Der europäische Gerichtshof (EuGH) fällte sein lang ersehntes Urteil zum Schadensersatz und zur Auslegung des Art. 82 DSGVO. Wichtig für die nationale Rechtspraxis ist das Urteil insbesondere aufgrund der Entscheidung über die Existenz einer sogenannten Bagatellgrenze für die Bejahung eines erlittenen immateriellen Schadens. Diese Erheblichkeitsschwelle hatten nationale Gerichte eingeführt (Urteil vom 4. Mai 2023, Az.: C-300/21).
Hintergrund der Entscheidung
Dem EuGH wurden im Zuge eines Vorabentscheidungsverfahrens drei Fragen zum Schadensersatzanspruch nach Art. 82 DSGVO durch den österreichischen obersten Gerichtshof (OGH) vorgelegt. Dem wiederum vorausgegangen war die Klage einer Privatperson gegen die österreichische Post AG auf 1.000 Euro Schadensersatz wegen einer unrechtmäßigen Datenverarbeitung.
Die Post AG erhob ohne Einwilligung Informationen zu den politischen Ausrichtungen österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand bestimmter soziodemografischer Merkmale politische Zielgruppen. Dieser Algorithmus stufte den Kläger als der Partei FPÖ nahestehend ein. Der Kläger beschrieb seine Verärgerung über diese politische Kategorisierung, da ihn diese beleidige.
Die Gerichte erster und zweiter Instanz wiesen die Klage im Wesentlichen mit der Begründung ab, dass der geltend gemachte immaterielle Schaden eine Erheblichkeitsschwelle nicht überschreite, die für den Schadensersatzanspruch erforderlich sei.
Der österreichische OGH setzte das Berufungsverfahren aus und legte dem EuGH folgende drei Fragen im Zuge eines Vorabentscheidungsverfahrens vor:
- Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat? Oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadensersatz aus?
- Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Nach den Schlussanträgen des Generalanwalts vom 6. Oktober 2022 entschied der EuGH nun über die aufgeworfenen Fragen.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Der Richterspruch
DSGVO-Verstoß und Schaden müssen beide vorliegen
Der EuGH konstatiert in Hinblick auf die Frage nach einem Schadensersatz bei einer bloßen Verletzung von Bestimmungen der DSGVO, dass diese für den Sinn und die Tragweite der in ihrem Art. 82 DSGVO enthaltenen Begriffe, nicht auf das Recht der einzelnen Mitgliedstaaten verweist und diese daher als autonome Begriffe des Unionsrechts anzusehen sind.
Es ergebe sich bereits aus dem Wortlaut des Art 82. DSGVO, dass das Vorliegen eines Schadens, neben dem Verstoß gegen Bestimmungen der DSGVO eine der Voraussetzungen für die Begründung eines Schadenersatzanspruches ist.
Ferner bedarf es des Kausalzusammenhangs zwischen Verstoß und Schaden. Diese Voraussetzungen müssten somit kumulativ vorliegen. Ein bloßer Verstoß gegen die Bestimmungen der DSGVO reiche für sich genommen nicht aus, um einen Schadenersatzanspruch zu begründen.
Bestimmung der Bemessung des Schadensersatzes durch Gerichte auf Basis nationaler Vorschriften
Hinsichtlich der zweiten Vorlagefrage, ob für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts bestehen, bekräftigt der EuGH, dass die DSGVO keine Bestimmungen enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, wenn durch den Verstoß gegen die DSGVO ein Schaden entstanden ist.
Die verfahrensrechtlichen Modalitäten der Rechtsbehelfe und somit auch der Festsetzung der Höhe des Schadenersatzes bleibe den nationalen Gerichten überlassen, welche dabei die innerstaatlichen Vorschriften anzuwenden haben. Dabei müsse jedoch der Äquivalenz- und der Effektivitätsgrundsatz beachtet werden.
Im Ergebnis hätten die nationalen Gerichte bei Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität Beachtung fänden.
Keine Erheblichkeitsschwelle bei immateriellen Schäden
Zur Dritten und praxisrelevantesten Frage nach der Existenz einer Erheblichkeitsschwelle, bestätigte der EuGH, dass durch Art. 82 DSGVO auch bei Vorliegen eines immateriellen Schadens grundsätzlich auch ein Anspruch auf Schadenersatz entstehen kann. Aus dem Wortlaut der Bestimmung gehe keine „wie auch immer geartete Erheblichkeitsschwelle“ hervor.
Es lasse sich aus dem dritten Satz des Erwägungsgrunds 146 DSGVO, wonach „der Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf einer Art ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht“, ableiten, dass es dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ widersprechen würde, wenn dieser mit einer Erheblichkeitsschwelle beschränkt wäre.
Daher stünde eine nationale Regelung dem Wortlaut der DSGVO entgegen, die den Ersatz des immateriellen Schadens davon abhängig macht, dass dieser einen bestimmten Grad an Erheblichkeit erreicht habe.
Datenschutzrechtliche Einschätzung
Der EuGH bewegt sich mit seinem Urteil sehr nahe an der Verordnung. Neben dem Wortlaut des Art. 82 DSGVO ist auch der Erwägungsgrund 146 maßgeblich für die Beurteilung, wann Betroffenen durch eine Datenschutzverletzung erlittene Schäden ersetzt werden müssen.
Richtigerweise wird der Schaden nicht mit jedweder Verletzung einer Norm aus der DSGVO gleichgesetzt. Denn nicht immer wird eine Norm der Verordnung zwingend einen Schutz für Betroffene bezwecken.
Dort wo eine Regelung den Schutz von Betroffenen unmittelbar zum Gegenstand hat, wird man künftig leichter einen erlittenen und damit ersatzfähigen Schaden begründen können. Dies unterstreicht den Willen des Verordnungsgebers, dass „die betroffenen Personen (…) einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten (sollen).“
Folgerichtig ist, dass dieser Schaden zwar begründet werden, nicht aber auch von einigem Gewicht sein muss. Die Erheblichkeit wird bei einem durch die Verletzung herbeigeführten (also kausalen) Schaden angenommen.
Die Kurzformel lautet: Betroffene müssen einen kausalen Schaden zwar darlegen, die Höhe des Schadens ist dann aber irrelevant.
Fazit
Das Urteil wurde mit Spannung erwartet und hält, was es verspricht. Nämlich viel Sprengstoff. Und klar ist, die Einstiegshürden für die klageweise Durchsetzung von Schadenersatzforderungen sind durch das Urteil deutlich gesenkt worden. Denn bisher war die angewendete Bagatellgrenze noch ein zu kalkulierender Risikofaktor für die Klagerhebung.
Dies führt perspektivisch zu einer erhöhten Anzahl an Klagen, aber auch zu mehr effektivem Rechtsschutz für die Betroffenen. Interessant sind insbesondere Klagen im Anschluss an behördliche Bußgeldverfahren aufgrund von Datenschutzverletzungen. Denn diese belegen letztlich immer auch die realisierten Einschränkungen für die Rechte und Freiheiten der durch die Datenschutzverletzung Betroffenen. Die bloße Darlegung eines erlittenen Schadens ist hieran anknüpfend ein Leichtes.
Durch die nicht zuletzt in den vielen Fällen verpflichtende Information der von einer Datenpanne oder unrechtmäßigen Verarbeitung Betroffenen, sind künftig sich anschließende Klagewellen zu erwarten. Entscheidender Kriegsschauplatz wird dann die Frage nach der Schadenshöhe und nicht mehr nach der Schadensbegründung sein.
Wichtiger denn je ist deshalb die Präventivarbeit. Unternehmen müssen aufgrund geregelter und gelebter Datenschutzmanagementstrukturen ihre Pflichten in den Griff bekommen. Dies gilt insbesondere hinsichtlich der Vermeidung von und den Umgang mit Datenschutzverletzungen.
