Nicht genug geärgert für immateriellen Schadensersatz
Kommentar zu den Schlussanträgen von Generalanwalt Sánchez-Bordona im Vorabentscheidungsverfahren C-300/21
Die in Art. 82 Abs. 1 DSGVO vorgesehene Ersatzfähigkeit immaterieller Schäden aus DSGVO-Verletzungen sorgt vor den Gerichten der Mitgliedstaaten für beträchtliche Unsicherheiten, was sich in gegenwärtig neun Vorabentscheidungsersuchen an den EuGH zu dieser Thematik äußert. In dem am weitesten fortgeschritten Verfahren C-300/21 (UI gegen Österreichische Post AG) wurden am 06.10.2022 die Schlussanträge von Generalanwalt Sánchez-Bordona veröffentlicht. Die darauffolgende Entscheidung des EuGH dürfte richtungsweisend für die Durchsetzbarkeit immaterieller Schadensersatzansprüche aus Datenschutzverletzungen werden.
Mehrere Vertreter der datenverarbeitenden Industrie haben die Schlussanträge begrüßt und von „welcome indication“ über „Advocate General does not let liability get out of hand“ bis hin zu „good news for controllers“ gesprochen, während Verbraucherschutzorganisationen Bedenken geäußert haben (z.B. BEUC oder noyb). Dieser Beitrag möchte aufzeigen, dass die Schlussanträge bedauerlich wenig zur Debatte beitragen, teils an der Sache vorbei argumentieren und den Gerichten schlicht keine praktikable Lösung zu den gestellten Vorlagefragen liefern. Abschließend wird dargelegt, dass immaterieller Schadensersatz für DSGVO-Verletzungen nicht bloß anhand der erlittenen Gefühlsbeeinträchtigung, sondern anhand mehrerer objektiver Merkmale bestimmt werden sollte.
1. Ausgangsrechtsstreit und Vorlagefragen
Der Kläger des Ausgangsrechtsstreits hatte über ein Auskunftsbegehren erfahren, dass die Österreichische Post AG (ÖPAG) ihm eine hohe Affinität zur rechtspopulistischen Freiheitlichen Partei Österreich (FPÖ) zugeschrieben hatte. Die ÖPAG hatte diesen Wert anhand soziodemografischer Merkmale zu Zwecken des Verkaufs an wahlwerbende Parteien errechnet, im Falle des Klägers aber nicht weitergeben, da er sich in die österreichische „Robinsonliste“ eingetragen hatte. Der Kläger begehrte € 1.000 Schadensersatz. Er sei beleidigt, erbost und verärgert über die ihm zugeschriebene Parteiaffinität; diese sei beschämend und kreditschädigend und habe bei ihm großes Ärgernis, einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst.
Die Gerichte erster und zweiter Instanz wiesen das Schadensersatzbegehren im Wesentlichen mit der Begründung ab, dass der geltend gemachte immaterielle Schaden unter einer gewissen „Erheblichkeit“ liege, die für Schadensersatz für die erlittene Persönlichkeitsbeeinträchtigung zu fordern sei. Der vom Kläger angerufene Oberste Gerichtshof (OGH) legte dem EuGH mit Vorlagebeschluss vom 15.04.2021 folgende Fragen vor:
- Erfordert der Zuspruch von Schadensersatz nach Art 82 DSGVO […] neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadensersatz aus?
- Bestehen für die Bemessung des Schadensersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
2. Vorlagefrage 1: Schadensersatz ohne Schaden – Schreckgespenst Strafschadensersatz
Redundante Vorlagefrage?
Der Generalanwalt behandelt Vorlagefrage 1 mit Abstand am Ausführlichsten, obwohl sich diese mit einem Verweis auf den Wortlaut des Art. 82 Abs. 1 DSGVO beantworten ließe. Anspruch auf Schadensersatz hat, wem „wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“.
Anders als Vorlagefrage 1 insinuiert, hatte der Kläger keinen Ersatz für die reine „Verletzung von Bestimmungen der DSGVO“ gefordert, sondern für die von ihm erlittenen Folgen (Rn. 17). Er sprach sich daher gegen die Zulässigkeit der Frage aus. Der Generalanwalt verwirft diese Einrede (Rn. 18) und erläutert infolgedessen über 60 Randnummern (Rn. 23 bis 82), warum Art. 82 DSGVO keinen „Schadensersatz für bloße Rechtsverletzungen“ und auch keine „unwiderlegbare Schadensvermutung“ vorsieht. Besonders ausführlich argumentiert er dabei gegen einen Strafschadensersatz – ein Schreckgespenst, dass bereits der OGH in seinem Vorlagebeschluss heraufbeschwört, ohne dass der Kläger jemals einen solchen gefordert hätte.
Im Ergebnis ist dem Generalanwalt durchaus zuzustimmen. Die DSGVO sieht weder Schadensersatz – sei es mit oder ohne Strafcharakter – für bloße Rechtsverletzungen vor, noch eine unwiderlegbare Schadensvermutung bei einer DSGVO-Verletzung. Die Argumente, anhand derer der Generalanwalt zu diesem Ergebnis gelangt, gehen aber teils an der Sache vorbei.
Keine Kontrolle, daher kein Kontrollverlust?
So verliert er sich in Rn. 64 bis 82 in Ausführungen zum Kontrollverlust und verknüpft diesen einerseits mit der Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, indem er diese als „Verkörperung“ der Kontrolle der betroffenen Person bezeichnet (Rn. 64). Andererseits verbindet er Kontrolle mit der Möglichkeit der Ausübung des Löschungsrechts gemäß Art. 17 Abs. 1 DSGVO (Rn. 67). Anschließend prüft der Generalanwalt die – niemals behauptete – „automatische Gleichstellung einer Verarbeitung personenbezogener Daten ohne Einwilligung der betroffenen Person mit einem ersatzfähigen Schaden“ (Rn. 68).
Diese Ausführungen übersehen, dass ein Kontrollverlust – für gewöhnlich verstanden als psychischer Druck, dass die Verarbeitung der personenbezogenen Daten gänzlich fremdbestimmt erfolgt – ganz unabhängig von der vom Verantwortlichen herangezogenen Rechtsgrundlage oder der Ausübung eines Betroffenenrechts erfolgen kann. Die DSGVO erwähnt den „Verlust der Kontrolle“ über personenbezogene Daten in Erwägungsgrund 85 als möglichen Schaden infolge eines Data Breach. Weitere Fälle eines Kontrollverlusts, der in einem ersatzfähigen Schaden resultiert, sind vorstellbar. Zu denken ist etwa an unzulässige Vorratsdatenspeicherung, die dem EuGH zufolge geeignet ist, bei betroffenen Personen, „das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist“ (C‑293/12 und C‑594/12 Digital Rights Ireland, Rn. 37) oder unzulässige Datenübermittlungen an Drittstaaten mit drohender geheimdienstlicher Überwachung und ohne Rechtsschutzmöglichkeiten (C-311/18 Schrems II). Ein tatsächlicher Missbrauch von Daten ist für das Gefühl des Kontrollverlusts nicht nötig.
Der Generalanwalt gelangt schließlich zu dem Ergebnis, dass eine Verarbeitung ohne Rechtsgrundlage noch keinen Schadensersatzanspruch wegen Kontrollverlusts begründet (Rn. 77), weist aber gleichzeitig darauf hin, dass ein Kontrollverlust für die Anerkennung immaterieller Schäden zu betrachten sein kann „und zwar in dem Sinne, dass die Reaktionen berücksichtigt werden, die auf einen solchen Verlust folgen“ (Fn. 57). Im Ergebnis bleibt damit offen, inwieweit die Ausführungen des Generalanwalts zur Klärung der Fragen zum immateriellen Schadensersatz beitragen sollen.
Freier Datenverkehr spricht gegen Schadensersatz?
Dasselbe gilt für den in Rn. 51 und 78 bis 82 hervorgestrichenen freien Datenverkehr in der Union als eines der Ziele der DSGVO. Es bleibt unklar, inwiefern das an die Mitgliedstaaten gerichtete Verbot, den Datenverkehr im Binnenmarkt zu beschränken (Art. 1 Abs. 3 DSGVO und Erwägungsgrund 3) im Zusammenhang mit immateriellem Schadensersatz im Fall von rechtswidriger Verarbeitung innerhalb eines Mitgliedsstaats von Relevanz sein soll.
3. Vorlagefrage 2: Unionsrechtliche Vorgaben oder Sache der Mitgliedstaaten?
Auch wenn Vorlagefrage 2 lediglich Vorgaben zur Schadensbemessung zum Gegenstand hat, liegt ihr doch eine tiefergehende Frage zugrunde: Strebt Art. 82 DSGVO eine möglichst umfassende Harmonisierung an, oder sollen die Mitgliedstaaten autonom festlegen können, wann ein ersatzfähiger immaterieller Schaden vorliegt? Die Schlussanträge deuten in beide Richtungen. In seinen knappen Überlegungen (Rn. 83 ff) betont der Generalanwalt, dass es sich bei Art. 82 DSGVO um eine harmonisierte und unmittelbar anwendbare Regelung handelt, und die Grundsätze der Äquivalenz und Effektivität des Unionsrechts insofern „keine erhebliche Rolle“ spielen. Gleichzeitig gelangt er bei Vorlagefrage 3 (hierzu Punkt 4) aber zu dem Ergebnis, dass es „Sache der nationalen Gerichte [ist], herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann“ (Rn. 117).
Das ist inkonsistent. Gerade wenn die Frage des Vorliegens und der Bemessung eines immateriellen Schadens rein Sache der Mitgliedstaaten bleibt, spielen genannten Grundsätze eine Rolle. Immaterielle Schadensersatzansprüche aus DSGVO-Verletzungen dürfen nicht schwieriger durchzusetzen sein, als derartige Ansprüche wegen anderer Rechtsverletzungen, die auf nationalen Normen basieren. Zu denken ist etwa Schmerzensgeld, wo Schadensersatz anhand von „Schmerzensgeldtabellen“, denen eine objektive Maßfigur zugrunde liegt, zugesprochen wird – unabhängig davon wie sehr ein Geschädigter (etwa an einem gebrochenen Knochen) tatsächlich gelitten hat. Diesen Widerspruch übersieht der Generalanwalt und lässt Vorlagefrage 2 letztlich schlicht unbeantwortet.
Es bleibt zu hoffen, dass sich der EuGH der Vorlagefrage 2 annimmt und Kriterien zu Vorliegen und Bemessung des Schadens aufstellt. Neben dem Prinzip der Verhältnismäßigkeit („geringer Schaden, geringer Ersatz“) sollten dabei vor allem Faktoren wie die Art der DSGVO-Verletzung, die mit der Verarbeitung verfolgten Zwecke, die betroffenen Datenkategorien sowie quantitative und zeitliche Komponenten berücksichtigt werden (siehe hierzu im Detail Punkt 5).
4. Vorlagefrage 3: De-minimis-Schwelle als zusätzliches ungeschriebenes Erfordernis
Der Generalanwalt hat keine Bedenken gegen die De-minimis-Schwelle – liefert aber keine Anhaltspunkte, wann sie überschritten wäre
Der Generalanwalt befasst sich in seinen Ausführungen zur Vorlagefrage 3 damit, ob es für immaterielle Schäden aus DSGVO-Verletzungen „eine Untergrenze für die Reaktion der betroffenen Person gibt, unterhalb deren kein Ersatz geleistet wird“ (Rn. 97). Danach führt er aus, warum er keine Bedenken gegen die Zulässigkeit einer solche Schwelle hat, die bislang vor allem in der deutschen Rechtsprechung Fuß gefasst hat.
Ähnlich wie bei Vorlagefrage 1 beschränkt er sich auf Abhandlungen, welche Beeinträchtigungen nicht ersatzfähig sind und lehnt Schadensersatz für „lediglich Zorn oder Ärger“ (Rn. 112), „bloße Unmutsgefühle“ (Rn. 113) und „schwache und vorübergehende Gefühle oder Emotionen“ (Rn. 115) ab. Eine positive Definition, was denn nun ein ersatzfähiger immaterieller Schaden sein kann, oder zumindest Überlegungen in diese Richtung, sucht man vergebens. Zum Schluss kapituliert der Generalanwalt geradezu, indem er betont, „dass die Grenze zwischen bloßem (nicht ersatzfähigem) Ärger und echten (ersatzfähigen) immateriellen Schäden unscharf ist, und […], dass es kompliziert ist, die beiden Kategorien abstrakt voneinander abzugrenzen und sie konkret in einem Rechtsstreit anzuwenden“ (Rn. 116). Im Endeffekt will er nicht ausschließen, dass die Situation des Klägers „in die eine oder andere Kategorie fällt“ (Fn. 86).
Immaterieller Schadensersatz für Datenschutzverletzungen ist ein Novum
Das prinzipielle Problem einer De-minimis-Schwelle ist, dass sie sich rasch zum Erfordernis einer zusätzlichen Rechtsverletzung auszuwachsen droht. Denkt man die Ausführungen des Generalanwalts zu Ende, verbleibt der Eindruck, dass nur starke, lange andauernde Gefühlsbeeinträchtigungen zu ersatzfähigem Schaden führen sollen. Damit befindet man sich aber bereits im Schutzbereich bestehender Normen, die das Recht auf Unversehrtheit der psychischen Gesundheit schützen, namentlich Art. 3 GRCh und entsprechender nationaler Normen. Art. 82 DSGVO wäre eine redundante Bestimmung, wenn der immaterielle Schadensersatz für Datenschutzverletzungen auf ein Schmerzensgeld für die erlittene psychische Beeinträchtigung hinausläuft.
Sowohl der Generalanwalt, als auch die nationalen Gerichte, die eine De-minimis-Schwelle befürworten, übersehen insofern, dass Art. 82 DSGVO das eigenständige Grundrecht nach Art. 8 GRCh effektuieren will und immaterieller Schadensersatz für Datenschutzverletzungen ein Novum ist. Für viele Grundrechtsverletzungen ist immaterieller Schadensersatz schließlich nicht vorgesehen – man denke etwa an das Recht auf Versammlungsfreiheit oder der Freiheit der Meinungsäußerung. Der europäische Gesetzgeber hat nun aber explizit einen immateriellen Schadenersatz für die Verletzung des Rechts auf Datenschutz eingeführt. Einen solchen durch die Einführung einer De-minimis-Schwelle auf gravierende Fälle von psychischen Beeinträchtigungen zu beschränken entspricht nicht dem Willen des Gesetzgebers. Mögliche Schwierigkeit bei der Bestimmung immaterieller Schäden sind auch aus anderen Rechtsgebieten, wie etwa dem Medien- oder dem europäischen Antidiskriminierungsrecht bekannt und kein valides Argument gegen die Ersatzfähigkeit geringer Schäden. Vielmehr braucht es sachliche Kriterien zur Schadensbestimmung – hierzu sogleich Punkt 5. In der Praxis ist ansonsten zu befürchten, dass Gerichte sich der komplexen Problematik des immateriellen Schadensersatzes vorschnell mit einer extensiven Anwendung der De-minimis-Schwelle entledigen.
Unzutreffende Ausführungen zu Rechtschutzalternativen
Um beim Thema Rechtsdurchsetzung in der Praxis zu bleiben, sei auch kurz auf die diesbezüglichen Ausführungen des Generalanwalts eingegangen. Anders als dieser argumentiert (Rn. 55 und Fn. 35, 36), droht keine missbräuchliche Geltendmachung von Schadensersatz. Aufgrund der – oft beträchtlichen – Kosten gerichtlicher Rechtsdurchsetzung würden betroffene Personen erst ab einer nennenswerten Schadenshöhe den Klageweg beschreiten. In diesem Zusammenhang ist auch inkonsistent, dass der Generalanwalt gerade beim immateriellen Schadensersatz eine Flut an Klagen mit kleinen Ansprüchen zu befürchten scheint, gleichzeitig aber auf Rechtschutzalternativen, wie symbolische Entschädigung oder Kondiktionsansprüche verweist (Rn. 90 f). In all diesen Fällen geringer Forderungen würden Gerichtskosten eine übermäßige Geltendmachung dämpfen.
Beschwerden nach Art. 77 DSGVO sind demgegenüber gemäß Art. 57 Abs. 3 DSGVO kostenfrei. Insofern ist es unschlüssig, dass der Generalanwalt infolge vermeintlich übermäßig drohender Schadensersatzklagen auch eine Schmähung der aufsichtsbehördlichen Rechtsdurchsetzung befürchtet (Rn. 50). Davon abgesehen, dass Datenschutzbeschwerden schon grundsätzlich ungeeignet sind, Ausgleich für erlittene Schäden zu erlangen, verkennt der Generalanwalt zudem die Realität des Rechtsdurchsetzungsdefizits vor den europäischen Datenschutzaufsichtsbehörden. Deren Problem besteht nicht darin, von zu wenigen Rechtsverletzungen Kenntnis zu erlangen, sondern darin, zehntausende erhaltene Beschwerden zeitnahe einer Entscheidung zuzuführen.
5. Kriterien zu Schadensbestimmung
Verletzungen im Recht auf Datenschutz sind schwer greifbar – wann also führt eine DSGVO-Verletzung zu immateriellem Schaden und welcher Ersatz ist statthaft? Anstatt sich auf die Gefühlswelt der betroffenen Person zu beschränken, scheint es sachgerechter und im Interesse der Einheitlichkeit des Unionsrechts angemessen, auf eine „durchschnittliche betroffene Person“ im Sinne einer „objektiven Maßfigur“ zu verweisen. Die Frage sollte daher gerade nicht lauten: „Wie lange und intensiv hat die betroffene Person individuell gelitten?“ Im Sinne der objektiven Ausgleichsfunktion des Schadensersatzrechts ist vielmehr zu fragen: „Mit welchem Betrag würde eine durchschnittliche Person die erlittene Beeinträchtigung als abgegolten ansehen?“ Dabei können in einem beweglichen System beispielsweise folgende Kriterien Berücksichtigung finden:
- Die Art der Datenschutzverletzung: Eine Verarbeitung ohne Rechtfertigungstatbestand oder ein massiver Data Breach verlangen eher nach Ausgleich als eine etwas zu lange Speicherung eines ansonsten rechtmäßig verarbeiten Datums.
- Die betroffenen Datenkategorien und deren Informationsgehalt: Bei Rechtswidrigkeiten in Bezug auf Daten, die dem Art. 9 oder 10 DSGVO unterfallen, ist tendenziell von höherem Ausgleichsbedarf auszugehen.
- Der Verarbeitungszweck: Dient dieser rein kommerziellen Interessen des Verantwortlichen, oder liegt er auch im Interesse der betroffenen Person?
- Ausmaß der Datenschutzverletzung: Handelt es sich um ein einzelnes Datum oder einen größeren Datensatz zur betroffenen Person?
- Die Dauer des Rechtsbruchs und Wiedergutmachungskomponenten: Ergänzt ein Verantwortlicher eine minimal unvollständige Auskunft umgehend, wird kaum ein ersatzfähiger Schaden entstehen, sehr wohl aber, wenn ein Auskunftsbegehren monatelang unbeantwortet bleibt.
- Zeit und Mühe, die eine betroffene Person aufwenden musste, um die Rechtsverletzung einzudämmen (abzugrenzen von materiellen Rechtsverfolgungskosten).
- Und schließlich auch die typischerweise mit dem Rechtsbruch verbundene Gefühlsbeeinträchtigung. Dabei ist gerade nicht auf die subjektive (Un)empfindlichkeit, sondern auf ein objektives Maß abzustellen. Auch Vorliegen und Ausmaß eines Kontrollverlusts (siehe Punkt 2) sind hierbei einzubeziehen.
Die Bedachtnahme auf solche vom EuGH zu entwickelnde konkrete Umstände sollte es den mitgliedstaatlichen Gerichten ermöglichen, nachvollziehbare und europaweit einheitliche Schadensersatzsätze (vergleichbar mit den unter Punkt 3 erwähnten Schmerzensgeldtabellen) zuzusprechen.
6. Resümee und Ausblick
Die Schlussanträge von Generalanwalt Sánchez-Bordona scheinen von dem Gedanken getrieben, das Recht auf immateriellen Schadenersatz zu beschränken. Der Generalanwalt führt einseitig (vermeintliche) Argumente gegen die Ersatzfähigkeit immaterieller Schäden an, liefert aber keinerlei Anhaltspunkte, wann ein ersatzfähiger Schaden vorliegt und wie sich dieser bemessen könnte.
Es bleibt zu hoffen, dass der EuGH – im Gegensatz zum Generalanwalt – die Thematik umfassend aufarbeitet und den mitgliedstaatlichen Gerichten Werkzeuge in die Hand gibt, anhand derer Vorliegen und Höhe immaterieller Schadenersatzansprüche sachgerecht beurteilt werden können – dies nicht zuletzt in Hinblick, auf die übrigen acht Vorabentscheidungsverfahren zu diesem Thema.
Disclaimer: noyb steht mit der betroffenen Person, die im Ausgangsrechtsstreit des EuGH Verfahrens C-300/21 vor den österreichischen Gerichten gemäß Art. 82 DSGVO auf immateriellen Schadenersatz geklagt hat, seit der Anhängigkeit des Vorabentscheidungsersuchens beim EuGH in Kontakt und hat diese im Zusammenhang mit dem Vorabentscheidungsersuchen unentgeltlich beraten und unterstützt.
Vielen Dank für den interessanten Beitrag. Ich möchte zwei Dinge anmerken:
1. Jedenfalls für das (bundes-)deutsche Recht stimmt die Annahme nicht, dass “Schadensersatz anhand von ‘Schmerzensgeldtabellen’, denen eine objektive Maßfigur zugrunde liegt, zugesprochen wird – unabhängig davon wie sehr ein Geschädigter (etwa an einem gebrochenen Knochen) tatsächlich gelitten hat. ”
Maßgeblich ist gerade, wie der Geschädigte (m/w/d) tatsächlich gelitten hat. Schmerzensgeldtabellen sind dabei ein praktisch unverzichtbarer Anhaltspunkt, um Vergleichsfälle auffinden zu können, mit deren Hilfe der im vorliegenden Fall angemessene Schadensersatz richtig eingeordnet werden kann. Wenn aber ein Geschädigter trotz körperlich gleicher Symptome nachweislich mehr gelitten hat als die Person aus dem Vergleichsfall, dann ist es richtig, ein höheres Schmerzensgeld festzulegen. Es sei denn, andere in die Abwägung einzustellende Faktoren wie z.B. ein geringeres Maß des Verschuldens sprechen dagegen (vgl. zum Maßstab etwa BGH, Urteil vom 8. Februar 2022, VI ZR 409/19, Rn. 12 m.w.N.).
2. Unrealistisch erscheint mir die Annahme, dass ein auch bei kleinen Datenschutzverstößen zugesprochener immaterieller Schadensersatz wegen des Aufwands und der Kosten der Rechtsdurchsetzung nicht zu schädlichen Folgen führt. Nehmen wir mal an, ein Webseitenbetreiber speichert IP-Daten, ist dabei um Einhaltung aller Bestimmungen bemüht, aber es stellt sich durch eine Präzisierung der Rechtsprechung heraus, dass der Umfang doch unzulässig war. Sagen wir, ein gemeinnütziger Verein hat diese Daten von 5.000 Personen zu viel gespeichert. Nehmen wir weiter an, jeder dieser Personen stehen nur 50 Euro als Schadensersatz zu. Dann geht es schon um 250.000 Euro. Vergleichbare Ansprüche werden diese Personen aber nicht nur gegen einen, sondern wegen derselben Präzisierung der Rechtsprechung gegen, sagen wir, 100 Webseitenbetreiber haben. Dann hat eine Einzelperson insgesamt Ansprüche auf 5.000 Euro, und es geht insgesamt um 25 Millionen Euro.
Bei solchen Summen würden über kurz oder lang Rechtsdienstleister nach dem Muster von Fluggastrechte-Rechtsdienstleister auftreten, die sich die Ansprüche abtreten lassen und sie gesammelt durchsetzen. Vielleicht lässt sich das vermeiden, wenn man in vergleichsweise harmlosen Einzelfällen nicht 50 Euro, sondern 50 Cent zuspricht. Dann lohnt sich der Aufwand nicht einmal mehr für Rechtsdienstleister, sondern für niemanden. (Außer man verlangt vom Schädiger, dass er den Geschädigten auch die Rechtsverfolgungskosten begleicht. Was nach deutschem Recht bei schuldhaftem Handeln der Fall ist. Der Rechtsdienstleister macht Gewinne dann nicht von seinem Anteil des Schmerzensgeldes , sondern mit den Rechtsverfolgungskosten. Wenn die Betroffenen etwas davon haben, dann als Beteiligung an den Rechtsverfolgungskosten und damit zumindest im Graubereich. Auch so etwas gibt es schon, vgl. https://www.ihk.de/koblenz/unternehmensservice/recht/aktuelles/google-fonts-5575216)
Insgesamt erscheint mir Schadensersatz in geringer Höhe bei kleineren Verstößen gegen Datenschutzvorschriften rechtspolitisch als eine ganz schlechte Idee.
Warum ist der Vergleich mit der Vorgehensweise bei Fluggastrechten etwas negatives? Dabei handelte es sich um ein Konsumentenschutzrecht, welches (auch wenn nicht darauf abzielend) Rechtsverletzungen, wie etwa Flugverspätungen, für den Betreiber unattraktiv machen.
Nun haben wir mit dem Recht auf Datenschutz sogar eine grundrechtliche Verankerung. Ohne zumindest geringe Mengen an Schadenersatz für Verletzungen, wäre es bloß eine leere Rechtshülle an denen die KMUs heftig zu knabbern haben und welche große Konzerne aufgrund der schwachen Behördenexekution schlicht einkalkulieren können.
Noch ein Nachtrag zu meinem Kommentar: Für mich drängt sich auf, dass es zwischen bloßem Ärger auf der einen und psychischen Beeinträchtigungen mit Krankheitswert bzw. psychisch vermittelten Gesundheitsbeeinträchtigungen auf der anderen Seite einen breiten Korridor gibt. Ich denke da z.B. an einen Fall, in dem Kundendaten einer Seitensprungagentur öffentlich gemacht wurden und sonst allerlei Fälle von “Doxxing,” die offensichtlich viel schwerer wiegen als wenn Daten rechtswidrig aufbewahrt, aber nicht öffentlich gemacht werden. Da drängt sich ein erhebliches Gewicht des immateriellen Schadens auch in Fällen auf, die weder zu einer Gesundheitsbeeinträchtigung noch zu anderen Folgekosten führen.
Anzunehmen, dass „lediglich Zorn oder Ärger“ (Rn. 112), „bloße Unmutsgefühle“ (Rn. 113) und „schwache und vorübergehende Gefühle oder Emotionen“ (Rn. 115) nicht ausreichen, um einen immateriellen Schaden zu genügen, bedeutet mithin nicht, dass konsequenterweise nur Gesundheitsbeeinträchtigungen als immaterieller Schaden anerkannt würden.