Neben den Ansprüchen auf Auskunft und Löschung stellt der Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO einen der praxisrelevantesten Ansprüche im Datenschutzrecht dar. Die ordentlichen Gerichte haben sich jedoch bisher schwergetan, immateriell Schäden infolge von Datenschutzverstößen zu bejahen und zu beziffern. Die Arbeitsgerichtsbarkeit dagegen urteilen regelmäßig deutlich bereitwilliger Schadensersatz aufgrund von Schadensersatzansprüchen aus. Eine gefestigte und einheitliche Rechtsprechung gab es bisher jedoch jedenfalls nicht, sodass eine Klärung und Konkretisierung durch den EuGH wünschenswert ist. Nun hat der EuGH am 04. Mai 2023 eine langersehnte Entscheidung zum immateriellen DSGVO-Schadensersatz veröffentlicht (Urteil v. 04.05.2023 – C-300/21). Die für die Praxis relevanten Fragen, haben die Richter jedoch offengelassen.

 

Das Wichtigste in Kürze

  • Der bloße DSGVO-Verstoß an sich begründet noch keinen Anspruch auf Schadensersatz.
  • Die Darlegungs- und Beweislast im Hinblick auf einen konkret eingetretenen Schaden liegt beim Betroffenen.
  • Nach Auffassung des EuGH ist grundsätzlich jeder kausale Schaden, d. h. jede konkrete Einbuße oder Beeinträchtigung aufseiten des Betroffenen ersatzfähig.
  • Die Entscheidung über den Anspruch auf immateriellen Schadensersatz dem Grunde und der Höhe nach gem. Art. 82 DSGVO unterliegt grundsätzlich den nationalen Vorschriften.

 

Ausgangsfall: Rechtswidrige Verarbeitung personenbezogener Daten durch die Österreichische Post AG

Der aktuellen Entscheidung des EuGH liegt ein Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofs zugrunde. Dieser hatte sich mit der Klage eines Betroffenen auf Zahlung immateriellen Schadensersatzes gegen die Österreichische Post AG zu befassen.

Das Unternehmen hat seit 2017 mithilfe eines Algorithmus basierend auf der Wohnschrift Informationen zur Parteiaffinität der österreichischen Bevölkerung – unter anderem auch des Klägers – gesammelt. Diese sollten anschließend zu Wahlwerbezwecke verwendet werden. Eine Weitergabe der Informationen an Dritte sei jedoch nicht erfolgt.

Infolgedessen machte der Kläger einen Anspruch auf immateriellen Schadensersatz in Höhe von 1.000 Euro gegen das Unternehmen geltend. Dieses habe seine Daten ohne Einwilligung und damit rechtswidrig verarbeitet. Durch die rechtswidrige Datenverarbeitung habe er einen immateriellen Schaden erlitten. Konkret sei er unter anderem erbost gewesen und habe sich durch die ihm zugeordnete Parteiaffinität bloßgestellt gefühlt.

 

Vorlagefragen des österreichischen OGH an den EuGH

Nachdem die ersten beiden Instanzen einen Datenschutzverstoß bejahten, einen Anspruch auf Schadensersatz jedoch mit der Begründung scheitern ließen, dass dieser nicht erheblich sei, zog der Kläger vor den Obersten Gerichtshof (OGH). Dieser hat das Verfahren schließlich ausgesetzt und ein Vorabentscheidungsersuchen zur Auslegung der DSGVO-Vorschriften an den EuGH gerichtet (OGH, Vorlage vom 12. Mai 2021, Rs. C-300/21).

Der OGH wollte zum einen wissen, ob bereits der Umstand, dass eine Datenschutzverletzung vorliegt, ausreiche, um einen Anspruch auf immateriellen Schadensersatz zu bejahen oder der Betroffene zudem auch den Eintritt eines solchen Schadens nachweisen muss.

Zum anderen wollte das Gericht geklärt haben, wie ein immaterieller Schaden der Höhe nach zu bemessen ist und ob ein ersatzfähiger Schaden nur dann vorliegt, wenn die Beeinträchtigung eine gewisse Erheblichkeit erreicht.

 

Erforderlichkeit eines Datenschutzverstoßes und eines kausalen Schadens

Der EuGH hat in seiner Entscheidung deutlich gemacht, dass ein Datenschutzverstoß an sich nicht unmittelbar zu einem Schadensersatzanspruch führt. Vielmehr liegt es entsprechend den Grundsätzen des jeweiligen nationalen Zivilprozessrechts beim Betroffenen einen konkreten Schaden darzulegen und zu beweisen.

 

Keine Erheblichkeitsschwelle

Allerdings reicht nach Auffassung des EuGH grundsätzlich jeder kausale Schaden, d. h. jede konkrete Einbuße oder Beeinträchtigung aufseiten des Betroffenen für die Begründung eines Schaden aus. Das Überschreiten einer Bagatellgrenze, wie sie auch von deutschen Gerichten immer wieder angenommen wurde, sei demgegenüber nicht erforderlich.

Die Tatsache, dass der EuGH die nationalen Gerichte zu einer möglichst datenschutzfreundlichen Auslegung auffordert, kommt wenig überraschend. Allerdings sprach sich der zuständige Generalanwalt Sánchez-Bordona in seinen Schlussanträgen im vergangenen Oktober für eine restriktive Auslegung des Art. 82 DSGVO aus. Konkret führte er aus, dass seiner Auffassung nach nicht jeder bloße Ärger, zu dem die Verletzung der Datenschutzvorschriften beim Betroffenen geführt haben mag, als immaterieller Schaden angesehen werden könne (Schlussanträge vom 06.10.2022, Rs. C-300/21).

Demgegenüber ergibt sich nach Auffassung des EuGH eine Erheblichkeitsschwelle weder aus dem Wortlaut oder der systematischen Stellung noch aus dem Sinn und Zweck des Art. 82 DSGVO. In diesem Zusammenhang wies das Gericht in seinen Entscheidungsgründen darauf hin, dass eine einheitliche Anwendung des weiten Schadensbegriffs durch die mitgliedstaatlichen Gerichte unabdingbar sei, um ein einheitliches und vor allem hohes Datenschutzniveau innerhalb der Europäischen Union zu gewährleisten. Folglich muss jeder noch so kleine Schaden infolge einer Datenschutzverletzung geltend gemacht werden können.

 

Entscheidung über immateriellen DSGVO-Schadensersatz dem Grunde und der Höhe nach obliegt den nationalen Gerichten

Der EuGH überlässt es den Gerichten der Mitgliedstaaten, die Kriterien für die Ermittlung des Schadensersatzes im konkreten Fall unter Berücksichtigung der nationalen Vorschriften festzulegen. Die nationalen Regelungen müssen dabei die Einhaltung der DSGVO sichern und den Effektivitäts- und Äquivalenzgrundsatz sowie die Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs beachten. In diesem Zusammenhang haben die Richter klargestellt, dass es an den Gerichten der Mitgliedstaaten liegt, sicherzustellen, dass die Geltendmachung eines Schadensersatzanspruchs aus der DSGVO durch die nationalen Vorschriften des jeweiligen Mitgliedstaates nicht erschwert oder praktisch unmöglich gemacht wird. Zudem sei unter Berücksichtigung der Ausgleichsfunktion, die einem Schadensersatzanspruch immanent ist, ein vollständiger Ersatz des tatsächlich eingetretenen Schadens zu gewähren, wobei vermieden werden muss, dass der Schadensersatzanspruch aus Art. 82 DSGVO einen Strafcharakter annimmt.

 

 

Ausblick

Nach der EuGH-Entscheidung muss sich nun der OGH dem Verfahren wieder annehmen und eine Entscheidung auf Grundlage des österreichischen Rechts treffen. Ob das Gericht tatsächlich einen Schadensersatz zuspricht und in welche Höhe, bleibt also spannend. Einige deutsche Gerichte haben bisher eine gewisse Erheblichkeit der Verletzung gefordert, wonach geringfügige Beeinträchtigungen oder bloße Unannehmlichkeiten keinen Ersatzanspruch rechtfertigten. Einer solchen Bagatellgrenze hat der EuGH nun eine Absage erteilt. Darüber hinaus wären jedoch klarere Aussagen oder Vorgaben durch den EuGH wünschenswert gewesen. Der Anspruch auf immateriellen Schadensersatz infolge von Datenschutzverstößen wird die Praxis folglich zukünftig weiterhin beschäftigen. Da nach der neuen Rechtsprechung klar gestellt ist, dass jeder immaterielle Schaden gerichtlich geltend gemacht werden kann, sofern er dargelegt und bewiesen werden kann, ist damit zu rechnen, dass zukünftig mehr Betroffene versuchen werden, Schmerzensgeldansprüche gerichtlich durchzusetzen. Um die Möglichkeit einer Inanspruchnahme durch Betroffene möglichst gering zu halten, kann Unternehmen weiterhin nur geraten werden, ein effektives Datenschutz-Management-System zu implementieren, das eine professionelle Evaluierung von Datenschutzvorfällen sowie Bearbeitung von Betroffenenanfragen gewährleistet und das bestenfalls dafür sorgt Datenschutzverstöße gänzlich zu vermeiden.

 

„>

Kontakt aufnehmen