News

EuGH urteilt: Immaterieller Schadensersatz bei Datenschutzverletzungen auch bei Bagatellen

04.05.2023

Der Europäische Gerichtshof (EuGH) hat heute erstmals über den immateriellen Schadensersatzanspruch nach Datenschutzverletzungen gemäß Art. 82 Abs. 1 DS-GVO entschieden (Urteil v. 04.05.2023 – C-300/21). Das Urteil wurde von vielen Seiten mit Spannung erwartet, da bisher umstritten war, unter welchen Voraussetzungen private Rechtsdurchsetzung nach Datenschutzverletzungen möglich ist.

Der EuGH stellt klar, dass ein Anspruch auf Schadensersatz nur dann besteht, wenn die betroffene Person tatsächlich einen immateriellen Schaden erlitten hat. Es ist jedoch nicht erforderlich, dass ein nachgewiesener immaterieller Schaden eine bestimmte Erheblichkeitsschwelle überschreitet. Besteht ein Schadensersatzanspruch, muss das Unternehmen dem Betroffenen eine Zahlung leisten, die den Schaden vollständig ausgleicht.

Die erhöhte Rechtssicherheit und die datenschutzfreundliche Auslegung des EuGH dürften nun viele Personen ermutigen, nach Datenschutzverstößen auf Schadensersatz zu klagen. Diese Entwicklung kann durch steigende kollektive Durchsetzung von Ansprüchen noch weiter verstärkt werden.

Hintergrund

Der Oberste Gerichtshof (Österreich) hat dem EuGH am 12. Mai 2021 mehrere Vorlagefragen zur Auslegung des Art. 82 Abs. 1 DS-GVO vorgelegt.

Dem Vorabentscheidungsersuchen lag folgender Fall zugrunde: Die Österreichische Post, eine Adresshändlerin, sammelte seit 2017 Daten über die politische Einstellung der österreichischen Bevölkerung. Anhand sozialer und demografischer Merkmale prognostizierte ein Algorithmus eine bestimmte Parteiaffinität des Klägers. Diese Daten wurden von der Österreichischen Post AG ohne Einwilligung des Klägers gespeichert, jedoch nicht an Dritte weitergegeben. Der Kläger machte geltend, dass er sich durch die ihm zugeschriebene Parteiaffinität beleidigt, verärgert, in seinem Vertrauen verletzt und bloßgestellt gefühlt habe.

Das österreichische Gericht legte dem EuGH folgende Vorlagefragen vor: (1) Genügt bereits die Pflichtverletzung, um einem Betroffenen einen immateriellen Schadensersatz zuzusprechen oder muss der Betroffene darüber hinaus einen Schaden nachweisen? (2) Wie ist der immaterielle Schaden der Höhe nach zu bemessen? (3) Liegt ein immaterieller Schaden nur vor, wenn die Beeinträchtigung eine gewisse Erheblichkeitsschwelle überschreitet oder stellt zum Beispiel schon der Ärger einen ersatzfähigen Schaden dar?

Kein Anspruch ohne Schaden

Der EuGH hat zunächst klargestellt, dass ein Anspruch auf Schadensersatz nur dann besteht, wenn der Betroffene nachweist, dass drei Voraussetzungen erfüllt sind: ein Verstoß gegen die Vorschriften der DS-GVO, das Vorliegen eines materiellen oder immateriellen Schadens und der Kausalzusammenhang zwischen dem Verstoß und dem Schaden. Zu diesem Ergebnis kommt der Gerichtshof unter dogmatischer Anwendung der verschiedenen Auslegungsmethoden des Unionsrechts. Dieses Ergebnis überrascht nicht. Im europäischen wie im deutschen Deliktsrecht ersetzen deliktische Schadensersatzansprüche nur kausal entstandene Schäden. Die vereinzelte deutsche Rechtsprechung, die einen Schadensersatzanspruch unabhängig von einem Schaden zugesprochen hat, dürfte damit der Geschichte angehören.

Immaterieller Schaden muss keine Erheblichkeitsschwelle überschreiten

Der EuGH hat entschieden, dass ein immaterieller Schaden keine Erheblichkeitsschwelle überschreiten muss. Dies ist die wichtigste Entscheidung des Urteils. Betroffene müssen daher nur noch nachweisen, dass sie einen immateriellen Schaden erlitten haben. Dies könnte Betroffene dazu ermutigen, in weitaus mehr Fällen als bisher auch für weniger einschneidende immaterielle Schäden Ersatz zu verlangen.

Der Gerichtshof argumentiert mit dem Wortlaut der Vorschrift, der Systematik und dem Sinn und Zweck. So führt der EuGH aus, dass es zur Wahrung eines einheitlichen und hohen Datenschutzniveaus im Sinne des Erwägungsgrundes 10 der DS-GVO erforderlich sei, dass alle Gerichte von demselben weiten Schadensbegriff ausgehen. Nach dieser Argumentation müssten alle offenen Rechtsfragen zugunsten einer möglichst datenschutzfreundlichen Auffassung entschieden werden. Diese Argumentation führt dazu, dass andere Interessen, wie das der Unternehmen und der Gesellschaft am wirtschaftlichen und sozialen Fortschritt, nicht ausreichend berücksichtigt werden.

Der Generalanwalt hat in seinen Schlussanträgen (Verfahren C-300/21) noch ein deutlich ausgewogeneres Verständnis vertreten und eine Bagatellgrenze angenommen.

Welche Beeinträchtigungen einen immateriellen Schaden darstellen, hat der EuGH ausdrücklich offen gelassen. In vielen Verfahren vor deutschen Gerichten berufen sich die klagenden Personen darauf, dass sie durch die Datenschutzverletzung einen Kontrollverlust über ihre Daten erlitten hätten. Fraglich ist, ob ein solcher Kontrollverlust einen immateriellen Schaden darstellt. Dies wird voraussichtlich Gegenstand künftiger Vorlagefragen sein.

Erlittener Schaden muss vollständig ausgeglichen werden

Der EuGH weist darauf hin, dass sich die Bemessung der Höhe des Schadensersatzanspruchs zunächst nach nationalem Recht richtet. Der Effektivitätsgrundsatz verlangt jedoch, dass die Geltendmachung des Schadensersatzanspruchs nicht praktisch unmöglich gemacht oder übermäßig erschwert wird. In diesem Zusammenhang weist der EuGH auch darauf hin, dass dem Schadensersatzanspruch eine Ausgleichsfunktion zukommen muss, daher tatsächlich entstandene Schäden vollständig ausgeglichen werden müssen. Dass ein Schadensersatzanspruch darüber hinaus eine abschreckende oder strafende Wirkung haben muss, ist weder im Unionsrecht noch im deutschen Recht vorgesehen.

Nach welchen Kriterien ein Anspruch festgestellt werden kann und wie der Umfang des Schadens zu bestimmen ist, obliegt den nationalen Gerichten. Deutsche Gerichte haben sich bei der Begründung der Höhe des Schadensersatzanspruchs bisher häufig sehr kurzgehalten. Dabei sind zahlreiche, auch ökonomische Methoden denkbar, mit denen die zur Kompensation des Schadens erforderliche Entschädigungssumme konkreter bestimmt werden kann.

Ausblick

Die professionalisierte Klageindustrie hat lange auf diese Klarstellungen gewartet, die der EuGH nun geliefert hat. Es ist mit einem Anstieg von Schadensersatzklagen zu rechnen. Außerdem können Verbraucherverbände ab Sommer 2023 mit der Abhilfeklage für Verbraucherinnen und Verbraucher direkt auf Schadensersatz klagen, wodurch die Rechtsdurchsetzung weiter angekurbelt werden kann. Für Unternehmen kann es im schlimmsten Fall bei Datenschutzverstößen also zu einem Nebeneinander von Bußgeldern der Aufsichtsbehörden und direkten Schadensersatzklagen der Betroffenen kommen.

Trotzdem hängen die Schadensersatzansprüche weiterhin von einigen offenen Rechtsfragen ab und es gibt zahlreiche gute Argumente, sich dagegen zu verteidigen. Die Auslegung des Art. 82 Abs. 1 DS-GVO wird uns, die deutschen Gerichte und den EuGH wohl noch einige Zeit beschäftigen. Wir verfolgen und dokumentieren die deutsche Rechtsprechung weiter in unserem Noerr Damages Tracker.

Wir empfehlen Unternehmen auf Nummer sicher zu gehen und eine robuste Datenschutz-Governance aufzubauen, ein effektives Management der Rechte der Betroffenen einzuführen und mögliche Datenschutzvorfälle professionell zu evaluieren und zu handhaben. Unternehmen sollten sich also frühzeitig und strategisch mit den Herausforderungen, Chancen und Risiken der Data Protection Litigation auseinanderzusetzen. Unser eingespieltes Team aus anerkannten Datenschutz- und Litigation Expertinnen und Experten berät Sie gerne.