BLOG -


EuGH: Datenschutzverstoß allein nicht ausreichend für immateriellen Schadensersatz

Wenige Entscheidungen des Europäischen Gerichtshofs („EuGH“) zum Datenschutz wurden in letzter Zeit mit größerer Spannung erwartet als das nun am 4. Mai 2023 ergangene Urteil (Az. C-300/21). Der EuGH hat sich darin mit den Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO auseinandergesetzt und festgestellt, dass allein ein Verstoß gegen die Datenschutz-Grundverordnung („DSGVO“) nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Allerdings hängt das Vorliegen eines Schadens nicht vom Erreichen einer bestimmten Erheblichkeit ab. Das Urteil bringt damit zumindest teilweise Klarheit in einen sehr umstrittenen Bereich des Datenschutzrechts, bietet den nationalen Gerichten aber weiterhin einen großen Entscheidungsspielraum bei der Beurteilung entsprechender Klagen.

Der Hintergrund des Falles

Hintergrund des Falles war der Rechtsstreit eines Betroffenen in Österreich gegen die Österreichische Post AG („Österreichische Post“). Diese hatte seit 2017 mit Hilfe eines Algorithmus Informationen über die Affinitäten bzw. Neigungen der österreichischen Bevölkerung zu bestimmten politischen Parteien gesammelt. Durch die Berücksichtigung verschiedener sozialer und demografischer Merkmale wurden so „Zielgruppenadressen“ definiert. Diese Daten hatte die Österreichische Post wiederum zum Zweck des zielgerichteten Versands von Werbung an verschiedene Organisationen verkauft.

Dem Betroffenen und späteren Kläger des Ausgangsverfahrens war im Rahmen dieses automatisierten Verfahrens eine besondere Nähe zu der rechtspopulistischen FPÖ zugeschrieben worden. Obwohl die Daten des Klägers im konkreten Fall nicht an Dritte übermittelt worden waren, fühlte sich der Kläger, der einer Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, durch diese Einstufung beleidigt. Der Kläger behauptete, die Speicherung seiner Daten zu einer mutmaßlichen politischen Meinung habe bei ihm großen Ärger, einen Vertrauensverlust und ein Gefühl der Bloßstellung verursacht. Er erhob daher Klage gegen die Österreichische Post und verlangte Unterlassung der Verarbeitung seiner Daten sowie Zahlung von Schadensersatz in Höhe von EUR 1.000 wegen eines angeblich erlittenen immateriellen Schadens.

Land- und Oberlandesgericht bejahten den Unterlassungsanspruch, lehnten den begehrten Schadensersatz jedoch ab. Beide Gerichte sahen zwar die Möglichkeit eines Datenschutzverstoßes, verlangten aber für das Vorliegen eines Schadens die Überschreitung einer Erheblichkeitsschwelle. Der bloße Ärger des Klägers über eine unrechtmäßige Verarbeitung läge unterhalb dieser Schwelle, insbesondere da die Daten des Klägers nicht an Dritte weitergegeben worden waren.

Der mit der Revision befasste Oberste Gerichtshof in Österreich (OGH) legte die Sache daher dem EuGH mit sinngemäß folgenden Fragen zur Entscheidung vor:

  1. Reicht bereits die Verletzung der DSGVO, um Schadensersatz zu begründen, oder braucht es einen tatsächlichen Schaden?
  2. Muss für die Zuerkennung von Schadensersatz ein Schaden vorliegen, der einen bestimmten Grad an Erheblichkeit erreicht?
  3. Macht das Unionsrecht weitere Vorgaben für den Schadensersatzanspruch?

Bloßer Verstoß gegen die DSGVO nicht ausreichend

In Bezug auf die erste Vorlagefrage hat der EuGH unmissverständlich klargestellt, dass allein der Verstoß gegen Bestimmungen der DSGVO nicht ausreicht, um einen immateriellen Schadenersatzanspruch zu begründen. Dies leitet der EuGH insbesondere aus dem Wortlaut des Art. 82 Abs. 1 DSGVO ab:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Die Erwähnung eines „Schadens“ und eines „Verstoßes“ in der Norm wäre überflüssig, wenn schon der bloße Verstoß gegen Bestimmungen der DSGVO für sich allein den Schadensersatzanspruch begründen könnte. Zudem würde die Vorschrift ansonsten ihren Ausgleichscharakter verlieren und zu einer reinen Sanktionsvorschrift werden.

Damit vertritt der EuGH eine andere Auffassung als insbesondere die deutschen Arbeitsgerichte. So ist das Bundesarbeitsgericht (BAG) bislang der Meinung gewesen, dass bereits ein Verstoß gegen die DSGVO zu einem immateriellen Schaden führe. Das BAG hat die Frage mit Beschluss vom 22. September 2022 (Az. 8 AZR 209/21) ebenfalls dem EuGH zur Entscheidung vorgelegt. Dieser Auffassung hat der EuGH bereits jetzt eine deutliche Absage erteilt und insoweit für Rechtsklarheit gesorgt.

Keine Erheblichkeitsschwelle für immateriellen Schaden

Hinsichtlich der zweiten Vorlagefrage hat der EuGH festgestellt, dass es für die Begründung eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO nicht auf das Erreichen einer bestimmten Erheblichkeit ankommt. Eine sogenannte Bagatellgrenze für den Schadensersatzanspruch gibt es damit nicht.

Insbesondere dieser Punkt wurde zuvor in der deutschen Rechtsprechung und Literatur sehr lebhaft diskutiert. Viele deutsche Gerichte urteilten dabei sehr zurückhaltend und setzten oftmals das Überschreiten einer Erheblichkeitsschwelle für die Begründung von immateriellem Schadensersatz voraus. Ein bloßes Ärgernis oder Unwohlsein des Betroffenen ließen sie daher nicht genügen. Auch der für das vorliegende EuGH-Verfahren zuständige Generalanwalt sprach sich in seinem Schlussantrag noch für das Erfordernis einer Erheblichkeitsschwelle aus.

Der EuGH legt den Begriff des Schadens jedoch unionsrechtlich aus und folgt einem sehr weiten Verständnis. Der Wortlaut der Vorschrift erwähne eine Erheblichkeitsschwelle an keiner Stelle. Es widerspreche auch dem vom Gesetzgeber gewollten weiten Verständnis des Schadensbegriffs, wenn man eine solche Schwelle voraussetzen würde. Zuletzt würde eine solche Begrenzung auch die einheitliche Rechtsanwendung in der Union gefährden, da eine Erheblichkeitsschwelle von den nationalen Gerichten in jedem Einzelfall unterschiedlich ausgelegt werden könne.

Der EuGH betont bei dieser Frage aber, dass der Betroffene dennoch den Nachweis eines durch den Rechtsverstoß kausal verursachten Schadens führen muss.

Keine Vorgaben zur Bemessung des Schadensersatzes

Zur dritten Vorlagefrage stellt der EuGH fest, dass die DSGVO hinsichtlich der Bemessung des konkreten Schadensersatzes keine Vorgaben macht. Damit überlässt der EuGH den nationalen Gerichten weiterhin die eigenständige Festsetzung der Höhe des Schadensersatzes. Die Gerichte in den Mitgliedstaaten müssen dabei aber die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachten. Art. 82 DSGVO verfolge eine Ausgleichsfunktion und eine finanzielle Entschädigung, um den erlittenen Schaden wirksam und vollständig auszugleichen.

Auswirkungen der Entscheidung

Die Entscheidung des EuGH wird voraussichtlich große Auswirkungen auf die deutsche Rechtsprechung haben. Die nationalen Gerichte sind an die Auslegung des EuGH gebunden und werden künftig Schadensersatzansprüche von potenziell geschädigten Personen nicht mehr unter Verweis auf eine Erheblichkeitsschwelle abweisen dürfen. Andererseits wird aber auch der sehr weitgehenden Auffassung vieler Arbeitsgerichte widersprochen, wonach bereits jeder Datenschutzverstoß einen immateriellen Schaden begründen soll. Insoweit bringt das Urteil des EuGH also einen wirklichen Mehrwert und mehr Rechtssicherheit.

Sicherlich könnte es Klägern damit leichter gemacht werden, einen immateriellen Schaden vor Gericht geltend zu machen. Ob es dadurch aber auch tatsächlich zu einer Häufung von Klageverfahren und stattgebenden Urteilen kommen wird, bleibt abzuwarten. Denn es ist weiter Aufgabe der Kläger, einen Verstoß gegen die DSGVO sowie einen dadurch erlittenen Schaden im Prozess nachzuweisen. Dabei werden Betroffene insbesondere zu dem erlittenen Schaden konkrete Ausführungen machen müssen, wobei floskelhafte Ausführungen nicht genügen dürften. Auch die Entscheidung über die Höhe eines Schadens liegt weiter allein bei den nationalen Gerichten, so dass weiterhin mit großen Unterschieden bei der Bemessung des Schadensersatzes zu rechnen ist.

Die Thematik bleibt auch über die aktuelle Entscheidung hinaus spannend, da dem EuGH eine Reihe von weiteren Vorabentscheidungsersuchen zu ähnlichen Fragen vorliegen. So möchte etwa das bulgarische Oberste Verwaltungsgericht vom EuGH wissen, ob bei einem Hackerangriff bereits Ängste und Sorgen wegen eines möglichen künftigen Missbrauchs von Daten einen immateriellen Schaden begründen (Az. C-340/21). Möglicherweise wird der EuGH hier in naher Zukunft weitere Klarheit in diese sehr praxisrelevanten Fragen bringen.

Jason Komninos

Zur besseren Lesbarkeit wird in dem vorliegenden Beitrag auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Es wird das generische Maskulin verwendet, wobei alle Geschlechter gleichermaßen gemeint sind.

TAGS

EuGH Schadensersatz DSGVO Datenschutz Datenschutzverstoß

Kontakt

Jason Komninos T   +49 69 756095-585 E   Jason.Komninos@advant-beiten.com