Festschrift für Jürgen Taeger

Es liegt in der Natur der Sache, dass bei einem per definitionem „nicht in Geld messbaren“ Schaden die Bestimmung des geschuldeten Schadensersatzes erhebliche Schwierigkeiten bereitet. Ein immaterieller Schaden kann als solcher – anders als ein Vermögensschaden – durch Zahlung eines Geldbetrages gerade nicht beseitigt, sondern allenfalls in dem Sinne entschädigt werden, dass dem Betroffenen Vorteile – Geld – verschafft werden, die sein Wohlbefinden wieder erhöhen.79 Neben dieser Ausgleichsfunktion80 kommt der Entschädigung immaterieller Einbußen nach verbreiteter Auffassung eine Genugtuungsfunktion zu.81 Manche weisen darüber hinaus dem Anspruch noch eine Präventionsfunktion zu.82 In der Rechtsprechung ist eine solche für die Geldentschädigung bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechts anerkannt, wobei dieser Anspruch allerdings unmittelbar auf Art. 1 Abs. 1 und Art. 2 Abs. 1 GG gestützt wird.83

Bei der Bemessung der Entschädigung für immaterielle Schäden kommt den Gerichten ein weites Ermessen zu (§ 287 Abs. 1 Satz 1 ZPO); sie können und müssen dabei sämtliche Umstände des Einzelfalles berücksichtigen.84 Neben den in der Person des Geschädigten liegenden Umständen – namentlich die individuellen Auswirkungen des konkreten Datenschutzverstoßes – können daher insbesondere auch in der Person des Schädigers liegende Umstände – namentlich der Grad des Verschuldens – sowie die Tatsituation berücksichtigt werden.85 Zugleich müssen die Gerichte dabei mit Blick auf den Gleichheitssatz aber Sorge dafür tragen, dass vergleichbare Verletzungen ungefähr gleich entschädigt werden.86 Im Personenschadensrecht bieten insoweit die Schmerzensgeldtabellen oder -datenbanken, in denen unzählige Vergleichsfälle aus der Rechtsprechung erfasst sind, eine Orientierung; Bindungswirkung haben diese indes ebenso wenig, wie sie dem Gericht eine eingehende Auseinandersetzung mit den zum Vergleich herangezogenen Entscheidungen ersparen oder eine schematische Übernahme erlauben.87 Ein (zumindest grundsätzlich) vergleichbares Vorgehen lässt sich in anderen europäischen Rechtsordnungen identifizieren.88

Diese Grundsätze lassen sich deshalb auch für den datenschutzrechtlichen Schadensersatzanspruch fruchtbar machen. Für die Gerichte besteht ein weiter Spielraum bei der Bemessung der Entschädigung,89 den sie unter Heranziehung sämtlicher Umstände des Einzelfalls auszufüllen haben. Insofern ist es naheliegend, auf den Kriterienkatalog zur Bemessung von Bußgeldern in Art. 83 Abs. 2 Satz 2 DS-GVO zurückzugreifen.90 Dieser nennt beispielsweise Art, Schwere und Dauer des Verstoßes sowie die Anzahl der davon Betroffenen (lit. a), die Kategorie der betroffenen personenbezogenen Daten (lit. g), den Grad des Verschuldens (lit. b), wiederholte Verstöße (lit. f), Zusammenarbeit des Verletzers mit den Behörden (lit. h) etc. Weitere Einzelfallumstände können berücksichtigt werden.91

Die Rechtsanwender sind damit gut beschäftigt. Entsprechend werden bisweilen Hoffnungen auf „Schmerzensgeldtabellen“ für Datenschutzverstöße gelegt;92 erste Tabellen kursieren bereits. Ob diese eine tragfähige Grundlage für die Bemessung des immateriellen Schadensersatzes bilden, bleibt abzuwarten. Sie mögen helfen, für vergleichbare Verletzungen ungefähr gleiche Entschädigungen auszuurteilen. Sie entbinden aber auch hier nicht davon, den konkreten Einzelfall zu beurteilen. Das Gericht muss sich mit sämtlichen Umständen des Einzelfalles auseinandersetzen. Der pauschale Rückgriff auf ein Tabellenwerk, vor allem, wenn dieses wie die bislang kursierenden Tabellen nicht lediglich einschlägige Judikate systematisiert und zugänglich macht, sondern konstitutiv – „ex cathedra“ – Beträge „festsetzt“, würde dem nicht gerecht.

Entgegenzutreten ist jedenfalls der Auffassung, die Bemessung des Schadensersatzes habe sich generell primär an der Genugtuungs- und Abschreckungsfunktion zu orientieren.93 Das ist nach der gebotenen Berücksichtigung sämtlicher Umstände des Einzelfalls lediglich ein Kriterium; es mag bei vorsätzlichen oder grob fahrlässigen Datenschutzverletzungen auch ein wichtiges Kriterium sein; es ist aber nicht generell das primäre. Ebenso wenig trägt die Erwägung, dass individuell nicht so hohe Beträge ausgeurteilt werden müssten, wenn viele Personen von einem Datenschutzverstoß betroffen sind, da dann die gebotene Präventionswirkung durch die Kumulation der Ansprüche gewährleistet sei.94 Zunächst lässt sich dies nicht mit den Grundsätzen der Totalreparation und des Bereicherungsverbots vereinbaren: Der individuelle Schaden hängt nicht davon ab, wie viele andere ebenfalls geschädigt sind. Zudem erklärt sich nicht, warum im Falle breit wirkender Datenschutzverstöße nachsichtiger Schadensersatz zuzusprechen sein soll als bei singulärer Betroffenheit, was aber der Fall wäre, wenn die Kumulationswirkung in die individuelle Schadensbemessung einbezogen würde. Letztlich ist auch hier der Präventionsgedanke zu präsent.

Schließlich ist vorgeschlagen worden, bei der Bemessung des immateriellen Schadensersatzes auf den Wert der von der Datenschutzverletzung betroffenen Daten sowie die aus deren rechtswidrigen Verarbeitung fließenden wirtschaftlichen Vorteile abzustellen,95 also praktisch mit Blick auf die unerlaubte Kommerzialisierung immaterielle Schäden in materielle Schäden „umzuwandeln.“96 In der Sache läuft dies auf eine aus dem Immaterialgüterrecht bekannte Lizenzanalogie hinaus: Danach kann der Schadensersatzanspruch auf der Grundlage des Betrages berechnet werden, den der Verletzer als angemessene Vergütung hätte entrichten müssen, wenn er die Erlaubnis zur Nutzung des verletzten Rechts eingeholt hätte.97 Allerdings dient die Lizenzanalogie im Immaterialgüterrecht allein der Bezifferung des materiellen Schadens; auf immaterielle Einbußen findet sie gerade keine Anwendung.98 Insofern wäre die Bemessung des immateriellen Schadensersatzanspruchs bei Datenschutzverstößen anhand der Lizenzanalogie begründungsbedürftig. Davon abgesehen ist mehr als fraglich, ob die Orientierung am „Marktwert“ der Daten stets eine angemessene Entschädigung für immaterielle Schäden darstellen würde. Die insoweit genannten Zahlen bewegen sich oft lediglich im unteren einstelligen Eurobereich.99

Als Ersatz für durch Datenschutzverletzungen verursachte immaterielle Schäden werden bislang nahezu ausschließlich Geldzahlungen – oft (und wenig präzise) als „Schmerzensgeld“ apostrophiert – diskutiert. Tatsächlich dürfte die Entschädigung immaterieller Einbußen häufig allein durch Zahlung eines bestimmten Geldbetrags gelingen. Darauf dürfte der Anspruch indes nicht beschränkt sein. Nach deutschem Schadensersatzrecht kommt auch bei Nichtvermögensschäden – sogar primär100 – ein Anspruch auf Naturalrestitution (statt bloßer Entschädigung in Geld) in Betracht.101 Der Verletzer hat also – in bestimmten Grenzen – die immaterielle Einbuße zu beseitigen (§ 249 Abs. 1 BGB) oder die dazu erforderlichen Kosten zu tragen (§ 249 Abs. 2 Satz 1 BGB).102 Er mag etwa für die Löschung abgeflossener Daten sorgen oder Maßnahmen zur Wiederherstellung der Ehre103 eines durch ein Datenleck Kompromittierten sorgen oder aber dem Betroffenen Ersatz der für diese Maßnahmen aufgewandten Kosten gewähren.

Schadensersatz durch Naturalrestitution ist auch dem Unionsprivatrecht nicht fremd, insbesondere verbietet dieses jene nicht; noch nicht abschließend geklärt ist lediglich, ob ein Anspruch auf Naturalrestitution stets in Betracht kommt bzw. in Betracht kommen muss und wie dann das Verhältnis zur Kompensation ist.104 Wiederum bietet es sich an, dies anhand der Regelungsziele des zugrunde liegenden Rechtsakts, hier also der DS-GVO, sowie des Effektivitätsgrundsatzes zu entscheiden.105 Nach Art. 1 Abs. 2 DS-GVO schützt die DS-GVO die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten. Durch Datenschutzverstöße entstandene Schäden sind „vollständig“ und „wirksam“ zu ersetzen (→ III.2.). Ob dies durchweg mit bloßer Entschädigung in Geld zu erreichen ist, erscheint sehr fraglich, denn diese macht die noch andauernden Folgen des Datenschutzverstoßes nicht ungeschehen. Gerade das Integritätsinteresse dürfte aber aus Sicht des Betroffenen nicht selten im Mittelpunkt der Wiedergutmachung stehen. Der von einem Datenschutzverstoß Betroffene dürfte deshalb oft primär ein Interesse daran haben, dass der bei ihm dadurch verursachte Schaden in natura beseitigt und nicht nur in Geld entschädigt wird. Überdies ist sehr zweifelhaft, ob bloße Kompensation als primäre Rechtsfolge – nicht zuletzt mit Blick auf die ganz erheblichen Schwierigkeiten der Quantifizierung etwas von Natur aus Inkommensurablen – dem Gebot zu vollständigem Schadensersatz stets gerecht werden könnte. Und schließlich ist nur mit der Gewährung eines Anspruchs auf Naturalrestitution sichergestellt, dass die dafür gegebenenfalls notwendigen Aufwendungen vollständig vom Schädiger zu tragen sind und so nicht den Geschädigten belasten. Bei Gewährung bloßer Kompensation gilt das nicht, denn die Geldentschädigung für den immateriellen Schaden muss nicht notwendigerweise den zur Naturalrestitution notwendigen Aufwendungen entsprechen.