EuGH-Urteil zum immateriellen Schadenersatz nach der DSGVO

Mit dem Thema Schadenersatz gemäß Art. 82 DSGVO (bzw. Schadensersatz in der Sprache des nationalen Gesetzgebers in Deutschland) haben wir uns bereits zu verschiedenen Anlässen auseinandergesetzt, beispielsweise mit den folgenden Artikeln:

Beim Thema Schadenersatz nach der DSGVO sind immer noch viele Fragen umstritten und die Rechtsprechung der Gerichte in diesem Bereich ist uneinheitlich und daher größtenteils unübersichtlich.

Im deutschen Zivilrecht ist Ersatz der immateriellen Schäden indessen nur in den sehr engen Grenzen des § 253 Abs. 2 BGB möglich, und zwar ist nur „wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten“, wobei als Entschädigungshöhe das Gesetz „eine billige Entschädigung in Geld“ vorsieht.

Der wohl wichtigste und bekannteste Anwendungsfall für den Ersatz eines immateriellen Schadens im deutschen Zivilrecht ist das sog. „Schmerzensgeld“, was beispielsweise nach einem Verkehrsunfall von den Geschädigten geltend gemacht wird. Wann dieser Ersatz zugesprochen wird, hat sich in der Rechtsprechung im Laufe der letzten Jahrzehnte recht gut herauskristallisiert, allerdings sind die Grundsätze des deutschen Schadensersatzrechts auf Ersatz immaterieller Schäden nach der DSGVO nur schwer übertragbar und die Kriterien, die hier gelten, können nicht bzw. nicht ohne weiteres im Bereich des Schadenersatzes nach der DSGVO zur Anwendung kommen. Der Grund dafür liegt darin, dass Begriffe einer Bestimmung des Unionsrechts (wie beispielsweise der DSGVO), die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen, worauf der Europäische Gerichtshof in seiner ständigen Rechtsprechung hinweist.

Das ist auch folgerichtig, denn regelmäßig geht es in den Verfahren nach dem Art. 82 DSGVO um immaterielle Schäden, die Fälle betreffen, die ihren Ursprung in der DSGVO und den darin geregelten Sachverhalten haben. So entstehen Schadenersatzansprüche nach Art. 82 Abs. 1 DSGVO oft wegen einer Datenpanne (die offizielle Bezeichnung für „Datenpannen“ lautet gemäß Art. 33 DSGVO: „Verletzung des Schutzes personenbezogener Daten“) oder in Folge eines Datenschutzverstoßes durch ein Unternehmen. Für einen Datenschutzverstoß kann bereits eine Werbemail ausreichen, die ohne eine Einwilligung verschickt wird. Auch nicht, nicht rechtzeitig oder nicht vollständig erfüllte Auskunftsansprüche gemäß Art. 15 DSGVO werden oft zum Anlass genommen, um immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO geltend zu machen.

Dabei sind die Kriterien und die Voraussetzungen für den Schadenersatzanspruch nach Art. 82 DSGVO unklar und eben dieser Umstand führte zu den vielen Streitigkeiten in der Literatur und der sehr divergierenden Rechtsprechung der einzelnen Gerichte.

Nun hat sich aber der Europäische Gerichtshof (EuGH) mit seiner Entscheidung vom 04.05.2023 in der Rechtssache C-300/21 erstmals mit den Voraussetzungen eines immateriellen Schadensersatzanspruchs nach Art. 82 DSGVO im Rahmen eines Vorabentscheidungsverfahrens befasst.

Wird dadurch die Rechtslage klarer und bekommt die Rechtsprechung nun Kriterien an die Hand, die der bunten Vielfalt der einzelnen Auffassungen ein Ende setzen und für eine Harmonisierung der Rechtsprechung sorgen? Und was bedeutet diese Entscheidung nun für die Praxis? Diesen Fragen werden wir im Folgenden nachgehen.

Was ist vorgefallen?

Zunächst aber zum Sachverhalt und dem Ausgangsverfahren, zu denen der EuGH seine Entscheidung getroffen hat:

Der Fall betraf einen Rechtsstreit zwischen einem österreichischen Bürger und der Österreichischen Post.

Die Österreichische Post ist im Bereich des Adresshandels tätig und sammelte in diesem Zusammenhang Informationen über die politischen Affinitäten der österreichischen Bevölkerung und zwar über die einzelnen Bürger des Landes. Mit einem Algorithmus, der verschiedene soziale und demografische Merkmale berücksichtigte, wurden Daten generiert (Zielgruppenadressen) und an diverse Organisationen verkauft, um diesen den zielgerichteten Versand von Werbung an die affinen Personen zu ermöglichen.

Daten einer Person wurden im Rahmen einer solchen Tätigkeit durch die Österreichische Post verarbeitet und die Affinität des Klägers des Ausgangsverfahrens zu einer bestimmten österreichischen politischen Partei abgeleitet. Diese Informationen wurden im Fall des Klägers nicht an Dritte übermittelt, doch der Kläger des Ausgangsverfahrens fühlte sich dadurch beleidigt, dass ihm eine Affinität zu der fraglichen Partei zugeschrieben wurde.

Die Speicherung von Daten zu seinen mutmaßlichen politischen Meinungen durch die Österreichische Post hat der Kläger als ein Ärgernis und einen Vertrauensverlust sowie als eine Bloßstellung empfunden.

In diesem Zusammenhang erhob der Kläger des Ausgangsverfahrens beim zuständigen Gericht Klage gegen die Österreichische Post auf Unterlassung der Verarbeitung der fraglichen personenbezogenen Daten und auf Zahlung von 1.000 Euro als Ersatz des ihm seiner Meinung nach entstandenen immateriellen Schadens. Der Anspruch wurde jedoch abgelehnt und auch die Berufung des Klägers hatte keinen Erfolg, denn das mit der Berufung befasste Oberlandesgericht Wien bestätigte das erstinstanzliche Urteil. Hinsichtlich des Schadenersatzbegehrens verwiesen die Richter auf die Erwägungsgründe 75, 85 und 146 der DSGVO und stellten fest, dass die innerstaatlichen Rechtsvorschriften der Mitgliedstaaten im Bereich der zivilrechtlichen Haftung die Bestimmungen der DSGVO ergänzten, sofern diese keine Sonderregelungen beinhalte. Nach österreichischem Recht führe ein Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten nicht automatisch zu einem immateriellen Schaden und begründe nur dann einen Schadenersatzanspruch, wenn ein solcher Schaden eine „Erheblichkeitsschwelle“ erreiche. So haben auch einige Gerichte in Deutschland übrigens argumentiert.

Aus dem Vorlagebeschluss des vorlegenden Gerichts ging auch hervor, dass außer den vorübergehenden o.g. gefühlsmäßigen Beeinträchtigungen des Klägers kein Schaden festgestellt werden konnte.

Worüber musste der EuGH konkret entscheiden?

Seitens des österreichischen Obersten Gerichtshofs, bei dem der Fall letztendlich im Rahmen eines Revisionsverfahrens „landete“, wurden dem EuGH drei Rechtsfragen zur Vorabentscheidung vorgelegt, die wie folgt lauteten:

“1. Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?

2. Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?

3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?“

Wie hat der EuGH die Vorlagefragen beantwortet?

Die Vorlagefragen des Obersten Gerichtshofs wurden durch den EuGH im Wesentlichen wie folgt beantwortet:

Bzgl. der Vorlagefrage 1:

Der EuGH hat nun festgestellt, dass nicht jeder DSGVO-Verstoß einen Schadensersatzanspruch begründet, denn eine betroffene Person muss einen Schaden, sei es materiell oder immateriell, konkret darlegen. Hier wird es nun nicht mehr möglich sein, ohne entsprechende Beweisführung allein aus dem Umstand einer Verletzung des Schutzes personenbezogener Daten einen Schadenersatzanspruch abzuleiten. Das hat das (deutsche) Bundesarbeitsgericht bisher anders gesehen und hat eine Rechtsverletzung infolge eines DSGVO-Verstoßes zur Begründung eines immateriellen Schadenersatzanspruchs nach Art. 82 DSGVO ausreichen lassen (hierzu vgl. BAG, Beschluss v. 22.09.2022 – 8 AZR 209/21 (A); abrufbar unter: https://openjur.de/u/2463626.html).

Bzgl. der Vorlagefrage 2:

Hierzu hat der EuGH festgestellt, dass die Bemessung der Anspruchshöhe nach nationalen Vorschriften zu erfolgen habe, sofern die unionsrechtlichen Grundsätze der Effektivität und Äquivalenz beachtet werden. Hier werden sich die deutschen Gerichte nun nach der vorgenannten Regelung des § 253 Abs. 2 BGB richten. Dabei stellt der EuGH in seiner Entscheidung klar, dass in Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs eine auf diese Bestimmung gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen sei, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert. Hierzu verweist der EuGH auf die entsprechenden Ausführungen des Generalanwalts in seinen Schlussanträgen.

Bzgl. der Vorlagefrage 3:

Bzgl. der dritten Frage hat der EuGH entschieden, dass der Auffassung des Generalanwalts, der in seinem Schlussantrag die Möglichkeit der Berücksichtigung einer Erheblichkeitsschwelle durch nationale Gerichte forderte, nicht gefolgt wird. Die DSGVO erwähne nach Auffassung des EuGH keine Erheblichkeitsschwelle. Darüber hinaus widerspreche eine solche Schwelle dem weiten Verständnis des unionsrechtlichen Begriffs eines Schadens. Zudem würde eine Erheblichkeitsschwelle die mit der DSGVO verfolgte einheitliche Rechtsanwendung gefährden, da die Abstufung der Erheblichkeit je nach Gericht sehr unterschiedlich ausfallen könne.

Fazit

Die Entscheidung des EuGH verschafft den Rechtsanwender*innen etwas mehr Sicherheit im Umgang mit dem immateriellen Schadenersatz nach der DSGVO, auch wenn viele Einzelfragen noch zu klären sind.

Die Klarstellung, dass ein nachzuweisender Schaden vorliegen muss und ein Verstoß gegen die DSGVO für sich genommen nicht ausreicht, um einen Schadenersatzanspruch zu begründen, erteilt der Rechtsprechung einiger nationalen Gerichte insbesondere im Bereich arbeitsgerichtlicher Verfahren eine klare Absage.

Die Erheblichkeit einer Beeinträchtigung darf in künftigen Gerichtsverfahren im Rahmen der Entscheidung über den Ersatz eines immateriellen Schadens dennoch keine Rolle mehr spielen. Somit können auch geringfügige Beeinträchtigungen zu einem Schadenersatzanspruch einer betroffenen Person nach Art. 82 DSGVO führen. Wie dann die Entschädigungshöhe ausfallen wird, wird durch die einzelnen Gerichte auf der Grundlage in erster Linie nationaler Regelungen festgestellt werden müssen.

Für beklagte Unternehmen bieten sich nach dem hier besprochenen EuGH-Urteil unseres Erachtens nun bessere Möglichkeiten, vor allem unbegründete Forderungen erfolgreich abzuwehren, wenn die Anspruchsteller*innen den behaupteten und geltend gemachten Schaden nicht ausreichend darlegen und beweisen können.

Die Aussagen des EuGH könnten jedoch, nach Auffassung einiger Rechtsexpert*innen, die Durchsetzung von Schadensersatzansprüchen gegen Unternehmen, für Klägeranwält*innen und Dienstleister*innen, die sich auf die Geltendmachung von Schadensersatz auf Basis des Art. 82 DSGVO spezialisiert haben, erheblich erleichtern.