Seit Inkrafttreten der Datenschutz-Grundverordnung ist Art. 82 DSGVO wegen daraus abgeleiteter Schadensersatzansprüche rechtsdogmatisch eine der umstrittensten Normen. Aufgrund der heutigen Masse an Verarbeitungen personenbezogener Daten und der Häufigkeit von unrechtmäßigen Verarbeitungen entsteht ein hohes finanzielles Haftungsrisiko für Unternehmen.
Update, Mai 2023: Der EuGH hat inzwischen sein Urteil zum Schadensersatz nach Art. 82 DSGVO gefällt und damit endlich Rechtssicherheit geschaffen.
Bisher sind sich die Gerichte uneins, welche konkreten Voraussetzungen an einen Schadensersatzanspruch gestellt werden. So urteilte zuletzt erst das Amtsgericht Gießen (Az.: 5 O 195/22), dass ein Betroffener eines Datenschutzverstoßes einen konkreten Schaden nachweisen müsse. Schadensersatz wurde den Betroffenen hingegen unter anderem durch das Amtsgericht Darmstadt (Az.: 13 O 244/19) oder das Amtsgericht Pforzheim (Az.: 13 C 160/19) zugesprochen.
Nun hat sich der Europäische Gerichtshof (EuGH) erstmalig mit Rechtsfragen grundlegend zum Schadensersatzanspruch nach Art. 82 DSGVO zu befassen. Im zugrundeliegenden Verfahren (Rechtssache: C-300/21) liegen nunmehr die Schlussanträge des Generalanwalts Manuel Campos Sanchez-Bordona vor. Dieser lehnt eine exzessive Ausweitung des Schadensersatzes ab.
Hintergrund des Verfahrens
Dem EuGH wurden im Zuge eines Vorabentscheidungsverfahrens drei Fragen zum Schadensersatzanspruch nach Art. 82 DSGVO durch den österreichischen obersten Gerichtshof (OGH) vorgelegt. Dem vorausgegangen war die Klage einer Privatperson gegen die österreichische Post AG auf 1.000 Euro Schadensersatz wegen einer unrechtmäßigen Datenverarbeitung.
Die Post AG erhob ohne Einwilligung Informationen zu den politischen Ausrichtungen österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand bestimmter soziodemografischer Merkmale politische Zielgruppen. Dieser Algorithmus stufte den Kläger als der Partei FPÖ nahestehend ein. Der Kläger beschrieb seine Verärgerung über diese politische Kategorisierung, da ihn diese beleidige.
Die Gerichte erster und zweiter Instanz wiesen die Klage im Wesentlichen mit der Begründung ab, dass der geltend gemachte immaterielle Schaden eine Erheblichkeitsschwelle nicht überschreite, die für den Schadensersatzanspruch erforderlich sei.
Der österreichische OGH setzte das Berufungsverfahren aus und legte dem EuGH folgende drei Fragen im Zuge eines Vorabentscheidungsverfahrens vor:
- Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
- Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Stellungnahme des Generalanwalts
Der Generalanwalt Manuel Campos Sanchez-Bordona gab zu diesen Vorlagefragen seine
Schlussanträge ab, in denen er eine weite Auslegung des immateriellen Schadensersatzanspruch im
im Hinblick auf die Auswirkungen größtenteils ablehnt.
Erste Vorlagefrage: Kein Schadensersatz bei bloßer Rechtsverletzung der DSGVO
Der Generalanwalt knüpft den Anspruch auf Schadensersatz nach Art. 82 DSGVO an weitere Voraussetzungen als eine bloße Rechtsverletzung der DSGVO.
Er schloss sich der weit verbreiteten Argumentation deutscher Gerichte an, dass ein Schadensersatzanspruch nur entstehe, wenn ein konkreter (immaterieller) Schaden nachgewiesen wird. Dies folgt seiner Ansicht nach schon aus dem Wortlaut des Art. 82 Abs. 1 DSGVO, „(…) der wegen eines Verstoßes gegen diese Verordnung ein […] Schaden entstanden ist“.
Der Schadensersatzanspruch soll seiner Funktion nach einen den Betroffenen zugefügten Schaden nur ausgleichen. Einen Sanktions- oder Strafcharakter soll der Schadensersatzanspruch gerade nicht enthalten.
Außerdem habe die DSGVO den Schutz personenbezogener gemäß Art. 1 DSGVO insoweit zu berücksichtigen, als dadurch der freie Datenverkehr weder eingeschränkt noch verboten wird.
Der Generalanwalt merkt zudem an, ein Schadensersatzanspruch könne nicht im bloßen Kontrollverlust über personenbezogene Daten liegen, da sich dies nicht aus der DSGVO ableiten ließe.
Eine Datenschutzverstoß als solcher reicht demnach nicht mehr für einen Schadensersatzanspruch aus. Vielmehr kann in diesen Fällen nur eine Aufsichtsbehörde ein Bußgeld verhängen.
Zweite Vorlagefrage: Keine europarechtlichen Vorgaben für die Bemessung des immateriellen Schadensersatzes
Nach Ansicht des Generalanwalts gibt es keine weiteren europarechtlichen Anforderungen an die Voraussetzungen und die Höhe des Schadensersatzes.
Die Festlegung von Anspruchsvoraussetzungen bzgl. des Schadensersatzanspruches sei vielmehr Aufgabe der nationalen Gerichte. Die Höhe hänge zudem vom Antrag des Klägers ab.
Ob der EuGH eigene Kriterien zum Vorliegen und die Bemessung des Schadens (z.B. Art der DSGVO-Verletzung oder betroffene Kategorien personenbezogener Daten) aufstellt, bleibt abzuwarten.
Wenn der EuGH diese Frage offenlässt, wird sich eine divergierende Rechtsprechung unter den Mitgliedsstaaten verbreiten. Dies wiederum dürfte zu erheblicher Rechtsunsicherheit führen, welche dem Grundsatz der Vollharmonisierung bei EU-Verordnungen zuwiderlaufen könnte.
Dritte Vorlagefrage: Keine Bedenken für eine Erheblichkeitsschwelle des Schadens
Der Generalanwalt ist der Ansicht, dass Art. 82 DSGVO es den nationalen Gerichten erlaube, den Schadensersatzanspruch auf immaterielle Schäden mit einer gewissen Erheblichkeit zu beschränken.
Er sieht Gefühlsregungen wie Zorn, Ärger oder bloße Unmutsgefühle, die schwach und vorübergehend sind, nicht als ersatzfähig an. Eine tiefergehende rechtliche Begründung für diese Anknüpfungspunkte bleibt er jedoch schuldig, da seiner Ansicht nach keine Anhaltspunkte aus der DSGVO und den Erwägungsgründen 75, 85 und 146 ersichtlich sind.
Vielmehr knüpft der Generalanwalt an praktische Erwägungen an. So sieht er den Schadensersatz nicht als „geeignetes Instrument“ für bloße Rechtsverletzungen gegen die DSGVO an, weil man bereits Abhilfe durch eine Beschwerde bei der zuständigen Aufsichtsbehörde erlangen könne.
Der Generalanwalt verweist hierbei auf die frühere Rechtsprechung des EuGHs (C‑371/12, EU:C:2014:26) zur Differenzierung und Anerkennung von immateriellen Schäden für leichte Körperverletzungen und sonstigen Schäden bei Verkehrsunfällen. Für diesen konkreten Fall hat der EuGH eine Erheblichkeitsschwelle als rechtskonform mit Europarecht eingestuft.
Wo die Grenze zwischen bloßem Ärger und stärkeren negativen Beeinträchtigungen genau zu ziehen sei, weiß der Generalanwalt nicht zu beantworten. Da diese Grenze unscharf und es kompliziert sei, bloßen Ärger von echten immateriellen Schäden abzugrenzen, überlässt er diese Beurteilung der Auslegung nationaler Gerichte.
Ob sich der EuGH auf eine unklare rechtliche Begründung und einhergehende Rechtsunsicherheit einlassen und keine eigenen Kriterien für das Maß einer Erheblichkeit festlegen wird oder die Erheblichkeitsschwelle gänzlich ablehnt, bleibt abzuwarten.
Resümee
Der Generalanwalt versucht mit seiner Auslegung von Art. 82 DSGVO immaterielle Schadensersatzansprüche zu begrenzen und ausufernde Klagen zu verhindern.
Eine bloße Rechtsverletzung ist damit für die Anspruchsbegründung nicht ausreichend. Er will zudem keinen Strafschadensersatz für die DSGVO einführen, damit die Kontroll- und Beschwerdeaufgabenbereiche von Aufsichtsbehörden nicht obsolet werden. Zudem fordert er eine Erheblichkeitsschwelle, damit nicht jedes Ärgernis eines Betroffenen für eine Datenschutzverletzung Schadensersatzansprüche nach sich zieht.
Ob der EuGH dieser restriktiven Auslegung folgen wird, bleibt abzuwarten. In der Vergangenheit folgte der EuGH den Schlussanträgen des EuGH-Generalanwalts in den meisten Fällen. Die Richter sind an die Anträge allerdings nicht gebunden und können autonom über die vorgelegten Fragen entscheiden.
Insbesondere bleibt spannend, ob der EuGH den Mitgliedsstaaten weiten Spielraum bei der Voraussetzung einer Erheblichkeitsschwelle lässt oder ein europaweites Machtwort spricht. Denkbar wäre auch ein europaweit anzuwendender Katalog, der eine Schadenshöhe für bestimmte Verstöße vorgibt. Hierzulande gibt es ähnliche Tabellen für die Höhe von Schmerzensgeldern.
Auch wenn Art. 82 DSGVO restriktiv ausgelegt werden sollte, bleibt signifikantes finanzielles Risiko für Unternehmen bei Datenschutzverstößen bestehen. Denn in vielen Fällen wird es Klägern gelingen, spürbare negative Beeinträchtigungen wegen eines Datenschutzverstoßes nachzuweisen. Zudem können Aufsichtsbehörden schmerzhafte Bußgelder verhängen.