BAG: Schadensersatz nach Art. 82 I DSGVO und Anwendung von § 287 I 1 ZPO zur Feststellung der Höhe

Schadensersatz nach Art. 82 I DSGVO und Anwendung von § 287 I 1 ZPO zur Feststellung der Höhe – Dazu hatte das BAG in einem Revisionsverfahren zu entscheiden. Das vorgehende LAG Hamm hatte in einem Verfahren einen Schadensersatz von 1.000 EUR zugesprochen, wogegen sich die Klägerin mit der Revision gewandt hatte.

Der BAG sieht in seinem Urteil vom 5. Mai 2022 (Az.: 2 AZR 363/21) die Festsetzung durch das Berufungsgericht als zutreffend an und wies die Revision zurück. Dabei stellt das BAG auch Grundsätze für die Begründung des Schadensersatzanspruchs aufgrund der nicht erfolgten bzw. unvollständigen Auskunft nach Art. 15 DSGVO fest sowie begründet auch zur Feststellung der Höhe des Anspruchs nach Art. 82 I DSGVO die Anwendung der nationalen Regelung des § 287 I 1 ZPO.

Schadensersatz nach Art. 82 I DSGVO und Anwendung von § 287 I 1 ZPO zur Feststellung der Höhe – Ansicht des Gerichts

Das Gericht führt zur Anwendung von § 287 I 1 ZPO in den Entscheidungsgründen aus:

„…Nach der ständigen Rechtsprechung des Gerichtshofs der Europäischen Union ist es mangels einschlägiger unionsrechtlicher Vorschriften nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die Verfahrensmodalitäten für Klagen, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen, zu regeln, wobei die betreffenden Anforderungen jedoch nicht ungünstiger sein dürfen als diejenigen, die gleichartige, dem innerstaatlichen Recht unterliegende Sachverhalte regeln (Äquivalenzgrundsatz), und die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren dürfen (Effektivitätsgrundsatz) (EuGH 7. April 2022 – C-385/20 – [Caixabank] Rn. 47; 6. Oktober 2020 – C-511/18 ua. – [La Quadrature du Net ua.] Rn. 223; 19. Dezember 2019 – C-752/18 – [Deutsche Umwelthilfe] Rn. 33; 24. Oktober 2018 – C-234/17 – [XC ua.] Rn. 21 f. mwN; 6. Oktober 2015 – C-69/14 – [Târşia] Rn. 26 f.)…

Dies führt im Streitfall mangels einschlägiger unionsrechtlicher Vorschriften zur Anwendbarkeit von § 287 Abs. 1 Satz 1 ZPO. Art. 82 DSGVO regelt selbst keine Verfahrensmodalitäten zur Durchsetzung des Schadenersatzanspruchs. Art. 79 Abs. 1 DSGVO sieht lediglich vor, dass jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund der DSGVO zustehenden Rechte infolge einer nicht mit ihr im Einklang stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Dem Äquivalenz- oder Effektivitätsgrundsatz ist durch die Anwendung von § 287 Abs. 1 Satz 1 ZPO Rechnung getragen. Die Bestimmung findet im nationalen Recht ebenso bei der Durchsetzung anderer Ansprüche auf immateriellen Schadenersatz Anwendung (zur Bemessung einer Entschädigung nach § 15 Abs. 2 AGG vgl. auch BAG 28. Mai 2020 – 8 AZR 170/19 – Rn. 27, BAGE 170, 340; generell zu Ansprüchen auf Ersatz immaterieller Schäden iSd. § 253 BGB vgl. Musielak/Voit/Foerste ZPO 19. Aufl. § 287 Rn. 2). Sie ermöglicht überdies in besonderer Weise eine effektive Durchsetzung von Schadenersatzansprüchen, weil sie nach Wahl des Klägers das Beweismaß mindert (vgl. nur Musielak/Voit/Foerste aaO Rn. 6 mwN)…“

Im Streitfall keine Entscheidung, ob bei Nichterfüllung von Art. 15 DSGVO überhaupt Anspruch nach Art. 82 I DSGVO

Auch dazu äußert das Gericht Bedenken, die aber hier nicht entscheidungserheblich waren. Es heißt dazu in den Entscheidungsgründen:

„…Es bedarf daher keiner Entscheidung, ob allein eine nicht vollständige Erfüllung des Auskunftsanspruchs gem. Art. 15 Abs. 1 DSGVO einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO begründen kann (zur Frage, ob der Nachweis eines konkreten Schadens erforderlich ist, vgl. die Vorabentscheidungsersuchen BAG 26. August 2021 – 8 AZR 253/20 (A) – Rn. 33, vor dem EuGH anhängig unter – C-667/21 – [Krankenversicherung Nordrhein], und OGH Österreich 15. April 2021 – 6Ob35/21x -, vor dem EuGH anhängig unter – C-300/21 – [Österreichische Post]; vgl. auch OLG Frankfurt am Main 2. März 2022 – 13 U 206/20 – juris – Rn. 70 ff.). Zweifel daran könnten sich ergeben, weil der Erwägungsgrund 146 Satz 1 DSGVO nur von solchen Schäden spricht, „die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Verarbeitung im Sinne der DSGVO ist nach ihrem Art. 4 Nr. 2 „jede(r) mit oder ohne Hilfe automatisierter Verfahren ausgeführte(r) Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, de(r) Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. Die Nichterfüllung oder nicht vollständige Erfüllung des Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO muss danach für sich genommen nicht gleichbedeutend sein mit einer verordnungswidrigen „Verarbeitung“. Ebenso kann zugunsten der Klägerin unterstellt werden, dass ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO keinen in bestimmter Weise qualifizierten Verstoß gegen die DSGVO, also kein Überschreiten einer gewissen Erheblichkeitsschwelle, voraussetzt (vgl. dazu auch BVerfG 14. Januar 2021 – 1 BvR 2853/19 – Rn. 21). Beide Fragen sind für das vorliegende Revisionsverfahren nicht entscheidungserheblich, da sich die Entscheidung, soweit sie von der Klägerin angefochten ist, als rechtsfehlerfrei erweist…“