In jüngerer Vergangenheit mehren sich Meldungen über missbräuchlich motivierte Schadensersatzverlangen wegen vermeintlicher Verletzungen von Betroffenenrechten nach der DS-GVO. Das „Geschäftsmodell“ zielt darauf ab, die vermeintlich Verantwortlichen unter Aufbau einer Drucksituation zur außergerichtlichen Zahlung von Beträgen in oftmals vierstelliger Höhe zu veranlassen. Was kann man tun?
Diese Kurzübersicht beleuchtet die typische Vorgehensweise der Missbrauchspraxis, ordnet die Schadensersatzansprüche datenschutzrechtlich ein und zeigt auf, wie man sich gegen diese – rechtlich und organisatorisch – wappnen kann.
Hintergrund
Obwohl die DS-GVO schon fast drei Jahre in Kraft ist, sind noch viele Details ungeklärt. Ein Brennpunkt datenschutzrechtlicher Diskussionen ist dabei der Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO: Noch ist neben der Fachliteratur auch die Rechtsprechung in der Frage gespalten, ob jede DS-GVO-Verletzung ausreicht, um einen solchen Anspruch zu begründen, oder ob nicht vielmehr „bagatellhafte“ Verstöße auszuklammern sind. Auf dem Boden dieser rechtlichen Unsicherheit wächst und gedeiht eine Missbrauchspraxis, welche typischerweise einem der beiden folgenden Szenarien folgt:
- Der Newsletter eines Unternehmens wird auf dessen Website abonniert. Anschließend verlangt der Abonnent Auskunft über die gespeicherten Daten sowie deren Löschung.
- Über das Kontaktformular der Unternehmenswebsite wird – unter Angabe z.B. der Telefonnummer – um Rückruf gebeten. Dieser wird nicht entgegengenommen. Einige Wochen später meldet sich der Betroffene wieder und verlangt Auskunft über die gespeicherten Daten sowie deren Löschung.
Wird dem Auskunfts- bzw. Löschungsbegehren nicht oder nicht richtig entsprochen, meldet sich ein Rechtsanwalt, der im Auftrag seines Mandanten immateriellen Schadensersatz (meist 1.500€ bis 2.500€) und Ersatz der angeblich entstandenen Rechtsanwaltskosten (meist 500€ bis 600€) verlangt. Bei Nichtzahlung wird entweder mit einer Beschwerde bei der zuständigen Datenschutzaufsicht oder mit einem kostspieligen Gerichtsverfahren gedroht.
Rechtliche Einordnung
Die zentrale Norm, auf welche die Schadensersatzbegehren gestützt werden, ist Art. 82 Abs. 1 DS-GVO: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Zwei Aspekte sind insoweit von besonderem Interesse:
Zum einen erfasst der offene Wortlaut jedweden Verstoß gegen die DS-GVO. Bereits etwa eine Verletzung des Auskunftsrechts gemäß Art. 15 DS-GVO, wie eine solche in den Missbrauchskonstellationen häufig geltend gemacht wird, kann einen Schadensersatzanspruch also grundsätzlich begründen. Dabei spielen gerade die Unwägbarkeit zur Art und Umfang der gebotenen Auskunftserteilung den Anspruchstellern in die Karten; Zweifel an der Vollständigkeit und Ordnungsgemäßheit lassen sich recht schnell streuen.
Zum anderen ist neben dem materiellen auch der immaterielle Schaden ersatzfähig. Während nachweisbare Rechtsanwaltskosten als materieller Schaden ersetzt verlangt werden können, wird als immaterieller Schaden die Beeinträchtigung des Persönlichkeitsrechts in Gestalt des Rechts auf informationelle Selbstbestimmung geltend gemacht. Umstritten ist indes, ob schon jedwede Datenverarbeitung, die formal gegen die DS-GVO verstößt, eine zum Schadensersatz verpflichtende Persönlichkeitsrechtsverletzung begründen kann, oder ob nicht vielmehr im Sinne einer „Bagatellgrenze“ eine konkrete, nicht ganz unbedeutende Verletzung erforderlich ist.
Zwar tendieren zahlreiche Instanzengerichte zu einer Bagatellgrenze im vorgenannten Sinne und rekurrieren auf die obergerichtliche Rechtsprechung im Bereich des Persönlichkeitsrechts. Für diese enge Auslegung sprechen auch gute Gründe, dient eine nicht zu weitgehende Betrachtung gerade dem Ausschluss von Bagatellfällen und der Rückführung immateriellen Schadensersatzes auf relevante Rechtsverstöße. Allerdings besteht derzeit ein nicht unerhebliches Risiko, sich vor einem einem Gericht mit abweichender Ansicht verteidigen zu müssen. So hat etwa das Arbeitsgericht Düsseldorf immateriellen Schadensersatz in fünfstelliger Höhe im Falle unzureichender Auskunftserteilung zugesprochen.
Mitte Januar 2021 ist dann erneut erhebliche Bewegung in die Debatte gekommen. Das Bundesverfassungsgericht hat im Rahmen einer Rechtsbeschwerde entschieden, dass das AG Goslar einen DS-GVO-Schadensersatzanspruch nicht wegen Unterschreitung der „Bagatellgrenze“ habe abweisen dürfen. Vielmehr müsse das Gericht die bislang nicht abschließend geklärte Auslegungsfrage im Hinblick auf eine etwaige „Bagatellgrenze“ dem Europäischen Gerichtshof (EuGH) im Wege des Vorabentscheidungsverfahrens vorlegen. Die Entscheidung des Bundesverfassungsgerichts ist dabei grundsätzlich zu begrüßen, da ein EuGH-Entscheidung mehr Licht ins Dunkel der Auslegung von Art. 82 Abs. 1 DS-GVO bringen dürfte. Vorabentscheidungsverfahren sind aber langwierig, sodass noch einige Zeit verstreichen dürften, ehe eine Entscheidung der Luxemburger Richter vorliegt. Bis dahin herrscht dann jedoch eben jene Rechtsunsicherheit, die den Missbrauchspraktikern in die Karten spielen dürfte, zumal man sich nunmehr stets auf das Bundesverfassungsgericht zum Beleg dafür stützen wird, dass Ansprüche auf immateriellen Schadensersatz nicht ohne weiteres mit Verweis auf vermeintliche Bagatellgrenzen erledigt werden können.
Handlungsspielraum und Maßnahmen
Es besteht also das nicht unerhebliche Risiko, dass auch im Falle von vermeintlichen Bagatellverstößen immaterieller Schadensersatz gerichtlich zugesprochen wird. Insoweit stellt sich schon aus Gründen rechtlicher Vorsorge die Frage, wie insbesondere rechtsmissbräuchlich provozierten Ansprüchen wirksam zu begegnen ist.
Organisatorische Maßnahmen
In praktischer Hinsicht gilt es zunächst, die eigene „Angriffsfläche“ zu minimieren, indem Verstöße gegen die DS-GVO präventiv vermieden werden – denn dann besteht naturgemäß auch kein Schadensersatzanspruch. Freilich ist das manchmal leichter gesagt als getan. Daher sei hier zunächst auf typische Fehlerquellen hingewiesen:
- Die personenbezogenen Daten werden vorschnell gelöscht. Anschließend wird mitgeteilt, es seien keine personenbezogenen Daten verarbeitet worden.
- Inhaltlich falsch wird beauskunftet, dass keine personenbezogenen Daten verarbeitet werden, obwohl zumindest die Telefonnummer und/oder E-Mail-Adresse des Betroffenen vorliegt.
- Das Unternehmen reagiert auf Auskunfts- oder Löschungsanfragen gar nicht.
Diese Verhaltensweisen müssen schlicht als „No-Go“ bezeichnet werden, da in diesen Fällen vergleichsweise einfach Verstöße gegen die Auskunftspflichten von Unternehmen dargelegt werden können und das Tor zum Schadensersatz unnötig aufgesperrt wird. Vielmehr ist unternehmensseitig vor allem sicherzustellen, dass ein organisatorisch angemessenes Verfahren für eine einheitliche und vollständige Auskunftserteilung etabliert wird, um Fehler zu vermeiden und dem Eindruck entgegenzuwirken, dass Informationen zurückgehalten werden. Dabei ist es von besonderer Relevanz die Gesamtsicht auf die vom Unternehmen verarbeiteten Daten sicherzustellen, um relevante „Einfallstore“ für Daten nicht auszublenden. Dies gilt gerade für Kontaktanfragen über Websites oder die E-Mail-Kommunikation.
Um Fehler bei der Auskunftserteilung zu vermeiden, sollten Betroffene Unternehmen auch und vor allem von den gesetzlichen Möglichkeiten zur Rückfrage bzw. Klärung des Gegenstandes von Auskunftsersuchen Gebrauch machen, um eine Anfrage richtig einordnen zu können. Auch übereilte Rückmeldungen sind wenig zielführend, wenn die Informationslage nicht angemessen aufbereitet wurde. Insoweit sind vor allem die folgenden Aspekte bei der Bearbeitung von Auskunftsersuchen zu bedenken:
Grundsätzlich sind Betroffenenbegehren gemäß Art. 12 Abs. 3 Satz 1 DS-GVO binnen eines Monats nach Antragstellung zu bearbeiten. Allerdings kann diese Frist mit entsprechender Begründung um zwei Monate verlängert werden (Satz 2). Als solche Gründe kommen z.B. pandemiebedingter Personalmangel oder eine hohe Anzahl aktueller Anfragen in Betracht.
Art. 15 DS-GVO erlaubt eine Auskunft nur an die von der Datenverarbeitung betroffene Person. Bestehen aber Zweifel an der Identität des Antragstellers, kann Zeit gewonnen werden, indem die zur Identifizierung erforderlichen Informationen auf Grundlage von Art. 12 Abs. 6 DS-GVO angefordert werden.
Insbesondere Unternehmen, die große Mengen an Informationen über Personen verarbeiten oder deren Geschäftstätigkeit in hohem Maße diversifiziert ist, können und sollten bei pauschalen Auskunftsersuchen eine Präzisierung von Auskunftsersuchen fordern. Auf diese Weise – gerade auch wenn solche Ersuchen in eine angemessene Form gebracht und vielleicht sogar Vorteile einer Präzisierung wie etwa eine zügigere Bearbeitungsmöglichkeit adressiert werden – lässt sich eine ggf. zielgerichtete Informationsermittlung mit der Folge einer Fehlerreduktion erreichen. Dass Auskunftsersuchen organisatorisch nicht von unterschiedlichen Stellen im Unternehmen beantwortet werden sollten, sondern eine zentrale Zuständigkeit – bestenfalls ein Datenschutzbeauftragter – begründet werden sollte, versteht sich dabei von selbst.
Rechtliche Maßnahmen
Eine rechtliche Handhabe speziell gegen rechtsmissbräuchlich provozierte Schadenersatzbegehren findet sich in Art. 12 Abs. 5 Satz 2 lit. b) DS-GVO. Danach kann sich der Verantwortliche im Falle „exzessiver“ Anträge weigern, tätig zu werden. Die Literatur versteht die Formulierung „exzessiv“ als Generalklausel, die auch rechtsmissbräuchliches Verhalten erfasst, wobei im Kern auf die auch für § 242 BGB etablierten Grundsätze zur Beurteilung rechtsmissbräuchlichen Verhaltens rekurriert werden dürfte.
Unter „Missbrauchsfälle“ ließen sich die mit kommerziellen Absichten verfolgten provozierten Schadensersatzansprüche sicherlich einordnen, liegt ihnen doch eine Fremdschädigungs- oder jedenfalls eine Eigenbereicherungsabsicht zugrunde. Allerdings ist zu beachten, dass es sich noch um rechtlich „unsicheres Terrain“ handelt, zu dem keine gefestigte Rechtsprechung existiert. In der Praxis stellt sich zudem die Herausforderung, dass der Verantwortliche im Falle der Weigerung das rechtsmissbräuchliche Verhalten des Betroffenen gemäß Art. 12 Abs. 5 Satz 3 DS-GVO beweisen muss – zumal die unberechtigte Weigerung ein nicht unerhebliches Prozesskosten- und Bußgeldrisiko birgt. Zwar beurteilt sich die Rechtsmissbräuchlichkeit aufgrund einer objektiven Bewertung der Umstände des Einzelfalls; dies ändert aber nichts daran, dass ein kommerziell-missbräuchliches Vorgehen des Betroffenen für den Verantwortlichen regelmäßig nicht ohne Weiteres erkennbar ist, handelt es sich doch um eine innere Absicht. Hier können indes Erfahrungen aus dem Wettbewerbsrecht fruchtbar gemacht werden: Ähnlich wie bei den inzwischen berüchtigten „Massenabmahnern“ dürften sich Gerichte offen für die Annahme rechtsmissbräuchlichen Verhaltens zeigen, wenn nachgewiesen werden kann, dass der Anspruchssteller in einer Vielzahl von gleichgelagerten Fällen Schadensersatz geltend macht bzw. der involvierte Rechtsanwalt entsprechende „Geschäftsmodelle“ anbietet. Diese wettbewerbsrechtliche Wertung, die im UWG in § 8c Abs. 2 Nr. 1 gesetzlich verankert ist, lässt sich nämlich auf datenschutzrechtliche Missbrauchspraktiken übertragen. Und manchmal hilft insoweit schon eine kurze Internetrecherche, um herauszufinden, ob der Anspruchsteller zu den „üblichen Verdächtigen“ zählt.
Fazit
Obwohl viele Details des datenschutzrechtlichen Schadensersatzanspruchs noch unklar sind, kann man sich gegen die Missbrauchspraxis vor allem organisatorisch wirksam wappnen. Auskunfts- und Löschungsanfragen sind unbedingt zutreffend und vollständig zu beantworten (Schweigen ist hier ausnahmsweise kein Gold), wobei sämtliche datenschutzrechtlich relevanten Prozesse gründlich zu dokumentieren sind. Dies gilt auch und insbesondere für den internen Prozess der Auskunftserteilung, der im Kern einen ganz erheblichen Beitrag gegen Fehler leisten kann.
Wenn es dann tatsächlich zu konkreten Schadensersatzforderungen kommen sollte: Ruhe bewahren. Nicht unter Druck setzen zu lassen. Prüfen, mit wem man es zu tun hat. Und nicht zuletzt: Bei Missbrauchs-Verdachtsfällen wehren.
