Drei Jahre nach Inkrafttreten der DSGVO gehen die Aufsichtsbehörden inzwischen davon aus, dass Unternehmen genug Zeit hatten, sich auf die „neuen“ rechtlichen Rahmenbedingungen einzustellen. Verstöße werden daher inzwischen konsequenter verfolgt, auch die von der DSGVO vorgesehenen Bußgelder und Schadensersatzansprüche spielen inzwischen eine größere Rolle.

Gerade in arbeitsrechtlichen Streitigkeiten stehen immer öfter datenschutzrechtliche Auskunftsansprüche im Raum, wenn ein Mitarbeiter nicht „im Guten“ ausscheidet. Außerdem sind es nicht selten ausscheidende Mitarbeiter, die auch Schadensersatzansprüche geltend machen, wenn auf diesem Weg Datenschutzverstöße sichtbar werden. Schon die verspätete oder unvollständige Auskunft kann einen Entschädigungsanspruch auslösen.

Auch Kunden, mit deren Daten nicht rechtskonform umgegangen wurde, sind schon auf diese neue Möglichkeit aufmerksam geworden. Teilweise scheint es sogar Fälle zu geben, in denen gezielt etwa bei der An- oder Abmeldung von Werbe-Newslettern nach Verstößen gesucht wird, um danach Schadensersatzansprüche geltend machen zu können.

Bisher hat die Erhebung von Schadensersatz und Entschädigungsansprüchen („Schmerzensgeld“) wegen eines Datenschutzverstoßes in der Praxis wirtschaftlich nicht allzu gut funktioniert. Denn die deutschen Gerichte gingen oft davon aus, dass es für unerhebliche Beeinträchtigungen des Datenschutzes keinen Schadensersatz gibt und deshalb bei „Lappalien“ keine „Schmerzensgeld“-Ansprüche bestehen.

Das steht allerdings nun auf der Kippe: Nach einer aktuellen Entscheidung des Bundesverfassungsgerichts (Urteil vom 14.01.2021, 1 BvR 2853/19) wird sich der Europäische Gerichtshof mit der Frage zu befassen haben, inwieweit in Bagatellfällen Ansprüche ausscheiden. Denn die DSGVO enthält keine solche Bagatellgrenze, sondern gilt eigentlich unbegrenzt. Deshalb dürften deutsche Gerichte nicht abschließend darüber urteilen, sondern es müsse diese Rechtsfrage dem EuGH zur Entscheidung vorgelegt werden. Es bleibt abzuwarten, welche Sichtweise der EuGH bezüglich der Bagatellfälle hat.

Selbst wenn in der Zukunft bei überschaubaren Verstößen auch überschaubare Schmerzensgelder ausgeurteilt werden sollten – zusammen mit den absehbar vom Unternehmen zu tragenden Verfahrenskosten können auch kleinere Verstöße trotzdem unangenehme Kosten und Aufwand zur Folge haben, die vermeidbar gewesen wären.

Vor diesem Hintergrund ist zunehmend wichtig, auf ein möglichst datenschutzrechtskonformes Verhalten zu achten, um solchen unerfreulichen Problemen aus dem Weg zu gehen. Auch sollten Unternehmen auf datenschutzrechtliche Auskunftsansprüche vorbereitet sein.