Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Datenschutz: Schadensersatz ist kein Reflex auf Verstoß gegen DSGVO

Europäischer Gerichtshof („EuGH“), Urteil vom 04.05.2023 - C-300/21

 

Wenige Entscheidungen des Europäischen Gerichtshofs („EuGH“) zum Datenschutz wurden in letzter Zeit mit größerer Spannung erwartet als das nun am 4. Mai 2023 ergangene Urteil (Az. C-300/21). Der EuGH hat sich darin mit den Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO auseinandergesetzt und festgestellt, dass allein ein Verstoß gegen die Datenschutz-Grundverordnung („DSGVO“) nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Allerdings hängt das Vorliegen eines Schadens nicht vom Erreichen einer bestimmten Erheblichkeit ab. Das Urteil bringt damit zumindest teilweise Klarheit in einen sehr umstrittenen Bereich des Datenschutzrechts, bietet den nationalen Gerichten aber weiterhin einen großen Entscheidungsspielraum bei der Beurteilung entsprechender Klagen.

 

Worum geht es?

Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. 

Deutsche Arbeitsgerichte ließen den bloßen Verstoß gegen Bestimmungen der DSGVO für einen Schadensersatz bisher regelmäßig ausreichen. 

Der oberste Gerichtshof Österreichs legte dem EuGH einige stark umstrittenen Fragen zum Schadensersatz zur Vorabentscheidung vor und bat um Klärung, ob ein Schadensersatz allein für die Verletzung von Vorgaben der DSGVO zuzusprechen oder ein immaterieller Schaden konkret darzulegen sei. Zudem legte das Gericht dem EuGH die Frage vor, ob es mit Unionsrecht vereinbar sei, wenn für die Verurteilung zur Zahlung immateriellen Schadensersatzes eine Rechtsverletzung von einigem Gewicht verlangt werde, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgehe.

 

Der Sachverhalt

Hintergrund des Falles war der Rechtsstreit eines Betroffenen in Österreich gegen die Österreichische Post AG („Österreichische Post“). Diese hatte seit 2017 mit Hilfe eines Algorithmus Informationen über die Affinitäten bzw. Neigungen der österreichischen Bevölkerung zu bestimmten politischen Parteien gesammelt. Durch die Berücksichtigung verschiedener sozialer und demografischer Merkmale wurden so „Zielgruppenadressen“ definiert. Diese Daten hatte die Österreichische Post wiederum zum Zweck des zielgerichteten Versands von Werbung an verschiedene Organisationen verkauft.

 Dem Betroffenen und späteren Kläger des Ausgangsverfahrens war im Rahmen dieses automatisierten Verfahrens eine besondere Nähe zu der rechtspopulistischen FPÖ zugeschrieben worden. Obwohl die Daten des Klägers im konkreten Fall nicht an Dritte übermittelt worden waren, fühlte sich der Kläger, der einer Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, durch diese Einstufung beleidigt. Der Kläger behauptete, die Speicherung seiner Daten zu einer mutmaßlichen politischen Meinung habe bei ihm großen Ärger, einen Vertrauensverlust und ein Gefühl der Bloßstellung verursacht. Er erhob daher Klage gegen die Österreichische Post und verlangte Unterlassung der Verarbeitung seiner Daten sowie Zahlung von Schadensersatz in Höhe von EUR 1.000 wegen eines angeblich erlittenen immateriellen Schadens. 

Das österreichische Land- und Oberlandesgericht bejahten den Unterlassungsanspruch, lehnten den begehrten Schadensersatz jedoch ab. Beide Gerichte sahen zwar die Möglichkeit eines Datenschutzverstoßes, setzten aber für das Vorliegen eines Schadens die Überschreitung einer Erheblichkeitsschwelle voraus. Der bloße Ärger des Klägers über eine unrechtmäßige Verarbeitung läge unterhalb dieser Schwelle, insbesondere da die Daten des Klägers nicht an Dritte weitergegeben worden waren.

 

Der mit der Revision befasste Oberste Gerichtshof in Österreich (OGH) legte die Sache daher dem EuGH mit sinngemäß folgenden Fragen zur Entscheidung vor:

 

  1. Reicht bereits die Verletzung der DSGVO, um einen Schadensersatz zu begründen, oder braucht es einen tatsächlichen Schaden? 
  2. Muss für die Zuerkennung von Schadensersatz ein Schaden vorliegen, der einen bestimmten Grad an Erheblichkeit erreicht? 
  3. Macht das Unionsrecht weitere Vorgaben für den Schadensersatzanspruch?

 

Die Entscheidung

Zur 1. Frage:

In Bezug auf die erste Vorlagefrage stellte der EuGH klar, dass allein der Verstoß gegen Bestimmungen der DSGVO nicht ausreicht, um einen immateriellen Schadenersatzanspruch zu begründen. Dies leitet der EuGH insbesondere aus dem Wortlaut des Art. 82 Abs. 1 DSGVO ab: 

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ 

Die Erwähnung eines „Schadens“ und eines „Verstoßes“ in der Norm wäre überflüssig, wenn schon der bloße Verstoß gegen Bestimmungen der DSGVO für sich allein den Schadensersatzanspruch begründen könnte. Zudem würde die Vorschrift ansonsten ihren Ausgleichscharakter verlieren und zu einer reinen Sanktionsvorschrift werden. 

Damit vertritt der EuGH eine andere Auffassung als insbesondere die deutschen Arbeitsgerichte. So ist das Bundesarbeitsgericht (BAG) bislang der Meinung gewesen, dass bereits ein Verstoß gegen die DSGVO zu einem immateriellen Schaden führe. Das BAG hat die Frage mit Beschluss vom 22. September 2022 (Az. 8 AZR 209/21) ebenfalls dem EuGH zur Entscheidung vorgelegt. Dieser Auffassung hat der EuGH bereits jetzt eine deutliche Absage erteilt und insoweit für Rechtsklarheit gesorgt.

 

Zur 2. Frage:

Hinsichtlich der zweiten Vorlagefrage stellte der EuGH fest, dass es für die Begründung eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO nicht auf das Erreichen einer bestimmten Erheblichkeit ankommt. Eine sogenannte Bagatellgrenze für den Schadensersatzanspruch gibt es damit nicht. 

Insbesondere dieser Punkt wurde zuvor in der deutschen Rechtsprechung und Literatur sehr lebhaft diskutiert. Viele deutsche Gerichte urteilten dabei sehr zurückhaltend und setzten oftmals das Überschreiten einer Erheblichkeitsschwelle für die Begründung von immateriellem Schadensersatz voraus. Ein bloßes Ärgernis oder Unwohlsein des Betroffenen ließen sie daher nicht genügen. Auch der für das vorliegende EuGH-Verfahren zuständige Generalanwalt sprach sich in seinem Schlussantrag noch für das Erfordernis einer Erheblichkeitsschwelle aus. 

Der EuGH legt den Begriff des Schadens jedoch unionsrechtlich aus und folgt einem sehr weiten Verständnis. Der Wortlaut der Vorschrift erwähne eine Erheblichkeitsschwelle an keiner Stelle. Es widerspreche auch dem vom Gesetzgeber gewollten weiten Verständnis des Schadensbegriffs, wenn man eine solche Schwelle voraussetzen würde. Außerdem würde eine solche Begrenzung auch die einheitliche Rechtsanwendung in der Union gefährden, da eine Erheblichkeitsschwelle von den nationalen Gerichten in jedem Einzelfall unterschiedlich ausgelegt werden könne. 

Der EuGH betont bei dieser Frage aber, dass der Betroffene dennoch den Nachweis eines durch den Rechtsverstoß kausal verursachten Schadens führen muss.

 

Zur 3. Frage:

Zur dritten Vorlagefrage stellt der EuGH fest, dass die DSGVO hinsichtlich der Bemessung des konkreten Schadensersatzes keine Vorgaben macht. Damit überlässt der EuGH den nationalen Gerichten weiterhin die eigenständige Festsetzung der Höhe des Schadensersatzes. Die Gerichte in den Mitgliedstaaten müssen dabei aber die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachten. Art. 82 DSGVO verfolge eine Ausgleichsfunktion und eine finanzielle Entschädigung, um den erlittenen Schaden wirksam und vollständig auszugleichen.

 

Was heißt das?

Der EuGH betont, dass der Schadensersatzanspruch nur bei drei kumulativen Voraussetzungen geltend gemacht werden kann:

 

  • bei einem Verstoß gegen die DSGVO,
  • bei einem daraus resultierenden materiellen oder immateriellen Schaden
  • und bei Vorliegen eines Kausalzusammenhangs zwischen beiden

 

Ein bloßer Verstoß gegen die DSGVO reicht somit nicht aus, um einen Schadenersatzanspruch zu begründen – im Gegensatz zu anderen in der DSGVO vorgesehenen Rechtsbehelfen, bei denen kein individueller Schaden nachgewiesen werden muss.

 

 

Handlungsempfehlung

Der bisherigen Praxis der deutschen Arbeitsgerichte, dass ein bloßer Verstoß gegen Bestimmungen der DSGVO für einen Schadensersatz ausreicht, wird mit dem EuGH-Urteil ein Riegel davor geschoben.  

Die Geltendmachung von Schadensersatzansprüchen eines DSGVO-Verstoßes erfordert ab sofort die Darlegung eines konkreten Schadens durch den Kläger. Nach den Vorgaben des EuGH dürfen an diese Darlegungen allerdings keine hohen Anforderungen gestellt werden. Die konkrete praktische Bedeutung des Schadensersatzes wird zukünftig daran gemessen werden, wie die Gerichte die Anforderungen an den Darlegungsaufwand formulieren werden.

 

 

Die Rechtsprechung wird für Sie aufgearbeitet von Frau Dr. Felisiak von Eversheds Sutherland (Germany) Rechtsanwälte

 

 

Foto: © stock.adobe.com/wetzkaz