Betroffene haben einen Schadensersatzanspruch aus Art. 82 DSGVO bei unberechtigter Datenübermittlung an Wirtschaftsauskunfteien
LG Lüneburg, Urteil vom 14. Juli 2020 – 9 O 145/19
“Bonität” und “Kreditwürdigkeit” sind für Verbraucher, Existenzgründer, Freiberufler, Unternehmer etc. ein allgegenwärtiges Thema. Eine “gute Bonität” ist Voraussetzung für die volle Teilhabe am wirtschaftlichen, sozialen, aber auch kulturellen Leben. In keinem anderen Land der EU werden “Bonitätsdaten” so umfassend erhoben, gespeichert und übermittelt, wie in Deutschland. Bei einem so genannten “Negativ-Schufaeintrag” ist der Verbraucher oder Unternehmer erledigt: kein Mietvertrag, kein Mobilfunkvertrag, kein günstiger Strom- oder Gasvertrag, kein Darlehen oder nur solche Darlehen mit ungünstigen Konditionen. Die “Kreditwürdigkeit” ist somit existentiell.
Umso mehr stellt sich für Verbraucher und Unternehmer die Frage: Kann ich Ersatz des materiellen oder immateriellen Schadens verlangen, der mir durch eine unzulässige oder unberechtigte Datenübermittlung an eine Wirtschaftsauskunftei entstanden ist, verlangen?
Die Antwort ist: grundsätzlich ja, es kommt entscheidend auf Ihren Vortrag an.
Woraus folgt der Anspruch?
Art. 82 der Datenschutz-Grundverordnung (DSGVO) schafft eine neue eigenständige Anspruchsgrundlage. Ihr Zweck ist es, durch Datenschutzrechtsverletzungen erlittene materielle und immaterielle Schäden auszugleichen. Art 82 DSGVO ist als Ergänzung zum nationalen Schadenersatzrecht und als eine Art lex specialis eines datenschutzrechtlichen Schadenersatzrechts zu betrachten (Oberster Gerichtshof Wien, Beschluss vom 23.05.2019, GZ 6 Ob 91/19d, Ziffer 3.1 mit weiteren Nachweisen).
Nach Erwägungsgrund 146 zur DSGVO steht dieser eigenständige Schadensersatzanspruch der betroffenen Personen gegenüber den Datenverarbeitenden mit anderen vertraglichen, quasi-vertraglichen und deliktischen Ansprüchen nach Unionsrecht oder nach dem nationalen Recht in Anspruchskonkurrenz. Das Bedeutet, dass dieser Anspruch autonom nach den Regeln des Unionsrechts auszulegen ist und nicht durch nationales Recht verdrängt werden kann.
Wann ist Art. 82 DSGVO einschlägig?
Art. 82 DSGVO setzt zunächst eine Datenverarbeitung voraus, die in den sachlichen Anwendungsbereich der DSGVO fällt. Nach Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
„Verarbeitung“ ist gemäß Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Der Oberste Gerichtshof in Wien hat in seinem Urteil vom 20.12.2018, 6Ob131/18k sauber erörtert, was unter einer “automatisierten Datenverarbeitung” zu verstehen ist:
Eine automatisierte Verarbeitung liegt immer dann vor, wenn Datenverarbeitungsanlagen zum Einsatz kommen, wobei unerheblich ist, ob die Dateien in irgendeiner Weise strukturiert abgespeichert sind (Kühling/Raab in Kühling/Buchner, DS-GVO/BDSG² [2018] Art 2 DS-GVO Rz 16; Schaffland/Holthaus in Schaffland/Wiltfang, DS-GVO/BDSG [2017] Art 2 DS-GVO Rz 2 [eine automatisierte Datenverarbeitung liegt vor, soweit der Einsatz der Datenverarbeitungsanlage zur Zugänglichkeit der Daten und zur Auswertung des Datenbestands beiträgt, wobei allerdings die rein manuelle Auswertung automatisch aufgezeichneter Daten diese Voraussetzung nicht erfüllt]). Damit führt jede Benutzung von Computer, Internet oder E-Mail zur Anwendbarkeit der Verordnung, sobald personenbezogene Daten involviert sind (Ernst in Paal/Pauly, DS-GVO BDSG² [2018] Art 2 DS-GVO Rz 5; Zerdick in Ehmann/Selmayr, DS-GVO [2017] Art 2 Rz 3 [der weite Begriff des Art 2 Abs 1 DSGVO dürfte sämtliche heute gebräuchlichen rechnergestützten Verarbeitungen personenbezogener Daten erfassen]; vgl auch Kühling/Raab in Kühling/Buchner, DS-GVO/BDSG² [2018] Art 2 DS-GVO Rz 12, 15).
Der Ausdruck „Dateisystem“ bezeichnet jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird (vgl. Art. 4 Nr. 6 DSGVO).
Beide Begriffe „Verarbeitung“ und „Datensystem“ sind sehr weit zu verstehen (Kühling/ Buchner/Kühling/Raab, 2. Auf. 2018, Art. 2 DSGVO Rz. 15; Paal/Pauly/Ernst, Art. 2 DSGVO Rz. 5, 6). Erfasst werden somit
sämtliche elektronisch gespeicherten personenbezogenen Daten (Plath/Plath, Art. 2 Rz. 7; Ehmann/Selmayr/Zerdick, Art. 2 DSGVO Rz. 3) sowie
Papierakten, die nach bestimmten Kriterien geordnet sind (Erwägungsgrund 15 Satz 3 DSGVO), z.B. nach Personen oder bestimmten Merkmalen sortiert sind (Paal/ Pauly/Ernst, Art. 2 Rz. 10 DSGVO).
Die DSGVO findet somit keine Anwendung, wenn es an einer „Struktur“ und an der „Zugänglichkeit“ der Daten fehlt. Dies ist zum Beispiel bei einem einfachen privaten handschriftlichen Zettel oder einer einfachen Papierliste der Teilnehmer an einer Veranstaltung, die nicht weiterverarbeitet wird, der Fall.
"Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person“) beziehen (Art 4 Nr. 1 DSGVO). Personenbezogene Daten sind somit sehr weit zu verstehen (vgl. auch OLG Köln, Urteil vom 26. Juli 2019 – 20 U 75/18). Durch die Entwicklung der Informationstechnologie mit ihren umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten gibt es keine belanglosen Daten mehr (so bereits BVerfG, Urteil vom 15.12.1983, Az. 1 BvR 209/83). Personenbezogene Daten sind dann auch gegeben, wenn in Gesprächsvermerken oder Telefonnotizen Aussagen des Betroffenen oder Aussagen über den Betroffenen festgehalten sind. Jeder Bezug zu einer Person ist ausreichend. Dabei macht es keinen Unterschied, ob die Daten, z.B. die IP-Adresse, pseudonymisiert oder personalisiert erhoben werden (vgl. BGH, Urteil vom 28. Mai 2020 – I ZR 7/16). Denn auch eine Pseudonymisierung kann Rückschlüsse auf eine bestimmte Person zulassen.
Wer kann Schadensersatz verlangen?
Inhaber des Anspruchs aus Art. 82 Abs. 1 DSGVO ist die “betroffene Person”, d.h. diejenige, deren personenbezogene Daten rechtswidrig verarbeitet werden (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO, Rn. 3; Neun/ Lubitzsch, BB 2017, 2563, 2568).
Von wem kann Schadensersatz verlangt werden?
Nach Art. 82 Abs. 2 Satz 1 DSGVO haftet der Verantwortliche (vgl. Art. 4 Ziff. 7 DSGVO), d.h. jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In bestimmten Fällen haftet gemäß Art. 82 Abs. 2 Satz 2 DSGVO auch der Auftragsverarbeiter, d.h. derjenige, der im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet.
Unter welchen Voraussetzungen kann Schadensersatz verlangt werden?
Der Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO setzt einen “Verstoß” gegen die DSGVO und einen hierdurch verursachten materiellen oder immateriellen Schaden voraus. Das bedeutet, dass der Verantwortliche oder der Auftragsverarbeiter eine konkrete Vorschrift der DSGVO verletzt haben muss und dass die betroffene Person durch diese Verletzung konkrete Nachteile erlitten hat.
Art. 83 Abs. 4 und 5 DSGVO bietet eine Orientierung bezüglich relevanter Verstöße, die einen Schaden begründen können:
die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4,
die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;
die Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.
Die Aufzählung ist nicht abschließend.
Bei der Datenübermittlung an Wirtschaftsauskunfteien kommt regelmäßig in Betracht ein Verstoß gegen die Grundsätze für die Verarbeitung, insbesondere die fehlende Einwilligung der betroffenen Person gemäß den Artikeln 6 Abs. 1 a), 7 Abs. 1 DSGVO, die Verletzung des Grundsatzes der Datenminimierung aus Art. 5 Abs. 1 c) DSGVO oder das Fehlen eines berechtigten Interesses des Verantwortlichen oder des Auftragsverarbeiters nach Art. 6 Abs. 1 f) DSGVO.
In die Übermittlung von Negativmerkmalen an Wirtschaftsauskunfteien, insbesondere die Schufa, wird eine natürliche Person vernünftigerweise nie einwilligen wollen.
Deshalb stellt sich in der Praxis stets die Frage der Rechtfertigung der Übermittlung aufgrund berechtigten Interesses des anderen Vertragspartners oder der Wirtschaftsauskunfteien. In der Literatur und Rechtsprechung ist anerkannt, dass Wirtschaftsauskunfteien als eine Art “Warnsystem” zu sehen sind und die Erhebung, Speicherung und Übermittlung von Bonitätsdaten der Sicherung einer funktionstüchtigen Kreditwirtschaft, insbesondere der Minimierung des finanziellen Ausfallrisiko und der Bewahrung der Empfänger vor Verlusten oder einer übermäßigen Verschuldung dient und damit ein berechtigtes Interesse iSd Art. 6 Abs 1 f) DSGVO darstellt (vgl. OLG Düsseldorf, Urteil vom 13. Februar 2015 – I-16 U 41/14). Dieser Grundsatz gilt jedoch nicht uneingeschränkt, wie selbst aus Art. 6 Abs. 1 f) DSGVO ausdrücklich hervorgeht:
“die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.”
Das bedeutet mit anderen Worten: Interessenabwägung, d.h. schonender Ausgleich zwischen den berechtigten Interessen des Verantwortlichen oder eines Dritten und den Grundrechten und Grundfreiheiten der betroffenen Person, insbesondere deren informationellen Selbstbestimmungsrecht aus Art. 2 Abs. 1 in Verbindung mit art. 1 Abs. 1 GG, Art. 8 EMRK sowie Art. 7 und 8 Grundrechte-Charta. Hierzu hat die Rechtsprechung in Anlehnung an die alte Vorschrift des § 28a Abs. 1 Satz 1 BDSG a.F. Grundsätze entwickelt. Eine Übermittlung von (negativen) Bonitätsdaten ist beispielsweise nicht gerechtfertigt, wenn die Forderung bestritten ist und noch nicht durch einen gerichtlichen Titel bestätigt ist, oder wenn, wie das LG Lüneburg im o.g. Urteil ausgeführt hat, die Forderung geringfügig ist, was bei Forderungen unter 50,00 € jedenfalls der Fall sein dürfte. Ein überwiegendes berechtigtes Interesse des Verantwortlichen oder eines Dritten kann in diesen Fällen nicht angenommen werden. In Zukunft werden auch weitere Gesichtspunkte, wie höhere Gewalt oder außergewöhnliche Umstände (z. B. die so genannte “Corona-Pandemie”), bei nicht nur geringfügigen Forderungen zu berücksichtigen sein, z.B. im Rahmen eines Dauerschuldverhältnisses (ein Mietvertrag oder Telekommunikationsvertrag), wenn eine Partei die Mieten oder die Rechnungen über einen längeren Zeitraum stets pünktlich bezahlt hat, zeitweise aber in Schwierigkeiten geraten ist und deshalb Zahlungsschwierigkeiten hat. In diesen Fällen kann sich aus der Pflicht des anderen Vertragspartners zur Rücksichtnahme (§ 241 Abs. 2 BGB) ergeben, von der Datenübermittlung zumindest zweitweise abzusehen.
Liegt weder die Einwilligung der betroffenen Person noch ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vor, verstößt die Übermittlung in aller Regel auch gegen den Grundsatz der Datenminimierung aus Art. 5 Abs. 1 c) DSGVO. Denn personenbezogene Daten sollen nur so viel wie nötig und so wenig wie möglich verarbeitet werden.
Welcher Schaden kann ersetzt werden?
Art. 82 Abs. 1 DSGVO spricht von “materieller und immaterieller Schaden”. Aus dem Wortlaut ergibt sich damit keine nähere Definition des Schadensbegriffs. Allerdings folgt aus Erwägungsgrund 146, dass der Schadensbegriff im Lichte der Rechtsprechung des EuGH weit auszulegen ist und dementsprechend sämtliche materiellen und immateriellen Schäden umfasst, die durch einen Verstoß verursacht wurden (Neun/Lubitzsch, BB 2017, 2563, 2567; Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO, Rn. 7).
Juristisch wird unter “materieller Schaden” immer vermögensbezogene Nachteile der betroffenen Person einschließlich unmittelbarer Folgeschäden verstanden, die in form finanzieller Nachteile wie eines entgangeneren Gewinns oder Kredits, verlorenen Kapitals oder sonstiger Verluste von Vermögenswerten entstehen können. Eine Datenübermittlung kann dazu führen, dass sich die Bonität, ( “Schufa-Score”) verschlechtert und die betroffene Person einen anvisierten Kredit nicht mehr zu günstigen Konditionen abschließen kann, z.B. höhere Zinsen zahlen muss. Der Vermögensschaden besteht in diesem Fall in der Differenz zwischen den tatsächlich anfallenden Zinsen und den günstigeren Zinsen, die angefallen wären, wenn keine unzulässige Übermittelung von Negativmerkmalen und damit Verschlechterung der Bonität stattgefunden hätte. Je nach der Höhe des Darlehens kann die Zinsdifferenz beträchtlich sein.
Nach Art. 82 Abs. 1 DSGVO sind auch immaterielle Schäden, die aus der Verletzung des allgemeinen Persönlichkeitsrechts resultieren, zu ersetzen (Neun/ Lubitzsch, BB 2017, 2563, 2567). Dabei ist der Anspruch - anders als bei § 8 Abs. 2 BDSG a.F. - nicht auf schwere Verletzungen beschränkt (Becker in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Artikel 82 DSGVO, Rn. 7). Insoweit normiert Art. 82 DSGVO keine Erheblichkeitsschwelle für den Ersatz des immateriellen Schadens. Erforderlich ist lediglich eine Berührung geschützter Persönlichkeitsrechtsbelange von nicht unerheblicher Bedeutung (vgl. Landesgericht Feldkirch, Urteil vom 07. August 2019 – 57 Cg 30/19b - 15 –). Bei Bonitätsdaten handelt es sich um sensible Daten, deren Übermittlung an Dritte nicht lediglich Unlustgefühle oder eine emotionale Betroffenheit auslöst, sondern vielmehr eine gravierende Verletzung des Selbstbestimmungsrechts der betroffenen Person sowie einen massiven Eingriff in ihr Recht aus Art. 8 EMRK iVm Art. 7 und 8 GrCh auf Achtung des Privatlebens darstellt. Bereits in seinem Urteil vom 05. Oktober 1994 – C-404/92 P , stellte der EuGH klar, dass das in Art. 8 EMRK verankerte Recht auf Achtung des Privatlebens ein von der Gemeinschaftsrechtsordnung geschütztes Grundrecht darstellt. Dieses ist nun auch in Art. 7 und 8 GrCh ausdrücklich verankert. Die OSGVO hat durch das Erfordernis einer vorherigen ausdrücklichen Einwilligung der betroffenen Person oder überwiegender berechtigter Interessen des Verantwortlichen die Grund- und Menschenrechte aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG, Art. 8 EMRK, 7 und 8 GrCh gestärkt. Es ist unter diesen Gesichtspunkten vollkommen gerechtfertigt, der betroffenen Person bei unzulässigen Datenübermittlungen einen angemessenen immateriellen Schaden, genauer gesagt eine angemessene Entschädigung in Geld (“Schmerzensgeld” - wird vom Verfasser gemieden, da es veraltet ist!), zuzuerkennen.
Die Entschädigung in Geld muss gemäß Erwägungsgrund 146 zur DSGVO so bemessen werden, dass sie der Genugtuungs- und der Abschreckungsfunktion des Schadensersatzes entfalten kann. Der Schadensersatz muss vollständig und wirksam sein. Das LG Lüneburg sprach der klagenden Partei in seinem o.g. Urteil eine Entschädigung in Geld in Höhe von 1.000,00 € zu. Nach Auffassung des Verfassers besteht noch mehr Spielraum nach oben. Insbesondere die Abschreckungsfunktion verlangt empfindliche Sanktionen, um Verantwortliche zur Rechtswahrung und Meidung zukünftiger Verstöße anzuhalten. Denn Verstöße gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9 und die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22, hat der Verordnungsgeber als schwerwiegend eingestuft. Sie können nach Art. 83 Abs. 5 a) und b) DSGVO mit Bußgeld in Höhe von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs - sanktioniert werden.
Nichtsdestotrotz ist das Urteil des Landgerichts Lüneburg wegweisend. Insbesondere vor dem Hintergrund der Auffassung des Obersten Gerichtshofs in Wien, der zufolge betroffenen Personen ein Wahlrecht beim Rechtsschutz zusteht (Beschwerde bei der Datenschutzbehörde oder Klage vor dem Zivilgericht) sind in Zukunft noch weitergehende Urteile zu erwarten.
Wer trägt die Beweislast für den Schaden?
Nach Art. 82 Abs. 3 DSGVO indiziert der Datenschutzverstoß das Verschulden des Verantwortlichen oder des Auftragsverarbeiters (Verschuldensvermutung), Er muss nachweisen, dass er die Verletzung nicht zu vertreten hat.
Anders verhält es sich aber bei der Kausalität für den Schaden, d.h. der Nachweis, dass der materielle oder immaterielle Schaden durch den konkreten Datenschutzverstoß verursacht wurde. Hier trägt die betroffene Person die Beweislast. Insoweit kennt die DSGVO keine Beweislastumkehr (Oberster Gerichtshof Wien, Urteil v. 27.11.2019 - Ob 217/19h). Konkret bedeutet dies, dass Sie bei Verletzung einer DSGVO-Vorschrift nicht ohne weiteres einen Schaden geltend machen können. Die Verletzung als solche löst noch keinen Schadensersatz aus. Vielmehr müssen Sie bzw. Ihr Anwalt konkret vortragen und darlegen, welche Nachteile Ihnen durch den konkreten Verstoß entstanden sind. Wenn Sie z.B. einen finanziellen Verlust behaupten, dann müssen Sie Tatsachen vorbringen, z.B. genau angeben, welches Geschäft Sie anvisiert hatten, warum Sie dieses Geschäft nicht oder nur mit Nachteilen abgewickelt haben, und Unterlagen als Beweismittel vorlegen. Auch beim immateriellen Schaden, der so genannten Entschädigung in Geld, müssen Sie die Unlustgefühle oder die emotionalen Nachteile schildern, die Sie infolge des Verstoßes erlitten haben, z.B. dass Sie sich so massiv geärgert haben, sich bloßgestellt gefühlt haben, in Ihrem Wunsch nach ungestörtem Tagesablauf beeinträchtigt wurden (u.B. durch eine unerbetene Telefonwerbung). Ein guter Anwalt hilft Ihnen dabei, Ihre Erfahrungen, Erlebnisse und Gefühle geordnet vor Gericht vorzubringen.
Ich unterstütze Sie bei allen Fragen zur DSGVO und Ihren Rechten. Die DSGVO ist ein starkes Instrument zur Schaffung von Transparenz und Datensicherheit. Werden Sie tätig, wenn Ihre Datenschutzbelange berührt werden. Ich helfe Ihnen dabei mit Wissen und Praxiserfahrungen. Durch Meine Ausbildung in mehreren europäischen Ländern und meine Sprachkompetenz habe ich einen sehr weiten Horizont. Ich ziehe bei der Mandatsbearbeitung auch die Rechtsprechung der oberen und obersten Gerichte anderer Mitgliedstaaten heran - für Ihre bestmögliche Verteidigung. Denn das Unionsrecht kennt innerhalb der EU keine Grenzen.
Sprechen Sie mich an!