||
LG Landshut, Urt. v. 06.11.2020 (51 O 513/20)BeckRS 2020, 33148 |
Das Gericht lehnte einen Schadensersatz- anspruch mangels Schadens ab |
Behaupteter Verstoß gegen Art. 6 DSGVO durch die nicht erfolgte Schwärzung von personenbezogenen Daten von Wohnungseigentümern |
Schmerzensgeld nach der DSGVO ist nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung zu gewähren
Die Verletzungshandlung muss zu einer konkreten und nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten führen Es muss eine objektiv nachvollziehbare Beeinträchtigung mit gewissem Gewicht erfolgt sein |
LG Köln, Urt. v. 07.10.2020 (28 O 71/20)ZD 2021, 47 |
Das Gericht lehnte einen Schadensersatz- anspruch mangels eines über einen Bagatellverstoß hinausgehenden Schadens ab |
Behaupteter Verstoß gegen die DSGVO durch die unbefugte Zusendung eines Kontoauszugs an einen Dritten |
Schmerzensgeld bei Bagatellfällen entspricht nicht dem Sinn und Zweck des Art. 82 DSGVO
Ansonsten besteht die Gefahr einer uferlosen Häufung von Ansprüchen nach Art. 82 DSGVO Für den immateriellen Schadensersatz gelten die i.R.v. § 253 BGB entwickelten Grundsätze und die Kriterien des Art. 83 Abs. 2 DSGVO |
LG Frankfurt a.M., Urt. v. 18.09.2020 (2/27 O 100/20)GRUR-RS 2020, 24557 |
Das Gericht lehnte einen Schadensersatz- anspruch mangels Kausalität zwischen DSGVO-Verstoß und Schaden ab |
Behauptete Verletzung der Datensicherheit durch die Veröffentlichung von Kreditkartendaten und Verstoß gegen Art. 5 Abs. 1 lit. a) oder lit. f) DSGVO. Dieser Verstoß wurde mit Verweis auf die Darlegungs- und Beweislast abgelehnt |
Immaterieller Schaden kann in der Zugänglichmachung personenbezogener Daten an Dritte (Bloßstellung) liegen
Der Kläger ist für den Verstoß gegen die DSGVO darlegungs- und beweispflichtig Die Verletzungshandlung muss zu einer konkreten Verletzung von Persönlichkeitsrechten geführt haben Eine weite Auslegung des Schadens widerspricht der deutschen zivilrechtlichen Systematik |
LG Hamburg, Urt. v. 04.09.2020 (324 S 9/19)BeckRS 2020, 23277 |
Das Gericht lehnte einen Schadensersatz- anspruch mangels Schadens ab |
Behaupteter Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO durch die Veröffentlichung privater Daten im Internet |
Voraussetzung für einen immateriellen Schadensersatz ist ein Verstoß gegen die DSGVO sowie ein kausaler Schaden
Der immateriellen Ausgleichspflicht aus Art. 82 DSGVO muss eine benennbare und tatsächliche Persönlichkeitsverletzung gegenüberstehen (bspw. in Form einer Bloßstellung) Die Darlegungs- und Beweislast liegt beim Kläger |
LG Frankfurt a.M., Urt. v. 03.09.2020 (2-03 O 48/19)GRUR-RS 2020, 25111 |
Das Gericht lehnte einen Schadensersatz- anspruch mangels Schadens ab |
Behaupteter Verstoß gegen Art. 6 Abs. 1 lit. b) DSGVO durch die Löschung eines Posts auf sozialem Netzwerk |
Der Kläger hat sowohl den DSGVO-Verstoß als auch den dadurch entstandenen Schaden substantiiert darzulegen |
AG Frankfurt a.M., Urt. v. 10.07.2020 (385 C 155/19 (70))BeckRS 2020, 22861 |
Das Gericht lehnte einen Schadensersatz- anspruch mangels Schadens ab |
Behaupteter Verstoß gegen Mitteilungspflicht nach Art. 34 DSGVO und Auskunftspflicht nach Art. 15 DSGVO. Zuerkannt wurde ein Verstoß gegen die Integrität und Vertraulichkeit personenbezogener Daten nach Art. 5 Abs. 1 lit. f) DSGVO |
Notwendig ist eine objektiv nachvollziehbare und feststellbare Beeinträchtigung (ein Gefühl des Unbehagens ist nicht ausreichend)
Beweiserleichterung beim Nachweis der Kausalität zwischen Verletzung des Datenschutzes und Schaden nach Art. 5, 24 DSGVO Notwendig ist ein kausaler Schaden Die Beachtung des unionsrechtlichen Effektivitätsgrundsatzes verlangt eine Abschreckungswirkung |
AG Hannover, Urt. v. 09.03.2020 (531 C 10952/29) |
Das Gericht lehnte einen Schadensersatz- anspruch mangels Schadens und Kausalität ab |
Speicherung von Kundendaten durch Reisebüro | Kein Schmerzensgeld für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für bloß individuell empfundene Unannehmlichkeiten
Der Kläger hat die Kausalität zwischen dem Verstoß der DSGVO und dem dadurch eingetretenen Schaden zu beweisen |
OLG Dresden, Hinweisbeschl. v. 11.12.2019 (4 U 1680/19)BeckRS 2019, 36042 |
Das Gericht lehnte einen Schadensersatz- anspruch mangels DSGVO-Verstoßes und Schadens ab |
Behaupteter Verstoß gegen Art. 4 Nr. 2 i.V.m. Art. 6 Abs. 1 lit. f) DSGVO wegen der Löschung eines Posts und der Sperrung eines Internetkontos |
Die bloße Sperrung eines Posts (also von Daten) und Datenverlust stellt noch keinen Schaden i.S.d. DSGVO dar
Beeinträchtigungen mit „Bagatellcharakter“ rechtfertigen keinen immateriellen Schadensersatz |
OLG Dresden, Beschl. v. 11.06.2019 (4 U 760/19)ZD 2019, 567 |
Das Gericht lehnte einen Schadensersatz- anspruch mangels Schadens ab |
Behaupteter Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO wegen der Löschung bzw. Sperrung eines Social Media Profils |
Die Auslegung von Art. 82 DSGVO ergibt, dass nicht jede individuell empfundene Unannehmlichkeit oder Bagatellverstöße einen immateriellen Schaden begründen
Der Erwägungsgrund 146 DSGVO kann nicht im Sinne einer weiten Auslegung verstanden werden |
AG Diez, Urt. v. 07.11.2018 (8 C 130/18)BeckRS 2018, 28667 |
Das Gericht lehnte einen Schadensersatz- anspruch mangels Schadens ab |
Behaupteter Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO wegen „einer als unzulässig monierten Email“ |
Der bloße Verstoß gegen die DSGVO führt nicht zu einem Schadensersatz
Dem Betroffenen muss ein spürbarer Nachteil entstanden sein Ein Bagatellverstoß ist nicht ausreichend |
Teil 3: Sonstige Entscheidungen mit Bezug zu Art. 82 DSGVO | |||
Entscheidung | Kontext der Entscheidung | Relevante Aussage des Gerichts mit Bezug zu Art. 82 DSGVO | |
LG Rostock, Urt. v. 11.08.2020 (3 O 762/19)GRUR-RS 2020, 32027 |
Wirksamkeit der Einwilligung in die Nutzung von Drittanbieter-Cookies | Den beklagten Verantwortlichen trifft nach Art. 24 Abs. 2 und Art. 5 Abs. 1 DSGVO die Darlegungs- und Beweislast dafür, dass er sich datenschutzrechtskonform verhalten hat |
Quelle: Latham & Watkins Januar 2021
https://de.lw.com/thoughtLeadership/Latham-DSGVO-Schadensersatztabelle