7. Juni 2023
DSGVO Schadensersatzanspruch EuGH
Datenschutzrecht

Urteil des EuGH zum DSGVO-Schadensersatz

Der EuGH hat ein Grundsatzurteil zu Art. 82 DSGVO gefällt: Eine Erheblichkeitsschwelle besteht nicht, jedoch muss ein Schaden nachgewiesen werden.

Ein Anspruch auf Schadensersatz soll erlittene Schäden ausgleichen. Aber ist allein der Verstoß gegen geltendes Recht wie die europäische Datenschutz-Grundverordnung (DSGVO) bereits ein Schaden an sich oder muss darüber hinaus ein nachweisbarer und unter Umständen sogar nicht unerheblicher Schaden entstanden sein?

Die Voraussetzungen, unter denen Betroffene bei Verstößen gegen die DSGVO Schadensersatz fordern können, sind unter Juristen* und nationalen Gerichten umstritten. Ausganspunkt der Debatte ist der Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO, welcher jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Ersatzanspruch gegen den Verantwortlichen oder gegen den Auftragsverarbeiter zuspricht.

Hierzu sind einige der Ansicht, dass jeder Verstoß gegen eine Vorschrift der DSGVO automatisch den Anspruch auf Zahlung eines Schadensersatzes gemäß Art. 82 DSGVO auslöse (z.B. ArbG Oldenburg, Urteil vom 9. Februar 2023 – 3 Ca 150/21), während andere darüber hinaus den Nachweis eines konkreten Schadens fordern (z.B. OLG Koblenz, Urteil vom 23. Januar 2023 – 12 U 2194/21). Zudem verlangen einige Gerichte das Erreichen einer sog. „Erheblichkeitsschwelle“. Mit diesem Kriterium sollten sog. Bagatellschäden als nicht ersatzfähig ausgeschlossen werden (z.B. LG Leipzig, Urteil vom 23. Dezember 2021 – 03 O 1268/21). Wiederum andere widersprechen der Annahme einer Bagatell- und Erheblichkeitsschwelle (z.B. OLG Hamm, Urteil vom 20. Januar 2023 – 11 U 88/22) – mit der Folge, dass auch geringfügige Schädigungen den Schadensersatzanspruch auslösen können. 

Diese Uneinheitlichkeit bei der Auslegung der maßgeblichen Schadensersatznorm des Datenschutzrechts führte für Betroffene und datenverarbeitende Unternehmen gleichermaßen zu Rechtsunsicherheiten. Nun wurde zu diesen Fragen am 4. Mai 2023 ein mit großer Spannung erwartetes Urteil des Europäischen Gerichtshofs (EuGH) (C‑300/21) gefällt.

EuGH entscheidet aufgrund der Vorlage des OGH zu den Voraussetzungen des Art. 82 DSGVO 

Der Oberste Gerichtshof Österreichs (OGH) hat im Jahr 2021 in einem Verfahren, in dem es um Schadensersatz nach Art. 82 DSGVO geht, ein Vorabentscheidungsersuchen an den EuGH gerichtet. In dem Fall geht es um die Speicherung von personenbezogenen Daten zur Parteiaffinität durch ein Adresshandelsunternehmen. Die Speicherung erfolgte ohne Einwilligung des Betroffenen. Der Datensatz legte zudem nahe, der Betroffenen habe eine Nähe zu einer Partei im rechten politischen Spektrum. Eine Weitergabe der Daten an Dritte erfolgte nicht.

Für u.a. den erlittenen Kontrollverlust verlangte der Betroffene Schadensersatz nach Art. 82 DSGVO in Höhe von EUR 1.000 von dem Adresshandelsunternehmen. Mit dieser Forderung unterlag er in den Verfahren vor den österreichischen Gerichten.

In der vor dem EuGH unter dem Aktenzeichen C‑300/21 anhängigen Rechtssache hatte der zuständige Generalanwalt Sánchez-Bordona am 6. Oktober 2022 bereits seine Schlussanträge veröffentlicht und sich u.a. dafür ausgesprochen, dass nicht jeder DSGVO-Verstoß oder bloßer Ärger und Unmut hierüber einen Schadensersatzanspruch auslöse.

Nicht jeder Verstoß gegen die DSGVO löst automatisch einen Anspruch auf Schadensersatz aus

In seinem Urteil vom 4. Mai 2023 nimmt der EuGH zunächst zu der ersten Vorlagefrage Stellung und weist darauf hin, dass nicht jeder Verstoß gegen eine Vorschrift der DSGVO automatisch einen Anspruch auf Schadensersatz auslöse. Sein Ergebnis begründet der EuGH mit dem Wortlaut des Art. 82 Abs. 1 DSGVO, wonach 

[…] [j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat].

Schon dieser Wortlaut des Abs. 1 weise dem EuGH zufolge darauf hin, dass über den DSGVO-Verstoß hinaus ein kausal auf diesem Verstoß beruhender Schaden entstanden sein und festgestellt werde müsse. Die Annahme, dass jeder Verstoß gegen die Vorschriften der DSGVO einen Schadensersatzanspruch auslöse, liefe schon dem Wortlaut des Art. 82 Abs. 1 DSGVO zuwider. Auch eine systematische Auslegung des Regelungszusammenhangs der Vorschrift u.a. mit ihrem Abs. 2 und die Einbeziehung der Erwägungsgründe 75, 85 und 146 der DSGVO bestätige dieses Ergebnis.

Absage des EuGH an Erheblichkeitsschwelle, aber keine Erläuterungen zum Begriff des immateriellen Schadens

Die dritte Vorlagefrage des OGH, ob Art. 82 Abs. 1 DSGVO dahin auszulegen sei, dass dieser einer nationalen Regelung oder Praxis entgegenstehe, die den Ersatz eines immateriellen Schadens davon abhängig mache, dass der dem Betroffenen entstandene Schaden einen bestimmten Grad an Erheblichkeit erreiche, beantwortet der EuGH ebenfalls unter Auslegung des Wortlauts der Norm und der DSGVO-Erwägungsgründe. Beides setzt keine wie auch immer geartete Erheblichkeitsschwelle voraus. Eines erheblichen Schadens bedarf es daher nicht. Damit folgt der EuGH in dieser Sache nicht vollständig der Empfehlung des Generalanwalts, der noch darauf hingewiesen hatte, dass nicht jeder immaterielle Schaden unabhängig von seiner Schwere zu ersetzen sei. 

Ziel der DSGVO sei es dem EuGH zufolge, ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten in der EU zu gewährleisten und für eine unionsweit gleichmäßige und einheitliche Anwendung der datenschutzrechtlichen Vorschriften zu sorgen. Dem liefe eine von der Beurteilung durch die zuständigen Gerichte abhängige Erheblichkeitsschwelle zuwider, da diese je nach Gericht unterschiedlich hoch ausfallen könne. Damit ist klar: Nationale Gerichte können eingeklagte Schadensersatzforderungen aus Art. 82 DSGVO künftig nicht mehr mit einem Verweis auf den zu ersetzenden Schaden als Bagatelle ablehnen. 

Leider erläutert der EuGH aber nicht, unter welchen Umständen ein immaterieller Schaden vorliegen soll. In Randnummer 50 des Urteils führt der EuGH aus, dass die Person, für die ein Verstoß gegen die DSGVO negative Folgen hatte, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Damit bleibt unklar, wann eine negative Folge vorliegt, die ihrerseits einen Schaden darstellt. Gerichte, die einen Schaden ablehnen wollen, werden sich daher nicht mehr auf die Erheblichkeitsschwelle berufen, sondern dann feststellen, dass „keine negative Folge“ vorliege oder diese Folge noch keinen Schaden begründe. Zu hoffen bleibt, dass der EuGH insofern bei der nächsten Gelegenheit konkreter wird. 

Die DSGVO enthält keine Regelungen zur Bemessung der Höhe des Schadensersatzanspruchs

Wird ein Schadensersatzanspruch nach Art. 82 DSGVO dem Grunde nach bejaht, stellt sich im Anschluss die Frage nach der Höhe des zu leistenden Betrages. 

Hierauf bezieht sich die zweite Vorlagefrage des OGH an den EuGH. Das vorlegende österreichische Gericht wollte vom EuGH wissen, ob für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts bestehen. Der EuGH stellt in seinem Urteil vom 4. Mai 2023 fest, dass die DSGVO keine Bestimmungen für die Bemessung des Schadenersatzes enthalte, sodass die nähere Ausgestaltung insb. der Kriterien für der Ermittlung des Umfangs des Schadensersatzes unter Berücksichtigung des Äquivalenz- und der Effektivitätsgrundsatzes Aufgabe des innerstaatlichen Rechts der einzelnen Mitgliedsstaaten sei. 

Inwieweit dieses Ergebnis für die hinsichtlich der zuvor erörterten Vorlagefrage geforderten unionsweit gleichmäßigen und einheitlichen Anwendung der datenschutzrechtlichen Vorschriften zuträglich ist, bleibt offen. In der Praxis dürfte es dabei bleiben, dass nationale Gerichte Schadensersatzansprüche in erheblich unterschiedlicher Höhe für ähnliche Sachverhalte ausurteilen. 

EuGH-Urteil erhöht die Rechtssicherheit hinsichtlich der Anspruchsvoraussetzungen des Art. 82 DSGVO 

Damit überlässt der EuGH die wichtige Frage der Höhe eines einmal bejahten Schadensersatzanspruchs den Mitgliedsstaaten. An dieser Stelle wären ausdrückliche Hinweise auf die Bemessungsgrundlagen wie sie z.B. Art. 83 Abs. 2 S. 2 DSGVO für Bußgelder an die Hand gibt, wünschenswert gewesen. Allerdings hält die DSGVO diese für den Schadensersatz nun einmal nicht bereit. Da der Verordnungsgeber die Bemessungsgrundsätze für die Höhe bei Bußgeldern geregelt hat, dürfte diese Vorschrift auch nicht ohne Weiteres analog auf die Höhe des DSGVO-Schadensersatzes anzuwenden sein, da es hierfür an der erforderlichen planwidrigen Regelungslücke fehlt. Es wird daher darauf ankommen, welche Praxis sich in der nationalen Rechtsprechung für ähnlich gelagerte Sachverhaltskomplexe einspielt.

Hinsichtlich der Anspruchsvoraussetzungen schafft der EuGH mit diesem Urteil immerhin ein bisschen Klarheit für die nationalen Gerichte, auch wenn sich diese nicht über die Bestätigung des Wortlauts der DSGVO hinausbewegt. Ein Anspruch aus Art. 82 DSGVO setzt demnach einen DSGVO-Verstoß und darüber hinaus einen mit diesem Verstoß in kausalem Zusammenhang stehenden Schaden voraus, wobei der Schaden nicht bereits allein aufgrund des Vorliegens des Verstoßes gegen eine Vorschrift der DSGVO bejaht werden kann. Zudem dürfen auf Art. 82 DSGVO gestützte Ansprüche nicht mehr mit Verweis auf die Geringfügigkeit des erlittenen Schadens abgelehnt und das Erreichen einer bestimmten Erheblichkeitsschwelle gefordert werden.

Wann ein immaterieller Schaden vorliegt, bleibt dagegen weiter im Dunkeln. Der Anreiz, Schadensersatz zu verlangen, dürfte aufgrund der Ablehnung der Erheblichkeitsschwelle nicht kleiner geworden sein. Vor dem Hintergrund der vor der Tür stehenden Anwendungspflicht des Verbandsklagenrichtlinienumsetzungsgesetzes (VRUG) mit seinen Abhilfeklage, die eine ab dem 25. Juni 2023 anzuwendende Umsetzung der EU-Verbandsklagerichtlinie darstellen, ist eine Vereinheitlichung der Rechtsprechung aufgrund des EuGH-Urteils zu Art. 82 DSGVO sehr zu begrüßen. 

Einen stets aktualisierten Überblick über die Rechtsprechung zu Art. 82 DSGVO finden Sie in unserem Blog. Eine ständig aktualisierte Übersicht über DSGVO-Bußgelder in Deutschland und anderen EU-Ländern finden Sie über unseren Enforcement-Tracker sowie weitere Informationen in der vierten Ausgabe unseres Enforcement-Tracker Reports. Beachten Sie auch gern unseren Schrems II Expert Guide.

* Gemeint sind Personen jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.

Tags: Datenschutzrecht DSGVO-Schadensersatz