News

Wann steht Schadensersatz nach DSGVO zu?

Wann steht Schadensersatz nach DSGVO zu?

Kategorie: Datenschutz

Bundesarbeitsgericht legt EuGH Fragen zu Schadensersatz nach DSGVO vor

Das Bundesarbeitsgericht (BAG) hat dem Europäischen Gerichtshof (EuGH) mit Beschluss einige Rechtsfragen zur Auslegung vorgelegt. Bei diesen Fragen handelt es sich speziell um Fragen zu der Verarbeitung von sensiblen Daten aber auch speziell zu Fragen, wann Schadensersatz nach der DSGVO zusteht. Im vorliegenden Fall beim BAG hatte ein Mitarbeiter gegen seinen Arbeitgeber geklagt, der ein Gutachten des MDK – medizinischen Dienst der Krankenkassen – nicht ausreichend gesichert gespeichert hatte.

Der Fall

Der Kläger war als IT-Spezialist beim MDK tätig und zu dieser Zeit kam es zur besagten Verletzung seiner Datenschutzrechte. Auch er war beauftragt in seiner Position unter anderem gutachterliche Stellungnahmen zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten zu erstellen. Solch ein Gutachten wurde aber auch zu seiner Person erstellt und eben im Rahmen der Aufgabe des MDK gespeichert. Seine Kolleg:innen aus der IT-Abteilung konnten aber eben auch auf sein Gutachten zugreifen, welches eine Diagnose einer schweren Depression enthielt. 
Dieses Gutachten wurde von den Kolleg:innen an den Kläger weitergeleitet und er erhob daraufhin einen immateriellen Schadensersatz in Höhe von 20.000 Euro gegenüber seinem Arbeitgeber. 

INFO
Als immaterieller Schaden ist ein Schaden definiert, der kein Vermögensschaden ist, also nicht geldwerte Rechtsgüter, sondern beispielsweise Körper, Freiheit oder Ehre betrifft.

Auslegung des BAG

Das BAG sieht in der Verarbeitung einen Verstoß gegen die Verarbeitung seiner Gesundheitsdaten gem. Art. 9 DSGVO und ist der Auffassung, dass dem Kläger somit auch ein Schaden entstanden ist. Da der BAG hier aber noch nicht geurteilt hat, sondern diese Fragen dem EuGH zur Klärung vorab übergeben hat, wird diese Ent-scheidung sehr große Wirkung auf die generelle Anwendung und zukünftige Klagen mit Bezug auf Datenschutzverstöße haben. Der BAG vertritt schon in seiner Fragestellung eine sehr stringente Auslegung und sehr niedrige Anforderung an die Geltendmachung von Schadensersatz. Fortlaufend gehen wir jetzt auf die Aussagen und zu klärenden Fragen des BAG ein: 

Begründet ein Verstoß gegen die DSGVO direkt einen immateriellen Schaden?

Das BAG sieht einen Anspruch schon dann, wenn der Kläger keine Beeinträchtigungen „von einigem Gewicht“ vorgelegt hat. Er ist der Auffassung das der Anspruch eben keinen expliziten Nachweis des Klägers bedarf, über ein gewisses subjektives Fehlverhalten des Verantwortlichen und somit bereits ein Verstoß gegen die DSGVO, einen zu ausgleichenden Schaden für Betroffene darstellt. 
Diese Auffassung ist entgegen vieler aktueller Entscheidungen von einigen deutschen Zivilgerichten, die für den Zuspruch eines Schadensersatzes eine Darlegung eines tatsächlichen und spürbaren Nachteil des Betroffenen gefordert haben und somit über die bloße Verletzung hinaus Beweise gefordert haben.  
Würde der EuGH dem BAG in seiner Auffassung folgen und diese Rechtsauffassung sich damit durchsetzen, ist damit zu rechnen, dass Kläger zukünftig deutlich leichter einen immateriellen Schaden einklagen können. 

Der Schadensersatz soll abschreckend wirken für den Verantwortlichen

Der BAG vertritt die Meinung, dass Schadensersatz nach Art. 82 DSGVO „eine autonome und einheitliche Auslegung erfahren muss“ und darüber eine abschreckende Wirkung entfalten muss. Bisher wird diese abschreckende Wirkung nur bei Bußgeldern von Aufsichtsbehörden in der Bemessung berücksichtigt. Eine Bestätigung dieser Auffassung des BAG würde zu deutlich höheren Schadensersatz führen und entgegen der aktuellen eher zurückhaltenden Entwicklung ein großes Risiko für Unternehmen darstellen!

Folgen für verantwortliche Unternehmen

Folgen sind ganz klar: Höherer Schadensersatz und eine leichtere Schwelle für den Zuspruch von Schadensersatz

Somit müssten sich Unternehmen auf deutlich mehr Haftung bereit machen und größere Rückstellungen bilden. Zusätzlich ist durch die Auffassung der subjektiven Betroffenheit der Kläger eine Haftungsverlagerung an zum Beispiel den Auftragsverarbeiter, der durch sein Handeln eigentlich für den Verstoß verantwortlich ist, nicht möglich. Dies muss bei eventuellen Rückstellungen beachtet werden. Zwar greift eventuell eine Innenhaftung im Vertragsverhältnis, bis dies aber eventuell auch wieder gerichtlich festgestellt wurde, kann einige Zeit vergehen. 

Auch könnten sich dadurch Verbraucherverbände und Klägervertreter künftig mit einfacheren Massenklagen auseinandersetzen, da die einzelne Darlegung des entstandenen Schadens nicht mehr notwendig wäre. Und genau zu solchen Fällen könnte es nach der Meldung von Datenpannen an die Betroffenen selbst kommen. 

Ganz vermehrt wird dies bei Datenpannen zu Tage kommen, da nach Art. 34 DSGVO eine mögliche Meldepflicht gegenüber den Betroffenen besteht und diese dann ohne Darlegung eines entstandenen Schadens sich einer Massenklage anschließen könnten. Viele solcher Unternehmungen von Abmahnanwälten und Verbraucherverbänden sind schon auf den Weg gebracht worden, hatten aber bis heute noch keinen wirklichen Erfolg. Der Beschluss des BAG würde – wie schon erwähnt – diese vereinfachen und den Erfolg unterstützen. 

Bisher ist noch keine Entscheidung des EuGHs getroffen, aber schon jetzt werden Klägervertreter den Beschluss des BAG in ihren Schadensersatzklagen zitieren und darauf verweisen. Daher ist bei der Verteidigung schon jetzt mit deutlich höheren Forderungen nach Schadensersatz zu rechnen. Da es sich aber um noch keine rechtskräftige Entscheidung handelt, sollte die Verteidigung dies beachten. 

Wir sind bei allen Fragen rund um den Datenschutz gern für Sie da. Einfach jetzt klicken und uns eine Mail senden:

 

datenschutzberatung@fkc-gmbh.de

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download:
AI_Datenschutz_1121.pdf11.2021AI_Datenschutz_1121.pdf (305 KB)