Schmerzensgeld für Datenschutzverletzungen – droht eine Klagewelle?

Schmerzensgeld für Datenschutzverletzungen scheidet in Bagatellfällen aus – so der bisherige Konsens. Hinter diesen hat das Bundesverfassungsgericht jüngst ein Fragezeichen gesetzt.

Christian Feller

Donnerstag, der 11. März 2021

Fünfhundert Euro für eine E-Mail?

Karlsruhe sorgt einmal mehr für Furore: In einer kürzlich bekannt gewordenen Entscheidung gibt das Bundesverfassungsgericht der Verfassungsbeschwerde eines Rechtsanwalts statt, der zuvor ohne Erfolg auf ein Schmerzensgeld von mindestens EUR 500,- für eine unerbetene Werbe-Mail geklagt hatte. Das Gericht im Ausgangsverfahren hatte einen solchen Anspruch mit Verweis auf den Bagatellcharakter einer einzelnen E-Mail abgelehnt. Das Bundesverfassungsgericht ist hiermit nicht einverstanden. Es dürfe nicht ohne weiteres angenommen werden, dass es an einem ersatzfähigen immateriellen Schaden im Sinne des Art. 82 DSGVO fehle. Dies gelte insbesondere angesichts des in den Erwägungsgründen der DSGVO geforderten weiten Schadensbegriffs. Die Frage sei dem EuGH zur Vorabentscheidung vorzulegen (BVerfG, Beschl. v. 14. Januar 2021, Az.: 1 BvR 2853/19).

Der Status Quo: kein Schmerzensgeld in Bagatellfällen

Damit bringt das Bundesverfassungsgericht neue Unsicherheit in die Diskussion um den Ersatz immaterieller Schäden unter der DSGVO. Bislang sind sich Literatur und Rechtsprechung weitgehend einig, dass die ungerechtfertigte Verarbeitung eines personenbezogenen Datums – im Entscheidungsfall: der E-Mailadresse – nur dann einen Schmerzensgeldanspruch der betroffenen Person auslösen kann, wenn eine gewisse Bagatellschwelle überschritten ist. Ein plastischer Fall betrifft ein Datenleck bei einem Bonusprogramm eines Zahlungsdienstleisters. Hier waren Datensätze online abrufbar, welche die persönlichen Informationen einer Vielzahl von Kreditkarteninhabern enthielten, einschließlich Name, Geburtsdatum, Geschlecht, Telefonnummer, E-Mailadresse und Kreditkartennummer. Das Landgericht Karlsruhe wies selbst hier die Klage eines Betroffenen als Bagatellfall ab (Urteil v. 9. Februar 2021, Az.: 4 O 67/20). Ob Gerichte den Betroffenen auch in Zukunft nur bei schwereren Datenschutzverstößen einen Schadensersatz zusprechen, ist mit Blick auf die Äußerung aus Karlsruhe offen.

Droht nun eine Klagewelle?

Klägerkanzleien wittern nun Morgenluft. Auch ein zunehmendes Auftreten von Klägerportalen wie im Fluggastrecht erscheint möglich. Unternehmen befürchten deshalb das Heranrollen einer Klagewelle. Tatsächlich erfolgen datenschutzrechtlich problematische Verarbeitungen oftmals im Massengeschäft. Dies kann zu einer Vielzahl gleichgelagerter Fälle führen, was Klageerhebungen mit Standardschriftsätzen lukrativ macht. Insofern kompensiert die Masse an Verfahren potentiell die in Bagatellfällen immer noch geringen Schmerzensgeldforderungen – und erhöht auf Beklagtenseite spiegelbildlich das Risiko.

Gut möglich, dass die Bagatellgrenze bleibt …

Dabei ist allerdings längst nicht gesagt, dass entsprechende Klagen ab sofort Erfolg haben werden.

Das Bundesverfassungsgericht beantwortet auch keineswegs die Frage, ob in Bagatellfällen ein Schmerzensgeld zu zahlen ist. Es ist lediglich der Auffassung, dass diese Frage durch den EuGH geklärt werden muss und wertet deshalb die unterbliebene Vorlage als verfassungswidrige Vorenthaltung des gesetzlichen Richters. Auch der EuGH wird bei der nunmehr zu erwartenden Vorlageentscheidung kritisch prüfen, ob eine unerbetene E-Mail wirklich einen ersatzfähigen Schaden im Sinne der DSGVO begründet. Dabei lägen die Fernwirkungen einer solchen Auslegung auf der Hand: Jeder noch so geringfügige Datenschutzverstoß könnte ein Schmerzensgeld für die betroffenen Personen begründen.

Dies lässt sich entgegen einem vertretenen Argument auch nicht mit einer wünschenswerten Prävention ungerechtfertigter Datenverarbeitungen rechtfertigen. Die DSGVO bezweckt zielgerichtete Verhaltenssteuerung, nicht präventive Paralyse. Ein Schmerzensgeld von EUR 500,- für eine E-Mail schösse weit über das Ziel hinaus. Eine solche Haftung nähme deutliche Züge eines Strafschadensersatzes an, wie er aus den USA bekannt ist. Aus den Gesetzesmaterialien ist aber nicht erkennbar, dass der europäische Gesetzgeber mit der DSGVO ein solches System einführen wollte.

… und dass Schmerzensgeldforderungen aus anderen Gründen scheitern

Zuletzt darf nicht übersehen werden, dass die Klägerseite unabhängig von der vorstehenden Auslegungsfrage im Einzelfall eine Vielzahl von Hürden zu nehmen hat. So ist die Rechtmäßigkeit der Datenverarbeitung in vielen Fällen eine Frage der Abwägung mit erheblichem argumentativem Spielraum. Auch steht der Schadensersatzanspruch nicht mit einer ungerechtfertigten Verarbeitung fest – insbesondere am Kriterium der Kausalität scheitern entsprechende Forderungen oftmals. Nicht zuletzt muss die Klägerseite sich darauf einstellen, in zentralen Punkten die Darlegungs- und Beweislast zu tragen. Deren Umkehrung wird zwar verschiedentlich vertreten, hat sich bislang jedoch nicht durchgesetzt.

Im Ergebnis hat das Bundesverfassungsgericht die Türe für Schmerzensgeld in Bagatellfällen wohl einen Spalt breit geöffnet – gut möglich, dass der EuGH sie postwendend wieder schließt. In der Zwischenzeit sollte Anspruchstellern kein voreiliger Einlass gewährt werden.