Europäischer Gerichtshof muss entscheiden

Im Gegensatz zur Kirchlichen Datenschutzordnung (KDO) sind nach dem Kirchliche Datenschutzgesetz (KDG) seit seinem Inkrafttreten 2018 ausdrücklich Nichtvermögensschäden, also immaterielle Schäden, auszugleichen. Darunter fallen z. B. Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere gesellschaftliche Nachteile.

Wann ein ausgleichsfähiger immaterieller Schaden vorliegt, wird derzeit von den Gerichten unterschiedlich entschieden. Nach einer weiten Auslegung können Betroffene für jede Verletzung datenschutzrechtlicher Vorschriften durch Verarbeitung ihrer personenbezogenen Daten auch ein angemessenes Schmerzensgeld verlangen. Insbesondere bei der Zugänglichmachung von Daten einer betroffenen Person für Dritte ohne ihr Einverständnis wird ein Schadensersatzanspruch auch einen immateriellen Schaden abzudecken haben, der diese öffentliche „Bloßstellung“ kompensiert. Der immaterielle Schaden läge nach dieser Vorschrift allein in der unrechtmäßigen Verarbeitung. In diesem Sinne haben einige Gerichte den Betroffenen Schadensersatz zugesprochen.

Andere Gerichte tendieren eher zu einer einschränkenden Auslegung. Danach soll nicht bereits jede individuell empfundene Unannehmlichkeit oder jeder Bagatellverstoß einen Schadenersatzanspruch begründen. Eine Verpflichtung zum Ausgleich eines immateriellen Schadens müsste vielmehr eine gewisse Erheblichkeitsschwelle überschreiten.

Auch das Amtsgericht Goslar sah eine solche Erheblichkeitsschwelle für die Stattgabe einer Schmerzensgeldklage als erforderlich an. Gegen diese Entscheidung hat sich aber der Kläger mit einer Beschwerde vor dem Bundesverfassungsgericht (BVerfG) gewandt. Dieses gab dem Kläger in seiner Einschätzung Recht, das Amtsgericht hätte die umstrittene Rechtsfrage nicht selber entscheiden dürfen.

Nach Art. 82 Abs. 1 DSGVO (entspricht § 50 Abs. 1 KDG) hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.
Dieser Geldentschädigungsanspruch ist in der Rechtsprechung des Gerichtshofs der Europäischen Union nicht erschöpfend geklärt. Deshalb hätte das Amtsgericht ein Vorabentscheidungsersuchen an den Europäischen Gerichtshof (EuGH) stellen müssen. Damit hat das BVerfG die hochstrittige Rechtsfrage zwar nicht geklärt, es jedoch den Gerichten schwerer gemacht, einfach mit dem Argument der Unerheblichkeit über die Schadensersatzforderung hinwegzugehen. Bis zu einer Entscheidung des EuGH werden Monate vergehen. In dieser Zeit werden die Gerichte auf Schmerzensgeld wegen eines Datenschutzverstoßes gerichtete Klagen entweder bis zur Entscheidung des EuGH aussetzen oder Entscheidungen fällen, die mit Rechtsmitteln angegriffen werden können.

In jedem Fall ist es für Verantwortliche ein zusätzlicher Grund, auf die Einhaltung datenschutzrechtlicher Vorschriften zu achten. Dies gilt insbesondere für kirchliche Stellen, die öffentlich-rechtlich verfasst sind und gegen die wegen § 51 Abs. 6 KDG keine Geldbußen verhängt werden können. Das schließt nämlich nicht aus, dass diese Stellen von Betroffenen auf Schadenersatz in Anspruch genommen werden können.
Nach einer Entscheidung des Landesarbeitsgerichts Nürnberg entscheiden über Schadenersatzansprüche wegen einer Datenschutzverletzung nicht die kirchlichen Datenschutzgerichte, sondern die staatlichen Zivilgerichte.