Durch die unionsweite Anwendung der EU Datenschutz-Grundverordnung (DSGVO) können auch Entscheidungen Gerichte anderer EU-Staaten zur Interpretation der Verordnung herangezogen werden. Anfang 2023 sind zwei divergierende Entscheidungen in Deutschland zum „Gefühlsschaden“ (immateriellen Schaden) ergangen.
Was ist ein „Gefühlsschaden“?
Beim „klassischen materiellen Schadenersatz“ handelt es sich in der Regel um einen Vermögensschaden, der in Geld messbar ist. Im Unterschied dazu kennzeichnet den immateriellen Schaden die Eigenschaft, dass er nicht in Geld messbar ist, weil es sich um ein negatives Gefühl handelt, das in Folge einer Verletzung rechtlich geschützter Werte entstanden ist. Aufgrund seiner Besonderheit wird der immaterielle Schaden nur ausnahmsweise ersetzt, nämlich dann, wenn es hierzu eine explizite gesetzliche Grundlage gibt. Eine solche Grundlage bietet bspw Artikel 82 Abs 1 DSGVO.
Beispiel Verletzung der Auskunftspflicht
Das Arbeitsgericht Oldenburg (ArbG Oldenburg, Urteil vom 9.2.2023 zu 3 Ca 150/21) hatte folgenden Sachverhalt zu beurteilen: Kurz nachdem das Dienstverhältnis vom Arbeitgeber beendet wurde, machte der ehemalige Arbeitnehmer sein Recht auf eine datenschutzrechtliche Auskunft gemäß Artikel 15 DSGVO geltend und setzte hierfür eine Frist von einem Monat (gemäß Artikel 12 Abs 3 DSGVO). Der ehemalige Arbeitgeber war der Ansicht, dass die Auskunft rechtsmissbräuchlich sei und verweigerte sie. Daraufhin wurde vom ehemaligen Arbeitnehmer unter anderem eine Klage zur datenschutzrechtlichen Auskunft und dem durch die Verzögerung erlittenen immateriellen Schadenersatz einbrachte (gemäß Artikel 82 Abs 1 DSGVO). Erst im Laufe des Verfahrens wurde dem Auskunftsbegehren nach 20 Monaten teilweise entsprochen.
In seinem Teilurteil folgte das Arbeitsgericht Oldenburg der Argumentation des Klägers und sprach ihm einen immateriellen Schadenersatz in Höhe von 10.000 Euro zu (500 Euro für jeden Monat nach Fristablauf). Begründet wurde der Schadenersatz mit dem Sinn und Zweck des Artikel 82 Abs 1 DSGVO. Demnach kommen dieser Regelung ein Präventivcharakter und eine abschreckende Wirkung zu. Offen ließ das Arbeitsgericht Oldenburg die Frage, ob vom Kläger vorgebracht werden müsse, worin der immaterielle Schaden liege, und verwies diesbezüglich auf zwei anhängige Vorabentscheidungsverfahren vor dem EuGH (Vorabentscheidungsersuchen des deutschen BAG vom 26.08.2021 zu 8 AZR 253/20 [A], C-667/21 [Krankenversicherung Nordrhein] sowie des österreichischen OGH vom 15.04.2021 zu 6 Ob 35/21x, C-300/21 [Österreichische Post AG]). In diesen beiden Vorabentscheidungsverfahren hat der EuGH zu entscheiden, ob für einen Zuspruch von Schadenersatz, gestützt auf Artikel 82 Abs 1 DSGVO, eine Darlegung notwendig ist, worin genau der entstandene immaterielle Schaden liegt, oder eine Verletzung von Bestimmungen der DSGVO alleine ausreichend ist.
Beispiel Schäden im Zuge einer Verarbeitung
Eine andere Argumentationslinie verfolgt das Landesarbeitsgericht Nürnberg (Urteil vom 25.01.2023 zu 4 Sa 201/22). Noch während des aufrechten Arbeitsverhältnisses stellte die Klägerin ein Auskunftsersuchen gemäß Artikel 15 Abs 1 und 3 DSGVO. Der beklagte Arbeitgeber lehnte die Auskunft ab und forderte die Klägerin auf, ihren Anspruch gerichtlich geltend zu machen. Daraufhin wurde das Arbeitsverhältnis von der Klägerin aufgelöst und die Datenauskunft mit Klage (Arbeitsgericht Bamberg, 2 Ca 942/20) geltend gemacht. In ihrer Klage machte die Klägerin geltend, dass sie durch diese Auskunftspflichtverletzung berechtigt sei, immateriellen Schadenersatz gemäß Artikel 82 Abs 1 DSGVO zu fordern. Das Gericht erster Instanz gab der Klägerin recht und verurteilte die Beklagte zur Zahlung von immateriellem Schadenersatz in Höhe von 4.000 Euro. Begründet wurde der immaterielle Schadenersatz damit, dass Verstöße effektiv sanktioniert werden müssen, um eine abschreckende Wirkung zu haben. Gegen diese Entscheidung erhob die Beklagte Berufung. Das Landesarbeitsgericht Nürnberg als Berufungsgericht war gegenteiliger Meinung und sprach keinen immateriellen Schadenersatz zu. Begründet wurde diese Entscheidung mit einer restriktiven Auslegung des Artikel 82 Abs 1 DSGVO. Dabei stützte sich das Gericht einerseits auf den Erwägungsgrund 146 zur DSGVO und andererseits auf seine Entstehungsgeschichte. Der Erwägungsgrund 146 zur DSGVO beschränkt Ansprüche auf Schadenersatz auf Schäden, die aufgrund einer Datenverarbeitung entstanden sind. Da es sich bei der Auskunft um keine Datenverarbeitung handelt, scheidet Artikel 15 DSGVO als Haftungsgrundlage nach dem Wortlaut des Erwägungsgrundes aus. Ursprünglich erfasste der Kommissionsentwurf auch Schäden, die durch „andere mit dieser Verordnung nicht zu vereinbarende Handlungen“ entstanden sind. Dieser Entwurf wurde im Laufe des Gesetzgebungsverfahrens allerdings eingeschränkt. Auf diese beiden Argumente gestützt kommt das Landesarbeitsgericht zu dem Schluss, dass eine Verletzung der Auskunftspflicht nur zu einer empfindlichen Geldstrafe führen kann (gemäß Artikel 83 Abs 5 b) DSGVO), jedoch nicht zur Geltendmachung von immateriellen Schadenersatz berechtigt.
Rechtslage in Österreich
Auch in Österreich werden in der Literatur beide Argumentationslinien vertreten. In der bisherigen Rechtsprechung zum immateriellen Schadenersatz wird zunächst eine Erheblichkeitsschwelle verlangt, um eine Rechtsverletzung zu bejahen. Damit soll vermieden werden, dass es zu einem Schadenersatzanspruch ohne Vorliegen eines Schadens kommt. Demnach stellt die bloße Rechtsverletzung per se, wie bspw das „Nicht Nachkommen“ der Auskunftspflicht, noch keinen immateriellen Schaden des Auskunftsberechtigten dar. Vielmehr notwendig ist daher, dass durch die Rechtsverletzung eine durchschnittliche im Datenschutz sensibilisierte Maßfigur negative Gefühle entwickelt. Diese negativen Gefühle müssen über jene Gefühle hinausgehen, die durch die Rechtsverletzung eines anderen Gesetzes in der geschädigten Person hervorgerufen werden.
Als eine diese Erheblichkeitsschwelle überschreitende Rechtsverletzung erachtete der Oberste Gerichtshof in seiner Entscheidung vom 21.06.2021 (6 Ob 56/21k) eine fehlende bzw. unvollständige Auskunft, weil der Auskunftsberechtigte dadurch „massive genervt“ war. Demnach wird darauf abgestellt, ob die Rechtsverletzung bei einem Durchschnittsbürger eine Verstimmung hervorruft, die über die gewöhnlichen Gemütsschwankungen im Alltag hinausgeht. Als solche Gefühlsbeeinträchtigungen kommen Ängste, Stress oder Leidenszustände in Betracht. Diese Gefühle entstehen beispielsweise durch die erfolgte oder drohende Bloßstellung auf Grund eines Bekanntwerdens der persönlichen Daten.
Für die Bemessung des immateriellen Schadenersatzes relevant sind insbesondere Intensität, Dauer und Häufigkeit der Verletzung sowie im Fall einer unvollständigen Auskunft das Ausmaß der fehlenden Daten.
Bedeutung für die Praxis
Es gibt ihn also wirklich, den Schadenersatz für „Gefühlsschäden“. Von der Praxis oft „belächelt“ und als irrelevant „abgetan“, zeigt sich durch mehr und mehr Entscheidungen nationaler Aufsichtsbehörden und Gerichte, dass durchaus Schadenersatz für „Gefühlsschäden“ zugesprochen wird, und zwar in nicht zu vernachlässigender Höhe. Umso wichtiger ist Datenschutz-Compliance, um solche Verfahren und Verpflichtungen zur Zahlung von Schadenersatz zu vermeiden.
Ihr KWR-Datenschutzteam steht Ihnen gerne zur Verfügung.