EuGH-Generalanwalt: DSGVO-Schadensersatz auch bei Bagatellen?
Jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entsteht, hat gemäß Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Diese vage Formulierung lässt in der Praxis viele Fragen offen. Insbesondere die Geltendmachung immaterieller Schäden beschäftigen zunehmend deutsche Gerichte.
Zuletzt entschied das Bundesverfassungsgericht, dass die Voraussetzungen des Anspruchs nach Art. 82 Abs. 1 DSGVO noch nicht abschließend geklärt seien. In dem zugrundeliegenden Fall hatte das AG Goslar einen Schadensersatzanspruch abgelehnt und seine Entscheidung auf das Merkmal fehlender Erheblichkeit gestützt, ohne dem EuGH die Frage zur Vorabentscheidung vorzulegen. Das BVerfG hob in diesem Fall das Urteil auf und verwies die Sache zur erneuten Verhandlung und Entscheidung zurück. Welche Rolle eine Erheblichkeitsschwelle hierfür spielt, beschäftigte jüngst auch weitere europäische Gerichte. Nun hat der Generalanwalt am EuGH in seinen Schlussanträgen vom 6.10.2022 (Rechtssache C-300/21) in Bezug auf ein in Österreich anhängiges Verfahren erste Hinweise für die Auslegung des Art. 82 Abs. 1 DSGVO und damit für die Geltendmachung immaterieller Schadensersatzansprüche gegeben.
Hintergrund
Der OGH hat dem EuGH am 12.5.2021 mehrere Vorlagefragen zu Art. 82 DSGVO vorgelegt. Hintergrund war folgender Rechtsstreit: Der Kläger begehrte von einer österreichischen Adresshändlerin für seinen immateriellen Schaden einen Betrag von 1000 €. Diese erhob im Rahmen von statistischen Hochrechnungen seit 2017 Informationen zu Parteiaffinitäten der österreichischen Bevölkerung. Aufgrund dessen wurde durch die Beklagte ermittelt, dass der Kläger eine hohe Affinität zu der Partei FPÖ habe. Der Kläger hatte in die Verarbeitung seiner personenbezogenen Daten nicht eingewilligt und war über die Speicherung „massiv verärgert“. Außerdem brachte er vor, die Rechtsverletzung habe zu einem Vertrauensverlust geführt und ein Gefühl der Bloßstellung ausgelöst. Die ihm zugeschriebene politische Affinität sei eine „Beleidigung“, „beschämend sowie kreditschädigend“. Das Erstgericht wies den Schadenersatzanspruch des Klägers ab. Das Berufungsgericht bestätigte das Ersturteil. Gegen dieses Urteil wurde Revision zum Obersten Gerichtshof eingelegt, welcher dem EuGH folgende Fragen zur Vorabentscheidung vorlegte:
- Erfordert der Zuspruch von Schadenersatz nach Art. 82 der DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
- Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Kein Schadensersatz ohne Schaden
Zunächst stellte der Generalanwalt klar, dass ein (immaterieller) Schadensersatzanspruch nur bestehe, wenn durch den Verstoß gegen die DSGVO tatsächlich auch ein Schaden entstanden sei. Dies ergebe sich bereits aus dem Wortlaut der Norm. Eine bloße Rechtsverletzung reiche nicht aus. Sie begründe weder zwangsläufig den Eintritt eines immateriellen Schadens noch eine unwiderlegliche Vermutung für einen solchen. Art 82 DSGVO diene vorrangig dem Ausgleich von Schäden und sekundär der Vermeidung künftiger DSGVO-Verstöße. Der zivilrechtlichen Haftung komme folglich kein Sanktionscharakter zu, Strafschadenersatz werde nicht normiert. Daher müsse im Einzelfall geklärt werden, ob ein Verstoß zu einem ersatzfähigen Schaden führe.
Nach dieser Bestimmung wird der Schadensersatz gerade deshalb gewährt, weil zuvor ein Schaden entstanden ist. Es ist daher eindeutig erforderlich, dass der natürlichen Person durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist. Die Auslegung, die den Begriff „Verstoß“ automatisch, ohne Erfordernis eines Schadens, mit dem Begriff „Ausgleich“ in Verbindung bringt, steht daher nicht mit dem Wortlaut von Art. 82 der DSGVO im Einklang. Sie steht auch nicht mit dem Hauptziel der durch die DSGVO eingeführten zivilrechtlichen Haftung im Einklang, das darin besteht, der betroffenen Person gerade durch den „vollständigen und wirksamen“ Ersatz des ihr zugefügten Schadens Genugtuung zu verschaffen. Ohne einen Schaden würde der Schadensersatz die Funktion des Ausgleichs der nachteiligen Folgen des Verstoßes nicht mehr erfüllen, sondern hätte eher die Rechtsnatur einer Sanktion.
Keine Vorgaben bei Schadensbemessung
Weiterhin führte der Generalanwalt aus, dass für die Bemessung eines Schadensersatzanspruchs wegen eines Verstoßes gegen die DSGVO neben den Grundsätzen der Effektivität und Äquivalenz keine weitere Vorgaben des Unionsrechts bestünden.
Art. 82 der DSGVO stellt außer der Verletzung ihrer Vorschriften keine weiteren Anforderungen auf, wenn sie zur Folge hat, dass einer Person materielle oder immaterielle Schäden entstehen. Was speziell die Berechnung der Höhe des Schadensersatzes anbelangt, macht sie den nationalen Gerichten keine Vorgaben.
Erheblichkeitsschwelle für immaterielle Schäden
Nach Ansicht des Generalanwalts verbiete Art 82 DSGVO den nationalen Gerichten nicht, den Ersatz immaterieller Schäden auf Folgen zu beschränken, die einen bestimmten Schweregrad übersteigen. Damit wäre eine Erheblichkeitsschwelle zur Begründung eines Schadensersatzanspruchs wegen eines Verstoßes gegen die DSGVO zulässig. Weiterhin halte er den in Art 82 DSGVO normierten Anspruch auf Schadensersatz nicht für geeignet, um gegen Verstöße vorzugehen, wenn sie bei der betroffenen Person „lediglich zu Zorn oder Ärger führen“. Ferner sehe er die Einbeziehung bloßen Ärgers in Hinblick auf „die charakteristischen Nachteile und Schwierigkeiten“ einer gerichtlichen Geltendmachung für Kläger und Beklagten als ineffizient an. Betroffene seien in Hinblick auf sonstige Rechtsbehelfe nach der DSGVO nicht völlig rechtlos gestellt. Die schwierige Abgrenzung bei negativen Gefühlslagen zwischen schwachen und vorübergehenden Emotionen und Gefühlen auf der einen Seite (nicht ersatzfähig) und stärkeren negativen Beeinträchtigungen auf der anderen Seite (ersatzfähig) sei Aufgabe des nationalen Gerichts.
Im Übrigen scheint mir der in Art. 82 Abs. 1 der DSGVO vorgesehene Anspruch auf Schadensersatz nicht das geeignete Instrument zu sein, um gegen Verstöße bei der Verarbeitung personenbezogener Daten vorzugehen, wenn sie bei der betroffenen Person lediglich zu Zorn oder Ärger führen. Im Allgemeinen wird jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen. Ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, kommt dem von mir bereits abgelehnten Schadensersatz ohne Schaden recht nahe. In praktischer Hinsicht wäre die Einbeziehung bloßen Ärgers in die ersatzfähigen immateriellen Schäden ineffizient, bedenkt man die charakteristischen Nachteile und Schwierigkeiten, die mit einer gerichtlichen Geltendmachung für den Kläger und mit der Verteidigung für den Beklagten verbunden sind. Verneint man einen Schadensersatz für die schwachen und vorübergehenden Gefühle oder Emotionen im Zusammenhang mit Verstößen gegen Vorschriften über die Datenverarbeitung, wird die betroffene Person dadurch nicht völlig rechtlos gestellt.
Fazit
Der Ansicht des Generalanwalts, dass ein Kläger zur Geltendmachung eines immateriellen Schadens einen tatsächlich eingetretenen Schaden erlitten haben muss und diesen darzulegen sowie im Zweifelsfall zu beweisen hat, ist zuzustimmen. Dies ergibt sich sowohl aus dem Wortlaut als auch aus den Erwägungsgründen der DSGVO. Insbesondere vor dem Hintergrund der aktuellen Abmahnwelle zu Google Fonts ist die Auffassung des Generalanwalts zu begrüßen.
Hingegen stößt seine Ansicht zur Erforderlichkeit einer Erheblichkeitsschwelle zur Begründung eines Schadensersatzanspruchs auf erhebliche praktische Bedenken. Eine solche Schwelle sieht Art. 82 DSGVO gerade nicht vor. Zudem überzeugt der bloße Verweis an nationale Gerichte, welche sich zwischen ersatzfähigen und nicht ersatzfähigen Schäden bei negativen Gefühlslagen eines Klägers entscheiden sollen, nicht. Entsprechend dieses Ansatzes gäbe es auf europäischer Ebene keine Rechtsvereinheitlichung, stattdessen würden erhebliche Rechtsunsicherheiten – je nach Sitz – bestehen.
Ob der EuGH den Schlussanträgen folgen wird, bleibt abzuwarten; in der Regel folgt das Gericht jedoch der Ansicht des Generalanwaltes. Ein Termin zur Verkündung des Urteils ist bislang noch nicht bekannt gegeben worden.
Marian Weyo/Shutterstock.com