Update Datenschutz Nr. 141
EuGH: Kein Schadenersatz ohne Schaden!
Mit Urteil vom 4. Mai 2023 (Az. C-300/21, abrufbar hier) hat der EuGH wesentliche Fragestellungen im Zusammenhang mit dem Anspruch auf Schadensersatz gemäß Art. 82 DSGVO geklärt. Dies betrifft insbesondere die Frage, ob bereits ein bloßer Verstoß gegen die DSGVO einen Schadensersatzanspruch begründet und ob der Anspruch auf Schadensersatz für immaterielle Schäden eine bestimmte Erheblichkeitsschwelle erreichen muss.
Hintergrund
Die Beklagte des Ausgangsverfahrens war die Österreichische Post AG, welche als Adressenverlag Informationen zu den Parteiaffinitäten der Bevölkerung Österreichs erhob. Mit Hilfe eines Algorithmus definierte sie anhand bestimmter sozialdemografischer Merkmale Zielgruppenadressen. Der Kläger hatte in die Speicherung seiner Daten durch die Österreichische Post nicht eingewilligt und erhob Klage auf Zahlung von Schadensersatz gemäß Art. 82 DSGVO. Dabei machte er geltend, dass er dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürte. Entsprechend verlangte er 1.000 Euro für den erlittenen immateriellen Schaden.
In erster und zweiter Instanz wiesen die österreichischen Gerichte die Klage zurück. Im Mai 2021 legte der Oberste Gerichtshof in Österreich die Sache dem EuGH zur Vorabentscheidung vor. Konkret wollte der Oberste Gerichtshof wissen, ob ein bloßer Verstoß gegen die DSGVO bereits ausreiche, um einen Schadensersatzanspruch nach Art. 82 DSGVO zu begründen, sowie, ob eine Entschädigung nur dann möglich sei, wenn der erlittene immaterielle Schaden eine gewisse Erheblichkeitsschwelle erreicht. Ebenfalls fragte er, ob die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats sei.
Notwendigkeit eines Schadens
In seiner Entscheidung hat der EuGH die Frage zum Schadenserfordernis nun eindeutig dahingehend beantwortet, dass nicht jeder Verstoß gegen die DSGVO für sich genommen einen Schadensersatzanspruch begründet. Vielmehr sei es notwendig, dass neben einem Verstoß gegen die DSGVO auch tatsächlich ein materieller oder immaterieller Schaden entstanden ist und vor Gericht nachgewiesen werden kann. Dieser Schaden müsse zudem kausal auf der Verletzung der DSGVO beruhen. Dies begründet der EuGH mit dem Wortlaut der Vorschrift und den zugrundeliegenden Erwägungsgründen der DSGVO.
Keine Erheblichkeitsschwelle für immaterielle Schäden erforderlich
Die Frage, ob der entstandene Schaden eine gewisse Erheblichkeitsschwelle erreichen muss, verneinte der EuGH abweichend vom Schlussantrag des Generalanwalts.
Der Generalanwalt vertrat zuvor noch die Ansicht, dass eine Reaktion, welche über den bloßen Ärger aufgrund des Rechtsverstoßes hinausgeht, erforderlich sei. Jeder Verstoß gegen eine Norm, die dem Schutz personenbezogener Daten dient, würde bei der betroffenen Person zu negativen Reaktionen führen. Ein Schadenersatz, welcher sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergäbe, würde einem Schadenersatz ohne Schaden sehr nahe kommen.
Diesem Ansatz ist der EuGH nun nicht gefolgt und stellt insoweit klar, dass der Schadensersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. Ein solches Erfordernis sei nach dem EuGH in der DSGVO nicht vorgesehen und stünde auch dem der DSGVO zugrundeliegenden Schadensbegriff entgegen. Es ist somit Sache der Gerichte im Einzelfall zu entscheiden, wie hoch letztlich der Ersatz für den jeweils erlittenen Schaden ausfällt.
Festlegung der Kriterien für die Bemessung des Schadensersatzumfangs
Schließlich bestätigt der EuGH, dass die DSGVO keine Regeln für die Bemessung des Schadenersatzes enthält. Entsprechend seien die Ausgestaltung von Klageverfahren und die Festlegung der Kriterien für die Ermittlung des Umfangs des Schadensersatzanspruchs Aufgabe des nationalen Rechts im jeweiligen Mitgliedstaat. Zu beachten sei hierbei der Äquivalenz- und Effektivitätsgrund, d. h. es muss ein vollständiger und wirksamer Schadensersatz für den erlittenen Schaden sichergestellt sein.
Fazit und Ausblick
Aufgrund der EuGH-Entscheidung ist es nun die Aufgabe der nationalen Gerichte, praxistaugliche Kriterien zur Festsetzung von materiellen und immateriellen Schadenersatzzahlungen, d. h. zur Bemessung der Anspruchshöhe, zu entwickeln. Bereits im Laufe der letzten Jahre hat die Anzahl von gerichtlichen Schadensersatzverfahren erheblich zugenommen und sich eine erste Kasuistik gebildet, die anknüpfend an das Urteil des EuGH in Zukunft weiter zunehmen wird.
Gleichzeitig bedeutet das Urteil auch, dass die Betroffenen bei der Geltendmachung von Schadensersatzansprüchen nicht mehr einfach eine Klage „ins Blaue hinein“ ohne konkrete Darlegung eines Schadens erheben können. Vielmehr müssen Kläger nun einen kausalen Schaden nachweisen. Dies entspricht ohnehin der Beweis- und Darlegungslast im deutschen Prozessrecht, sodass insoweit keine Besonderheiten in Zukunft zu erwarten sind.
Allerdings bleibt abzuwarten, wie Gerichte gerade mit Konstellationen umgehen, in denen der Kläger negative Beeinträchtigungen in Form von Unmutsgefühlen, Wut, Enttäuschung oder Verunsicherung geltend macht. Zwar verlangt der EuGH keine Erheblichkeitsschwelle. Allerdings muss der Kläger in jedem Fall den Nachweis eines immateriellen Schadens erbringen. In der Praxis ist dies gerade bei immateriellen Beeinträchtigungen erfahrungsgemäß eher schwer.
Ebenfalls bleibt abzuwarten, inwieweit Massenverfahren – insbesondere im Zusammenhang mit „Hacking“ und „Datenlecks“ – nunmehr an Fahrt aufnehmen werden. Da nach dem EuGH nicht bereits der bloße Verstoß gegen die DSGVO ausreicht, sondern ein kausaler Schaden vorliegen muss, ist zunächst davon auszugehen, dass hier eine gewisse Hürde gegen Massenverfahren gezogen wurde. Allerdings wird sich zeigen, welche Anforderungen die nationalen Gerichte an die Beweis- und Darlegungslast für das Vorliegen eines Schadens stellen werden.