Furchteinflößende Strafen für Datenschutzverstösse? Von Gerichten bislang eher nicht, zeigt eine Liste mit Urteilen, die Latham & Watkins zusammen gestellt hat

Kurz bevor die Datenschutzgrundverordnung (DSGVO) in Kraft trat war das Geschrei der Anwälte, die die Unternehmen und Noch-Nicht-Mandanten vor Millionen-Strafen bei Verstößen gegen die DSGVO warnen wollten, groß. Fast immer natürlich ohne konkret zu sagen, was Unternehmen genau tun und lassen sollten.Zu den wenigen Ausnahmejuristen, der einerseits schon sehr früh und andererseits auch mit konkreten Fakten und Handlungsanweisungen auch hier im Management-Blog aufwartete, zählt Datenschutzrechtler Tim Wybitul von Latham & Watkins: https://blog.wiwo.de/management/2017/04/27/das-neue-datenschutzgesetz-bringt-chaos-tim-wybitul-zeigt-die-wichtigsten-punkte/  Wybitul twittert laufend unter @TimWybitul.

Tim Wybitul, Latham & Watkins (Foto: PR)

 

Jetzt hat Wybitul mal die Urteile zusammengestellt, in denen Unternehmen inzwischen hierzulande zu Schmerzensgeldzahlungen wegen Verstößen gegen die Datenschutzgrundverodnung (DSGVO) verurteilt wurden. Die höchste Summe sprach das Arbeitsgericht Düsseldorf mit 5.000,– Euro einem Arbeitnehmer zu, dessen Arbeitgeber seinen Auskunftsanspruch viel zu spät erfülte.

Das Fazit: Von den Millionensummen sind diese Gerichtsurteile noch weit entfernt.

Das kann sich aber ruckzuck ändern, sobald in einem Fall ganz viele Kunden eines Unternehmens betroffen sind und die Fälle addiert werden, erklärt Wybitul. Denn vor den deutschen Gerichten landeten bisher nur Fälle mit je einem Betroffenen – und keiner mit Massen von Betroffenen.

Andere Schreckenszahlen kamen nämlich von den Behörden, die Geldbußen verhängten wie zum Beispiel gegen den schwedischen Textilfilialisten H&M: 35,5 Millionen Euro musste das Handelsunternehmen berappen – warum, erzählte Arbeitsrechtler Philipp Byers aus der Kanzlei Watson Farley & Williams hier im Management-Blog kürzlich: https://blog.wiwo.de/management/2020/11/25/ein-teller-moussaka-mit-arbeitsrechtler-philipp-byers-die-beobachtenden-mitarbeiter-gehen-uebermorgen-beim-ersten-abwerbeangebot/  Und wenn man den H&M-Sachverhalt mal liest, wird auch verständlich, wie es zu der Summe kommt: Es waren sehr viele Fälle über viele Jahre und systematisch – und vor allem mit dem Ziel, zu verhindern, dass die eigenen Arbeitnehmer ihre guten Recht wahrnehmen.

 

Latham DSGVO-Schadensersatztabelle
Aktuelle Rechtsprechung zu Art. 82 DSGVO (Stand: Januar 2021)
Entscheidung Schadensersatz DSGVO-Verstoß Kernaussagen des Gerichts
Teil 1: Aktuelle Entscheidungen, in denen Gerichte Klägern Schadensersatz zugesprochen haben
LAG Köln,
Urt. v. 14.09.2020 (2 Sa 358/20)BeckRS 2020, 31543Vorgehend: ArbG Köln, Urt. v. 12.03.2020
(5 Ca 4860/19)
€300 Unbefugte Veröffentlichung einer PDF-Datei mit einem beruflichen Tätigkeitsprofil auf
der Website der Beklagten nach Ende des Arbeitsverhältnisses der Klägerin
Die Veröffentlichung von Daten kann einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellen

Neben dem Verschuldensgrad und der Intensität der Rechtsverletzung, hängt die Höhe des Schmerzensgelds auch davon ab, ob die Datenschutzbehörde den Verstoß bereits gerügt hat

Schadensersatz nach der DSGVO soll einen erzieherischen Effekt haben

Die Revision wurde nicht zugelassen

ArbG Neumünster,
Urt. v. 11.08.2020 (1 Ca 247 c/20)BeckRS 2020, 29998
1.500€

(500€ pro Monat der verspäteten Auskunft)

Verstoß gegen Art. 15 Abs. 1 DSGVO wegen verspäteter Beantwortung eines Auskunftsanspruchs Schadensersatz soll eine abschreckende Wirkung haben

Erwägungsgrund 146 DSGVO verlangt eine vollständige und effektive Entschädigung

Bei der Bemessung der Höhe können sich Gerichte an den Kriterien des Art. 83 Abs. 2 DSGVO orientieren

Der Schaden liegt in der Ungewissheit über die Verarbeitung der eigenen Daten

ArbG Dresden,
Urt. v. 26.08.2020 (13 Ca 1046/20)BeckRS 2020, 26940
1.500€ Verstoß gegen Art. 9 DSGVO wegen unbefugter Veröffentlichung von Gesundheitsdaten Durch die DSGVO ist eine Verschärfung der Rechtslage bzgl. des immateriellen Schadensersatz eingetreten

Der Begriff des Schadens muss so ausgelegt werden, dass er den Zielen der DSGVO in vollem Umfang entspricht

Die Auslegung gebietet eine abschreckende Wirkung des Schadensersatzes

Die Kriterien des Art. 83 Abs. 2 DSGVO können zur Bemessung des Schadensersatzes herangezogen werden

Der Schaden liegt in der Rufschädigung und dem Kontrollverlust über personenbezogene Daten

ArbG Lübeck,
Beschl. v. 20.06.2020 (1 Ca 538/19)ZD 2020, 422
(Anspruch in Höhe von 1.000€ möglich)

(Prozesskostenhilfebeschluss
— das Gericht hielt einen Anspruch i.H.v. max. 1.000€ für hinreichend wahrscheinlich)

Verstoß gegen Art. 4 Nr. 2 und Art. 6 Abs. 1 lit. b) DSGVO wegen unbefugter
Veröffentlichung eines Mitarbeiterfotos auf sozialem Netzwerk
Die effektive Ahndung von Verstößen gegen die DSGVO und das BDSG gebieten eine abschreckende Wirkung

Der Schaden liegt in der unbefugten Veröffentlichung eines Fotos in einem sozialen Netzwerk

LG Darmstadt,
Urt. v. 26.05.2020 (13 O 244/19)ZD 2020, 642
1.000€ Verstoß gegen Art. 6 Abs. 1 DSGVO wegen unbefugter Offenlegung von
Bewerberdaten an einen Dritten und Verstoß gegen Mitteilungspflicht aus Art. 34 DSGVO
Durch die Veröffentlichung an einen unbeteiligten Dritten ist eine „etwaige“ Bagatellgrenze überschritten

Der Schaden liegt im Kontrollverlust darüber, wer Kenntnis von personenbezogenen Daten hat

AG Pforzheim,
Urt. v. 25.03.2020 (13 C 160/19)BeckRS 2020, 27380
4.000€ Verstoß gegen Art. 9 Abs. 1 DSGVO wegen unbefugter Offenlegung von Gesundheitsdaten Schadensersatz muss eine abschreckende Wirkung bzw. Höhe haben

Der Schadensersatz muss zudem auch eine Genugtuungsfunktion für die betroffene Person erfüllen

Zu berücksichtigen ist die besonders hohe Sensibilität der personenbezogenen Daten (hier Gesundheitsdaten)

ArbG Düsseldorf,
Urt. v. 05.03.2020 (9 Ca 6557/18)NZA-RR 2020, 409
5.000€ Unvollständige und verspätete Auskunft nach Art. 15 Abs. 1 DSGVO und Verstoß
gegen das Transparenzgebot nach Art. 12 Abs. 3 DSGVO
Der Schaden liegt im Kontrollverlust über personenbezogene Daten

Die effektive Sanktionierung von DSGVO-Verstößen ist nur durch eine „abschreckende Wirkung“ des Schadensersatzes zu erreichen

Die Höhe des Schadens hängt von der wirtschaftlichen Leistungsfähigkeit des Beklagten ab

Teil 2: Aktuelle Entscheidungen, in denen Gerichte Schadensersatzansprüche abgelehnt haben
LG Landshut,
Urt. v. 06.11.2020 (51 O 513/20)BeckRS 2020, 33148
Das Gericht lehnte einen Schadensersatz-
anspruch mangels Schadens ab
Behaupteter Verstoß gegen Art. 6 DSGVO durch die nicht erfolgte Schwärzung
von personenbezogenen Daten von Wohnungseigentümern
Schmerzensgeld nach der DSGVO ist nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung zu gewähren

Die Verletzungshandlung muss zu einer konkreten und nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten führen

Es muss eine objektiv nachvollziehbare Beeinträchtigung mit gewissem Gewicht erfolgt sein

LG Köln,
Urt. v. 07.10.2020 (28 O 71/20)ZD 2021, 47
Das Gericht lehnte einen Schadensersatz-
anspruch mangels eines über einen Bagatellverstoß hinausgehenden Schadens ab
Behaupteter Verstoß gegen die DSGVO durch die unbefugte Zusendung
eines Kontoauszugs an einen Dritten
Schmerzensgeld bei Bagatellfällen entspricht nicht dem Sinn und Zweck des Art. 82 DSGVO

Ansonsten besteht die Gefahr einer uferlosen Häufung von Ansprüchen nach Art. 82 DSGVO

Für den immateriellen Schadensersatz gelten die i.R.v. § 253 BGB entwickelten Grundsätze und die Kriterien des Art. 83 Abs. 2 DSGVO

LG Frankfurt a.M.,
Urt. v. 18.09.2020 (2/27 O 100/20)GRUR-RS 2020, 24557
Das Gericht lehnte einen Schadensersatz-
anspruch mangels Kausalität zwischen DSGVO-Verstoß und Schaden ab
Behauptete Verletzung der Datensicherheit durch die Veröffentlichung von
Kreditkartendaten und Verstoß gegen Art. 5 Abs. 1 lit. a) oder lit. f) DSGVO.
Dieser Verstoß wurde mit Verweis auf die Darlegungs- und Beweislast abgelehnt
Immaterieller Schaden kann in der Zugänglichmachung personenbezogener Daten an Dritte (Bloßstellung) liegen

Der Kläger ist für den Verstoß gegen die DSGVO darlegungs- und beweispflichtig

Die Verletzungshandlung muss zu einer konkreten Verletzung von Persönlichkeitsrechten geführt haben

Eine weite Auslegung des Schadens widerspricht der deutschen zivilrechtlichen Systematik

LG Hamburg,
Urt. v. 04.09.2020 (324 S 9/19)BeckRS 2020, 23277
Das Gericht lehnte einen Schadensersatz-
anspruch mangels Schadens ab
Behaupteter Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO durch die
Veröffentlichung privater Daten im Internet
Voraussetzung für einen immateriellen Schadensersatz ist ein Verstoß gegen die DSGVO sowie ein kausaler Schaden

Der immateriellen Ausgleichspflicht aus Art. 82 DSGVO muss eine benennbare und tatsächliche Persönlichkeitsverletzung gegenüberstehen (bspw. in Form einer Bloßstellung)

Die Darlegungs- und Beweislast liegt beim Kläger

LG Frankfurt a.M.,
Urt. v. 03.09.2020 (2-03 O 48/19)GRUR-RS 2020, 25111
Das Gericht lehnte einen Schadensersatz-
anspruch mangels Schadens ab
Behaupteter Verstoß gegen Art. 6 Abs. 1 lit. b) DSGVO durch die Löschung
eines Posts auf sozialem Netzwerk
Der Kläger hat sowohl den DSGVO-Verstoß als auch den dadurch entstandenen Schaden substantiiert darzulegen
AG Frankfurt a.M.,
Urt. v. 10.07.2020
(385 C 155/19 (70))BeckRS 2020, 22861
Das Gericht lehnte einen Schadensersatz-
anspruch mangels Schadens ab
Behaupteter Verstoß gegen Mitteilungspflicht nach Art. 34 DSGVO und
Auskunftspflicht nach Art. 15 DSGVO.
Zuerkannt wurde ein Verstoß gegen die
Integrität und Vertraulichkeit personenbezogener Daten nach Art. 5 Abs. 1 lit. f) DSGVO
Notwendig ist eine objektiv nachvollziehbare und feststellbare Beeinträchtigung (ein Gefühl des Unbehagens ist nicht ausreichend)

Beweiserleichterung beim Nachweis der Kausalität zwischen Verletzung des Datenschutzes und Schaden nach Art. 5, 24 DSGVO

Notwendig ist ein kausaler Schaden

Die Beachtung des unionsrechtlichen Effektivitätsgrundsatzes verlangt eine Abschreckungswirkung

AG Hannover,
Urt. v. 09.03.2020 (531 C 10952/29)
Das Gericht lehnte einen Schadensersatz-
anspruch mangels Schadens und Kausalität ab
Speicherung von Kundendaten durch Reisebüro Kein Schmerzensgeld für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung oder für bloß individuell empfundene Unannehmlichkeiten

Der Kläger hat die Kausalität zwischen dem Verstoß der DSGVO und dem dadurch eingetretenen Schaden zu beweisen

OLG Dresden,
Hinweisbeschl. v. 11.12.2019 (4 U 1680/19)BeckRS 2019, 36042
Das Gericht lehnte einen Schadensersatz-
anspruch mangels DSGVO-Verstoßes und Schadens ab
Behaupteter Verstoß gegen Art. 4 Nr. 2 i.V.m. Art. 6 Abs. 1 lit. f) DSGVO
wegen der Löschung eines Posts und der Sperrung eines Internetkontos
Die bloße Sperrung eines Posts (also von Daten) und Datenverlust stellt noch keinen Schaden i.S.d. DSGVO dar

Beeinträchtigungen mit „Bagatellcharakter“ rechtfertigen keinen immateriellen Schadensersatz

OLG Dresden,
Beschl. v. 11.06.2019 (4 U 760/19)ZD 2019, 567
Das Gericht lehnte einen Schadensersatz-
anspruch mangels Schadens ab
Behaupteter Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO wegen der Löschung
bzw. Sperrung eines Social Media Profils
Die Auslegung von Art. 82 DSGVO ergibt, dass nicht jede individuell empfundene Unannehmlichkeit oder Bagatellverstöße einen immateriellen Schaden begründen

Der Erwägungsgrund 146 DSGVO kann nicht im Sinne einer weiten Auslegung verstanden werden

AG Diez,
Urt. v. 07.11.2018 (8 C 130/18)BeckRS 2018, 28667
Das Gericht lehnte einen Schadensersatz-
anspruch mangels Schadens ab
Behaupteter Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO wegen „einer als
unzulässig monierten Email“
Der bloße Verstoß gegen die DSGVO führt nicht zu einem Schadensersatz

Dem Betroffenen muss ein spürbarer Nachteil entstanden sein

Ein Bagatellverstoß ist nicht ausreichend

Teil 3: Sonstige Entscheidungen mit Bezug zu Art. 82 DSGVO
Entscheidung Kontext der Entscheidung Relevante Aussage des Gerichts mit Bezug zu Art. 82 DSGVO
LG Rostock,
Urt. v. 11.08.2020 (3 O 762/19)GRUR-RS 2020, 32027
Wirksamkeit der Einwilligung in die Nutzung von Drittanbieter-Cookies Den beklagten Verantwortlichen trifft nach Art. 24 Abs. 2 und Art. 5 Abs. 1 DSGVO die Darlegungs- und Beweislast dafür, dass er sich datenschutzrechtskonform verhalten hat

Quelle: Latham  & Watkins Januar 2021

https://de.lw.com/thoughtLeadership/Latham-DSGVO-Schadensersatztabelle

 

Wenn Migros Telefondaten der eigenen Mitarbeiter flöht – Fünf Fragen an Datenschutzanwalt Tim Wybitul

 

DSGVO: Die skurrilen Folgen vom Datenschutz und Anwälte, die sich schon die Lätzchen umgebunden haben

 

 

Blogger-Relevanz-Index 2019

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*