Sind negative Gefühle ein nach DSGVO zu ersetzender Schaden? Und besteht bei DSGVO-Verstößen ein Unterlassungsanspruch? Diese Fragen wird der EuGH beantworten.
Obwohl der Europäische Gerichtshof (EuGH) in diesem Jahr bereits ein Grundsatzurteil zu Art. 82 der Europäischen Datenschutz-Grundverordnung (DSGVO) gefällt hat, sind weiterhin Fragen zu der maßgeblichen Schadensersatznorm des Datenschutzrechts offen. Nun sah sich der Bundesgerichtshof (BGH) veranlasst, dem EuGH weitere Rechtsfragen zur Auslegung von Art. 82 DSGVO und zum Bestehen eines datenschutzrechtlichen Unterlassungsanspruchs vorzulegen.
Zentrale Norm des datenschutzrechtlichen Schadensersatzes: BGH legt EuGH Fragen zu Art. 82 DSGVO vor
Gemäß Art. 82 Abs. 1 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, ein Schadensersatzanspruch gegen den Verantwortlichen oder gegen den Auftragsverarbeiter zu. Noch im Mai dieses Jahres beantworte der EuGH in der Rechtssache C‑300/21 Vorlagefragen des Obersten Gerichtshof Österreichs (OGH) und kam zu dem Ergebnis, dass in die Voraussetzungen des Anspruchs aus Art. 82 DSGVO keine Erheblichkeitsschwelle, die durch den erlittenen Schaden erreicht sein müsste, hineinzulesen sei. Ein Schaden müsse für den Anspruch dennoch nachgewiesen werden.
Unter welchen Voraussetzungen ein immaterieller Schaden vorliegt, ließ der EuGH in diesem Vorlageverfahren offen. Mit Beschluss vom 26. September 2023 (VI ZR 97/22) hat der BGH dem EuGH weitere Fragen zum immateriellen Schaden vorgelegt.
Das Verfahren vor dem BGH: Irrtümliche Weiterleitung von Bewerberdaten an unbeteiligten Dritten
Der Kläger hatte sich bei der Beklagten (einer Bank) über ein Online-Portal für eine Arbeitsstelle beworben. Durch ein Versehen sandte die Beklagte Bewerberdaten (u.a. Gehaltsvorstellungen) an einen ehemaligen Kollegen des Klägers weiter, der diesen hierüber informierte; eine Information der Beklagten erfolgte dagegen nicht unverzüglich. Als der Betroffene im Bewerbungsprozess eine Absage erhielt, verlangte er Schadensersatz wegen der irrtümlichen Weitersendung der Daten an den Dritten.
In erster Instanz sprach das Landgericht (LG) Darmstadt dem Betroffenen mit Urteil vom 26. Mai 2020 (13 O 244/19) einen Anspruch auf Schadensersatz in Höhe von EUR 1.000 zu. Das LG bejahte einen Verstoß des Verantwortlichen gegen Art. 6 Abs. 1 lit. a) und Art. 34 DSGVO und nahm das Überschreiten einer etwaigen Erheblichkeitsschwelle und Bagatellgrenze durch Kontrollverlust über die Bewerberdaten des Betroffenen sowie einen damit einhergehenden Ansehensverlust und beruflicher Nachteile als Schaden an. Insbesondere schloss sich das LG den Ausführungen des Klägers an, dass die fehlgeleiteten Informationen an eine dritte Person und der Kontrollverlust dazu geeignet seien, z.B. den Ruf des Betroffenen zu schädigen, wenn dessen aktueller Arbeitgeber Kenntnis von der Bewerbung bei einem anderen Unternehmen erlangt hätte. Das Gericht sah den Betroffenen nicht dazu verpflichtet, konkretere Nachteile vorzutragen.
Die Berufung hatte hinsichtlich des immateriellen Schadensersatzes vor dem Oberlandesgericht (OLG) Frankfurt a. M. Erfolg. Mit Urteil vom 2. März 2022 (13 U 206/20) entschied das OLG, dass der Nachweis eines konkreten Schadens auch dann Voraussetzung für einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO sei, wenn es um immaterielle Schäden gehe. Einen solchen habe der Kläger allerdings dem OLG zufolge nicht dargelegt, wenn er sich lediglich auf den DSGVO-Verstoß und den damit einhergehenden Kontrollverlust berufe statt auszuführen, ob und inwiefern Ängste, Stress sowie der Verlust von Komfort und Zeit erlitten worden seien. Grundsätzlich trifft das OLG Frankfurt a. M. mit dieser Begründung die 2023 geäußerte Ansicht des EuGH.
Die Vorlagefragen des BGH zu Art. 82 DSGVO sind von hoher Praxisrelevanz
Der BGH entschied mit Beschluss vom 26. September 2023 (VI ZR 97/22), dem EuGH die Fragen zum Begriff des immateriellen Schadens vorzulegen, ob
[…] Art. 82 Abs. 1 DSGVO dahingehend auszulegen [ist], dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?
Legt man die Dauer des letzten o.g. Vorlageverfahrens des OGH zu Grunde, ist mit einer Beantwortung der Vorlagefragen in ca. zwei Jahren zu rechnen. Für die Praxis hat die Auslegung von Art. 82 DSGVO durch den EuGH höchste Relevanz: Eine Vielzahl gerichtlicher Verfahren, insbesondere in den sog. Scraping-Fällen, entscheidet sich derzeit an dem Punkt, ob die Gerichte einen Kontrollverlust über Daten und negative Gefühle wie Ärger, Unmut, Unzufriedenheit, Sorge und Angst in Folge von DSGVO-Verstößen für die Annahme eines ersatzfähigen Schadens ausreichen lassen oder nicht. Verstärkt wird diese Relevanz durch die neue Abhilfeklage, die in Umsetzung der Verbandsklagenrichtlinie u.a. auf Datenschutzverstöße gestützt werden kann. Dass der BGH einer restriktiven Auffassung zuneigen könnte, lässt dessen Fragestellung erkennen:
die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind.
BGH legt außerdem Fragen zu einem möglichen Unterlassungsanspruch vor
Der BGH legt zudem Fragen zu einem datenschutzrechtlichen Unterlassungsanspruch vor, ob Art. 17, Art. 18 DSGVO oder sonstige Vorschriften der DSGVO dahingehend auszulegen sind, dass ein Betroffener, dessen personenbezogene Daten von einem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, einen Anspruch gegen diesen auf Unterlassung der erneuten unrechtmäßigen Weiterleitung dieser Daten hat, wenn vom Verantwortlichen keine Löschung der Daten verlangt wird. Für den Fall der Bejahung der Frage, stellt der BGH dem EuGH zudem die Fragen, ob dieser Unterlassungsanspruch eine Wiederholungsgefahr voraussetzt und ob diese aufgrund des DSGVO-Verstoßes vermutet wird. Alternativ möchte der BGH wissen, ob sich aus Art. 79, 84 DSGVO die Möglichkeit für die Gerichte der EU-Mitgliedstaaten ergibt, einen Unterlassungsanspruch auf Bestimmungen des nationalen Rechts zu stützen. Zu prüfen wären in dem vorliegenden Verfahren dann Ansprüche aus dem BGB, insb. § 1004 Abs. 1 BGB in analoger Anwendung.
Und wieder heißt es: Warten auf die Entscheidung des EuGH
Die Vorlagefragen des BGH zum Unterlassungsanspruch und immateriellen Schadensersatz adressieren Kernfragen zu Rechtsfolgen von DSGVO-Verstößen. Die Hoffnung bleibt, dass der EuGH endlich Klarheit schafft, ob und wann „bloße Gefühle“ für einen immateriellen Schadensersatzanspruch genügen. Die Praxisrelevanz zeigen die zahlreichen Verfahren der Scraping-Fälle, bei denen es zu einem Datenabfluss aufgrund eines Datenlecks auf einer Social-Media-Plattform mit einer Vielzahl von Betroffenen kam. Immerhin liegen hierzu in Einzelfällen bereits oberlandesgerichtliche Entscheidungen vor, die den von den Klägern angegebenen „Kontrollverlust“ als abstrakten Vortrag nicht ausreichen ließen und den geltend gemachten Anspruch aus Art. 82 DSGVO verneinten (OLG Stuttgart, Urteile v. 22. November 2023 – 4 U 17/23 und 4 U 20/23; OLG Hamm, Urteil v. 15. August 2023 – 7 U 19/23). Es sind jedoch andere Entscheidungen bekannt, in denen den Betroffenen ein Schadensersatz von bis zu EUR 1.000 in diesen Fällen zugesprochen wurde (z.B. LG Ravensburg, Urteil v. 13. Juni 2023 – 2 O 228/22) und die den Klägervortrag über das Gefühl des Kontrollverlustes über Daten ausreichen ließen (z.B. LG Lüneburg, Urteil vom 24. Januar 2023 – 3 O 74/22). In seiner Pressemitteilung vom 22. November 2023 spricht das OLG Stuttgart von 100 anhängigen Fällen bei seinem 4. Zivilsenat, während sich die Zahl der bundesweit abhängigen Verfahren auf 6.000 belaufe.
Weitere Informationen und einen stets aktualisierten Überblick über die Rechtsprechung zu Art. 82 DSGVO finden Sie in unserem Blog. Eine ständig aktualisierte Übersicht über DSGVO-Bußgelder in Deutschland und anderen EU-Ländern finden Sie über unseren Enforcement-Tracker sowie weitere Informationen in der vierten Ausgabe unseres Enforcement-Tracker Reports. Sehen Sie zudem gern: Disharmonie zwischen Data Act und DSGVO (cmshs-bloggt.de) in unserer CMS Blog-Serie „Data Law“.