Die verspätete Auskunftserteilung auf ein Auskunftsersuchen nach Art. 15 Abs. 1 DSGVO stellt als solche keinen immateriellen Schaden dar. Ein bloßer Verstoß gegen die Vorgaben der Datenschutz-Grundverordnung reicht nicht aus, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Art. 82 Abs. 1 DSGVO enthält auch keine Vermutung dahingehend, dass der mit einem Verstoß gegen die Datenschutz-Grundverordnung einhergehende Verlust der Herrschaft über die eigenen Daten als solcher zu einem ersatzfähigen immateriellen Schaden führt, so das LArbG Baden-Württemberg (3 Sa 33/22).
Die Entscheidung reiht sich ein in eine wachsende Zahl von obergerichtlichen Entscheidungen, die sich – entgegen ersten Tendenzen in der Rechtsprechung – gegen pauschale Schadensersatzansprüche allein wegen eines Verstoßes gegen die Datenschutzgrundverordnung aussprechen. Auch hier wird darauf verwiesen, dass der bloße Verstoß gegen die Vorgaben der Datenschutzgrundverordnung nicht ausreicht, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Hierfür spricht aus richterlicher Sicht der Wortlaut des Art. 82 Abs. 1 DSGVO, wonach Personen, die einen materiellen oder immateriellen Schaden erlitten haben, Anspruch auf Schadenersatz haben:
Zwar soll nach Erwägungsgrund 146 Satz 3 der DSGVO der Begriff des Schadens im Lichte der Rechtsprechung des Europäischen Gerichtshofs (EuGH) weit auf eine Art und Weise ausgelegt werden, die den Zielen der Datenschutzgrundverordnung in vollem Umfang entspricht. Ein weites Verständnis des Schadensbegriffs bedeutet aber nicht, dass vom Vorliegen eines konkreten Schadens gänzlich abzusehen ist (LAG Hamm 2. Dezember 2022 – 19 Sa 756/22 – juris). Verspätete, gänzlich unterbliebene oder falsche Auskünfte an eine Person gem. Art. 15 Abs. 1 DSGVO als solche sind somit nicht haftungsauslösend.
Hierfür spricht neben dem Wortlaut des Erwägungsgrundes 146 und des Art. 82 Abs. 2 DSGVO auch die Entstehungsgeschichte des Art. 82 DSGVO. Art. 77 des Kommissionsentwurfes (KOM[212]11) sah bezüglich der Schadensersatzpflicht noch vor:
„Jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen mit dieser Verordnung nicht zu vereinbarenden Handlung ein Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter“.
Dagegen bezog beispielsweise der spätere Vorschlag des Parlaments (Drucksache 9565/15) die Schadensersatzpflicht nur noch auf Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht (vgl. zur Entstehungsgeschichte des Art. 82 DSGVO im Einzelnen LAG Nürnberg 25. Januar 2023 – 4 Sa 201/22 – juris). Auch die Entstehungsgeschichte einer unionsrechtlichen Vorschrift kann Anhaltspunkte für deren Auslegung liefern (EuGH 24. März 2021 – C-603/20 – FamRZ 2021, 777).
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024