Seit Mai 2018 ist die europäische Datenschutzgrundverordnung, die DSGVO, in der Rechtswirklichkeit angekommen. Stellten die ersten ein bis zwei Jahre noch eine gewisse Schonfrist dar innerhalb derer sowohl Behörden als auch private Rechtsanwender sich an die Neuerungen herantasteten, hat sich dies in letzter Zeit mehr und mehr gewandelt: Zum einen verhängen Behörden immer höhere Bußgelder. Zum anderen haben auch private Akteure das Feld der DSGVO für sich entdeckt. Daher ist es auch nicht überraschend, dass sich immer mehr Urteile mit der Frage beschäftigen, ab wann und in welchem Umfang der von einer unberechtigten Verarbeitung seiner Daten Betroffene vom „Täter“ Schadensersatz verlangen kann.
Ausgangspunkt der Überlegung ist die Regelung in Art. 82 DSGVO: Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen (oder Auftragsverarbeiter). Anders als im deutschen Recht üblich, setzt die DSGVO in diesem Zusammenhang auf Abschreckung. Nach Erwägungsgrund 146 zur DSGVO soll der Begriff des zu ersetzenden Schadens weit ausgelegt werden und so auch sicherstellen, dass die Ziele der DSGVO voll erreicht werden. Dabei ist auch Prävention ein solches Ziel der DSGVO. Gerichtliche Entscheidungen sollen daher berücksichtigen, ob durch diese ein hinreichender Anreiz gesetzt wird, künftige Verstöße zu unterlassen bzw. zu vermeiden.
Hierzu will es nicht recht passen, dass deutsche Instanzgerichte, wohl um eine ausufernde Entwicklung zu verhindern, zuletzt häufig Klagen auf Schadensersatz abgewiesen haben. Die regelmäßige Begründung: Es müsse erst eine gewisse Erheblichkeitsschwelle überschritten sein, um Schadensersatz zuzusprechen.
Dieser Sichtweise hat das Bundesverfassungsgericht (BVerfG) jüngst mit einer deutlichen „verfassungsrechtlichen Ohrfeige“ eine Absage erteilt (B. v. 14.01.2021, 1 BvR 2853/19). Ausgangspunkt der Entscheidung war ein Rechtsanwalt, der unzulässigerweise eine Werbe-E-Mail an seine dienstliche E-Mail-Adresse erhalten hatte. Das zuständige Amtsgericht (AG) Goslar wies seine daraufhin erhobene Klage ab. Es bestehe kein Schaden, weil die Rechtsverletzung unerheblich sei, so das AG Goslar. Das durch den Rechtsanwalt sodann angerufene BVerfG stellte fest, dass das AG Goslar seinen Bewertungsspielraum unvertretbar überschritten habe. Da eine Erheblichkeitsschwelle in der DSGVO nicht angelegt sei, habe das AG Goslar eine solche nicht eigenmächtig annehmen dürfen.
Mit dieser Entscheidung des BVerfG sind zwar noch nicht alle Detailfragen des DSGVO-Schadensersatzanspruches geklärt. Sicher ist jedoch, dass die Entscheidung Betroffene motivieren wird, bei Verstößen gegen die DSGVO gegen die Verantwortlichen zu klagen – dann wohl mit deutlich besseren Aussichten als bislang!