Den Schlussanträgen des EuGH-Generalanwalts zufolge lösen nicht jeder DSGVO-Verstoß oder bloßer Ärger und Unmut hierüber einen Schadensersatzanspruch aus.
Die nationalen Datenschutzaufsichtsbehörden des Bundes und der Länder sowie die deutschen Gerichte legen die Vorschriften der Datenschutz-Grundverordnung (DSGVO) teilweise unterschiedlich aus, sodass für Unternehmen eine große Rechtsunsicherheit im Datenschutz herrscht. Besonders umstritten ist die Frage, ob ein bloßer DSGVO-Verstoß zu einem (immateriellen) Schaden führen kann oder ob es weiterer Auswirkungen auf den Betroffenen* bedarf, um Schadensersatz geltend machen zu können. Zu dieser Frage deutet sich eine zeitnahe Klärung durch den Europäischen Gerichtshof (EuGH) an.
Ausgangspunkt ist Art. 82 DSGVO, der den materiellen und immateriellen Schadensersatz regelt, den der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter bei Verstößen gegen die DSGVO an den Betroffenen zu leisten hat. Umstritten bei der Anwendung und Auslegung dieser Vorschrift ist so gut wie jede Voraussetzung des Schadensersatzanspruchs sowie ihre Rechtsnatur.
Der Oberste Gerichtshof Österreichs (OGH) hat in einem Verfahren um Schadensersatz nach Art. 82 DSGVO ein Vorabentscheidungsersuchen an den EuGH gerichtet. In der vor dem EuGH anhängigen Rechtssache C‑300/21 veröffentlichte kürzlich der zuständige Generalanwalt Sánchez-Bordona am 6. Oktober 2022 seine Schlussanträge. Nun wird das Urteil des EuGH in der Sache mit großer Spannung erwartet.
Der EuGH wird einige der wichtigsten Fragen zur Auslegung des Art. 82 DSGVO klären
In dem Verfahren verlangte eine Privatperson von einem Adresshandelsunternehmen Schadensersatz nach der DSGVO wegen der Speicherung personenbezogener Daten zur Parteiaffinität, die das beklagte Unternehmen über die österreichische Bevölkerung erhob. Die in diesem Zuge über den Kläger ohne dessen Einwilligung gesammelten Informationen gab das Unternehmen zwar nicht an Dritte weiter, allerdings schrieb es dem Kläger unter Zuhilfenahme eines Algorithmus die Nähe zu einer Partei im rechten politischen Spektrum zu. Diese Einordnung wies der Kläger nicht nur entschieden von sich, sondern empfand neben großem Ärger auch einen Vertrauensverlust, war erbost und fühlte sich bloßgestellt sowie beleidigt und sorgte sich um seine Kreditwürdigkeit. Wegen „inneren Ungemachs“ verlangte er von dem Unternehmen den Ersatz eines immateriellen Schadens i.H.v. EUR 1.000.
Vor den ersten Instanzen verlor der Kläger, der allerdings nicht aufgab und die Sache bis zum OGH brachte, der im Frühjahr 2021 beschloss, dem EuGH u.a. diese Fragen vorzulegen:
Erfordert der Zuspruch von Schadenersatz nach Art. 82 […] DSGVO […] neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus? […]
Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Da die DSGVO als europäische Verordnung durch nationale Vorschriften ergänzt wird und diese in dem jeweiligen Rechtssystem der verschiedenen Mitgliedstaaten eigene Schadensdogmatiken aufweisen, sind u.a. die genannten Fragen zu Art. 82 DSGVO unter Juristen hoch umstritten.
Es geht in dem Verfahren also um nicht weniger als die wichtigsten Voraussetzungen des Art. 82 DSGVO: zum einen um die Frage, ob allein die Verletzung einer Vorschrift der DSGVO bereits den zu ersetzenden Schaden begründet oder auch ohne erlittenen Schaden zu einem Anspruch nach Art. 82 DSGVO führt; zum anderen um die Frage, ob nur Schäden zu ersetzen sind, die eine gewisse Erheblichkeitsschwelle überschreiten, sodass sog. „Bagatellschäden“ hiervon ausgeschlossen wären.
Stellt jeder DSGVO-Verstoß bereits einen ersatzfähigen Schaden dar?
Der Wortlaut von Art. 82 Abs. 1, Abs. 2 S. 1 DSGVO sorgt für den ersten Meinungsstreit bei der Anwendung von Art. 82 DSGVO:
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter (Abs. 1); Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde (Abs. 2 S. 1) […].
Umstritten ist aufgrund dieser Formulierungen, ob bereits automatisch jeder Verstoß gegen eine der Vorschriften der DSGVO allein einen ersatzfähigen Schaden darstellt oder ob weitere Umstände hinzutreten und letztlich auch nachgewiesen werden müssen.
Der Generalanwalt kommt in seinen Schlussanträgen vom 6. Oktober 2022 nach umfangreicher Begründung und Auslegung der DSGVO zu dem Ergebnis, dass eine DSGVO-Verletzung nicht automatisch einen nach Art. 82 DSGVO ersatzfähigen Schaden begründe. Außerdem betont er, dass der Schadensersatz seiner Ansicht nach nicht für Gefühle wie bloßen Ärger geleistet werden müsse. In der Begründung der Schlussanträge erinnert der Generalanwalt zur Untermauerung seiner Ergebnisse an den Sinn und Zweck der DSGVO:
Es ist hervorzuheben, dass die DSGVO nicht bezweckt, die Verarbeitung personenbezogener Daten systematisch zu begrenzen, sondern sie unter strengen Voraussetzungen legitimieren soll. Insoweit dient sie zunächst der Förderung des Vertrauens der betroffenen Person darauf, dass die Verarbeitung in einem sicheren Kontext erfolgen wird […] wozu sie [die DSGVO] selbst beiträgt.
Der Generalanwalt betont in dem o.g. Verfahren sodann, dass der Schaden erlitten sein muss und bspw. nicht bereits allein aufgrund des DSGVO-Verstoßes bejaht oder gar (unwiderleglich) vermutet werden könne. Dies gelte insbesondere dann, wenn dem Betroffenen durch den Verstoß gar kein konkreter Schaden entstanden sein sollte. Der Generalanwalt kommt zu dem Ergebnis, dass für einen Schadensersatzanspruch gem. Art. 82 DSGVO die bloße Verletzung einer Norm der DSGVO nicht ausreiche, sondern auch ein materieller oder immaterieller Schaden vorliegen müsse. Der Annahme eines Strafcharakters der Norm erteilte der Generalanwalt eine Absage (das entspricht auch der Auslegung der meisten deutschen Gerichte).
Zur Begründung führt er aus:
Meines Erachtens lässt sich aus der DSGVO nicht ohne Weiteres ableiten, dass sie der betroffenen Person die Kontrolle über personenbezogene Daten als Wert an sich verleihen soll. Und ebenso wenig, dass die betroffene Person die größtmögliche Kontrolle über diese Daten ausüben soll.
Wenn nun nicht bereits jeder Verstoß gegen die Vorschriften der DSGVO automatisch einen ersatzfähigen Schaden, z.B. aufgrund von Kontrollverlust, begründet, stellt sich weiter die Frage, ob der durch den Verstoß erlittene Schaden von einer gewissen Erheblichkeit sein muss, um einen Anspruch auf Schadensersatz nach Art. 82 DSGVO zu begründen.
Kann in Art. 82 DSGVO eine Erheblichkeitsschwelle hineingelesen werden?
Es gibt nicht wenige Stimmen unter Juristen und deutschen Gerichten (z.B. OLG Dresden, Urteil vom 20. August 2020 – 4 U 784/20), die für den Schadensersatz nach Art. 82 DSGVO eine sog. Erheblichkeitsschwelle fordern, also dass der zu ersetzende Schaden über bestimmte nicht ersatzfähige Bagatellen hinausgeht. Bloßer Ärger, Befürchtungen, Sorgen oder negative Gefühle, die aufgrund einer rechtswidrigen Datenverarbeitung entstehen, wären danach nicht ersatzfähig und in Geld zu entschädigen.
Andere Gerichte stellen sich dem Erfordernis einer Erheblichkeitsschwelle entgegen und lassen auch empfundenen Stress und Sorge als ersatzfähigen Schaden ausreichen (so z.B. OLG Köln, Urteil vom 14. Juli 2022 – 15 U 137/21, LAG Hannover, Urteil vom 22. Oktober 2021 – 16 Sa 761/20, LAG Hamm, Urteil vom 14. Dezember 2021 – 17 Sa 1185/20).
In dem Verfahren vor dem EuGH betont der Generalanwalt in seinen Schlussanträgen hierzu, dass sich der Schadensersatz seiner Ansicht nach nicht auf bloßen Ärger aufgrund einer Verletzung von DSGVO-Vorschriften erstrecke.Die oftmals zur Begründung der gegenteiligen Ansicht herangezogenen Erwägungsgründe Nr. 75, 85 und 146 der DSGVO lassen den Generalanwalt zu keinem anderen Ergebnis kommen. Vielmehr betont er, dass sich aus der bisherigen Rechtsprechung des EuGH zum Schadensersatz gerade nicht ableiten ließe, dass jeder immaterielle Schaden unabhängig von seiner Schwere zu ersetzen sei. Die Ermittlung, unter welchen Umständen das subjektive Unmutsgefühl im Einzelfall als immaterieller Schaden angesehen werden kann, sieht der Generalanwalt bei den nationalen Gerichten, erkennt aber an, dass es sich hierbei um eine schwierige Aufgabe handele.
In seiner Begründung wird der Generalanwalt diesbzgl. sehr deutlich:
[…] Im Übrigen scheint mir der in Art. 82 Abs. 1 der DSGVO vorgesehene Anspruch auf Schadensersatz nicht das geeignete Instrument zu sein, um gegen Verstöße bei der Verarbeitung personenbezogener Daten vorzugehen, wenn sie bei der betroffenen Person lediglich zu Zorn oder Ärger führen […] Im Allgemeinen wird jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen. Ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, kommt dem von mir bereits abgelehnten Schadensersatz ohne Schaden recht nahe.
Der Generalanwalt betont aber auch, dass der Betroffene, der anlässlich eines Verstoßes gegen die DSGVO Ärger und Unmut empfindet, nicht dadurch schutzlos gestellt werde, wenn man ihm keinen Schadensersatz nach Art. 82 DSGVO gewährte, da die DSGVO ausreichend andere Rechtsinstrumente zu seinem Schutz bereithalte.
Warten auf die Entscheidung des EuGH zum Schadensersatz gem. Art. 82 DSGVO
Nach den genannten Erwägungen enden die Schlussanträge des Generalanwalts mit einer Empfehlung an den EuGH, auf o.g. Vorlagefragen des OGH zu antworten:
Art. 82 [DSGVO] ist wie folgt auszulegen:
Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.
Der in der [DSGVO] geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.
Nun wird gespannt auf die Entscheidung des EuGH in der Sache gewartet, der die Einschätzung des Generalanwalts nicht teilen muss und gegenteilig entscheiden kann. Falls sich die Richter dem Generalanwalt und dessen Auslegung von Art. 82 DSGVO anschließen, könnten einige Gerichte den DSGVO-Schadensersatz nicht mehr in dem Umfang wie bisher zusprechen.
Gerade im Hinblick auf die bis Ende Dezember 2022 zu erfolgende Umsetzung der EU-Verbandsklagerichtlinie, die es Verbraucherschutzverbänden ermöglichen soll, ein gerichtliches Verfahren gegen ein Unternehmen für eine Vielzahl von Verbrauchern bei Verstößen gegen verbraucherschutzrechtliche Vorschriften (wie die DSGVO) zu führen, wäre es besonders begrüßenswert, bei diesen umstrittenen Punkten zu dem datenschutzrechtlichen Schadensersatzanspruch zeitnah eine obergerichtliche Klärung zu erhalten.
Für weitere Informationen verfolgen Sie gerne unseren laufend aktualisierten Überblick über die deutsche Rechtsprechung zu Art. 82 DSGVO. Weitere Beiträge befassen sich mit der Klagewelle wegen Schadensersatz nach Datenschutzverstoß oder der möglichen Verbandsklage bei DSGVO-Verletzungen.
This article is also available in English.
*Gemeint sind Personen jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.