Jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entsteht, hat gemäß Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Diese vage Formulierung lässt in der Praxis viele Fragen offen. Insbesondere die Geltendmachung immaterieller Schäden beschäftigen zunehmend deutsche Gerichte.
Der EuGH stellt entschied nun (Urt. v. 4.5.2023 – C 300/21), dass ein bloßer Verstoß gegen die DSGVO keinen Schadensersatz begründe. Zur Geltendmachung eines Schadensersatzanspruchs müsse stattdessen ein Verstoß gegen die DSGVO, ein materieller oder immaterieller Schaden, der aus dem Verstoß resultiere und ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß kumulativ vorliegen. Ein Schadenersatzanspruch hänge jedoch nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht habe.
Der OGH hat dem EuGH am 12.5.2021 mehrere Vorlagefragen zu Art. 82 DSGVO vorgelegt. Hintergrund war folgender Rechtsstreit: Der Kläger begehrte von einer österreichischen Adresshändlerin für seinen immateriellen Schaden einen Betrag von 1000 €. Diese erhob im Rahmen von statistischen Hochrechnungen seit 2017 Informationen zu Parteiaffinitäten der österreichischen Bevölkerung. Aufgrund dessen wurde durch die Beklagte ermittelt, dass der Kläger eine hohe Affinität zu der Partei FPÖ habe. Der Kläger hatte in die Verarbeitung seiner personenbezogenen Daten nicht eingewilligt und war über die Speicherung „massiv verärgert“. Außerdem brachte er vor, die Rechtsverletzung habe zu einem Vertrauensverlust geführt und ein Gefühl der Bloßstellung ausgelöst. Die ihm zugeschriebene politische Affinität sei eine „Beleidigung“, „beschämend sowie kreditschädigend“. Das Erstgericht wies den Schadenersatzanspruch des Klägers ab. Das Berufungsgericht bestätigte das Ersturteil. Gegen dieses Urteil wurde Revision zum Obersten Gerichtshof eingelegt, welcher dem EuGH folgende Fragen zur Vorabentscheidung vorlegte:
Zunächst stellte der EuGH klar, dass ein bloßer Verstoß gegen die DSGVO keinen Schadensersatz begründe. Der in der DSGVO vorgesehene Schadensersatzanspruch sei an drei kumulative Voraussetzungen geknüpft. So müsse ein Verstoß gegen die DSGVO vorliegen, aus dem ein kausaler materieller oder immaterieller Schaden resultiere. Eine andere Auslegung sei mit dem klaren Wortlaut der DSGVO nicht vereinbar. Auch aus den Erwägungsgründen der DSGVO ergebe sich, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führe. Demnach müsse für die Geltendmachung eines Schadensersatzanspruchs ein Kausalzusammenhang zwischen dem entstandenen Schaden und dem DSGVO Verstoß bestehen.
[…] Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider. […] Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen. […].
Weiterhin führte der EuGH aus, dass ein Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt sei, die eine gewisse Erheblichkeitsschwelle erreichen. In der DSGVO werde eine solche Erheblichkeit nicht erwähnt. Außerdem stünde eine solche Beschränkung des Schadensersatzanspruchs im Widerspruch zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.
Als Erstes ist in der DSGVO der Begriff „Schaden“ für die Zwecke der Anwendung dieses Instruments nicht definiert. Art. 82 DSGVO beschränkt sich auf die ausdrückliche Feststellung, dass nicht nur ein „materieller Schaden“, sondern auch ein „immaterieller Schaden“ Anspruch auf Schadenersatz eröffnen kann, ohne dass eine wie auch immer geartete Erheblichkeitsschwelle genannt wird. Als Zweites deutet auch der Zusammenhang, in den sich diese Bestimmung einfügt, darauf hin, dass der Schadenersatzanspruch nicht davon abhängt, dass der betreffende Schaden eine gewisse Erheblichkeit erreicht. Nach dem dritten Satz des 146. Erwägungsgrundes der DSGVO sollte „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“. Es stünde jedoch zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch, wenn dieser Begriff auf Schäden mit einer gewissen Erheblichkeit beschränkt wäre. Als Drittes und Letztes wird diese Auslegung durch die mit der DSGVO verfolgten Ziele bestätigt. Insoweit ist darauf hinzuweisen, dass im dritten Satz des 146. Erwägungsgrundes der DSGVO ausdrücklich gefordert wird, bei der Definition des Begriffs „Schaden“ im Sinne dieser Verordnung „den Zielen dieser Verordnung in vollem Umfang“ zu entsprechen. Insbesondere geht aus dem zehnten Erwägungsgrund der DSGVO hervor, dass diese namentlich darauf abzielt, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten und zu diesem Zweck für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung personenbezogener Daten zu sorgen.
Weiterhin stellte der EuGH fest, dass die DSGVO keine Bestimmungen zur Bemessung eines Schadensersatzes enthalte. Daher sei sowohl die Ausgestaltung von Klageverfahren in Bezug auf DSGVO-Verstöße als auch die Kriterien für die Ermittlung des geschuldeten Schadensersatzumfangs Aufgabe der nationalen Gerichte. Diese hätten dabei jedenfalls den Äquivalenz- und Effektivitätsgrundsatz zu beachten.
Im vorliegenden Fall ist festzustellen, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. […] Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.
Entgegen der Schlussanträge des Generalanwalts stellt der EuGH nun klar, dass die Geltendmachung eines Schadensersatzanspruchs nicht davon abhängig ist, dass der betreffende Schaden eine gewisse Erheblichkeit erreicht. Dieser Entscheidung ist zuzustimmen, da Art. 82 DSGVO eine solche Schwelle gerade nicht vorsieht. Grundsätzlich sind somit auch Schadensersatzansprüche bei Bagatellverstößen möglich. Ebenfalls ist zu begrüßen, dass die Geltendmachung eines Schadensersatzanspruchs voraussetzt, dass ein tatsächlicher Schaden bei der betroffenen Person eingetreten ist und dieser kausal auf den DSGVO-Verstoß zurückzuführen ist. Hingegen stößt der Verweis an nationale Gerichte, welche die Klageverfahren für solche Verstöße gewährleisten und die Bemessung des ersatzfähigen Schadens vornehmen sollen, auf Bedenken. Entsprechend dieses Ansatzes besteht jedenfalls die Gefahr der einer fehlenden Rechtsvereinheitlichung auf europäischer Ebene. Stattdessen könnten erhebliche Rechtsunsicherheiten – je nach Sitz – entstehen.
Wenn Sie noch datenschutzrechtliche Unterstützung für Ihren Online-Shop benötigen, werfen Sie einen Blick auf das Legal Ultimate von Trusted Shops.
Marian Weyo/Shutterstock.com