Schadensersatzforderungen von Betroffenen argumentieren oft mit einem Kontrollverlust oder Unwohlsein. Der EuGH hat nun in mehreren Urteilen konkrete Vorgaben dazu gemacht, wann ein (immaterieller) Schaden vorliegt und welche Kriterien zur Bestimmung der Schadenshöhe überhaupt herangezogen werden dürfen.
Schadensersatz unter der DSGVO
Die Datenschutz-Grundverordnung (DSGVO) gibt bei Datenschutzverstößen betroffenen Personen die Möglichkeit, bei dem Verantwortlichen für die nicht rechtskonforme Verarbeitung ihrer personenbezogenen Daten einen Ersatz der entstandenen Schäden zu verlangen. Im Gegensatz zu Bußgeldern, die von staatlichen Aufsichtsbehörden verhängt werden, ist bei Schadensersatzansprüchen nur die von der Verarbeitung betroffene Personen anspruchsberechtigt (Art. 82 Abs. 1 DSGVO).
Bisher war die Rechtsprechung zu Schadensersatzforderungen von betroffenen Personen bei Datenschutzverstößen uneinheitlich, insbesondere hinsichtlich immaterieller Schäden.
Mit den letzten Urteilen des Europäischen Gerichtshofs, haben sich Tatbestandsvoraussetzungen und Fragen zur Beweislast zunehmend konkretisiert (siehe insbesondere das zusammenfassende Urteil vom 20. Juni 2024, Az.: C‑590/22). Die Handhabung in der Praxis wird sich zukünftig nach den Vorgaben dieser Urteile richten. Es bestehen jedoch weiterhin Abgrenzungsschwierigkeiten bei der Annahme eines Schadens.
Die bisherige nationale Rechtsprechung
Die Auslegung des Schadensbegriffs und dessen Zweck wurde von Teilen der Rechtsprechung in den vergangenen Jahren stark an Erwägungsgrund 146 DSGVO angelehnt. Demnach soll der Begriff des Schadens weit auf eine Art und Weise ausgelegt werden, die den Zielen der DSGVO in vollem Umfang entspricht. Darunter wurde verstanden, dass anders als zum Beispiel im deutschen Zivilrecht, Schadensersatzforderungen nicht nur entstandene Nachteile ausgleichen, sondern darüber hinaus abschrecken und weitere Verstöße unattraktiv machen sollen.
Tipp: Lesen Sie mehr zu den Voraussetzungen des Schadensersatzes nach Art. 82 Abs. 1 DSGVO.
Das führte unter anderem dazu, dass die Grenze zwischen einem Verstoß gegen Bestimmungen der DSGVO und dem Schaden verschwamm, so dass es regelmäßig für einen Schadensersatzanspruch ausreichte, ein Unwohlsein zu schildern oder abstrakte Sorgen und Ängste anzugeben. Verstöße gegen Bestimmungen der DSGVO führten vielfach insbesondere zur Annahme eines immateriellen Schadens, ohne dass die betroffene Person einen konkret eingetretenen Schaden über die Angabe von Floskeln hinaus beschreiben konnte.
So nahm beispielsweise das ArbG Düsseldorf mit Urteil vom 5. März 2020 (Az.: 9CA 6557/18) an, dass ein immaterieller Schaden bereits entsteht, wenn die betroffene Person daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren. Ergo sei der Kontrollverlust selbst ausreichend für einen Anspruch auf Schadenersatz.
Weiterhin können sich Gerichte bei der Bemessung an den Kriterien für die Bemessung des Bußgelds in der DSGVO nach Art. 83 Abs. 2 DSGVO orientieren. Als Zumessungskriterien könnten unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden.
Lag ein Kontrollverlust über die personenbezogenen Daten vor, wurde wie vom OLG Düsseldorf im Urteil vom 28. Oktober 2021 (Az.: 16 U 275/20) davon ausgegangen, dass der immaterielle Schaden, an der damit verbundenen seelisch belastenden Ungewissheit über das Schicksal ihrer Daten, festzumachen sei. Wurde die Trennung zwischen Verstoß gegen Bestimmungen der DSGVO und der Annahme eines Schadens anschaulich dargelegt, wie im Urteil des LG München I vom 9. Dezember 2021 (Az.: 31 O 16606/20) wurde für die Bemessung des Schadens wiederum auf die Kriterien zur Bestimmung des Bußgelds nach Art. 83 Abs. 2 DSGVO zurückgegriffen. Diese orientieren sich im Kern jedoch an einer Bestimmung anhand des vorliegenden Verstoßes gegen die DSGVO, so dass die Voraussetzungen des Verstoßes und des Vorliegens eines Schadens gerade nicht voneinander getrennt wurden.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Urteile des EuGH zum Schadensersatz
Mit einer ganzen Reihe an Entscheidungen stellte der EuGH seit Dezember 2023 jedoch klar, dass ein Verstoß gegen Bestimmungen der DSGVO zum Schutz von Betroffenen Personen an sich nicht ausreicht, um einen Schaden im Sinne von Art. 82 Abs. 1 DSGVO anzunehmen. Ein Unwohlsein zumindest aufgrund eines zeitlich begrenzten Kontrollverlusts begründet isoliert betrachtet keinen Schaden, ohne dass weitere Umstände hinzutreten.
Hierzu führte der EuGH im Urteil vom 25. Januar 2024 (Az.: C-687/21) aus:
„Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.“
Im gleichen Urteil stellte der EuGH dagegen fest, dass ein immaterieller Schaden nach Art. 82 Abs. 1 DSGVO vorliegen kann, wenn die betroffene Person begründete Befürchtungen hat, dass einige ihrer personenbezogenen Daten von Dritten weiterverarbeitet werden, weil ein Dokument an einen unbefugten Dritten weitergeleitet wurde. Laut dem Gericht (das die Vorlagefrage zum EuGH stellte) fehlte eine Kenntnisnahme von den personenbezogenen Daten des Betroffenen durch den unbefugten Dritten. Der EuGH spricht in diesem Zusammenhang daher von einem hypothetischen Schaden, da dieser nie eingetreten sei.
Welche Umstände zu den Befürchtungen und seelischem Unwohlsein hinzutreten müssen, um von einem hypothetischen Schaden zu einem Risiko zu werden (welches diese Befürchtungen oder ein seelisches Unwohlsein so verstärkt, dass sie begründet sind und so ein Schaden angenommen werden kann) wird nicht weiter ausgeführt. Stattdessen wird ausdrücklich darauf verwiesen, dass die Prüfung im Einzelfall Sache der nationalen Gerichte sei.
Eine klare Abgrenzung erfolgt durch den EuGH lediglich zwischen einem Verstoß gegen die Bestimmungen der DSGVO und der Bestimmung des Schadens. In der Folge ist die Schwere des Verstoßes gegen die DSGVO kein Maßstab zur Bestimmung der Höhe des Schadensersatzes. Dazu schreibt der EuGH im Urteil vom 11. April 2024 (Az.: C-741/21), dass:
„[…] ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.“
Andererseits unterscheidet der EuGH deutlich zwischen der Funktion eines Bußgelds nach Art. 83 DSGVO und dem Schadensersatz nach Art. 82 Abs. 1 DSGVO. Dem Schadensersatz kommt nur eine Ausgleichsfunktion zu. Eine Straffunktion wie das Bußgeld hat er nicht. Während das Bußgeld zur Disziplinierung der Wettbewerbsteilnehmer durch die Aufsichtsbehörde dient, befriedigt der Anspruch nach Art. 82 Abs. 1 DSGVO das Ausgleichsinteresse des Betroffenen nach erlittenen Schäden.
Dazu stellt der EuGH im Urteil vom 25. Januar 2024 (Az.: C-687/21) klar, dass
„Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, […] eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.“
Die Bestimmung der Höhe des Schadens erfolgt damit anhand der konkret eingetretenen Nachteile und Beeinträchtigungen für den Betroffenen. Dabei gilt nach wie vor, dass der Schaden keiner Erheblichkeitsschwelle unterliegt und es für den Schadensersatz nach Art. 82 Abs. 1 DSGVO keine Bagatellgrenze gibt. Dies hat der EuGH in der Vergangenheit bereits abschließend ausgeurteilt. Damit führen bereits kleinste Schäden zu einem Schadensersatzanspruch, soweit ein Schaden nachweislich entstanden ist.
Die Trennung des EuGH zwischen Ausgleichsfunktion und Straffunktion wird konsequent auf die Bestimmung der Höhe des Schadens angewendet, so dass die vielfach durch nationale Gerichte bemühten Kriterien des Art. 83 Abs. 2 S. 2 DSGVO zur Bestimmung der Höhe des Bußgelds nicht entsprechend auf Art. 82 Abs. 1 DSGVO anwendbar sind (Urteil vom 11. April 2024 (Az.: C-741/21)).
Dabei spielt nicht nur der Normzweck des Art. 82 Abs. 1 DSGVO eine Rolle, sondern auch der Umstand, dass die Kriterien des Art. 83 Abs. 2 DSGVO sich weitgehend auf die Modalitäten des Verstoßes gegen Bestimmungen der DSGVO beziehen. Der EuGH folgt seiner Linie hinsichtlich der Unterscheidung zwischen Verstoß und Schaden. Einer Vermischung der beiden Voraussetzungen soll wohl in dieser Weise vorgebeugt werden.
Die Entscheidung überzeugt rechtsdogmatisch. In der Entscheidungspraxis wird die Höhe des Schadensersatzes zwar nicht durch Art, Schwere und Dauer von Verstößen wie in Art. 83 Abs. 2 S. 2 lit. a DSGVO bestimmt werden, aber von Art, Schwere und Dauer des Schadens in seiner konkreten Form abhängen. Folgerichtig ist ebenfalls nicht zu berücksichtigen, dass dieselbe Person von mehreren Verstößen aus gleicher Verarbeitung betroffen ist.
Entscheidend ist lediglich der entstandene Schaden.
Datenschutzrechtliche Einschätzung
Die letzten Urteile des EuGH schärfen die Bewertungskriterien für die Annahme und die Höhe eines datenschutzrechtlichen Schadenersatzes. Die Bestimmung des Schadens wird dabei deutlich vom Vorliegen eines Verstoßes abgegrenzt. Weiterhin wird der Schadensersatz vom Bußgeld abgegrenzt. Ersterer erfüllt nur eine Ausgleichsfunktion, keine Straffunktion.
Entgegen teilweise vertretener Ansichten ist die Befürchtung eines Kontrollverlusts der eigenen personenbezogenen Daten in Isolation und mit nur floskelhafter Begründung kein immaterieller Schaden. Etwaiges Unwohlsein muss im konkreten Einzelfall begründet werden. Die Darlegungs- und Beweislast für den Schaden verbleibt bei den betroffenen Personen. Ein überzeugender Nachweis ist wohl auch nach Anmerkungen in nationalen Urteilen oft unterblieben. Für die Bejahung eines Anspruchs bedarf es eines substantiierten Klägervortages.
So erkennt das LG Dortmund im Urteil vom 22. Mai 2023 (24 O 20/23) beeindruckend deutlich:
„Gerichtsbekannt aus der Vielzahl nahezu identischer Verfahren wird in sämtlichen Klageschriften dieselbe Floskel vom erlittenen Kontrollverlust „der Klägerseite“ über die Daten und dem Zustand des Unwohlseins und der Sorge über möglichen Missbrauch ihrer Daten, in dem sie seitdem verblieben sei, wiederholt. Es ist deshalb schon nicht davon auszugehen, dass diese Formulierung überhaupt auf persönlichen Angaben des hiesigen Klägers beruht, mithin auch nicht seine konkret-individuelle Situation beschreibt.“
Offen bleibt dagegen die konkrete Unterscheidung zwischen einer unbegründeten und einer begründeten Befürchtung vor einem Kontrollverlust. Die Einordnung ist den nationalen Gerichten überlassen. Der konkrete Fall einer ausbleibenden Kenntnisnahme kann eher nicht auf andere Fälle wie Phishing oder Datenleaks übertragen werden. Dort wird regelmäßig mit einer Kenntnisnahme durch unbekannte und unbefugte Dritte zu rechnen sein. Über konkrete Tatsachen zu Vorfällen dieser Art können Betroffene im Vorfeld bei den Verantwortlichen Auskunft nach Maßgabe des Art. 15 DSGVO verlangen.
Es ist jedoch zu beobachten, dass nationale Gerichte in jüngeren Entscheidungen höhere Anforderungen an den Nachweis von begründeten Befürchtungen und Unwohlsein stellen und Schadensersatzansprüche regelmäßig ablehnen (so beispielsweise: LG Ulm, Urteil vom 27. Mai 2024, Az.: 2 O 8/24; LG Ellwangen, Urteil vom 10. Juni 2024, Az.: 6 O 17/24; LG Tübingen, Urteil vom 12. Juni 2024, Az.: 4 O 359/23; LG Ravensburg, Urteil vom 20. Mai 2024, Az.: 4 O 91/24).
Handlungsempfehlung für Verantwortliche
Bei einer eingehenden Schadensersatzforderungen sollten Sie zunächst feststellen, ob tatsächlich eine Verletzung von Bestimmungen der DSGVO vorliegt. Bei ausreichender Dokumentation kann ein Entlastungsbeweis nach Art. 82 Abs. 3 DSGVO geführt werden, der Sie von der Haftung befreit.
Weiterhin ist der sicherste Weg zur Vermeidung einer Inanspruchnahme durch Betroffene, ein ausgereiftes Datenschutz-Managementsystem (DSMS) sowie kompetente und erfahrene rechtliche Expertise.