Der Europäische Gerichtshof (EuGH) hat sein mit Spannung erwartetes Urteil zum Schadensersatz und zur Auslegung des Art. 82 DSGVO gefällt. Besonders relevant für die nationale Rechtspraxis ist die Entscheidung hinsichtlich der sogenannten Bagatellgrenze für die Feststellung eines erlittenen immateriellen Schadens.
Hintergrund der Entscheidung
Im vorliegenden österreichischen Ausgangsverfahren machte der Kläger Ansprüche auf immateriellen Schadensersatz gegen die österreichische Post AG geltend. Diese hatte mithilfe eines Algorithmus demografische Merkmale ausgewertet und dabei Informationen über politische Parteipräferenzen ermittelt, ohne zuvor die Zustimmung des Klägers einzuholen. Der Kläger forderte eine Entschädigung für immaterielle Schäden und begehrte einen Schadensersatz in Höhe von 1.000,00 EUR.
Die Klage wurde von den Gerichten erster und zweiter Instanz im Wesentlichen abgewiesen. Die Begründung lautete, dass der behauptete immaterielle Schaden nicht die erforderliche Schwelle für einen Schadensersatzanspruch überschreite.
Der österreichische OGH setzte das Berufungsverfahren sodann aus und legte dem EuGH folgende drei Fragen im Zuge eines Vorabentscheidungsverfahrens vor:
- Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat? Oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadensersatz aus?
- Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Das sagt der EuGH zur den Vorlagefragen
Zu 1.: Kein Schadensersatz ohne Schaden
Der EuGH hat klargestellt, dass gemäß Art. 82 DSGVO für einen Schadenersatzanspruch zunächst ein Schaden erforderlich ist. Der EuGH stützt sich dabei insbesondere auf den Wortlaut des Art. 82 DSGVO: Gemäß dem Wortlaut erfordert ein Anspruch nach Art. 82 DSGVO drei kumulative Bedingungen:
- einen Verstoß gegen die Bestimmungen der DSGVO,
- einen Schaden, der der betroffenen Person entstanden ist, und
- einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und dem Schaden.
Ein bloßer Verstoß gegen die Bestimmungen der DSGVO allein genügt deshalb nicht, um einen Schadenersatzanspruch zu begründen.
Zu 2.: Kriterien ist Aufgabe der nationalen Gerichte
Der EuGH betont, dass die Datenschutz-Grundverordnung keine spezifischen Bestimmungen zur Bemessung des Schadenersatzes enthält, wenn ein Schaden durch einen Verstoß gegen die DSGVO entstanden ist. Die konkrete Bestimmung der Schadenshöhe sei daher den nationalen Gerichten überlassen. Hierfür können grundsätzliche nationale Kriterien unter Berücksichtigung der Grundsätze der Äquivalenz und Effektivität für die Festlegung des Schadenersatzes herangezogen werden.
Zu. 3.: Keine Erheblichkeitsschwelle
Darüber hinaus bestätigt der EuGH, dass gemäß Art. 82 DSGVO grundsätzlich ein Anspruch auf immateriellen Schadenersatz besteht. Insbesondere gibt es keine explizite “Erheblichkeitsschwelle” im Wortlaut dieser Bestimmung.
Daher ist nach dem Wortlaut die Vorschrift des Art. 82 Abs. 1 DSGVO dahin auszulegen, dass sie „einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.“
Auswirkung des Urteils
Die Entscheidung des EuGH zur Auslegung von Art. 82 DSGVO ist zu begrüßen, da sie Klarheit in zentralen Fragen rund um den Schadenersatzanspruch bei Datenschutzverstößen bringt.
Zwar dürfte die Einstiegshürde für Schadensersatzklagen durch die EuGH-Entscheidung gesunken sein. Denn die bisherige Bagatellgrenze, die ein Risikofaktor für Klagen war, entfällt nun. Allerdings muss ein nachweisbarer konkreter Schaden vorliegen. Durch die Anforderung eines konkreten und kausalen (immateriellen) Schadens wird einer möglichen Klagewelle vorgebeugt.
Nichtsdestotrotz müssen Unternehmen künftig verstärkt damit rechnen, mit Schadenersatzansprüchen konfrontiert zu werden, selbst bei vermeintlich geringfügigen Datenschutzverletzungen.
Um sich vor solchen Schadensersatzklagen zu schützen, ist es für Unternehmen wichtig, ihre Datenschutzmanagementstrukturen zu verbessern und sicherzustellen, dass sie die Bestimmungen der Datenschutz-Grundverordnung einhalten. Dies beinhaltet unter anderem die Implementierung angemessener technischer und organisatorischer Maßnahmen, um Datenschutzverletzungen zu vermeiden, sowie die rechtzeitige und umfassende Information betroffener Personen über solche Verletzungen.
Der datenschutzrechtliche Schadensersatzanspruch als Dauerbrenner
Der EuGH wird in naher Zukunft in weiteren Fällen zum Thema Schadenersatzansprüche im Zusammenhang mit Datenschutzentscheidungen entscheiden. Eine Angelegenheit aus Bulgarien betrifft die Frage, wer die Beweislast für die Einhaltung technisch organisatorischer Maßnahmen trägt (C-340/21). Auch deutsche Gerichte tragen zur Ausgestaltung von Art. 82 der DSGVO bei: Das Bundesarbeitsgericht (C-667/21) möchte klären, ob der Anspruch einen spezial- oder generalpräventiven Charakter hat und ob bei der Schadensbemessung ein Verschulden berücksichtigt werden sollte. Der EuGH wird auch weitere Fragen nach Vorlage des Amtsgerichts München (C-189/22 und C-182/22), des Landgerichts Saarbrücken (C-741/21), des Landgerichts Ravensburg (C-456/22) und des Amtsgerichts Hagen (C-687/21) beantworten müssen.
Quellen:
Zum Urteil: https://curia.europa.eu/juris/document/document.jsf;jsessionid=44365016D57C1929028050FFEC72AD2A?text=&docid=273284&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=3475196
