OLG Hamm befeuert Streit um Schadensersatz wegen Datenschutzverstößen
Viele Massenklagen werden an dem geforderten Nachweis einer individuell erlittenen Beeinträchtigung scheitern.
Datenschutzklagen haben derzeit Aufwind. Die EU-Datenschutz-Grundverordnung (DSGVO) ermöglicht nicht nur Milliardenbußgelder. Kläger können bei einer unzulässigen Verarbeitung ihrer Daten auch immateriellen Schadensersatz fordern. Bislang haben deutsche Gerichte bis zu 10 000 Euro DSGVO-Schmerzensgeld zugesprochen. Die Voraussetzungen solcher Ansprüche sind sehr umstritten. Zwar hatte der EuGH am 4.5.2023 in der Rechtssache C-300/21 (BB 2023, 1106 m. BB-Komm. Ashkar/Schröder) entschieden, dass auch geringfügige Schäden wegen Verstößen gegen die DSGVO auszugleichen sind. Der EuGH hat aber – wie so oft – viele für die Praxis wichtige Fragen offengelassen. Diese Unsicherheit scheint etwa für sog. “Dieselkanzleien” und auf DSGVO-Klagen spezialisierte Anbieter ein “gefundenes Fressen” zu sein. Gerade nach von Hackern verursachten Cybersecurity Incidents oder sonstigen Datenpannen werfen sie dem von dem Vorfall betroffenen Unternehmen vor, es habe gegen die DSGVO verstoßen. Denn es habe die gesetzlich vorgeschriebene Datensicherheit nicht sichergestellt. Damit werben sie um von dem Vorfall betroffene Kunden der jeweiligen Unternehmen, für die sie dann – oft massenhaft – Schadensersatzforderungen geltend machen.
In diese aufgeheizte Situation platzt nun ein bemerkenswertes Urteil des OLG Hamm vom 15.8.2023 (7 U 19/21, BB 2023, 2113, Ls.). Zwei Aspekte der Entscheidung sind dabei besonders wichtig. Zum einen weist das OLG Hamm die Darlegungs- und Beweislast für die Einhaltung der Grundsätze der DSGVO pauschal dem beklagten Unternehmen zu. Zum anderen kann die Entscheidung künftige weitere Massenklagen dadurch erschweren, dass sie einen Nachweis einer individuell empfundenen Beeinträchtigung des jeweiligen Klägers fordert.
Das OLG Hamm geht davon aus, dass Art. 5 Abs. 2 DSGVO eine Sonderregelung zur Darlegungs- und Beweislast enthalte. Danach müssten datenschutzrechtlich Verantwortliche nachweisen können, dass sie die Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO einhalten. Hieraus folgt nach Ansicht der Richter eine Beweislast insbesondere dafür, dass die Beklagte personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben hat. Und dass sie diese Daten auf rechtmäßige und in einer für die betroffene Person nachvollziehbaren Weise und nach Treu und Glauben verarbeitet. Die DSGVO gebe damit auch für Zivilprozesse eine spezifische Beweislastregelung vor. Dementsprechend müssten Beklagte auch dort darlegen und beweisen können, dass sie nicht gegen die Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO verstoßen haben. Damit setzen sich die Richter nicht nur zu einer aktuellen Entscheidung des BAG in Widerspruch (Urteil vom 29.6.2023 – 2 AZR 296/22, BB 2023, 1971, Ls.). Auch andere Oberlandesgerichte haben sich bereits klar dagegen ausgesprochen, das vage formulierte datenschutzrechtliche Rechenschaftsgebot als Beweisregel zu interpretieren, etwa das OLG Stuttgart (Urteil vom 31.03.2021 – 9 U 34/21, K & R 2021, 748).
Die DSGVO selbst konkretisiert die allgemeine Nachweispflicht durch eine Reihe spezifischer Anforderungen, etwa das Führen eines Verarbeitungsverzeichnisses oder die Dokumentation von Datenschutz-Folgenabschätzungen. Aber eine ausdrückliche Regelung der Darlegungs- und Beweislast findet sich dort nicht. Aus gutem Grund. Wenn der EU-Gesetzgeber tatsächlich eine Beweisregel treffen will, tut er dies auch – und zwar ausdrücklich. So sprechen etwa Art. 2 der KartellverfahrensVO (EG) Nr. 1/2003, Art. 18 RL (EU) 2023/970, Art. 8 FluggastrechteRL (EU) 2015/2302 und viele andere europarechtliche Normen sehr klar von einer ausdrücklichen Zuweisung der Beweislast an eine Partei eines Verfahrens.
Deutlich überzeugender sind dagegen die Überlegungen des OLG Hamm zum Nachweis eines immateriellen Schadens durch die Klägerin. Wie so oft in derartigen Verfahren hatte die Klägerin den von ihr geltend gemachten Schadensersatzanspruch vor allem auf den Verlust der Kontrolle über ihre personenbezogenen Daten gestützt. In Anlehnung an die bereits oben angesprochene EuGH-Entscheidung betont das OLG Hamm, dass ein Verstoß nicht bereits einen Schaden darstellt. Vielmehr müssten Kläger einen konkret und individuell erlittenen Schaden darlegen und ggf. beweisen. Der formelhafte und in einer Vielzahl von Verfahren von Klägern gleichlautend angeführte Vortrag möglicher Ängste und Sorgen reiche nicht aus. Vielmehr müsse vorliegend die einzelne Klägerin mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall Umstände darlegen, in denen sich ihre subjektiven Empfindungen widerspiegelten. Dies setze etwa konkret-individuellen Vortrag dazu voraus, wann, wie häufig und auf welchem Weg die Klägerin von Spamming, Phishing oder anderen Missbrauchsversuchen betroffen war.
Der vom OLG Hamm geforderte Nachweis einer individuellen Beeinträchtigung ist einerseits sachgerecht und kann Missbrauchsfällen effektiv vorbeugen. Andererseits ermöglicht es dieser Ansatz Klägern, die tatsächlich Schäden erlitten haben, diese ohne übermäßige Hürden geltend zu machen. Pauschal begründete Massenklagen dürfte er hingegen erschweren.
Nun bleibt abzuwarten, welche weiteren Vorgaben EuGH und BGH zur Auslegung der DSGVO und des nationalen Rechts zur Darlegungs- und Beweislast und zum Nachweis individueller Schäden machen. Bis dahin dürfte aufgrund der uneinheitlichen Rechtsprechung die Anzahl von Klagen auf DSGVO-Schadensersatz vor deutschen Gerichten weiter zunehmen.
Tim Wybitul, RA/FAArbR und CIPP/E, ist Partner der Sozietät Latham & Watkins LLP in Frankfurt a. M. Er berät umfassend im Datenschutzrecht. Insbesondere verteidigt er Unternehmen in Bußgeldverfahren und sonstigen gerichtlichen oder verwaltungsrechtlichen Verfahren im Datenschutz.